자율주행 3단계와 Autopilot/Autoland

SAE 자율주행 3단계는 HMI나 Human Factor이슈가 위험요소로 존재합니다. 미국에서는 현재 어떤 제조사도 공식적으로 3단계를 만들겠다고 선언한 곳은 없는 것으로 알고, 유일하게 벤츠만이 3단계 평가를 진행중이라는 동향이 있습니다.

요즘 항공기들은 자동항법장치(Autopilot)이나 자동착륙장치(Autoland) 등을 통해서 상당히 오래전부터 '자율주행' 기능을 갖춰왔습니다. 이 두가지 장치에 대한 관심은 "파일럿들은 어떻게 제어권을 이양받을까?"라는 물음에서 시작됩니다.

자동차의 자율주행 기능과 비행기의 자동항법장치(Autopilot + Autoland)는 작동 설계 영역인 ODD에 있어 결정적 차이가 있습니다. 자동차는 많은 다른 차량 및 기타 도로 사용자들과 밀집된 공간에서 주행하기 때문에 ODD내 OEDR이 굉장히 신속해야하는 반면, 비행기는 이미 처음부터 다른 비행기들과 항적을 달리하며(쉽게 말해, 충분한 안전거리 확보) 비행하기 때문에 자동 항법 장치가 시스템 fail이 되더라도 fallback하는데까지 시간의 여유가 있고 그 동안 OEDR이 안전 확보에 크게 영향을 주지 않습니다. 순항 중에는 관제사의 지시만 잘 따르고 있었다면 직접적인 위험은 없다고 합니다.

또 차이가 나는 부분은 리던던시입니다. 자율주행 3단계는 fallback의 의무가 시스템/인간 모두에게 있을 수 있고, 4/5단계는 시스템에 있습니다. 즉, 개념적으로는 리던던시가 '차량'이라는 물리적인 공간에 국한되게 됩니다. 항공기의 경우는 크게 3개의 리던던시가 있다고 합니다. 항공기의 Autoland를 예를 들어 보겠습니다.

착륙을 할 때 조종사의 가시거리에 따라 Cat I, II, III 등으로 등급이 나뉘게 되는데 숫자가 커질수록 가시거리가 짧은, 즉 worst case입니다. 보통 Cat III 정도가 되면 Autoland를 하게 되는데, 이는 전적으로 컴퓨터가 착륙하는 것을 말합니다.

Autoland를 하기 위해서는 1) 공항 시설의 리던던시, 2) Autoland 시스템의 리던던시, 3) 인(人)적 리던던시 이렇게 3개의 리던던시가 작동됩니다. 즉, 하나가 fail이 되어도 나머지 두개가 남아 절대 안전하다는 fail safe한 시스템입니다.

2)번은 이미 자율주행 시스템 내부에서 생각할 수 있는 리던던시이며, 3)번은 자율주행 4/5단계에는 해당 없는 내용입니다. 그런데 1)번 리던던시는 소위 Intelligent connected 고속도로나 스마트 시티에서는 차량에도 똑같이 적용할 수 있는 시나리오 같습니다. (http://www.chinadaily.com.cn/a/201908/16/WS5d56b355a310cf3e35566411.html)

리던던시가 꼭 차량이라는 물리적인 공간에만 있어야 할 필요는 없다는 것이죠. 차량과 주변이 V2X로 연결이 되어 있다면 이를 활용한 리던던시 개발도 가능하지 않을까 싶은 생각을 해봤습니다. 온전히 제 상상에 근거하여, 선행 차량이 고장났으니 후방 차량들은 속도를 줄여 주행하라는 시그널을 준다든지...뭐 그런 것도 리던던시가 되지 않을까요.

 

조금 다른 이야기를 해보면, 항공기는 '시스템이 절대적으로 옳다.'는 전제가 깔려있는 것 같아 보입니다. 물론 자율주행차도 '휴먼 에러를 없애준다.'는 모토를 가지고 있으니 결국 같은 말 아닐까 싶은 생각은 드는데요,

'Flight Envelope Protection(이하 FEP)'라는 개념을 소개해 드립니다. 항공기는 저마다 최고/최저 속도, 구조적인 강성 등이 있는데 이것들을 이용하여 일정 마진을 더해 Flight Envelope(비행 한계)를 계산합니다. 그런데 파일럿이 이 계산값을 초과하는 인풋값을 넣으면, 그 인풋값을 무시하고 시스템이 판단하는 가장 best한 값을 강제로 유지하는 HMI가 바로 FEP입니다.

예를 들어, 만약 파일럿이 nose up(기수를 올리는 것)을 하기 위해 사이드 스틱을 올리면, 제어 컴퓨터는 파일럿이 스톨이 가능한 각도를 넘어서까지 올리지 못하도록 막습니다. 그이상으로 파일럿이 스틱을 올려도, 시스템은 이를 무시합니다. 이 기능의 장점은 긴급 상황에서 파일럿이 빠르게 반응할 수 있게 하고, 과도한 인풋의 영향을 최소화 할 수 있다는 것입니다.

FEP가 효과적인 예로는, 파일럿이 대지접근 경보장치(항공기가 산이나 지상 지형물에 접근하는 것을 경고)의 작동을 확인하고 긴급히 선회한다거나, 다른 항공기와 공중 충돌 위험이 있어 급선회 해야할 때, 과도한 인풋을 막아주는 경우입니다. 이 때 만약, FEP가 없다면 파일럿은 자신의 오버 인풋으로 인해 자칫 스톨을 일으킬 수 있다는 불안감을 안고 제어를 해야 하는데, FEP가 있다면 망설일 필요 없이 마음껏 제어할 수 있습니다.

이 시스템은 '파일럿을 제한하는 것이 아니라, 그들을 불확실성으로부터 자유롭게 만들어 줌으로써 안전 성능을 향상시키는 것'이라고 에어버스는 주장한다고 합니다. 이 FEP는 자율주행차로 치면 2/3단계의 ADAS 기술이라고 볼 수 있을 것 같습니다. 운전자에게 제어의 자유도를 주되, 오버 인풋(차선 침범 시 워닝, 최소 안전거리 미확보시 긴급 제동 등)을 막아주는 역할을 하니까요.

그런데 시스템 자체는 완벽했을 지라도, 주변 환경의 불완전성이나 변수 등으로 인해 시스템의 기술적으로 완벽한 판단이 결과적으로는 fail을 일으킬 수 있는지에 대한 고민도 해봅니다. 그 예가 실제로 FEP에서 발생했는데, 아마 뉴스에서 한 번쯤 들어보셨을 수 있는 보잉 737Max의 연이은 추락사고입니다.

기존 보잉 737에 연비가 향상된 새로운 엔진을 달아야 했는데 그 엔진의 크기가 큰 것이 문제가 되었습니다. 보잉 737은 지상고가 낮기 때문에 큰 엔진을 달기 어려운 상황이었는데요, 그래서 보잉은 엔진의 위치를 기존보다 높여서 이 문제를 해결합니다.

사진을 보면 확실히 다른 737 시리즈(좌측 델타 항공)에 비해 737max는(우측 Boeing 소속 항공기) 엔진의 끝단이 주날개보다 더 위에 있는 것을 볼 수 있습니다. 그런데 비행을 하다보니 이륙 시 풀스로틀을 할 때 기수가 정상 각도보다 더 높게 들리는 현상이 발견 되었습니다.

보잉은 이 문제를 해결하기 위해 받음각 센서를 노즈 부분에 장착하여 기수를 자동으로 하강시켜주는 MCAS(Maneuvering Characteristic Augmentation System)을 장착했습니다. 앞서 말한 FEP와 동일한 역할을 해주는 보잉의 시스템이었습니다.

그런데 안타깝게도 FAA에서도 제대로 인증을 하지 않고 보잉에게 맡겨 두었고, 보잉은 파일럿들에게 제대로 된 교육을 실시하지 않아 이 시스템을 제대로 인지하지 못한 채, 자꾸 기수가 정상 궤도보다 내려가는 현상을 경험하여 기수를 올리고 올리겨다 결국 스톨을 하여 추락한 것이 올해 연이었던 737Max 추락 사고의 원인으로 지목되었습니다. 시스템은 완벽하게 제 역할을 했지만, HMI와 Human Factor, 사용자 교육이 완벽하지 못했던 사례라고 볼 수 있습니다.

자율주행 2,3단계의 컨셉에 있어서도 고민을 해볼 수 있는 인사이트가 있지 않을까 해서 자세히 소개해 드렸습니다. 비행기랑 자율주행차랑은 비슷한 점이 참 많습니다. 위에서 잠깐 Cat I, II, III 개념을 설명드렸는데요, 보통은 Cat III 에서만 Autoland를 하는데, 일부 항공사에서는Cat I, II에서도 Autoland를 권장한다고 합니다. 무슨 이점이 있는지 모르겠지만 후자의 경우에는 꽤 위험하다고 하네요.

Cat III 때는 항공기가 안전히 착륙할 수 있도록 ILS(계기착륙장치)의 전파간섭을 막기 위해 지상 관제탑에서 보호해줄 의무가 있는데 Cat I, II 때는 그럴 의무가 없다고 합니다.

그래서 만약 다른 활주로에서 착륙하는 항공기의 영향으로 전파 간섭이 되면 잘못된 인풋을 시스템이 받아서 활주로를 이탈하거나 go around해야하는 경우가 발생한다고 하네요.

결국 ODD에 대한 이야기라는......