수중 무인 이동체의 운용 시나리오에 대한 임무 수행 리스크 평가 기술 연구

1. 서 론

단순 작업을 수행하는 기계 장치부터 도로에서 볼 수 있는 자율주행 자동차까지, 사람의 작업을 대체하는 무인 시스템 기술은 최근 수년 동안 많은 발전을 이루었다. 기계 장비의 무인화는 인류가 수행할 수 없는 작업을 대체할 수 있으며, 특히 육상보다 제한이 많은 해상 임무를 수행하기 위해 수중 무인 이동체(Autonomous underwater vehicles; AUV)에 대한 관심이 증가하고 있다. AUV의 적용 분야는 군사 작전 수행부터 해상자원 탐사, 해상 환경 모니터링 등에 이르기까지 매우 광범위하다 (Wang et al., 2023; Hao et al., 2022). 무인화 기술이 발전함에 따라 무인 이동체의 크기와 복잡도는 계속해서 증가하고 있으므로, 무인 시스템의 안전하고 성공적인 운용을 위해서는 발생할 수 있는 위험과 영향을 미치는 요인을 사전에 분석할 필요가 있다.

사전 분석을 진행하기 위해 실제 운용 상황과 유사한 가상의 운용 상황을 가정할 수 있으며, 이를 시나리오라고 표현한다. 시스템이 운용될 일련의 과정을 의미하는 시나리오는 여러 동작의 시간적 순서로 이루어진다 (Schuldt et al., 2015). 각 동작 내에서 세부적인 요소들의 작용과 이벤트가 발생한다. 동작들이 시간순으로 진행되는 것을 강조하기 위해 시나리오를 구성하는 요소를 시퀀스라고 칭한다면, 시스템의 시퀀스를 구체적으로 구성한 시나리오는 운용 과정을 가상으로 평가하는 데 활용될 수 있다. 최근에는 무인 시스템의 대표적 예시인 자율주행 자동차의 안전성 평가를 위한 시나리오 기반 접근법이 주목받고 있다. Riedmaier et al. (2020)은 관련 문헌들을 종합적으로 분석하여 자율주행 자동차의 시나리오 기반 접근법에 대한 상세한 분류 체계와 향후 연구 방향을 제시한다. 또한, 통계적 검증과 유효성 검사 프레임워크를 적용해서 차량 연료 소비 시뮬레이션의 신뢰성을 평가한 시나리오 기반 접근 사례 (Danquah et al., 2020)를 통해 시나리오 기반의 안전성 평가는 경제적인 측면까지 확장되고 있음을 알 수 있다.

시나리오를 구성할 때, 대상 시스템에 대한 실제 운용 데이터를 활용할 수 있다. Krajewski et al. (2018)은 드론으로 촬영한 교통 데이터를 활용하여 주행 시나리오를 생성하였다. Zhao et al. (2017)은 자율주행 차량과 다른 차량 간의 상호작용을 고려하여 주행 시나리오를 생성하였다. 이는 운용 데이터 기반의 시나리오를 구성하여 자율주행 자동차의 주행 안전성을 평가한 대표적 사례이다. 반면에, 새로운 시스템을 설계하는 경우와 같이 운용 데이터를 확보할 수 없을 때는 전문가의 지식을 활용하여 시나리오를 생성할 수 있다. 이러한 접근법은 일반적으로 컴퓨터가 복잡한 지식을 이해하도록 돕는 일종의 표현 도구인 온톨로지 시스템을 활용한다 (Da costa et al,. 2020; Geyer et al., 2014).

가상 시뮬레이션의 결과를 정량적으로 평가하기 위하여 시나리오를 구성하는 시퀀스 간의 전이를 확률적으로 표현할 수 있다. 확률론적 안전성 평가(Probabilistic Safety Assessment; PSA)는 대상 시스템의 안전성을 확률적으로 평가하는 방법으로, 이는 확률적 위험도 평가(Probabilistic Risk Assessment; PRA)로도 불린다 (Kim et al., 2020). 국내 원자력 발전소는 안전성을 평가하기 위해 매우 체계적으로 정립된 PSA 절차를 따르고 있으며 (Han et al., 2003), 해외에서도 원자력 발전소의 안전성 평가를 위해 PSA가 활용되고 있다 (Aldemir, 2013; Mandelli et al., 2016). PSA 결과는 시스템에서 발생할 수 있는 문제에 대비하고 운용 시나리오를 개선하는 데 적극적으로 활용될 수 있으므로 (Solanki et al., 2019), 갑작스러운 문제가 발생했을 때 대처하기 어려운 크고 복잡한 시스템에서 PSA를 통한 안전성 평가가 적극적으로 활용된다는 사실을 확인할 수 있다.

한편, 본 연구의 대상은 임무 수행을 위해 수중 이동 플랫폼(이하 플랫폼)과 플랫폼으로부터 무인으로 진/회수를 진행하는 AUV가 포함된 시스템이다. 유사한 시스템을 대상으로 AUV의 회수 과정을 확률적으로 평가한 사례가 존재하나, 회수 지점이 고정되어 있다는 점과 초기에 설정한 경로만이 성공 확률에 영향을 미치는 요소라는 한계점이 존재했다 (Sans-Muntadas et al., 2015). 본 연구에서 대상으로 하는 AUV의 진수 과정은 플랫폼의 전방 이동을 유지한 채 진행되며, 시나리오는 AUV와 플랫폼 단독 운용 및 상호작용을 포함한다. 시나리오의 범위는 진/회수 과정의 시작과 완료까지로 설정했기 때문에, AUV가 특정한 임무를 수행하는 과정은 포함하지 않는다. 또한, 회수 과정에서 시스템을 구성하는 요소들의 작동 순서는 진수 과정의 완전한 역순이라는 점을 바탕으로 진수 시나리오에 대한 평가만 수행하였다.

앞선 연구들에서 확인할 수 있듯이 시나리오 기반 안전성 평가와 관련된 많은 연구는 운전자의 안전을 보장하기 위해 자율주행 자동차의 주행 시나리오를 생성하는 목적이 컸다. 하지만, 수중 환경은 정해진 주행 경로가 존재하지 않기 때문에, AUV의 운용 자유도는 자동차 수준으로 제한될 수 없다. 또한, 해상은 육상보다 더 많은 환경요소가 불리하게 작용하므로, 내부 요소 간 상호작용을 기반으로 한 안전성 평가가 필수적이다. 본 논문에서는 정해진 운용 사이클이 존재하지 않는 AUV와 수중 이동 플랫폼의 복합적인 운용을 수반하는 가상 운용 시나리오를 생성하고, 확률론적 평가 모델인 마르코프 모델을 활용하여 다양한 관점에서 시스템의 안전성을 평가하였다. 먼저, 발생할 수 있는 이상에 대한 대처 시퀀스의 영향을 분석하였다. 실제 운용 데이터가 존재하지 않으므로 발생한 이상은 물리적인 구성요소의 문제로 간주하여 대처 시퀀스를 구성하였다. 다음으로, 개별 물리 요소의 중요성을 판단하기 위해 이상 확률을 범위로 부여하여 시나리오 성공 확률의 변화를 확인하였다. 마지막으로, 실제 운용 시 각 정상 시퀀스를 제한 시간 내에 완수해야 하는 특성을 고려하여, 특정 시퀀스에 반복 방문할 수 있는 횟수를 제한한 후 횟수 변화에 따른 성공 확률의 변동을 확인하였다. 본 논문에서 제시하는 안전성 평가 과정은 수중 무인 이동체를 포함하는 새로운 시스템의 안전성을 평가하기 위해 활용할 수 있다.

본 논문의 이하 내용은 다음과 같이 구성된다. 2장에서는 대상 시스템을 간략히 소개한다. 3장에서는 안전성 평가를 위해 시나리오를 생성하는 방법과 확률적 안전성 평가 기법에 대해 자세히 설명한다. 4장에서는 3장의 내용을 바탕으로 대상 시스템에 대한 시나리오를 구성하고 확률을 부여하는 규칙을 수립한다. 이후, 이상에 대처하는 시퀀스를 구성한 시나리오와 요소들의 이상 발생확률을 범위로 부여한 시나리오의 안전성 평가 과정을 설명한다. 5장에서는 실제 운용 시에 존재하는 시간제한 특성을 반영하여 정상 시퀀스의 최대 방문 가능 횟수를 설정하고, 횟수의 변화에 따른 안전성 평가를 수행한다. 끝으로, 6장에서는 결론과 추후 계획을 논의한다.

2. 대상 시스템

대상 시스템은 플랫폼 내부에 설치된 진수 장치를 이용하여 AUV의 진/회수를 무인으로 진행하는 시스템이다. 플랫폼 내부는 Fig. 1에서 나타나는 다수의 액추에이터 및 장치로 구성되어 있으며, 별도의 명령이 없는 경우 AUV는 Fig. 2와 같이 플랫폼 내부에 고정되어 있다.

Fig. 1

Components of the forward docking system

Fig. 2

Engagement status of AUV and platform

진수 명령이 하달되면 케이스(Case)와 이송 장치(Transfer Device)가 플랫폼으로부터 인출된다. 이후 회수 모듈(Return Module)을 해제함과 동시에 AUV는 자체적인 추진 시스템을 활성화한다. 두 팔을 지정 각도까지 개폐하는 도킹 모듈(Docking Module)이 열리기 전에는 AUV는 플랫폼과 물리적으로 결합되어 있다. AUV가 Fig. 3과 같이 일정 고도까지 상승한 후 도킹 모듈을 열면 AUV와 플랫폼은 완전히 분리된다. 이후 플랫폼의 구조물들이 내부로 재장입하는 동안 AUV는 추력을 유지한 채 플랫폼과 상대 거리를 지속적으로 교환하며 안정적으로 대기한다. 재장입 과정은 인출 과정과 정확히 반대 순서로 진행된다. 각 진행 과정이 완료되었다는 사실은 각 장치에 부착된 센서들의 물리적인 접촉 신호로 확인한다. 구조물들의 재장입이 완료되어 시나리오가 성공적으로 종료되면 AUV는 자율 임무를 수행한다. 운용 과정을 통해 진수 과정은 플랫폼 내부에 존재하는 케이스, 이송 장치, 회수 모듈, 도킹 모듈과 AUV의 추력 및 상대 거리 측정 요소의 복합적인 작용으로 진행되는 것을 알 수 있다.

Fig. 3

Separation status of AUV and platform

3. 시나리오 기반의 위험도 평가

대상 시스템의 실제 운용 과정에 대한 안전성을 분석하기 위해서는 시나리오를 구성해야 한다. 이미 존재하는 시스템에 대한 시나리오는 과거 운용 데이터를 기반으로 구성될 수 있다. 데이터에 기반하여 생성한 시나리오는 구성의 구체성 및 다양성, 그리고 시나리오의 대표성 측면에서 강점을 가진다. 하지만 새로운 시스템을 설계하는 경우와 같이 실제 운용 데이터를 확보하기 어려운 상황에서는 전문가의 지식에 기반하여 시나리오를 생성할 수 있다. 해당 생성 방식은 시스템의 적용성과 계산 효율 측면에서 강점을 보인다. Fig. 4는 시나리오를 생성하는 2가지 방식을 비교한다 (Riedmaier et al., 2020).

Fig. 4

Evaluation and comparison of the data-driven and knowledge-based approach for scenario generation/extraction (Riedmaier et al., 2020)

구성한 시나리오를 바탕으로 대상 시스템의 성공적인 운용을 정량적으로 평가하기 위해 확률을 도입하는 기법을 PRA 혹은 PSA라고 한다. 최근에는 시스템의 시간 진행에 따른 동적 특성을 반영하기 위해 DPRA(Dynamic PRA) 방법들이 많이 활용된다. Maidana et al. (2023)은 고전적 DPRA를 활용한 79개의 연구에서 사용된 알고리즘의 종류와 비율을 Fig. 5와 같이 분류하였다. 가장 많이 활용된 DDET(Dynamic Discrete Event Tree) 알고리즘은 이산 사건 트리(Discrete Event Tree; DET)의 동적 버전이다. DET가 시간에 따른 변화를 고려하지 않아 특정 시점에서의 사건 전개를 모델링 하는 반면, DDET는 시간에 따라 변화하는 시스템의 동작을 모델링한다. VVER-1000/V446 원자력 발전소에 대한 위험도 평가를 진행한 사례와 (Amirsoltan et al., 2022) 원자력 발전소의 DPRA를 위한 동적 시뮬레이터를 개발한 사례 (Hsueh and Mosleh, 1996)에서 DDET의 활용을 확인할 수 있다. 다음으로 가장 많이 활용된 기법은 마르코프 체인 모델(Markov Chain Model; MCM)과 DFM(Dynamic Flowgraph Methodology)이다. 마르코프 체인 모델은 시스템의 상태 변화를 확률적으로 모델링하는 알고리즘으로, 시퀀스 간의 변화 확률을 일컫는 전이 확률이 고정되어 있으며 고장이 반복적으로 발생할 수 있는 시스템에서 주로 활용된다. Sun et al. (2015)은 마르코프 체인 모델에 기반하여 풍력을 예측하는 새로운 확률적 접근방식을 제안하였다. Cicotti and Coronato (2015)는 의료분야에서 DPRA 접근법을 활용하기 위해 마르코프 모델에 기반한 확률적 위험 모델을 정의하였다. DFM은 복잡한 동적 시스템을 방향이 있는 그래프의 형태로 모델링하여 시각적인 분석에 특화된 알고리즘이다 (Guarro and Yau, 2018). 구리 염화물 사이클과 초임계수 원자로(SCWR) 통합 모델의 신뢰성을 평가하기 위해 확률적 위험도 평가를 진행한 연구는 DFM이 실시간 조건을 시뮬레이션하기에 적합하고, 평가 결과 또한 신뢰도가 높다는 사실을 강조한다 (Ahmed, 2021). 또한, 팀의 성과와 인간의 수행 능력을 모델링하여 구성원의 실수가 시스템 관점의 성능 및 안전성에 미치는 영향을 평가하기 위해 DFM이 활용된 바 있다 (Milici et al., 1996).

Fig. 5

Percentage distribution for classical DPRA approaches (Maidana et al., 2023)

본 논문에서 대상으로 하는 AUV 무인 진/회수 시스템의 물리 요소 기반 시나리오는 고정된 시퀀스 간의 전이 확률이 명확하게 정의되고, 전이하는 과정에서 과거의 정보가 필요하지 않으므로 안전성 평가를 위해 마르코프 체인 모델을 채택하였다.

4. 시나리오 평가 과정

이 절에서는 대상 시스템의 시나리오를 구성하고 물리적인 요소에 대한 이상 발생확률을 가정한다. 이후 대처 시퀀스의 존재에 따른 안전성을 평가하여 최종 운용 시나리오를 채택하며, 이상 발생확률의 변화에 따른 시나리오의 평가 결과를 분석한다.

4.1 시나리오 및 확률 정량화 규칙 구성

본 연구에서는 새로운 시스템에 대한 시나리오를 구성하기 위해 지식에 기반한 시나리오를 생성한다. 정상적인 운용 시나리오는 Fig. 6과 같이 구성요소의 복합적인 작용을 포함하는 총 9개의 시퀀스로 이루어져 있다.

Fig. 6

Front launching operation scenario

마르코프 체인으로 시나리오의 안전성을 평가하기 위해서는 생성한 시나리오에 대응되는 상태 전이 행렬을 구성해야 한다. 전이 행렬은 시나리오를 구성하는 시퀀스의 개수와 동일한 크기의 행, 열로 이루어진 정방행렬이며, 전이 확률이라고 불리는 각 요소는 행의 인덱스에서 열의 인덱스로 전이할 확률을 나타낸다. 전이 확률의 값을 수치적으로 부여하기 위해 다음과 같은 규칙을 가정한다.

• • 이상/고장은 시스템 내 물리적 요소에서만 발생한다.
• • 이상 발생확률과 고장 발생확률은 동일하다.
• • 정상 시퀀스에서 대처 시퀀스로 전이할 확률과 대처 시퀀스에서 실패 시퀀스로 전이할 확률은 동일하다.
• • 정상 운용 시퀀스에서 이상/고장이 아니면서 동작을 완수하지 못한 경우 해당 시퀀스를 재시도할 수 있다.

2절에서 언급한 바와 같이 시스템은 6개의 주요 물리 요소로 이루어지며, 각각에 대응되는 6개의 확률 변수를 정의할 수 있다. 또한, 이상 발생확률과 고장 발생확률이 동일하다고 가정하면, 정상 시퀀스에서 대처 시퀀스로 전이할 확률과 대처 시퀀스에서 고장 시퀀스로 전이할 확률은 동일하다. 따라서, 이상 발생확률과 고장 발생확률은 이상 확률로 통칭한다.

대처 상황으로 전이되지 않았지만, 일시적인 요인으로 다음 시퀀스로 전이하지 못했을 때 해당 정상 시퀀스를 재시도할 확률을 추가하여 총 7개의 확률 변수를 Table 1에 나타내었다. 요소를 구성하는 장치 혹은 센서의 실제 이상 확률을 확보할 수 없는 한계로, 그 수치가 매우 낮을 것이라고 가정하여 임의의 수치를 부여하였다. 해당 수치는 전이 행렬에서 대수적으로 가감되어 시퀀스 간의 전이 확률로 표현된다. 마르코프 모델은 1회 시뮬레이션 시 대상 시나리오를 1000회 수행하며, 이 중 성공한 횟수의 비율을 통해 성공 확률을 계산하므로 한 번의 시뮬레이션을 통해 시나리오 1000회 진행에 대한 성공 확률을 얻을 수 있다. 무한한 반복을 예방하기 위해 시퀀스 간의 최대 누적 전이 횟수를 30회로 설정하였으나, 이를 초과하여 중도 포기한 경우는 없었다.

Table 1

List of probability variables

전이 확률을 계산함에 앞서 다수의 이상 발생확률이 복합적으로 작용하여 전이하는 경우에 각 요소 중 적어도 하나의 요소에 이상이 발생할 확률은 식 (1)로 표현할 수 있다. 좌변은 n 개의 사건 중 하나라도 발생할 확률을 나타내며, 우변은 전체 확률에서 모든 사건이 동시에 발생하지 않을 확률을 뺀 값이다. 하지만, 부여한 이상 발생확률은 수치가 매우 작기 때문에, 관여하는 요소들의 이상 발생확률을 모두 더한 식 (2)의 결과와 오차는 0.01% 내외임을 확인하였다. 따라서, 전이 확률의 요소는 확률 변수의 이상 발생확률을 더한 식 (2)의 형태로 구성하였다.

$\[ P\left(X_1\cup X_2\cup \cdots \cup X_n\right)=1-\prod _{i=1}^n\left(1-P\left(X_i\right)\right) \]$

(1)

$\[ P\left(X_1\cup X_2\cup \cdots \cup X_n\right)\approx 1-\sum _{i=1}^{n}P\left(X_i\right) \]$

(2)

4.2 대처 시퀀스의 영향

요소에 이상이 발생한 경우 특별한 중간 과정이 없이 바로 강제 종료 시퀀스로 전이한다면 충분히 대처할 수 있는 문제임에도 불구하고 시나리오의 실패 확률이 높아질 수 있다. 따라서, 적절한 대처 시퀀스의 구성은 시나리오의 성공 확률을 효과적으로 높일 수 있다. 대처 시퀀스의 영향을 확인하기 위해 아무런 대처 시퀀스가 존재하지 않는 시나리오를 시작으로 특정 대처 시퀀스를 구성한 시나리오, 모든 대처 시퀀스를 포함한 시나리오 순서로 시나리오 성공 확률을 비교하여 대처 시퀀스의 구성에 따른 성공 확률의 변동을 분석하였다.

먼저, 대상의 안전한 운용을 위해 정상 시퀀스에서 이상이 발생한 경우 시나리오를 강제로 종료하는 시퀀스를 추가하였다. Fig. 7은 강제 종료 시퀀스만 추가한 정상 시나리오의 전이 행렬을 나타내며, Fig. 8은 해당 시나리오를 흐름도 형태로 시각화한 것이다. 정상과 이상 상태를 구분하기 위해 정상 시퀀스는 FL(Front Launching)로, 이상이 발생한 경우의 시퀀스는 FLF(Front Launching Fault)로 표기하였다. AUV가 분리된 이후에는 시스템에서 발생한 문제에 대응하는 동안 침몰과 같은 추가적인 문제가 발생할 가능성이 있기 때문에, 분리 전과 분리 후의 실패 시퀀스(시나리오 강제 종료 시퀀스)는 서로 다르게 구성하였다. 분리 전의 실패 시퀀스는 시나리오를 즉각 정지하는 데 그치지만, 분리 후의 실패 시퀀스는 즉각 정지와 동시에 AUV를 강제로 부상시킨다. Fig. 9는 시나리오에 대해 시뮬레이션 횟수에 따른 결과를 나타내며, 성공 확률이 약 73%로 수렴하는 것을 확인할 수 있다. 그래프의 파란색 박스는 중간 범위에 있는 50% 범위의 값을 의미하며, 박스 내부의 빨간 선은 데이터의 중앙값을 나타낸다. 박스 위아래의 점선 끝 단에 위치한 검정색 실선은 이상치를 제외한 범위 내의 최솟값과 최댓값을 나타내고, 빨간 십자 표시는 이상치를 나타낸다. 또한, 500회의 반복 횟수에서 충분한 수렴성을 확인했으므로 이후의 모든 과정은 500회의 시뮬레이션 결과를 기준으로 분석한다.

Fig. 7

Transition matrix for scenario where no fault sequence exists

Fig. 8

Scenario where no fault sequence exists

Fig. 9

Success probability of scenario without fault sequence

대상 시스템에 존재하는 물리 요소를 고려하여 대처 시퀀스를 Fig. 10과 같이 구성할 수 있다. AUV의 추력 요소는 플랫폼과 분리된 이후에 앞서 언급한 침몰과 같은 위험과 직결되므로 대처 시퀀스를 구성하는 것은 적절하지 않다고 판단하였다. 따라서, 대처 시퀀스는 AUV의 추력 요소를 제외한 5가지 물리 요소를 기준으로 구성하였다. 1번과 2번 정상 시퀀스(FL)의 구성요소는 연속해서 작동하므로 하나의 이상 시퀀스(FLF)를 구성할 수 있다. 2, 3, 4번 이상 시퀀스는 각각 3, 4, 5번의 정상 시퀀스에서 전이할 수 있는 대처 시퀀스이다. AUV가 분리되기 전, 단순히 시나리오를 강제 종료하는 시퀀스는 5번 이상 시퀀스로 표현된다. 6, 7번 이상 시퀀스는 AUV가 분리된 후인 7, 8번 정상 시퀀스에 대한 대처 시퀀스를 나타내며, 8번 이상 시퀀스는 AUV의 분리를 고려하여 AUV가 수면 위로 부상하는 강제 종료 시퀀스이다.

Fig. 10

Scenario where all fault sequence exists

Fig. 11은 한 개의 대처 시퀀스를 비활성화하여 5개의 대처 시퀀스가 존재하는 6가지 시나리오의 성공 확률을 나타내며, 이를 통해 단일 대처 시퀀스의 부재가 시나리오의 성공률을 저하하는 경향을 알 수 있다. Fig. 12는 대처 시퀀스를 하나씩 활성화한 6가지 시나리오의 성공 확률을 나타내며, 이를 통해 단일 대처 시퀀스가 성공 확률을 높이는 정도를 확인할 수 있다. 하지만, Fig. 12에서 이상치가 Fig. 11의 경우보다 다소 많이 발생하는데, 이는 하나의 대처 시퀀스만을 활성화함에 따라서 이 시퀀스를 도달한 경우와 아닌 경우에 따라 성공과 실패의 확률적 분리가 크게 일어나 발생한 것으로 판단된다.

Fig. 11

Success probability for scenarios with disabled fault sequences

Fig. 12

Success probability for scenarios with activated fault sequences

두 그래프를 통해 얻을 수 있는 결과는 다음과 같다. 첫 번째로, 4,6,7번 대처 시퀀스가 시나리오의 성공에 상대적으로 큰 영향을 미치는 사실을 확인할 수 있다. 이는 해당 시퀀스에서 다수의 요소가 복합적으로 작용하기 때문으로 판단된다. 두 번째로, 대처 시퀀스의 개수에 대한 영향을 간접적으로 파악할 수 있다. 하나의 대처 시퀀스만 구성한 경우 전반적인 성공 확률이 낮고, 이상치가 다수 관측되는 경향을 통해 충분하지 않은 대처 시퀀스의 구성은 성공 확률에 악영향을 미칠 수 있음을 알 수 있다.

수중 이동 플랫폼과 AUV가 물리적으로 완전히 분리되기 전/후의 대처 시퀀스를 그룹으로 간주하여 진행한 평가 결과를 Fig. 13에 나타내었다. 좌측은 AUV 분리 이전에 존재하는 4개의 대처 시퀀스만 활성화한 시나리오이고, 우측은 AUV가 분리된 후에 존재하는 2개의 대처 시퀀스를 활성화한 시나리오이다. 분리 전의 대처 시퀀스 그룹을 활성화한 시나리오의 성공 확률은 약 82%로 수렴하였고, 분리 후의 대처 시퀀스 그룹만 활성화한 시나리오의 성공 확률은 약 78%로 수렴한다. 앞서 충분한 대처 시퀀스 구성이 성공 확률에 중요한 영향을 미칠 수 있다는 결과를 확인한 바 있으며, 4개 대처 시퀀스를 구성한 시나리오의 성공 확률이 더 높은 결과는 이를 뒷받침하는 근거가 될 수 있다.

Fig. 13

Success probability for scenarios where befor/after AUV separation fault sequences are disabled

모든 대처 시퀀스를 활성화한 시나리오의 시뮬레이션 결과는 Fig. 14와 같이 약 89%의 성공 확률로 수렴하는 것을 확인할 수 있다. 이는 대처 시퀀스를 구성하지 않은 시나리오의 결과와 대비하여 약 16% 증가한 결과이다. 따라서, 시나리오의 성공 확률에 미치는 대처 시퀀스의 영향을 다음과 같이 종합할 수 있다.

Fig. 14

Success probability of scenario with all fault sequence

대상 시스템에 한하여, 시나리오의 성공 확률에 영향을 미치는 가장 중요한 요인은 대처 시퀀스의 개수로 판단된다. 다음으로, 정상 시퀀스의 성공적인 진행에 관여하는 확률 요소의 개수가 중요하게 작용한다. 따라서, 대처 시퀀스의 종류를 파악한 이후 각 시퀀스의 전이에 관여하는 요소들을 정확하게 파악하여 대처 시퀀스를 구성한다면 시나리오의 성공 확률을 효과적으로 높일 수 있을 것으로 판단된다.

위의 결과들을 바탕으로 6개의 대처 시퀀스를 모두 활성화한 Fig. 10의 시나리오를 이후의 평가 과정을 위한 최종 시나리오로 채택하였다. 해당 시나리오는 총 18개의 시퀀스로 이루어졌으므로 18개의 행과 열로 이루어진 전이 행렬을 구성할 수 있다. 시나리오의 일관성을 보장하기 위해 확률 분포를 정규분포와 비교하여 Fig. 15에 나타내었다.

Fig. 15

Probability density function for final scenario

4.3 요소의 이상 확률 증가에 따른 영향

앞선 과정에서는 시나리오의 안전성에 미치는 대처 시퀀스의 영향을 확인하기 위해 요소의 이상 확률을 임의의 단일 값으로 부여하였다. 하지만, 대상의 이상 확률을 보다 현실적으로 반영하기 위해서는 요소의 확률을 단일 값이 아닌 범위로 부여할 필요가 있다. Fig. 16은 범위 형태의 이상 확률을 부여한 경우의 시뮬레이션 및 분석 과정을 나타낸다. 7개의 확률 요소 중 정상 시퀀스를 재시도하는 확률은 상수로 취급하고 나머지 6개 요소 중 한 가지 요소의 이상 확률을 0%부터 20%까지 1%씩 증가하도록 설정하였다. 나머지 요소들의 이상 확률은 Table 1에서 부여한 임의의 수치를 적용하였으며, 범위 확률을 부여하는 요소를 변경하여 각 요소에 대해 5번의 시뮬레이션을 진행하였다. 분석 결과를 선형 회귀하여 나타낸 Fig. 17을 통해 요소의 이상 확률 증가에 따른 성공 확률의 변동을 직관적으로 확인할 수 있다.

Fig. 16

Flow chart of the study to determine the influence of each element

Fig. 17

Influence of each element for success probability

AUV의 추력 요소와 상대 거리를 측정하는 요소의 이상 확률이 증가함에 따라 시나리오의 성공 확률은 눈에 띄게 감소한다. 이를 제외한 나머지 4개 요소는 시나리오의 성공 확률에 미치는 영향이 상대적으로 크지 않았다. 그 이유는, AUV와 플랫폼의 상대 거리 측정 요소와 AUV의 추력 요소가 시나리오의 3번 정상 시퀀스(FL3) 이후 시나리오의 전 과정에 관여하기 때문에 두 확률 변수는 나머지 요소 대비 전이 행렬 상에서 상당히 많은 전이 확률에 포함되기 때문이다. 또한, AUV의 추력 요소는 이상이 발생하면 대처 시퀀스가 아닌 실패 시퀀스로 즉시 전이하는 구조로 인해 이상 확률의 증가가 시나리오의 성공 확률에 치명적으로 작용함을 확인할 수 있다. 낮은 이상 확률에서 시나리오의 성공 확률을 확연히 높이는 경향을 통해서도 AUV의 추력 요소가 다른 요소들에 비해 시나리오 성공을 위한 중요한 요소임을 알 수 있다.

5. 정상 시퀀스 방문 횟수 제한의 영향

구성한 최종 시나리오는 정상 시퀀스에서 대처 시퀀스로 전이 후 다시 정상 시퀀스로 전이할 수 있고, 정상 시퀀스를 재시도할 수도 있다. 정상 혹은 대처 시퀀스에서 정상 시퀀스로 전이할 확률은 이상이 발생할 확률에 비해 매우 높기　때문에, 낮은 확률로 대처 시퀀스에 전이하게 되면 정상 시퀀스에 재방문할 가능성이 높다. 이러한 반복 방문은 임무 완수까지의 소요 시간이 증가하는 주요 요인으로 작용할 수 있다.

앞서 마르코프 모델은 시나리오를 시뮬레이션하며 누적된 전이 횟수가 30회를 초과하게 되면 강제 종료 후 그 횟수를 확인하도록 하였으나, 지정 횟수를 초과하여 성공/실패 시퀀스에 도달하지 못한 상태에서 종료된 시뮬레이션은 확인할 수 없었다. 만약 한계치인 30번째 전이 상황에서 성공 시퀀스에 도달한 경우가 있다면, 특정 시퀀스에 최대로 방문한 횟수를 도출하기 위하여 첫 번째 정상 시퀀스를 제외한 나머지의 정상 시퀀스에는 한 번씩만 전이하여 성공 시퀀스에 도달한 시뮬레이션을 가정할 수 있다. 이 때, 정상 시퀀스를 계속해서 재시도하는 경우만을 고려한다면, 첫 번째 정상 시퀀스에 방문하는 횟수는 이론적으로 22회로 계산된다. 이를 바탕으로 이론상 최대 방문 횟수인 22회부터 그 한도가 1회가 될 때까지 1회씩 감소시키며 각 1000회의 시뮬레이션에 대한 성공 확률을 기록한 후 평균값의 변화를 관찰하였다. 최대 방문 횟수가 1회인 마지막 경우는 대처 시퀀스를 전혀 거치지 않고 모든 정상 시퀀스를 단 한 번씩만 방문하여 시나리오의 성공에 도달하는 이상적인 상황과 동일하다. 각 조건에서 시퀀스 간의 전이와 정상 시퀀스에 방문한 횟수를 추적하고, 방문 횟수가 부여한 한도를 초과했을 시에는 실패 시퀀스로 강제 전이하도록 하였다. 여기서, 요소들의 이상 확률은 Table 1의 수치를 적용하였다.

방문 한도에 따른 성공 확률의 변동을 Fig. 18에 나타내었다. 성공 확률이 감소하기 시작하는 특정 한계값은 6회로 확인되었으나, 그 빈도는 1000회 시뮬레이션 중 1회 수준에 불과하였다. 이후 한도의 감소에 따라 성공 확률이 감소하는 경향을 보이며, 이상적 목표치인 1로 설정한 경우 성공 확률은 급격히 감소하였다. 하지만, 방문 한도를 낮게 설정함으로써 시나리오의 수행 시간이 단축될 가능성이 존재하기 때문에, 시스템의 실제 운용에서는 방문 제한 횟수와 시나리오 성공 확률 사이의 상충관계를 고려하여 소요 시간을 설정할 필요가 있다.

Fig. 18

Influence of visit limitation

6. 결 론

본 연구에서는 실제 운용 데이터가 없는 대상 시스템의 가상 운용 시나리오를 구성하여 확률적 모델인 마르코프 체인 모델로 안전성을 평가하는 기법을 제시한다. 데이터의 부재로 인해 시스템의 위험성을 평가하는 과정에서 환경적 요인은 배제하고 물리적인 요소만의 이상 발생확률만을 고려하였다. 시스템에 이상이 발생했을 때를 가정한 대처 시퀀스의 종류와 활성화 여부에 따라 생성된 다양한 시나리오의 안전성을 평가하였다. 또한, 시스템에 존재하는 물리적인 구성요소의 이상 발생확률을 범위로 부여하여 각 요소의 이상 발생확률이 증가가 시나리오의 성공 확률에 미치는 영향을 분석하였다. 마지막으로, 실제 운용 시에 제한된 시간 내에 시나리오를 완수해야 하는 특성을 정상 시퀀스에 방문 한계 횟수를 지정하는 것으로 구성하여 안전성을 평가하였다. 본 연구를 통해 도출된 결론은 다음과 같다.

• • 물리적 구성요소를 명확히 파악하고 정상 시퀀스에 대한 대처 방안을 구성할 필요가 있다.
• • 전이 행렬을 통해 운용에 영향을 미치는 요소들을 간접적으로 파악할 수 있으며, 이는 추가적인 센서나 장비 도입 시 면밀하게 검토해야 한다.
• • 추세 분석을 통해 특정 요소의 이상 확률 증가가 성공 확률에 미치는 영향을 확인할 수 있으며, 이는 전이 행렬을 기반으로 한 예측의 타당성을 입증한다.
• • 목표 시간이 중요한 경우 정상 시퀀스 방문 횟수를 제한하는 방안을 적용할 수 있다.

대상으로 한 AUV의 무인 진수 시나리오 분석 결과, 실제 운용 시 AUV의 추력 요소 및 상대 거리 측정 요소의 고장 확률을 낮추는 것이 중요하며, 모든 대처 시퀀스를 활성화하여 시스템의 안전성을 높일 수 있음을 확인했다. 소요 시간 단축을 위해서는 정상 시퀀스 방문 제한을 2회로 설정하는 것이 적합하고, 안정적인 진행을 위해서는 3회로 설정하는 것이 합리적이라고 판단된다.

본 연구에서 제안한 기법은 실제 데이터가 없는 대상의 실 운용에 앞서 성공적인 운용을 평가하기 위해 활용할 수 있다. 하지만, 물리 요소들의 실제 고장 확률을 확보할 수 없어 임의의 수치로 가정했다는 한계점이 존재하므로, 보다 신뢰성 있는 시나리오를 구성하기 위해 추후 개별 물리 요소의 시험 데이터를 활용할 수 있다. 그리고 실제 장비가 존재한다면, 실제 운용 시험을 통해 취득한 데이터에서 얻은 정보를 물리 요소 기반의 시나리오와 전이 행렬에 추가하여 안전성 평가 결과의 신뢰성을 향상할 수 있을 것이다. 또한, 본 연구에서는 요소들의 이상 확률을 범위로 부여하는 과정에서 단일 요소의 영향성만 분석하였다. 추후 다중 요소들에 동시적으로 범위 형태의 확률을 부여하여 평가를 수행한다면 성공 확률에 미치는 요소들의 복합적인 영향을 평가할 수 있을 것이다.

Acknowledgments

이 연구는 2024년 정부(방위사업청)의 재원으로 국방과학 연구소의 지원을 받아 수행된 미래도전국방기술 연구개발사업임 (No.915071101)

References

• Ahmed, F., 2021. Probabilistic Risk Assessment Using Dynamic Flowgraph Methodology for Copper Chloride CANDU-SCWR Hydrogen Production. Procedia Computer Science, vol.19, pp.775-785. [https://doi.org/10.1016/j.procs.2013.06.102]
• Aldemir, T., 2013. A survey of dynamic methodologies for probabilistic safety assessment of nuclear power plants. Annals of Nuclear Energy, vol. 52, pp.113-124. [https://doi.org/10.1016/j.anucene.2012.08.001]
• Amirsoltan, M.E., Piruzmand, A. and Nematollahi, M.R., 2022. Development of a dynamic event tree (DET) to analyze SBO accident in VVER-1000/V446 nuclear reactor. Annals of Nuclear Energy, vol.165, p.108766. [https://doi.org/10.1016/j.anucene.2021.108786]
• Cicotti, G. and Coronato, A., 2015. A Preliminary Study of a Probabilistic Risk-based Approach for Ambient Intelligence Healthcare Systems. Workshop Proceedings of the 11th International Conference on Intelligent Environments, vol.19. pp.58-69.
• Danquah, B., Redmaier, S., Rühm, J., Kalt, S. and Lienkamp, M., 2020. Statistical Model Verification and Validation Concept in Automotive Vehicle Design, Procedia CIRP, vol. 91, pp.261-270. [https://doi.org/10.1016/j.procir.2020.02.175]
• Da costa, A.A.B., Irvine, P., Zhang, X., Khastigir, S. and Jennings, P., 2020. Ontology-based Scenario Generation for Automated Driving Systems Verification and Validation using Rules of the Road. IEEE Transactions on Intelligent Transportation Systems, Early Access.
• Geyer, S., Baltzer, M., Franz, B., Hakuli, S., Kauer, M., Kienle, M., Meier, S., Weißgerber, T., Bengler, K., Bruder, R., Flemisch, F. and Winner, H., 2014. Concept and development of a unified ontology for generating test and use-case catalogues for assisted and automated vehicle guidance. IET Intelligent Transport Systems, 8(3), pp.183-189. [https://doi.org/10.1049/iet-its.2012.0188]
• Guarro, S. and Yau, M.K., 2018. Dynamic Flowgraph Methodology (DFM) Modeling of Nuclear and Advanced Technology System Risk and Reliability Scenarios. Advanced Concepts in Nuclear Energy Risk Assessment and Management, USA: The Ohio State University [https://doi.org/10.1142/9789813225619_0011]
• Han, S.Y., Kwon, Y.J. and Park, C.K., 2003. Procedure for Conducting Probabilistic Safety Assessment (PSA). KAERI/TR-2548/2003.
• Hao, K., Zhao, J., Li, Z., Liu, Y. and Zhao, L., 2022. Dynamic path planning of a three-dimensional underwater AUV based on an adaptive genetic algorithm. Ocean Engineering, 263, p.112421. [https://doi.org/10.1016/j.oceaneng.2022.112421]
• Hsueh, K.S. and Mosleh, A., 1996. The development and application of the accident dynamic simulator for dynamic probabilistic risk assessment of nuclear power plants. Reliability Engineering & System Safety, 52(3), pp.297-314. [https://doi.org/10.1016/0951-8320(95)00140-9]
• Kim, K.H., Kim, R.W., Kang, S.H. and Kim, H.M., 2020. Nuclear Experts on Stage: Concealing and Displaying Probability Risk/Safety Assessment. Journal of Korean Studies,, 77(19), pp.545-590. [https://doi.org/10.15299/jk.2020.11.77.545]
• Krajewski, R., Bock, J., Kloeker, L. and Ecktein, L., 2018. The highD Dataset: A Drone Dataset of Naturalistic Vehicle Trajectories on German Highways for Validation of Highly Automated Driving Systems. IEEE 21st International Conference on Intelligent Transportation Systems (ITSC), Maui, Hawaii, USA, 4-7 November 2018. [https://doi.org/10.1109/ITSC.2018.8569552]
• Maidana, R.G., Parhizkar, T., Gomola, A. and Utne, I.B., 2023. Supervised dynamic probabilistic risk assessment: Review and comparison of methods. Reliability Engineering & System Safety, vol.230, p.108889. [https://doi.org/10.1016/j.ress.2022.108889]
• Mandelli, D., Smith, C., Riley, T., Nielsen, J., Alfonsi, A., Cogliati, J., Rabiti, C. and Schroeder, J., 2016. BWR Station Blackout: A RISMC Analysis Using RAVEN and RELAP5-3D. Nuclear Technology, 193(1), pp.161-174. [https://doi.org/10.13182/NT14-142]
• Milici, A., Wu, J.S. and Apostolakis, G., 1996. The Use of the Dynamic Flowgraph Methodology in Modeling Human Performance and Team Effects. Probabilistic Safety Assessment and Management '96. pp.1-6. [https://doi.org/10.1007/978-1-4471-3409-1_1]
• Riedmaier, S., Ponn, T., Ludwig, D., Schick, B. and Diermeyer, F., 2020. Survey on Scenario-Based Safety Assessment of Automated Vehicles. IEEE Access, vol.8, pp.87456-87477. [https://doi.org/10.1109/ACCESS.2020.2993730]
• Sans-Muntadas, A., Brekke, E.F., Hegrenaes, O. and Pettersen, K.Y., 2015. Navigation and Probability Assessment for Successful AUV Docking Using USBL. IFAC-PapersOnLine, 48(16), pp.204-209. [https://doi.org/10.1016/j.ifacol.2015.10.281]
• Schuldt, F., Ulbrich, S., Menzel, T. and Maurer, M., 2015. Defining and substantiating the terms scene, situation, and scenario for automated driving. 18th International Conference on Intelligent Transportation Systems (ITSC), Gran Canaria, Spain, September 2015. [https://doi.org/10.1109/ITSC.2015.164]
• Solanki, R., Singh, S., Varde, P.V. and Verma, A.K., 2019. Estimating Passive Systemㄴ Reliability and Integration into Probabilistic Safety Assessment. Reliability, Safety and Hazard Assessment for Risk-Based Technologies. Singapore: Springer. [https://doi.org/10.1007/978-981-13-9008-1_1]
• Sun, J., Yun, Z., Liang, J., Feng, Y. and Zhang, T., 2015. Wind power forecasting based on a Markov chain model of variation. 2015 12th International Conference on Fuzzy Systems and Knowledge Discovery (FSKD), Zhangjiajie, China, 15-17 August 2015.
• Wang, C., Cheng, C., Yang, D., Pan, G. and Zhang, F., 2023. Underwater AUV Navigation Dataset in Natural Scenarios. Electronics, 12(18), p.3788. [https://doi.org/10.3390/electronics12183788]
• Zhao, D., Lam, H., Peng, H., Bao, S., LeBlanc, D.J., Nobukawa, K. and Pan, C.S., 2017. Accelerated Evaluation of Automated Vehicles Safety in Lane-Change Scenarios Based on Importance Sampling Techniques. IEEE Transactions on Intelligent Transportation Systems, 18(3), pp.595-607. [https://doi.org/10.1109/TITS.2016.2582208]