자율주행 자동차를 대상으로 한 리스크 분석 및 리스크 평가 방안 (2)
자율주행차를 대상으로 한 리스크 분석 및 리스크 평가 방안(1)을 보러 가는 자율주행차에 대한 제어 가능성
HARA 수행은 OEM이 안전과 관련된 새로운 시스템을 탑재한 자동차를 생산하는 데 처음으로 이뤄지는 프로세스다. HARA에 의해 개발되는 아이템의 기능을 기반으로 오동작이나 그에 따른 리스크를 파악하는 등의 활동을 통해 안전면을 철저히 고려한 ASIL의 등급이 결정되며 협력사는 이러한 OEM의 최상위 안전요건에 따라 System, Hardware, Software를 개발하게 된다(그림 1 참조).
인기글
<그림 1>ISO 26262를 준수하고 안전 요구 사항의 흐름 ASIL및 최상위 안전 요구 사항을 결정하는 데 HARA는 매우 중요하므로, 특히 실제 차량 수준에서 분석되는 운영 상황 및 운용 시나리오가 핵심적인 역할을 한다. ASIL을 결정하는데 있어서 심각한 정도, 발생 빈도, 제어 가능성에 대한 가이드 라인은 SAE J2980-Considerations for ISO 26262 ASIL Hazard Classification및 독일 자동차 협회인 VDA가 발간한 VDA 702-Situationskatalog E-Parameter nach ISO 26262-3에 상세히 설명되고 있다.그러나 최근 자동 운전 자동차에 대한 관심이 높아지면서 SAE의 자동 운전 Level3등급 이상의 자동 운전 자동차가 개발되면서 자동 운전 자동차를 대상으로 한 ISO 26262대응에 대한 요구가 높아지고 있다. 자동 운전 자동차의 경우 기능이 제대로 정의되고 있다고 해도 차량의 제어권을 차량 스스로 갖고 있어 정확한 기능 수행의 범위를 설정하는 것이 어려운 같은 운영 시나리오에서도 재현성이 거의 불가능하므로 많은 OEM이 HARA을 수행하는 데 불편을 겪고 있다.기존 차량의 HARA에서는 위험한 상황에 직면했을 때 보편적인 드라이버가 위험을 회피하는 Parameter를 제어 가능성으로서 C0~C3으로 구분하고 각각의 등급에 대한 회피 확률을 명시했다.
ClassTitleDescriptionC0*)일반적으로 제어 가능 특정 위험에 대한 전용 규제가 존재할 경우 충분한 제어성에 관한 기존의 경험과 일치하는 경우, 제어성은 C0으로 평가되는 일이 있습니다. C0의 사용에 대해서는 ISO26262-3:2018,7.4.3.8을 참조하세요.C1모든 드라이버 또는 기타의 트래픽 참가자의 99%이상이 보통 특정 장애를 회피할 수 있습니다.C2보통 모든 드라이버 또는 기타의 트래픽 참가자의 90%이상이 특정 장애를 회피할 수 있습니다.C3제어가 곤란 또는 제어 불능 정기, 모든 운전자 또는 기타의 트래픽 참가자의 90%미만이 특정의 위해를 피할 수 있습니다*C0주:설명은 ISO26262-3:2018,7.4.3.7, 주 2에 근거한 “특정 위해”를 사용하고 있습니다.
.jpg)
ClassTitleDescriptionC0*) 일반적으로 제어 가능 특정 위험에 대한 전용 규제가 존재하는 경우 충분한 제어성에 대한 기존 경험과 일치하는 경우 제어성은 C0으로 평가될 수 있습니다. C0 사용에 대해서는 ISO 26262-3:2018, 7.4.3.8을 참조하십시오.C1 모든 드라이버 또는 기타 트래픽 참가자의 99% 이상이 일반적으로 특정 장애를 피할 수 있습니다.C2 일반적으로 모든 드라이버 또는 기타 트래픽 참가자의 90% 이상이 특정 장애를 피할 수 있습니다.C3 제어가 어렵거나 제어 불능 일반적으로 모든 드라이버 또는 기타 트래픽 참가자의 90% 미만이 특정 위해를 피할 수 있습니다*C0 주: 설명은 ISO26262-3:2018, 7.4.3.7, 주2에 따른 “특정 위해”를 사용합니다.
자율주행차를 대상으로 한 HARA에서는 앞서 언급한 것처럼 제어 가능성을 최고 등급인 C3에 반영하는 것이 가장 바람직하다고 할 수 있다. 자율주행자동차에 탑재된 AEB(Autonomous Emergency Brake)가 고속도로를 주행하던 중 도로 위에서 동물을 발견한 경우를 예를 들어 SAE J2980에 의해 심각도 S는 2를 VDA 702에 따라 노출빈도 E도 2를 부여할 수 있고 제어가능성 C는 최고 등급인 3을 부여하며 최종 ASIL은 A가 결정된다.
.jpg)
자율주행차를 대상으로 한 HARA에서는 앞서 언급한 것처럼 제어 가능성을 최고 등급인 C3에 반영하는 것이 가장 바람직하다고 할 수 있다. 자율주행자동차에 탑재된 AEB(Autonomous Emergency Brake)가 고속도로를 주행하던 중 도로 위에서 동물을 발견한 경우를 예를 들어 SAE J2980에 의해 심각도 S는 2를 VDA 702에 따라 노출빈도 E도 2를 부여할 수 있고 제어가능성 C는 최고 등급인 3을 부여하며 최종 ASIL은 A가 결정된다.<그림 8>AEB에 대한 Refine된 HARA Table기존 차량을 대상으로 한 위험원 분석 및 리스크 평가는 개발 대상 아이템에 대한 정의 이후 오작동을 이끌고 이에 의한 고장을 정의한다. 이후 주행 상황에 대한 분석이 완료되면 각각의 주행 상황과 고장을 조합하고 위험 행사를 판정하고 동시에 심각도, 노출 빈도, 제어 가능성 등급을 부여하고 자동차 안전 무결성 등급(ASIL)을 결정하게 된다. 일반적으로 주행 상황에 대한 분석은 큰 틀에서 변경되는 일이 거의 없고 다만 개발 대상 아이템의 기능이 관여하는 범위로 주행 상황의 초점이 변경된다.그러나 자동 운전 자동차의 경우 개발 대상 아이템과는 거의 관계 없이 차내 스티어링, 제동, 가속 또는 감속 상황과 연계하여 기능을 수행하면서 주행 상황에 대한 분석이 가장 중요한 요소다. 결론자동차를 생산하는 OEM의 측면에서는 차량 사고에 대한 책임이 있어 협력 회사와의 개발을 시작하면서 가급적 높은 ASIL등급 부여를 희망하고 반대로 협력 업체의 경우 개발 비용과 시간 문제 등으로 가능한 한 낮은 ASIL등급의 OEM할당 받도록 요구한다.자동 운전 자동차의 경우 기존 차량과 비교해서 보다 높은 레벨의 안전이 확보돼야 한다는 측면을 고려해서 차량 제어 권한이 차량 자체에 있다는 점을 감안하면 제어 가능성을 최고로 부여한 접근이 ISO 26262를 채우는 개발 방법이다. 물론, 제어 가능성을 최고 수준에 부여하기 때문에 발생할 수 있는 기존 차량, 동일 아이템 탑재 기준 ASIL등급에 비해서 자동 운전 자동차에 탑재되는 Item의 ASIL등급이 상향 조정되는 문제는 있지만, 완벽한 안전성이 확보되어야 한다 자동 운전 자동차의 특성을 고려하면 충분히 고려할 수 있는 방법론이다.한컴인텔리전스ㅣISE사업본부 SPE팀 통합기능 안전솔루션 Medini analyzeㅣ [email protected]