바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

자동차 차세대 표준핵심, ‘자율주행’

2016-06-24도강호 기자

테슬라 모델S는 높은 위치에서 다가오는 트럭을 인식하지 못하고 추돌 사고를 일으켰다.

(테슬라 모델S는 높은 위치에서 다가오는 트럭을 인식하지 못하고 추돌 사고를 일으켰다.)

지난 4월 테슬라의 전기자동차 ‘모델S’가 운전자의 조작 없이 혼자서 앞차를 들이받는 사고가 발생했다. 미국 유타주에서 운전자가 모델S를 주차하고 자리를 비운 사이, 모델S가 앞에 주차된 대형 트럭을 추돌한 것이다.

테슬라는 운전자 과실이라고 주장했다. 운전자가 차량을 자동으로 차고에 주차하고 불러내는 ‘호출(Summon)’ 기능을 작동시켰다는 것이다. 호출기능을 작동시키면 디스플레이에 확인창이 뜨는데, 운전자가 취소를 누르지 않아 호출기능이 작동됐다는 설명이다.


하지만 운전자 과실이 사고 원인이라는 점에 대해 이견이 존재한다. 테슬라 자율주행 기능에 문제가 있다는 것이다. 


호출기능은 자동차가 운전자의 통제를 벗어나 스스로 움직이는 기능이다. 자동차가 운전자에게서 통제권을 넘겨받는 것인데, 통제권을 넘겨주는 운전자가 승인하는 과정이 있어야 한다. 하지만 테슬라의 호출기능은 운전자가 취소를 누르지 않으면 작동되는 방식이다. 운전자의 의도와 상관없이 호출기능이 작동될 수 있다.

호출기능이 개인 차고지가 아니라 일반도로변에서 작동했다는 점도 문제다. 일반도로는 개인 차고지보다 사고 위험이 더 높다. 개인 차고지가 아닌 곳에서는 호출기능이 제한되거나 추가적인 안전 확인이 필요하다. 그럼에도 테슬라의 호출기능은 추가 확인이나 제약 없이 일반도로에서 작동했다.

가장 큰 문제는 테슬라의 모델S가 자율주행 모드 가운데 하나인 호출기능이 작동된 상태에서 앞차를 추돌했다는 점이다. 이번 사고에서는 모델S 앞 유리가 트럭의 뒷부분과 충돌했다. 트럭이 일반차량보다 차체의 높이가 높고 뒷바퀴 뒤쪽으로도 짐을 싣는 공간이 튀어나와 있기 때문에 모델S의 앞 범퍼가 아니라 앞 유리와 충돌한 것이다.

앞 범퍼에 달려있는 모델S의 센서는 높은 위치에서 트럭이 가까워지는 것을 충돌 순간까지 인식하지 못했다. 도로에서 자율주행을 하는 중에 같은 일이 일어났다면 큰 사고로 이어질 수도 있다.

자율주행은 최근 자동차 분야에서 가장 주목받는 기능 가운데 하나다. 하지만 자율주행을 위해 도입된 인공지능 등의 소프트웨어(SW)와 센서 등의 새로운 전자부품이 자동차 안전을 위협할 수 있다. 테슬라의 사고는 이를 보여주고 있다.

자동차 생산 비용 중 전자 비중

 

(자동차 생산 비용 중 전자 비중)

자동차 전자부품 비중 40% 육박

기계 기술의 정점에 있는 자동차는 이제 첨단 전자제품의 집합소가 되고 있다. 순수한 기계 장치에서 시작한 자동차는 라디오와 엠프 같은 간단한 전기장치가 들어가는 단계를 거쳐 이제는 전자부품을 빼놓고는 생각할 수 없을 정도로 전자부품 비중이 늘어났다.

그나마 라디오나 앰프는 자동차의 구동이나 제어, 안전과는 관계없는 주변장치였다. 고장 나면 단지 불편할 뿐 자동차 운행에는 문제를 일으키지 않는 장치들이다. 하지만 최근 자동차에 적용된 전자부품은 자동차 운행과 안전에 핵심 역할을 담당하고 있다.

자동차 안전을 위한 필수장치로 여겨지는 에어백과 잠김 방지 브레이크 시스템(ABS)은 1990년대에 들어서면서 거의 모든 차량에 장착됐다. 에어백과 ABS에는 전자부품이 필수다. 특히 ABS는 과거 항공기에 사용하던 시스템을 자동차에 적용한 것으로 처음에는 기계식이었다. 전자식 시스템을 사용하면서 비로소 대부분의 차량에 적용될 수 있었다.

2010년 이후 자동차에서 거의 모든 부품이나 기능은 전자화됐다. 많은 부품이 들어가는 고급차의 경우 센서 같은 간단한 부품을 포함해 전자부품만 100종이 넘는다. 또 대부분 차량은 SW로 작동되는 제어기만 30~40개 정도 된다. 이 제어기를 통해 제어되는 세부적인 기능만 2000개가량 된다. 그나마도 일반적인 자동차에 해당하는 것이고, 친환경자동차나 전기자동차 같이 전자제어가 많이 필요한 차량의 경우에는 전자부품과 기능의 수가 더 증가한다.

이렇게 전자부품과 전자제어장치가 급격히 늘어나면서 자동차 원가에서 전자장치가 차지하는 비중도 늘어났다. 1990년대 20%대에 머물던 생산비용 중 전자장치 비용은 2010년대 들어서면서 35~40%까지 치솟았다. 이마저도 점점 증가하고 있는 추세다. 자연스럽게 자동차 엔지니어 가운데 SW 전공자 비중도 늘고 있다.

문제는 전자부품 비중이 커지면서 품질관리도 어려워졌다는 점이다.

전자식 주행 안정화 컨트롤(ESC)이 대표적이다. ESC는 ABS 기능과 엔진 토크 제어 등을 통해 차량의 자세를 안정적으로 유지하는 기능이다. ABS의 경우 1개의 센서만 있어도 되지만 ESC는 더 많은 센서와 추가 부품이 필요하다. ESC는 센서와 기능을 관리하기 위해 30만~40만 줄에 달하는 SW가 사용된다. ESC 프로그램이 정상적으로 작동하는지 검증하는 일은 30만~40만 줄의 SW를 읽고 분석해야 하는 만큼 쉽지 않은 작업이다.

파워트레인 전자제어장치처럼 ECS보다 더 큰 SW를 사용하는 경우도 있지만 대부분 제어기들은 2만~5만줄 정도의 SW가 들어간다. 하지만 SW가 작다고 검증이 쉬운 것은 아니다. 대부분의 제어기가 상호 연계돼 있기 때문이다.

자동차에서 대부분의 부품이 전자화되면서 나타난 변화 가운데 하나가 통합 제어다. 기존에는 개별 부품이 별도로 제어됐던 것에 비해 최근에는 제어기 사이에 통신기능을 이용해 협조제어 내지는 통합제어 되는 방식이 많아진 것이다. 게다가 스마트 자동차, 자율주행 자동차에 오면서 자동차 내부뿐만 아니라 외부와 연결되는 부분도 늘어났다.

이러다 보니 2만 줄 정도의 비교적 짧은 SW도 검증 부담이 증가했다. 단지 해당 SW나 제어기의 기능만을 검증하는 것이 아니라 연계된 제어기나 SW, 또 특정 전자 부품의 오류 가능성 등도 함께 검증해야 하기 때문이다. 실제로 2000년 이후 자동차 리콜의 증가도 SW와 전자부품의 검증이 어려워진 것을 주된 원인으로 보는 견해가 많다.

자동차 전자제어장치(ECU) 증가 현황

 

 

(자동차 전자제어장치(ECU) 증가 현황)


표준 통한 SW 안전성 확보 노력


자동차 분야에서 SW와 관련된 가장 큰 사건은 2014년 도요타가 급발진 사고와 관련해 엔진 스로틀 컨트롤 시스템의 전자제어장치 오류를 인정하고 12억 달러의 벌금을 낸 일이다. 엔진 스로틀은 공기와 연료를 혼합해 엔진으로 보내는 장치로, 가속 페달을 밟는 정도에 따라 공기와 연료량을 조정한다.

당시 미국 의회는 급발진 사고에 대해 SW 컨설팅 업체인 바(BARR)에 조사를 의뢰하고, 도요타에게는 SW 로직을 공개하도록 요구했다. 해당 자료를 받은 바는 다양한 분석과 테스트를 진행했다.

당시 바는 주요 SW 기능을 중단시키는 테스트를 진행했다. 특정 기능이 중단됐을 때 어떤 현상이 벌어지는지를 본 것이다. 바는 테스트에서 특정 SW 기능이 멈추면 급발진이 발생한다는 것을 알아냈지만, 실제 상황에서 그런 일이 일어날 수 있는지에 대해서는 입증하지 못했다.

미국 법원은 바에서 발견한 문제가 실제로 일어날 수 있는지와 별개로 도요타의 잘못을 지적했다. 당시 사용되던 최신 SW 검증기법을 이용하지 않았다는 것이 이유였다. 기업이 할 수 있는 최선의 안전검증 활동을 했어야 하지만, 그러지 않은 것에 대해 책임을 물은 것이다.

자동차 업계에서도 전자부품의 비중이 늘어남에 따라 SW 안전성을 확보하기 위한 노력이 이뤄지고 있다.
자동차만을 위한 SW 안전성 표준이 만들어진 것은 비교적 최근의 일이다. 1995년에 자동차 산업에 특화된 품질 표준이 비로소 만들어졌다. 이전까지는 산업 전반에 적용되는 범용 품질 표준을 사용했다. 하지만 전자부품에는 여전히 산업 전반에 적용되는 전자 안전에 관한 표준인 IEC61508 등이 사용됐다.

현재 자동차 SW와 전자장비에는 2005년 처음 배포되기 시작한 오토사(AUTOSAR), 2011년부터 시작된 ISO26262 등이 적용되고 있다. 이들은 SW와 전자장비의 안전성을 위해 자동차에 특화된 표준들로 유럽 자동차 기업들이 주도해 만들어졌다.

이들 표준이 추구하는 방향은 오류 확률을 줄이는 것이다. 기존에는 기능과 비용이 중요했다면 이제는 추가 비용이 들더라도 오류가 일어나지 않거나 오류가 일어나도 문제없이 복구되는 데 초점을 맞추고 있다. 이를 위해 비슷한 기능을 하는 복수의 SW를 사용하거나 오류 발생을 확인하고 복구하는 기능을 추가하도록 하고 있다.

특히 도요타 사례에서처럼 하드웨어에서 발생하는 오류도 SW를 통해 확인하고 문제를 예방할 수 있도록 하고 있다는 점에서 SW 기능 안전성을 크게 강조하고 있다.

도요타 급발진 사고는 자동차 SW 안전성에 대한 경각심을 불러일으키는 계기가 됐다.

 

(도요타 급발진 사고는 자동차 SW 안전성에 대한 경각심을 불러일으키는 계기가 됐다.)


늘어나는 센서 오작동 방지 초점


최근 차세대 표준에 대한 논의가 이뤄지고 있다. 최대 이슈는 자율주행이다.

정구민 국민대 교수는 “기존 표준이 차량 제어에 초점을 맞추고 있다면, 이제는 센서 기반의 자율주행에서 센서 오작동을 어떻게 막을 지로 중심이 옮겨 갔다”고 설명했다.

테슬라 모델S와 같은 사고를 사전에 방지할 수 있는 방법에 초점을 맞추고 있다는 것이다.

정구민 교수는 또 “앞차와의 통신을 통해 급제동을 인식하고 멈추는 등 통신기능도 앞으로는 추가된다”며 “자동차 SW 안전성은 차량제어, 센서, 통신이 융합되는 방향으로 가고 있다”고 설명했다.

자동차에서 자율주행에 대한 논의와 개발이 빨라지면서 관련 표준 논의도 발 빠르게 진행되고 있지만 국내 준비상황은 늦은 편이다. 정 교수는 “SW 측면에서 오토사 등 관련 전문인력을 양성할 필요가 있다”며 “특히 국내 업체에서 플랫폼을 개발하고 확산시키고 있는데, 이런 노력에 대한 응원도 필요하다”고 강조했다.

[테크M=도강호 기자(gangdogi@techm.kr)] 


<본 기사는 테크M 제38호(2016년6월) 기사입니다>