Journal Search Engine

Volume/Issue :

Year(s) : to

Search :

Title :

Author :

Keyword :

Abstract :

Figure :

Table :

Reference :

Search Advanced Search

Adode Reader(link)

View PDF Download PDF Export Citation Korean Bibliography PMC Previewer

The Journal of The Korea Institute of Intelligent Transport Systems Vol.24 No.2 pp.167-183
DOI : https://doi.org/10.12815/kits.2025.24.2.167

Fail-Operational Design and Validation for Autonomous Driving Safety in Roundabout Environments

Yun-seok Baek^*, Seong-geun Shin^**, Jong-Ki Park^***, Hyuck-kee Lee^****

^*ITS R&D Department, Korea Automotive Technology Institute
^**Co-author: Senior Researcher, Intelligent Transportation Control Technology Division, Korea Automobile Research Institute
^***Co-author: Researcher, Intelligent Transportation Control Technology Division, Korea Automobile Research Institute
^****Co-author: Head of Intelligent Transportation Control Technology Division, Korea Automobile Research Institute

^† Corresponding author : Yun-seok Baek, ysbaek@katech.re.kr

Received 31 December 2024 │ Revised 23 January 2025 │ Accepted 24 March 2025

Abstract

This paper proposes and validates a Fail-Operational design to ensure the safety of autonomous driving systems in complex urban environments. Roundabouts, which combine various factors such as curvature radius, road boundaries, and entry/exit conditions, demand high precision and stability in steering and speed control. Based on traffic accident data from the National Police Agency, key single-vehicle accident types were analyzed to derive representative scenarios. Following the concept phase outlined in ISO 26262 Part 3, the potential malfunctions of critical functions were evaluated, and ASIL levels were determined to formulate detailed Fail-Operational designs for acceleration, deceleration, and steering functionalities. Subsequently, a 1oo2D safety mechanism incorporating fault detection and recovery strategies was developed. This study presents practical design methodologies to enhance the safety of autonomous driving systems in complex traffic conditions, such as roundabouts, and verifies the efficacy of the Fail-Operational design through MIL-based simulations and fault injection scenarios.

Key Words : Fail-Operational Design , Autonomous Driving Safety , Functional Safety

회전 교차로 환경에서 자율주행 안전을 위한 Fail-Operational 설계 및 검증 연구

백 윤 석^*, 신 성 근^**, 박 종 기^***, 이 혁 기^****

^*주저자: 한국자동차연구원 지능형교통제어기술부문 선임연구원
^**공저자: 한국자동차연구원 지능형교통제어기술부문 책임연구원
^***공저자: 한국자동차연구원 지능형교통제어기술부문 연구원
^****공저자: 한국자동차연구원 지능형교통제어기술부문 부문장

초록

본 논문은 자율주행 시스템의 안전성을 확보하기 위해 복잡한 도심 환경에서 Fail-Operational 설계를 제안하고 검증하였다. 회전 교차로는 곡률 반경, 도로 경계, 진입 및 탈출 조건이 복합적으 로 작용하여 조향 및 속도 제어의 정밀성과 안정성이 요구되는 환경으로, 경찰청 교통사고 데이 터를 기반으로 주요 단독 사고 유형을 분석하여 시나리오를 도출하였다. ISO 26262 Part 3의 개념 설계 단계에 따라 주요 기능의 오작동 가능성을 평가하고, ASIL 등급 산출을 통해 가속, 감속, 조향 기능의 Fail-Operational 설계를 구체화하였다. 이를 통해 고장 탐지 및 복구 메커니즘을 포함한 1oo2D 안전 매커니즘을 설계하였다. 회전 교차로와 같은 복잡한 도로 환경에서 자율주행 시스템의 안전성 강화를 위한 실질적인 설계 방안을 제시하며, Fail-Operational 설계를 MIL 기반 시뮬레이션을 통해 주요 오류 주입 시나리오에서 설계의 유효성을 검증하였다.

키워드 : Fail-Operational 설계 , 자율주행 안전 , 기능안전

This article has been cited by 0 article in crossref

Cited-By

Funding:

Ⅰ. 서 론

자율주행 기술은 교통 분야의 혁신을 이끌며 도로 안전성과 교통 효율성을 획기적으로 향상시킬 수 있는 잠재력을 가지고 있다. SAE J3016 표준에 따르면 자율주행 시스템은 Lv.0부터 Lv.5까지 자동화 수준으로 구분 되며, 특히 Lv.4 시스템은 운전자의 개입 없이 운행 설계 영역(ODD: Operational Design Domain) 내에서 자율적 으로 주행 가능한 수준으로 정의된다(SAE International, 2021). 그러나 Lv.4 시스템은 운전자의 즉각적인 개입이 불가능하므로, 시스템 고장 발생 시에도 차량의 주행을 지속하며 안전성을 유지할 수 있는 Fail-Operational 설 계가 필수적이다.

ISO 26262는 자동차 전기·전자 시스템의 기능 안전성을 확보하기 위한 국제 표준으로, 시스템 고장 시 위험 을 완화하고 안전 목표를 달성하기 위한 체계적인 개발 프로세스를 제공한다(ISO International Standard, 2018). 기존 연구들은 주로 Lv.3 자율주행 시스템에서 고장 발생 시 Fail-Safe 설계를 통해 최소 위험 상태(MRM: Minimum Risk Maneuver)로 전환하는 방안을 다루었다(Seo et al., 2021;Balakrishnan, 2022). 그러나 Lv.4 시스템 에서는 운전자의 개입 없이도 고장 상황에서 주행을 지속할 수 있도록 Fail-Operational 전략이 요구된다(Alms and Peter, 2024). 이를 위해 시스템 중복성, 고장 감지 및 복구 메커니즘과 같은 고장 허용 설계(Fault-Tolerant Design)가 필수적으로 뒷받침되어야 한다(Julitz et al., 2023).

기존 연구에서 자율주행 시스템의 고장 대응과 안전성 확보를 위해 다양한 접근법이 제안되었다. Galizia 등 (2018)은 시나리오 기반 위험 분석을 통해 자율주행 시스템의 안전 위험을 평가하였으나, Lv.4 환경에서 의 구체적인 고장 대응 메커니즘은 다루지 않았다(De Galizia et al., 2018). Bijlsma et.al.(2020)은 고장 격리 프 로토콜을 논의하며 차량 감지 기능의 내결함성을 강조하였으나, 조향 및 속도 제어와 같은 핵심 기능에 대한 세부적인 Fail-Operational 전략은 제시되지 않았다(Bijlsma et al., 2020). Juez et al.(2017)은 시뮬레이션 기반 고 장 주입을 통해 시스템 안전성을 검토하였으나, 실제 주행 시 발생할 수 있는 복잡한 환경 요소를 충분히 반 영하지 못했다(Juez et al., 2017).

이와 같이 기존 연구들은 특정 기능에 대한 Fail-Safe 접근에 머물러 있거나 실주행을 반영한 복잡한 환경 에서의 Fail-Operational 설계를 다루지 않은 한계를 가진다. 본 연구는 이러한 한계를 극복하기 위해 회전 교 차로와 같은 복잡한 도심 환경에서 발생하는 고장 상황을 중심으로 Fail-Operational 대응 전략을 제시하고 검 증한다.

본 연구는 경찰청 교통사고 데이터를 기반으로 회전 교차로 주행 상황에서 단독 주행 시나리오를 선정하 고, 자율주행 시스템의 모션 제어(Motion Control) 기능에 초점을 맞추어 Fail-Operational 설계를 제안한다. 회 전 교차로는 곡률 반경, 도로 경계, 진입 및 탈출 시 차량의 위치 인식과 궤적 유지가 중요시되는 복잡한 환 경으로 조향 및 속도 제어의 고장 대응이 핵심 과제로 부각된다. 이를 해결하기 위해 본 연구에서는 ISO 26262 Part 3의 개념 설계 단계(Concept Phase)를 기반으로 위험 분석을 수행하고, 고장을 감지하고 완화할 수 있는 Fail-Operational 대응 전략을 도출하였다. 또한 제안된 Fail-Operational 설계의 유효성을 검증하기 위해 MIL (Model-in-the-Loop) 기반 시뮬레이션 환경을 개발하였다. 고장 유형을 정의하고 고장 주입 시나리오를 구현하여, 시스템의 안정성, 사고 방지, 고장 발생 후 복구 성능 등을 분석하였다.

본 논문의 구성은 다음과 같다. 2장에서는 경찰청 교통사고 데이터를 분석하고 회전 교차로에서 발생하는 단독 주행 시나리오를 도출한다. 3장에서는 ISO 26262 Part 3의 분석 결과를 기반으로 안전성 평가와 안전 목표를 도출하고 4장에서는 Fail-Operational 설계를 제안한다. 5장에서는 MIL 기반 시뮬레이션 환경을 통해 고장 주입 시나리오를 구현하고, 제안된 Fail-Operational 설계의 성능을 검증한다.

Ⅱ. 회전 교차로 시나리오 분석 및 대표 시나리오 도출

1. 회전 교차로 교통사고 데이터 분석

경찰청 교통사고 데이터에서 회전 교차로에서 발생한 사고 중 단독 주행 상황으로 한정하여 분석하였다. 단독 주행 상황은 차량이 주변 차량을 배제하고 도로 구조물이나 주변 환경과 충돌하는 사고를 의미한다. 이 러한 분석은 자율주행 시스템의 핵심 기능인 조향 제어, 속도 제어, 위치 인식 등이 외부 요인에 영향을 받 지 않고 독립적으로 평가될 수 있도록 하기 위함이다.

<Table 1>

Analysis of Traffic Accident Data in Roundabout Environments

Accident Scenario	Type	Accident Rate
Collision with a surrounding vehicle entering the roundabout first, or collision with a vehicle entering during the turn	Vehicle-to-Vehicle	29.58%
Collision with roadside structures while driving alone	Single Vehicle	9.15%
Collision with an object (pedestrian) crossing the front during the turn	Vehicle-to-Pedestrian	9.15%
Collision with an object (motorcycle) entering the roundabout first during entry	Vehicle-to-Motorcycle	9.15%
Collision with an object (pedestrian) walking along the turning lane	Vehicle-to-Pedestrian	7.04%
Collision with a stationary object (pedestrian) on the turning lane	Vehicle-to-Pedestrian	4.93%
Collision with a vehicle cutting in from the left turning lane	Vehicle-to-Vehicle	4.93%
Collision with a vehicle crossing to exit from the left turning lane	Vehicle-to-Vehicle	4.93%
Collision with a vehicle entering the turning lane from an adjacent lane	Vehicle-to-Vehicle	2.82%
Collision with an object (motorcycle) entering the turning lane	Vehicle-to-Motorcycle	2.82%
Collision with a vehicle braking and stopping on the turning lane	Vehicle-to-Vehicle	2.11%
Collision with a vehicle driving in the wrong direction on the turning lane	Vehicle-to-Vehicle	2.11%
Collision with a preceding vehicle turning in the same direction	Vehicle-to-Vehicle	1.41%
Collision with a preceding vehicle entering the turning lane in the same lane	Vehicle-to-Vehicle	1.41%
Vehicle skidding while driving alone on the turning lane	Single Vehicle	1.41%
Collision with a vehicle infringing on the adjacent turning lane	Vehicle-to-Vehicle	0.70%
Collision with an object (electric wheelchair) driving along the right turning lane	Vehicle-to-Wheelchair	0.70%
Vehicle tipping over while driving alone on the turning lane	Single Vehicle	0.70%
Collision with a preceding object (bicycle) turning on the same lane	Vehicle-to-Bicycle	0.70%
Collision with a parked vehicle on the right side of the turning lane	Vehicle-to-Vehicle	0.70%
Collision with an object (falling object) entering the turning lane from the front-right	Vehicle-to-Object	0.70%
Collision with an object (bicycle) crossing from the front during the turn	Vehicle-to-Bicycle	0.70%
Collision with a vehicle cutting into the turning lane and suddenly stopping	Vehicle-to-Vehicle	0.70%
Collision with an object (bicycle) entering the turning lane	Vehicle-to-Bicycle	0.70%
Collision with an object (motorcycle) transition from the left turning lane to the right to exit	Vehicle-to-Motorcycle	0.70%
Collision with an object (motorcycle) driving in the wrong direction on the turning lane	Vehicle-to-Motorcycle	0.70%

통계 자료에 따르면 구조물과의 충돌이 단독 사고 유형 중 가장 높은 비율을 차지하였으며, 전체 회전 교 차로 사고의 9.15%를 기록하였다. 구조물과의 충돌은 자율주행 시스템이 회전 반경을 정확히 예측하지 못하 거나 조향 및 속도 제어 기능에 오작동이 발생할 경우 주로 나타난다. 특히, 회전 교차로의 진입 및 회전 과 정에서 차량이 도로 경계를 벗어나거나 구조물과 충돌할 위험이 크게 증가한다. 이는 조향 제어 기능의 정밀 성과 신뢰성이 회전 교차로 환경에서 반드시 확보되어야 함을 의미한다.

그 외 사고 유형을 보면 차량이 회전 중 미끄러지거나 중심을 잃은 사고가 전체 사고의 1.41%와 0.7%를 차지하였다. 이와 같은 사고는 자율주행 시스템의 동적 안정성과 모션 제어 기능의 한계에서 비롯될 수 있 다. 회전 교차로는 곡률 반경이 상대적으로 작아 가속, 감속 및 조향 제어의 정밀도가 요구되는 구간이며 기 능이 정상적으로 작동하지 못할 경우 차량의 주행 안정성이 심각하게 저해될 수 있다.

2. 대표 시나리오 및 기능 도출

본 연구는 회전 교차로에서의 단독 사고를 중심으로 대표 시나리오를 선정하였다. 대표 시나리오의 선정 기준은 다음과 같다.

첫째, 단독 주행 상황 중 가장 빈번하게 나타난 사고 유형 시나리오이다. 둘째, 단독 주행 상황에서는 외 부 차량이나 보행자와의 영향을 배제함으로써 시스템의 고장 대응 능력을 독립적이고 명확하게 평가할 수 있다. 셋째, 자율주행 시스템 주행 중 위험도가 높은 시나리오인지를 평가하였다.

이 기준으로 회전교차로를 단독으로 주행 중 주변 도로구조물과 충돌하는 시나리오로 선정하였다. 이 시 나리오는 구조물 충돌이 자율주행 시스템의 핵심 기능인 조향 제어와 속도 제어 기능의 결함으로 발생하는 대표적인 사고 유형이라는 점에서 중요한 평가 대상이 된다. 본 연구에서는 대표 기능으로 조향 및 속도 제 어 기능으로 정의하고 ISO 26262 프로세스에 대한 기능 안전성을 평가하고 Fail-Operational 대응 전략을 중심 으로 안전 설계를 수행하였다.

Ⅲ. 기능 안전 분석

1. ISO 26262 Part 3의 개념 설계

ISO 26262 Part 3의 개념 설계 단계(Concept Phase)는 Fail-Operational 설계를 체계적으로 구현하기 위한 프 레임워크를 제공한다. 이 단계에서는 자율주행 시스템의 기능에 대해 위험 분석(HARA, Hazard Analysis and Risk Assessment)을 수행하여 시스템 고장으로 인해 발생할 수 있는 위험도를 평가하고, 이를 기반으로 안전 목표(Safety Goals)를 정의한다. 본 연구에서는 ISO 26262 Part 3의 주요 절차를 다음과 같이 적용하였다.

위험 분석은 고장 발생 시 시스템이 직면할 수 있는 잠재적 위험 요소를 식별하는 과정이다. 회전 교차로 에서 주요 위험 요소로는 조향 제어 오류로 인한 구조물 충돌, 속도 제어 실패로 인한 경로 이탈 등이 포함 된다. 기능 안전 목표는 시스템 고장 시에도 안전성을 유지하기 위해 반드시 달성해야 하는 성능 기준을 정 의한다. 예를 들어, 회전 교차로 주행 시 차량이 도로 경계를 벗어나지 않고 회전 반경을 유지하며 주행해야 한다는 목표를 설정할 수 있다. 이러한 목표는 조향 제어 및 속도 제어 기능의 Fail-Operational 설계 요구 사 항을 구체화할 수 있다.

자율주행 시스템의 오작동 정의는 가이드 워드 기반 분석 기법인 HAZOP(Hazard and Operability Study) 기법 을 사용하여 도출되었다. HAZOP 기법은 No or Not, More, Less 등의 가이드 워드를 활용하여 설계 의도에서 벗어날 수 있는 이상 현상을 식별하고, 위험 요소를 체계적으로 도출하는 데 사용된다(Ahn et al., 2019; Baek et al., 2020). 본 연구에서는 자율주행 시스템의 기능별 오작동을 도출하기 위해 “No or Not”과 “Incorrect” 가이 드 워드를 사용하였다. “No or Not” 기능이 전혀 수행되지 않는 경우를 의미하며 “Incorrect” 기능이 잘못된 방 식으로 수행되는 경우를 의미하며, 정상적인 값이 아닌 잘못된 값을 출력하거나, 수행되지 말아야 할 기능이 실행되는 경우를 포함한다.

<Table 2>

Definition of Functions and Malfunctions in Autonomous Driving Systems for Roundabout Environments

Function	Description	Malfunction
Acceleration	Accelerates the vehicle with appropriate acceleration	No or Not
Acceleration	Accelerates the vehicle with appropriate acceleration	Incorrect
Deceleration	Decelerate the vehicle at the appropriate deceleration	No or Not
Deceleration	Decelerate the vehicle at the appropriate deceleration	Incorrect
Steering	Steering control for lane keeping	No or Not
Steering	Steering control for lane keeping	Incorrect

2. 오작동에 따른 안전성 평가 및 안전 목표 도출

자율주행 시스템의 핵심 기능인 속도 제어 및 조향 제어 기능의 안전성을 평가하기 위해 ASIL(Automotive Safety Integrity Level) 등급을 산출하였으며 고장 상황에서 시스템이 충족해야 할 안전 목표를 정의하였다.

<Table 3>

Functional and Malfunctional Analysis of Autonomous Driving Systems in Roundabout Scenarios with ASIL Assessment

Function	Malfunction	Environment	Situation & Accident	S	E	C	ASIL
Acceleration	Unintended acceleration	Highway Straight Road Road Surface: Dry Traffic: Moderate	Unintended acceleration causing lane departure and collision with a structure.	S2	E3	C3	C
Acceleration	Not acceleration	Highway Straight Road Road Surface: Dry Traffic: Moderate	Unintended deceleration leading to a rear-end collision with a following vehicle	S0	E3	C3	QM
Deceleration	Unintended deceleration	Highway Straight Road Road Surface: Dry Traffic: Moderate	Unintended deceleration causing a rear-end collision with a following vehicle	S0	E3	C3	QM
Deceleration	Not deceleration	Highway Straight Road Road Surface: Dry Traffic: Moderate	No deceleration causing lane departure and collision with a structure	S2	E3	C3	C
Steering	Unintended steering	Highway Straight Road Road Surface: Dry Traffic: Moderate	Unintended steering causing lane departure and collision with a structure	S2	E3	C3	C
Steering	No steering	Highway Straight Road Road Surface: Dry Traffic: Moderate	Not steering causing lane departure and collision with a structure	S2	E3	C3	C

ASIL 등급은 상해 심각도(Severity), 발생 빈도(Exposure), 제어 가능성(Controllability) 세 가지 요소를 기반 으로 평가되며, 본 연구에서는 회전 교차로에서의 구조물 충돌 시나리오를 기준으로 평가를 수행하였다. 상 해 심각도를 나타내는 등급은 S0, S1, S2, S3로 나타내며 S0는 사고 시 상해가 없는 것을 뜻하며 S3는 생명 이 위독하거나 사망에 이르는 치명적인 상해를 나타낸다. SAE J2980(SAE International, 2015)의 속도 변화별 상해 심각도 산정법을 참고하여 시뮬레이션 결과를 기반으로 구조물 충돌이 발생시 차량과 탑승자뿐만 아니 라 주변 환경에도 심각한 영향을 미칠 수 있는 중대한 사고로 분류되며 상해 심각도는 S2로 평가되었다. 발 생 빈도를 나타내는 등급은 E1, E2, E3, E4로 구분되며, E1은 매우 낮은 발생 빈도를 나태내고 E4는 매우 높 은 발생 빈도를 나타낸다. ISO26262 Part3 문서의 Appendix에서 제시하는 발생 빈도 예시를 참고하여 회전 교차로는 고밀도의 주행 상황과 높은 조향 및 속도 제어 요구를 특징으로 하여 발생 빈도가 E3로 분류되었 다. 마지막으로 제어 가능성을 나태나는 등급은 C0, C1, C2, C3로 구분되며 C0는 운전자가 제어가 가능한 상 태를 나타내고 C3는 제어가 불가능한 상태를 나태난다. SAE 기준 Level3 이상의 자율주행차량은 운전자가 전방주시 의무가 없기 때문에 오작동 상황에서의 제어 가능성은 C3 등급으로 판단하는 것이 일반적이며 조 향 및 속도 제어 실패 시 시스템이 사고를 방지할 여지가 제한적이므로 제어 가능성은 C3으로 평가되었다. 이러한 HARA(Hazard Analysis and Risk Assessment) 결과에 따라 ASIL은 QM, A, B, C, D로 분류되며 QM은 안전 관련 요구가 적용되지 않아도 되는 등급이며 D는 가장 높은 안전성 요구 사항을 의미한다. 조향 및 속 도 제어 기능은 모두 ASIL C 등급에 해당하며 높은 수준의 안전 요구 사항을 충족해야 하는 기능임을 의미 한다(Baek et al., 2021).

ASIL 평가를 바탕으로 회전 교차로 환경에서 차량의 Fail-Operational 설계를 보장하기 위해 조향 및 속도 제어 기능에 대한 안전 목표를 도출하였다. 조향 제어의 경우, 차량은 조향 센서나 제어기의 고장 발생 시에 도 Fail-Operational 상태를 유지하여 회전 반경과 궤적을 안정적으로 유지해야 하며, 조향 오작동 시 도로 경 계를 벗어나지 않도록 즉각적인 대체 제어를 수행해야 한다. 속도 제어와 관련해서는 속도 센서 또는 제어기 의 고장 발생 시 차량이 감속하거나 안전하게 정지할 수 있는 Fail-Operational 안전 메커니즘을 제공해야 하 며, 속도 제어 실패로 인해 발생할 수 있는 구조물 충돌을 방지하기 위한 비상 감속 및 정지 절차가 구현되 어야 한다. 또한, 조향 및 속도 제어의 복합 고장 상황에서도 차량은 도로 경계를 벗어나지 않고 안정적으로 회전 반경을 유지할 수 있어야 한다.

Ⅳ. 회전 교차로에서의 Fail-Operational 설계

1. 고장 허용 아키텍처 설계

Fail-Operational 설계는 자율주행 Lv.4 시스템에서 안전성과 신뢰성을 확보하기 위한 필수적인 접근법으로 시스템 고장 발생 시에도 차량이 안전하게 주행을 지속할 수 있도록 보장한다. 기존의 1oo2(One out of Two) 구조는 센서를 이중화하여 데이터를 비교하는 방식으로 신뢰성을 강화하지만, 두 센서의 출력 값이 서로 다 를 경우 어느 센서가 오류를 일으켰는지 식별할 수 없는 한계가 있다. 반면, TMR(Triple Modular Redundancy) 구조는 세 개의 센서를 활용하여 2oo3(2 out of 3) 방식으로 오류를 탐지하고 제외할 수 있어 높은 신뢰성을 제공하지만, 다수의 부품을 추가적으로 요구하기 때문에 비용 증가와 설계 복잡성을 초래한다. 이러한 현실 적 제약을 고려하여 본 연구에서는 1oo2D(One out of Two with Diagnostic) 구조를 Fail-Operational 설계에 적 용하였다(Shin et al., 2024).

1oo2D 구조는 두 개의 센서 또는 제어 모듈을 사용하면서도 진단 기능(Diagnostic)을 추가하여 오류를 탐 지하고 식별할 수 있는 장점을 가진다. 고장 발생 시 진단 기능을 통해 결함이 있는 모듈을 식별하고, 정상 모듈로 제어를 전환하여 시스템의 지속적인 동작을 보장한다. 이는 기존의 1oo2 구조의 단점을 보완하면서 도 TMR 구조에 비해 비용 효율성과 설계 간소화를 동시에 달성할 수 있는 방식이다.

본 연구에서는 가속, 감속, 조향과 같은 주요 자율주행 기능에 대해 1oo2D 구조를 적용하여 Fail-Operational 안전 메커니즘을 설계하였다. 이를 위해 두 개의 독립된 센서에서 측정된 데이터와 차량 동역학 기반으로 계산된 기대값을 실시간으로 비교하며, 오류 진단 알고리즘을 통해 신뢰성이 낮은 신호를 검출하고 고장을 탐지한다. 이를 통해 시스템이 센서 이상이나 제어 오류가 발생하더라도 정상적인 기능을 유지할 수 있도록 Fail-Operational 전략을 구현하였다.

2. 주요 기능별 Fail-Operational 설계

1) 가속 및 감속 기능

자율주행 시스템의 종방향 제어는 차량의 목표 속도와 실제 속도의 차이를 기반으로 가속 및 감속을 수행 하며 이를 위해 PID 제어기를 설계하였다. 차량의 목표 속도는 기본적으로 카메라 센서를 통해 인식한 제한 속도 데이터를 반영하여 설계되었고 센서 및 차량 동역학 데이터를 고려하여 Fail-Operational 메커니즘을 설 계하였다. 센서 오작동 상황을 고려하여 카메라 기반 속도 인식, HD Map 기반 속도 정보, 그리고 차량 동역 학을 이용한 물리적 안전 속도를 비교하여 최종 목표 속도를 결정하였으며 <Fig.1>에 도식화 하였다.

<Fig. 1>

Fail-Operational Architecture for Acceleration and Deceleration Functions

차량에 장착된 카메라 센서는 도로의 속도 제한 표지판을 실시간으로 인식하여 제한 속도 데이터를 제공 하며 환경 변화에 신속히 대응할 수 있는 실시간 정보를 생성한다. GPS 및 IMU를 통해 차량의 위치 추정을 통해 HD Map은 도로의 안전 속도를 제공받는다. 또한 차량 동역학 모델을 기반으로 물리적 안전 속도를 추 정하며, 차량의 각속도와 속도를 이용하여 도로 곡률 반경을 예측한 후 이를 통해 속도를 결정한다. 도로 곡 률 반경은 차량의 종방향 속도와 각속도의 관계로부터 도출되며, 이를 기반으로 차량이 안정적으로 주행할 수 있는 물리적 안전 속도는 다음과 같이 계산된다.

\begin{array}{l} R = \frac{υ_{x}}{ω_{t}}, \\ υ_{s a f e} = \sqrt{R \cdot g \cdot μ} \end{array}

(1)

여기서 υ_safe 는 안전 속도, ω_t 은 각속도, R은 도로 곡률 반경, g는 중력 가속도, μ는 도로 마찰 계수이다. Fail-Operational 메커니즘에서는 위의 세 가지 속도 정보를 비교하여 신뢰성을 평가하며, 속도 간 허용 오 차를 정의하여 속도 차이가 허용 범위를 초과할 경우, 신뢰도가 낮은 데이터를 제외하고 대체 데이터를 기반 으로 목표 속도를 재설정한다. 속도 신뢰성을 검증하기 위한 기준은 다음과 같다.

|υ_{c a m e r a} - υ_{m a p}| \leq Δ υ, |υ_{m a p} - υ_{s a f e}| \leq Δ υ, |υ_{s a f e} - υ_{c a m e r a}| \leq Δ υ

(2)

여기서 Δv는 허용 오차를 의미한다. 기준을 초과하는 경우, 신뢰도가 낮은 데이터는 제외되며 Fail-Operational 안전 메커니즘을 통해 대체 데이터를 사용해 목표 속도를 재설정한다.

제어기의 가속도 입력 값 역시 동일한 Fail-Operational 원칙을 적용하여 추가적으로 검증하며, 이를 위해 다음과 같은 기준을 만족하는지를 확인한다.

|u_{c a m e r a} - u_{m a p}| \leq Δ u, |u_{m a p} - u_{s a f e}| \leq Δ u, |u_{s a f e} - u_{c a m e r a}| \leq Δ u

(3)

여기서 Δu는 허용 오차를 나타낸다. 만약 기준을 초과하는 경우, Fail-Operational 안전 메커니즘이 작동하 여 신뢰할 수 없는 데이터를 제외하고 남은 데이터를 기반으로 최종 가속도를 설정하였다.

2) 조향 기능

자율주행 시스템의 횡방향 제어는 차량이 차선 중심선을 유지하면서 안정적으로 주행하도록 조향각을 결 정된다. 본 연구에서는 Pure Pursuit 알고리즘을 기반으로 차량 좌표계를 기준으로 Look-ahead Point를 설정하 고, 이를 이용하여 조향각을 계산하였다. Look-ahead Point의 횡방향 거리는 다중 센서 및 차량 동역학을 활 용하여 추정하며, 본 연구에서는 GPS/IMU, 카메라 센서, CTRA 예측 모델을 이용하여 독립적인 방식으로 횡 방향 거리 (y_camera, y_gps, y_CTRA)를 비교하여 Fail-Opertional 매커니즘을 설계하여 최종 조향각을 결정하였 으며, <Fig.2>에 도식화 하였다.

<Fig. 2>

Fail-Operational Architecture for Steering Function

차량의 Look-ahead Distance (d_L )는 속도에 따라 동적으로 결정되며, 다음과 같이 정의된다.

d_{L} = k ​ \cdot υ_{t}

(4)

여기서 k는 속도 비례 계수이고 υ_t 는 차량의 종방향 속도이다. Look-ahead Point를 설정하고 GPS 및 IMU 데이터를 활용하여 차량 좌표계 (Vehicle Coordinate System) 기반으로 Look-ahead Point의 횡방향 거리를 계산 하는 경우, 세계 좌표계 (Global Coordinate System, (x_g, y_g ))에서 차량의 현재 위치(x_t, y_t)와 헤딩 각도 θ_t 을 기반으로 Look-ahead Point를 다음과 같이 계산된다.

\begin{array}{l} x_{g} = x_{t} + d_{L} cos (θ_{t}) \\ y_{g} = y_{t} + d_{L} sin (θ_{t}) \end{array}

(5)

조향각을 계산하기 위해 Look-ahead Point를 차량 좌표계로 변환해야 한다. 차량 좌표계에서는 차량의 중 심을 원점으로 하고 종방향을 x축, 횡방향을 y축으로 정의한다. 세계 좌표계에서 구한 Look-ahead Point (x_g, y_g )를 차량 좌표계 (x_L , y_L )로 변환하는 과정은 다음과 같다.

[\begin{matrix} x_{L} \\ y_{L} \end{matrix}] = [\begin{matrix} cos θ_{t} & sin θ_{t} \\ - sin θ_{t} & cos θ_{t} \end{matrix}] [\begin{matrix} x_{g} - x_{t} \\ y_{g} - y_{t} \end{matrix}]

(6)

여기서x_L 은 종방향 위치이며 y_L 은 횡방향 위치로 정의된다. GPS/IMU 기반 횡방향 위치를 다음과 같이 표현하였다.

y_{g p s} = y_{L}

(7)

카메라 센서는 도로의 차선을 실시간으로 인식하여 곡률 정보(R_camera)를 제공하고 차량이 Look-ahead Distance d_L 만큼 이동했을 때의 도로 곡률을 반영하여 횡방향 거리를 계산한다. 이때 계산된 횡방향 거리는 차량 좌표계 기준이며, 다음과 같이 표현된다.

y_{c a m e r a} = R_{c a m e r a} \cdot (1 - cos(\frac{d_{L}}{R_{c a m e r a}}))

(8)

CTRA (Constant Turn Rate and Acceleration) 모델은 차량 동역학을 기반으로 일정한 각속도와 가속도를 유 지한다고 가정하고 차량의 위치를 예측하는 방법이다. 본 연구에서는 CTRA 모델을 기반으로 차량의 선회 운동을 고려하여 Look-ahead Point의 횡방향 거리를 예측하였다. 차량의 위치 (x_t, y_t ), 속도 (υ_t ), 가속도 (ω_t ), 그리고 헤딩 (θ_t )을 포함하여 Δt 후의 세계 좌표계에서의 차량 위치는 다음과 같이 계산된다.

x_{t + 1} = x_{t} + \frac{υ_{t}}{ω_{t}} (sin (θ_{t} + ω_{t} Δ t) - sin (θ_{t}))

(9)

y_{t + 1} = y_{t} + \frac{υ_{t}}{ω_{t}} (cos (θ_{t}) - cos (θ_{t} + ω_{t} Δ t))

(10)

υ_{t + 1} = υ_{t} + a_{t} Δ t

(11)

θ_{t + 1} = θ_{t} + ω_{t} Δ t

(12)

세계 좌표계에서 구한 Look-ahead Point (x_t_{+ 1}, y_t_{+ 1})를 차량 좌표계로 변환하여 y_CTRA 의 황방향 거리를 계산하면 다음과 같이 표현된다.

y_{C T R A} = - sin (θ_{t}) (x_{t + 1} - x_{t}) + cos (θ_{t}) (y_{g} - y_{t})

(13)

Fail-Operational 설계에서는 각 데이터 간의 상호 비교를 통해 횡방향 거리의 신뢰성을 검증한다. 이때 기 준은 다음과 같다.

|y_{c a m e r a} - y_{g p s}| \leq Δ y, |y_{g p s} - y_{C T R A}| \leq Δ y, |y_{C T R A} - y_{c a m e r a}| \leq Δ y

(14)

여기서 Δy는 허용 오차를 나타낸다. 기준을 초과할 경우, 신뢰할 수 있는 대체 데이터를 사용하여 Lookhead Point의 횡방향 거리를 재설정한다. Pure Pursuit Algorithm은 다음 수식을 기반으로 조향각을 계산한다.

δ = arctan (\frac{2 L y_{L}}{d_{L}^{2}})

(15)

제어기의 횡방향 거리 입력값은 앞서 도출한 횡방향 거리를 기반으로 다음 기준에 따라 검증된다.

|δ_{c a m e r a} - δ_{g p s}| \leq Δ δ, |δ_{g p s} - δ_{C T R A}| \leq Δ δ, |δ_{C T R A} - δ_{c a m e r a}| \leq Δ δ

(16)

여기서 Δδ는 허용 오차를 의미한다. 허용 오차를 초과할 경우, Fail-Operational 안전 메커니즘은 수정된 조향 입력값으로 결정하였다.

Ⅴ. 시뮬레이션 검증

1. 시뮬레이션 환경 구성

본 연구에서는 제안한 Fail-Operational 안전 메커니즘을 검증하기 위해 dSPACE VEOS 플랫폼을 활용하여 가상 검증 환경을 구축하였다. 자율주행 시스템은 TR4804 표준을 참고하여 구성하였으며, Fail-Operational 안 전 메커니즘은 MATLAB/Simulink에서 설계 및 개발되었다. 차량 동역학 모델과 센서 모델은 dSPACE사의 ASM (Automotive Simulation Models)과 통합하여 구현되었으며, 이를 통해 자율주행 차량의 제어 로직과 가 상 센서를 연계할 수 있도록 구성하였다.

센서 모델링은 dSPACE ASM의 센서 모델 라이브러리를 활용하여 카메라 센서, GPS/IMU 등의 가상 센서 를 포함하였다. 이를 통해 시뮬레이션 환경에서 고장 탐지 및 데이터 비교가 가능한 현실적인 센서 데이터를 제공하였으며, Fail-Operational 안전 메커니즘의 실효성을 평가하는 데 활용하였다.

시뮬레이션 환경은 서울 C-ITS 상암 테스트베드의 회전 교차로를 기반으로 도로 모델을 구성하였다. dSPACE ModelDesk를 활용하여 단일 차선, 차선 폭(3.66m), 내접원 지름(31.2m), 도로 경계 및 진출입로를 반영 하여 상세한 도로 모델을 구현하였다. 또한, 시뮬레이션 환경을 시각적으로 구성하여 <Fig.3>에 나타내었다.

<Fig. 3>

Simulation Environment for Fail-Operational Verification

2. 오류 주입 시나리오 및 Fail-Operational 안전 메커니즘의 검증

본 연구에서는 자율주행 시스템의 Fail-Operational 설계와 안전성을 검증하기 위해 단일 고장 시나리오를 기반으로 한 오류 주입 시뮬레이션을 설계하였다. 센서 성능의 한계로 인한 인식 성능 저하는 없다고 가정하 였으며, 자율주행 시스템은 단일 센서와 단일 제어기로 구성된 상황을 전제하였다. 본 오류 주입 시나리오는 도로의 회전 교차로 환경에서 발생할 수 있는 주요 고장 상황을 모델링하였으며, 주행 시작 후 5초 시점에서 오류를 지속적으로 주입하여 차량의 안전성과 주행 성능에 미치는 영향을 평가하였다.

1) FIT01 가속 및 감속 기능 - 카메라 센서 오작동

FIT01 시나리오는 카메라 센서가 속도 제한 표지판을 잘못 인식하거나 오류 데이터를 제공하는 상황을 모사 하였다. 이러한 오작동으로 인해 차량이 잘못된 제한 속도를 참조하여 의도치 않은 가속을 수행하고, 결국 차선 을 이탈하여 구조물과 충돌할 위험이 있는 시나리오를 구현하였다. 이 시나리오는 제한 속도 인식 오류로 인해 차량의 종방향 제어가 제대로 작동하지 않는 상황에서 Fail-Operational 안전 메커니즘의 성능을 평가하였다.

고장 주입 시간은 5초이며, 고장이 발생한 후 차량이 가속하여 구조물과의 충돌 속도는 12.3438 m/s로 확 인되었다. Fail-Operational 안전 메커니즘이 작동한 경우, 고장 발생 직후 1.033초 이내에 제한 속도 데이터를 대체 데이터로 전환하여 차량을 안정적으로 제어하였다. <Fig.4>는 고장 발생 상황에서 차량 속도가 지속적 으로 증가하여 충돌이 발생하였다. <Fig.5>는 Fail-Operational 안전 메커니즘이 작동하여 검증된 제한 속도를 대체 데이터로 충돌 상황을 회피하였다.

<Fig. 4>

Simulation Results of FIT01 Acceleration and Deceleration Function with Camera Sensor Malfunction

<Fig. 5>

Fail-Operational Simulation Results of FIT01 Acceleration and Deceleration with Camera Sensor Malfunction

2) FIT02 가속 및 감속 기능 - 제어기 오작동

본 시나리오는 가속 및 감속 제어기에서 발생할 수 있는 비트 반전(bit-flip) 오류를 모사하여 Fail-Operational 안전 메커니즘의 효과를 검증하는 데 중점을 두었다. 제어기 오작동으로 인해 의도치 않은 가속 명령이 발생 하며, 차량은 제한 속도를 초과하여 차선을 이탈하거나 구조물과 충돌할 위험이 증가하는 상황을 모델링하 였다. 이는 제어 로직 내부에서 발생할 수 있는 데이터 처리 오류가 주행 안전성에 미치는 영향을 평가하기 위해 설계되었다.

고장 주입 시간은 5초이며, 고장이 발생한 이후 차량은 감속하지 않고 구조물과의 충돌 속도가 12.3259 m/s로 확인되었다. Fail-Operational 안전 메커니즘이 작동한 경우, 고장 발생 직후 1.029초 이내에 제한 속도 데이터를 대체 데이터로 전환하여 차량 제어를 안정화하였다. <Fig.6>은 비트 반전 고장 발생 시 차량의 속 도가 지속적으로 증가하여 충돌이 발생하였다. <Fig.7>은 Fail-Operational 안전 메커니즘이 활성화되어 차량 의 속도 제어가 정상적으로 이루어지는 모습을 보여준다.

<Fig. 6>

Simulation Results of FIT02 Acceleration and Deceleration Function with Longitudinal Controller Malfunction

<Fig. 7>

Fail-Operational Simulation Results of FIT02 Acceleration and Deceleration Function with Longitudinal Controller Malfunction

3) FIT03 조향 기능 - GPS/IMU 센서 오작동

IMU 센서에서 차량의 헤딩(heading) 값에 오류가 발생하는 상황을 모사하였다. 잘못된 헤딩 데이터는 조 향각 계산 오류를 유발하여 차선을 이탈하고 구조물과 충돌할 위험이 있는 시나리오를 구현하였다. 이는 차 량이 올바른 조향각을 유지하지 못할 경우 발생할 수 있는 위험을 평가하기 위한 구성이다.

시뮬레이션 결과, 센서 오류로 인해 차량은 조향각을 적절히 유지하지 못하고 <Fig.8>과 같이 구조물과의 충돌은 약 5.612초에 발생하였다. Fail-Operational 안전 메커니즘이 작동한 경우, <Fig.9>와 같이 고장 발생 직 후 신뢰할 수 있는 대체 데이터를 활용하여 조향각을 수정함으로써 차량의 안정성을 회복함을 확인하였다.

<Fig. 8>

Simulation Results of FIT03 Steering Function with GPS/IMU Sensor Malfunction

<Fig. 9>

Fail-Operational Simulation Results of FIT03 Steering Function with GPS/IMU Sensor Malfunction

4) FIT04 조향 기능 - 제어기 오작동

조향 제어기에서 발생할 수 있는 비트 반전(bit-flip) 오류를 모사하였다. 이 오류는 조향 명령이 정상적으 로 전달되지 않게 하여 차량이 차선을 유지하지 못하고 구조물과 충돌할 위험을 검증하였다. 이 시나리오는 제어 로직의 물리적 결함이나 데이터 처리 오류로 인한 조향 실패 상황을 모델링하였다.

시뮬레이션 결과, 고장 발생 직후 <Fig.10>과 같이 차량의 의도치 않은 조향으로 5.357초에 충돌하였다. Fail-Operational 메커니즘이 활성화된 경우, <Fig.11>과 같이 오작동을 진단하고 대체 데이터를 통해 조향 명 령을 보정함으로써 차량의 안전성을 유지할 수 있음을 검증하였다.

<Fig. 10>

Simulation Results of FIT04 Steering Function with Lateral Controller Malfunction

<Fig. 11>

Fail-Operational Simulation Results of FIT04 Steering Function with Lateral Controller Malfunction

Ⅵ. 결 론

본 연구는 자율주행 시스템에서 발생할 수 있는 다양한 고장 상황을 가정하고, Fail-Operational 안전 메커 니즘의 설계 및 효과를 검증하였다. 회전 교차로와 같은 복잡한 환경을 중심으로 단일 고장 시나리오를 구성 하였으며, 센서와 제어기의 오작동을 포함한 주요 오류 사례에 대해 시뮬레이션 기반 검증을 수행하였다.

설계한 Fail-Operational 안전 메커니즘은 1oo2D 구조를 기반으로 하여 각 고장 시나리오에서 안정적인 복원 능력을 보여주었다. 가속 및 감속 기능, 조향 기능에 대한 센서 및 제어기의 오류 상황에서 Fail-Operational 메 커니즘은 신뢰할 수 있는 대체 데이터를 통해 시스템을 정상 상태로 복구를 통해 유효성 검증을 하였다.

시나리오에서 Fail-Operational 안전 메커니즘은 고장 발생 직후 빠르게 오류를 진단하고 신뢰도가 높은 대 체 데이터를 활용하여 주행 안전성을 유지하였다. 이러한 설계는 차량이 도로 경계를 벗어나거나 구조물과 충돌하는 위험을 효과적으로 방지하였으며, 시뮬레이션 결과를 통해 안전 메커니즘의 신뢰성을 입증하였다.

또한 실제 사고 데이터를 기반으로 자율주행 시스템에서 빈번히 발생할 수 있는 고장 상황을 분석하였다. 특히, 국내 특정 지역인 서울 C-ITS 상암 테스트베드를 모델링하여 회전 교차로를 중심으로 도로 환경을 설 계하였다. 이 모델은 곡률 반경, 차선 경계, 제한 속도와 같은 상세 도로 정보를 포함하며, 실제 사고 데이터 를 반영하여 현실적인 시뮬레이션 환경을 구성하였다.

본 연구는 단일 고장 시나리오에 국한하여 Fail-Operational 메커니즘을 검증하였다. 그러나 실제 도로 환경 에서는 다중 고장 시나리오 및 복합적인 환경적 요인이 결합된 상황이 빈번히 발생할 수 있다. 따라서 다중 고장 시나리오와 다양한 환경적 요인을 반영한 고장 대응 전략의 검증은 향후 연구 과제로 남아 있다. 특히, 경찰청 교통사고 데이터에 따르면 회전 교차로 내 진출입 중 회전 중 차량과 진입 차량 간의 충돌의 사고 비율 (29.58%)이 가장 높게 나타나고 있어, 이를 추가 연구 대상으로 선정하여 Fail-Operational 설계의 실효성 을 더욱 포괄적으로 평가할 필요가 있다. 또한, 시뮬레이션 기반 검증을 실차 환경으로 확장하여 Fail-Operational 메커니즘의 실제 적용 가능성을 확인하고, 자율주행 시스템의 실질적인 안전성을 강화해야 한다.

ACKNOWLEDGEMENTS

본 연구는 국토교통부와 국토교통과학기술진흥원 자율주행기술개발 혁신사업의 연구비 지원(과제번호 RS- 2021-KA162182)에 의해 수행되었습니다.

Figure

<Fig. 1>.