자율 시스템 개발에서 엄격한 검증 문제 극복

2021-02-01

자율 시스템 개발의 핵심 요건은 안전하고 안정적인 작동입니다. 그러므로 차량의 움직임을 안전하게 제어하기 위해 설계되고 구현된 하드웨어 및 소프트웨어 하위 시스템의 경우 신뢰성과 견고성에 직접 기여하는 방식을 도입하는 것이 바람직합니다. 기본 수학적 접근 방식 및 모델링 기술의 정확성을 고려하면 기능적 안전과 정형 기법을 토대로 한 접근 방식은 특히 매력적입니다.

그러나 환경, 차량 시스템 그리고 자율 시스템 구성 요소 간 상호작용의 순전한 복잡성 및 가변성으로 인해 빠르게 실질적이고 근본적인 한계에 이르게 됩니다. 이는 차원의 저주(curse of dimensionality) 및 요구되는 방정식 유형에 대한 모델 동작 경계의 무한한 성장과 관련되어 있습니다. 유형 시스템, 이론 증명 또는 도달 가능성 분석과 같은 방식을 통해 확실한 보증을 받는 것이 이상적입니다. 이를 위해서는 운영 설계 도메인, 시스템 설계 그리고 기능 요건에 대한 형식화가 필요합니다. 이론상으로는 가능하지만 실제로 다루기 쉽게 유지하기 위해서는 상당한 단순화 및 근사화가 요구됩니다.

또한 실제 응용을 위한 자율주행차(AV)를 제작하기 위해서는 기타 다양한 사항들을 고려해야 합니다. 조직이 대규모 엔지니어 팀의 작업을 효과적으로 정의하고 추적하려면 어떻게 해야 할까요? 팀이 실제 테스트 및 운전 기록을 효과적으로 사용하여 시스템을 개발하기 위해서는 어떻게 해야 할까요? Ground truth 정보의 수집이 어려울 경우 문제는 더욱 복잡해집니다. 이에 더해, 소프트웨어 버전 및 하드웨어 구성은 연구 및 현장 운영 테스트를 통한 통찰력으로 인해 지속적으로 변경됩니다.

이 게시물에서 Applied Intuition 팀은 정형 기법의 관점에서 얼마나 빠른 시간 내에 AV형 시스템 모델이 다루기 어려워지는지를 보여주고 자율 시스템 개발과 생산화의 이점을 달성하기 위해 할 수 있는 방법에 대한 통찰력을 제시합니다.

자동 긴급 제동장치

직선 단일 차선을 달리는 차의 자동 긴급 제동장치(AEB) 시스템을 생각해 보십시오. 자전거가 도로 쪽으로 휙 들어오거나 다른 차량이 앞으로 끼어들게 되면 충돌을 피하기 위해 시스템은 상황을 감지하고 제시간 내에 차를 완전히 정지해야 합니다 (그림 1). 감지, 의사 결정 및 제어를 포함하는 이런 시스템은 테스트 시나리오와 함께 하이브리드 시스템으로 모델링 될 수 있습니다. 이를 통해 ISO 26262와 같은 프레임워크를 사용한 위험성 및 유해성 평가가 가능합니다 (더 자세한 사항은 ISO 26262 및 게시물의 시뮬레이션을 참조하세요).

그림 1: 시뮬레이션을 사용한 자전거가 길을 건널 경우의 AEB 시스템 테스트

Duracz et al. (2015)의 사례 연구에서 좋은 예를 확인할 수 있습니다. 그들의 엄격한 시뮬레이션은 기본 솔버(solver)에 의해 생성된 모든 관련 수량의 유효 경계를 계산합니다. 이 경우 문제는 (a) 2차 선형 역학이 포함된 1차원 세계 모델의 사용, (b) 적은 수의 상태만을 가지는 각 자동 장치 그리고 (c) 거의 발생하지 않고 루프로 이어지지 않는 상태 전환을 통해 다루기 쉬워집니다.

이런 엄격한 시뮬레이션에 사용된 근사는 설계 시간 검증에 합리적입니다. 좀 더 복잡하고 현실적인 사례에서는, 특히 차량 및 자전거가 방향을 바꿀 수도 있다는 사실을 고려했을 때, 경계를 계산하는 것이 더 어려워집니다. 어떤 시점에 다다르면 결국 시스템 동작에 대한 “버퍼"가 유익한 정보를 제공하기에 너무 커지기 때문에 시스템 동작에 대한 엄격한 보증이 불가능해집니다.

Jack-Knife Avoidance

또 다른 예로는 트럭의 잭나이프 방지가 있습니다. 예를 들어 Dunn et al. (2003)은 대형 트럭의 AEB에 대한 브레이크인턴(break-in-turn) 시나리오를 분석했습니다. 차량 역학용 하이브리드 시스템 모델을 만들어 하중, 속도 및 ABS 동작의 여러 조합에서 잭나이프 안정성을 분석했습니다. 이런 유형의 연구는 제안된 NHTSA 규정을 맞추는 방법을 평가하는 데 시뮬레이션이 어떻게 사용되지를 보여줍니다. 이 경우 근사가 적게 사용되지만 위의 엄격한 AEB 연구와 비교할 때 시스템 성능에 대한 경계가 부족하다는 주요 단점이 있습니다. 그러나 잭나이프는 본질적으로 회전을 포함하기 때문에 차량이 방향을 바꾸는 능력을 캡처하기 위해서는 비홀로노믹 시스템 방정식을 시뮬레이션에 포함해야 합니다. 이로 인해 시뮬레이션에서 상태의 경계를 결정하는 난이도가 크게 증가합니다.

실질적으로 이를 완화할 수 있는 한 가지 방법은 시나리오를 다양하게 변형하며 시스템 동작 추적을 확인하는 샘플링 기반 접근 방식을 사용하는 것입니다. 공식적인 보증을 얻는 것은 실용적이지 않지만 통계적 방법을 사용하여 위험 및 심각성을 평가할 수 있습니다.

그림 2: 시뮬레이션을 통한 트럭의 잭나이프 방지 능력 평가

ADAS부터 AV까지

정형 기법의 최신 기술을 통해 ADAS 또는 레벨 2로 분류될 수 있는 시스템 하위 집합의 특정 기능적 측면에 대한 검증이 가능하다고 볼 수 있습니다. 자율 주행의 수준을 높이기 위해서는 훨씬 더 복잡한 인식, 계획 및 작동 시스템의 도입이 요구됩니다. 이런 시스템의 경우 정형 기법은 이미 접근 방식 및 구현에서 역할을 할 수 있습니다. 예를 들면 Pek et al. (2019)은 궤적 계획에 사용될 수 있는 온라인 검증 프레임워크를 제안했습니다.

그러나 자율 시스템을 시장에 출시하기 위한 확인 및 검증 요건을 충족하기 위해서는 전체 시스템에 보다 실질적으로 다루기 쉬운 방법이 요구됩니다. 현재 다양한 방법들이 적용되고 있습니다. 이는 "의도된 기능"(SOTIF)을 고려하기 위해 표준화를 변경하려는 노력과 자율주행차 배포 프로그램을 위해 장기화되고 광범위한 실제 테스트에 높은 비중을 두는 것을 통해 나타납니다 (캘리포니아 애리조나의 자율주행차 규정을 참조하세요).

"모든 것"에 정형 기법을 사용하는 것은 유혹적이지만, 안전과 기능을 평가하기 위한 모든 접근 방식의 도구 중 하나로 보는 것이 가장 적절합니다. AV 개발과 테스트 과정에서 정형 기법은 자율 주행의 실상을 확장하지는 못합니다. 복잡성이 증가하는 축이 너무 많고 고도의 비선형 효과가 지배적인 곳이 너무 많기 때문입니다. 개별 구성 요소 또는 고도로 추상화 된 시스템 뷰(예 : ODD 또는 요건 계획)에서는 엄격한 방법이 유용한 도구입니다. 안전하고 신뢰할 수 있는 시스템을 배포한다는 전체 목표를 위해서는 각 개별 방법을 최대한 일반적으로 만드는 것보다 다양한 방법을 통합할 수 있는 효과적인 워크플로우를 도입하는 것이 매우 중요합니다.

Applied Intuition의 제안

Applied Intuition 팀은 문제를 해결하기 위해 실용적인 접근 방식을 이용하는데 탁월하며 이를 자율주행 시스템 개발을 위한 도구로 만들어냅니다. 저희는 절대적인 확실성과 현재 구현할 수 있는 실용적인 솔루션 사이에 절충이 필요하다고 생각합니다. 예를 들어 자율주행 시스템의 안전 준비 상태를 측정하기 위해 ODD와 관련해서 시스템 성능을 정량화하는 것을 권장합니다. 이를 통해 처리해야 하는 시나리오 및 요건 변형의 조합 확산 문제를 해결할 수 있습니다 (더 자세한 정보는 이 기사를 참조하세요). 모든 테스트 결과를 주의 깊게 캡처하는 것이 가장 중요합니다. 전 세계 엔지니어들이 시스템 안전 개선을 위한 테스트의 다음 시나리오 세트를 신속하게 식별하기 위해 저희 도구를 사용하고 있습니다.

또한 Applied Intuition 팀은 바텀업(bottom-up) 데이터 기반 접근 방식과 탑다운(top-down) ODD/요건 기반 접근 방식을 결합합니다. 예를 들어 저희 개발 팀은 실제 드라이브 기록에서 직접 테스트 시나리오를 생성하고 May Mobility Kodiak 간행물에 있는 본래 요건에 맞게 시스템 성능을 평가할 수 있습니다.

현재 구현 가능한 실용적인 도구 및 솔루션에 관해 더 많이 알아보고 싶으시다면 저희 엔지니어 팀으로 연락하세요.