1. 서 론
2. 대상 시스템 정의 및 위험 상황 분석
2.1. 자율주행시스템 아키텍처
2.2. 교통 신호 정보 인지 기능의 오작동 분석
3. Functional Safety Concept Design
3.1. Functional Safety Requirements
3.2. Fail-Operational Safety Concept
4. 시뮬레이션 검증
4.1. 시뮬레이션 환경 구성
4.2. Fail-Operational 안전 컨셉 검증
5. 결 론
1. 서 론
자율주행 기술은 교통 분야에서 혁신적인 변화를 가져오고 있으며, 특히 복잡한 도심 환경에서의 교통 안전성과 효율성을 향상하는데 큰 기회를 제공할 것으로 기대되고 있다. 자율주행시스템의 자동화 수준은 SAE J3016의 정의에 따라 Lv.0~5로 구분되며, Lv.4 수준은 정의된 동작 설계 영역(ODD: Operational Design Domain)에서 운전자의 개입 없이 스스로 주행이 가능한 운전 자동화 수준을 의미한다.(1) 해당 수준의 시스템은 즉각적인 운전자의 개입을 기대하기 어렵기에 시스템 설계에 있어 고장에 대한 안전성 확보가 필수적으로 요구된다.
국제 표준인 ISO 26262는 자동차 전기·전자 시스템의 기능 안전성을 확보하기 위한 표준으로서 고장 대응을 위한 기능 안전 개발 프로세스에 대해 다룬다.(2)
Lv.3 수준의 자율주행시스템은 고장 발생 시, 최소한의 위험 조건을 달성하기 위한 방법으로 운전자의 제어권 전환을 기대한다. 기존 연구에서는 Lv.3 자율주행시스템의 MRM(Minimum Risk Maneuver)의 개념(4) 및 Localization 관련 Fail-Safe 알고리즘이 제안되었다.(3) 또한, 운전자의 제어권 전환 측면에서 동적인 교통 상황에서 제어권 전환으로 인한 잠재적인 위험이 분석되었고,(5) HMI(Human Machine Interface) 방법에 따른 제어권 전환 효과가 연구되었다.(6)
Lv.4 수준의 자율주행시스템은 Lv.3와는 달리 DDT(Dynamic Driving Task) 수행 중 오류에 대한 대응으로 자동화된 fallback 전략이 보장되어야 한다. 그러나 운전자의 즉각적인 제어권 전환을 기대할 수 없으므로 오류 발생 시에도 일정 시간 동안 안전성을 확보하기 위한 중복 설계와 같은 고장허용전략이 필수적으로 고려되어야 한다. 이와 같은 고수준의 자율주행을 위한 안전 설계에 관한 연구로는 Lv.5 자율주행용 AI 기술에 대한 안전 문제를 완화하기 위한 안전 아키텍처가 소개되었고,(7) 다중 지점 고장 처리를 위한 안전 조치를 통합하는 전반적인 안전 개념을 제시한 연구가 수행되었다.(8) 그러나 자율주행시스템의 세부 기능 및 구성 요소별로 고장에 대한 안전성을 확보하기 위한 안전 메커니즘 및 안전 컨셉에 대한 구체적인 연구는 부족한 실정이다.
이에 본 논문에서는 무선 통신을 기반으로 교통 신호등 정보를 제공하여 도심 자율주행을 위해 필수적으로 여겨지고 있는 V2I(Vehicle to Infrastructure) 기능 중 교통 신호등 정보 제공 관련 기능의 고장 안전성을 확보를 위한 Fail-Operational 안전컨셉을 제안해보고자 한다. Fail-Operational 시스템은 한 가지 오류 발생 시에도 정상적인 운행을 지속할 수 있는 시스템을 의미한다. 대표적인 Fail-Operational 구조로는 TMR(Triple Modular Redundancy) 구조가 있으며 이는 동일한 기능을 수행하는 모듈의 중복 설계를 통해 하나의 오류 상황에서 나머지 2개의 결과를 활용하여 안전성을 확보할 수 있으나 다수의 시스템에 적용하기에는 막대한 비용 증가로 인한 현실적인 한계를 가진다. 이에 본 논문에서는 현실적인 접근 방안으로 차량 내에서 도로 인프라와 V2I 통신을 통해 교통 신호등 정보를 제공하는 OBU(On Board Unit)와 전방 카메라 센서를 기반으로 교통 신호등 정보의 오류로 감지하고 대응하기 위한 Fail-Operational 안전 컨셉을 제안한다.
Fig. 1은 본 논문의 구성을 나타낸다.
먼저, 2장에서는 ISO26262 Part3 Concept Phase의 분석 절차에 따라 안전 컨셉 설계의 대상이 되는 시스템의 구조 및 기능이 설명되며, 교통 신호등 정보 제공 기능에 대한 오작동 식별 및 위험 분석 수행을 통해 안전 목표가 제시된다. 3장에서는 안전 목표를 달성하기 위한 기능 안전 요구사항이 도출되며, 카메라 센서 및 OBU를 기반으로 교통 신호등 정보의 고장을 감지하고 완화하기 위한 대응 전략으로써 Fail-Operational 안전 컨셉이 제시된다. 마지막으로 4장에서는 시뮬레이션 환경에서 설계된 안전컨셉을 검증하기 위한 오류 주입 시나리오 구성이 소개되며 검증 결과가 분석된다.
2. 대상 시스템 정의 및 위험 상황 분석
본 장에서는 본 논문에서 대상으로 하는 자율주행시스템의 구조가 정의되며 Fail-Operational 안전컨셉 설계 대상이 되는 교통 신호등 정보 제공과 관련된 구성 요소의 기능 및 기능 오작동으로 인한 위험 상황 및 안전 분석이 수행된다.
2.1. 자율주행시스템 아키텍처
본 논문에서 대상으로 하는 자율주행시스템의 구조는 자율주행시스템의 안전 설계 및 검증에 대해 다루는 ISO/TR 4804 문서의 아키텍처를 기반으로 Fig. 2와 같이 정의하였다.
대상 자율주행시스템의 구조는 카메라 및 레이더, 라이다 센서와 같은 환경 인지 센서를 활용하여 주변 객체 및 신호등 정보와 같은 주행 환경을 인지하며, GPS 및 HD Map을 통해 도로상의 현재 차량 위치를 결정한다. 또한, V2X 통신 모듈을 통해 V2I 및 V2V 정보를 활용하여 주변 차량 및 교통 신호등 정보 등의 환경 정보를 인지한다. 이와 같은 인지 정보로부터 시스템은 주변 차량의 주행 경로를 예측하고 교통 신호 및 규칙을 기반으로 안전한 주행 경로를 결정하며 결정된 주행 경로로 차량을 제어하게 된다. 이와 같은 과정에서 시스템은 고장 및 ODD 영역의 이탈, 시스템의 성능 부족 상황과 같은 위험 상황을 감지하여 운전자에게 제어권을 전환하거나 비상 정지와 같은 최소 위험 상태로 차량을 제어하게 된다. 이와 관련한 시스템의 주요 구성 요소에 대한 설명은 Table 1과 같다.
Table 1.
2.2. 교통 신호 정보 인지 기능의 오작동 분석
정의된 시스템의 구조 및 기능을 기반으로 본 논문에서 Fail-Operational 안전 설계를 목적으로 하는 대상 기능은 신호 교차로 주행을 위한 ‘교통 신호등 인지’ 기능으로 정의된다. 자율주행시스템의 구조를 기반으로 교통 신호등 정보 인지는 전방 카메라 센서 와 차량 내에 장착되는 V2I 통신 모듈인 OBU를 통해 가능하다. 차량에 장착된 전방 카메라 센서는 이미지로부터 전방 신호등의 적색, 녹색, 황색과 같은 신호등 상태 정보를 감지하며, RSU(Road Side Unit)와 OBU 간의 V2I 통신은 SAE J2735 표준의 SPaT (Signal Phase and Timing) 메시지를 참조하여 교통 신호등 상태와 함께 다음 신호 변경까지의 남은 시간 정보를 함께 제공 받을 수 있음을 가정하였다.(11)
교통 신호 인지 기능 관련 구성 요소의 오류로 인해 발생 가능한 오작동을 분석하기 해당 기능에 대한 미수행(Not or No) 및 오수행(Incorrect) 등과 같은 가이드 워드(Guide words)를 기반으로 잠재적인 위험을 분석하는 HAZOP(Hazard Analysis Operability) 기법을 통해 도출된 주요 기능 오작동과 이로 인해 발생 가능한 차량 수준의 위험은 Table 2와 같다.
Table 2.
MF1은 교통 신호등 정보 미인지로 전방 교통 신호등 정보를 인지하지 못한 상황을 의미하며, MF2는 잘못된 교통 신호등 정보 인지 상황으로 적색 신호를 녹색 신호로 인지하거나 반대로 녹색 신호를 적색 신호로 인지하는 상황을 의미한다. MF3는 현재 신호등 상태에서 다음 신호등 상태로 전환되기까지 남은 시간 정보가 잘못 인지된 상황으로 전방 신호등이 적색에서 곧 녹색으로 변경됨을 잘못 예측하는 위험이 존재한다. 세 가지 상황 모두 대상 차량의 교통 신호위반으로 인한 주변 차량과의 사고를 초래할 수 있다.
2.3. Hazard Analysis and Risk Assessment
다음으로는 ISO26262 표준 절차에 따라 HARA (Hazard Analysis and Risk Assessment) 분석이 수행된다. 식별된 오작동과 주행 상황을 조합하여 위험 상황 식별하고 위험 상황에 대한 Severity, Exposure, Controllability 등급을 각각 산정하여 최종적으로 자동차 안전 무결성 수준을 나타내는 ASIL(Automotive Safety Integrity Level) 등급을 결정하게 된다. ASIL등급은 QM, A, B, C, D의 5단계로 구분되며, ASIL D의 경우 가장 높은 등급의 위험 상황으로 분류된다. 본 논문에서는 대상으로 하는 도심 교차로 주행 상황에서의 일반적인 제한속도인 50 km/h를 주행 속도로 가정하였으며 식별된 기능 오작동에 따른 잠재적인 위험 상황에 대한 분석 결과는 Table 3과 같다.
Table 3.
MF1은 교통 신호등 정보를 미감지한 상황으로 적색 정지 신호를 인지하지 못하고 교차로에 진입하여 다른 차량과의 충돌 상황이며, MF2는 적색 정지 신호를 녹색 주행 신호로 잘못 인지하여 발생하는 동일한 위험 상황을 나타낸다. 이와 같은 상황에서 자율주행시스템은 환경 인지 센서 및 사고회피 기능을 통해 일정량의 감속이 수행됨을 고려하였으며, ISO26262 Part3 Concept Phase Annex B의 S, E, C 분류 기준 예시에 따라 S는 S0~S2, 교차로는 E4로 분류되었으며, 운전자의 개입이 없는 자율주행을 가정하여 제어 가능성은 운전자의 제어 가능성은 C3로 산정하여 최대 ASIL B 수준으로 분석되었다. 이러한 결과는 V2X 안전 분석 관련 기존 연구 결과와 유사함을 볼 수 있으며,(9,10) 정의된 안전 목표는 Table 4와 같다.
3. Functional Safety Concept Design
기능 안전 컨셉의 목적은 안전 목표로부터 기능 안전 요구사항을 도출하고 이를 아키텍처에 할당하는 것으로 고장을 감지하고 완화할 수 있는 구체적인 안전 메커니즘이 고려된 시스템 수준의 요구사항 및 아키텍처를 의미한다. 본 장에서는 2장에서 도출된 안전 목표를 준수하기 위한 기능 안전 요구사항 및 V2I 및 카메라 센서 기반의 고장 감지 메커니즘 및 이를 통한 고장 완화 전략이 제시된다.
3.1. Functional Safety Requirements
Fig. 3은 도출된 안전 목표와 관련된 자율주행시스템의 구성 요소 및 관련 신호의 흐름을 나타낸다.
카메라 센서 및 OBU를 통해 감지된 교통 신호등 정보를 바탕으로 자율주행제어기는 교차로 진입 여부 및 목표속도를 결정하며 목표속도로 차량을 제어하기 위한 가속도를 계산하여 액추에이터로 전달한다. 이와 같은 구조 및 절차를 기반으로 도출된 안전 목표를 위배하는 원인으로는 카메라 센서 및 OBU 모듈의 HW 및 SW 오류 또는 자율주행제어기와의 통신 오류로 인한 교통 신호등 정보 미제공 및 잘못된 교통 신호등 정보 제공 상황이 있을 수 있다.(13) 자율주행 제어기 측면으로는 자율주행제어기의 HW 및 SW 오류로 인한 잘못된 주행 판단 및 잘못된 가속도 결정이 원인이 될 수 있으며, 자율주행제어기와 센서 또는 엑추에이터와의 통신 오류, 액추에이터의 자체 고장으로 인한 의도치 않은 가속 수행 또한 안전 목표를 위배하는 원인이 될 수 있다.
ADS Controller 및 엑추에이터는 Fig. 4와 같이 고장에 대한 안전성을 보장하기 위해 2oo3(2 out of 3) 제어 구조와 같은 중복 설계를 통해 오류 감지 및 Fail-Operational 수행이 가능하며, 엑추에이터는 이중화 설계를 통해 고장 발생시 Backup 시스템을 통한 지속적 운행 성능을 확보할 수 있다.
본 논문에서는 안전 목표를 위배하는 위와 같은 원인 중 교통 신호등 인지 기능과 관련된 카메라 및 V2I 모듈을 대상으로 분석된 오류에 따라 각 엘리먼트에 할당된 기능 안전 요구사항은 Table 5와 같다.
Table 5.
3.2. Fail-Operational Safety Concept
센서의 신뢰도를 확보하기 위해 센서를 이중화하여 결과를 비교하는 1oo2(1 out of 2) 구조는 신뢰성을 보장하기 위해 사용되는 일반적인 방법이나 두 센서의 결과가 서로 다를 경우 어떠한 센서의 오류인지 식별할 수 없으므로 Fail-Operational 구조로는 적합하지 않다. 3개의 센서로 구성되는 TMR 구조는 다른 두 센서의 결과와 다른 하나의 값을 검출하여 제외하는 2 out of 3 구조를 통해 고장 허용이 가능할 수 있으나 다수의 부품에 적용하기에는 상당한 비용의 증가로 인해 현실적인 제약이 있다. 이러한 측면을 고려하여 V2I를 통해 수신되는 교통 신호등 정보의 신뢰성을 확보하며 Fail-Operational 제어를 위해 설계된 구조로 Fig. 5와 같다.
제안된 구조는 1oo2D(1 out of 2 with diagnosis)의 구조로써 카메라 센서와 OBU를 통해 수신되는 교통신호 정보의 이중화 구조를 기반으로 센서의 결과 비교를 통해 일치하지 않거나 진단을 통해 개별 센서의 오류를 감지되는 경우를 식별하여 정상적인 센서 정보 선택을 통해 주행을 지속하는 Fail-Operational 구조로 설계되었다. 진단 기능에는 자율주행시스템과 카메라 센서 및 OBU의 통신 채널의 고장 감지를 포함하며 Checksum, CRC, Parity Bit Check, Message Counter 등의 안전 메커니즘을 활용하여 안전 목표를 위배하는 관련 메시지의 누락 및 오염, 지연, Stuck 등과 같은 오류를 감지하며(12) 감지된 오류 결과는 중재(arbitration) 단계에 전달된다.
먼저, 비교(comparision) 과정에서는 카메라 센서 및 OBU로부터 수신된 교통 신호등 상태 결과가 비교되며 비교 결과가 같고 진단(diagnosis) 과정에서 오류가 감지되지 않았다면 중재(arbitration) 단계에서는 신뢰할 수 있는 결과로써 해당 상태 정보를 최종 출력으로 결정한다. 하지만 카메라 센서와 OBU의 비교 결과가 다르다면 진단(diagnosis) 과정을 통해 개별 센서의 오류를 감지한다.
Fig. 6은 진단 과정에서 카메라 및 OBU 오류 감지를 위해 설계된 안전 메커니즘의 구조를 나타낸다.
여기서, 와 는 각각 OBU로부터 수신된 현재 시점 t에서의 남은 시간과 이전 시점 t-1에 수신된 남은 시간을 나타낸다. 와 은 각각 OBU와 카메라 센서로부터 수신된 교통 신호등의 상태를 나타내며, 은 이전 시점에서 카메라 센서와 OBU의 교통 신호등 상태 정보의 비교를 통해 타당성이 검증된 교통 신호등 상태를 나타낸다. 는 OBU로부터 수신되는 다음 변경이 예정된 신호 상태를 나타낸다.
현재 시점인 에서 신호 변경까지의 남은 시간 정보인 의 타당성 검증은 현재 허용 가능한 잔여 시간의 추정값인 와 비교를 통해 허용 가능한 오차 수준 이내임을 판단하여 고장 여부를 감지한다. 는 의 수신 시점인 을 기준으로 ADS 내의 RTC(Real Time Clock)를 활용하여 계산된 시간의 증가량인 값으로부터 식 (1)과 같이 계산된다.
여기서, 는 오차를 고려한 설계 변수이며 추정값으로부터 식 (2)와 같이 오류 감지가 수행된다.
오류가 감지된 경우() 중재 단계로 전달되며 타당성이 검증된() 잔여 시간 값은 로 표현된다. 현재 시점인 에서 수신된 카메라 센서 및 OBU의 신호등 상태 인지 결과인 와 의 타당성 검증을 위해 이전 시점인 에서 카메라 센서와 OBU의 신호등 상태 비교 과정을 통해 결과의 일치성을 확인한 상태 정보인 와 기반으로 식 (3)과 같이 현재 허용 가능한 신호 상태를 추정한다.
여기서, 는 OBU부터 t-1 시점에서 수신된 다음 신호 변경 예정 상태 정보이며, 해당 정보의 타당성은 신호 변경까지의 남은 시간 정보를 활용하여 교통 신호 상태의 일치성을 검증한다. 예를 들어, 신호 변경까지의 남은 시간이 0초 이상이라면 이전에 감지된 다음 변경 예정 신호 상태 정보가 유지되어야 하며, 신호 변경 시점에 도달하는 이전 시점에서 수신된 다음 변경 신호 정보와 현재 수신된 신호 정보가 일치해야 한다. 이와 같은 정보의 일치성을 기반으로 식 (4)와 같이 타당성 검증이 수행되며 정의된 조건을 통해 OBU 정보의 오류가 감지된다.
최종적으로 OBU와 카메라 센서의 현재 신호등 상태 정보인 와 의 타당성 검증은 와 비교를 통해 식 (5)와 같이 타당성이 검증이 수행된다.
고장 감지의 결과로써 고장 상태를 나타내는 는 그 상태에 따라 은 OBU 모듈의 오류를 나타내며, 는 카메라 센서, 은 정상 상태를 나타낸다. 이와 같은 정보는 중재 로직으로 전달되며 중재 단계에서는 전달 받은 고장 상태 및 각 엘리먼트의 통신 오류 감지 결과에 따라 고장이 감지된 해당 엘리먼트의 결과를 비활성화하여 출력 상태를 결정하는 Fail-Operational 구조로써 동작하게 된다.
만약, OBU 시스템만을 활용하여 운영되는 자율주행시스템의 경우에도 제시된 안전 메커니즘을 통해서 OBU에서 수신되는 남은 시간 정보의 타당성 검증 및 다음 신호 변경 시점에서의 예상되는 신호 상태로 변경 여부 등을 이전 수신된 신호를 바탕으로 지속적으로 비교하여 OBU의 오류를 감지할 수 있을 것이다. 하지만 OBU의 오류 감지시 더 이상의 유효한 정보를 수신할 수 없는 상황에서 정상적으로 운행을 지속할 수 없기에 긴급 정지와 같은 최소 위험 상태로 전환해야 한다.
고장 이후에도 운행을 정상적으로 지속할 수 있는 Fail-Operational 구조 설계를 위해서는 본 논문에서 제시한 카메라 센서와 OBU 시스템의 교통 신호 정보와 같은 정보의 이중화 구조와 함께 정보의 타당성을 검증하고 둘 중 하나의 오류를 감지하여 정상 센서로 운행을 지속하기 위한 안전 메커니즘이 필수적으로 요구된다. 본 논문에서는 카메라 센서의 현재 신호 상태 정보를 바탕으로 OBU의 신호 상태 정보와의 일치성 여부를 통해 현재 신호 정보의 타당성이 검증되었다. 만약 카메라 센서가 장착되어 있지 않다면 OBU 시스템으로부터 수신된 현재 신호 정보의 타당성을 확인할 수 없게 된다. 예를 들어, 교차로에 다가가고 있는 상황에서 OBU를 통해 최초 수신된 신호 상태가 현재 녹색 신호 상태이며 10초 뒤에 적색 신호로 변경됨을 가정했을 때, 하나의 정보만을 가지고 현재 수신된 신호 상태가 녹색 신호인지에 대한 타당성을 검증하기는 어려울 것이다. 이와 같은 상황에서 카메라 센서의 신호등 감지 정보가 존재한다면 이중화된 정보를 바탕으로 일치 여부를 통해 타당성을 검증할 수 있게 된다.
4. 시뮬레이션 검증
4.1. 시뮬레이션 환경 구성
제안된 안전 메커니즘은 Matlab/Simulink 기반의 시뮬레이션 환경에서 구성되었고 이를 검증하기 위한 주행 상황으로는 차량이 전방 교차로의 신호등 정보를 OBU와 카메라 센서로부터 제공 받는 상황으로 이 때, 수신되는 교통 신호등의 상태는 녹색 = 3, 황색 = 2, 적색 = 1로 표현하였다. 교통 신호의 변환 순서 및 시간은 경찰청의 교통신호기 설치 및 운영 가이드라인을 참고하여 녹색, 황색, 적색 순으로 정의하였고 식 (6)을 바탕으로 황색 신호 시간을 정의하였다.(14)
여기서, 와 는 각각 정지 인지 반응시간과 출발 인지 반응시간이며, 와 는 차량의 접근속도 및 임계감속도이고 와 은 각각 교차로의 횡단거리와 차량의 길이이다. 교통신호기 설치 및 운영 가이드라인에 = 1 s, = 1.5 s, = 5 , = 5 m로 적용하였으며, 도심 주행 상황을 가정하여 = 13.8 m/s (50 km/h), = 10 m를 적용하여 황색 신호의 시간은 2초로 설정되었다. 녹색과 적색 신호의 시간은 각각 10초씩으로 설정하였다. 이와 같은 교통 상황을 모사하기 위해 구성된 시뮬레이션 모델로부터 제공되는 교통 신호 정보는 Fig. 7과 같다.
Fig. 7의 (a)와 (b)는 각각 OBU와 카메라 센서로부터 수신되는 신호등 상태이며, (c)는 OBU로부터 수신되는 신호 변경까지의 남은 시간 정보를 보여준다.
본 논문에서는 고장에 대한 안전 설계를 목적으로 카메라 및 OBU의 오류가 없는 상황에서 각 센서로부터 수신되는 교통 신호 정보에는 카메라 인식률 저하 및 V2I 통신 성능 저하와 같은 센서의 성능 한계로 인한 인식 성능의 저하는 없음을 가정하였다. 이와 같은 조건에서 안전 컨셉 검증을 위한 오류 주입 시나리오는 Table 6과 같다.
Table 6.
FIT1은 현재 녹색 신호이며 다음 신호 상태 변경까지 6초 남은 시점에서 OBU의 신호등 상태 정보가 적색 신호로 잘못 전달되는 상황이다. 진입 중인 차량으로 하여금 교통 신호 준수를 위해 긴급 제동을 유발할 수 있으며 이로 인해 후방 추종 차량과의 충돌 위험이 존재한다. FIT2는 OBU의 남은 시간 정보의 오류 상황으로 FIT1과 동일하게 녹색 신호에서 다음 신호 변경까지 6초 남은 시점에서 오류로 인해 남은 상태 정보가 1초로 전달되어 의도치 않은 감속을 초래하는 상황이 고려되었다. FIT3는 적색 신호 기준 남은 시간 7초 시점에서 카메라 센서의 오류로 인해 적색 신호가 녹색 신호로 잘못 수신되는 상황으로 오류 주입을 통해 적색 신호 상태에서 차량이 교차로에 잘못 진입될 수 있는 상황을 고려하였다.
4.2. Fail-Operational 안전 컨셉 검증
먼저, Fig. 8은 FIT1 상황의 오류 주입 결과이다.
Fig. 8 (a)는 FIT1 시나리오에 따라 녹색 신호가 6초 남은 시점에서 OBU의 신호 상태 정보의 오류가 주입되어 적색 신호로 수신된 결과를 보여준다. Fig. 8 (b)와 (c)는 각각 카메라 센서의 신호 수신 결과와 OBU에서 수신된 다음 신호 변경까지의 남은 시간 정보이다. 이와 같은 조건에서 Fig. 9는 제안된 안전 메커니즘의 고장 감지 결과를 보여준다.
Fig. 9의 고장 감지 상태는 안전 메커니즘을 통해 감지된 센서의 고장 감지 상태를 의미하며, 0은 오류가 없는 상태, 1은 OBU의 오류, 2는 Camera의 오류로 정의된다. 제안된 안전 메커니즘으로부터 오류 주입 전 비교 단계에서는 두 센서의 결과가 동일하며 진단 과정을 통해 오류가 없는 정상 상태로 판단한다. 오류 주입이 수행된 시점에서는 비교 단계에서 두 센서의 결과가 다름을 확인하며 진단 과정에서 이전 신호 상태 및 남은 시간 정보로부터 현재 허용 가능한 상태를 Green으로 계산한 후 카메라 및 OBU로부터 현재 수신된 신호 상태인 Green과 Red와 각각 비교하여 OBU의 결과가 일치하지 않음을 판단하여 오류가 감지된다.
Fig. 10은 진단 과정의 오류 감지 결과로부터 중재 단계에서는 최종 결정된 교통 신호등 상태 및 시스템 상태를 보여준다.
중재 단계에서는 OBU의 오류 감지에 따라 카메라 센서의 신호등 상태 정보를 최종 출력으로 결정하며, OBU에서 제공되는 남은 시간 정보를 신뢰하지 않은 정보(-1)로 비활성화된다. 이와 같은 결정을 통해 시스템은 카메라 센서의 인지 결과를 기반으로 주행을 지속하는 Fail-Operational 상태로 전환된다. Fig. 10의 시스템 상태는 Normal = 0, Fail-Operational = 1로 구분되며, 오류가 없는 경우 Normal 상태로 운행하며 하나의 센서 오류가 감지된 경우 제한된 시간 동안 Fail-Operational 상태로 운행을 지속한다.
Fig. 11은 FIT2 시나리오의 오류 주입 결과이다.
Fig. 11 (a), (b)는 각각 OBU와 카메라의 신호 상태를 나타내며, (c)는 FIT2 시나리오에 따라 녹색 신호가 6초 남은 시점에서 1초 남은 상태로 오류 주입이 수행된 결과이다. 이와 같은 조건에서 Fig. 12는 제안된 안전 메커니즘의 고장 감지 결과를 보여준다.
Fig. 12 고장 감지 상태는 안전 메커니즘을 통해 감지된 센서의 고장 상태를 의미하며, 0은 오류가 없는 상태, 1은 OBU의 오류, 2는 Camera의 오류로 정의된다. 제안된 안전 메커니즘으로부터 오류 주입 전 비교 단계에서는 두 센서의 결과가 동일하며 진단 과정에서 오류가 없는 정상 상태로 판단한다. 오류 주입이 수행된 시점에서는 비교 단계에서 두 센서의 결과가 같으나 진단 과정에서 OBU로부터 이전 시점에 수신된 남은 시간 정보 7초와 ADS 내의 RTC로부터 계산된 현재 허용 가능한 남은 시간 정보인 6초와 현재 OBU로부터 수신된 남은 시간 정보인 1초와의 비교를 통해 일치하지 않음을 판단하여 OBU의 오류가 감지된다. Fig. 13은 진단 과정의 오류 감지 결과로부터 중재 단계에서는 최종 결정된 교통 신호등 상태 및 시스템 상태를 보여준다.
FIT1의 결과와 동일하게 중재 단계에서는 OBU의 남은 시간 정보 오류 감지에 따라 카메라 센서의 신호등 상태 정보를 최종 출력으로 결정하며, OBU에서 제공되는 정보를 신뢰하지 않은 정보(-1)로 비활성화한다. 이와 같은 결정을 통해 시스템은 카메라 센서의 인지 결과를 기반으로 주행을 지속하는 Fail-Operational 상태로 전환된다. Fig. 13의 시스템 상태는 Normal = 0, Fail-Operational = 1로 구분되며, 오류가 없는 경우 Normal 상태로 운행하며 하나의 센서 오류가 감지된 경우 제한된 시간 동안 Fail-Operational 상태로 운행을 지속한다.
Fig. 14는 FIT3 시나리오의 오류 주입 결과이다.
Fig. 14 (a)와 (c)는 각각 OBU의 신호 상태 정보와 다음 신호 변경까지의 남은 시간을 보여주며, (b)는 FIT3 시나리오에 따라 적색 신호가 다음 신호 상태 변경까지 7초 남은 시점에서 카메라 센서의 신호 상태 정보의 오류가 주입되어 녹색 신호로 수신된 결과를 보여준다. 이와 같은 조건에서 Fig. 15는 제안된 안전 메커니즘의 고장 감지 결과를 보여준다.
Fig. 15의 고장 감지 상태는 안전 메커니즘을 통해 감지된 센서의 고장 감지 상태를 의미하며, 0은 오류가 없는 상태, 1은 OBU의 오류, 2는 Camera의 오류로 정의된다. 제안된 안전 메커니즘으로부터 오류 주입 전 비교 단계에서는 두 센서의 결과가 동일하며 진단 과정을 통해 오류가 없는 정상 상태로 판단한다. 오류 주입이 수행된 시점에서는 비교 단계에서 두 센서의 결과가 다름을 확인하며 진단 과정에서 이전 신호 상태 및 남은 시간 정보로부터 현재 허용 가능한 상태를 Red로 계산한 후 카메라 및 OBU로부터 현재 수신된 신호 상태인 Green과 Red와 각각 비교하여 카메라 센서의 결과가 일치하지 않음을 판단하여 오류가 감지된다.
Fig. 16은 진단 과정의 오류 감지 결과로부터 중재 단계에서는 최종 결정된 교통 신호등 상태 및 시스템 상태를 보여준다.
중재 단계에서는 카메라 센서의 오류 감지에 따라 OBU 센서의 신호등 상태 및 남은 시간 정보를 최종 출력으로 결정하며, 카메라 센서에서 제공되는 신호 상태 정보를 신뢰하지 않은 정보로 비활성화한다. 이와 같은 결정을 통해 시스템은 OBU의 인지 결과를 기반으로 주행을 지속하는 Fail-Operational 상태로 전환된다. Fig. 16의 시스템 상태는 Normal = 0, Fail-Operational = 1로 구분되며, 오류가 없는 경우 Normal 상태로 운행하며 하나의 센서 오류가 감지된 경우 제한된 시간 동안 Fail-Operational 상태로 운행을 지속한다.
5. 결 론
본 논문에서는 레벨 4 자율주행시스템의 도심 신호 교차로 주행을 위한 Fail-Operational 안전 컨셉이 제안되었다. Fail-Operational 안전 컨셉을 설계하기 위한 과정로는 ISO26262 Part3 절차에 따라 대상 기능을 정의하여 기능 오작동 분석 및 위험원 식별 및 리스크 평가를 통한 안전 목표 도출과 같은 체계적인 분석이 수행되었으며 안전 목표 달성을 위한 기능 안전 요구사항이 분석되었다. 제안된 Fail-Operational 구조는 1oo2D(1 out of 2 with diagnosis)의 구조로써 카메라 센서와 OBU를 통해 수신되는 교통 신호 정보의 이중화 구조를 기반으로 센서의 결과 비교 및 진단을 통해 정보의 타당성을 검증하며 일치하지 않을 경우, 안전 메커니즘을 통해 개별 센서의 오류를 감지하고 정상적인 센서 정보 선택을 통해 주행을 지속하는 Fail-Operational 구조로 설계되었고, 이는 삼중화 구조가 갖는 비용 증가와 같은 현실적인 한계를 보완이 가능하며 자율주행시스템과 카메라 센서 및 OBU의 통신 채널의 고장 감지를 포함하며 Checksum, CRC, Parity Bit Check, Message Counter 등의 기존에 적용 중인 안전 메커니즘을 함께 적용하여 다양한 고장 상황에서 대응이 가능한 구조로 실제 적용될 수 있다. 다만, 오류 및 고장이 아닌 센서 및 통신 성능의 저하로 인해 발생되는 데이터의 비교 불일치 상황에 대한 대응 전략이 함께 수립되어야만 유효성이 확보될 것으로 생각된다. 앞으로 자율주행시스템의 안전성을 견고하게 하기 위해서는 센서 및 시스템의 고장과 함께 성능 한계로 인한 위험 상황을 함께 고려한 안전 대책 설계가 필요할 것이다.