Journal Search Engine

View PDF Download PDF Export Citation Korean Bibliography PMC Previewer
The Journal of The Korea Institute of Intelligent Transport Systems Vol.18 No.1 pp.91-102
DOI : https://doi.org/10.12815/kits.2019.18.1.91

Development of Quantitative Methods for Evaluating Failure Safety of Level 3 Autonomous Vehicles

Dooyong Kim*, Sangyeop Lee*, Hyuckkee Lee***, Inseong Choi****, Jaekon Shin****, Kihong Park**
*Graduate School of Automotive Engineering, Kookmin University
**Department of Automobile and IT Convergence, Kookmin University
***Intelligent Vehicle Control System Research Center, Korea Automotive Technology Institute
****Automated Vehicle Center, Korea Automobile Testing and Research Institute

† Corresponding author : Kihong Park, kpark@kookmin.ac.kr
20181024 │ 20181107 │ 20190118

Abstract


Autonomous vehicles can be exposed to severe danger when failure occurs in any of its components. For this reason many countries are making efforts on the legislative issue how to objectively evaluate failure safety of an autonomous vehicle when such a vehicle is commercially available to a customer in the near future. In level-3 automation, a driver must take over the control of his vehicle when failure occurs, and the driver’s controllability must be secured for escape from the imminent danger. In this paper, quantitative methods have been developed for evaluating failure safety of the level-3 autonomous vehicle, and they were validated by simulation. And also, we confirmed that the proposed evaluation method can quantitatively evaluate the failure safety.



SAE Level 3 자율주행자동차의 고장 안전성 정량적 평가 방법 개발에 관한 연구

김 두 용*, 이 상 엽*, 이 혁 기***, 최 인 성****, 신 재 곤****, 박 기 홍**
*주저자 : 국민대학교 자동차전문대학원
**교신저자 : 국민대학교 자동차IT융합학과
***공저자 : 자동차부품연구원 스마트운전제어연구센터
****공저자 : 자동차안전연구원 자율주행자동차센터

초록


자율주행자동차는 고장이 발생하면 큰 위험에 노출되기 쉬우며, 이런 이유로 각국에서는 자율주행자동차가 본격적으로 양산되기 전부터 고장 안전성을 객관화된 기준으로 평가하기 위한 연구에 많은 노력을 기울이고 있다. 특히 레벨3로 불리는 조건부 자율주행자동차는 고장 이 발생할 경우 제어권이 운전자에게 이전되어야 하는데 이때에 운전자의 제어 가능성이 충분 히 확보되어야 한다. 따라서 본 논문에서는 조건부 자율주행자동차를 대상으로 고장 안전성을 정량적으로 평가할 수 있는 방법에 관한 연구를 수행하였으며, 개발된 방법을 시뮬레이션을 통해 검증하였다. 또한 본 논문에서 제안하는 평가 방법이 고장 안전성을 정량적으로 판단할 수 있음을 확인 하였다.



    Ministry of Land, Infrastructure and Transport
    18TLRP-B117133-03

    Ⅰ. 서 론

    1. 개 요

    최근 미국, 영국, 일본 등 자동차 선진국을 중심으로 자율주행자동차의 개발 및 투자가 활발히 진행되고 있으며. 국내 역시 국토교통부 주관으로 자율주행자동차의 상용화를 위한 정책을 활발히 마련 중이어서 2020년에는 자동차전용도로에서의 자율주행자동차를 볼 수 있을 것으로 예상 된다(Han et al., 2016).

    자율주행자동차는 운전자가 직접적으로 운전을 하지 않는 상태에서 고장이 발생하면 기존의 자동차보다 큰 위험에 노출될 가능성이 매우 높다. 따라서 자율주행자동차는 기능 안전에 관한 표준 즉 ISO 26262를 준 수함으로써 이러한 결함 또는 고장으로 인한 안전성에 대한 평가를 수행하고 있지만, 대부분 OEM 자체적으 로 수행 및 관리가 되고 있어 정부나 소비자는 해당 OEM의 자율주행자동차의 고장 안전성에 대한 높은 신 뢰도를 기대하지 못하고 있다.

    때문에 최근 국토교통부에서는 다가오는 2020년을 기점으로 소비자가 구매 가능한 자동차 전용도로에서 의 자율주행자동차(SAE Level 3)의 고장 안전성을 정량적으로 평가하고 이를 인증함으로써 소비자의 자율주 행자동차에 대한 신뢰도를 높이기 위한 연구를 활발히 진행 중이다. 하지만 이러한 노력에도 불구하고 OEM 별로 자율주행시스템의 아키텍처, 제어전략, 고장안전 대책이 상이하기 때문에 고장 안전성의 정량적인 평가 는 매우 어려운 문제가 있다.

    본 논문에서는 이러한 문제를 극복하기 위하여 자율주행자동차의 고장 안전성을 정량적으로 평가 할 수 있는 방법을 연구 하였다. SAE Level 3 수준의 자율주행자동차는 고장이 발생하게 되면 고장안전 대책은 운 전자가 수행하게 된다. 즉 운전자에게 제어권을 이전하여 해당 위험상황을 회피 하여야 한다. 따라서 운전자 의 제어 가능성이 충분히 확보 된 상태에서 제어권이 전환 되어야 추가적인 위험을 회피할 수 있다.

    이러한 SAE Level 3 자율주행자동차의 특성을 토대로 본 논문에서는 운전자의 제어 가능성을 정량화 하 고, 이를 통해 고장 안전성 평가 컨셉과 평가 지표를 도출 하였으며 정량적으로 고장 안전성을 평가하기 위 한 방법을 개발 하였다. 이 과정에서 사전연구를 통해 개발된 자율주행자동차의 고장 주입 시뮬레이션 환경 이 사용되었으며, 센서, ECU, 엑추에이터의 고장 주입 시뮬레이션을 통해 본 논문에서 제안하는 고장안전성 평가 방법의 타당성을 검증 하였다. 본 논문에서 제안하는 고장 안전성의 정량적 평가 방법을 활용할 경우 국토교통부에서 OEM별로 고장 안전성을 정량적으로 점수화 할 수 있으므로 궁극적으로는 소비자들이 차량 구매시에 차량에 대한 안전성을 쉽게 판단할 수 있을 것으로 예상된다.

    Ⅱ. 평가 대상 시스템 정의 및 고장 주입 시뮬레이션 환경

    자율주행자동차의 고장 안전성을 평가하기 위해서는 먼저 평가 대상 시스템을 정의하여야 한다. 본 논문 에서 평가 하고자 하는 시스템은 종방향 기능과 횡방향 기능이 융합된 형태로 정의 하였다(Kim et al., 2017). 종/횡방향 시스템 별로 정의된 기능을 정리하면 <Table 1>과 같다. 종방향 제어시스템으로는 FSRA(Full Speed Range ACC)를 정의하고 기능을 구현 하였다. FSRA는 선행차량의 정보와 자차량의 정보를 토대로 종 방향 속도를 제어하는 시스템으로 ISO FSRA의 국제 표준인 ISO 22179(FSRA)문서를 참고하여 정의하고 개 발 하였다(ISO, 2009). 또한 횡방향 제어시스템으로는 LKS(Lane Keeping System)을 정의하고 기능을 구현 하 였다. LKS는 카메라 센서로 부터 차선의 정보를 취득하고 이를 통해 차선의 중앙을 유지하는 시스템으로 유 사 표준인 ISO 11270(LKAS)를 참고하여 정의하고 개발 하였다(ISO, 2014).

    또한 본 연구에서 다루고자 하는 고장 안전성을 평가하기 위해서는 자율주행시스템의 구성요소에 임의의 고장이 주입이 가능한 환경을 개발해야 한다. 따라서 사전연구를 통해 ADAS 시스템의 센서, ECU, 엑추에이 터를 각각 모델링 하였으며 고장 주입 시험이 가능한 시뮬레이션 환경을 개발 하였다. 위의 <Table 2>는 고 장 주입 시험에서 고려한 고장이 발생 가능한 자율주행시스템의 컴포넌트들로 총 4개의 시스템과 각각의 하 위 컴포넌트로 구성되어있다. 본 논문에서 구현한 전체 고장 주입 시뮬레이션 환경의 다이어그램은 <Fig. 1> 과 같다(Kim et al., 2017).

    위의 <Fig. 2>는 평가 대상 시스템에 대한 검증 시나리오이다. 기본적인 주행 환경은 ISO 11270의 Annex. A를 참고하여 구성하였으며, LKS와 함께 FSRA의 제어의 성능을 살펴보기 위하여 선행차량이 250m 앞에서 80km/h의 속도로 주행하는 상황을 구현하였다. 선행차량은 시뮬레이션 시간 기준으로 2초에 곡선 도로에 진 입하게 되며, 13초 이후에 선행 차량을 추종하게 된다. <Fig. 3>은 시험 시나리오의 결과이다. 차량속도 그래 프를 살펴보면 약 15초 까지는 운전자의 목표 속도인 100km/h를 정상적으로 추종하는 것을 볼 수 있다. 하지 만 15초 이후에 선행차량과의 상대거리가 줄어들면서 선행차량의 속도인 80km/h로 목표속도가 변경되며 목 표 상대거리가 설정되게 된다. 해당 시뮬레이션 및 결과에 대한 고찰은 사전연구를 통해 진행 되었다(Kim et al., 2017). Table 3

    Ⅲ. 고장 안전성 평가 컨셉/지표 도출

    SAE Level 3 자율주행자동차는 고장 발생 이후에 운전자에게 제어권을 이전해야 한다. 따라서 경고를 통 해 고장을 운전자에게 알려야 하며 운전자가 제어권을 이전받는 순간에 차량을 충분히 제어할 수 있어야 한 다. 즉 운전자의 제어가능성이 충분해야만 한다. 본 논문에서는 이러한 운전자 제어 가능성을 기반으로 정량 적 평가 방법을 연구 하였다.

    1. 고장 안전성 평가 컨셉 도출

    <Fig. 4>는 고장 안전성과 운전자 제어 가능성의 상관관계를 보여주며 ISO26262의 Part.3를 참고하여 개 발 되었다(ISO, 2011). x축은 시간이고 y축은 운전자의 제어 가능성이다. 제어 가능성은 운전자가 차량을 정 상적으로 제어할 수 있는 척도로, 3.2절에서 상세히 다룬다. 또한 해당 그래프를 구간별로 분석하면 다음과 같다.

    1) 일반 주행 상황

    해당 상황은 <Fig. 4>에서 ①번에 해당하는 상황이다. 이 때 자율주행자동차는 정상적인 작동영역 (ODD, Operation Design Domain)에 있으며 고장이 발생하지 않는다. 즉 자율주행자동차가 작동한계를 넘어서지 않 고 또한 고장이 발생하지 않았으므로 제어 가능성은 매우 높으며 제어권 이전은 문제없이 수행된다.

    2) 고장 발생 상황

    해당 상황은 <Fig. 4>에서 ②번에 해당하는 상황이다. 고장 발생 이후부터 고장안전 대책이 수행되기 전까 지는 제어 가능성이 떨어지게 된다. 위의 <Fig. 3>에서는 떨어지는 기울기가 1차 함수로 표현되었으나, 실제 로는 OEM별로 혹은 고장이 발생한 컴포넌트(센서, ECU, 엑추에이터)에 따라 2차나 3차 함수로 표현이 될 수도 있다. 마찬가지로 떨어지는 기울기도 달라질 수 있다. 만일 OEM에서 고장안전 대책을 개발하지 않았 거나, 혹은 고장안전 대책이 정상적으로 동작하지 않을 경우에는 제어 가능성이 계속 떨어지게 되어 제어권 을 이전 하지 못하는 상황이 발생 할 수 있다. 혹은 제어권을 이전하기 이전에 사고가 발생하여 운전자는 상 해를 입을 수 있다.

    3) 고장안전 대책 동작 이후 상황

    해당 상황은 <Fig. 4>에서 ③번에 해당하는 상황이다. 고장안전 대책이 동작하고 운전자에게 경고를 주기 위해서는 먼저 고장이 진단되어야 한다. 즉 2번 상황에서는 고장은 발생 하였으나 진단이 되지 않았으므로 경고는 발생하지 않는다. 하지만 3번 상황의 경우 고장 진단이 되었으므로 이후에는 경고를 통해 제어권을 이전할 수 있다.

    만일 이 상황에서 별도의 고장안전 대책이 없이 경고만 하게 될 경우 제어 가능성은 2번과 동일한 기울기 로 떨어지게 된다. 하지만 별도의 고장안전 대책이 있을 경우 해당 고장안전 대책의 종류에 따라 제어 가능 성은 보다 낮은 기울기로 떨어지거나 혹은 올라갈 수 있다. 만일 고장안전 대책에 의하여 정상 동작에 준 하 는 상황으로 주행이 가능하더라도 고장이 발생하였다면 운전자에게 경고를 통해 이를 알려야 한다.

    4) 제어권 이전 이후 상황

    해당 상황은 <Fig. 4>에서 ④번에 해당하는 상황이다. 고장안전 대책을 통한 안전 상태가 정상 작동에 준 하는 상태라면 운전자로 제어권 이전은 필요하지 않다. 하지만, 안전상태가 단순 경고 혹은 최소기능 유지라 면 운전자는 제어권을 이전 받아 해당 위험 상황을 회피 하여야 한다. 이를 위해 자율주행자동차는 고장 이 후 특정 시간(Take Over Time)동안 최소 기능을 유지하여 제어권 이전을 위해 최소한의 제어 가능성(Minimum Controllability)을 유지 해야만 한다. 즉 최소한 운전자가 주행 가능한 조건을 만족한 상태에서 운전자는 제어 권을 이전 받아야 제어권 이전 이후에 안정적인 주행이 가능하다.

    2. 고장 안전성 정량적 평가 지표 도출

    본 논문에서 제안하는 평가 컨셉을 활용하여 고장 안전성을 정량적으로 평가하기 위해서는 <Fig. 4>의 x 축과 y축을 정량화 할 수 있어야 한다. x축의 경우 시간이므로 이미 정량화가 되어 있으나, y축의 경우 운전 자의 운전 능력, 숙련도, 습관 등에 따라서 달리지게 되므로 정량화 하는 것은 매우 어려운 문제가 있다. 따 라서 본 논문에서는 제어 가능성을 정량적으로 표현할 수 있는 방법을 고찰 하였으며, 그 결과 종/횡방향 시 스템별로 운전자의 제어 가능성을 정량적으로 판단할 수 있는 6가지 지표를 다음과 같이 제안한다.

    운전자의 제어 가능성은 정량적으로 수치화 하는 것은 어렵지만, 제어권 이전 관점에서 살펴보면 제어권 이전 이후의 운전자의 조향/구제동 개입량과 밀접한 상관관계가 있게 된다. <Fig. 5>는 운전자의 조향 개입 량과 제어 가능성의 상관관계를 보여준다. OEM1의 경우 고장안전 대책이 잘 설계되어 횡방향으로 거의 이 탈하지 않았다. 이 경우 숙련되지 않은 운전자라도 제어권을 이전하는데 어려움이 없다. 하지만 OEM2의 경 우 OEM1 대비 고장안전 대책이 잘 설계되지 않아 제어권 이전 이후에 운전자는 정상적인 거동을 유지하기 위하여 많은 양의 조향 입력이 필요하게 된다. 따라서 숙련된 운전자가 아니라면 제어권 이전 이후에 정상적 인 운전이 힘들게 된다. 비슷한 방법으로 FSRA의 경우 종방향 속도, 종방향 가속도, 선행 차량과의 상대거리 를 통한 구/제동 입력을 기준으로 제어 가능성의 높고 낮음을 판단 할 수 있으며, LKS의 경우 횡방향 이탈거 리, 횡방향 이탈각, 횡방향 가속도를 통한 운전자의 제어 가능성의 높고 낮음을 판단할 수 있다.

    3. 고장 안전성 정량적 평가 기준 도출

    고장 안전성을 정량적으로 평가하기 위해서는 평가 기준이 있어야 한다. 즉 위에서 도출한 6가지의 평가 지표를 통하여 최소 제어가능성이 확보 되었는지를 판단할 수 있어야 한다. 본 논문에서는 이를 위하여 조향 운전 미숙자 모델을 활용하여 각각의 평가 지표에 대한 기준을 정의 하였다.

    본 연구에서 사용한 조향 미숙자의 수식은 1차 전달함수와 2차 전달함수의 조합으로 구성되었으며 아래 의 수식 (1)과 같다. Td는 운전자의 인지능력에 따른 시간지연을 반영하며 Th 는 인지 이후에 운전자가 조향 입력을 수행하기까지의 시간지연을 반영한다. K 는 운전자의 입력에 대한 DC Gain으로 조향 운전 미숙자의 경우 약 18%정도 조향입력이 큰 것을 확인 할 수 있다. ωnζ는 2차 시스템의 특성 주파수(Natural Frequency)와 감쇄율(Damping Ratio)로 과도 구간에서 운전자 입력의 형태를 결정하게 된다(Kang et al., 2017;Noh, 2013).

    아래의 <Fig. 6>과 <Fig. 7>은 운전 미숙자, 일반 운전자, 운전 전문가의 조향 입력을 시뮬레이션 한 결과 이다. 시험은 각각 Step 및 Weave 시험을 수행 하였다. <Fig. 6>의 Step 시험의 경우 0.5초에 30deg의 조향입 력을 Step 형태로 인가하였으며 <Fig. 7>의 Weave 시험의 경우 30deg 0.2Hz의 조향입력을 Sine 형태로 인가 하였다. <Table 4>는 수식 (1)에서 운전자 별 평균 파라미터로 각각을 운전자 별로 대입하여 시뮬레이션 하 였다. 결과를 살펴보면 운전 미숙자일수록 점점 반응시간이 늦어지며 전문가 대비 조향입력을 보다 크게 입 력하는 경향이 있는 것을 확인 할 수 있다.

    G ( s ) = e T d s 1 ( T h s + 1 ) K ω n 2 ( s 2 + 2 ζ ω n s + ω n 2 )
    (1)

    위의 <Table 5>는 조향 운전 미숙자 모델을 통하여 도출된 고장 안전성 평가 기준이다. 즉 운전자가 제어 권을 이전 받는 시점에 <Table 5>를 만족한다면 최소 제어가능성을 만족하므로 운전자는 안전하게 제어권 이전 이후에 차량을 제어할 수 있다. 위의 평가 기준들은 조향 운전 미숙자 모델을 기준으로 6개의 평가 기 준을 각각 변경하는 반복 시뮬레이션을 통해, 조향 운전 미숙자가 안정적으로 제어권을 넘겨 받을 수 있는지 의 여부를 검토하여 정의 하였다. 또한 최소기능 유지시간을 5초로 정의 하였다. 이는 운전자가 다른 작업을 수행하지 않을 경우 응답에 대한 반응 시간이 약 5초가량 걸린다는 연구 결과를 인용 하였다(Park et al., 2017;Alexander and Neville, 2017).

    Ⅳ. 고장 안전성 평가 컨셉/지표 타당성 검증

    본 논문에서 제안하는 고장 안전성 평가 컨셉과 지표를 검증하기 위하여 사전 연구를 통해 개발된 고장 주입 시뮬레이션 환경을 활용하여 검증을 수행 하였다. 검증은 고장안전 대책을 사전에 미리 만들어 두고 고 장 주입 시뮬레이션 환경에서 임의의 고장을 주입 한 이후에 위의 6가지 지표를 토대로 고장 안전성을 정량 적으로 평가 할 수 있는지를 분석 하였다.

    고장안전 대책의 경우, OEM1과 OEM2로 나누었으며, OEM1의 경우 정상동작에 준하는 수준의 고장안전 대책 혹은 최소기능 유지가 가능한 고장안전 대책이 설계 되었으며, OEM2의 경우 별도의 엑추에이터를 통한 고장안전 대책이 없이 경고를 통해 제어권을 이전하는 고장안전 대책이 설계 되었다고 가정하고 타당성을 검 증 하였다. 아래의 <Fig. 8>과 <Fig. 9>는 4.14.2절에서 수행하는 고장 주입 시뮬레이션의 시나리오이다.

    1. 종방향 고장 안전성 평가 컨셉/지표 타당성 검증

    먼저 종방향 고장 안전성 평가 컨셉과 지표의 타당성을 검증하기 위하여 Range 센서의 고장 주입 시뮬레 이션을 수행 하였으며 주행 시나리오는 그림 <Fig. 8>과 같다. 자차량은 100km/h로 주행중이며, 선행 차량도 마찬가지로 100km/h로 자차량의 전방 55m에서 주행중이다. 자차량은 이 때에 Follow Mode로 정상상태 주행 중이며, 선행차량은 시뮬레이션 시간으로 5s에 -0.4g 로 감속하게 된다. 고장은 Range 센서의 전원부이 단선 되는 고장을 인가하였으며 시뮬레이션 시간으로 10s(선행차량 감속 후 5초 이후)에 주입 되었다. Range 센서 의 전원부가 단선될 경우 자율주행시스템은 전방의 물체를 식별할 수 없으므로 선행차량의 유/무에 상관없 이 Cruise Mode를 유지하게 된다.

    아래의 <Fig. 10>과 <Table 6>은 본 시뮬레이션의 결과의 요약이다. OEM1의 경우 Range Sensor(Radar)고장 발생이후에 고장을 감지하고 Camera Sensor를 통해 선행차량의 정보를 취득하게 된다. 즉 정상작동에 준하는 동작이 가능하게 된다. 반면 OEM2의 경우 고장 발생 이후에 별도의 고장안전 대책이 없이 시스템을 즉시 종료하게 되며, 경고를 통해 제어권을 이전하게 된다.

    아래의 <Fig. 10>의 왼쪽의 3개는 OEM1의 평가 지표에 대한 그래프 이며, 오른쪽 3개는 OEM2의 평가 지 표에 대한 그래프 이다. 먼저 OEM1의 경우 시뮬레이션 시간으로 10s에 Range센서의 전원의 단선 고장이 주 입 되었음을 알 수 있다. 이 순간에는 선행차량의 정보가 없어지므로 Cruise Mode로 변경되게 되나, 즉시 Camera 센서로 Range 센서가 대체되므로 고장 이전의 수준으로 동작하는 것이 가능하게 된다. 즉 평가 기준 인 5s 이상의 최소 기능유지시간을 갖는 것이 가능하게 된다.

    OEM2의 경우 마찬가지로 10s에 동일한 고장이 주입되었으나 System Off됨에 따라 목표 속도, 목표 상대 거리, 목표 감가가속도 지령이 출력되지 않게 된다. 이때에는 제어권 전환이 되기 전까지 구름저항에 의한 감속만 이루어지게 되며 별도의 엑추에이터에 대한 고장안전 대책이 없으므로 최소기능 유지시간은 0s가 된 다. 아래의 표는 제어권 이전이 되는 순간의 평가 지표이다. 제어권 이전은 고장 알림(인지) 이후 5s 이후에 이루어진다고 가정하였다. 살펴보면 OEM1의 경우 고장안전 대책이 정상적으로 동작하여 5가지의 평가지표 를 모두 정량적으로 만족하는 것을 볼 수 있다. 반면 OEM2의 경우 고장 알림 이외의 별도의 고장안전 대책 이 없으므로 5가지 중 3가지 평가지표를 만족하지 못하는 것을 확인 할 수 있다. 즉 본 논문에서 제안하는 평가 지표를 통해 자율주행 자동차의 종방향 고장 안전성을 정량적으로 확인 할 수 있음을 알 수 있다.

    2. 횡방향 고장 안전성 평가 컨셉/지표 타당성 검증

    횡방향 고장 안전성 평가 컨셉과 지표의 타당성을 검증하기 위하여 Camera 센서의 고장 주입 시뮬레이션 을 수행 하였으며 주행 시나리오는 <Fig. 9>와 같다. 자차량은 100km/h로 주행중이며 직선 도로에서 곡선도 로로 진입하게 된다. 고장은 Camera 센서의 전원부이 단선되는 고장을 인가하였으며 곡선도로 진입후 10초 (시뮬레이션 시간으로 20s)에 주입 되었다. Camera 센서의 전원부가 단선될 경우 자율주행시스템은 차선을 정상적으로 인식할 수 없어 조향기능을 상실하게 된다.

    아래의 <Fig. 11>과 <Table 7>은 본 시뮬레이션의 결과의 요약이다. OEM1의 경우 Camera Sensor고장 발생 이후에 고장을 감지하고 제어권 이전까지 마지막 조향지령을 유지하게 되어 도로 곡률이 일정할 경우에는 정상작동에 준하는 동작이 가능하다. 반면 OEM2의 경우 별도의 고장안전 대책이 없이 시스템을 즉시 종료 하게 되며, 경고를 통해 제어권을 이전하게 된다. <Fig. 11>의 왼쪽의 3개는 OEM1의 평가 지표에 대한 그래 프 이며, 오른쪽 3개는 OEM2의 평가 지표에 대한 그래프 이다. 먼저 OEM1의 경우 시뮬레이션 시간으로 20s 에 Camera센서의 전원의 단선 고장이 주입 되었음을 알 수 있다. 이 순간에는 차선의 정보가 없어지므로 Lateral Offset과 Drift Angle의 센서의 값이 0으로 변하게 된다. 하지만 마지막 조향지령이 유지되어 차선을 즉시 이탈하지 않고 5초 이상 차선을 유지하게 된다. 이 경우 조향각이 일정하므로 횡가속도도 일정하게 유 지되게 된다.

    OEM2의 경우 마찬가지로 20s에 동일한 고장이 주입되었으나 System Off됨에 따라 LKS ECU는 별도로 제 어를 수행하지 않게 되며 이 때에 조향각은 0deg가 되게 된다. 따라서 차선을 2초 이내에 이탈하게 되며 횡 가속도도 불안정하게 0g로 수렴하게 된다. 아래의 <Fig. 12>와 <Fig. 13>은 해당 시뮬레이션의 차량의 궤적을 나타낸 것이다. OEM1의 경우 고장 이후에 차선을 일정시간 유지 가능하지만, OEM2의 경우 바로 차선을 이 탈하게 된다.

    Ⅴ. 결 론

    자율주행자동차는 운전자가 직접적으로 운전하지 않는 상태에서 고장이 발생할 경우 매우 큰 위험이 발 생할 수 있어, 국토교통부에서는 완성차 업체에 고장 안전성을 확보하도록 요구하고 있다. 또한 고장 안전성 을 정량적으로 평가하고 자율주행자동차의 인증에 활용하고자 하고 있으나 고장 안전성을 정량화 할 수 없 는 문제가 있어왔다.

    따라서 본 논문에서는 2020년 양산 예정에 있는 SAE Level.3 수준의 자율주행 자동차의 고장 안전성 평가 컨셉과 평가 지표를 도출 하여 자율주행자동차의 고장 안전성을 정량적으로 평가 할 수 있는 방법론을 연구 하였다. 이를 위하여 사전 연구를 통해 개발된 고장 주입 시뮬레이션 환경이 사용되었으며 운전자의 제어 가 능성을 토대로 고장 안전성을 정량화 할 수 있는 종/횡방향 평가 지표를 토대로 정량적으로 고장 안전성을 평가할 수 있는 방법을 제안 하였다. 또한 본 논문에서 제안하는 고장 안전성 평가 방법이 타당한지를 고장 주입 시뮬레이션을 통하여 확인 하였다.

    본 논문에서 제안 하는 고장 안전성 평가 방법 개선되어 실제 적용될 경우 국토교통부에서는 자율주행자 동차의 고장 안전성을 정량적으로 평가하고 OEM에게 미흡한 부분을 구체적으로 요구 할 수 있으며, 소비자 들은 정량화된 지표로 자율주행자동차를 판단할 수 있을 것으로 기대된다.

    ACKNOWLEDGEMENTS

    본 연구는 국토교통부 및 국토교통과학기술진흥원의 연구비 지원(18TLRP-B117133-03)으로 수행된 연구입 니다.

    Figure

    KITS-18-1-91_F1.gif

    Simulation Diagram of Fault Injection Test Simulation Environment

    KITS-18-1-91_F2.gif

    Test Scenario

    KITS-18-1-91_F3.gif

    Results of Test Scenario

    KITS-18-1-91_F4.gif

    Concept of Failure Safety Evaluation

    KITS-18-1-91_F5.gif

    Driver’s Controllability Example

    KITS-18-1-91_F6.gif

    Simulation Results of Driver Model (Step Test)

    KITS-18-1-91_F7.gif

    Simulation Results of Driver Model (Weave Test)

    KITS-18-1-91_F8.gif

    Test Scenario of Range Sensor Fault Injection

    KITS-18-1-91_F9.gif

    Test Scenario of Camera Sensor Fault Injection

    KITS-18-1-91_F10.gif

    Driver’s Controllability Example

    KITS-18-1-91_F11.gif

    Driver’s Controllability Example

    KITS-18-1-91_F12.gif

    Trajectory of Camera Sensor FIT Test (OEM1)

    KITS-18-1-91_F13.gif

    Trajectory of Camera Sensor FIT Test (OEM2)

    Table

    Function Definition of FSRA and LKS

    Component of Fault Injection Test

    Evaluation Index of Fail Safety

    Average value of the parameters by driving experience.

    Evaluation criteria of Failure Safety

    Evaluation criteria of Failure Safety - Longitudinal System

    Evaluation criteria of Failure Safety - Lateral System

    Reference

    1. Alexander E. and Neville A. S.(2017),“Takeover Time in Highly Automated Vehicles_Noncritical Transitions to and From Manual Control, Human Factors,” Human Factors The Journal of the Human Factors and Ergonomics Society, vol. 59, no. 4, pp.689-705.
    2. Han S., Kim T. and Kang K.(2016),“The Autonomous Vehicle policy I : US and Korea,” Monthly KOTI Magazine on Transport, pp.74-79.
    3. ISO(2009),“ISO 22179 Intelligent transport systems - full speed range adaptive cruise control (FSRA) systems - performance requirements and test procedures,” International Standard, 1st Edn, pp.1-20.
    4. ISO(2011),“ISO 26262-5 Road vehicle Functional Safety Part 3: Concept phase,” 1st Edn, pp.1-16.
    5. ISO(2014),“ISO 11270 Intelligent transport systems - lane keeping assistance systems - performance requirements and test procedures,” International Standard, 1st Edn, pp.1-8.
    6. Kang T., Kim D., Soh M., Jo H. J. H. and Park K.(2017),“Development Of The Lane Keeping Control System Using State-Varying Surface For Vulnerable Road Users,” International Journal of Automotive Technology, vol. 19, no. 3, pp.489-498.
    7. Kim D., Lee J., Lee H., Choi I., Shin J., Hong Y. and Park K.(2017),“Development of Fault Injection Simulation Environment for ADAS Systems and Case Studies of Fail-Safety Evaluation,” Transactions of KSAE, vol. 25, no. 6, pp.767-777.
    8. Noh K.(2013),Development of Driver Model Close to Human Driving Characteristics Based on Driver’s Preview Distance and Neuromuscular Response Research, Ph. D. Dissertation. KAIST. Daejeon, Korea.
    9. Park S., Jung H., Yun I., Shin S. and Kim J.(2017),“Suggestion for Autonomous Vehicle`s Reaction when Drivers Can`t React to Autonomous Vehicle`s Take-over Requests,” Korean Institute of ITS Conference, pp.179-182.

    저자소개

    Footnote