차량 급발진 (자동차 급발진) 정말 차량의 결함은 없는 걸까요? 관련 분야 해외 전문가들의 의견을 드립니다.

The GSEG (Global Safety Experts Group)입니다.

 

오래전부터 끊임없는 논란에 대상이 되고 있는 차량 급발진 (자동차 급발진) 또는 차량 결함으로 의심되는 현상에 대한 The GSEG의 의견을 공유해 드리고자 합니다.

 

The GSEG는 기존에 논란이 되었던 또는 현재 논란이 진행 중의 사건의 명확한 원인 규명에 대한 해석을 제공하기보다는 차량 결함에 무게를 둔 가능성이 있는 시나리오에 대한 설명을 드리고자 합니다.

 

이를 통해 관련 분야에 전문적인 지식이 없는 분들에게 관련 사고를 직접 경험하셨거나 이러한 상황을 경험하셨을 경우에 소비자로서 정당한 권리를 찾으실 수 있기를 기원합니다.

 

최근 아래 차량 급발진 (자동차 급발진) 또는 차량 결함으로 의심되는 동영상을 접하고 관련 동영상을 The GSEG 멤버들에게 공유를 하였습니다.

(참고로, The GSEG는 차량의 안전과 관련된 분야에 실제 근무했었던 사람들의 모임으로 자세한 사항이 궁금하시면 여기서 확인하실 수 있습니다)

 

아래의 영상을 시청한 모든 The GSEG 멤버들은 최소한의 안전장치도 동작하지 않았음에 매우 놀라워하였으며 해당 완성차 업체의 조치와 분석 결과를 제게 문의하였으나 답을 줄 수가 없었습니다.

 

www.youtube.com/watch?v=KBplpWABIDg

차량 급발진 (자동차 급발진) 정말 차량의 결함은 없는 걸까요?

 

 

아래는 The GSEG 멤버들 간의 메일 서신 및 짧은 대화를 통해 위의 영상에서 보여준 비정상적인 차량 운행 현상에 대한 의견을 종합한 것입니다.

(동영상을 통해 분석할 수 있는 내용이 너무나 국한적이기에 다소 일반적인 의견만을 드릴 수 있으며 지극히 The GSEG 멤버들의 개인적인 의견임을 알려 드립니다)

 

1. 해당 영상에서 보여준 비정상적인 차량 운행 (차량 급발진과 브레이크 이상 동작)이 차량의 결함일 확률은?

차량 결함일 확률이 매우 높게 보여짐.

 

차량 결함의 원인을 기구 부품에 의한 사항 (mechanic failure)과 하드웨어 부품에 의한 사항 (hardware failure) 그리고 소프트웨어 컴포넌트에 의한 (software failiure) 사항으로 단순화하여 분리한다면 해당 현상은 소프트웨어 컴포넌트에 의한 결함일 가능성이 크게 보여짐.

 

2. 소프트웨어 컴포넌트에 의한 결함이라고 판단하는 근거는?

1) 영상에서 차량의 시동을 끄거나 기어를 수동으로 변경하였을 때 차량의 운행속도가 줄어든 것으로 미루어 볼 때 차량의 기구적인 부품 및 관련 기구 부품의 연결에 대한 결함이 해당 차량의 결함 원인으로 판단하기에는 무리가 있음.

 

2) 하드웨어 부품에 의한 결함은 일시적인 결함과 영구적인 결함으로 나뉘는데, 해당 차량의 결함이 1분 여간 지속된 것으로 보아 일시적인 결함일 가능성은 극히 희박함.

 

또한 해당 차량의 비정상적인 운행은 엔진 제어 장치 (급가속)와 브레이크 제어 장치 (제동 불가)에서 동시에 오동작을 일으키면서 발생한 것으로 판단되는 바, 각 제어 장치의 하드웨어가 동시에 고장을 일으킬 확률은 상대적으로 낮음.

 

해당 현상 발생 이후 급가속 또는 제동 불가 중 하나의 현상이라도 지속적으로 재현이 가능하다면 엔진 제어 장치 또는 브레이크 제어 장치의 하드웨어 결함을 검토할 필요가 있음.

 

3) 엔진 제어 장치와 브레이크 제어 장치는 물리적으로 분리된 하드웨어와 소프트웨어로 구성되어 있기에 하드웨어 결함에 의한 종속 결함을 일으킬 확률이 매우 적음.

 

4) 엔진 제어 장치와 브레이크 제어 장치는 차량 내부의 네트워크를 통해 상호 간의 통신이 이루어지는데, 엔진 제어 장치 내부의 소프트웨어 결함 (로직 또는 데이터 처리 과정)에 의해 급가속이 발생하고, 관련 정보가 차량 내부의 네트워크를 통해 브레이크 제어 장치로 제공이 되어 해당 정보를 브레이크 제어 장치 내부에서 처리하는 과정에 논리적 결함 (소프트웨어 컴포넌트) 또는 관련 정보 자체에 오류가 있다면 충분히 가능한 시나리오로 보여짐.

 

3. 소프트웨어 결함은 무엇을 의미하는가? 그리고 왜 발생하는가? 이를 방지할 방법은 없는가?

차량 기능의 안전을 요구하는 ISO 26262라는 국제 규격에 따르면 소프트웨어 결함은 Systematic failure에 속하는 것으로 Systematic failure는 소프트웨어 결함뿐 아니라 사람이 제품을 디자인하는 모든 활동에 기인한 오류를 뜻함.

 

쉽게 풀어 이야기하면, '소프트웨어 개발'이라는 것은 차량에 구현하고자 하는 기능을 전자 장치가 이해할 수 있는 기계 언어로 변환하는 일종의 과정으로 이러한 과정은 사람에 의한 것이기에 오류가 쉽게 발생할 수 있음.

 

즉, 차량의 속도를 높이거나 줄이는 것은 일종의 차량이 제공하는 기능 중의 하나로 이를 위해 전자 장치에 소프트웨어를 얹음으로써 구현이 가능토록 하며 이러한 과정에서 소프트웨어 결함이 발생할 가능성이 높음.

 

특히 소프트웨어 제작을 검증된 프로세스 (A-SPICE, ISO 26262)로 개발하지 않는 많은 회사들의 제품은 이러한 잠재적인 오류를 무수히 보유하고 있다고 볼 수 있으며 각 소프트웨어 컴포넌트의 이력 조차 관리가 되지 않고 (누가 그리고 왜 이런 코드가 존재하는지) 사용하지 않는 무수한 코드 라인이 존재하는 소프트웨어 컴포넌트들은 잠재적인 그리고 매우 위험한 불안 요소라고 할 수 있음.

 

유럽의 메이저 부품회사의 경우에는 엔진 제어 장치 개발 시 3-level 모니터링 아키텍처 (E-GAS 모니터링 컨셉)를 적용하여 하드웨어적인 그리고 소프트웨어적인 결함을 모니터링하고 이러한 모니터링 기능을 ISO 26262와 A-SPICE 프로세스에 맞게 개발하고 있어 디자인적인 완성도가 높다고 할 수 있음.

 

또한 하드웨어적인 또는 소프트웨어적인 결함 발견 시 엔진 제어 컨트롤뿐 아니라 엔진 제어 장치를 통해 제공되는 데이터 통신을 차단하고 있음.

 

이를 ISO 26262 관점에서 Safe State라고 일컬음.

 

3-leve 모니터링 아키텍처 (E-GAS 모니터링 컨셉)에 대해 궁금하신 분은 아래의 포스팅을 참조하시기 바랍니다.

2020/07/03 - [ISO 26262 engineering (한글)] - E-GAS Monitoring Concept, 3-Level Monitoring Concept 이해하기

E-GAS Monitoring Concept, 3-Level Monitoring Concept 이해하기

2020/07/22 - [ISO 26262 engineering (한글)] - E-GAS Monitoring Concept (3-Level Monitoring Concept)의 각 Layer/Level (예)

E-GAS Monitoring Concept (3-Level Monitoring Concept)의 각 Layer/Level (예)

 

 

4. 이러한 결함은 어떻게 제거해야 하는가 그리고 누가 책임을 져야 하는가?

이미 이러한 차량 결함을 줄이기 위해 지난 도요타 사건을 계기로 ISO 26262라는 국제규격이 탄생하였으며 유럽의 많은 자동차 회사들이 이를 채택하고 제품 개발에 적용하고 있음.

 

ISO 26262에 따르면 사람의 생명과 연관된 제품을 ISO 26262에 의거하여 개발을 진행할 경우, 제품의 기능적 오동작으로 인해 사람의 생명을 위협할 확률은 극히 낮아짐. 그리고 각 제조사는 이에 대한 증거를 반드시 확보해야 함.

 

ISO 26262가 탄생한 지 10년여의 시간이 흘렀으나, 불행히도 아직까지도 이를 실제로 올바른 방식으로 적용하고 있는 회사는 그렇게 많지 않음.

 

유럽의 상황도 크게 다르지는 않으나 아시아권 대비 상황은 매우 긍정적으로 보여짐.

 

대부분의 회사들은 ISO 26262를 적용함에 있어 문서적인 요식행위로 취급하는 경우가 많고 이는 차량의 결함을 줄이는 데 아무런 도움이 되지 못함.

 

사람의 생명과 연관된 기능을 개발하고 생산함에 있어, 이러한 기능의 결함에 대한 1차적인 책임은 제조사에게 있고 양산 이후에 이러한 차량 결함이 발생한다면 반드시 이를 분석하고 잠재적인 결함 요소를 제거해야 함.

 

이 것이 ISO 26262에서 요구하는 수만 가지 중의 하나의 요구사항임.

 

5. 소비자들에 입장에서 해 줄 말은?

소비자들은 차량 결함 경험 시 이러한 차량 결함 (자동차 결함)이 제조사로부터 기인한 것인지 의문을 제기할 권리가 있음.

 

그리고 제조사는 이에 대해 ISO 26262가 제품의 개발 및 생산 과정에 올바로 적용되었는지에 대한 해답을 제공해야 함.

 

아시아권의 상황은 정확히 잘 모르겠으나 최소한 유럽에서의 상황은 이러하며, 한국도 제조사가 본인들이 개발한 제품의 안정성에 대한 책임을 져야 함.

 

 

ISO26262 실무 적용에 어려움이 있으신가요?

The GSEG가 실무적인 고민을 함께 하고 관련 산출물을 직접 작성해 드립니다.
관련 실제 프로젝트의 예제를 받아보시기를 원하시거나 진행하고 계신 프로젝트의 산출물 작성을 요청하실 분은 아래의 포스팅을 참고해 주시기 바랍니다.

참고로, 관련 비용은 요청하신 분의 만족도에 따라 요청하신 분께서 직접 산정하는 방식을 취함을 알려드립니다.

2022.09.28 - [ISO 26262 engineering (한글)] - ISO 26262 / Functional Safety 산출물 만들어 드립니다.

ISO 26262 / Functional Safety 산출물 만들어 드립니다.