Journal Search Engine

View PDF Download PDF Export Citation Korean Bibliography PMC Previewer
The Journal of The Korea Institute of Intelligent Transport Systems Vol.19 No.6 pp.222-234
DOI : https://doi.org/10.12815/kits.2020.19.6.222

A Study of Hazard Analysis and Monitoring Concepts of Autonomous Vehicles Based on V2V Communication System at Non-signalized Intersections

Yun-soek Baek*, Seong-geun Shin**, Dae-ryong Ahn**, Hyuck-kee Lee***, Byoung-joon Moon****, Sung-sub Kim*****, Seong-woo Cho*****
*Cooperative autonomous Vehicle Research Center, Korea Automotive Technology Institute
**Automated Vehicle Division, Korea Automobile Testing & Research Institute, Korea Transportation Safety Authority
***Co-author: Korea Automobile Research Institute, Senior Researcher
****Co-author: Senior Researcher, Autonomous Driving Department, Automobile Safety Research Institute, Korea Transportation Safety Authority
*****공저자: 한국교통안전공단 자동차안전연구원 자율주행실 처장
******공저자: 한국교통안전공단 자동차안전연구원 자율주행실 실장

† Corresponding author : Yun-seok Baek, ysbaek@katech.re.kr
6 November 2020 │ 25 November 2020 │ 26 November 2020

Abstract


Autonomous vehicles are equipped with a wide rage of sensors such as GPS, RADAR, LIDAR, camera, IMU, etc. and are driven by recognizing and judging various transportation systems at intersections in the city. The accident ratio of the intersection of the autonomous vehicles is 88% of all accidents due to the limitation of prediction and judgment of an area outside the sensing distance. Not only research on non-signalized intersection collision avoidance strategies through V2V and V2I is underway, but also research on safe intersection driving in failure situations is underway, but verification and fragments through simple intersection scenarios Only typical V2V failures are presented. In this paper, we analyzed the architecture of the V2V module, analyzed the causal factors for each V2V module, and defined the failure mode. We presented intersection scenarios for various road conditions and traffic volumes. we used the ISO-26262 Part3 Process and performed HARA (Hazard Analysis and Risk Assessment) to analyze the risk of autonomous vehicle based on the simulation. We presented ASIL, which is the result of risk analysis, proposed a monitoring concept for each component of the V2V module, and presented monitoring coverage.



비신호 교차로 상황에서 V2V 기반 자율주행차의 위험성 분석 및 모니터링 컨셉 연구

백 윤 석*, 신 성 근**, 안 대 룡**, 이 혁 기***, 문 병 준****, 김 성 섭*****, 조 성 우*****
*주저자 및 교신저자: 한국자동차연구원 자율협력주행연구센터 연구원
**공저자: 한국자동차연구원 자율협력주행센터 연구원
***공저자: 한국자동차연구원 자율협력주행센터 책임연구원
****공저자: 한국교통안전공단 자동차안전연구원 자율주행실 책임연구원
*****공저자: 한국교통안전공단 자동차안전연구원 자율주행실 처장
******공저자: 한국교통안전공단 자동차안전연구원 자율주행실 실장

초록


자율주행차는 GPS 및 레이더, 라이다, 카메라, IMU 등 다수의 센서가 장착되어 도심 교차로 주행 환경에서 다양한 교통체계를 인지하고 판단하여 주행하지만 장착된 센서의 감지 거리를 벗어나는 영역에 대한 예측 및 판단의 한계 등으로 자율주행차의 교차로 사고 비율은 전체 사 고의 88%로 사고 비율이 높다. 따라서 ITS 도입으로 V2V, V2I를 통한 비신호 교차로 사고 회 피 전략 연구가 진행되고 있을 뿐만 아니라 고장 상황에서 안전한 교차로 주행에 대한 연구도 진행되고 있지만 단순한 교차로 시나리오를 통한 검증과 단편적인 V2V 고장만을 제시하고 있 다. 본 논문에서는 V2V 모듈의 아키텍쳐를 분석하여 V2V 모듈별 위험 요인을 분석하여 고장 모드를 정의하였다. 또한 다양한 도로 조건 및 교통량에 따라 교차로 시나리오를 제시하여 ISO-26262 Part3 프로세스를 활용하여 HARA를 수행하여 자율주행차의 오작동에 대해 시뮬레 이션 기반 위험성을 분석하여 ASIL을 제시하였다. V2V 모듈의 각 컴포넌트별 모니터링 컨셉 을 제안하였고 시뮬레이션을 통해 모니터링 커버리지를 제시하였다.



    Ⅰ. 서 론

    1. 개요

    최근 자율주행차는 GPS 및 레이더, 라이다, 카메라, IMU 등 다수의 센서가 장착되어 유럽, 미국 등 선진 국에서는 자율주행차의 기술 개발과 상용화에 대한 많은 연구가 이루어지고 있다. 그 중 기술 측면에서 센서 퓨전을 통한 자율주행의 교차로 주행은 도심 주행 환경에서 다양한 교통체계를 인지하고 해당 교통 법규와 준수성을 보장해서 판단 및 결정해야 하므로 자율주행 난이도가 높은 편이다. DMV에 보고된 자료를 보면, 66건 중 58건이 교차로에서 발생하였고 자율주행차의 전체 사고의 88%로 교차로 사고 비율이 높음을 알 수 있다. (Grembek et al., 2018)

    최근 정보통신기술 (ICT)의 발전은 교차로 관리를 위한 지능형 교통시스템 (ITS)의 도입으로 차량 간 통신 (V2V) 및 차량 간 인프라 통신 (V2I)을 통해 차량 간 서로 통신하고 교차로 인프라와 차량 간 통신을 통해 실시간 정보 교환이 가능케하여 교차로에서 차량의 주행 의도를 정확히 파악하는데 기여하였다. 특히 건물이 나 나무, 차량 등에 의해 차단된 것과 같이 센서 감지 범위 내에 있지 않은 차량의 상세 정보와 주행 의도를 차량들 간 공유를 통해 교차로 내 사고를 방지할 수 있는 기술이 연구되고 있다. Kowshik et al.는 시스템 안전 성이 입증되는 지능형 교차로 관리를 위한 하이브리드 아키텍처를 제안하여 중앙집중식 제어와 분산 제어를 함께 사용하는 방식을 제안하였다. 중앙집중식 제어를 위해, 교차로 제어기는 접근 차량 각각에 시간 간격을 할당하고 분산 제어의 경우, 차량은 제어 입력을 조정하여 안전성(예: 단기 및 장기적 충돌 회피)을 보장하였 다. 이를 통해 교차로 안전을 위한 관리시스템의 안전 설계를 위해 제안하였다. (Kowshik et al., 2011) 뿐만 아 니라, V2V의 통신 불안정성, 기계적 고장과 같은 많은 요인으로 인한 연구도 진행되었다. Au et al.(2012)는 기계적인 문제 등으로 인해 차량의 통제가 상실되는 경우와 같은 비상 상황에 대처하기 위해 충돌 회피 계획을 제안하였다. 이 방법은 중앙집중식 제어를 기반으로 매 시간 슬롯마다 각 이동 경로에서 각 차량의 가능한 유형의 기계적 고장을 고려하여 교차로 관리시스템을 제안하였다. 결과는 점진적으로 업데이트되어 회피 계획 데이터베이스에 저장하여 차량 고장, 사고 등 긴급 상황 발생 시, 교차로 관리자는 즉시 교차로 통행을 중단하 고 관련 차량의 대해 주행을 통제했다. (Au et al., 2012) Vladimir et al.(2017)는 자율주행차의 경우 신호등과 표지판 등의 인식을 위해 과도한 지연이 있을 수 있고 무선 통신 실패와 지연을 일으키기 쉽기 때문에, 중앙집 중식 교차로 관리는 바람직한 해결책이 아니라고 제안하면서 센서와 V2V 통신을 사용하여 차량이 교차로를 건너야 하는 순서를 정하는 분산 접근 방식을 고려하였다. 센서와 V2V를 함께 고려하는 하이브리드 아키텍쳐 는 알 수 없는 수의 통신 장애를 처리할 수 있으며, 실제 데이터 집합을 기반으로 한 결과는 V2V 고장 발생 시 교차 지연이 약간만 증가하며 대부분의 시나리오에서 V2V를 성공적으로 사용할 수 있음을 보여줬 다.(Vladimir et al., 2017) 하지만 V2V 통신 기반 비신호 교차로의 고장 상황을 고려한 기존 연구를 보면 V2V 모듈의 고장 상황의 일부 (통신 지연)만을 가정하여 고장 감내 알고리즘을 제시하였으며, V2V 모듈의 구체적 인 위험 요인 분석은 이뤄지지 않았다. 또한 교차로 시나리오도 왕복 1차로에 교차로 진입차량 1대씩만 고려하 여 단순한 상황만을 고려하였다. Lei Chen에 따르면 교통 혼잡도에 따라 사고 빈도가 증가하는 것으로 나와 있다. 낮은 혼잡도의 교차로인 경우, 보행자, 사이클 리스트 등(VRU)의 개입으로 인해 심각한 충돌 가능성이 더 높았고, 높은 혼잡도의 경우 사고의 심각한 충돌 가능성은 높지 않지만, 사고 빈도는 더 높았다.(Lei, 2015)

    본 논문에서는 V2V 모듈의 아키텍쳐의 분석을 통해 V2V 모듈의 컴포넌트별 위험 요인을 분석하여 고장 모드 를 정의하였다. 또한 V2V 기반 자율주행차를 가정하기 위해 센서의 감지 범위 내에 있지 않은 다양한 도로 조건 및 교통량에 따른 교차로 시나리오를 제시하였다. ISO-26262 Part3 프로세스를 활용하여 HARA (Hazard Analysis and Risk Assessment) 수행을 통해 자율주행차의 오작동에 대해 시뮬레이션 기반 위험성 분석을 수행하였고 이를 기반으로 V2V 모듈의 각 컴포넌트 고장 요인별 모니터링 컨셉을 제안하여 모니터링 성능을 검증하였다.

    Ⅱ. 교차로 시나리오 정의

    1. 시나리오 정의

    교차로에 진입하는 모든 차량은 V2V 기반 자율주행차이며 장애물, 건물 등으로 상대 차량을 센서로 인식 불가능한 비신호 교차로를 가정하였다. 도로 환경은 편도 1차로와 편도 2차로의 상황을 제시하였으며, 도로 밖은 모두 건물로 가려져 센서로 감지할 수 없는 교차로를 선정하였다. 자차 (Ego-vehicle)와 주변 차량 (Target-vehicle) 으로 제안한 시나리오 뿐만 아니라 정체된 차량이 있는 교통량이 많은 상황도 고려하여 시나리오에 반영하였다.

    편도 1차로의 경우, 교통량에 따라 센서의 감지 범위에 영향을 미치지 않으므로 이는 고려하지 않았다. 교 차로 내 충돌 가능성이 있는 시나리오는 총 10개이다. 편도 2차로의 경우, 1차선은 직진과 좌회전이 가능하 고 2차선은 직진과 우회전이 가능하다고 가정하였으며, 교통량이 많고 적음에 따른 시나리오를 제시하였다. 교차로 내 충돌 가능성이 있는 시나리오는 총 38개이다. 본 논문에서는 각 유형별 최악의 사례 (worst case)를 선정하여 <Fig. 1>에 정리하였으며 V2V 오작동에 대한 위험성 분석을 진행하였다.

    <Fig. 1>

    The worst case of the intersection collision

    KITS-19-6-222_F1.gif

    Ⅲ. V2V 모듈 아키텍쳐 및 차량 수준 위험원 도출

    1. V2V 모듈 아키텍쳐

    V2V 통신을 위해 사용되는 하드웨어는 차량 내부에 있는 On Board Unit (OBU)이고 <Fig. 2>와 같이 OBU 의 아키텍쳐는 송수신기 모듈, 프로세스 모듈, 파워 모듈, GPS로 구성하였다.

    <Fig. 2>

    V2V Architecture

    KITS-19-6-222_F2.gif

    5.9GHz 안테나를 통해 V2V 메시지가 송수신되고 프론트엔드 (RF Front-End)를 통해 인코딩된 메시지를 디코딩하여 프로세서로 전달한다. 프로세서는 통신 모듈 역할, 위치 추정 역할, 시간 동기화 역할 등을 하며 일반적으로 어플리케이션 레이어, 네트워크 및 전송 레이어로 구성된다. 차량으로 전송은 CAN과 이더넷 방 식으로 전달된다. V2V 모듈에서 전송되는 데이터는 근거리 무선통신 표준인 WAVE(Wireless Access in Vehicular Access) 표준을 기반으로, 기본 안전 메시지 (BSM, Basic Safety Message)를 주변 차량들에게 주기적 으로 브로드캐스트 함으로써 이루어진다.(Yi, 2017)

    2. V2V 모듈별 위험 요인 분석

    ISO 26262 및 일반 IEC 61508과 같은 기능 안전에 대한 표준을 기준으로 무선 통신에 적용할 수 있는 고 장 모드를 분석하였다. ISO26262 파트 5에서 온 칩 통신 및 데이터 전송에 대한 고장 모드를 정의하였고 (ISO-26262-5, 2011) IEC 61508-2에서 무선 통신의 고장 모드를 정의하였다. (IEC 61508-2, 2010)

    NHTSA를 참고하여 V2V 컴포넌트별 위험 요인을 분석하여 고장 모드를 분석하였다. V2V 모듈의 송수신부 (안테나)는 잘못된 데이터 수신이나 누락, 타이밍 관련 입력이 잘못되었거나 누락으로 발생하는 외부 외란 (External disturbance), 하드웨어 고장에 따른 고장 모드를 정의하였다. 프로세스 모듈은 전원 공급부 고장, 소프트 웨어 결함, 하드웨어 고장으로 고장 모드를 정의하였다. 이에 대한 위험 요인 (Casual factor)으로 전원 공급부 고장 은 하이/로우/외란에 의해 발생하며, 소프트웨어 결함은 부적절한 신호 처리 알고리즘 혹은 소프트웨어 코드 생성 의 결함으로 발생하고, 하드웨어 고장은 마이크로컨트롤러의 기계적 고장, 메모리 오류, 내부 타이밍 클럭 오류, 신호 변환 오류 (신호 필터)로 정리하였다. 차량 통신단의 위험 요인은 통신 버스 고장, 하드웨어 고장으로 고장 모드를 정의하였다. 이에 대한 위험 요인 (Casual factor)으로 통신 버스 고장은 버스 과부하 (overload) 혹은 버스 오류, 메시지 송수신기 고장으로 정리하였다. V2V 컴포넌트별 고장 모드에 대해 <Table 2>에 정리를 하였다.

    3. 오작동에 따른 위험성 분석

    1) 고장 유형에 따른 오작동 정의

    NHTSA의 V2V 어플리케이션 및 국내 V2V 서비스 기반의 V2V 기능 중 V2V기반 자율주행 상황인 비신호 교차로에서 교차로 충돌 정보 제공 기능을 선정하였으며, HAZOP 가이드워드 매칭을 통하여 교차로 충돌 정 보 미제공 (No or NOT)과 교차로 충돌 정보의 잘못된 제공 (Incorrect)으로 오작동을 도출하여 <Table 1>과 같이 기능 및 오작동을 정리하였다.

    <Table 1>

    Function and Malfunction definition

    KITS-19-6-222_T1.gif

    앞서 분석한 V2V 컴포넌트별 위험 요인에 따라 어떠한 유형의 오작동이 발생하는지에 대하여 분석하여 <Table 2>에 정리하였다.

    <Table 2>

    Failure mode and Malfunction

    KITS-19-6-222_T2.gif

    2) HARA 수행

    ISO26262 Part3 프로세스를 활용한 HARA (Hazard Analysis and Risk Assessment) 방법을 이용하여 <Fig. 1> 에서 정의한 시나리오 기반으로 자율주행차량을 위한 V2V 오작동에 대한 위험성 분석을 수행하여 <Table 3>에 정리하였다. ASIL은 상해 심각도, 노출 빈도, 제어 가능성의 등급을 조합하여 산정하였다. 상해 심각도 를 판단하기 위해 SAE J2980 (SAE, 2015)의 속도 변화(ΔV) 별 상해 심각도 산정법을 참고하였다. 교차로 충 돌 정보의 미제공으로 인한 오작동 (MF1)의 상해 심각도는 모든 시나리오의 시뮬레이션 결과가 자차의 감속 을 미수행하여 교차로에 진입한 차량과 감속이 거의 없이 충돌하여 S3로 산정하였다. 교차로 충돌 정보의 잘못된 제공으로 인한 오작동 (MF2)의 상해 심각도는 자차가 의도치 않은 감속으로 후방 차량도 제동하였지 만 경미하게 충돌하여 S1로 산정하였다. 시뮬레이션 결과에 대한 상세한 분석은 5장에서 다루기로 한다. 노 출 빈도는 ISO-26262 파트 3 문서 (ISO-26262 Part3, 2018)의 부록에 포함되어있는 노출 빈도 예시를 참고하 였고 제어 가능성은 자율주행차로 가정하여 운전자가 직접적으로 관여를 하지 않으므로 모두 C3로 산정하 였다.

    <Table 3>

    Hazard Analysis and Risk Assessment (ASIL)

    KITS-19-6-222_T3.gif

    Ⅳ. 모니터링 컨셉

    안전 목표를 달성하기 위해 오작동을 검출하기 위한 모니터링 컨셉을 E-GAS 3 level monitoring concept 구 조를 참고하여 V2V 모듈의 모니터링 컨셉을 <Fig. 3>과 같이 제안하였다. Level 1은 데이터 송수신, 데이터 변환, 데이터 출력, 위치 추정 등의 기능을 정의하였고 Level 2는 Level 1의 기능에 대한 모니터링을 제시하 였고 Level 3에서는 상태 진단 테스트, 외부 모니터링을 통한 Q&A로 구성하였다. 분석한 고장 모드가 모니 터링이 검출 가능한지 시뮬레이션을 통해 커버리지를 검증하였다.

    <Fig. 3>

    3 Level monitoring concept of V2V

    KITS-19-6-222_F3.gif

    1. Level 2 모니터링

    Level 2 모니터링을 컴포넌트별 모니터링하기 위한 방법론을 제시하였다. 송수신기는 통신 시스템의 메시 지 데이터 무결성 체크를 위해 체크섬 (Checksum)을 제시하였다. 프로세서는 오류정정코드 (Error Correcting code, ECC)과 듀얼코어락스텝 (Dual core lockstep)을 제시하였으며 외부 인터페이스는 타임아웃 메커니즘 (Timeout mechanism), CRC (Cyclic Redundancy Check)과 메시지 적합성 체크 (Message correctness check)을 제 시하였다.

    1) 송수신기

    체크섬은 분할된 데이터를 더하여 체크섬 값을 얻고, 이 데이터에 같이 붙여서 보내어 수신 측에서는 같 은 방식으로 체크섬 값을 계산하여 비교하여, 체크섬이 같지 않으면 메시지가 손상되었다고 판단하는데, 본 연구에서는 16 체크섬 비트를 사용하였으며, 송수신부의 손실되거나 변형된 메시지를 검출하였다.

    2) 프로세스

    오류정정코드는 읽혀지거나 전송되고 있는 데이터에 대해 오류가 생겼는지를 검사하고, 필요하면 전송 중 에 정정될 수 있게 하는 알고리즘으로 마이크로컨트롤러의 휘발성 메모리와 비 휘발성 메모리의 오류를 검 출하는데 이용하여 메모리의 오류, 소프트웨어 결함을 검출하였다.

    듀얼코어락스텝은 두 개의 독립적인 코어를 이용해서 아주 짧은 사이클 (2 clock cycle)을 두고 실행하여 두 개의 코어에서 실행된 결과 값을 비교기를 통해서 검출하는 방법으로 비교기는 각각 실행된 코드 명령 값의 결과의 동일성을 체크하였으며, 타이밍 클럭 고장을 검출하였다.

    제어 흐름 체크 (Control flow check)는 수행될 기능이 결정된 후 다음 단계로 진행할 수 없는 데드락, 동기 화가 되지 않아 의도치 않게 특정 데스크가 여러 번 수행 , 시작과 종료가 없는 오류, 그리고 무한하게 특정 기능을 수행하는 무한 루프를 검사하여 올바른 제어 순서대로 기능이 수행 되는지를 검증하였다.

    3) 외부 인터페이스

    CRC는 통신시스템에서 오류 검증을 위해서 많이 사용되며 정해진 다항식이 결정되어 있고, 송신 쪽에서 계산하여 헤더에 붙여 보내면 수신 쪽에서 다시 계산하고 보내진 CRC값과 비교하여 판단하며 본 논문에서 는 CAN 버스는 8비트 페이로드 (payload) 데이터 오류 체크를 위해 CRC-15를 사용하였다. CRC값 생성을 위 한 다항식 G(x)는 식 (1)과 같다.

    G ( x ) = x 15 + x 14 + x 10 + x 8 + x 7 + x 4 + x 3 + 1
    (1)

    이더넷 (Ethernet)은 IEEE 802.3에 의해서 페이로드의 전송 오류 검출을 위해서 CRC-32를 사용하였다. 다 항식은 G(x)는 식 (2)과 같다.

    G ( x ) = x 32 + x 26 + x 23 + x 22 + x 16 + x 12 + x 11 + x 10 + x 8 + x 7 + x 5 + x 4 + x 2 + x + 1
    (2)

    타임아웃 메커니즘은 통신 오류의 경우 특정 노드에서 오는 메시지를 모니터링하기 위해 사용하였다. 각 메시지에는 ID를 할당하여 응답 시간 제한을 제시하고 이를 초과하는지에 따라 오류를 검출하였다. 알고리 즘은 <Fig. 4>과 같다.

    <Fig. 4>

    Timeout mechanism

    KITS-19-6-222_F4.gif

    메시지 적합성 체크를 위해 V2X 통신의 메시지의 표준인 SAE 2735-2016의 기본 안전 메시지 (BSM)는 100ms의 주기로 차량의 속도, 가속도, 위도, 경도, 고도, 위치 정확도, 방향, 등의 정보를 포함하여 전송하고 이를 이용하여 차량 거동 분석 방법과 센서 퓨전 방법을 제시하였다. 차량 거동 분석 방법은 주변 차량의 BMS 데이터를 받아 칼만 필터를 설계하여 위치와 속도를 예측하여 추측항법 (Dead reckoning)을 적용하였다. 추측항법은 알고 있는 출발 위치에서 위치, 속도 데이터로 다음 스텝 시간의 자신의 위치를 예측하는 방법으 로 예측된 다음 스텝 시간의 위치 정보와 기본 안전 메시지의 위치 정보를 비교하여 고장을 검출하였다. 위 치 예측 결과의 신뢰성 부분이 문제가 될 수 있으므로 SAE 2735 표준에 명시된 범위를 인용하여 데이터 요 소의 값이 실제 차량의 운동에 의해서 가질 수 있는 범위 내인지 판단하였다. 센서 퓨전 방법은 센서로 감지 할 수 있는 주변 차량으로부터 수신한 기본 안전 메시지 (BSM)로 주변 차량의 위치 정보 (위도, 경도)와 자 차와의 거리를 계산한 값과 센서를 이용한 자차와 주변 차량과의 거리를 비교하여 고장을 검출하였다. 하지 만 두 방법은 편도 1차로 교통량이 없는 경우 센서 감지 내의 주변 차량으로부터 기본 안전 메시지의 수신 이 불가능하므로 고장 검출이 불가능하였다.

    2. Level 3 모니터링

    Level 3 모니터링은 프로그램 흐름 체크 (Program flow check), 외부 모니터링을 통한 Q&A로 V2V 모듈의 상태 모니터링과 진단 테스트를 제시하였다. 프로그램 흐름 체크는 램 (RAM)과 (ROM)을 포함한 level 2 모 듈 (하드웨어)에 정해진 시간과 올바른 순서로 절차가 이루어지는지 모니터링을 하였다. 외부 모니터링 (Watchdog)으로 무결성을 달성하도록 하기 위해서는 질의-응답 메커니즘을 사용하였다. 진단 테스트 기능은 레지스터, 내부 버스, 인터럽트 및 트랩 시스템, 타이밍 보호 시스템, 프로그램 흐름 제어에 사용되며 서브시 스템으로 의도적인 오류를 주입하고 어떤 이벤트 (인터럽트, 트랩, 콜백 등)가 발생하거나 발생하지 않는 것 을 검사하였다. 셀프 테스트 메커니즘이 정해진 시간 내에 적절히 실행되는지 모니터링을 하였다.

    Ⅳ. 시뮬레이션 결과

    본 장에서는 2장에서 제시한 <Fig. 1>의 시나리오를 구성하고 <Table 1>에서 도출한 오작동에 대해 상해 심각도 등급을 산정하기 위한 시뮬레이션 결과를 정리하였다. 또한 4장에서 제시한 모니터링의 커버리지 평 가를 위해 <Table 2>에서 정의한 고장 모드에 대해 시뮬레이션을 진행하였다. 시뮬레이션 환경은 Mathworks 사의 Autonomous Driving Toolbox에서 제공하는 모델을 기반으로 차량을 구성하였으며, Driving Scenario Designer로 시나리오를 설계하였다.

    시나리오 공통 조건은 모든 차량은 자율주행차로 가정하였고 교차로 주행을 위해 V2V 기반으로 제어하며 차량의 속도는 시내 주행을 감안하여 60 km/h (16.67m/s)로 정하였다.

    1. 시나리오 위험성 분석

    상해 심각도 산정을 위한 충돌 속도는 아래 식 (3)과 같다. (Kim et al,. 2016) 여기서 Δv는 충돌 차량의 속 도 변화를 나타내고, m1은 충돌 차량의 질량, m2는 피충돌 차량의 질량, v1은 충돌 차량의 충돌 시 속도, v2 는 피충돌 차량의 충돌 시 속도를 나타낸다. (Ahn et al,. 2018) 충돌 시 반발계수 등의 조건은 고려하지 않았 으며 충돌 속도 및 아래 식 (3)의 속도 변화만을 고려하였다.

    Δ υ = m 1 m 1 + m 2 ( υ 1 υ 2 )
    (3)

    1) 교차로 충돌 정보 미제공

    충돌 지점으로부터 자차가 주변 차량을 센서로 인식 가능한 거리는 시나리오 1은 5.4m, 시나리오 2는 10.8m, 시나리오 3은 7.2m이고 시나리오 4는 3.6m이다. 충돌을 회피하기 위해 센서로 인식 가능한 지점부터 0.98g로 최대 감속하였고 차량의 충돌 속도 Δv를 시뮬레이션을 통하여 도출하였다. 최대 감속으로 감속했음 에도 <Fig. 5> ~ <Fig. 8>와 같이 충돌 속도는 시나리오 1은 15.94 m/s, 시나리오 2는 13.91 m/s, 시나리오 3은 15.21 m/s이고 시나리오 4는 16.33 m/s로 충돌하여 상해 심각도는 <Table 4>에 의해 모두 S3로 산정하였다. 시나리오별 상해 심각도를 <Table 5>에 정리하였다.

    <Fig. 5>

    The collision velocity of worst scenario 1 (MF1)

    KITS-19-6-222_F5.gif
    <Fig. 6>

    The collision velocity of worst scenario 2 (MF1)

    KITS-19-6-222_F6.gif
    <Fig. 7>

    The collision velocity of worst scenario 3 (MF1)

    KITS-19-6-222_F7.gif
    <Fig. 8>

    The collision velocity of worst scenario 4 (MF1)

    KITS-19-6-222_F8.gif
    <Table 4>

    The severity class based on J2980

    KITS-19-6-222_T4.gif
    <Table 5>

    The results of Δv and severity (MF1)

    KITS-19-6-222_T5.gif

    2) 교차로 충돌 정보의 잘못된 제공

    선행 차량이 V2V로 교차로 충돌 상황이 발생하지 않으나 교차로 진입하는 다른 주변 차량이 있다고 정보 를 제공하여 교차로 진입하면서 급제동하는 오작동이 발생하는 시나리오로 앞서 제시한 시나리오 1~4의 같 은 상해 심각도가 도출된다. 선행 차량과 후행 차량의 TTC는 1초로 하였고 후방 차량도 긴급제동시스템 (AEB)을 통하여 최대 감속하였다. 교차로 충돌 정보의 잘못된 제공으로 의도치 않은 감속으로 인한 후방 충 돌 위험에 대한 시뮬레이션을 진행하였다. 선행 차량이 5.7초에 급감속을 하였고 <Fig. 9>와 같이 6.8초에 7.63 m/s로 충돌함을 볼 수 있었고 상해 심각도는 <Table 4>에 의해 S1으로 산정하였다. <Table 6>에 시나리 오별 상해 심각도를 정리하였다.

    <Fig. 9>

    The collision velocity of worst scenario 1~4 (MF2)

    KITS-19-6-222_F9.gif
    <Table 6>

    The results of Δv and severity (MF2)

    KITS-19-6-222_T6.gif

    2. 모니터링 커버리지 분석

    고장 모드의 요인 별 모니터링을 적용하여 오류를 검출 가능한지에 대해 검증하였다. 21개의 고장 원인 중 제시한 모니터링으로 송수신기의 하드웨어 고장과 프로세서의 전원 공급부의 고장을 제외하고 19개가 검 출이 가능하여 90.47%의 모니터링 커버리지를 확인 할 수 있었다. 이에 대해 <Table 7>에 정리하였다.

    <Table 7>

    The results of Monitoring coverage

    KITS-19-6-222_T7.gif

    송수신기의 하드웨어 고장은 송수신기의 이중화를 통해 이를 극복 가능하며, 프로세서의 전원 공급부는 하드웨어 장치를 별도로 설치하여 모니터링 되어야 할 것으로 보인다.

    Ⅴ. 결 론

    본 연구에서는 센서의 감지 한계가 존재하는 다양한 도로 조건 및 교통량에 따른 비신호 교차로 시나리오 를 제시하여 V2V가 활용되는 자율주행 조건을 선정하였다. 뿐만 아니라 V2V 모듈의 아키텍쳐를 분석하여 V2V 모듈의 위험 요인을 표준 문서와 NTHSA 자료를 바탕으로 다각도로 분석하여 고장 모드를 정의하였으 며 고장 유형에 따른 자율주행차의 오작동 유형을 정의하여 시뮬레이션을 통해 교차로 충돌위험 미제공의 위험에 대한 가정으로 차량에 큰 위험이 발생할 수 있는 것으로 분석되었다. 그러므로 센서 감지 범위의 한 계가 존재하는 자율주행차에 V2V 시스템을 효과적으로 적용하기 위해서는 오작동 상황의 발생 시 위험을 회피하거나 경감할 수 있는 모니터링 컨셉이 필수적임을 알 수 있었다.

    V2V 컴포넌트별 위험 요인에 대한 모니터링 방법론을 제시하였고 고장 모드별 적용하여 검출되는지를 확 인하였다. 제시한 모니터링으로 대부분의 고장 요인이 검출 가능함을 확인할 수 있었다. 소프트웨어 이중화 만으로 모든 고장을 모니터링하여 오작동 상황에서 안전을 확보하기 어렵고 전원 공급부 및 송수신부의 경 우 하드웨어의 이중화가 필요해 보인다.

    추후 연구에서는 V2V, V2I를 포함한 V2X에 대해 포괄적으로 고장 상황에서의 안전 확보 방안에 대해 다 뤄 볼 계획이다.

    ACKNOWLEDGEMENTS

    본 연구는 국토교통부 및 국토교통과학기술진흥원의 연구비지원(20PQOW-B152473-02)으로 수행하였습니다.

    Figure

    KITS-19-6-222_F1.gif

    The worst case of the intersection collision

    KITS-19-6-222_F2.gif

    V2V Architecture

    KITS-19-6-222_F3.gif

    3 Level monitoring concept of V2V

    KITS-19-6-222_F4.gif

    Timeout mechanism

    KITS-19-6-222_F5.gif

    The collision velocity of worst scenario 1 (MF1)

    KITS-19-6-222_F6.gif

    The collision velocity of worst scenario 2 (MF1)

    KITS-19-6-222_F7.gif

    The collision velocity of worst scenario 3 (MF1)

    KITS-19-6-222_F8.gif

    The collision velocity of worst scenario 4 (MF1)

    KITS-19-6-222_F9.gif

    The collision velocity of worst scenario 1~4 (MF2)

    Table

    Function and Malfunction definition

    Failure mode and Malfunction

    Hazard Analysis and Risk Assessment (ASIL)

    The severity class based on J2980

    The results of Δv and severity (MF1)

    The results of Δv and severity (MF2)

    The results of Monitoring coverage

    Reference

    1. Ahn D. , Shin S. , Baek Y. and Lee H. (2018), “Hazard Analysis of Autonomous Vehicle due to V2I Malfunction,” Journal of the Korea Institute of Intelligent Transport System, vol. 18, no. 6, pp.251-261.
    2. Au T. C. , Fok C. L. , Vishwanath S. , Julien C. and Stone P. (2012), “Evasion planning for autonomous vehicles at intersections,” In Proc. IEEE/RSJ Int. Conf. Intell. Robots Syst., pp.1541-1546.
    3. Germbek O. , Kurzhanskiy A. A. , Medury A. , Varaiya P. and Yu M. (2018), Introducing an Intelligent Intersection, ITS-Berkeley.
    4. IEC 61508-2 (2010), Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems.
    5. ISO-26262 (2011), Road vehicles-Functional safety-Part5: Product development at the hardware level.
    6. ISO-26262 (2018), Road vehicles-Functional safety-Part3: Concept Phase.
    7. Kim D. B. , Yun K. D. , Park H. S. , Ha Y. S. and Park J. C. (2016), “A Case Study on Speed Analysis of the rear-end Collision Accident,” Transactions of KSAE, vol. 24, no. 6, pp.724-729.
    8. Kowshik H. , Caveney D. and Kumar P. R. (2011), “Provable system wide safety in intelligent intersections,” IEEE Transactions on Vehicular Technology, vol. 60, no. 3, pp.804-818.
    9. Lei C. (2015), “Cooperative Intersection Management: A Survey,” IEEE Transactions on Intelligent Transportation Systems, vol. 17, no. 2, pp.570-586.
    10. SAE J2735 (2016), Dedicated Short Range Communications (DSRC) Message Set Dictionary.
    11. SAE J2980 (2015), Considerations for ISO 26262 ASIL Hazard Classification.
    12. Vladimir S. , Schiller E. M. and Papatriantafilou M. (2017), “Distributed Algorithm for Collision Avoidance at Road Intersections in the Presence of Communication Failures,” IEEE Intelligent Vehicles Symposium (IV).
    13. Yi W. (2017), “A New Congestion Control Algorithm for Vehicle to Vehicle Safety Communications,” Journal of the Korea Academia-Industrial Cooperation Society, vol. 18, no. 5, pp.125-132.

    저자소개

    Footnote