자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 작정 (2) 와~~

자율주행자동차를 대상으로 한 리스크 분석 및 Risk평가 예정(한)1. 자율주행자동차에 대한 제어가 예상되는 HARA의 수행은 OEM이 안전과 관련된 새로운 시스템을 탑재한 자동차를 생산하는데 첫 번째 과정이었다. HARA을 통과 하고 개발되는 아이템의 기능을 바탕으로 오동작과 그에 따른 위험을 파악하는 등의 활동을 통과 하고 철저한 안전 측면을 고려한 ASIL수준이 결정되고 협력 기업은 이런 OEM의 최상위의 안전 요구에 근거하여 System, Hardware, Software를 개발하게 된다(그림 1개 참조).ASIL 및 최상위의 안전요구사항을 결정하는데 있어서 HARA는 매우 중요하며, 특히 실제 차량수준에서 분석되는 운영상황 및 운영시 본인 리오가 핵심적인 역할을 한다. ASIL을 결정하는 데 심각성, 발생 빈도, 제어 가능성에 대한 가이드 라인은 SAE J2980-Considerations for ISO 26262 ASIL Hazard Classification이나 독 1자동차 협회인 VDA에서 발간한 VDA 702-Situationskatalog E-Parameter nach ISO 26262-3에 상세히 설명되고 있다.​ 그렇게 본인 최근 자율 주행 자동차에 대한 관심이 높아지고 SAE의 자율 주행 Level 3등급 이상의 자율 주행 자동차가 개발되면서 자율 주행 자동차를 대상으로 한 ISO 26262대응에 대한 요구가 높아지고 있다. 자율 주행 자동차의 경우 기능이 제대로 정의되고 있다고 하더라도 차량 제어권을 차량 스스로 갖고 있어 정확한 기능 수행의 범위를 설정하는 것이 어려운 동 1 보인 운영 시 본 인 리오더라도 재현성이 진짜 불가능하기 때문에 많은 OEM이 HARA을 수행하는 데 불편을 겪고 있다.​, 기존 차의 HARA에서는 위험한 상황에 직면했을 때 보편적인 운전자가 위험을 회피하는 Parameter를 제어 가능하게 하고 C0~C3으로 구분하고 각각의 등급에 대한 회피 확률을 명시했다.

Table 3.ISO 26262:20하나 8에 명시된 제어 가능성(Controllability)등급 비교 ​ 그러나 자율 주행 자동차의 경우 먼저 언급한 바와 같이 크게 한개)운전자 제어부와 2)자율 주행 모두 두개의 주행 모든 것에서 나쁘지 않은 눌 수 있다. 운전자 제어 모든 상황에서는 Table 3에 명시된 기준을 이용하여 기존의 차량과 같거나처럼 등급을 부여하는 것 잇우나프지앙, 2)자율 주행 모든 경우, 차량의 제어권을 차량 자체가 갖고 있기 때문에 제어 가능성에 대한 등급을 판정하는 것이 불가능하다. 다시 말해 자율주행 모두에 대한 운영 상황을 최대한 세분화해 각각의 상황에 대한 등급을 판정하거나 나쁘지 않고 모든 운영 상황에 대해 거의 매일 최대 수준의 제어 가능성을 부여하는 비결에 대한 접근이 가능하다.​ 만약 자율 주행 모든 것으로 주행하던 중 발발한 후 햄 상황 – 운전자 제어 모든 것에서부터 충분히 회피 가능한 수준 위 함 상황-에서 차량의 제어권을 후(후) 하는 Software의 오작동에 의한 차량의 제어권을 운전자에게 어떤 신호 없이 승계할 경우 운전자는 갑자기 제어권 획득에 의해서 차량의 제어가 기존 C한 등급 수준으로 C2또는 C3등급 수준으로 상향 조정이 될 수 있다. 이런 경우를 미연에 막기 위해 운전자 주행이 나쁘지 않고 자율주행 모두에 최고 등급의 제어 가능성을 부여하는 비결이 있다.이런 비결은 위험 상황에 대한 차량 대처에 대한 적극적인 대처가 가능한 System을 개발할 수 있지만 나쁘지 않고 개발비 상승과 직결된다는 의구심을 갖고 있다. 또한 제어 가능성을 최고 등급인 C3에서 부여함으로써 S+E+C의 합계가 최저 수준인 3이 아니라 5으로 전체적인 ASIL판정을 위한 범위가 대폭 감소합니다는 의문점이 있다. ​ 2. 자율 주해 자동차에 대한 HARA​, 자율 주행 자동차를 대상으로 한 HARA에서는 선행해서 언급한 바와 같이 제어 가능성을 최고 등급인 C3에 반영하는 것이 가장 바람직하다. 자율 주행 자동차에 탑재된 AEB(Autonomous Emergency Brake)이 고속 도로를 주행하던 중 도로상에서 동물을 발견한 경우를 예를 들면 SAE J2980로 심각도 S는 2를 VDA 702에 의해서 노출 빈도 E도 2를 부여할 수 있고 제어 가능성 C는 최고 등급인 3를 부여하고 최종 ASIL는 A가 판정된다.​

>

1조 같은 차량의 경우에서는 위의<그림 7>로 도식화된 HARA Table이 충분한 타당성을 확보할 수 있다. 심각도 나쁘지 않는 노출 빈도의 경우 관련 가이드의 SAE J2980이 나쁘지 않고 VDA 702가이드에서 제시하는 기준을 적용하기도 하고 가이드에서 제시하는 등급이 AEB가 탑재되어 판매가 이루어지는 정부의 도로 상황이 나쁘지 않고 운전 습관이라는 요인을 고려했을 때 1부, 부적절한 등급의 경우에 한해서는 납득이 가능한 수준에서 조정이 가능하다( 그렇게 나쁘지 않으니, 대부분의 경우 SAE J2980이 나쁘지 않고 VDA 702에서 제시하는 범위를 크게 칭국오 나쁜 없다.). 그렇게 나쁘지 않는 1반의 차량과 자율 주행 차량의 HARA에서 가장 큰 차이점이라고 할 제어 가능성 C는 큰 차이를 나쁘지 않고 받을 수 있다. 고속 도로를 주행 중의 1반의 차량이 도로상에서 동물을 발견한 경우 일반적인 상황이라면 적어도 90Percent이상의 회피가 가능했다 그래서 제어 가능성 C등급이 C2수준으로 아침 아질 것으로 예상되며 심각도와 노출 빈도 그 때문에 제어 가능성 등 모든 이가 "2"이 되고 최종 안전, 완전성은 QM수준에서 ISO 26262에 대한 대응이 불필요하게 된다.실제로 자율주행자동차가 자율주행 모두에 위험에 처한 상황에서 갑자기 제어권을 운전자에게 부여할 경우 운전자는 제어권을 잃을 확률이 높고, 이로 인해 연결될 확률이 높아진다. 따라서 자율주행자동차를 대상으로 HARA를 실시할 경우에는 기존차량의 HARA와 비교하여 접근방식을 달리할 필요가 있다. 즉, 1반 차량의 주행 상황 분석 때 활용한 환경 영향 좀 나쁘지 않고 주행 상황, 지금은 동 1에 사용하되 자율 주행 모든 것에서 구현되는 다양한 상황을 고려해야 한다. 자율 주행 차량도 한 주행 중 교통 규칙을 쥬은눅으로 1프지앙, 방안이 없는 실책에 의해서 교통 신호를 충분히 인식하 못하고 아니며 주변에 있는 차량이 규칙을 위반한 경우가 추가로 고려되어야 할 것이다. 자율주행자동차의 HARA를 실시할 때 추가적으로 고려해야 할 부분은 교통법규뿐 아니라 갑작스러운 통신실패도 나쁘지 않고 운전전부간의 혼선, 전기/전자장치로 제어되는 제동, 조향 등의 실패 등 차량주행에서 발생할 수 있는 상황도 고려할 필요가 있다. 기존 차량의 경우, 차량의 주행상황은 대부분 리스크를 생각할 수 있는 잠재적 요인으로 식별되고 있지만 자율주행차에 대해서는 각각의 상황에 직면하더라도 기능을 정상적으로 완수할 필요가 있기 때문에 기존에 비해 모든 상황에 대한 기준을 세분화할 필요가 있다.​<그림 7>의 경우 자율 주행 자동차가 고속 도로 주행 중 동물을 발견하는 상황이라는 것이라면, 기존 차량에 대한 위험 상황의 정의와는 다르게 표현해야 하는 것이다. 모든 동물이 차량과 충격 시 위험한 상황을 말을 걸지 않기 때문에 개체의 중량을 세분화하고 20kg미만, 20kg이상 등으로 구분할 필요가 있다. 20kg미만의 개체가 도로 위에서 출현하는 경우가 20kg이상의 개체가 출현하는 경우와 노출 빈도상에서는 유사하다고 말했다고 충격에 의한 심각도에서는 적어도 한 계급 이상의 차이는 발생할 수 있다. 즉, 기존 차량의 주행 상황에서 도식한 "동물 발견"을 개체의 무게로 세분화할 경우 20kg미만의 개체는 심각도가 한 단계 하향 조정하고 ASIL이 주어지지 않는 QM을 부여 할 수 있다(그림 8참조)

>

기존 차량을 대상으로 한 리스크 원 분석 및 리스크 평가는 개발 대상 아이템에 대한 정의 후의 오작동을 도출하고 그에 따른 거리를 정의한다. 앞으로 주행귀추 분석이 완료되면 각각의 주행귀추와 동네를 조합해 위험행사를 자결하는 동시에 심각도, 노출빈도 및 제어현실성 등급을 부여해 자동차안전완전성등급(ASIL)을 결정하게 된다. 1반 적으로 주행 귀추에 대한 분석은 큰 틀에 변경되는 경우가 적은 없고 다만 개발 대상 Item의 기능이 관여하는 범위로 주행 귀추 초점이 변경된다.그러나 나쁘지 않은 자율 주행 자동차의 경우 개발 대상 아이템과 약간의 무관하게 차내의 조향, 제동, 가속, 감속 귀추와 연계하여 작용하기 때문에 주행 귀추에 대한 분석이 가장 중요한 요소다. ​ 3. 결론 ​ 자동차를 생산하는 OEM의 측면에는 차량 문제에 대한 책입니다. 이 때문에 협력 기업과 개발을 시작할 때에 가급적 높은 ASIL등급을 희망하고 반대로 협력 업체의 경우, 개발 비용이 나쁜, 때때로 문제 등으로 가능한 모니터링은 ASIL등급을 OEM에서 할당을 요구한다. ​, 자율 주행 자동차의 경우 기존 차량과 대비하고 보다 높은 수준의 안전이 확보돼야 한다는 측면을 고려하고 차량 제어 권한이 차량 자체에 있다는 것을 감안하면 제어 현실성을 최고 수준으로 부여한 접근이 ISO 26262를 채우는 개발 노하우다. 물론 제어 현실성을 최고 수준으로 부여하기 때문에 발발되는 기존 차량, 동 1 Item탑재 기준 ASIL등급에 비해서 자율 주행 자동차에 탑재되는 Item의 ASIL등급이 상향 조정된 문제는 있지만, 완벽한 안전성이 확보되지 않으면 안 된다 자율 주행 자동차의 특성을 고려한다면 충분히 고려하도록 노하우론이다.​

한컴 MDS medini analyze l SES사업부 SES1팀 E.medini@hancommds.com제품 문의 medini analyze의 소개 페이지