The Korean Society Of Automotive Engineers
[ Article ]
Transactions of the Korean Society of Automotive Engineers - Vol. 29, No. 5, pp.437-449
ISSN: 1225-6382 (Print) 2234-0149 (Online)
Print publication date 01 May 2021
Received 23 Nov 2020 Revised 14 Dec 2020 Accepted 14 Jan 2021
DOI: https://doi.org/10.7467/KSAE.2021.29.5.437

도심자율협력주행 시스템의 V2V 통신에 대한 기능안전 평가시나리오 개발 방법론에 관한 연구

김세환1) ; 김동환1) ; 이상엽1) ; 신재곤2) ; 조성우2) ; 문병준2) ; 박기홍*, 3)
1)국민대학교 자동차공학전문대학원
2)한국교통안전공단 자동차안전연구원 자율주행연구처
3)국민대학교 자동차공학과
A Study on the Development Methodology of Functional Safety Evaluation Scenario for V2V Communication of Urban Cooperative Autonomous Driving System
Sehwan Kim1) ; Donghwan Kim1) ; Sangyeop Lee1) ; Jaekon Shin2) ; Sungwoo Cho2) ; Byoungjoon Moon2) ; Kihong Park*, 3)
1)Graduate School of Automotive Engineering, Kookmin University, Seoul 02707, Korea
2)Automated Vehicle Center, KATRI, 200 Samjon-ro, Songsan-myeon, Hwasung-si, Gyeonggi 18247, Korea
3)Department of Automobile and IT Convergence, Kookmin University, Seoul 02707, Korea

Correspondence to: *E-mail: kpark@kookmin.ac.kr

Copyright Ⓒ 2021 KSAE / 186-05
This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons.org/licenses/by-nc/3.0) which permits unrestricted non-commercial use, distribution, and reproduction in any medium provided the original work is properly cited.

Abstract

The V2X-based cooperative autonomous driving system can solve the limitation that environmental sensors(e.g., radar and camera) have by using V2X communication technology. By receiving information from other vehicles, convoy driving can be made possible in urban areas with very narrow inter-vehicle intervals that conventional ACC cannot. In this paper, a study was conducted on a methodology for deriving scenarios for evaluating the functional safety of the V2V-based cooperative autonomous driving system in urban areas. To this end, a functional safety concept analysis was performed based on the ISO 26262 Part 3 process, and scenarios were derived based on its work products. Simulations were performed on the derived scenarios in order to verify the effectiveness of the methodology for developing functional safety evaluation scenarios proposed in this paper.

Keywords:

V2V, Cooperative autonomous driving, Functional safety evaluation, Fault injection, ISO26262, Evaluation scenario

키워드:

차량간 통신, 자율협력주행, 기능안전 평가, 고장 주입, 기능안전 국제표준, 평가시나리오

1. 서 론

최근 ICT 기술과 무선통신 기술의 발전으로 인해 V2X 무선통신 기술과 자율주행시스템을 융합한 V2X 기반의 자율협력주행 기술이 주목받고 있다. 고속도로와 같은 자동차 전용도로와 달리, 다양한 종류의 많은 도로 객체가 존재하는 도심지역에서는 환경 센서의 인지 범위 한계 및 사각지대 같은 문제가 발생하기 쉬운데, 인프라, 차량 등의 주변 객체들의 정보를 활용할 수 있는 V2X 기반의 자율협력주행 기술이 이러한 문제를 해결할 수 있는 기술로 부각되고 있다.1)

빠르게 고도화되는 자율주행 기술에 발맞춰, SAE Level 3∼5 수준의 자율주행자동차의 안전성을 평가하기 위해 각 국가마다 자율주행자동차의 안전 기준을 개발하고 있다. 미국에서는 NHTSA가 2020년 Ensuring American Leadership in Automated Vehicle Technologies: Automated Vehicle 4.0이라는 제목의 자율주행자동차 개발에 대한 안전 가이드라인을 발표하였다.2) 국내에서는 국토교통부가 2020년 레벨3 자율주행에 대한 안전 기준을 제정하여 세계 최초로 레벨3 부분자율주행자동차의 양산 판매를 가능하게 하였으며,3) 2021년부터는 레벨4 완전자율주행자동차에 대한 안전 기준을 단계적으로 마련하여 2027년까지 모든 상용화 준비를 마칠 계획을 발표하였다.4)

이처럼 자율주행자동차의 안전 기준을 개발하기 위해서는 자율주행시스템의 안전성을 일관된 잣대로 평가하기 위한 평가 기술이 요구된다. 자동차 안전 기준의 국제조화 기구인 UNECE WP.29 내에서 자율주행 관련 업무를 담당하는 GRVA에서는 최근 워킹 그룹 VMAD (Validation Method for Automated Driving)를 구성하여 자율주행시스템의 안전성 평가에 대한 기술을 활발히 논의하고 있다.5)

자율주행자동차의 안전성 평가와 관련해서, 자동차의 기능안전 표준인 ISO 26262 Part 3 프로세스를 토대로 자율주행자동차의 기능안전에 대해 다양한 연구가 진행되어 왔다. 김두용 외 6인은 ADAS 시스템의 고장 주입 시뮬레이션 환경을 개발하여 고장안전성 평가 사례 연구를 수행하였으며,6) 김두용 외 5인은 자동차 전용도로에서 레벨3 부분자율주행자동차에 대한 고장안전성의 정량적 평가 방법을 제안하였다.7) 안대룡 외 5인은 종방향 주행지원시스템의 안전성 확보를 위한 기능안전 컨셉 설계 관련 연구를 수행하였다.8)

이처럼 최근 자동차 기능안전 국제표준인 ISO 26262를 활용하여, ADAS 및 자율주행시스템의 기능안전에 대해 다양한 연구가 수행되어왔다. 그러나 ISO 26262는 전기, 전자시스템의 고장으로 인한 사고를 방지하기 위해 제정한 가이드라인일 뿐 대상 시스템의 기능안전 평가 방법에 대한 상세한 내용은 제시하고 있지 않다. 또한, 자율주행자동차의 기능안전을 평가하기 위한 평가시나리오를 어떻게 도출할 것인지에 대한 방법론 연구는 찾기가 어려운 상황이다. 특히 V2X 기반의 레벨4 자율협력주행시스템에 있어서 V2X 통신에 고장이 생겼을 때 시스템의 안전성을 평가하기 위한 평가시나리오의 개발 방법론에 관한 연구는 더욱 찾아보기 어려운 상황이다.

이러한 배경을 바탕으로 본 논문에서는 도심자율협력주행 시스템의 V2V 통신 고장 시, 차량 수준에서 기능안전을 평가하기 위한 시나리오 개발 방법론에 관한 연구를 수행하여 V2V 기반 종방향 도심자율협력주행 시스템의 기능안전 평가시나리오를 도출하였다. 기능안전 분석 툴을 활용하여 ISO 26262 Part 3 프로세스를 수행함으로써 대상 시스템의 기능안전 개념 분석을 진행하였으며, 이를 바탕으로 기능안전 평가시나리오 개발을 위한 방법론을 제안하였다. 방법론의 타당성을 검증하기 위해, V2V 기반 종방향 도심자율협력주행 시스템의 알고리즘을 개발하였으며, 제안한 방법론을 통해 도출된 기능안전 평가시나리오에서 시뮬레이션을 수행하였다.

V2V 기반 도심자율협력주행 시스템은 도심 지역에서 수행되기 때문에 도심 내 제한 속도 50 kph를 준수한다고 가정하여, 본 논문에서 도출한 기능안전 평가시나리오의 속도는 50 kph 이하로 설정하였다. 시뮬레이션 결과로부터 대상 시스템을 검증하였으며, V2V 통신 모듈 고장 시 V2V 기반 자율협력주행자동차의 거동을 확인하여 기능안전 평가시나리오의 개발 방법론에 대한 유효성을 검증하였다.


2. V2V 기반 도심자율협력주행 시스템의 기능안전 문제

V2V 기반의 도심자율협력주행 시스템은 V2V 통신을 기반으로 획득한 주변 차량의 데이터를 사용함으로써 협력형 인지가 가능해진다. 환경 센서 만을 사용하는 경우에 비해 넓은 인지 범위의 정보를 활용할 수 있기 때문에 다양한 주행 상황에서 환경 센서 기반 자율주행자동차보다 안전하게 운행할 수 있다.

예를 들어 차량 간의 통신을 통해서 좁은 차간 거리를 유지하며 대열(Convoy)을 형성한 채로 주행하여 연비 저감 및 교통류의 효율성을 증대 시킬 수 있다. 이처럼 V2V 정보를 활용하는 V2V 기반 자율주행자동차는 고도의 자율주행기술을 구현하는데 이점이 있지만, V2V 통신은 기존의 ACC에 추가적으로 적용되는 전기/전자 시스템이므로 해당 요소의 고장 시 발생할 수 있는 안전성인 기능안전 연구가 수행되어야 한다.

따라서 본 장에서는 본 논문의 대상 아이템인 V2V 기반 종방향 도심자율협력주행 시스템과 기존의 레이더 센서 기반의 ACC 시스템의 비교 분석을 통해 V2V 기반 종방향 도심자율협력주행 시스템에 대한 기능안전 연구의 수행 배경과 중요성을 설명한다.

V2V 기반 종방향 도심자율협력주행 시스템은 레이더 센서와 함께 V2V 통신을 사용한다. 자차량의 레이더 센서로부터 얻은 선행 차량과의 상대 거리 정보와 V2V 통신을 통해 얻은 선행 차량들의 속도, 가속도 정보를 활용해, 매우 좁은 차간 간격을 유지하며 안전한 대열 주행을 가능케하는 시스템이다. 차간 간격이 일반 ACC에 비해 매우 좁기 때문에, 레이더 센서가 정상적으로 작동하더라도 V2V 통신에 고장이 발생하면 전방 차량과 충돌 사고로 이어질 수 있다.

본 연구에서는 ACC 알고리즘을 별도로 개발하지 않고 기존 연구에서 찾을 수 있는 우수한 ACC 알고리즘9)을 구현하였다. ACC 시스템은 레이더 센서에 의해 측정된 선행 차량과의 상대거리 및 상대속도를 활용하여 선행 차량을 추종한다. ACC에 관한 국제표준인 ISO 2217910)에서는 레이더 센서의 한계를 고려하여 8 m/s(약 28.8 kph) 이상의 속도에서 Time gap을 1.5초∼2.2초 범위로 설정할 것을 규정하고 있다. 그러나 종방향 도심자율협력주행 시스템과의 비교를 위해 Time gap을 대상 시스템이 목표로 하는 0.5초로 설정하고 비교를 시행하였다.

두 시스템의 성능 비교를 위한 시나리오는 식 (2)에서 τ=0.5s의 간격으로 대열을 유지하여 50 kph로 정속 주행을 하는 과정에서 30초 지점에서 선행 차량이 -0.4 g의 급제동으로 2초 후 20 kph로 감속하는 시나리오이다.

Fig. 1의 가속도 그래프를 보면 V2V 종방향 도심자율협력주행 시스템은 선행 차량의 급격한 제동에도 빠르고 안정되게 반응하여 감속하는 것을 볼 수 있다. 제동 후 상대거리가 줄어드는 것은 목표하는 차간 거리가 거리 개념이 아닌 시간 개념이기 때문이다. 반면 레이더 센서 기반의 ACC의 경우, 매우 가까운 차간거리에서 감속을 수행하는 과도구간에서 불안정한 거동이 나타나는 것을 볼 수 있다. 또한, Fig. 1의 아래 그림에서는 미세한 차이지만 V2V 기반 종방향 자율협력주행 시스템이 ACC 시스템에 비해 보다 부드럽게, 감속 이후의 목표 차간 거리로 상대 거리를 좁히는 것을 볼 수 있다. 이러한 차이는 V2V 통신의 유무로 인해 발생하는 것이며, 위 시나리오에서는 앞 차와의 충돌 상황까지 이르지는 않았지만, 본 논문의 4장 부분에 도출된 기능안전 평가시나리오에서는 V2V 통신 고장 시, 충돌 사고로 이르는 상황을 볼 수 있다.

Fig. 1

Comparative analysis with ACC

위와 같은 비교 분석 결과를 토대로 V2V 기반 종방향 도심자율협력주행 시스템은 V2V 통신을 활용하여 기존의 ACC 시스템에 비해 매우 근접한 차간 거리를 유지할 수 있는 장점이 있지만, 새로이 적용되는 V2V 통신 모듈은 전기/전자 시스템이므로 기능안전 관점에서의 분석과 이를 평가하기 위한 적정한 시나리오가 필요하다.

참고로 ACC 시스템에 활용되는 레이더 센서의 최대 검지 거리는 250 m이며 근거리 객체에 대한 최대 검지 각도는 60도, 장거리 객체에 대한 최대 검지 각도는 9도인 반면11) V2V통신의 최대 전송 거리는 1 km, 전송 범위는 360도이다.12)


3. 평가시나리오 도출을 위한 기능안전개념분석

앞 장에서는 본 연구의 대상 아이템인 V2V 기반 종방향 도심자율협력주행 시스템의 기존 ACC 대비 성능 향상에 대한 확인과 기능안전 연구의 수행 배경 및 중요성을 소개하였다. 이번 장에서는 이 시스템을 대상으로, ISO 26262 Part 3 프로세스 기반의 기능안전개념분석(Concept phase)의 수행 결과를 소개한다. 먼저 시뮬레이션 기반의 기능안전 평가시나리오 도출 및 아이템 정의를 위해 대상 시스템의 알고리즘에 대한 설명부터 다음 장에서 소개될 기능안전 평가시나리오 도출을 위한 FTA 분석 순으로 진행하였다. 본 연구에서는 신뢰성 있는 기능안전개념분석을 위해 Ansys 사의 기능안전분석 툴인 medina analyze를 사용하였으며, 기능안전개념분석의 작업 산출물들 간의 추적성을 확보하여 작업 산출물에서 누락되는 내용이 없도록 하였다.

먼저 아이템 정의(Item Definition) 단계에서는 V2V 기반의 종방향 도심자율협력주행 시스템에 대한 초기 아키텍처를 설계하고, 기능 정의와 함께 각 기능에 대한 오작동을 도출하였다. 그 다음 위험원 분석 및 리스크 평가(HARA: Hazard Analysis and Risk Assessment)를 통해 위험원을 도출하고, 위험 사건에 대해서 자동차 안전 무결성 수준인 ASIL(Automotive Safety Integrity Level, ASIL)을 결정하였다. 그리고 안전 목표(Safety Goal)를 도출하고 FTA(Fault Tree Analysis) 방법을 통해 고장의 근본적인 원인에 대해 분석하고 대상 시스템의 고장 모드 및 고장 시나리오를 도출하였다.

3. 1 아이템 정의

아이템 정의는 아이템의 기능안전 확보를 위해 가장 먼저 수행해야 하는 활동으로, 이를 통해 V2V 기반 종방향 도심자율협력주행 시스템의 초기 아키텍처를 설계하고, 기능 및 오작동을 정의한다.

본 연구에서는 Fig. 2와 같이 초기 아키텍처를 설계하여 대상 아이템을 구성하는 엘리먼트와 대상 아이템의 범위를 나타내었고, Table 1과 같이 대상 시스템의 의도된 기능을 정의하였다.

Fig. 2

Initial architecture

Function definition of V2V cooperative autonomous driving system

V2V 기반 종방향 도심자율협력주행 시스템은 V2V 통신을 기반으로 선행 차량의 정보를 수신하여 대열(Convoy)에 속한 차량을 인지하고, 도심도로 제한 속도 50 kph를 준수한 상태에서 0.5초의 Time gap을 유지하기 위해 감가속을 수행한다. 따라서 본 연구에서는 차량 간의 대열 유지를 위한 요구 감가속도 생성을 대상 시스템의 의도된 기능으로 정의하였다.

아이템 정의를 통해 도출된 V2V 기반 종방향 도심자율협력주행 시스템의 초기 아키텍처와 기능 정의를 토대로 기능안전 평가시나리오 도출을 위한 V2V 기반 종방향 도심자율협력주행 시스템의 알고리즘을 개발하였다.

3.1.1 V2V 기반 종방향 도심자율협력주행 알고리즘

본 연구의 목표가 기능안전성 평가시나리오를 도출하기 위한 방법론 개발이기 때문에 V2V 기반 종방향 도심자율협력주행 시스템의 알고리즘 개발에 있어, 성능의 고도화보다는 안정한 제어 성능 확보에 역점을 두었다.

V2V 기반 종방향 도심자율협력주행 시스템은 레이더 센서와 함께 V2V 통신을 사용하여 매우 좁은 차간 간격의 대열 주행을 가능하게 하는 시스템이다(Fig. 3). 기존의 레이더 센서 기반의 ACC가 최소 1.5초의 Time gap으로 차간 거리를 유지하는데 반해,10) V2V 기반 종방향 도심자율협력주행 시스템은 0.5초의 Time gap으로 차간 거리를 유지하며 도심과 같이 교통량이 많은 지역에서 안전한 대열 주행을 하는 것을 목표로 한다.

Fig. 3

Schematic of V2V based longitudinal cooperative autonomous driving system

먼저, V2V 기반 종방향 도심자율협력주행 알고리즘의 구현 및 검증을 위해 본 연구에서 구축한 Simulink와 CarMaker 기반의 시뮬레이션 환경은 Fig. 4와 같이 나타내었다. CarMaker는 차량 모델 및 알고리즘에 필요한 정보와 시뮬레이션 환경을 제공하고, Matlab&Simulink는 V2V 통신 모듈과 알고리즘을 구현하는데 활용되었다.

Fig. 4

Architecture of simulation environment

V2V 통신 모듈 구현에 사용되는 메시지셋은 V2V 통신에 대한 표준인 SAE J2735-200913)의 Basic Safety Message를 토대로 Table 2와 같이 구성하였다.

V2V communication message set

본 연구에서 개발한 V2V 기반 종방향 도심자율협력주행 시스템은 Fig. 5와 같이 V2V 통신으로 얻은 선행 차량의 위치, 속도, 가속도 값과 자차량의 레이더 센서로부터 얻은 선행 차량과의 상대 거리 값과, 샤시 CAN으로부터 얻은 자차량의 속도 값을 이용하고, 이러한 값에 LQR(Linear Quadratic Regulator) 제어 기법을 활용하여 자차량의 목표 가속도 값을 계산하도록 설계하였다.

Fig. 5

V2V based longitudinal cooperative autonomous driving system diagram

식 (1)은 LQR 제어기 설계를 위한 시스템 방정식을 나타낸다.

x˙=Ax+Bu=0-1000100-p1x+00-p1uwhere x=x1x2x3=xdes-xego-xfrvego-vfraego-afr(1) 

식 (1)에서 첨자 ( )ego와 ( )fr는 각각 자차량과 선행 차량을 나타낸다. x는 상태변수로 자차량와 선행 차량 사이의 거리, 속도, 가속도의 오차를 나타내며, u는 제어변수로 자차량의 요구 가속도를 나타낸다. p1은 설계 파라미터로 이들 값을 사용하여 차량 파워트레인의 역학에 의해 생성되는 가속도의 변화량을 고려할 수 있다.14) 또한 식에서 xdes는 종방향 요구 상대거리를 나타내는데, xdes는 Time gap을 토대로 다음과 같이 계산되도록 하였다.

xdes=vfr τ+x0(2) 

식 (2)에서 τ는 Time gap을 나타내며, xo는 안전 제동 거리를 나타낸다. 본 연구에서는 FSRA 표준인 ISO 221799)의 Automatic Stop Capability Test에서 Time gap 1.6초일 때 선행 차량 간의 거리로 2 m 이상을 요구하고 있는 점과, 대상 시스템의 Time gap 0.5초를 고려하여 적절한 안전 제동 거리 xo를 설정하였다.

본 연구에서는 이와 같이 정의된 상태방정식에 LQR 기법을 적용하여 자차량의 요구 가속도를 계산하였다. 식 (3)는 비용함수를 나타낸다.

J=0xTQx+uTRudt(3) 

Q는 상태변수에 대한 가중치를 나타내는 3×3의 대각 행렬이고, R은 제어변수에 대한 스칼라 가중치 값으로 이들은 설계 파라미터로 사용된다. 식 (3)의 비용함수를 최소화하는 제어 이득 K가 구해지면 아래의 식을 통해 자차량의 요구 가속도를 구할 수 있다.

u=-Kx(4) 

제어 이득 K는 잘 알려진 것과 같이 행렬형 Riccati 방정식을 풀어 구할 수 있다.

ATP+PA-PB1R-1B1TP+Q=0(5) 
K=R-1B1TP(6) 

본 장에서 소개한 V2V 기반 종방향 도심자율협력주행 알고리즘은 4장의 기능안전성 평가시나리오 개발 방법론을 통해 도출한 평가시나리오의 유효성을 검증하는데 활용된다.

3.1.2 오작동 정의

아이템에 대한 기능 정의가 완료되면 정의된 기능에 대한 오작동을 도출한다. V2V 기반 종방향 도심 자율협력주행 시스템의 오작동은 Table 1에서 정의된 기능에 대한 고장이나 의도되지 않은 행위를 포함해야 한다. 오작동은 ASIL(Automotive Safety Integrity Level) 산출에 영향을 끼치게 되므로, 대상 아이템에서 발생할 수 있는 오작동을 누락하지 않는 것이 중요한데 이를 위해 본 연구에서는 HAZOP 기법을 활용하여 오작동을 도출하였다.

본 연구에서는 V2V 기반의 종방향 자율협력주행 시스템에서 발생할 수 있는 수많은 오작동 가운데, 통신 오작동만을 대상으로 시스템의 안전성 평가에 관한 연구를 수행하였으며, 그러한 배경에 대해서는 2.2절에서 자세히 설명한 바 있다.

HAZOP 기법에서는 먼저 HAZOP 가이드 워드를 선정한다. 기능이 전혀 발생하지 않은 경우의 LOSS, 기능이 과다하게 발생한 경우의 MORE와 과소하게 발생한 경우의 LESS, 기능이 의도와 반대로 발생한 경우의 REVERSE, 기능이 지연된 경우의 LATED, 의도하지 않았음에도 기능이 수행된 경우의 UNINTENDED와 같이 총 6개이다.

Table 3에서 명시한 F001, F002에 대한 오작동은 6개의 HAZOP 가이드 워드를 활용하여 정의하였다. 요구 가속도 및 감속도 미생성(LOSS), 과다 생성(MORE), 과소 생성(LESS), 반대값 생성(REVERSE), 생성 지연(LATED)과 의도치 않은 요구 가속도 및 감속도 생성(UNINTENDED)으로 각각 6개의 오작동을 정의하였다.

Malfunctions of V2V based longitudinal cooperative autonomous driving system

3. 2 위험원 분석 및 리스크 평가

Fig. 6과 같은 프로세스를 거쳐 수행되는 위험원 분석 및 리스크 평가는, 오작동에 의해 발생되는 잠재적 위험사건(Hazardous event)을 분석하여, 운전자에게 미치는 영향을 평가하는 활동이다. 먼저, V2V 기반의 종방향 도심자율협력주행 시스템에 대한 위험원(Hazard)을 정의하고 주행 상황 분석을 수행하여 잠재적인 위험 사건을 도출한다. 도출한 위험 사건을 분류하여 ASIL 등급을 지정하고, 이를 토대로 최종적으로는 위험 사건에 대해서 위험을 방지하기 위한 안전 요구 사항인 안전 목표를 도출한다.

Fig. 6

HARA process overview autonomous driving system

3.2.1 위험원(Hazard) 정의

위험원은 Table 3에서 정의한 오작동 행위로 인해 차량 수준에서 발생할 수 있는 위험에 대한 잠재적인 원인이다. 이를 위해 본 연구에서는 FEMA(Failure Mode and Effects Analysis) 분석 기법을 통해 위험원을 규명하였으며, 과다 가속, 과소 감속, 감속 불가, 반대방향 감속, 의도치 않은 가속의 위험원을 도출하였고, 오작동 행위로 인해 위험 상황이 발생하지 않을 경우도 고려하여 N/A(해당 사항 없음)을 정의하였다(Table 4).

Hazards in V2V based longitudinal cooperative autonomous driving system

3.2.2 위험사건(Hazardous Event) 정의 및 분류

위험 사건은 대상 아이템에 오작동이 발생했을 때, 안전에 영향을 끼치는 사건을 의미한다. 본 연구에서는 대상 시스템인 V2V 기반의 종방향 도심자율협력주행 시스템에 영향을 줄 수 있는 모든 환경 요인 및 운전 상황을 고려한 주행 상황 분석을 통해 위험 사건을 정의하고 분류하였다.

1) 위험사건 정의

위험사건 정의를 위해서 우선 주행 상황에 대한 분석을 수행하였다. 주행 장소는 도심지역으로 선정하였고 노면 상태와 도로 환경은 포장도로와 교통류의 원활 및 혼잡으로 선정하였다. 주행 모드는 V2V 자율주행 모드로 선정하였고, 속도 조건은 유효충돌속도 Δv를 고려하여 선정하였다.

유효충돌속도는 차량 간의 사고가 발생했을 때, 추돌 차량의 속도 변화를 의미한다. Δv의 범위는 SAE J298015)을 참고하여 0, 10 kph 이하, 10∼40 kph, 40∼65 kph의 4구간으로 구분하였다. 추돌 차량은 자차량으로 가정하고 식 (7)을 통해 유효충돌속도를 계산하였다.

V=m1m1+m2v1-v2(7) 

식 (7)에서 m1은 추돌 차량 즉 자차량의 질량, m2는 피추돌 차량의 질량, v1은 자차량의 추돌 시 속도, v2는 피추돌 차량의 추돌 시 속도를 의미한다.16) V2V 기반 종방향 도심자율협력주행 시스템에 대한 주행 환경 분석을 통해서 식별된 주행 상황들의 조합을 토대로 총 120개의 위험 사건을 도출하였다.

2) 위험사건 분류

도출된 위험사건에 대한 리스크를 평가하여, 위험 사건을 분류하였다. 위험사건의 심각도(Severity), 노출도(Exposure), 제어 가능성(Controllability)의 등급을 산정하고 이들을 조합하여, 자동차 안전 무결성 등급인 ASIL (Automotive Safety Integrity Level)을 결정하였다. 심각도는 SAE J2980에서 유효충돌속도를 토대로 한 심각도 산정 방법을 활용하였다. 노출도는 SAE J2980과 ISO 26262 part 3 문서17)의 Annex B를 참고하여 발생 빈도를 토대로 등급을 산정하였다. 제어 가능성은 레벨4 자율주행자동차는 운전자가 제어에 관여하지 않기 때문에 C3로 산정하였다.18)

V2V 기반 종방향 자율협력주행 시스템의 HARA 분석 수행 결과, 위험원(Hazard)이 존재하는 위험사건으로 ASIL QM 20개, ASIL A 10개, ASIL B 10개, 총 40개가 도출되었다. Table 5는 이들 위험사건 가운데 상대적으로 가장 위험한 ASIL B의 10가지 경우만을 보여준다.

HARA results with ASIL B

도출된 ASIL은 V2V 기반의 종방향 도심자율협력주행 시스템 개발 시에 적용해야 하는 ISO 26262 요구사항들의 수준을 결정 짓는 기준이 될 수 있다.19) 또한 위험 사건에 대한 ASIL 등급을 토대로 안전 목표가 정의된다.

3.2.3 안전 목표(Safety Goal) 정의

안전 목표(Safety Goal)는 HARA 분석의 최종 산출물로, 도출된 위험 사건의 발생을 방지하기 위한 최상위 안전 요구사항이다. 3.2.2에서 산출된 위험 사건에 대한 ASIL등급은, V2V 기반 종방향 도심자율협력주행 시스템의 기능안전을 확보하기 위해 준수해야 할 엄격함의 수준을 의미한다.

이때, Kuen-Long Leu외 5인20)은 Brake-by-wire 시스템에 대한 안전 목표는 “Send correct brake control signal”과 같이 차량 수준에서의 기능적 관점에서 정의되어 있으며, Valerij Schönemann외 6인21)은 Auto Valet Parking 시스템의 안전 목표에 대해 차량 수준에서 만족시켜야 할 안전 요구사항으로 정의하였다. 본 논문에서는 이를 토대로 Table 6과 같이 안전 목표를 도출하였으며 이때, 안전 목표는 표준에서 제시하는 정의에 따라 기술적인 것이 아닌 기능적으로 얻고자 하는 목표를 표현하였다.

Safety goals

3. 3 FTA(Fault Tree Analysis) 분석

FTA 분석은 최상위 고장이벤트가 발생할 수 있는 원인에 대해서, 근본 원인이 파악될 때까지 분석하는 Top-down 분석 방법이다. 본 연구에서는 대상 시스템의 기능안전 확보를 위해, 통신 모듈에 고장이 발생했을 경우 고장의 원인을 찾고자 FTA 분석을 수행하였다. Table 6의 안전 목표를 위배하는 경우를 최상위 고장이벤트로 정의하고 이러한 고장이벤트가 발생할 수 있는 근본 원인을 분석하였다.

5개의 최상위 고장이벤트 중에서 1개의 최상위 고장이벤트에 대한 FTA 분석 결과는 Fig. 6과 같다. Fig. 6Table 6의 ‘[G001] 과다 가속 상태를 회피해야 한다.’를 위반하는 최상위 고장 이벤트의 결과이다. 주어진 최상위 고장 이벤트에 대해서 고장 원인을 분석해 나가면, 고장 모드와 고장 컴포넌트를 도출할 수 있다.

Fig. 7을 살펴보면 고장 모드는 ‘V2V 속도 정보 과다 출력’과 ‘V2V 가속도 정보 과다 출력’이고 고장 컴포넌트는 V2V 통신 모듈임을 확인할 수 있다. 5개의 최상위 고장 이벤트에 대해서 이와 같은 FTA 분석을 수행하여, V2V 통신 모듈 수준에서 발생할 수 있는 고장을 중점적으로 분석하였다.

Fig. 7

FTA analysis result for G001

V2V 통신 모듈과 안전목표와의 상관 관계를 분석하여 V2V 기반 종방향 도심자율협력주행 시스템의 고장 모드를 분석하고, FTA 결과와 ISO 26262 Part 5 문서22)의 Annex D의 통신 고장 특성을 참고하여, Table 7와 같이 고장 모드와 고장 시나리오를 도출하였다. 고장 컴포넌트는 V2V 통신 모듈이며 고장 모드는 왜곡(Corruption), 지연(Delay), 손실(Loss)와 같이 3가지를 도출하였다. 왜곡에 대한 고장시나리오는 5가지, 지연과 손실에 대한 고장시나리오는 각각 2가지임을 확인할 수 있었다(Table 7).

Failure scenarios

왜곡에 대한 고장시나리오는 자차량의 V2V 통신 모듈에서 기존의 주변 차량 속도와 가속도 값 보다 크거나 작은 값을 시스템에 송신하는 시나리오이며, 손실에 대한 고장시나리오는 V2V 통신 모듈에서 주변 차량의 속도와 가속도 값을 송신하지 않게 되는 시나리오이다. 지연에 대한 고장 시나리오는 V2V 통신 모듈이 주변 차량의 속도와 가속도 값을 정상적인 송신 시간에 비해 느리게 송신하는 시나리오이다.


4. 대상 시스템의 기능안전 평가시나리오 개발

본 장에서는 3장에서 수행한 기능안전 개념 분석의 작업 산출물을 기반으로 V2V 기반 종방향 도심자율협력주행 시스템의 기능안전을 평가하기 위한 시나리오 개발 방법론을 제안한다.

4. 1 기능안전 평가시나리오 개발 방법론

Fig. 8은 본 논문에 개발한 종방향 도심자율협력주행 시스템의 기능안전 평가시나리오의 개발 방법론을 보여준다. HARA 분석과 FTA 분석을 통해 주행시나리오와 고장시나리오가 도출되며 고장시나리오 중에서 가장 높은 ASIL에 해당하는 주행시나리오를 선별한다. ASIL은 안전 요구사항의 평가지표로 활용될 뿐만 아니라, 운전자와 도로 위의 다른 객체에 미치는 위험성을 나타내기 때문에 가장 높은 ASIL에 대한 주행 시나리오는 가장 높은 위험성을 가진 주행 시나리오라고 볼 수 있다. 최종적으로 고장 모드와 고장시나리오를 선별한 주행시나리오와 결합하여 고장 주입 시나리오를 도출한다. 3.2절의 HARA 분석의 결과, 위험원이 존재하는 위험사건으로 총 40개가 도출되었고, 이들은 ASIL QM에 해당하는 위험 사건은 20개, ASIL A 10개, ASIL B 10개였다.

Fig. 8

Scenario development process for evaluation functional safety

ASIL QM에 해당하는 위험 사건은 기능안전을 위해 특별한 조치가 필요하지 않기 때문에 평가시나리오 도출에 필요한 주행시나리오에서 제외하였다. 또한, 시뮬레이션을 통해 ASIL B에 해당하는 주행시나리오를 활용하여 도출한 평가시나리오는 ASIL A에 해당하는 평가시나리오보다 더욱 위험한 상황이 발생함을 확인하였다.

따라서 대상 시스템의 기능안전을 명확하게 평가하기 위해서는 더욱 위험한 상황이 발생하는 ASIL B에 해당하는 위험 사건의 주행시나리오를 활용하여 V2V 기반 종방향 도심자율협력주행 시스템의 기능안전 평가시나리오를 도출하였다. 시나리오의 개수를 최소화하는 것은 설계 초기단계부터 기능안전의 준수 여부를 쉽게 검증할 수 있게 한다는 점에서 중요하다.

본 연구에서는, 가장 높은 ASIL에 대한 주행 시나리오 상에서 고장 컴포넌트인 V2V 통신 모듈에 고장 모드에 해당하는 고장을 주입한다. 고장 주입의 결과로 위험 상황이 발생하면 대상 시스템이 기능안전을 충족하지 못한 것을 확인할 수 있기 때문에, 해당 고장 주입 시나리오를 대상 시스템의 기능안전 평가시나리오로 선정하였다.

Table 8은 위와 같은 방법론에 의해 도출된 통신 모듈에 대한 고장 주입 시나리오의 후보군을 보여준다. 후보군이 정해지면 각 고장 주입 시나리오에 대해 시뮬레이션을 수행하고, V2V 기반 자율협력주행 시스템에 위험 상황을 발생한 시나리오를 대상 시스템의 기능안전 검증을 위한 최종 평가시나리오로 선정한다.

Fault injection scenarios

4. 2 기능안전 평가시나리오 개발 방법론의 유효성 검증

이번 절에서는 앞 절에서 도출한 고장 주입 시나리오에 대해 대상 시스템의 안전성이 어떤 영향을 받는가를 살펴봄으로써, 본 논문에서 제안한 기능안전 평가시나리오 개발 방법론의 유효성을 검증하고자 한다. 시뮬레이션은 Table 8의 총 9개의 시나리오 가운데 4개의 시나리오를 대상으로 수행하였다. 차량모델로는 자차량으로 테슬라의 모델S를 사용하였고, 선행차량으로 현대자동차의 맥스크루즈를 사용하였다. 본 논문의 대상 시스템은 도심 지역에서 적용되기 때문에 도심 내 제한 속도 50 kph를 준수한다고 가정하여 제시된 기능안전 평가시나리오의 속도는 50 kph 이하로 설정하였다.

4.2.1 시나리오 1

기능안전 평가시나리오 1은 최상위 고장 이벤트 [SG001]과 [SG005]를 위배하는 고장시나리오로서(Table 8), V2V 통신 모듈이 출력하는 선행 차량의 속도 정보가 과다하게 왜곡(Corruption)되는 상황을 나타낸다(Fig. 9). 10 kph로 선행 차량들과 정속 대열 주행 중, 15초 지점에서선행 차량의 속도 정보가 45 kph로 잘못 전달받는 시나리오이다. Fig. 10은 고장 주입 전과 후에 대한 시뮬레이션 결과를 나타낸다.

Fig. 9

Functional safety evaluation scenario 1

Fig. 10

Functional safety evaluation scenario 1 results

15초에서 선행 차량의 속도 값을 과다하게 전달 받게 되어, 대상 시스템은 식 (2)의 요구 상대 거리 xdes를 유지하기 위해 45 kph로 가속한다. 이러한 가속으로 인해 4 m로 유지하던 선행 차량과의 상대 거리가 급격히 줄어들고, 16초 지점에서 상대 거리가 0이 되어 선행 차량과 충돌이 발생하는 것을 알 수 있다. 충돌 지점에서 자차량의 속도는 약 35 kph, 유효충돌속도는 약 12 kph임을 볼 수 있다.

이처럼 고장 주입 시뮬레이션을 수행한 결과, 선행 차량과 충돌과 같은 위험 상황이 발생하여 기능안전 평가시나리오 1로 선정하였다.

4.2.2 시나리오 2

시나리오 2는 최상위 고장 이벤트 [G002]를 위배하는 고장 시나리오로서(Table 8), V2V 통신 모듈이 출력하는 선행 차량의 속도 정보가 지연(delay)되는 상황을 나타낸다. 45 kph로 정속 대열 주행을 하다가 14초 지점에서 5초 동안 10 kph로 감속하는 상황일 때, V2V 통신 모듈의 고장에 의해 선행 차량의 속도 정보를 6초 지연 후 전달받는 시나리오이다. Fig. 11은 고장 주입 전과 후에 대한 시뮬레이션 결과를 나타낸다.

Fig. 11

Functional safety evaluation scenario 2 results

선행 차량들은 14초 지점에서 감속을 수행하지만 자차량은 선행 차량의 속도 정보를 6초 지연된 20초에 전달 받게 된다. 14초 지점부터 시작된 고장에도 불구하고 자차량은 식 (2)xdes를 유지하기 위해 14초부터 감속하는 것을 볼 수 있다. 하지만 잘못된 통신 정보로 인해 자차량은 선행 차량에 비해 천천히 감속을 하고, 이로 인해 17초 부근에서 충돌이 발생한다. 즉, 선행 차량과 상대 거리 8 m를 유지하며 대열 주행 중이던 자차량은, 선행 차량의 속도 정보 지연으로 인해 선행 차량보다 감속을 늦게 수행하게 되고, 17초 부근에서 상대 거리가 0이 되어 선행 차량과 충돌이 발생하는 것을 확인할 수 있다. 이때, 충돌 지점에서 자차량의 속도는 약 30 kph이며 유효충돌속도는 약 6 kph이다.

4.2.3 시나리오 3

시나리오 3는 최상위 고장 이벤트 [G003]를 위배하는 고장 시나리오로서(Table 8), V2V 통신 모듈이 출력하는 상대 차량의 속도 정보가 미출력(Loss)되는 상황을 나타낸다. 45 kph로 정속 대열 주행을 하다가 14초 지점에서 5초 동안 10 kph로 감속하는 상황일 때, V2V 통신 모듈의 고장에 의해 15초 지점에서 선행 차량의 속도 정보가 유실되는 시나리오이다. Fig. 12는 고장 주입 전과 후에 대한 시뮬레이션 결과를 나타낸다.

Fig. 12

Functional safety evaluation scenario 3 results

대열을 형성한 선행 차량들은 14초 지점에서 감속을 수행하지만, 자차량은 V2V 통신 모듈의 고장으로 인하여 15초 지점에서 선행 차량의 속도 정보를 유실하며 그 때의 선행 차량의 속도 정보가 지속적으로 유지된다. 고장에도 불구하고 자차량은 식 (2)의 요구 상대 거리 xdes를 유지하기 위해 15초부터 감속을 수행한다. 하지만 잘못된 통신 정보로 인해 자차량은 선행 차량에 비해 천천히 감속을 하고, 이로 인해 18초 부근에서 충돌이 발생한다. 즉, 선행 차량과 상대 거리 8 m로 유지하며 대열 주행 중이던 자차량은, 선행 차량의 속도 정보 유실로 인해 선행 차량보다 감속을 늦게 수행하여, 18초 부근에서 상대 거리가 0이 되어 선행 차량과 충돌이 발생하는 것을 확인할 수 있다. 이때, 충돌 지점에서 자차량의 속도는 약 30 kph이며 유효충돌속도는 약 6 kph이다.

4.2.4 시나리오 4

시나리오 4는 최상위 고장 이벤트 [G001]과 [G004], [G005]를 위배하는 고장 시나리오(Table 8)로서, V2V 통신 모듈이 선행 차량의 가속도 정보를 과다하게 왜곡(Corruption)하는 상황을 나타낸다. 45 kph로 정속 대열 주행을 하다가 20초 지점에서 선행 차량이 급정지하는 상황일 때 선행 차량의 가속도 값을 15 m/s2로 과도하게 큰 값으로 전달받는 시나리오이다. Fig. 13은 고장 주입 전과 후에 대한 시뮬레이션 결과를 나타낸다.

Fig. 13

Functional safety evaluation scenario 4 results

대열을 형성한 선행 차량들은 20초 지점에서 급제동을 수행하지만, 이 때 자차량은 선행 차량의 가속도 값을 실제보다 과다하게 전달받는다. 선행 차량의 가속도 정보 왜곡 고장에도 불구하고 자차량은 식 (2)xdes를 유지하기 위해 20초부터 급감속을 수행한다. 하지만 잘못된 통신 정보로 인해 자차량은 선행 차량에 비해 충분한 감속을 수행하지 못하여, 이로 인해 30초 부근에서 충돌이 발생한다. 즉, 선행 차량과 상대 거리 8 m를 유지하며 대열 주행 중이던 자차량은, 선행 차량의 왜곡된 가속도 정보로 인해 선행 차량보다 감속을 늦게 수행하여, 27초 부근에서 상대 거리가 0이 되어 충돌이 발생하는 것을 확인할 수 있다. 이때, 유효충돌속도를 살펴보면 왜곡된 선행 차량의 가속도 정보로 인하여 고장 발생 시, 약 5 kph까지 급격하게 증가하지만 자차량의 감속으로 충돌 지점에서는 약 0.3 kph로 줄어드는 것을 볼 수 있다. 따라서 가속도 관련 고장은 속도 관련 고장에 비해 영향이 적은 것을 알 수 있다.


5. 결 론

본 논문에서는 V2V 기반 종방향 도심자율협력주행 시스템을 대상으로, 시스템의 기능안전 평가 시나리오 도출을 위한 방법론에 관한 연구를 수행하였다. 이를 위해 ISO 26262 Part 3 프로세스를 기반으로 기능안전 개념 분석을 수행하였고, 기능안전 개념 분석의 작업 산출물을 토대로 기능안전 평가시나리오를 도출하였다. 도출한 시나리오를 대상으로 시뮬레이션을 수행하여, 본 논문에서 제안한 기능안전 평가시나리오 개발 방법론에 대한 유효성을 검증하였다.

본 논문에서 제안한 기능안전 평가시나리오 개발방법론은 ISO 26262의 기능안전 개념 분석의 작업 산출물을 활용하기 때문에, 대상 시스템의 기능안전을 평가함에 있어서 평가의 신뢰성을 높일 수 있다. 또한 이렇게 함으로써 대상 시스템의 개발 초기 단계부터 ISO 26262의 표준을 준용한 설계를 수행함과 동시에 대상 시스템의 기능안전 평가를 위한 시나리오를 조기에 확보할 수 있다는 이점을 제공한다.

본 연구의 기여한 바를 정리하면 다음과 같다. 첫째, ADAS와 자율주행시스템의 기능안전에 대해 다양한 연구가 수행되어왔지만, 자율주행자동차의 기능안전을 평가하기 위한 시나리오를 어떻게 도출할 것인지에 대한 방법론적 연구는 찾기 어려운 상황이다. 이러한 주제를 다룬 본 연구는, 향후 자율주행시스템이 고도화되어 대상시스템의 기능안전에 대한 평가시나리오 도출 자체가 매우 복잡하고 어려운 상황이 될 때, 이에 대한 체계적인 접근 방법을 제시한다는 면에서 그 중요성이 있다. 둘째, 지금까지 자율주행시스템의 기능안전에 대한 연구는 대부분 환경 센서 기반의 SAE Level 3 부분 자율주행시스템을 대상으로 하고 있으며 V2X 통신 기반의 자율주행시스템을 다룬 연구에서도 통신 요소는 실시간으로 안전에 영향을 주는 시스템이 아닌 V2I에 대한 내용을 다루는 연구가 대부분이었다. 본 연구에서는 SAE Level 4 V2X 기반의 자율협력주행시스템에 있어서 V2X 통신 고장에 대한 시스템의 기능안전에 대한 연구를 하였다는 점에서 본 연구의 중요성을 찾을 수 있다. 셋째 기능안전 국제표준을 따르게 되면 안전목표에 영향을 주는 수많은 결함주입 시나리오를 도출할 수 있지만 기능안전의 전문가가 아닌 이상 수많은 시나리오를 모두 검증하고 분석하는 것은 어려운 일이다. 본 연구에서는 그 가운데 대표성을 가지는 최소의 시나리오를 도출하는 방법론을 제시함으로써 자율주행시스템의 설계 초기 단계부터 기능안전의 준수 여부를 검증할 수 있게 한다는 점에서 그 중요성을 찾을 수 있을 것이다.

추후에는 V2V 기반의 종방향 도심자율협력주행 시스템에 대한 FTA 분석 결과물을 기반으로 기능안전 요구사항을 도출하고, 본 논문에서 제안한 기능안전 평가시나리오를 토대로 기능안전 요구사항을 충족하는 V2V 기반 도심자율협력주행 시스템의 안전메커니즘에 대한 연구를 수행할 예정이다.

Acknowledgments

본 연구는 국토교통부 및 국토교통과학기술진흥원의 연구비 지원(20PQOW-B152473-02)으로 수행하였습니다.

References

  • H. S. Oh, H. G. Choi and Y. S. Song, “V2X Communication Technology for Cooperative Autonomous Driving,” The Journal of the Korean Institute of Communication Sciences, Vol.33, No.4, pp.41-46, 2016.
  • NHTSA(National Highway Traffic Safety Administration), Automated Driving Systems – A Vision for Safety 2.0, 2017.
  • Ministry of Land, Infrastructure and Transport, Safety Standards for Partial Autonomous Driving System, 2020.
  • Ministry of Trade, Industry and Energy, 2030 National Roadmap Report, Future Automotive Industry Development Strategy, 2019.
  • UNECE(United National Economic Commission for Europe) GRVA, VMAD-14-07 NL Comments on New Assessment/Test Method for Automated Driving(NATM) Master Document, 2020.
  • D. Y. Kim, J. H. Lim, H. K. Lee, I. S. Choi, J. K. Shin, Y. S. Hong and K. H. Park, “Development of Fault Injection Simulation Environment for ADAS Systems and Case Studies of Fail-Safety Evaluation,” Transactions of KSAE, Vol.25, No.6, pp.767-777, 2017. [https://doi.org/10.7467/KSAE.2017.25.6.767]
  • D. Kim, S. Lee, H. Lee, I. Choi, J. Shin and K. Park, “Development of Quantitative Methods for Evaluating Failure Safety of Level 3 Autonomous Vehicles,” The Journal of The Korea Institute of Intelligent Transport Systems, Vol.18, No.1, pp.91-102, 2019. [https://doi.org/10.12815/kits.2019.18.1.91]
  • D. R. Ahn, S. G. Shin, K. H. Park, I. S. Choi and H. K. Lee, “Functional Safety Concept Design and Verification for Longitudinal Driving Assistance System of an Autonomous Vehicle,” Transactions of KSAE, Vol.26, No.2, pp.149-158, 2018. [https://doi.org/10.7467/KSAE.2018.26.2.149]
  • J. H. Lim, Study on Safety Measure of Radar Sensor Failure of SCC System, M. S. Thesis, Kookmin University, Seoul, 2017.
  • ISO 22179;2009, Intelligent Transport Systems – Full Ange Adaptive Cruise Control(FSRA) Systems – Performance Requirements And Test Procedures, Int. Edn., International Standardization Organization, Geneva, pp.1-20, 2009.
  • ARS 409-21 Premium Long Range Radar Sensor 77GHz Data Sheet, Continental, Version.07, 2015.
  • IEEE Std.802.11p, Wireless Access in Vehicular Environments(WAVE) Draft Standard ed, 2006.
  • M. McGurrin, Vehicle Information Exchange Needs for Mobility Applications Exchange, United States Department of Transportation Research and Innovative Technology Administration Intelligent Transportation System Joint Program Office No. FHWA-JPO-12-021, 2012.
  • X. Song, L. Chen, K. Wang and D. He, “Robust Time-Delay Feedback Control of Vehicular CACC Systems with Uncertain Dynamics,” Sensors, Vol.20, No.6, 2020. [https://doi.org/10.3390/s20061775]
  • SAE-J2980, Considerations for ISO 26262 ASIL Hazard Classification, Society of Automotive Engineers, 2018.
  • D. B. Kim, D. K. Yun, J. H. Park, S. Y. Ha and J. C. Park, “A Case Study on Speed Analysis of the Rear-End Collision Accident,” Transactions of KSAE, Vol.24, No.6, pp.724-729, 2016. [https://doi.org/10.7467/KSAE.2016.24.6.724]
  • ISO 26262-3:2018, Road Vehicles – Functional Safety – Part 3: Concept Phase, 2018.
  • S. Y. Han, S. H. Jeong and H. Y. Go, “A Study on Hazard Analysis and Risk Assessment for Autonomous Driving,” KSAE Fall Conference Proceedings, pp.1470-1476, 2017.
  • G. I. U and M. J. Seok, “Research on Safety Activity Management Measure Required by ISO-26262,” The Magazine of the IEIE, Vol.40, No.5, pp.34-45, 2013.
  • K. L. Leu, H. Huang, Y. Y. Chen, L. R. Huang and K. M. Ji, “An Intelligent Brake-By-Wire System Design and Analysis in Accordance with ISO-26262 Functional Safety Standard,” International Conference on Connected Vehicles and Expo(ICCVE), pp.150-156, 2015.
  • V. Schönemann, H. Winner, T. Glock, S. Otten, E. Sax, B. Boeddeker, V. Geert, T. Fabrizio and G. G. Padilla, “Scenario-Based Functional Safety for Automated Driving on the Example of Valet Parking,” Future of Information and Communication Conference, pp.53-64, 2018. [https://doi.org/10.1007/978-3-030-03402-3_5]
  • ISO 26262-5:2011, Road Vehicles – Functional Safety – Part 5: Product Development at the Hardware Level, pp.39-65, 2011.

Fig. 1

Fig. 1
Comparative analysis with ACC

Fig. 2

Fig. 2
Initial architecture

Fig. 3

Fig. 3
Schematic of V2V based longitudinal cooperative autonomous driving system

Fig. 4

Fig. 4
Architecture of simulation environment

Fig. 5

Fig. 5
V2V based longitudinal cooperative autonomous driving system diagram

Fig. 6

Fig. 6
HARA process overview autonomous driving system

Fig. 7

Fig. 7
FTA analysis result for G001

Fig. 8

Fig. 8
Scenario development process for evaluation functional safety

Fig. 9

Fig. 9
Functional safety evaluation scenario 1

Fig. 10

Fig. 10
Functional safety evaluation scenario 1 results

Fig. 11

Fig. 11
Functional safety evaluation scenario 2 results

Fig. 12

Fig. 12
Functional safety evaluation scenario 3 results

Fig. 13

Fig. 13
Functional safety evaluation scenario 4 results

Table 1

Function definition of V2V cooperative autonomous driving system

Table 2

V2V communication message set

Table 3

Malfunctions of V2V based longitudinal cooperative autonomous driving system

Table 4

Hazards in V2V based longitudinal cooperative autonomous driving system

Table 5

HARA results with ASIL B

Table 6

Safety goals

Table 7

Failure scenarios

Table 8

Fault injection scenarios