STPA(System Theoretic Process Analysis)의 자율 자동차에서의 위험원 식별 및 안전요구사항 도출 사례
작성자
관리자
작성일
2022-01-27 16:11
조회
683
과연 STPA(System Theoretic Process Analysis)가 자율 자동차의 안전의 향상과 다른 속성의 위험원을 식별하는데 기여할 수 있을까?
들어가기
-ADAS 및 ITS와 같은 최신 기술은 도로 운송 시스템에 있어 차량의 자동화를 점차적으로 가능하게 하고 있습니다.
- 여기에 부가적으로 동기부여가 될 수 있는 것은 바로 ‘차량 자동화는 인간 운전자 오류에(충돌의 95%) 기인한 도로 충돌을 제거할 것이다’ 라는 것입니다.
- 이와 더불어 생각해 보아야 하는 것은 항공 분야에서 경험한 바와 같이 자동화가 시스템에 가져올 수 있는 변화와 새로운 위험(예: Human Fault Issue)은 무엇인가? 하는 것입니다.
차량의 자동화가 가져올 변화를 살펴보면 다음과 같습니다
- 차량 자동화는 차량 운전환경에서의 역할과 상호작용의 변화를 가져옵니다
- 차량 자동화는 비 자동화된 차량에서부터 완전히 자동화된 차량까지 혼재된 교통 조건(환경)을 유발합니다
그러나, 기존 도로 안전 관련 접근법은 차량의 자동화를 고려하지 않았고, 또한 이러한 접근 방법은 차량 자동화와 도로 운송 시스템이 가져올 수 있는 복잡성을 다루는 것 또한 의미하지 않아서, 자동화가 유발하는 위험(Hazards)을 완전히 이해되게 식별할 수 없습니다
“우리는 무언가 새로운 것이 필요하다”
연구 배경
우선, 차량 자동화로 인해 유발되는 다양한 특성의 위험(hazards)를 식별할 수 있는 방법이 필요하다는 것이다
그리고, 과연 STAMP와 STPA는 차량 자동화에 따른 다양한 특성의 위험(hazards)을 식별할 수 있는가? 하는 것이다
따라서, 차량 자동화(Traffic Jam Pilot)의 케이스 연구에 STPA 분석 방법을 적용했고 식별된 위험(hazard)의 특성과의 연관성을 분석한 결과를 평가하였다
방법론
이러한 접근을 위한 방법론으로 그림에서 보듯이, 데이터 수집(시스템 이해 관점)과 인간의 운전 모델을 입력으로 하여 Traffic Jam Pilot에 대한 STPA 분석을 통해, 각 특성에 따른 위험(Hazards)을 분류하는 방법으로 접근하였다
Traffic Jam Pilot
우선 Traffic Jam Pilot은 차량의 종방향과 횡방향 제어를 수행하고 고속도로의 제한된 영역과 제한된 조건에서 주행 환경을 모니터링하는 시스템이라 할 수 있습니다.
Traffic Jam Pilot: Forecasted end of AD mode
위의 그림에서는 예상되는 자동 주행 모드의 종료의 과정을 단계별로 나타내고 있습니다.
Traffic Jam Pilot: Quick end of AD mode, type 1
Traffic Jam Pilot: Quick end of AD mode, type 2
The Human Driver Controller Model
[참고] Extension of the human controller in STPA (Thornberry 2014)
DREAM(Sagberg 2008) CREAM (Hollnagel 1998)
Human driver failure model (Van Elslande 1997)
The Human error (Reason 1990)
위의 그림은 인간 운전자의 제어 모델에 대한 것이다
인간 운전자에게 미칠 여러가지 조건들이(경험, 운전상태, 운전스타일, 오랜 기간의 학습 등) 인간의 운전 모델에 반영된 상태에서 직접적인 환경으로부터 그리고 네비게이션 시스템 등으로 부터 정보의 도움을 받아 인지하고 인식하는 것부터 최종 의사결정 과정을 통해 차량을 통제하는 것으로 되어 있습니다.
STPA (System Eng. Foundations)
본 내용은 STPA(System Theoretic Process Analysis) 관점에서 Hazard로 인해 발생하는 사고 사례를 예시로 들었다. 그리고 이에 대한 안전 제약 사항도 같이 도출하였다.
사고의 첫번째는 사람들이 도로에서의 충돌로 인해 부상을 입거나, 혹은 사망한다는 것입니다.
두번째는 도로에서의 충돌로 인해 재산 상의 손실을 입는다는 것입니다.
이러한 사고를 일으킬 수 있는 위험원(Hazard)으로는 첫번째가 차량이 물체나, 도로 사용자, 차량 등 과의 최소 안전 거리를 지키지 않는 경우가 해당될 수 있습니다.
그리고 두번째 위험원은 차량이 도로를 이탈하는 경우입니다.
따라서, 이에 대한 안전 제약사항은 최소 안전거리를 위반하지 않아야 한다는 것과 도로를 벗어나지 말아야 한다는 것입니다.
Safety control structure
안전 제어 구조도에서는 자동화된 제어기와 운전자 제어모델과 그리고 이들 간의 인터페이스인 HMI가 제어를 총괄하고, 이때 환경을 대상으로 기계적인 또는 인간이 인식하는 센서로서의 정보가 입력되고, 출력으로는 운전자(인간)에 의한 조향 장치와 페달 구동 그리고 자동화된 제어기에 의한 machine acturators가 작동하고, 이들의 조합한 최종 출력이 만들어지는 구조를 표현하고 있습니다
STPA Tables overview
STPA (System Theoretic Process) Table 상의 각 제어기에서(Human Driver, HMI, Automated Controller) 도출된 Control Action(CA)과 Unsafe Control Action(UCA)들을 나타냈으며, 자동 운전 모드에서 매뉴얼 운전 모드로 전환되는 동안(Takeover Request 관련) 6개의 Unsafe Control Action에 관련한 원인분석을 수행합니다
STPA outputs: Automated controller
우선, 자동화 콘트롤러 관점에서 분석을 하면 다음과 같습니다.
UCA-1: 자동화 콘트롤러는 자동운전 모드 조건이 더 이상 충족하지 않을 때 제어권 인계 요청을 보내지 않는다
Scenario-1: 레이더가 물체 감지에 대해 부정확한 정보를 제공하여, 자동화 콘트롤러는 일부 자동운전 모드 조건이 충족되지 않음을 인식하지 못합니다.
Recommendations: 정확한 측정, 적절한 작동 및 교정을 보장하기 위한 센서 특성화 및 테스트; 즉, 부정확한 측정을 감지하기 위한 설계 전략 수립.
Scenario-2: 자동 콘트롤러는 프로세스 모델이 고속도로에 보행자가 있을 수 있음을 고려하지 않기 때문에 보행자를 인식하지 못합니다.
Recommendations: 프로세스 모델에 보행자 모델을 포함하고 보행자 감지를 테스트합니다. 자동운전 모드 조건 및 설계 가정을 검토합니다.
Hazard Nature Classification: Automated Controller
자동 콘트롤러에서의 Hazard 속성은 설계에러, 요구사항 결함 등으로 분석됩니다
STPA outputs: HMI controller
HMI 제어기에서 발생할 수 있는 UCA 사례는 다음과 같습니다
UCA-3: HMI 컨트롤러는 자동화 컨트롤러가 요청을 보낼 때 "디스플레이 제어권 인계 요청"을 제공하지 않습니다.
Scenario-1: 제어 알고리즘이 상태를 업데이트하지 않기 때문에 제어권 인계 요청을 표시하는 명령을 보내지 않습니다.
Recommendations: 소프트웨어 요구 사항에 대해 STPA를 수행합니다.
Scenario-2: 화면(또는 컴포넌트) 오작동으로 인해 제어권 인계 요청이 화면에 표시되지 않습니다.
Recommendations: HMI의 화면 및 기타 구성 요소에 대한 위험 분석 및 신뢰성 분석
Hazard Nature Classification: HMI Controller
HMI 제어기에서 발생할 수 있는 Hazard 속성으로는 잘못된 요구사항, 부품의 결함, 상호작용 등으로 구성됩니다. 즉, 기계와 운전자 간의 인터페이스 역할로써, 기계가 전달한 정보를 운전자에게 전달하지 못하는 경우에 발생할 수 있는 Hazard 속성들입니다.
STPA outputs: Human Driver
이 경우는 운전자(인간) 모델에서의 UCA 사례를 분석하였습니다
UCA-5: 드라이버는 HMI가 제어권 인계 요청을 표시할 때 "제어권 인수 요청 확인"을 제공하지 않습니다.
Scenario-1: 운전자는 태블릿으로 영화를 보는 데 주의가 산만하여 인수 요청을 인지/듣거나/느끼지 못합니다.
Recommendations:
- 눈에 띄고 직관적이며 일관된 피드백으로 HMI를 설계하고 테스트합니다.
- Audio & Video를 이용하여 운전하기 전에 운전자에게 교육 및 정확한 정보를 제공하십시오.
- 운전자가 요청을 확인하지 않는 경우를 대비하여 최소 위험 조건 전략을 설계합니다.
UCA-6: 운전자가 수동 운전을 재개할 준비가 되지 않았는데도 "제어권 인수 요청 확인"을 합니다.
Scenario-1: 운전자가 제어권 인수를 준비하는(운전 위치를 확보, 손을 핸들에 얹기, 발을 페달에 놓기, 마음 준비 등) 대신 인수 요청을 즉시 확인합니다. 왜냐하면 그것이 자신이 해야 할 일이라고 생각하기 때문입니다.
Recommendations:
- 운전자 교육.
- 확인 전에 준비하기 위해 다양한 단계를 "제안"하는 HMI를 설계합니다(예: 위치, 도로 위 시선 등).
- 운전자가 "준비"되었는지 확인하는 센서 포함(운전자 모니터링).
- 의도하지 않은 확인(수락)을 제한하는 확인 "버튼"을 설계합니다. (즉, 두 개의 버튼).
- HMI를 통해 운전자에게 수동 운전을 재개할 준비가 되지 않았을 때 인계를 확인하는 것보다 차량이 최소 위험 조건에 들어가도록 하는 것이 더 안전하다고 안심시키십시오.
Hazard Nature Classification: Human Driver Controller
운전자 관점에서의 Hazard 속성들은 역시, 설계오류, 잘못된 요구사항, 부품의 결함, 운전자(인간) 행위, 상호 작용 등에서 나타날 수 있습니다
Conclusions
- STPA를 사용하여 차량 자동화에 대한 연구에서 많은 위험을 식별할 수 있었습니다(미시적 수준에서도).
- STPA는 적용하고 따라하기가 매우 쉽습니다.
-가장 어려운 부분은 STAMP의 기반이 되는 이론과 패러다임 전환을 이해하는 것입니다.
- STPA를 사용하면 동일한 프레임 내에서 인적 요소, 기술적 요소(자동화 포함) 및 이들의 상호 작용을 분석할 수 있습니다.
- STAMP 및 STPA를 사용하면 차량 자동화와 관련된 다양한 특성의 위험을 식별할 수 있습니다(차량 자동화에 적합한 후보).
-STPA 덕분에 생성된 권장 사항은 자동화 컨트롤러 및 HMI의 설계를 대상으로 하지만 시스템 범위 밖의 요소를 대상으로 하는 몇 가지 권장 사항이 있습니다.
- 운전자 교육 및 인증, 교통 규칙, 도로 확인 등
Perspectives
- "제어"하기 위해 사회 기술 시스템의 상위 수준에 있는 컨트롤러를 포함하도록 시스템 경계 및 분석 범위 확장:
- 운전자 교육 및 인증(전문운전자 및 비전문운전자), 도로교통법규, 도로검증기준 등
- 시스템 운영 수준에서 다른 도로 사용자와의 상호 작용을 포함합니다.
[출처] Can STPA contribute to identify hazards of different natures and improve safety of automated vehicles?
Stephanie Alvarez, Frank Guarnieri & Yves Page
(MINES ParisTech, PSL Research University and RENAULT SAS)
https://blog.naver.com/vway_news/222579230604
들어가기
-ADAS 및 ITS와 같은 최신 기술은 도로 운송 시스템에 있어 차량의 자동화를 점차적으로 가능하게 하고 있습니다.
- 여기에 부가적으로 동기부여가 될 수 있는 것은 바로 ‘차량 자동화는 인간 운전자 오류에(충돌의 95%) 기인한 도로 충돌을 제거할 것이다’ 라는 것입니다.
- 이와 더불어 생각해 보아야 하는 것은 항공 분야에서 경험한 바와 같이 자동화가 시스템에 가져올 수 있는 변화와 새로운 위험(예: Human Fault Issue)은 무엇인가? 하는 것입니다.
차량의 자동화가 가져올 변화를 살펴보면 다음과 같습니다
- 차량 자동화는 차량 운전환경에서의 역할과 상호작용의 변화를 가져옵니다
- 차량 자동화는 비 자동화된 차량에서부터 완전히 자동화된 차량까지 혼재된 교통 조건(환경)을 유발합니다
그러나, 기존 도로 안전 관련 접근법은 차량의 자동화를 고려하지 않았고, 또한 이러한 접근 방법은 차량 자동화와 도로 운송 시스템이 가져올 수 있는 복잡성을 다루는 것 또한 의미하지 않아서, 자동화가 유발하는 위험(Hazards)을 완전히 이해되게 식별할 수 없습니다
“우리는 무언가 새로운 것이 필요하다”
연구 배경
우선, 차량 자동화로 인해 유발되는 다양한 특성의 위험(hazards)를 식별할 수 있는 방법이 필요하다는 것이다
그리고, 과연 STAMP와 STPA는 차량 자동화에 따른 다양한 특성의 위험(hazards)을 식별할 수 있는가? 하는 것이다
따라서, 차량 자동화(Traffic Jam Pilot)의 케이스 연구에 STPA 분석 방법을 적용했고 식별된 위험(hazard)의 특성과의 연관성을 분석한 결과를 평가하였다
방법론
이러한 접근을 위한 방법론으로 그림에서 보듯이, 데이터 수집(시스템 이해 관점)과 인간의 운전 모델을 입력으로 하여 Traffic Jam Pilot에 대한 STPA 분석을 통해, 각 특성에 따른 위험(Hazards)을 분류하는 방법으로 접근하였다
Traffic Jam Pilot
우선 Traffic Jam Pilot은 차량의 종방향과 횡방향 제어를 수행하고 고속도로의 제한된 영역과 제한된 조건에서 주행 환경을 모니터링하는 시스템이라 할 수 있습니다.
Traffic Jam Pilot: Forecasted end of AD mode
위의 그림에서는 예상되는 자동 주행 모드의 종료의 과정을 단계별로 나타내고 있습니다.
Traffic Jam Pilot: Quick end of AD mode, type 1
Traffic Jam Pilot: Quick end of AD mode, type 2
The Human Driver Controller Model
[참고] Extension of the human controller in STPA (Thornberry 2014)
DREAM(Sagberg 2008) CREAM (Hollnagel 1998)
Human driver failure model (Van Elslande 1997)
The Human error (Reason 1990)
위의 그림은 인간 운전자의 제어 모델에 대한 것이다
인간 운전자에게 미칠 여러가지 조건들이(경험, 운전상태, 운전스타일, 오랜 기간의 학습 등) 인간의 운전 모델에 반영된 상태에서 직접적인 환경으로부터 그리고 네비게이션 시스템 등으로 부터 정보의 도움을 받아 인지하고 인식하는 것부터 최종 의사결정 과정을 통해 차량을 통제하는 것으로 되어 있습니다.
STPA (System Eng. Foundations)
본 내용은 STPA(System Theoretic Process Analysis) 관점에서 Hazard로 인해 발생하는 사고 사례를 예시로 들었다. 그리고 이에 대한 안전 제약 사항도 같이 도출하였다.
사고의 첫번째는 사람들이 도로에서의 충돌로 인해 부상을 입거나, 혹은 사망한다는 것입니다.
두번째는 도로에서의 충돌로 인해 재산 상의 손실을 입는다는 것입니다.
이러한 사고를 일으킬 수 있는 위험원(Hazard)으로는 첫번째가 차량이 물체나, 도로 사용자, 차량 등 과의 최소 안전 거리를 지키지 않는 경우가 해당될 수 있습니다.
그리고 두번째 위험원은 차량이 도로를 이탈하는 경우입니다.
따라서, 이에 대한 안전 제약사항은 최소 안전거리를 위반하지 않아야 한다는 것과 도로를 벗어나지 말아야 한다는 것입니다.
Safety control structure
안전 제어 구조도에서는 자동화된 제어기와 운전자 제어모델과 그리고 이들 간의 인터페이스인 HMI가 제어를 총괄하고, 이때 환경을 대상으로 기계적인 또는 인간이 인식하는 센서로서의 정보가 입력되고, 출력으로는 운전자(인간)에 의한 조향 장치와 페달 구동 그리고 자동화된 제어기에 의한 machine acturators가 작동하고, 이들의 조합한 최종 출력이 만들어지는 구조를 표현하고 있습니다
STPA Tables overview
STPA (System Theoretic Process) Table 상의 각 제어기에서(Human Driver, HMI, Automated Controller) 도출된 Control Action(CA)과 Unsafe Control Action(UCA)들을 나타냈으며, 자동 운전 모드에서 매뉴얼 운전 모드로 전환되는 동안(Takeover Request 관련) 6개의 Unsafe Control Action에 관련한 원인분석을 수행합니다
STPA outputs: Automated controller
우선, 자동화 콘트롤러 관점에서 분석을 하면 다음과 같습니다.
UCA-1: 자동화 콘트롤러는 자동운전 모드 조건이 더 이상 충족하지 않을 때 제어권 인계 요청을 보내지 않는다
Scenario-1: 레이더가 물체 감지에 대해 부정확한 정보를 제공하여, 자동화 콘트롤러는 일부 자동운전 모드 조건이 충족되지 않음을 인식하지 못합니다.
Recommendations: 정확한 측정, 적절한 작동 및 교정을 보장하기 위한 센서 특성화 및 테스트; 즉, 부정확한 측정을 감지하기 위한 설계 전략 수립.
Scenario-2: 자동 콘트롤러는 프로세스 모델이 고속도로에 보행자가 있을 수 있음을 고려하지 않기 때문에 보행자를 인식하지 못합니다.
Recommendations: 프로세스 모델에 보행자 모델을 포함하고 보행자 감지를 테스트합니다. 자동운전 모드 조건 및 설계 가정을 검토합니다.
Hazard Nature Classification: Automated Controller
자동 콘트롤러에서의 Hazard 속성은 설계에러, 요구사항 결함 등으로 분석됩니다
STPA outputs: HMI controller
HMI 제어기에서 발생할 수 있는 UCA 사례는 다음과 같습니다
UCA-3: HMI 컨트롤러는 자동화 컨트롤러가 요청을 보낼 때 "디스플레이 제어권 인계 요청"을 제공하지 않습니다.
Scenario-1: 제어 알고리즘이 상태를 업데이트하지 않기 때문에 제어권 인계 요청을 표시하는 명령을 보내지 않습니다.
Recommendations: 소프트웨어 요구 사항에 대해 STPA를 수행합니다.
Scenario-2: 화면(또는 컴포넌트) 오작동으로 인해 제어권 인계 요청이 화면에 표시되지 않습니다.
Recommendations: HMI의 화면 및 기타 구성 요소에 대한 위험 분석 및 신뢰성 분석
Hazard Nature Classification: HMI Controller
HMI 제어기에서 발생할 수 있는 Hazard 속성으로는 잘못된 요구사항, 부품의 결함, 상호작용 등으로 구성됩니다. 즉, 기계와 운전자 간의 인터페이스 역할로써, 기계가 전달한 정보를 운전자에게 전달하지 못하는 경우에 발생할 수 있는 Hazard 속성들입니다.
STPA outputs: Human Driver
이 경우는 운전자(인간) 모델에서의 UCA 사례를 분석하였습니다
UCA-5: 드라이버는 HMI가 제어권 인계 요청을 표시할 때 "제어권 인수 요청 확인"을 제공하지 않습니다.
Scenario-1: 운전자는 태블릿으로 영화를 보는 데 주의가 산만하여 인수 요청을 인지/듣거나/느끼지 못합니다.
Recommendations:
- 눈에 띄고 직관적이며 일관된 피드백으로 HMI를 설계하고 테스트합니다.
- Audio & Video를 이용하여 운전하기 전에 운전자에게 교육 및 정확한 정보를 제공하십시오.
- 운전자가 요청을 확인하지 않는 경우를 대비하여 최소 위험 조건 전략을 설계합니다.
UCA-6: 운전자가 수동 운전을 재개할 준비가 되지 않았는데도 "제어권 인수 요청 확인"을 합니다.
Scenario-1: 운전자가 제어권 인수를 준비하는(운전 위치를 확보, 손을 핸들에 얹기, 발을 페달에 놓기, 마음 준비 등) 대신 인수 요청을 즉시 확인합니다. 왜냐하면 그것이 자신이 해야 할 일이라고 생각하기 때문입니다.
Recommendations:
- 운전자 교육.
- 확인 전에 준비하기 위해 다양한 단계를 "제안"하는 HMI를 설계합니다(예: 위치, 도로 위 시선 등).
- 운전자가 "준비"되었는지 확인하는 센서 포함(운전자 모니터링).
- 의도하지 않은 확인(수락)을 제한하는 확인 "버튼"을 설계합니다. (즉, 두 개의 버튼).
- HMI를 통해 운전자에게 수동 운전을 재개할 준비가 되지 않았을 때 인계를 확인하는 것보다 차량이 최소 위험 조건에 들어가도록 하는 것이 더 안전하다고 안심시키십시오.
Hazard Nature Classification: Human Driver Controller
운전자 관점에서의 Hazard 속성들은 역시, 설계오류, 잘못된 요구사항, 부품의 결함, 운전자(인간) 행위, 상호 작용 등에서 나타날 수 있습니다
Conclusions
- STPA를 사용하여 차량 자동화에 대한 연구에서 많은 위험을 식별할 수 있었습니다(미시적 수준에서도).
- STPA는 적용하고 따라하기가 매우 쉽습니다.
-가장 어려운 부분은 STAMP의 기반이 되는 이론과 패러다임 전환을 이해하는 것입니다.
- STPA를 사용하면 동일한 프레임 내에서 인적 요소, 기술적 요소(자동화 포함) 및 이들의 상호 작용을 분석할 수 있습니다.
- STAMP 및 STPA를 사용하면 차량 자동화와 관련된 다양한 특성의 위험을 식별할 수 있습니다(차량 자동화에 적합한 후보).
-STPA 덕분에 생성된 권장 사항은 자동화 컨트롤러 및 HMI의 설계를 대상으로 하지만 시스템 범위 밖의 요소를 대상으로 하는 몇 가지 권장 사항이 있습니다.
- 운전자 교육 및 인증, 교통 규칙, 도로 확인 등
Perspectives
- "제어"하기 위해 사회 기술 시스템의 상위 수준에 있는 컨트롤러를 포함하도록 시스템 경계 및 분석 범위 확장:
- 운전자 교육 및 인증(전문운전자 및 비전문운전자), 도로교통법규, 도로검증기준 등
- 시스템 운영 수준에서 다른 도로 사용자와의 상호 작용을 포함합니다.
[출처] Can STPA contribute to identify hazards of different natures and improve safety of automated vehicles?
Stephanie Alvarez, Frank Guarnieri & Yves Page
(MINES ParisTech, PSL Research University and RENAULT SAS)
https://blog.naver.com/vway_news/222579230604