자율 주행 자동차를 대상으로 한 위험. 분석 및 Risk 평가 미리계획 (2)

자율주행자동차를 대상으로 한 위험분석 및 위험평가 예정(1)1. 자율주행자동차에 대한 제어가능성 HARA의 실시는 OEM이 안전과 관련된 새로운 시스템을 탑재한 자동차를 생산하는데 있어 최초1로 이루어지는 프로세스입니다. HARA에 의해 개발되는 아이템의 기능을 바탕으로 오동작과 그에 따른 위험을 파악하는 등의 활동을 통해 안전을 철저히 고려한 ASIL 수준이 결정되며 협력회사는 이러한 OEM의 최상위 안전요구사항을 바탕으로 System, Hardware, Software를 개발하게 된다(그림 1 참조).ASIL 및 최상위 안전요구사항을 결정함에 있어서 HARA는 매우 중요하며, 특히 실제 차량수준에서 분석되는 운영귀취 및 운영시나리오가 핵심적인 역할을 한다. ASIL의 결정에 있어서의 심각도, 발생 빈도, 제어 가능성에 관한 가이드라인은 SAE J2980-Considerations for ISO 262 ASIL Hazard Classification 및 독일 자동차협회인 VDA 702-Situationskatalog E-Parameter nach ISO 262-3에 자세하게 설명되어 있다.그러나 최근 자율주행자동차에 대한 관심이 높아지고 SAE의 자율주행레벨 3클래스 이상의 자율주행자동차가 개발됨에 따라 자율주행자동차를 대상으로 한 ISO262 대응에 대한 요구가 높아지고 있다. 자율주행자동차의 경우 기능이 제대로 정의되어 있다고 해도 차량제어권을 차량 스스로가 가지고 있기 때문에 정확한 기능수행 범위를 설정하기 어렵고, 동일1의 운용 시나리오라 하더라도 재연성이 정말 거의 불가능하기 때문에 많은 OEM이 HARA를 수행하는 데 불편을 겪고 있다.기존 차량의 HARA에서는 위험한 귀취에 직면했을 때 보편적인 운전자가 위험을 회피할 수 있는 Parameter를 제어 가능성으로 하여 C0~C3로 구분하고, 각각의 등급에 대한 회피 확률을 명시했다.

Table 3.ISO 262:20 하나8에 명시된 제어실현성(Controlability) 클래스 비교를 실시하는데, 자율주행자동차의 경우 전술한 바와 같이 크게 하나) 운전자 제어 전부와 2) 자율주행 2개의 주행으로 나뉜다. 운전자제어 모든 상황에서는 테이블3에 명시된 기준을 활용하여 기존 차량과 동일하게 등급을 부여할 수 있지만, 2) 자율주행 모든 경우 차량의 제어권을 차량자체가 가지고 있기 때문에 제어실현성에 대한 등급을 결정하는 것이 불가능하다. 바꿔 말하면 자율주행 전체에 대한 운영상황을 제1로 크게 세분화하여 각각의 상황에 대한 등급을 결정하거나 모든 운영상황에 대해 거의 매일 최대수준의 제어실현성을 부여하는 방법에 대한 접근이 가능하다.가령 시 자율주행 모두에서 주행 중 발생한 위험상황, 운전자 제어 모두에서 충분히 회피할 수 있는 수준의 위험상황에서 차량의 제어권을 그 소음을 받는 Software의 오작동으로 인해 차량의 제어권을 운전자에게 어떠한 신호도 없이 넘겨줄 경우 운전자는 갑작스러운 제어권 획득으로 인해 차량의 제어가 기존 C2도 등급수준으로 C3등급수준으로 상향조정될 수 있다. 이런 경우를 미연에 방지하기 위해 운전자 주행과 자율주행 모두 최고 등급의 제어실현성을 부여하는 방법이 있다.이런 방법은 위험상황에 대한 차량 대처에 대한 적극적인 대처가 가능한 시스템을 개발할 수 있지만 개발비 상승과 직결된다는 문제를 안고 있다. 역시 제어의 실현성을 최고등급인 C3에 부여함으로써 SQL의 합이 최저수준인 3이 아니라 5가 되어, 모든 ASIL 결정을 위한 범위가 대폭 감소한다는 문제점이 있다.2. 자율주해자동차에 대한 HARA 자율주행자동차를 대상으로 한 HARA에서는 앞서 기술한 바와 같이 제어실현성을 최고등급인 C3에 반영하는 것이 가장 바람직하다고 할 수 있다. 자율주행자동차에 탑재된 AEB(Autonomous Emergency Brake)가 고속도로상에서 동물을 발견한 경우를 예를 들어 SAEJ2980에 의해 심각도 S는 2를 VDA 702에 의해 노출빈도 E도 2를 부여할 수 있으며 제어실현성 C는 최고등급인 3을 부여하고 최종 ASIL은 A가 결정된다.​

>

초반적인 차량의 경우에는 위의 <그림 7>에 도식화한 HARA Table이 충분한 타당성을 가질 수 있다. 심각도 나쁘지 않고 노출빈도의 경우 관련 가이드인 SAEJ2980이 나쁘지 않기 때문에 VDA 702 가이드에서 제시하는 기준을 적용할 수도 있으며 가이드 상에서 나타내는 등급이 AEB가 탑재되어 판매되는 행정부의 도로 상황이 나쁘지 않고 운전관습과 같은 요인을 고려하면 최초의 부적절한 등급인 경우에 한해서는 납득할 수 있는 수준으로 조절할 수 있다(그러나 나쁘지 않으며, 많은 경우 SAEJ2980 나쁘지 않으며, VDA 702에서 제시하는 범위를 크게 벗어나지 않는다. 그러나 나쁘지 않고 최초 클래스 차량과 자율주행 차량의 HARA에서 가장 큰 차이라고 할 수 있는 제어현실성 C는 큰 차이를 나쁘지 않게 나타낼 수 있다. 고속도로를 주행중의 최초의 차량이 도로상에서 동물을 발견한 경우, 통상의 상황이라면 적어도 90 Percent이상의 회피는 가능하겠지요. 따라서 제어현실성 C등급이 C2레벨로 잘못될 것으로 예상되며 심각도와 노출빈도, 그러므로 제어현실성 등 모든 이때가 '2'가 되어 최종안전성 수준은 QM레벨로 ISO 262에 대한 대응이 불필요해진다.실제로 자율주행자동차가 자율주행 전부 중 위험에 처한 상황에서 제어권을 갑자기 운전자에게 줄 경우 운전자는 제어권을 잃을 확률이 높고 이는 사글리로 연결될 확률이 높아진다. 따라서 자율주행자동차를 대상으로 HARA를 실시할 경우에는 기존차량의 HARA와 비교하여 접근방식을 달리할 필요가 있다. 즉 첫 번째 등급 차량의 주행상황 분석 때 활용한 환경영향도 더 이상 나쁘지 않고 주행상황은 동등하게 사용하되 자율주행 전에서만 구현되는 여러 가지 상황을 고려해야 한다. 자율주행차도 주행 중 교통규칙을 준수해야 하고, 작은 오류로 인해 교통신호를 제대로 인식하지 못하거나 나쁘지 않아 주변에 있는 차들이 규칙을 위반했을 경우가 추가로 고려돼야 한다. 자율주행자동차의 HARA 수행에서 좀 더 고려해야 할 부분은 교통규칙뿐만 아니라 갑작스런 통신실수도 나쁘지 않고 운전전부간의 혼선, 전기/전자장치로 제어되는 제동, 조향 등의 실패 등 차량주행에서 발생할 수 있는 상황도 고려할 필요가 있다. 기존 차량의 경우 차량 주행상황은 대부분 위험.을 말하는 잠재적 요인으로 식별됐지만 자율주행자동차의 경우에는 각각의 상황에 처하더라도 기능을 정상적으로 수행해야 하기 때문에 기존에 비해 모든 상황에 대한 기준을 세분화할 필요가 있다.<그림 7>의 경우 자율주행 자동차가 고속도로 주행 중 동물을 발견하는 상황이라면 기존 차량에 대한 위험. 상황 정의와 다르게 표현해야 한다. 모든 동물이 차량과 충격 시의 위험. 상황을 말해주는 것은 아니므로 개체의 중량을 세분화하여 20kg 미만, 20kg 이상 등으로 구분할 필요가 있다. 20kg 미만의 개체가 도로상에서 출현하는 경우가 20kg 이상의 개체가 출현하는 경우와 노출빈도상에서는 비슷하다고 해도 충격에 의한 심각도에서는 적어도 1등급 이상의 차이는 발발할 수 있다. 즉, 기존 차량의 주행 상황에서 도식한 "동물 발견"을 개체의 무게로 세분화하는 경우, 20 kg 미만의 개체는 심각도가 한 단계 내려 ASIL이 부여되지 않는 QM을 줄 수 있다(그림 8 참조).

>

기존 차량을 대상으로 한 위험원 분석 및 리스크 평가는 개발 대상 아이템의 정의 후 오작동을 도출하고 이에 따른 촌락을 정의하게 될 것이다. 다음 주행귀추에 대한 분석이 완료되면 각각의 주행귀추와 촌락을 조합해 위험행사를 자결하고 동시에 심각도, 노출빈도 및 제어현실성 등급을 부여해 자동차안전완전성등급(ASIL)을 자결하게 된다. 1반적으로 주행귀추에 대한 분석은 큰 틀에서 변경되는 경우는 거의 없으며 다만 개발대상 아이템의 기능이 관여하는 범위에 따라 주행귀추초점이 변경된다.과인 자율주행자동차의 경우 개발 대상 아이템과 거의 상관없이 차내 조향, 제동, 가속 혹은 감속 귀추와 연계해 기능을 수행하기 때문에 주행 귀추에 대한 분석이 가장 중요한 요소다.3. 결론 자동차를 생산하는 OEM 측면에서는 차량 문재에 대한 책임이 있으므로 협력사와의 개발을 시작할 때 가급적 높은 ASIL 등급을 부여하고 싶고, 반대로 협력사의 경우 개발비가 부과될 때 문재 등에 따라 가능한 오전에는 ASIL 등급을 OEM에서 배정하도록 요구할 것이다.자율주행자동차에 대해서는 기존 차량과 대비하여 보다 높은 수준의 안전이 확보되어야 한다는 측면을 고려하여 차량제어 권한이 차량 자신에게 있음을 감안할 때 제어의 현실성을 최고 수준으로 부여한 접근법이 ISO262를 충족시키는 개발 노하우다. 물론 제어의 현실성을 최고 수준으로 부여하기 위해 발생할 수 있는 기존 차량인 Item 탑재 기준인 ASIL 등급에 비해 자율주행자동차에 들어가는 Item의 ASIL 등급이 올라가는 문재는 있지만 완벽한 안전성이 확보돼야 하는 자율주행자동차의 특성을 감안하면 충분히 고려할 수 있는 노하우론이다.​

한컴MDS medinianalyzel SES 사업부 SES 첫팀 E.E 제품 문의 : medinianalyze 소개 페이지