The Importance of Functional Safety and Integrity for Automotive Positioning Solutions
차량 위치추적 솔루션서 기능안전과 무결성의 중요성
2023년 11월호 지면기사  / 글 | 스테파니아 세시아(Stefania Sesia), 글로벌 차량 애플리케이션 마케팅 총괄, u-blox



GNSS 센서는 절대 위치 정보를 제공하며, 센서 융합 시스템에서 다른 ADAS/ADS 센서들을 보완한다. 이 시스템에서 무결성은 시스템의 부적절한 작동에 대해 사용자에게 즉각적인 경고를 제공하는 것을 포함한다. 차량이 자율주행을 하면서 자신의 실제 위치 정보를 기반으로 의사결정을 하도록 하려면, 해당 정보의 신뢰성/무결성에 대한 의구심이 들지 않아야 한다. 이 정보가 정확하지 않으면 자칫 인명 피해가 발생할 수도 있기 때문이다.

글 | 스테파니아 세시아(Stefania Sesia), 글로벌 차량 애플리케이션 마케팅 총괄, u-blox

연관기사: 자율주행과 퍼펙트한 위치추적을 위해… (autoelectronics.co.kr)






무인 자동차 시대를 향해 나아감에 따라 새로 출시되는 자동차들은 세대를 거듭할수록 점점 더 다양한 운전자 지원 기능을 제공할 것이다. 일례로, 인공지능(AI)과 컴퓨터 비전의 발전은 레벨 5의 완전 자율주행(ADL5)을 가속화할 것이다.

2030년까지 신차의 약 70%는 적어도 차선유지 기능과 차선변경 기능을 기본으로 제공하게 될 것이다. 레벨 2(ADL2)의 이런 기본적인 자율주행 기능은 이미 현재의 중급 및 프리미엄급 차량에 적용되고 있다. 2020년대 말에는 저가의 보급형 차들도 보다 높은 수준의 자율주행 기능들을 포함하게 될 것이다. 이와 함께 세계 주요 대도시들에서 ADL4/ADL5에 기반한 ‘서비스로서의 모빌리티(Mobility-as-a-Service, MaaS)’ 시장이 본격화될 것이다.

첨단 운전자 지원 시스템(ADAS)과 자율주행 시스템(ADS)은 여러 센서로부터 수집한 데이터를 사용한다(센서 융합). 레이다, 라이다, 비디오, 초음파, 카메라 등으로부터 수집한 데이터를 처리해 차량 및 차량 주변 상황에 대한 정확한 정보들을 파악할 수 있다.
이와 함께, GNSS(Global Navigation Satellite System) 수신기는 차선 구분이 가능한 수십 센티미터 정확도로 차량의 절대 위치를 제공하는 유일한 센서다. 따라서 GNSS는 차량이 지도 상의 자신의 위치와 주변 환경 내의 자신의 위치를 정확히 파악할 수 있게 한다.

ADAS 시스템은 GNSS 정보를 사용해 예컨대 주행 경로 계획 등과 같은 최선의 동작을 제안하고 결정할 수 있다. GNSS 정보는 무선 통신 기술(5G/V2X)을 이용해서 인근의 다른 차량 및 교통 인프라와 공유할 수도 있으며, 차량이 (지오펜싱 같은) 특정한 주행 기능을 실행하기에 적합한 유형의 도로상에 있는지 여부를 확인하는 데 사용할 수도 있다.

차량이 자율주행을 하면서 자신의 실제 위치 정보를 기반으로 의사결정을 하도록 하려면, 해당 정보의 신뢰성/무결성에 대한 의구심이 들지 않아야 한다. 이 정보가 정확하지 않으면 자칫 인명 피해가 발생할 수도 있기 때문이다.
이는 ‘무결성(integrity)’이라는 개념을 필요로 하는데, 여기서 무결성이란 위치추적 시스템이 제공하는 정보의 무오류에 대한 신뢰도로 정의된다. 그림에서 보이는 것처럼, 무결성을 저해할 수 있는 잠재적 위험요소들로는 차량의 하드웨어 및 소프트웨어와 관련한 오작동, 환경적 요소, 의도하지 않은 오용을 들 수 있다. 전장 분야에서는 안전하지 않은 정보 사용으로 인한 위험성이 주행당(1회 주행은 1시간에 해당) 10-8이나 10-6 같이 낮은 수준이 되도록 보장해야 한다.





ISO 26262 기능안전성 
자동차 환경은 매우 혹독하다. 다양한 형태의 간섭, 열, 진동이 차량의 기능에 영향을 미치거나 전자 회로를 손상시킬 수 있다. 자율 안전 시스템에서 결함 발생은 충돌 사고로 이어져 사람을 다치게 하거나 심지어는 사망에 이르게 할 수도 있다. 따라서 이보다 더 큰 문제는 없을 것이며, 법적인 문제와 결부될 수도 있다. ISO 26262 자동차 표준은 결함 조건에서 (자율주행 같은) 시스템이 어떻게 동작할지를 정의하고 있다. 자동차 제조사들은 자사의 시스템이 이 표준의 안전 기준에 부합하도록 개발하고 하드웨어 또는 시스템 차원의 개발 결함의 위험이 허용 가능한 수준으로 낮다는 것을 입증해야 한다.

OEM이나 시스템 제조사들은 위험원 분석 및 위험성 평가(Hazard Analysis and Risk Assessment, HARA)를 통해 서로 다른 위험 요소 및 오류 원인에 대해서 잠재적 위험성을 평가해야 한다. 그 다음에는 일련의 지표들을 기반으로 각각의 위험성 평가 점수를 매겨서 ASIL(Automotive Safety Integrity Level) 등급을 결정하고, 그에 따라 안전 목표를 결정할 수 있다.

경우에 따라, 특히 고도의 자율주행 솔루션의 경우, 특정 안전 목표는 해당 목표 ASIL 등급(통상적으로 ASIL B)에 부합하는 GNSS 수신기와도 관련된다. 목표로 하는 ASIL 등급을 달성하기 위해서는 하드웨어와 소프트웨어가 오작동이나 위험을 일으키지 않도록 구현해야 한다.



SOTIF(Safety of the Intended Functionality)    
ISO 21448은 ISO 26262 차량용 기능안전성 표준을 보완하기 위해 도입된 것으로서, SOTIF라고도 한다. 이 표준은 시스템에서 전기 및 전자(E/E) 부품의 구현에 있어서, 외부 환경 요인의 영향으로 인한 성능 부족 때문에 발생할 수 있는 적절하지 않은 위험을 방지해 시스템의 안전을 보장한다. 

GNSS의 경우, 환경 조건과 관련한 위험성으로는 크게 위성군의 오류와 GNSS 시스템 부품의 결함을 들 수 있다. 또한 대류권 및 전리층 폭풍 같은 대기 교란, 전리층 섬광, 직접 신호 또는 반사 신호[비가시선(NLOS)]에 의한 멀티패스 왜곡, 그리고 관성 센서나 휠 스피드 센서 같은 그 밖에 다른 센서들로부터의 간섭 등으로 인해 발생하는 커다란 오차가 있을 수도 있다. 



무결성의 척도 - PL(Protection Level)          
과거에 항공 업계는 무결성 문제를 해결하기 위해 ‘PL(Protection Level)’이라는 개념을 도입했다. PL은 실시간으로 통계적으로 계산된 경계 범위이다. 사용자가 위치한 지역을 보장된 확률로서 나타내며, 만약 조건들이 만족될 수 없는 경우 즉시 경보가 이뤄지도록 한다.

PL은 AL(Alert Limit)이라고 하는 한계값과 함께 사용되는데, 애플리케이션에 따라서 달라진다. 그림의 스탠포드 다이어그램은 PL, AL, AE(Actual Error) 사이의 관계를 보여주는데, 그림과 같은 조건이면 이 시스템은 정상적으로 작동하는 것이다. 이와 달리 AE가 PL 및 AL보다 클 때, 이 상황을 감지하지 못하고 경보가 제때(‘Time to Alert’) 이루어지지 않으면, 이 시스템은 위험하며 오작동(안전하지 않은 작동)하는 것이라 말할 수 있다. 이런 상황이 일어날 수 있는 확률을 목표 무결성 위험도(Target Integrity Risk, TIR)보다 낮게 보장해야 한다.





스탠포드 다이어그램- Pr(Probability: 확률), PL(Protection Level: 보호 수준), AE(Actual (position) Error: 실제 (위치) 오차), AL(Alert Limit: 경보 한계), TTA(Time to Alert: 경보 시간), TIR(Target Integrity Risk: 목표 무결성 위험도)



무결성 컨셉에 대한 주요 과제 중 하나는 PL 한계 범위를 주행당 10-6 이하와 같이 극히 낮은 목표 무결성 위험을 갖도록 매우 엄격하게 정하는 것이다. 이는 발생 빈도가 극히 낮은 오류를 반영하도록 요구한다. 이와 관련한 연구가 활발하게 이루어지고 있는데, 유블럭스(u-blox)는 이 글 마지막 부분에 소개한 참고문헌[1~3]과 같은 첨단 기법들을 연구하면서 이 분야를 선도하고 있다.

무결성의 중요성을 보여주는 한 가지 예를 소개한다. 어떤 차량이 특정한 자율주행 기능을 활성화하기 위해 위치 정보를 사용하고 있다고 가정해보자. 그림에서 왼쪽의 경우는 차량의 위치가 다른 곳으로 잘못 추정되었는데, 오차가 AL보다 크고 PL은 AL보다 낮다. 이 상황을 감지하지 못하고 경보가 이뤄지지 않으면, 특정 자율주행 기능이 엉뚱한 곳에서 잘못 실행될 수 있다. 오른쪽 그림에서는 위치 오차가 PL 및 AL 범위 이내이다. 그러므로 정상 작동 조건이다. 이 활용 사례에서 정밀하고도 신뢰할 수 있는 지도가 요구된다는 것 역시 중요하다.







맺음말   
자율주행 시스템이 잘 작동하기 위해서는 차량이 자신의 위치를 파악하고 자신의 주변에 있는 다른 자동차나 물체들을 감지해야 한다. 이 위치는 추정치이며, 환경 조건이나 하드웨어 및 시스템 개발 결함 등에 의해 영향을 받을 수 있다. 무결성은 제공된 정보의 올바름을 얼마나 신뢰할 수 있는지를 나타내는 척도이다. GNSS 센서는 절대 위치 정보를 제공하며, 센서 융합 시스템에서 다른 ADAS/ADS 센서들을 보완한다. 이 시스템에서 무결성은 시스템의 부적절한 작동에 대해 사용자에게 즉각적인 경고를 제공하는 것을 포함한다. 전장 표준인 ISO 26262의 준수는 결함 상황에서 자율 안전 시스템이 예측가능하게 작동하도록 보장한다. 이 표준을 보완하는 ISO 21448 표준(SOTIF)의 준수는 불리한 조건에서도 시스템 기능을 보장한다. 향후에는 점점 더 많은 신차들이 자율 안전 기능을 탑재할 것이며, 고도의 자율주행이 가속화하고 첨단 V2X 활용 사례들이 도입됨에 따라서 GNSS 같은 안전 요소에 대한 수요도 빠르게 증가할 것이다.

 


참고문헌
[1]     https://insidegnss.com/tight-position-bounding-for-automotive-integrity/ 
[2]     Julien et al., "Extended Results of Single Epoch Position Bound (SEPB) 
[3]     Martini et al. Galileo High Accuracy Service Performance and Anomaly Mitigation Capabilities, 13 June 2023, PREPRINT (Version 1) of journal GPS solutions available at https://doi.org/10.21203/rs.3.rs-3039272/v1



AEM_Automotive Electronics Magazine


<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>


  • 100자평 쓰기
  • 로그인



TOP