자동차 급발진을 파헤치다

반주일

저자:반주일
서울대학교공과대학지구환경시스템공학부를우등졸업하고동대학경영학과에서석사및박사학위를취득하였다.한국수출입은행과우리자산운용에서실무경험을쌓았으며,2013년부터상명대학교글로벌경영학과교수로재직하고있다.
2020년에부모님이당하신급발진의심사고로인해자동차제조사와3년에걸친법정공방을벌였다.이사건이계기가되어학자로서의역량을총동원하여공학,경영,법률,소비자보호등융복합적인접근으로급발진이슈를조사·추적하는일에매진해왔다.
KBS,YTN,MBC,세계일보등다수의언론매체를통해EDR의신뢰성문제,전자장치결함가능성및다중화의중요성등을전파하였다.제조물책임법관련국회정책세미나의발제자및토론자로활동하였고급발진문제와관련하여소비자의권익에기여한공로를인정받아사단법인‘소비자와함께’로부터소비자권익증진상(2024)을수상하였다

추천사1(조성욱전공정거래위원장|서울대학교교수)

추천사2(민병덕국회정무위원회위원|더불어민주당국회의원)

들어가며

Chapter1.급발진은있다?없다?
급발진이란?|전자제어장치정의및종류|전자제어장치작동원리|스로틀이란?
기계식vs.전자식|전자식스로틀의장단점|스웨덴컴퓨터공학자들의연구
토요타캠리의급발진을인정한북아웃(Bookout)소송의전말
토요타캠리실차테스트를통한급발진재현|혼다피트,베젤하이브리드급발진가능성으로리콜
우리나라연구진의급발진재현실험|교통사고의진실규명:접촉사고에서급발진까지
우리나라급발진의심사고현황|한국소비자원의급발진사례조사

Chapter2.급발진관련우리나라판례
민사재판사례
·서울강동구벤츠급발진의심사고·호남고속도로BMW급발진의심사고
·부산감만동싼타페급발진의심사고·경기도판교볼보급발진의심사고
·강릉홍제동티볼리급발진의심사고
형사재판사례
·서울시청역제네시스G80급발진의심사고·서울성북구그랜저급발진의심사고
·양주시그랜저급발진의심사고·제주시제네시스급발진의심사고
·서울서초구쏘렌토급발진의심사고

Chapter3.Bookout소송파헤치기
세일러(Saylor)소송과북아웃(Bookout)소송을구별하자|북아웃소송배심원평결
카네기멜론대학의쿠프만(Koopman)교수에대하여
안전필수시스템에서의TaskDeath:쿠프만교수의블로그
북아웃소송에서쿠프만교수의증언|바그룹의CTO미스터바(Mr.Barr)에대하여
북아웃소송에서미스터바의증언

Chapter4.ISO26262
ISO26262란?|ISO26262는어떻게작동하는가?|결함,오류,고장의차이
감지되거나인지되지않는잠재된결함|ASIL과고장률목표치
ASIL등급별신뢰성테스트방법론|ASILD등급은급발진을막는충분조건인가?
결함의재현및입증이어려운이유

Chapter5.ECU오작동가능성
ECU소프트웨어엔지니어인터뷰|인터뷰를통해얻을수있는교훈
공개석상에모습을드러낸ECU엔지니어출신변호사|박정철변호사의패널토론내용
강릉급발진의심사고손해배상소송증인신문|NASA의급발진보고서
결함재현에실패한NASA|NASA가결함재현에실패한이유
TRL보고서|국과수는자동차ECU를조사할역량이있는가에대한전문가의견
국과수보고서사례:강릉급발진|ECU가잘못되면고장코드가남는다?

Chapter6.반도체이슈
반도체전문가L박사님을만나다|자동차ECU에탑재되는반도체칩에대한이해
반도체의불량,품질,신뢰성에대하여|통계적으로관리되는반도체제조과정에대한이해
반도체불량의종류|반도체불량의종류별특징및발생원인에대한이해
자동차용반도체불량률목표치|불량률목표치1ppm은충분한가?
ECU반도체칩에서불량이발생하는메커니즘|비트플립을방지하기위한EDAC
반도체칩관점에서ECU를100%신뢰할수없는이유
급발진의심사고이후불량이재현되기어려운이유|쿠프만교수의사례연구
L박사님작성전문가의견서의마지막강조점|YTN탐사보고서기록:급발진,액셀vs.브레이크

Chapter7.소프트웨어이슈
자동차소프트웨어의중요성,주요현안및쟁점|자동차에탑재되는소프트웨어코딩량
임베디드시스템과임베디드소프트웨어|결함감내성(faulttolerance)이란무엇인가?
소스코드(sourcecode)란무엇인가?|경합조건(RaceCondition)에대하여
ECM에서연산도중오류가발생하였다면프로그램이작동을멈추고종료되거나,‘연산불가’의결과를내놓게된다는주장에대하여
평화주의자간디가전쟁미치광이로돌변하다|잘못입력된값에취약한소프트웨어
인간은착오할수있어도기계는착오하기어렵다는주장에대하여
소프트웨어결함으로인한리콜및무상수리사례

Chapter8.EDR의신뢰성논쟁
EDR이란무엇인가?|태생적으로운전자에게불리한EDR데이터항목
EDR에데이터가기록되는과정|EDR에서데이터를추출하는방법
EDR데이터의한계|EDR의신뢰성|미도로교통안전국의EDR기록시간연구
미연방교통안전위원회의EDR기록시간및기록주기에대한검토의견|충돌전5초는너무짧다
EDR의질적신뢰성에대한국내유명대학자동차전자제어연구실의답변
UL4600이언급하는EDR의문제점|EDR데이터도잘못저장될수있다
EDR데이터사례:강릉급발진의심사고|경찰청장기자간담회질의응답
급발진이발생하면EDR데이터가엉터리가된다?|폴란드교통공학자들의연구
EDR에기록된정보들간의비동기화(non-synchronization)오류
비동기화(non-synchronization)오류사례및시사점
항공기운항및사고분석전문가K기장님을만나다
자동차의EDR과항공기FDR의비교|자동차의EDR만으로는사고원인파악이불가능하다

Chapter9.브레이크이슈
브레이크부스터란?|진공배력장치에서진공이생성되는원리
브레이크페달을밟는힘만으로충분한제동이가능한가?
브레이크홀드테스트(BrakeHoldTest)|시속65마일(105km/h)에서의브레이크테스트
시청역급발진의심사고차량에탑재된브레이크시스템|
액셀을이기는브레이크BOS|BOS로급발진을막을수있는가?|BOS는언제나작동하는가?
필요충분조건논쟁:브레이크밟음과브레이크등점등|필요충분조건주장에반대하는전문가의견

Chapter10.제조물책임법개정논의
입증책임의전환|도현이법시즌1|21대국회에발의된제조물책임법개정안
개정안에대한평가및논의결과|정무위원회검토의견|공정거래위원회의견
산업계의의견|도현이법시즌2|EU제조물책임지침개정의의의|EU제조물책임지침
22대국회에계류중인제조물책임법개정안|공정위의『제조물책임법운용실태조사』연구용역

Chapter11.페달착오및페달블랙박스이슈
제조사의전가보도:운전자가페달을착오하다|미국연구진의페달착오연구
미국도로교통안전국의페달착오사고충돌유형분석결과|일본연구진의페달착오연구
페달블랙박스가뜬다:급발진논란을잠재울수있을까?
22대국회에계류중인페달블랙박스관련자동차관리법개정안
이헌승의원대표발의자동차관리법개정안|이양수의원대표발의자동차관리법개정안
자동차관리법개정안에대한검토의견|자동차학과교수가페달블랙박스달았다
국토부장관도페달블랙박스달겠다|페달블랙박스설치제조사에리콜과징금깎아준다

Chapter12.다중화(redundancy)
다중화란무엇인가?|미해군전략핵잠수함지휘장교도강조하는다중화
전통적인다중화기법TMR(TripleModularRedundancy)|TMR의신뢰성개선효과
비용절감다중화기법DMR(DualModularRedundancy)|DMR의신뢰성개선효과
액셀페달위치센서(APS)의다중화사례|자동차전자제어장치(ECU)의다중화사례
AirbusA330/A340비행제어장치(FCS)다중화사례|Boeing737-800비행제어시스템(FCS)다중화사례한국과학기술정보연구원보고서

Chapter13.민사소송체험기
사고경위|경찰의부실한조사실태|EDR이탑재된ACU를누가떼어내야하는가?
사고원인을차량조작미숙으로예단하다|납득할수없었던EDR데이터
제조사와의소송을택하다|소송가액은어떻게정해지나|조정이결렬되다
단독부에서합의부로변경되다|기어중립(N)가설|민사소송전과정요약|허무한판결

Chapter14.못다한이야기
UNECE,WP.29,GRs,IWG에대하여|ACPEIWG미팅에서공개된이태원동페달착오사고사례
오류가발생하거나유입되면ECU에서반드시걸러낼수있는가?
제동장치와동력발생장치는독립적으로작동하는가?|언론매체보도내역|언론매체보도이후
BVK의개념|제조사측의전문가의견서:간에가붙고쓸개에가붙는다
양심을파는것인가?무지한것인가?|급발진을경험했다는사람이왜이리많은가?
미국컨슈머리포트가제안하는급발진대처법5단계|우리나라도로환경에서의급발진대처법

Chapter15.소비자보호방안
반례하나면충분하다|EDR만능의신화에서깨어날때|국과수의메타인지가절실하다
급발진대처법에대한트레이닝,연습,교육,체험
제조물책임법상고난도(highlycomplex)제조물개념도입|자료제출명령의실효성제고
결함분석심의위원회vs.민간전문가|입증수단확보|보험을통한피해구제
급발진의심사고사례통계데이터베이스구축|피해자커뮤니티구축
언론의기업편향(CorporateBias)에대한인지와대응
정크사이언스(junkscience)vs.리얼사이언스(realscience)
근본적인해법은철저한다중화(redundancy)

마치며

급발진은실재하는현상인가?검증되지않은신화인가?
이책의첫챕터만읽어보더라도급발진현상은존재하지않는다는제조사의주장이얼마나황당한거짓인지납득이된다.이미2001년도에스웨덴찰머스공과대학연구진들이결함주입(faultinjection)방법론을사용하여공기의양을조절하는스로틀(throttle)의개방정도가최고속도에서고착되는고장현상을발견하였다.미국의북아웃소송에서는소프트웨어전문가가캠리자동차의소프트웨어를18개월동안분석하여결함을찾아냈고이로인해급발진이발생할수있음을입증함으로써제조사가손해를배상하라는배심원평결이내려진바있다.글로벌자동차제조사혼다는일본내수시장에서판매된피트와베젤하이브리드차량의급발진가능성을인정하고175,356대를리콜한바있다.우리나라연구진은그랜저HG차량의ECU에공급되는전압을불안정하게했을때마치풀액셀을밟은것처럼스로틀밸브열림량이100%로치솟는현상을재현하여SCI급국제학술지에연구논문으로게재한바있다.

급발진관련판례
급발진의심사고로인한우리나라민사재판사례,형사재판사례를각각5개씩분석하고있다.민사재판에서는현재까지피해자가최종승소한경우가없지만,서울강동구벤츠급발진의심사고는1심에서,호남고속도로BMW급발진의심사고는2심에서원고가승소한바있다.형사재판의경우세간의이목을끌었던시청역급발진의심사고에서운전자에게법정최고형이선고되었다.그러나차량결함으로인한급발진가능성이인정되어전자에게무죄를선고한사례들이계속등장하고있다.이판결들은국과수에서급발진으로의심할만한결함을발견하지못했다는감정결과가나오거나EDR에운전자가페달을착오한것처럼데이터가기록되어있음에도무죄가선고될수있다는점에서주목할만하다.또한급발진이인정된미국북아웃소송사례를분석한다.수백페이지에달하는증인신문녹취록의내용을저자나름대로번호와소제목으로구분하여공학·기술적쟁점이무엇이었는지살펴본다.

급발진은왜발생하는가?
급발진의원인으로는ECU의오작동이지목되고있는데,ECU는일종의작은컴퓨터이며반도체와소프트웨어로구성되어있다.저자는반도체에서발생하는문제와소프트웨어에서발생하는문제를고찰한다.
반도체메모리셀내부에저장되는정보는0또는1의형태를띄는데전원전압의불안정또는태양광의방사선등으로인해순간적으로정보가뒤바뀌는현상을‘비트플립’또는‘랜덤하드웨어결함’이라고부른다.비트플립을탐지하고수정하는EDAC라는기법이존재하여발생가능성을낮출수는있지만가능성을완전히제거하지못한다는점,랜덤한성격으로인하여전원이리셋되면결함이사라지기때문에급발진의심사고이후에그러한현상이재현되기어렵다는점을설명하고있다.결함이재현되지않기때문에결함이없다고하는일각의주장이반도체관점에서얼마나무리한것인지쉽게납득이된다.
자동차는복잡한전자장치이며클렘슨대학교허빙교수에따르면소프트웨어의코딩량이무려1억라인에육박한다고한다.자동차소프트웨어에서‘고장안전대책(failsafe)’이어떠한경우라도작동하려면강력한전제조건이필요하다.첫번째는프로그래머가발생가능한모든오류시나리오를예측해야하며,두번째는오류에대비하는코딩에버그(결함)가전혀없어야한다는것이다.이러한전제조건이쉽게깨질수있음을보여주는흥미로운사례로전세계에서3,300만장이넘게팔린『문명5(CivilizationV)』게임의버그를제시한다.8비트양수로코딩된간디캐릭터의공격성이최대값으로치솟아핵전쟁미치광이로변하게되었다는것이다.자동차의액셀페달강도또한8비트양수로코딩된다고알려져있다.만약에유사한버그가자동차에서발생한다면답은자명하다.차가미쳐서급발진하는것이다.
또한소프트웨어결함으로인하여엔진정지,운전자의지와상관없는가감석,간헐적제동불능,브레이크페달무거음,비정상변속가능성,주차브레이크해제가능성,차로이탈사고가능성등을인정하고차량을무상수리또는리콜한사례들을소개한다.유독소프트웨어결함으로인한급발진만은없다고주장하는제조사의입장이설득력이없음을보여주고있다.

EDR의신뢰성
급발진의심사고에서잘잘못을가릴유일한증거는5초에불과한EDR데이터뿐이다.저자는EDR데이터를전적으로신뢰할수없는이유에대해여러증거자료를통해밝히고있다.저자는신뢰성의개념을양적신뢰성과질적신뢰성으로구분한다.양적신뢰성이란데이터의양이사고의원인을밝힐만큼충분한가를의미하고질적신뢰성이란EDR에기록된데이터가틀림없이정확한가를의미한다.미국도로교통안전국의‘EDR기록시간연구’에서현행5초데이터는충분하지못하다는점,자율주행자동차를위한안전성평가국제표준(UL4600)에서‘EDR은사람의동작을기록하는것이아니라소프트웨어가인식한상황을기록한다’는본질적인한계,‘급발진이발생하는경우EDR데이터가엉터리가된다’는북아웃소송에서의전문가증언,유명대학자동차전자제어연구실에서EDR의신뢰성이87%정도라고답변한Q&A등을제시한다.

다중화(redundancy)
저자는다중화의실패가급발진문제의근본적인원인이며철저한다중화만이근본적인해법임을강조한다.다중화란전자장치결함및오작동에대비하여같은기능을수행하는여분의장치를마련하여채택하는것을의미한다.전통적인다중화기법TMR과비용절감다중화기법DMR의개념및신뢰성개선효과에대해살펴본다.다중화의개념은이미69년전에천재과학자폰노이만에의해제시되었으며,항공기제조사Boeing과Airbus는비행제어시스템을적게는2중화,많게는5중화까지채택하여전자장치결함에의한오작동에철저히대비하고있다는사실을여러자료들을인용하며쉽게설명하고있다.앞으로자율주행시대가도래하면더이상급발진의심사고의원인을운전자의책임으로몰아가는것은불가능하다.앞으로다중화이슈는더욱부각될전망이다.저자는사람의생명을좌우하는안전필수시스템(safetycriticalsystem)에서다중화는선택이아니라그야말로필수가되어야함을강조한다.

제조물책임법개정논의
소비자가‘결함이있다는것을입증’하는것은거의불가능하므로,반대로제조사로하여금‘결함이없다는것을입증’하도록해야한다는논리를‘입증책임의전환’이라고한다.이러한법리는현행제조물책임법제3조의2에이미존재하지만현실에서입증책임전환이거의이루어지지않고있다.이로인해입증책임을전환/완화해달라는제조물책임법개정안과청원안이계속해서발의되고있는상황이다.일명도현이법으로불리며21대,22대국회에국민청원된청원안과국회의원들이발의한개정안을분석한다.이러한개정논의에관해일반인들에게잘알려지지않았던국회정무위원회의검토의견,공정거래위원회의의견,산업계의견등을살펴본다.또한공정위의‘제조물책임법운용실태조사’연구용역의주요내용,EU제조물책임지침개정내용과개정이자동차급발진문제에시사하는바를살펴본다.

소비자보호방안
마지막챕터에서는급발진문제로부터소비자를보호하기위한방안을다각도에서구체적으로제시한다.제조물책임법상고난도(highlycomplex)제조물개념도입,자료제출명령의실효성제고,경찰의대응매뉴얼구축,국과수의조사방식개선,급발진에대한사전적·사후적대처법,고난도제조물개념도입,무과실제조물책임보험을통한실질적인피해구제,급발진의심사고에대한통계데이터베이스구축,소비자단체를중심으로한피해자커뮤니티구축,언론의기업편향에대한인지와대응,깨어있는학자들과엔지니어들의참여로정크사이언스퇴출,전자장치의철저한다중화등어느것하나흘려들을수없는것들이다.