SOTIF 및 ISO/PAS 8800의 역할과 자율주행 기술 안전성 평가

자율주행 기술의 발전은 교통사고 감소와 이동 편의성 향상과 같은 긍정적인 변화를 가져올 수 있지만, AI 기반 시스템의 안전성을 확보하기 위한 엄격한 기준이 필요합니다. 특히, 자율주행차(AV)에 적용되는 AI 기술이 예측할 수 없는 다양한 도로 환경에서도 안전하게 작동하도록 보장하는 것이 중요합니다.

 

이와 관련하여 SOTIF(Safety of the Intended Functionality)와 ISO/PAS 8800은 AI 기반 자동차 시스템의 안전성을 검증하고 신뢰할 수 있는 표준을 마련하는 중요한 규제 프레임워크입니다. 이번 포스팅에서는 이 두 가지 표준의 역할과 자율주행 시스템의 안전성을 평가하는 방법에 대해 알아보도록 하겠습니다.

 

반응형

1. SOTIF (ISO 21448)란 무엇인가?

SOTIF는 기존의 기능 안전(Functional Safety) 개념을 확장하여, 시스템이 정상적으로 작동함에도 불구하고 발생할 수 있는 안전 문제를 예방하는 것을 목표로 합니다.

 

예를 들어, 자율주행차의 카메라와 센서가 정상적으로 작동하더라도, 안개가 낀 날씨나 강한 햇빛으로 인해 도로 표지판을 정확히 인식하지 못할 가능성이 있습니다. 이는 시스템의 결함이 아니라, 기능이 정상적으로 작동하더라도 환경적 요인으로 인해 발생하는 문제입니다. SOTIF는 이러한 예측 불가능한 위험을 사전에 분석하고 대비하는 것을 핵심 목표로 합니다.

 

ISO 26262와 SOTIF (ISO 21448) 주요 차이점

비교항목	ISO 26262	SOTIF (ISO 21448)
주요 목표	하드웨어 및 소프트웨어 결함 탐지 및 방지	정상 작동 중 발생할 수 있는 위험 예방
위험 요소	시스템 오류 및 고장	환경적 요인 및 예측 불가능한 상황
접근 방식	결함 발생 가능성을 최소화 결함에 의한 사고를 수용가능한 수준으로 낮추는 것	미지의 위험을 분석하고 대처
적용 대상	모든 자동차 전자 시스템	자율주행 시스템, ADAS (첨단 운전자 보조 시스템)

 

즉, SOTIF는 시스템이 정상적으로 작동하더라도 발생할 수 있는 위험을 최소화하기 위한 접근 방식이라고 할 수 있습니다. 

 

결국, 자율주행차가 상용화되기 위해서는 단순히 차량 시스템의 오류를 줄이는 것만으로는 부족하며, 자율주행 기술이 예측하지 못한 상황에서도 안전성을 보장해야 위해 SOTIF가 필요하다고 할 수 있습니다.

 

1-1. 자율주행차의 운행 환경은 완벽하게 통제될 수 없다

자율주행 시스템은 수많은 데이터를 학습하고 다양한 도로 환경을 시뮬레이션하며, 이를 기반으로 차량을 스스로 운행할 수 있도록 설계됩니다. 하지만 현실의 도로 환경은 예측할 수 없는 변수들로 가득합니다.

 

예를 들어,

• 도로 위 돌발적인 보행자 출현: 갑자기 차도에 뛰어든 어린이를 인식하고 즉시 반응해야 하는 상황

• 날씨 변화에 따른 센서 오작동: 폭우나 안개 속에서 카메라나 라이다(LiDAR)의 인식률이 저하되는 경우

• 도로 공사로 인해 기존 신호 체계가 변경된 경우: AI가 기존 데이터를 기반으로 학습했다면, 새로운 신호체계를 잘못 해석할 가능성

• 다른 차량의 예상치 못한 행동: 신호를 무시하고 돌진하는 차량이나 중앙선을 넘는 차량에 대한 대응

 

이처럼 실제 도로 환경에서는 기존에 학습하지 않은 상황이 빈번하게 발생할 수 있으며, 이로 인해 차량이 적절한 대응을 하지 못하면 사고로 이어질 위험이 커집니다. SOTIF는 바로 이러한 예측 불가능한 변수들에 대한 대비책을 마련하는 것을 목표로 합니다.

 

1-2. 기존의 기능 안전(Functional Safety)만으로는 한계가 있다

전통적인 자동차 안전 표준인 ISO 26262(기능 안전, Functional Safety)는 시스템 고장을 방지하는 데 초점을 맞추고 있습니다. 이는 하드웨어 및 소프트웨어의 오류를 예방하여 차량이 안전하게 작동할 수 있도록 보장하는 역할을 합니다.

 

그러나 기능 안전(Functional Safety) 개념만으로는 자율주행 시스템이 정상적으로 작동하더라도 예측하지 못한 위험을 효과적으로 방지할 수 없습니다.

 

✔ 기능 안전의 한계점

• 차량의 하드웨어와 소프트웨어가 오류 없이 작동한다고 하더라도, AI가 새로운 환경을 제대로 인식하지 못할 수 있음.

• 모든 도로 상황을 미리 학습할 수 없기 때문에, 미처 고려되지 않은 변수들로 인해 안전 문제가 발생할 가능성이 높음.

• 예를 들어, 신호등이 꺼진 도로에서 AI가 언제 정지하고 출발해야 하는지 정확히 판단하지 못한다면 사고 위험이 증가함.

 

SOTIF는 기존 기능 안전의 이러한 한계를 보완하여 AI가 예상하지 못한 환경에서도 안전하게 운행할 수 있도록 설계하는 것을 목표로 합니다.

 

1-3. AI 기반 자율주행 시스템의 불확실성

자율주행차는 인간 운전자가 아니라 AI가 주변 환경을 인식하고 판단한 후 차량을 제어합니다. 그러나 AI 시스템은 인간과 달리 완벽한 직관을 가지지 않으며, 학습 데이터에 의해 작동한다는 한계가 있습니다.

 

✔ AI의 한계와 오판 가능성

• AI는 기존에 학습한 데이터에서 벗어난 상황에서는 적절한 결정을 내리지 못할 가능성이 있음.

• 기상 악화, 도로 공사, 돌발 변수(예: 길을 건너려는 동물)와 같은 예상하지 못한 상황에서 오판 가능성이 높아짐.

• 특히, 기존 데이터에서 충분히 학습되지 않은 “경계 상황(Border Cases)”에서 AI의 판단이 불완전할 수 있음.

 

이러한 불확실성을 해결하기 위해, SOTIF는 AI가 미처 학습하지 못한 상황에서도 차량이 최대한 안전하게 대응할 수 있도록 설계하는 것을 목표로 합니다.

 

 

2. ISO/PAS 8800의 역할

ISO/PAS 8800은 자율주행 차량을 위한 AI가 안전하게 작동하도록 보장하기 위한 새로운 표준입니다. 특히 AI 기반 시스템이 예상하지 못한 상황에서도 신뢰할 수 있도록 하기 위해 개발되었습니다.

 

이 표준은 다음과 같은 내용을 포함하고 있습니다.

• AI 모델이 어떤 방식으로 학습되고 평가되어야 하는지
• AI 시스템이 신뢰성을 유지하기 위해 필요한 데이터 품질 기준
• 자율주행 기술의 안전성을 검증하기 위한 필수 절차

ISO/PAS 8800은 2024년 12월 PAS (Publicly Available Specification) 형식으로 발표되었으며, 향후 정식 ISO 표준으로 발전할 가능성이 높습니다.

 

 

ISO/PAS 8800:2024, AI 안전 관리 for Road Vehicles -Safety and Artificial Intelligence, AI 안전 수명 주기

 

 

2-1. SOTIF와 ISO/PAS 8800의 관계

SOTIF(ISO 21448)는 기존의 기능 안전(ISO 26262)이 다루지 못하는 예측 불가능한 위험을 사전에 분석하고 대비하는 개념입니다. 따라서 차량의 하드웨어 및 소프트웨어 결함 없이도 발생할 수 있는 예측 불가능한 위험을 분석하고, 센서(카메라, 라이다, 레이더 등)의 한계를 파악하고, 환경적 요인으로 인한 오작동을 예방하며 다양한 도로 상황을 고려한 시나리오 기반 테스트를 통해 시스템의 안전성 평가에 관한 내용을 담고 있습니다. 

 

하지만 SOTIF는 AI가 주도하는 의사 결정 과정의 신뢰성까지 완전히 보장하지는 못한다는 한계가 있습니다.

• AI의 학습 데이터가 충분히 신뢰할 수 있는가?
• AI 모델이 새로운 환경에서도 올바르게 판단하는가?
• AI가 특정 편향(Bias)이나 오판을 일으킬 가능성이 있는가?

이러한 문제를 해결하기 위해 등장한 것이 ISO/PAS 8800입니다.

 

SOTIF (ISO 21448)와 ISO/PAS 8800 주요 차이점

비교항목	SOTIF (ISO 21448)	ISO/PAS 8800
주요 목표	센서 및 자율 주행 시스템의 안전성	AI의 학습 데이터, 의사 결정 과정의 신뢰성
위험 요소	환경적 요인으로 인한 시스템 오작동	AI의 데이터 편항, 판단 오류, 학습 과정의 문제
접근 방식	시나리오 기반 테스트	AI 모델 검증, 데이터 품질 평가, 지속적 학습
적용 대상	자율주행차의 모든 기능	AI 기반 의사 결정 시스템

 

2-2. AI 학습 데이터의 신뢰성 확보

AI는 기존의 소프트웨어와 달리 학습한 데이터를 기반으로 의사 결정을 내리는 특성을 갖고 있습니다. 하지만 잘못된 데이터를 학습하면, AI의 판단이 왜곡될 가능성이 있습니다.

 

✔ ISO/PAS 8800을 활용한 데이터 품질 관리

• AI가 다양한 주행 환경(날씨, 도로 조건 등)에서 학습할 수 있도록 데이터 다양성 확보

• 편향된 학습 데이터를 방지하기 위한 균형 잡힌 데이터 제공

• 학습 과정에서 발생할 수 있는 오류를 지속적으로 모니터링하고 수정

 

이를 통해 AI가 신뢰할 수 있는 데이터를 기반으로 의사 결정을 내릴 수 있도록 보장합니다.

 

2-3. AI의 판단 과정 검증 및 투명성 확보

AI는 복잡한 뉴럴 네트워크를 통해 작동하기 때문에, 사람이 AI의 의사 결정 과정을 직관적으로 이해하기 어렵습니다. 따라서 AI가 내린 결정이 어떤 근거로 이루어졌는지 설명할 수 있는 체계가 필요합니다.

 

✔ ISO/PAS 8800에서 강조하는 설명 가능한 AI(XAI, eXplainable AI) 개념

• AI의 의사 결정이 투명하게 설명될 수 있도록 알고리즘 개선

• 차량이 특정 상황에서 어떻게 판단했는지를 분석하여, 오류가 발생했을 경우 원인을 추적할 수 있도록 지원

• 예를 들어, AI가 보행자를 차량으로 잘못 인식하는 경우, 어떤 과정에서 오류가 발생했는지 분석하여 수정 가능

 

이를 통해 AI가 예측할 수 없는 상황에서도 신뢰할 수 있는 의사 결정을 내릴 수 있도록 보장합니다.

 

2-4. 지속적인 업데이트 및 학습을 통한 안전성 강화

자율주행 시스템은 한 번 개발된 후 끝나는 것이 아니라, 지속적으로 학습하고 개선되어야 하는 특성을 갖고 있습니다.

 

✔ ISO/PAS 8800이 지원하는 AI 학습 시스템

• OTA(Over-The-Air) 소프트웨어 업데이트를 통해 최신 데이터 반영

• AI가 실시간으로 학습하고, 예상치 못한 상황에서도 안전하게 대응할 수 있도록 지원

• AI 시스템의 성능을 지속적으로 검토하고 개선하는 피드백 루프(Feedback Loop) 적용

 

이러한 방식을 통해 AI가 단순히 과거 데이터를 기반으로 작동하는 것이 아니라, 실시간으로 학습하면서 안전성을 유지할 수 있도록 지원합니다.

 

 

3. 자율주행 시스템의 안전성 평가 방법

자율주행 기술이 안전하게 운영되기 위해서는 체계적인 평가 방법이 필요한데, 크게 4가지의 핵심 단계가 필요합니다.

• 1단계: 위험 분석 및 예측 (SOTIF 기반)
• 2단계: AI 모델 학습 데이터 검증 (ISO/PAS 8800 기반)
• 3단계: 실제 환경에서의 검증 (SOTIF + ISO/PAS 8800 적용)
• 4단계: 지속적인 학습과 업데이트 (ISO/PAS 8800 적용)

---

3-1. SOTIF 기반 위험 분석 및 예측 (1단계)

기존 기능 안전(ISO 26262)의 한계

ISO 26262는 하드웨어 및 소프트웨어의 오류를 예방하는 것에 중점을 둡니다. 하지만 자율주행 시스템에서는 시스템이 정상적으로 작동하더라도 예측하지 못한 위험이 발생할 수 있습니다.

 

예를 들어,

• 센서 오작동 문제: 안개가 낀 날씨에서 카메라가 도로 표지판을 제대로 인식하지 못할 가능성

• 잘못된 주행 판단: 도로 공사로 인해 차선이 임시로 변경되었을 때, 기존 지도 데이터만을 기반으로 잘못된 경로를 선택할 위험

• 비상 상황 대응 문제: 갑자기 도로에 튀어나온 보행자를 AI가 정확하게 감지하지 못하는 경우

 

SOTIF를 활용한 위험 분석 방법

SOTIF(ISO 21448)는 이러한 예측 불가능한 위험을 사전에 분석하고 대비할 수 있도록 합니다. 이를 위해 위험 분석(Risk Analysis)과 위험 감소(Risk Mitigation) 절차를 포함합니다.

 

✔ 위험 분석

• 차량의 센서(카메라, 라이다, 레이더)가 인식할 수 없는 위험 요소를 식별

• AI가 판단할 수 없는 돌발 상황(예: 신호등이 고장 난 경우) 정의

• 기상 변화(눈, 비, 안개 등)에 따른 인식 오류 평가

 

✔ 위험 감소

• 센서의 다중 사용(예: 카메라+라이다)으로 인식 오류 보완

• AI의 학습 범위를 넓혀 예상치 못한 상황에도 대응 가능하도록 강화

• 안전한 운행을 위한 비상 조치(예: AI의 판단 불확실성이 높을 때 속도를 줄이도록 설정)

 

SOTIF를 활용하면 예측 불가능한 상황을 미리 고려하고, 이를 해결할 수 있는 대응책을 마련할 수 있습니다.

---

3-2. ISO/PAS 8800 기반 AI 모델 학습 데이터 검증 (2단계)

AI 학습 데이터의 중요성

자율주행 시스템의 AI는 훈련된 데이터를 기반으로 판단을 내립니다. 하지만 AI가 학습하지 않은 도로 환경에서는 올바르게 작동하지 않을 위험이 있습니다.

 

✔ AI 학습 데이터의 주요 위험 요소

• 특정 지역에서만 수집된 데이터로 인해 환경 편향(Bias) 발생

• 다양한 날씨나 도로 조건을 반영하지 않은 데이터로 인해 불확실성 증가

• AI가 도로 규칙을 정확히 이해하지 못할 가능성 (예: 특정 국가에서만 적용되는 도로 표지판 해석 문제)

 

ISO/PAS 8800을 활용한 데이터 검증 절차

ISO/PAS 8800은 AI의 데이터 품질을 평가하고, 학습 과정에서 발생할 수 있는 오류를 방지하는 방법을 제공합니다.

 

✔ AI 학습 데이터 검증 방법

• 다양한 환경(도심, 고속도로, 시골길 등)에서 데이터 수집

• 날씨 및 조명 조건(낮, 밤, 비, 안개 등)을 고려한 학습 진행

• AI의 판단 과정을 기록하여, 오류 발생 시 원인을 분석할 수 있도록 지원

 

ISO/PAS 8800을 활용하면, AI가 보다 신뢰할 수 있는 데이터를 기반으로 학습할 수 있도록 보장할 수 있습니다.

---

3-3. SOTIF 및 ISO/PAS 8800을 적용한 실제 환경에서의 검증 (3단계)

시뮬레이션 및 실차 테스트

자율주행 시스템의 안전성을 평가하기 위해서는 시뮬레이션과 실제 도로 주행 테스트가 필요합니다.

 

✔ 시뮬레이션 테스트

• 다양한 돌발 상황을 가상 환경에서 반복적으로 평가

• 차량이 어떻게 반응하는지 데이터 수집 및 분석

• AI 모델이 미처 학습하지 못한 환경에서의 오류 검출

 

✔ 실차 테스트

• 실제 도로에서 자율주행 시스템의 성능을 검증

• SOTIF에서 정의한 위험 요소가 실제 환경에서도 발생하는지 확인

• AI 모델의 판단이 신뢰할 수 있는지 검토

 

이 과정에서 ISO/PAS 8800을 활용하여 AI의 판단 과정을 분석하고, 예상치 못한 오작동이 발생하는 경우 학습 데이터를 업데이트합니다.

---

3-4. ISO/PAS 8800을 적용한 지속적인 학습과 업데이트 (4단계)

OTA(Over-The-Air) 업데이트를 통한 실시간 개선

자율주행 시스템은 한 번 개발된 후 끝나는 것이 아니라, 지속적인 학습과 업데이트가 필요합니다.

 

✔ ISO/PAS 8800이 지원하는 지속적 개선 방식

• 실시간 데이터 분석을 통해 AI 모델 업데이트

• 자율주행차가 경험한 새로운 도로 환경을 반영하여 지속적 학습

• OTA 업데이트를 통해 AI 모델을 주기적으로 개선

 

이를 통해 AI 시스템이 점점 더 안전하게 진화할 수 있도록 보장합니다.

 

---

마치며...

SOTIF와 ISO/PAS 8800은 자율주행 기술이 안전하게 도입되기 위해 반드시 준수해야 하는 핵심 표준입니다.

 

✔ SOTIF는 예상하지 못한 상황에서도 자율주행차가 안전하게 작동하도록 보장하는 기능을 담당합니다.

✔ ISO/PAS 8800은 AI 기반 시스템의 신뢰성을 검증하기 위한 새로운 표준으로, AI 모델의 학습 과정과 데이터 품질 관리 등을 다룹니다.

✔ 안전한 자율주행 시스템을 만들기 위해서는 위험 분석, 검증 및 검토, 지속적인 모니터링과 같은 평가 방법이 필수적입니다.

 

자율주행 기술이 대중적으로 보급되기 위해서는 기술적 발전뿐만 아니라, 명확한 안전 기준과 신뢰할 수 있는 평가 방법이 함께 구축되어야 합니다. 이를 통해 보다 안전하고 신뢰할 수 있는 미래형 모빌리티 환경을 조성할 수 있을 것입니다.