The Korean Society Of Automotive Engineers

Editorial Board

Transactions of the Korean Society of Automotive Engineers - Vol. 25 , No. 6

[ Article ]
Transactions of the Korean Society of Automotive Engineers - Vol. 25, No. 6, pp. 767-777
Abbreviation: KSAE
ISSN: 1225-6382 (Print) 2234-0149 (Online)
Print publication date 01 Nov 2017
Received 09 Aug 2017 Revised 11 Sep 2017 Accepted 13 Sep 2017
DOI: https://doi.org/10.7467/KSAE.2017.25.6.767

ADAS 시스템의 고장 주입 시뮬레이션 환경 개발 및 고장 안전성 평가 사례 연구
김두용1) ; 임재환1) ; 이혁기2) ; 최인성3) ; 신재곤3) ; 홍윤석3) ; 박기홍*, 4)
1)국민대학교 자동차전문대학원
2)자동차부품연구원 스마트운전제어연구센터
3)자동차안전연구원 자율주행자동차센터
4)국민대학교 자동차IT융합학과

Development of Fault Injection Simulation Environment for ADAS Systems and Case Studies of Fail-Safety Evaluation
Dooyong Kim1) ; Jaehwan Lim1) ; Hyuckkee Lee2) ; Inseong Choi3) ; Jaekon Shin3) ; Yunseog Hong3) ; Kihong Park*, 4)
1)Graduate School of Automotive Engineering, Kookmin University, Seoul 02707, Korea
2)Intelligent Vehicle Control System Research Center, Korea Automotive Technology Institute, 303 Pungse-ro, Pungse-myeon, Dongnam-gu, Cheonan-si, Chungnam 31214, Korea
3)Automated Vehicle Center, Korea Automobile Testing and Research Institute, 200 Samjon-ro, Hwaseong-si, Gyeonggi 18247, Korea
4)Department of Automobile and IT Convergence, Kookmin University, Seoul 02707, Korea
Correspondence to : *E-mail: kpark@kookmin.ac.kr


Copyright Ⓒ 2017 KSAE
Funding Information ▼

Abstract

As chassis control technologies advance to ADAS and autonomous driving, the driver’s role in controlling the vehicle motion weakens. Accordingly, fail safety becomes very important since any failure while the driver is not fully engaged in control of the vehicle can be fatal. In this study, a fault injection simulation environment has been developed and case studies have been performed to investigate whether and how fail safety of the ADAS systems can be evaluated on a pure simulation environment. To do this, two ADAS modules and two chassis control modules were modeled in detail such that a fault can be injected to their individual low-level components. Scenarios for the fault injection tests were carefully derived by following the ISO 26262 processes. The simulation results demonstrated that an essential part of fail safety evaluation of the ADAS systems could be successfully made on a fault injection simulation environment.


Keywords: Fail safety evaluation, Fault injection, ADAS, Autonomous driving, Simulation environment, ISO26262
키워드: 고장 안전성 평가, 고장 주입, 첨단 운전자지원 시스템, 자율주행, 시뮬레이션 환경, 기능 안전 국제표준

1. 서 론

최근 전 세계적으로 ADAS 및 자율주행자동차의 개발 및 투자가 활발히 진행되고 있다. 미국의 경우 2017년부터 10년간 ADAS 및 자율주행자동차 관련 40억 달러의 투자 계획을 발표하였으며,1) 영국의 경우 자율주행자동차 연구센터를 설립하여 2,000만 파운드를 투입할 예정이다.2) 또한 일본은 2020년대 후반 완전 자율주행을 위한 제도를 마련 중에 있으며,2) 국내의 경우 국토교통부를 중심으로 ADAS 시스템의 평가 기준을 고도화 하고 자율주행자동차의 조기 상용화를 위한 정책을 활발히 마련 중이어서 2020년에는 양산된 자율주행자동차의 운행을 볼 수 있을 것이다.1)

자율주행시스템은 운전자가 직접적으로 운전을 하지 않는 상태에서 고장이 발생하면 ADAS 시스템보다 큰 위험에 노출될 가능성이 높다. ADAS 시스템은 기능 안전(Functional safety)에 관한 표준 즉 ISO 26262를 준수함으로써 이러한 결함 또는 고장으로 인한 안전성에 대한 평가를 수행하고 있지만, 자율주행자동차의 경우에는 아직 본격적인 양산이 시작되지 않아 고장 안전성을 어떻게 평가할 것인가에 대한 연구가 매우 미미한 실정이다. 하지만 전세계의 주요 자동차업체들이 자율주행자동차의 본격적인 양산 시점으로 제시하고 있는 2020년을 몇 년 밖에 앞두고 있지 않은 현 시점에서, 고장 안전성 평가 연구는 매우 시급히 다루어져야 할 필요가 있다.3)

고장 안전성의 평가를 위해서 H/W 또는 S/W에 인위적으로 고장을 주입해야 하는데, 이를 실차에서 수행하게 되면 자칫 큰 사고로 이어질 수 있기 때문에, 실차보다는 안전이 확보된 HiLS(Hardware-in-the-Loop Simulation)와 같은 환경에서 시스템의 H/W 일부를 대상으로 검증 시험을 수행하는 것이 일반적이다.4)

하지만 Fig. 1, 2에서 보는 것과 같이 HiLS의 경우 부피가 크고 비용이 고가여서 일반적으로 사용하기가 어려우며, 특히 자율주행자동차와 같이 현재 양산되고 있지 않은 경우에는 고장 안전성 평가를 위한 대상 H/W가 아직 없을 수 있다는 단점을 가지고 있다.


Fig. 1 
HiLS for fault injection test (Steering HiLS)


Fig. 2 
HiLS for fault injection test (Braking HiLS)

본 논문에서는 이러한 문제점을 극복하기 위하여 MiLS(Model-in-the-Loop Simulation) 환경에서 고장의 주입이 가능한 환경을 제안하고자 한다. 또한 이를 활용하여 ADAS 시스템의 고장 안전성 평가 사례연구를 수행 하여 고장 주입 시뮬레이션 환경의 활용성을 검증 하고자 한다. MiLS는 시스템의 개발 초기부터 고장 안전성을 검증할 수 있는 프로세스를 제공할 수 있으며, 정확도에 따라 HiLS에서 수행 가능한 고장 안전성 시험의 일부분을 MiLS로 대체할 수 있는 장점을 가진다. 뿐만 아니라 고장 안전성 평가 기술의 개발 시에도 개발 기간을 단축시키는 효과가 있다.

본 논문에서는 고장 주입 시뮬레이션을 ADAS 시스템에 적용하여 사례연구를 수행하였지만, 시스템 및 내부 알고리즘의 경우 변경이 가능하므로 추후에 개발될 자율주행시스템에도 적용이 가능할 것으로 예상 된다.


2. 고장 안전성 평가 대상 시스템

고장 안전성은 고장이 발생했을 때 정상 혹은 정상에 준하는 동작의 가능 여부를 판단하는 척도이다. 본 논문에서는 MiLS 기반으로 고장 주입 시뮬레이션 환경을 구축하고자 한다. 본 논문에서는 고장 안전성의 평가 대상 시스템으로, 종방향 제어 시스템인 FSRA(Full Speed Range ACC)와 횡방향 제어 시스템인 LKS(Lane Keeping System)를 선정하였으며, 주요 기능을 정의하고 구현하였다. FSRA의 경우 해당 표준인 ISO 22179(FSRA) 문서를, LKS의 경우 유사표준인 ISO 11270(LKAS) 문서를 참고하여 기능을 정의하였다.5,6) 표준 문서를 바탕으로 본 논문에서 정의된 10가지의 기능들은 Table 1과 같다.7,8)

Table 1 
Function definition of FSRA and LKS
System Function
Longitudinal system
(FSRA)
[F001] Increase vehicle speed.
[F002] Decrease vehicle speed.
[F003] Maintain vehicle speed.
[F004] Increase relative distance.
[F005] Decrease relative distance.
[F006] Maintain relative distance.
[F007] Manual override by acc. pedal.
[F008] Manual override by brake pedal.
Lateral system
(LKS)
[F009] Keep the lane.
[F010] Manual override by steering wheel.

Fig. 3은 본 논문에서 사용된 평가 대상 시스템 즉 FSRA와 LKS에 대한 검증 시나리오이다. 이 시나리오의 기본적인 주행 환경은 LKS의 국제표준인 ISO 11270의 Annex. A를 참고하여 구성하였으며, LKS와 함께 FSRA의 제어의 성능을 살펴보기 위하여 ISO 22179를 참고하여 선행차량이 250 m 앞에서 80 km/h의 속도로 주행하는 상황을 구현하였다.5,6) 선행차량은 Fig. 4의 시뮬레이션 시간 기준으로 2초에 곡선 도로에 진입하게 되며, 13초 이후에 선행 차량을 추종하게 된다.


Fig. 3 
ADAS System test procedure


Fig. 4 
Simulation results of ADAS system test

본 논문에서는 FSRA와 LKS의 기본 기능을 먼저 구현하였으며 이를 시뮬레이션 하였다. 센서의 노이즈는 실차 데이터를 토대로 가우시안 노이즈를 모델링 하여 시뮬레이션에 반영하였다. 또한 조향 시스템의 경우 3.3절에서 언급할 모터 모델의 토크를 입력으로 하여 전륜의 조향각을 출력하는 조향계 모델을 구성하여 사용하였으며, 제동 시스템의 경우 유압 시스템의 시간지연 특성을 1차 시스템 형대로 모사하여 최대한 HiLS의 환경과 유사하게 MiLS 환경을 구성하고자 하였다.

Fig. 4의 6가지 그래프는 고장이 주입되지 않은 상태의 시뮬레이션 결과로, 4장에서 언급될 고장 주입 시뮬레이션 결과와 비교, 분석 가능한 변수들을 보여준다. 차량속도 그래프를 살펴보면 약 15초까지는 운전자의 목표 속도인 100 km/h를 정상적으로 추종하는 것을 볼 수 있다. 하지만 15초 이후에 선행차량과의 상대거리가 줄어들면서 선행차량의 속도인 80 km/h로 목표속도가 변경되며 목표 상대거리가 설정되게 된다. LKS도 차량의 속도 변화에 상관없이 정상 작동하여 횡방향 이탈거리가 최대 0.17 m로 차선을 정상적으로 유지하게 된다.


3. 고장 주입 시뮬레이션 환경 개발

본 논문에서는 HiLS에서 수행하는 고장 주입 시험을 MiLS에서 구현하고자 하기 때문에, 고장을 주입하고자 하는 대상이 먼저 모델로 구현이 되어야 한다. 이를 위하여 ADAS 시스템의 센서, ECU, 엑추에이터를 각각 모델링하였다. HiLS에서의 고장 주입은 일반적으로 인터페이스부에서 이루어지는데,이는 S/W 내부결함 및 H/W의 소자 수준에서의 고장 주입은 구현이 매우 어려울 뿐 아니라, 이 수준에서의 고장을 고려하고자 하면 시험의 개수가 기하급수적으로 많아지기 때문이다.

본 연구에서는 이러한 실제 HiLS에서의 고장 안전성 평가 환경과 제약 사항들을 고려하여 MiLS 기반의 고장 주입 환경을 개발하였다.

Table 2는 본 논문에서 개발한 시뮬레이션 환경에서 고장 주입이 가능한 요소와 고장 모드의 종류이다. EPS와 ESC는 LKS의 조향지령과 FSRA의 감속지령을 추종하는 제어기로, 본 논문에서는 이들 역시 ADAS 시스템의 구성 요소로 포함하고자 하였다. 본 논문에서 구현한 전체 고장 주입 시뮬레이션 환경의 다이어그램은 Fig. 5와 같다.

Table 2 
Component and fault mode of fault injection test simulation environment
Num. Part Control value Fault mode
System Component
1 FSRA Sensor Radar sensor Relative distance
Relative velocity
Azimuth angle
Loss/Time out
Message corruption
2 ECU FSRA ECU FSRA control signal
(CAN message)
Loss/Time out
Message corruption
ECU function loss
CAN overload
3 LKS Sensor Camera sensor Lateral offset
Drift angle
Radius of road
Loss/Time out
Message corruption
4 ECU LKS ECU LKS control signal
(CAN message)
Loss/Time out
Message corruption
ECU function loss
CAN overload
5 EPS Sensor Torque angle sensor Steering angle
Steering torque
Open, short, offset
Stuck in range
Out of range
Drift and oscillations
6 Sensor Steering angle sensor Steering angle Loss/Time out
Message corruption
7 ECU EPS ECU EPS control signal
(CAN message)
Loss/Time out
Message corruption
ECU function loss
8 Actuator Motor Inverter MOSFET Open, close
9 Current sensor Current Open
10 3-Phase cable Voltage/Current Open
11 DC voltage 12V DC Open
12 Encoder Motor position Open
13 ESC Sensor Wheel speed sensor Wheel speed of 4 wheels Open, short, offset
Stuck in range
Out of range
14 Yawrate sensor Longitudinal Acc.
Lateral Acc.
Yawrate
Loss/Time out
Message corruption
15 ECU ESC ECU ESC control signal
(CAN message)
Loss/Time out
Message corruption
ECU function loss


Fig. 5 
Simulation diagram of fault injection test simulation environment

3.1 센서 고장 주입 시뮬레이션 환경

고장 주입 관점에서 센서는 통신 타입에 따라 분류할 필요가 있다. 왜냐하면 통신 타입에 따라 주입 가능한 고장의 유형이 달라지기 때문이다. 통신 타입에 따른 센서의 고장 유형에 대한 분류는 Fig. 6에 나와 있으며 자세한 설명은 아래에서 다루도록 한다. 각각의 고장 유형은 ISO 26262 Part. 5의 부록인 Annex. D의 ‘Analyzed faults or failures modes in the derivation of diagnostic coverage(Table D.1)’를 참고하여 정의하였다.3)


Fig. 6 
Fault mode for sensor fault injection test

CAN 타입의 센서는 CAN Interface부에서 고장의 주입이 가능하다. 센서 내부의 소자 및 S/W의 결함은 HiLS에서도 구현이 어려우므로 정의에서 제외하였으며, 고장의 유형은 ‘Loss/Time out’과 ‘Message corruption’으로 정의하였다. ‘Loss/Time out’은 CAN 통신이 지연 혹은 단절되어 ECU에 CAN 메시지가 갱신되지 않는 경우이며 ‘Message corruption’은 CAN 메시지가 왜곡되어 ECU로 전달되는 경우이다.

Analog 타입의 센서는 센서가 가지고 있는 Pin map에 따라서 주입 가능한 고장의 유형이 달라지게 된다. 이러한 센서 고유의 Pin map까지 반영하는 것은 MiLS에서는 어렵기 때문에 본 논문에서는 ECU에 전달되는 주요 신호들에 대하여 고장의 유형을 정의하였다. 정의된 고장의 유형은 ‘Open’, ‘Short’, ‘Offset’, ‘Stuck in Range’, ‘Out of Range’, ‘Drift and Oscillations’가 있다.

‘Open’는 신호선이 단절되어 ECU에 전압이 인가되지 않는 결함으로 이 경우 ECU에는 0 V에 해당하는 신호값이 인지되게 된다. ‘Short’는 인접 신호선과 단락되는 경우로 인접 신호선의 전압에 따라 신호가 왜곡된다. 본 연구에서는 인접 신호선이 VCC라고 가정하고 연구를 진행 하였으며 ‘Short’ 발생시 신호의 최대값을 ECU가 인지하도록 하였다. 이외에도 신호값이 항상 일정한 값의 차이를 갖는‘Offset’, 신호값이 특정 범위에서 벗어나지 못하는 ‘Stuck in Range’, 특정 값 이내로 들어오지 못하는 ‘Out of Range’, 노이즈 등으로 인해 전혀 다른 값으로 왜곡이 되는 ‘Drift and Oscillations’를 각각 정의하였다.

3.2 ECU 고장 주입 시뮬레이션

일반적으로 ECU는 CAN 통신을 사용하므로 앞서 정의한 고장의 유형의 적용이 가능하며 추가적으로 ‘CAN Overload’와 ‘ECU Function Loss’를 정의 하였다. ‘CAN Overload’는 CAN의 과부하로 인해 일부 CAN Message가 ‘Loss/Time out’되는 현상으로 우선순위가 낮은 Message위주로 ‘Loss/Time out’이 발생하게 된다. 본 논문에서는 EPS와 ESC의 CAN Message 우선순위가 FSRA와 LKS의 CAN Message 우선순위보다 높다고 가정하고 FSRA와 LKS CAN Message에 ‘Loss/Time out’고장을 주입하여 ‘CAN Overload’ 현상을 재현 하였다.

‘ECU Function Loss’는 전원의 단선 등으로 인해 ECU가 기능을 정상적으로 수행하지 못하는 고장으로 실제 ECU의 특성을 반영하였다. Fig. 7은 ESC ECU의 H/W 아키텍처를 보여준다. ‘ECU Function Loss’의 경우 센서에 고장이 발생하지 않았더라도 외부 ECU에서 센서에 문제가 발생한 것처럼 인지할 수 있다. 예를 들어 Fig. 7에서 ESC ECU에 ‘ECU Function Loss’가 발생하게 되면 FSRA ECU를 포함한 외부 ECU는 Wheel Speed 및 Yawrate 값을 정상적으로 사용할 수 없는 문제가 발생하게 된다.


Fig. 7 
Example of ECU H/W interface (ESC ECU)

실제 HiLS를 사용한 고장 주입 시험에서도 ESC ECU에 ‘ECU Function Loss’가 발생하게 되면 이와 같은 현상이 발생하기 때문에 MiLS에서도 동일하게 구현하였다.

3.3 모터 고장 주입 시뮬레이션 환경

본 논문에서는 EPS의 엑추에이터인 모터의 고장 주입을 위하여 Fig. 8과 같은 시뮬레이션 환경을 개발하였다. 해당 시뮬레이션 환경은 Matlab/Simulink의 Simscape Toolbox를 사용하였으며 모터의 전기적, 기계적 특성을 자세히 모델링 하였다.9,10)


Fig. 8 
Simulink model of motor fault injection test and results of simulation

엑추에이터 고장 주입 시뮬레이션 환경은 인버터, 전류 센서, 3상 케이블, 12 V DC 전원, 엔코더에 고장을 주입할 수 있도록 개발하였다.

모터의 고장 모드는 모터의 구성요소별로 달리 정의 된다. 인버터는 스위칭 소자가 ‘Open’과 ‘Close’상태를 천이하며 직류를 교류로 전환하기 위한 장치로, 매우 빠른 속도의 스위칭으로 인해 실제로도 고장률이 높다. 인버터의 고장은 ‘Open’과 ‘Close’로 정의하였다. ‘Open’은 스위칭 소자가 항상 ‘Open’되어 있어 전류가 흐르지 않는 고장을 나타내며 ‘Close’는 스위치가 계속 닫혀 있는 고장상태를 나타낸다. 전류 센서, 3상 케이블, 12 V DC 전원, 엔코더의 고장은 모두 ‘Open’을 정의하였다. ‘Open’고장이 발생하게 되면 전류센서, 3상 케이블, 12 V DC 전원은 모두 전압 및 전류가 0으로 떨어지게 된다.


4. 고장 안전성 평가 사례 연구

본 논문에서는 앞서 구축한 고장 주입 시뮬레이션 환경을 이용하여 고장 안전성 평가 사례연구를 수행 하였다. 고장 안전성의 평가는 정상 주행 중 인위적인 고장을 주입하고 그 결과를 분석하는 방식으로 수행하게 된다. 본 연구에서는 3절에서 언급한 15가지의 고장을 주입하고 그 영향을 분석하였으며 Table 3에 전체 시뮬레이션의 결과를 요약하였다. Table3에서 Possible Hazard는 고장 주입 시뮬레이션을 통해 발생한 ‘차량 수준의 위험’이며 ‘의도치 않은 가속’,‘의도치 않은 감속’,‘의도치 않은 미감속’,‘의도치 않은 횡방향 운동’, ‘차선 이탈’로 구분하였다.

Table 3 
Simulation results of fault injection test
Num. Part Possible hazard Safety concept req.
System Component
1 FSRA Sensor Radar sensor Unintended deceleration
Vehicle speed stuck at value
Warning and degradation
2 ECU FSRA ECU Unintended acceleration
Unintended deceleration
Vehicle speed stuck at value
Unintended lat. motion
Warning and degradation
3 LKS Sensor Camera sensor Lane departure(left)
Lane departure(right)
Warning and degradation
4 ECU LKS ECU Fail operation
5 EPS Sensor Torque angle sensor Lane departure(left)
Lane departure(right)
Unintended lat. motion
Warning and degradation
Fail operation
6 Sensor Steering angle sensor Lane departure(left)
Lane departure(right)
7 ECU EPS ECU
8 Actuator Motor Inverter
9 Current sensor
10 3-Phase cable
11 DC voltage
12 Encoder
13 ESC Sensor Wheel speed sensor Encoder Warning and degradation
14 Yawrate sensor Unintended acceleration
Unintended deceleration
Unintended lat. motion
Warning and degradation
15 ECU ESC ECU Unintended acceleration
Unintended deceleration
Vehicle speed stuck at value
Unintended lat. motion
Warning and degradation

Table 3에서 Safety Concept Req.은 해당 고장이 발생할 시에 본 논문에서 제안하는 안전 컨셉이다. 안전 컨셉은 크게 2종류이며 ‘Warning and Degradation’과, ‘Fail Operation’이다. ‘Warning and Degradation’은 최소한의 기능을 유지하면서 경고를 통하여 운전자에게 제어권을 이전하는 컨셉으로 이 경우 제어권이 이전되는 순간에 운전자의 제어 가능성이 충분해야만 한다. 반대로 ‘Fail Operation’은 위험도가 높아 운전자에게 제어권을 이양할 경우 운전자의 제어 가능성이 충분하지 않아 더 큰 사고로 이어질 수 있는 상황으로, 시스템이 끝까지 해당 위험상황을 회피해야 하는 컨셉이다. 이 경우 고장이 발생해도 성능저하가 일어나지 않도록 이중 안전구조의 설계가 요구 된다. 본 연구에서 수행된 15가지의 고장 주입 시뮬레이션 결과 가운데 대표적인 2가지 시뮬레이션 결과에 대하여 자세히 소개하고자 한다.

4.1 Wheel Speed Sensor 고장 안전성 평가

첫 번째 시나리오는 Wheel Speed Sensor에 ‘Open’고장을 주입한 경우로 Table 2의 13번에 해당된다. Wheel Speed Sensor는 전/후륜에 총 4개가 사용되나 왼쪽에 장착된 2개의 전/후륜 Wheel Speed Sensor의 신호선이 단선되는 상황을 구현하였다.

Fig. 9는 첫 번째 고장 시나리오에 대한 시뮬레이션 결과를 보여준다. 고장은 약 9초에 주입되었으며 고장안전 대책은 포함되지 않았다. 차량의 속도는 4개의 Wheel Speed Sensor의 평균값으로 계산하기 때문에 고장 발생 직후 추정값이 절반으로 갑작스럽게 줄어드는 것을 볼 수 있다. 이로 인해 FSRA는 차량의 속도를 증가시키기 위하여 가속 이벤트를 발생시켜 의도치 않은 가속이 발생하게 되어 이 결과 19초 근방에서 전방차량과 충돌하게 된다. 또한 의도치 않은 가속의 결과로 LKS의 제어 성능이 저하되어 15초 부근에서 횡방향 이탈거리가 약 0.5 m로 증가하게 된다.


Fig. 9 
Simulation results of fault injection test (Wheel spd. - W/O fail safe algorithm)

Fig. 10은 동일한 시나리오에서 Warning and Degradation Concept의 고장안전 대책이 포함 된 시스템의 시뮬레이션 결과이다. 앞서와 마찬가지로 고장은 약 9초에 주입되었으며 고장발생 이후 0.5초 이후에 Wheel Speed Sensor의 고장을 감지하고 차량의 속도 추정을 종/횡방향 가속도 값으로 대체하게 된다. 이때에 가속도 센서의 값을 적분하게 되어 센서의 DC 성분 노이즈로 인해 오차는 점차 증가하게 된다. 고장안전 대책이 없는 경우에는 19초에 충돌하지만, 고장안전 대책이 포함된 경우 비록 성능은 떨어지나 15초 이상을 운전자 개입없이 주행 하는 것을 볼 수 있다. 고장 이후에 경고를 통해 15초 이내에 운전자가 제어권을 이전 받는 경우를 고려 한다면 이와 같은 고장안전 대책은 충분히 활용 가능하다고 판단된다.


Fig. 10 
Simulation results of fault injection test (Wheel spd. - with fail safe algorithm)

4.2 EPS ECU 고장 안전성 평가

두 번째 시나리오는 EPS ECU에 ‘ECU Function Loss’고장을 주입한 경우로 Table 2의 7번에 해당된다. 이는 EPS ECU가 전원 등의 고장으로 기능을 상실하여 LKS가 조향 시스템의 제어를 정상적으로 수행하지 못하는 상황을 나타낸다.

Fig. 11은 시뮬레이션 결과를 보여준다. 고장은 선회 정상상태 중인 24초에 주입되었으며 고장안전 대책은 포함되지 않았다. EPS는 LKS에서 요구하는 조향각을 추종하기 위하여 조향 엑추에이터를 제어하는 시스템으로 EPS가 기능을 상실하게 되면 조향제어를 수행할 수 없게 되므로 굉장히 위험하다. 조향각 그래프를 살펴보면 고장 발생 직후 조향제어가 수행되지 않으므로 LKS ECU에서는 요구 조향각을 계속 증가시키지만 EPS는 요구 조향각을 추종하지 못하고 0 deg 근처를 유지하게 된다. 이로 인해 2초 뒤에는 횡방향 이탈거리가 2 m 이상이 되어 완전히 옆 차선으로 이탈 하게 된다.


Fig. 11 
Simulation results of fault injection test (EPS ECU - W/O fail safe algorithm)

Fig. 12는 동일한 시나리오에서 Warning and Degradation Concept의 고장안전 대책이 포함된 시스템의 시뮬레이션 결과이다. 앞서와 마찬가지로 고장은 약 24초에 주입되었으며 고장발생 직후에 EPS ECU의 고장을 감지하고 좌측 후륜의 편제동 제어를 통해 차선이탈 속도를 최소화 하기 위한 전략을 구현 하였다. EPS ECU가 고장이 발생하더라도 LKS ECU 및 카메라 센서는 정상작동 하므로, 현재 차량의 속도와 도로 곡률에 맞는 목표 요레이트를 계산하고 이를 추종 하도록 편제동 제어를 수행 하였다. 결과적으로 고장안전 대책이 없는 경우에는 고장 발생 이후 2초 뒤에 차선을 이탈하지만, 고장안전 대책이 포함된 경우 차선을 이탈하는 시간이 9초로 증가하게 된다. 즉 운전자는 제어권을 이전 받을 수 있는 시간이 7초 증가하게 되어, 보다 제어 가능성이 충분한 상태에서 제어권을 이전 받는 것이 가능해진다. 고장 이후에 경고를 통해 5~7초 이내에 운전자가 제어권을 이전 받는 경우를 고려한다면 이와 같은 고장안전 대책은 충분히 활용 가능하다고 판단된다.


Fig. 12 
Simulation results of fault injection test (EPS ECU - with fail safe algorithm)


5. 결 론

본 논문에서는 고장 주입 시뮬레이션 환경을 MiLS 기반으로 구축하였으며 이를 통하여 고장 안전성 평가 사례연구를 수행하여 활용성을 검증하였다. 이를 위해 평가 대상 ADAS 시스템의 기본 기능을 종방향 및 횡방향 시스템으로 구분하여 정의하고 구현하였으며 센서, ECU, 엑추에이터 관점에서 주입 가능한 고장을 분석하여 정의하였다. 또한 고장 주입 시뮬레이션 환경을 통해 전혀 예상하지 못한 고장에 대한 결과를 얻어 내는 것과, 발생 가능한 위험을 검출하고 정의하는 것이 가능하였다. 본 논문에서는 평가 대상 시스템을 간단한 형태로 구현하였으나, 내부 알고리즘의 경우 자유롭게 변경이 가능하므로 양산적용이 가능한 알고리즘에도 충분히 적용할 수 있을 것으로 기대된다.

본 논문에서 개발한 고장 주입 시뮬레이션 환경은 HiLS와 실차 시험을 완전히 대체할 수는 없지만, 개발 초기부터 고장 안전성을 검증할 수 있는 프로세스를 제공하여 고장 안전성 측면에서의 빠른 설계 변경을 가능하게 할 것으로 기대된다.


Acknowledgments

본 연구는 국토교통부 및 국토교통과학기술진흥원의 연구비지원(16TLRP-B117133-02)으로 수행된 연구임.


References
1. S. Han, T. Kim, and K. Kang, “The Autonomous Vehicle Policy I : US and Korea”, Monthly KOTI Magazine on Transport, p74-79, (2016).
2. S. Han, T. Kim, and K. Kang, “The Autonomous Vehicle Policy II : EU and Japan”, Monthly KOTI Magazine on Transport, p64-69, (2017).
3. ISO 26262-5 Road Vehicle Functional Safety Part 5: Product Development at the Hardware Level, Int. Edn., International Standardization Organization, Geneva, p39-65, (2011).
4. K. Park, J. Kwon, M. Soh, T. Kang, and D. Kim, “V-cycle Based Automotive Testing Solutions for Satisfying AUTOSAR and ISO 26262”, Auto Journal, KSAE, Vol.37(No.10), p22-32, (2015).
5. ISO 22179 Intelligent Transport Systems - Full Speed Range Adaptive Cruise Control(FSRA) Systems - Performance Requirements and Test Procedures, Int. Edn., International Standardization Organization, Geneva, p1-20, (2009).
6. ISO 11270 Intelligent Transport Systems - Lane Keeping Assistance Systems - Performance Requirements and Test Procedures, Int. Edn., International Standardization Organization, Geneva, p1-8, (2014).
7. D. Ahn, S. Shin, J. Lee, and H. Lee, “A Study on Failure Safety Analysis Method for Longitudinal Driving Assistance System”, KSAE Fall Conference Proceedings, p831, (2016).
8. H. Chae, Y. Jeong, K. Yi, I. Choi, and K. Min, “Safety Performance Evaluation Scenarios for Extraordinary Service Permission of Autonomous Vehicle”, Transactions of KSAE, Vol.24(No.5), p495-503, (2016).
9. G. Lee, and S. Hahm, “A Study on Auto Code Generation for High Performance Motor Control using the Simulink”, Journal of Institute of Control, Robotics and Systems, Vol.19(No.12), p1125-1131, (2013).
10. N. Jeon, and H. Lee, “Integrated Fault Diagnosis Algorithm for Driving Motor of In-wheel Independent Drive Electric Vehicle”, Transactions of KSAE, Vol.24(No.1), p99-111, (2016).