396.57 비상 상황 감지와 임무 전환 전략

1. 개요

자율 로봇 시스템의 운용 중 비상 상황(emergency situation)의 신속하고 정확한 감지는 임무 안전성을 확보하기 위한 제1 요건이다. 비상 상황 감지 이후에는 현재 수행 중인 임무를 적절한 대체 임무로 전환(mission transition)하는 전략이 필수적으로 수반되어야 한다. 본 절에서는 비상 상황의 감지 메커니즘, 감지 결과에 기반한 임무 전환의 의사결정 모델, 그리고 전환 실행의 구현 기법을 체계적으로 다룬다.

2. 비상 상황의 정의와 범주화

2.1 비상 상황의 형식적 정의

비상 상황(emergency situation)이란 시스템의 현재 상태가 정상 운용 범위(nominal operating envelope)를 이탈하여, 즉각적인 대응이 이루어지지 않을 경우 시스템 또는 환경에 심각한 피해가 발생할 수 있는 상황을 말한다. 형식적으로, 시스템 상태 벡터 $\mathbf{x}(t) \in \mathcal{X}$ 에 대해 정상 운용 영역 $\mathcal{X}_{\text{nom}} \subset \mathcal{X}$ 을 정의할 때, 비상 상황은 다음과 같이 판정된다:

$\mathbf{x}(t) \notin \mathcal{X}_{\text{nom}} \quad \Rightarrow \quad \text{Emergency Detected}$

그러나 실제 시스템에서는 상태 벡터의 정확한 관측이 불가능한 경우가 많으므로, 추정 상태 $\hat{\mathbf{x}}(t)$ 와 추정 불확실성 $\mathbf{P}(t)$ 를 함께 고려하여 확률적 판정을 수행하는 것이 일반적이다:

$P(\mathbf{x}(t) \notin \mathcal{X}_{\text{nom}} \mid \hat{\mathbf{x}}(t), \mathbf{P}(t)) > \theta_{\text{emergency}}$

여기서 $\theta_{\text{emergency}}$ 는 비상 판정 임계 확률이다.

2.2 비상 상황의 원인별 분류

비상 상황은 그 발생 원인에 따라 다음과 같이 체계적으로 분류된다.

**내부 고장(Internal Faults)**은 로봇 시스템의 내부 구성 요소에서 발생하는 결함이다. 센서 고장(sensor failure), 액추에이터 고장(actuator failure), 연산 장치 오류(computational fault), 소프트웨어 예외(software exception), 에너지 시스템 이상(energy system anomaly) 등이 이에 해당한다.

**외부 교란(External Disturbances)**은 운용 환경에서 발생하는 예기치 못한 변화이다. 기상 급변(sudden weather change), 장애물 출현(unexpected obstacle), 지형 변화(terrain change), 전자기 간섭(electromagnetic interference) 등이 이에 포함된다.

**상호작용 이상(Interaction Anomalies)**은 다른 시스템이나 운영자와의 상호작용에서 발생하는 이상이다. 통신 두절(communication loss), 충돌 위험(collision threat), 비인가 접근(unauthorized access), 운영자 오명령(operator error) 등이 대표적이다.

3. 비상 상황 감지 메커니즘

3.1 임계값 기반 감지(Threshold-Based Detection)

가장 기본적인 비상 감지 기법은 관측 변수의 값이 사전 정의된 임계값을 초과하는지 여부를 검사하는 것이다. 관측 변수 $y(t)$ 에 대해:

$\text{if} \quad y(t) > y_{\text{upper}} \quad \text{or} \quad y(t) < y_{\text{lower}} \quad \Rightarrow \quad \text{Alarm}$

단순 임계값 감지는 구현이 용이하지만, 노이즈에 의한 오경보(false alarm)와 점진적 이상(gradual degradation)의 미감지라는 한계가 있다. 이를 개선하기 위해 이동 평균 기반 필터링, 히스테리시스(hysteresis) 적용, 다중 임계값 구조 등의 기법이 활용된다.

히스테리시스를 적용한 임계값 감지는 다음과 같이 정의된다:

$\text{Alarm ON:} \quad y(t) > y_{\text{upper}} + \Delta, \qquad \text{Alarm OFF:} \quad y(t) < y_{\text{upper}} - \Delta$

여기서 $\Delta$ 는 히스테리시스 밴드 폭이다.

3.2 모델 기반 고장 감지 및 격리(Model-Based FDI)

모델 기반 고장 감지 및 격리(Fault Detection and Isolation, FDI)는 시스템의 수학적 모델과 실제 관측 사이의 잔차(residual)를 분석하여 이상을 감지하는 기법이다. 시스템 모델이 다음과 같이 주어질 때:

$\dot{\mathbf{x}}(t) = f(\mathbf{x}(t), \mathbf{u}(t)) + \mathbf{w}(t)$
$\mathbf{y}(t) = h(\mathbf{x}(t)) + \mathbf{v}(t)$

여기서 $\mathbf{u}(t)$ 는 제어 입력, $\mathbf{w}(t)$ 는 프로세스 노이즈, $\mathbf{v}(t)$ 는 관측 노이즈이다. 상태 추정기(예: 확장 칼만 필터, EKF)를 통해 추정 출력 $\hat{\mathbf{y}}(t)$ 를 생성하고, 잔차 벡터를 계산한다:

$\mathbf{r}(t) = \mathbf{y}(t) - \hat{\mathbf{y}}(t)$

정상 상태에서 잔차는 영평균 백색 노이즈에 가까운 통계적 특성을 보인다. 고장 발생 시 잔차의 통계적 특성이 변화하며, 이를 통계적 가설 검정(statistical hypothesis testing)으로 검출한다.

CUSUM(Cumulative Sum) 알고리즘은 잔차의 누적합을 활용하여 점진적 이상을 감지하는 효과적인 기법이다:

$S_k = \max(0, S_{k-1} + r_k - \nu)$

여기서 $\nu$ 는 허용 드리프트 파라미터이다. $S_k > h$ (결정 임계값)이면 고장이 감지된다.

3.3 고장 격리(Fault Isolation)

고장 감지 후에는 어떤 구성 요소에서 고장이 발생했는지를 식별하는 고장 격리(Fault Isolation, FI) 과정이 필요하다. 구조화된 잔차(Structured Residual) 기법은 각 잔차가 특정 고장에만 민감하도록 관측기를 설계하는 방식이다.

고장 격리 매트릭스 $\mathbf{F}$ 를 정의하면:

잔차	고장 $f_1$	고장 $f_2$	고장 $f_3$
$r_1$	1	0	1
$r_2$	0	1	1
$r_3$	1	1	0

여기서 1은 해당 잔차가 해당 고장에 민감함을, 0은 둔감함을 나타낸다. 활성화된 잔차의 패턴과 고장 서명(fault signature)의 비교를 통해 고장 원인을 격리한다.

3.4 데이터 주도 감지(Data-Driven Detection)

명시적 수학 모델의 구축이 어려운 복잡한 시스템에서는 데이터 주도(data-driven) 접근이 효과적이다. 주요 기법은 다음과 같다.

**주성분 분석(PCA; Principal Component Analysis)**은 정상 운용 데이터로부터 주요 분산 방향을 추출하고, 새로운 관측 데이터의 주성분 공간 내 점수(score)와 잔차 공간 기여도( $T^2$ 통계량 및 SPE/Q 통계량)를 분석하여 이상을 감지한다:

$T^2 = \mathbf{t}^T \boldsymbol{\Lambda}^{-1} \mathbf{t}$
$\text{SPE} = \|\mathbf{e}\|^2 = \|(\mathbf{I} - \mathbf{P}\mathbf{P}^T)\mathbf{x}\|^2$

여기서 $\mathbf{t}$ 는 주성분 점수 벡터, $\boldsymbol{\Lambda}$ 는 주성분 분산 행렬, $\mathbf{P}$ 는 부하 행렬(loading matrix), $\mathbf{e}$ 는 잔차 벡터이다.

**심층 학습 기반 이상 탐지(Deep Learning-Based Anomaly Detection)**에서는 오토인코더(Autoencoder), LSTM(Long Short-Term Memory) 네트워크, 변분 오토인코더(VAE) 등의 심층 신경망을 활용하여 정상 패턴을 학습하고, 복원 오차(reconstruction error)가 임계값을 초과하는 경우를 이상으로 판정한다.

3.5 다중 센서 융합 기반 감지

단일 센서의 고장 감지 결과는 노이즈, 센서 편향(bias), 간헐적 오작동 등으로 인한 오류에 취약하다. 다중 센서 융합(multi-sensor fusion) 기반 감지는 복수의 독립적 감지 채널의 결과를 통합하여 감지 신뢰도를 향상시킨다.

이진 감지 결과의 융합에는 Dempster-Shafer 증거 이론(evidence theory)이 널리 활용된다. 각 센서 $i$ 가 생성하는 기본 확률 할당 함수(Basic Probability Assignment, BPA) $m_i$ 에 대해 Dempster 결합 규칙을 적용한다:

$m_{1,2}(A) = \frac{\sum_{B \cap C = A} m_1(B) \cdot m_2(C)}{1 - \sum_{B \cap C = \emptyset} m_1(B) \cdot m_2(C)}, \quad A \neq \emptyset$

이를 통해 개별 센서의 불확실한 판정을 종합하여 보다 견고한 비상 상황 판정을 도출한다.

4. 임무 전환 의사결정 모델

4.1 상태 전이 기반 전환 모델

비상 상황 감지 후의 임무 전환은 유한 상태 머신(FSM)으로 모델링할 수 있다. 임무 상태 공간 $\mathcal{S}_{\text{mission}} = \{s_{\text{normal}}, s_{\text{caution}}, s_{\text{emergency}}, s_{\text{abort}}, s_{\text{RTL}}, s_{\text{land}}\}$ 에서 비상 관련 전이는 다음과 같이 정의된다:

$s_{\text{normal}} \xrightarrow{e_{\text{caution}}} s_{\text{caution}}$ : 주의 수준 이상 감지
$s_{\text{caution}} \xrightarrow{e_{\text{resolved}}} s_{\text{normal}}$ : 이상 해소
$s_{\text{caution}} \xrightarrow{e_{\text{escalate}}} s_{\text{emergency}}$ : 심각도 상승
$s_{\text{emergency}} \xrightarrow{\pi_{\text{RTL}}} s_{\text{RTL}}$ : 귀환 정책 선택
$s_{\text{emergency}} \xrightarrow{\pi_{\text{land}}} s_{\text{land}}$ : 비상 착륙 정책 선택
$s_{\text{emergency}} \xrightarrow{\pi_{\text{abort}}} s_{\text{abort}}$ : 임무 중단 정책 선택

4.2 효용 기반 전환 의사결정

비상 상황에서의 임무 전환 의사결정을 최적화하기 위해 효용 함수(utility function) $U$ 에 기반한 의사결정 프레임워크를 구축한다. 가용한 전환 행동 집합 $\mathcal{A} = \{a_1, a_2, \ldots, a_K\}$ 에 대해 기대 효용을 계산하고, 이를 최대화하는 행동을 선택한다:

$a^* = \arg\max_{a \in \mathcal{A}} \mathbb{E}[U(a, \mathbf{x}, \mathbf{e})]$

여기서 $\mathbf{x}$ 는 현재 시스템 상태, $\mathbf{e}$ 는 비상 이벤트 정보이다.

효용 함수는 다음의 요소들을 종합적으로 고려하여 설계한다:

$U(a, \mathbf{x}, \mathbf{e}) = w_{\text{safety}} \cdot U_{\text{safety}}(a) + w_{\text{mission}} \cdot U_{\text{mission}}(a) + w_{\text{resource}} \cdot U_{\text{resource}}(a) + w_{\text{time}} \cdot U_{\text{time}}(a)$

여기서:

$U_{\text{safety}}(a)$ : 행동 $a$ 실행 후의 안전성 지표
$U_{\text{mission}}(a)$ : 임무 목표 달성도 보존 지표
$U_{\text{resource}}(a)$ : 자원(에너지, 통신 등) 효율성 지표
$U_{\text{time}}(a)$ : 시간적 적시성 지표
$w_{\text{safety}}, w_{\text{mission}}, w_{\text{resource}}, w_{\text{time}}$ : 각 요소의 가중치

비상 심각도가 높을수록 $w_{\text{safety}}$ 의 비중을 증가시키고 $w_{\text{mission}}$ 의 비중을 감소시키는 적응적 가중치 조정 정책을 적용한다.

4.3 마르코프 결정 과정 기반 전환 전략

불확실한 비상 상황에서의 순차적 의사결정을 MDP(Markov Decision Process) 또는 POMDP(Partially Observable MDP)로 모델링하여 최적 전환 전략(optimal transition policy)을 도출할 수 있다. 비상 전환 MDP는 다음의 튜플로 정의된다:

$\mathcal{M}_{\text{emergency}} = (\mathcal{S}, \mathcal{A}, T, R, \gamma)$

여기서:

$\mathcal{S}$ : 시스템-비상 결합 상태 공간
$\mathcal{A}$ : 가용 전환 행동 공간
$T: \mathcal{S} \times \mathcal{A} \times \mathcal{S} \rightarrow [0, 1]$ : 상태 전이 확률 함수
$R: \mathcal{S} \times \mathcal{A} \rightarrow \mathbb{R}$ : 보상 함수 (안전 유지에 양의 보상, 위험 상태에 음의 보상)
$\gamma \in [0, 1]$ : 할인 인자 (비상 상황에서는 $\gamma$ 를 낮게 설정하여 즉각적 안전을 우선)

최적 전환 정책 $\pi^*$ 는 벨만 최적 방정식(Bellman Optimality Equation)을 통해 구해진다:

$V^*(s) = \max_{a \in \mathcal{A}} \left[ R(s, a) + \gamma \sum_{s' \in \mathcal{S}} T(s, a, s') V^*(s') \right]$

5. 임무 전환의 실행 메커니즘

5.1 임무 전환 프로토콜

비상 전환의 실행은 다음의 단계적 프로토콜을 따른다:

현재 행동 중단(Current Action Termination): 현재 수행 중인 행동의 안전한 종료 절차를 실행한다. 이때 급격한 중단이 아닌 점진적 감속(graceful degradation)을 통해 물리적 안정성을 유지한다.
상태 저장(State Checkpointing): 현재 임무의 진행 상태, 경유점(waypoint) 목록, 수집된 데이터 등을 저장하여 이후 임무 재개(resume)가 가능하도록 한다.
비상 임무 로딩(Emergency Mission Loading): 비상 유형에 대응하는 사전 정의된 비상 임무 계획을 로드한다.
경로 재계획(Path Replanning): 현재 위치에서 비상 목적지(발사 지점, 안전 착륙 지점 등)까지의 안전 경로를 계산한다.
비상 임무 실행(Emergency Mission Execution): 재계획된 경로를 따라 비상 행동을 실행한다.
상태 보고(Status Reporting): 비상 전환의 개시, 진행, 완료를 관제 시스템 또는 운영자에게 보고한다.

5.2 전환 시간의 최소화

비상 상황에서의 전환 시간(transition time) 최소화는 안전성 확보의 핵심이다. 전환 지연(transition latency) $T_{\text{lat}}$ 은 다음과 같이 분해된다:

$T_{\text{lat}} = T_{\text{term}} + T_{\text{check}} + T_{\text{load}} + T_{\text{plan}} + T_{\text{init}}$

여기서:

$T_{\text{term}}$ : 현재 행동 종료 시간
$T_{\text{check}}$ : 상태 저장 시간
$T_{\text{load}}$ : 비상 임무 로딩 시간
$T_{\text{plan}}$ : 경로 재계획 시간
$T_{\text{init}}$ : 비상 행동 초기화 시간

전환 시간 최소화를 위한 기법으로는 다음이 있다:

사전 계산(Pre-computation): 귀환 경로 및 비상 착륙 지점을 임무 수행 중 백그라운드에서 주기적으로 갱신
핫 스탠바이(Hot Standby): 비상 임무 계획을 메모리에 상시 로딩된 상태로 유지
비동기 전환(Asynchronous Transition): 현재 행동의 안전한 종료와 비상 경로 계획을 병렬로 실행

5.3 행동 트리에서의 반응적 전환

행동 트리(Behavior Tree) 기반 임무 관리에서는 반응적 전환(reactive transition)이 트리의 구조적 특성에 의해 자연스럽게 지원된다. 매 틱(tick) 사이클마다 루트에서 재평가가 이루어지므로, 높은 우선순위의 안전 조건 노드가 활성화되면 현재 실행 중인 하위 행동은 자동으로 중단되고 비상 행동으로 전환된다.

이 메커니즘은 명시적인 전환 로직을 프로그래밍할 필요 없이, 트리의 구조적 배치만으로 비상 전환을 구현할 수 있다는 장점을 제공한다. 그러나 틱 주기의 지연으로 인한 전환 시간의 불확정성이 제약 요소로 작용할 수 있으며, 이를 해결하기 위해 비동기 이벤트 주도(asynchronous event-driven) 안전 감시자를 별도로 운용하는 하이브리드 구조가 권장된다.

6. 비상 감지의 성능 평가 지표

비상 감지 시스템의 성능은 다음의 지표들로 정량적으로 평가한다:

지표	정의	산출식
감지율(Detection Rate)	실제 비상 중 올바르게 감지한 비율	$DR = \frac{TP}{TP + FN}$
오경보율(False Alarm Rate)	정상 상태에서 비상으로 오판한 비율	$FAR = \frac{FP}{FP + TN}$
감지 지연(Detection Delay)	비상 발생부터 감지까지의 시간	$T_d = t_{\text{detect}} - t_{\text{onset}}$
격리 정확도(Isolation Accuracy)	올바른 고장 원인을 식별한 비율	$IA = \frac{N_{\text{correct}}}{N_{\text{total}}}$

여기서 $TP$ 는 참 양성(True Positive), $FN$ 은 거짓 음성(False Negative), $FP$ 는 거짓 양성(False Positive), $TN$ 은 참 음성(True Negative)이다.

이상적인 비상 감지 시스템은 높은 감지율과 낮은 오경보율을 동시에 달성해야 하나, 양자 사이에는 본질적인 상충 관계(trade-off)가 존재한다. ROC(Receiver Operating Characteristic) 곡선을 통해 이 상충 관계를 시각화하고, 임무의 안전 요구사항에 따라 최적의 동작점(operating point)을 선정한다.

7. 참고 문헌

R. Isermann, “Fault-Diagnosis Systems: An Introduction from Fault Detection to Fault Tolerance,” Springer, 2006.
M. Blanke, M. Kinnaert, J. Lunze, and M. Staroswiecki, “Diagnosis and Fault-Tolerant Control,” Springer, 3rd ed., 2016.
G. Vachtsevanos, F. L. Lewis, M. Roemer, A. Hess, and B. Wu, “Intelligent Fault Diagnosis and Prognosis for Engineering Systems,” Wiley, 2006.
V. Chandola, A. Banerjee, and V. Kumar, “Anomaly Detection: A Survey,” ACM Computing Surveys, vol. 41, no. 3, pp. 1–58, 2009.
G. Shafer, “A Mathematical Theory of Evidence,” Princeton University Press, 1976.
M. Colledanchise and P. Ögren, “Behavior Trees in Robotics and AI: An Introduction,” CRC Press, 2018.
E. S. Page, “Continuous Inspection Schemes,” Biometrika, vol. 41, no. 1–2, pp. 100–115, 1954.

version: 1.0