• 기기, 제품, 서비스 등의 구조가 복잡해지고 기능이 많아짐에 따라 시스템 오류나 오동작 으로 인한 사고 발생 빈도가 예전보다 높아지고 있음
  • 미국, 유럽 등 선진국에서는 자동차, 항공, 철도, 의료 등의 분야에서 시스템 안전을 위한 국제 표준 활동을 활발히 수행하고 있음
  • HW 위주의 시스템 제어가 점점 SW로 옮겨감에 따라 SW안전 역시 중요해지고 있음

최근 자율주행차의 오동작으로 치명적인 사고가 잇따라 발생함

  • 우버(Uber)의 자율주행차량(2017년형 볼보 XC90 개조)이 자전거를 끌고 길을 건너던 40대 여성을 치어 사망케 함
    • 2018년 3월 18일 밤 9시 58분경, 미국 애리조나(Arizona)주 템피(Tempe)에서 자율주행 시범 운행 중이던 우버 차량이 자전거를 끌고 길을 건너던 엘레인 허츠버그(49세, Elaine Herzberg)를 43 mi/h(69 km/h) 속도로 치어 사망케 함에 따라 자율주행차로 인한 최초의 보행자 사망 사고로 기록됨
    • 미국 연방교통안전위원회(NTSB)1는 사고 차량이 충돌 6초 전에 보행자를 인지하였으나, 비상 브레이크 시스템이 자동으로 작동하지 않아 보행자와 충돌하였다고 발표함
    • 이후 언론에 발표된 기사2에 따르면, 당시 자율주행을 시험하던 운전자는 휴대전화로 TV 프로그램을 시청하느라 전방을 주시하지 않았고, 결국 충돌 전에 수동으로 비상 브레이크 작동을 못한 것으로 알려짐

그림 1 사고 직전 보행자(주황색) 위치와 사고차량(녹색) 위치(좌), 사고 직후 사고차량 상태(우)

 <그림 1> 사고 직전 보행자(주황색) 위치와 사고차량(녹색) 위치(좌), 사고 직후 사고차량 상태(우)

※ 출처 : 美 연방교통안전위원회(NTSB) 예비보고서(HWY18MH010)

  • 테슬라의 모델X 차량이 자율주행 중 고속도로 충격흡수장치를 들이받고 연이은 추돌 사고로 운전자가 사망함
    • NTSB의 예비보고서3에 의하면, 2018년 3월 23일 아침 9시 27분 무렵, 미국 캘리포니아 101번 고속도로(US-101) 남쪽 방향(마운틴뷰 근처)에서 자율주행 중이던 테슬라 차량이 충격흡수장치(Crash Attenuator)를 감지하지 못하고 71 mi/h(114 km/h) 속도로 충돌함
    • 연이은 다른 차량(2010년형 마쯔다 3와 2017년형 아우디 A4)과 추돌 사고로 테슬라 차량의 배터리가 폭발하여 화재가 발생하였고 결국 운전자 월터 후앙(38세, Walter Huang)이 사망함
    • 충돌 직전까지 제동이나 충돌 회피 조향이 감지되지 않았다고 조사됨

그림 2 사고 직후 테슬라 차량 화재 모습(좌)과 화재가 진압된 이후 차량 모습(우)

 <그림 2> 사고 직후 테슬라 차량 화재 모습(좌)과 화재가 진압된 이후 차량 모습(우)

※ 출처 : 美 연방교통안전위원회(NTSB) 예비보고서(HWY18FH011)

모든 분야에서 제품, 기기, 서비스 등의 구조가 복잡해지고 기능이 많아짐에 따라 시스템 오동작 또는 오류로 인한 사고가 증가할 것으로 예상함

  • 예를 들어, 자동차 분야의 경우 자율주행 또는 주행보조, V2X4 등의 기능이 탑재됨에 따라 자동차의 기능이 많아지고 구조가 복잡해지고 있음
    • 자율주행기능 및 주행보조기능을 위해 첨단운전지원시스템(ADAS)5은 카메라, 레이더, 라이더(LIDAR)6 등의 추가적인 부품 및 관련 기술이 필요하며 이는 시스템의 복잡도(Ccomplexity)를 필연적으로 상승시킴
    • V2X 기능을 위해서는 5G 등의 초고속통신 서비스와 연동을 위한 모듈 및 기술이 추가로 필요함
  • 기능이 많아지고 구조가 복잡해질수록 오류로 인한 사고 피해는 커질 수밖에 없음
    • 위험(Risk)은 피해의 가능성(Probability)과 심각성(Severity)의 조합으로 정의되기 때문에, 피해가 발생할 가능성이 높거나 피해의 정도가 심각한 경우 위험이 높다고 말할 수 있음
    • 복잡하고 기능이 많은 안전 중요 시스템은 피해의 가능성과 심각성이 모두 높아 잠재적인 위험이 클 수밖에 없고 이로 인한 사고 발생 가능성도 커짐
    • 따라서, 안전이 중요(Safety-critical)하거나 관련된(Safety-related) 제품, 기기, 서비스 등에서 시스템 오류로 인한 사고 발생 가능성은 높아질 것으로 예상하며, 위험 정도를 낮출 방법에 대한 적극적인 연구와 노력이 필요함

그림 3 안전, 보안, 통신 기능 등이 추가됨에 따라 자동차의 기능 및 복잡도가 증가하고 있으나 개발 성숙도나 품질은 이를 따라가지 못해 시스템 오동작이 발생할 가능성 상승

 <그림 3> 안전, 보안, 통신 기능 등이 추가됨에 따라 자동차의 기능 및 복잡도가 증가하고 있으나 개발 성숙도나 품질은 이를 따라가지 못해 시스템 오동작이 발생할 가능성 상승

※ 출처 : Functional Safety with ISO 26262, VECTOR, Dr. Christof Ebert, 2016

그림 4 위험은 피해의 가능성과 심각성의 조합

 <그림 4> 위험은 피해의 가능성과 심각성의 조합

안전 중요 vs. 안전 관련
  • 안전 중요(Safety Critical) : 설계누락, 오동작 등으로 위험상황을 대처하지 못하면 사람의 생명, 인체, 재산에 직접적인 해를 끼칠 수 있는 분야
    * 항공관제시스템, 열차제어시스템, 교통신호제어신스템, 상황전파시스템 등
  • 안전 관련(Safety Related) : 오동작 시 직접적인 위해(危害)를 가하지 않으며 사고에 전적인 책임이 있는 것도 아니나, 잘못된 판단을 유도하는 등 간접적인 위해 또는 사회적 혼란을 야기할 수 있는 분야
    * 운항정보관리시스템, 수하물제어시스템, 댐홍수경보시스템, 지역난방제어시스템 등
  • 특히, 자동차 분야뿐만 아니라 항공, 철도, 의료 등 안전 중요 분야에서 시스템 오류(Fault) 또는 오동작(Malfunction)은 큰 피해로 연결될 수 있음
    • 2017년 12월, 삼천포 대교에 위치한 가변차로 신호등 오작동으로 차량 2대가 정면충돌하여 운전자 2명이 크게 다침
    • 2011년 중국 윈저우에서 낙뢰로 인한 열차제어시스템 오류로 대규모 고속열차 추돌사고가 발생하여 승객 40명이 사망하고 192명이 다침
    • 1985년부터 1987년 사이 Therac-25라는 방사선 치료기는 SW의 오류로 강한 방사선이 환자에게 주사되어 3명 이상의 사상자를 발생시킴

그림 5 (좌) 삼천포 대교 가변차로 오류 사고, (중) 중국 윈저우 고속열차 사고, (우) SW오류를 일으킨 Therac-25

 <그림 5> (좌) 삼천포 대교 가변차로 오류 사고, (중) 중국 윈저우 고속열차 사고, (우) SW오류를 일으킨 Therac-25

※ 출처 : Google 이미지 검색

시스템 안전 확보를 위한 주요 활동으로 기능 안전 관련된 표준화가 국제적으로 활발히 진행됨

  • SW 오류로 인한 안전사고 발생 시, 국가 경제 및 사회 전반에 부정적 영향이 발생하게 됨
    • 국가 기반시설의 안전사고가 빈번히 발생할수록, 국가 및 사회에 대한 신뢰도에 치명적인 타격을 받을 수 있음
    • 국가 차원에서 안전 확보는 안전산업의 수출 확대 측면에서도 중요한 과제임
    • 특히, 금융, 자동차, 철도, 항공, 전력, 국방, 의료, 교육 등 대부분 분야에서 SW의 의존도가 높아짐에 따라, SW 오류로 인한 사고의 피해 범위와 규모는 매우 클 것으로 예상함

그림 6 분야별(산업일반, 자동차, 항공, 의료기기) 안전 분류 및 기준

 <그림 6> 분야별(산업일반, 자동차, 항공, 의료기기) 안전 분류 및 기준

  • 시스템의 안전을 확보하기 위해 국제적으로 기능 안전 표준화 작업을 활발히 진행하고 있음
    • 기능 안전(Functional Safety) 표준은 위험원 분석(Hazard Analysis) 및 위험 평가(Risk Assessment) 등을 통해 시스템의 안전 관련 기능을 여러 등급으로 나눈 뒤, 높은 등급일수록 보다 엄격한 개발 및 검증 기법을 적용하는 기준을 제공함
    • 전기/전자/프로그래밍 가능한 전자 장치에 대한 기능 안전 표준으로 IEC 61508이 대표적 이며, 모든 산업에 적용 가능한 기본이 되는 기능 안전 표준(母표준 역할)의 성격을 띰
    • 이외 안전이 중요한 자동차, 철도, 항공, 원자력, 의료 등에서는 IEC 61508을 기반으로 분야별 기능 안전 표준이 존재하며 활발한 표준화 활동이 진행 중임
    • 특히, SW안전이 중요해짐에 따라 기존 표준에 SW 부분의 비중을 늘리거나, 아예 SW안전을 위한 표준을 독립적으로 제정하고 있음
<표 1> 주요 분야별 기능 안전 표준 및 SW안전 관련 표준
산업분야 기능 안전 국제 표준 SW안전 표준
공통 IEC 61508 EC 61508-3
자동차 ISO 26262 ISO 26262-6
철도 IEC 62278, IEC 62279 IEC 62279
항공 ARP 4761, DO-178C DO-178C
원자력 IEC 60880, IEC 62138, IEEE7-4.3.2, IEC 61513 IEC 60880
의료 IEC 60601, IEC 62304, ISO 13606 IEC 62304
일반 SW vs. 안전중요 SW의 개발 절차 비교

※ 출처 : 김진영 시스템안전성센터장, 한국정보통신기술협회(TTA), 2017

해외 안전 선진국들 보다 우리나라의 SW안전에 대한 표준 대응, 기술 연구 등이 미진함

  • 우리나라는 SW안전 관련 국제 표준에 대한 인식이 낮은 편이고 국제 표준 제정 및 개정 작업 참여가 부족함
    • 국내 경우 SW안전 관련 국제 표준에 대해 잘 알지 못할 뿐 아니라, 적용 필요성에 대한 인식도 부족한 편임
    • 해외 선진국은 안전 국제 표준을 주도함으로써 산업에서 우위를 선점하고 시장 진입 장벽으로 활용하고 있음
    • 우리나라는 산업 일반, 철도, 항공 등 주요 분야에서 국제 표준 활동에 참여가 소극적임
<표 2> SW안전 관련 국내외 기술현황
해 외  
  • 안전성 SW 관련 표준 제정
    • NASA-STD-8719.13
    • 미국 DoD, 영국&호주 DEF
    • IEEE Std. 1633, IEC 61508
    • ISO 26262, DO-178B/C
  • 안전성 SW 표준 대응 추진 중
    • 국제 표준화 활동 참여 미흡
    • 항공 SW 관련 DO-178B 인증 획득 기업 확대 중
    • 자동차업계 ISO 26262 표준 대응 추진
  • 안전 SW 플랫폼 아키텍처 연구
    • Europe Commission, $4.6M 투자 (AirTraffic Management, 2012.5)
  • 안전 SW 기술 초기 단계
    • 국방 무기체계 SW
    • H사 전장 SW
    • 원자력 발전소 통제 SW
  • 모델기반 방법론 지원
    • SCADE
    • Matlab/Simulink
    • LabView도구 출시
  • 모델기반 방법론 지원 취약
    • 국내 지원 도구 부족
    • 해외 도구 사용에 고가의 라이선스 비용 지출

※ 출처 : SW중심사회에서 SW의 안전, 지은경 KAIST 교수, 제12회 SPRi 포럼 발제, 2015

SW안전에 대한 인식 제고와 함께 산·학·연의 적극적인 표준화 참여가 필요함

  • 미국, 유럽 등 해외 안전 선진국들이 안전 국제 표준을 주도함에 따라 산업 우위를 선점 하고 있음
  • 기업, 학계, 연구소 등이 국제적인 안전 표준화 활동에 적극적으로 참여하고 정부 역시 이에 대한 지원이 필요함
  • SW안전 관련 컨퍼런스, 세미나, 포럼 등을 통해 SW안전에 대한 인식제고 활동을 더욱 확대해야 나가야 함
  • 안전 SW를 개발할 수 있는 전문 인력의 양성에 대한 국가적 차원의 로드맵이 필요함
  • 1 National Transportation Safety Board
  • 2 https://www.reuters.com/article/us-uber-selfdriving-crash/uber-driver-was-streaming-hulu-showjust-before-self-driving-car-crash-police-report-idUSKBN1JI0LB
  • 3 https://www.ntsb.gov/investigations/AccidentReports/Reports/HWY18FH011-preliminary.pdf
  • 4 Vehicle to Everythings의 약자로 주행 중인 차량이 다른 차량이나 도로, 시설물과 네트워크 통신을 이용하여 정보를 공유하는 기술
  • 5 Advanced Driver Assistance System의 약자로 차량 내·외부에 탑재된 각종 센서가 안전과 위험회피를 목적으로 운전자를 지원하는 첨단보조 시스템. 현재 ESC, ABS, BAS, SLD, TPMS 등이 대표적으로 사용되고 있음
  • 6 Laser Imaging, Detection and Ranging의 약자로 레이저를 이용해 주변 사물을 감지하는 기술

안전 표준 자율주행차 월간SW중심사회 2018년 7월호