SOTIF - ISO/PAS 21448

의도된 기능의 안전성 (Safety Of The Intended Functionality)

의도된 기능 (Intended functionality)의 성능 한계 또는 사양의 불충분성으로 발생하는 위험원(Hazards)에 의해 야기되는 불합리한 리스크의 회피방법을 다룹니다.

자율주행 차량 안전성을 확보하기 위해서는 의도된 기능 및 구현과 관련된 모든 위험원에 의해 야기되는 불합리한 리스크를 회피(방지)해야 합니다. SOTIF는 자율주행 시스템의 고장이 없는 상태에서 사양의 불충분성 또는 성능 한계로 발생하는 위험원에 대해 다룹니다.

차량 내/외부 환경(상황)에 대한 센싱 기술이 중요한 자율주행 시스템의 경우 ISO 26262 기능안전에서 다루는 결함이 없는 상태에서도 의도한 기능에 의해 위험한 동작이 발생할 수 있습니다.

SOTIF란?

SOTIF는 Safety of The Intended Functionality(의도된 기능의 안전성)의 약자로, 의도한 기능 또는 구현의 성능 한계로 인한 위험에서 기인된 불합리한 리스크를 방지하는 것입니다.

ISO 26262를 차량이 센서 또는 시스템 성능 제한, 도로 환경의 예상치 못한 변화, 운전자의 예측 가능한 기능 오용 등의 사유 또는 머신러닝 알고리즘이 현실을 올바르게 해석하지 못하는 경우로 인한 많은 실패 사례가 있었습니다.

SOTIF는 차량의 HW 및 SW 결함으로 인한 오작동이 없는 경우에도 자율주행시스템에 대한 불합리한 리스크를 방지하기 위해 ISO/PAS 21448로 제정되었습니다.

SOTIF는 적절한 상황 인식이 안전에 필수적이며, 그러한 상황 인식이 복잡한 센서 및 처리 알고리즘, 특히 비상 개입 시스템 및 레벨 1부터 5의 자율주행 시스템에서 의도된 기능에 적용할 수 있습니다.

또한 SOTIF는 하나 이상의 전기 및 E/E 시스템을 포함하며, 오토바이를 제외한 도로 차량에 설치되는 의도된 기능에 적용할 수 있습니다. 단 ISO 26262에서 다루는 결함은 적용되지 않습니다.

ISO 26262는 의도된 기능이 안전하다고 가정하고 위험한 동작(hazardous behaviour)을 유발할 수 있는 E/E 시스템 결함을 다룹니다.
ISO 21448(SOTIF)는 시스템에 결함이 없는 상태에서 위험한 동작을 유발할 수 있는 의도된 기능(intended functionality)의 안전성을 다룹니다.