WO2022019489A1

WO2022019489A1 - 차량 생성 데이터를 수집 및 관리하는 방법 및 시스템

Info

Publication number: WO2022019489A1
Application number: PCT/KR2021/007730
Authority: WO
Inventors: 박승욱; 임화평
Original assignee: 현대자동차주식회사; 기아 주식회사
Priority date: 2020-07-21
Filing date: 2021-06-21
Publication date: 2022-01-27
Also published as: EP4170611A1; CN116157850A; US20230311936A1

Abstract

차량의 데이터 기록 시스템은 주행하는 동안 차량의 자율주행 시스템과 운전자 사이에 발생한 타임스탬프된 상호작용들을 나타내는 복수의 인터렉션 데이터들을 기록하기 위한 제 1 데이터 레코더와, 미리 정의된 이벤트의 발생 전후의 소정 시간 동안의 차량 상태를 나타내는 이벤트 데이터를 기록하기 위한 제 2 데이터 레코더를 포함한다. 차량의 데이터 기록 시스템은, 복수의 인터렉션 데이터들을 미리 정의된 스케줄에 따라 원격 서버로 업로드하되, 이벤트의 발생에 응답하여, 이벤트의 발생 시점에 근접하여 기록된 적어도 하나의 인터렉션 데이터인 주요 인터렉션 데이터를, 이벤트 데이터와 함께 혹은 이벤트 데이터에 후속하여 원격 서버로 업로드하도록 구성된다.

Description

차량 생성 데이터를 수집 및 관리하는 방법 및 시스템

본 발명은 다수의 차량들에서 생성된 데이터를 수집 및 관리하는 것과 관련되어 있다.

이 부분에 기술된 내용은 단순히 본 발명에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.

이벤트 데이터 레코더(Event Data Recorder: EDR)는 사고 등을 검출하여 그 시점의 전후 소정 시간 내의 차량의 주행 상태나 운전자에 의한 조작 등에 관한 정보를 기억하도록 구성되어 있다. 속도, 안전 벨트 상태 및 에어백 전개 상태를 포함하는 여러 파라미터들이 포렌식 조사 과정에서 복구될 수 있도록 저장된다.

포렌식 조사는, 일반적으로, 차량의 진단 링크 커넥터(diagnostic link connector; 예컨대, OBD-II 포트)를 통해 혹은 이벤트 데이터 레코더의 데이터 메모리를 물리적으로 추출하여 데이터를 판독함으로써 수행된다. 이벤트 데이터 레코더 내의 데이터는 잘못된 판독 기술로 인해 손상되거나 변경될 수 있으며, 저장 후에 악의적으로 조작되거나 삭제될 수도 있는 바, 저장된 데이터에 대한 무결성이 완벽히 보장된다고 보기 어렵다.

ADAS(Advanced Driver Assistance Systems)이나 자율주행 기능의 적용이 확대됨에 따라, 사고 시점에 자율주행 시스템과 운전자 중에서 누가 차량을 제어하고 있었는지를 식별하는 것이 사고 원인의 적절한 규명에 유용할 수 있다.

정보통신기술이 발전되면서, 차량 생성 데이터는 네트워크 상의 데이터 서버에 다양한 형태로 수집될 수 있으며, 다양한 서비스 제공자들에게 제공될 수 있다. 본 개시는 통신 기능을 가진 차량의 데이터 기록 시스템과 차량 생성 데이터를 수집 및 관리하는 클라우드 스토리지 시스템의 일반적인 개념을 제시한다. 이 개념은 차량 내 데이터 저장의 한계를 극복하고 차량 생성 데이터에 대한 사용자 접근성을 극대화하는 데 중점을 둔다.

본 개시는, 특히, 주행하는 동안 차량의 자율주행 시스템과 운전자 사이에 발생한 타임스탬프된 상호작용들을 나타내는 복수의 인터렉션 데이터들을 기록하기 위한 제 1 데이터 레코더와 충돌 사고와 같은 이벤트의 발생 전후의 소정 시간 동안의 차량 상태를 나타내는 이벤트 데이터를 기록하기 위한 제 2 데이터 레코더를 포함하는 차량 시스템에서, 인터렉션 데이터와 이벤트 데이터를 효율적으로 클라우드 스토리지 시스템에 전송(혹은 업로드)하는 기법들을 제시한다.

본 개시의 일 측면에 따른 차량의 데이터 기록 시스템은 상기 차량과 원격 서버 사이의 통신을 가능하게 하는 통신 디바이스와, 주행하는 동안 상기 차량의 자율주행 시스템과 운전자 사이에 발생한 타임스탬프된 상호작용들을 나타내는 복수의 인터렉션 데이터들을 기록하기 위한 제 1 데이터 레코더와, 미리 정의된 이벤트의 발생 전후의 소정 시간 동안의 차량 상태를 나타내는 이벤트 데이터를 기록하기 위한 제 2 데이터 레코더를 포함한다. 상기 통신 디바이스는, 복수의 인터렉션 데이터들을 미리 정의된 스케줄에 따라 상기 원격 서버로 업로드하되, 상기 이벤트의 발생에 응답하여, 상기 이벤트의 발생 시점에 근접하여 기록된 적어도 하나의 인터렉션 데이터인 주요 인터렉션 데이터를, 상기 이벤트 데이터와 함께 혹은 상기 이벤트 데이터에 후속하여 상기 원격 서버로 업로드하도록 구성된다.

본 발명의 일 측면에 따르면, 제 1 데이터 레코더 및 제 2 데이터 레코더를 구비한 차량의 데이터 기록 시스템에 의해 수행되는 방법을 제공한다. 상기 방법은, 제 1 데이터 레코더에 의해, 주행하는 동안 상기 차량의 자율주행 시스템과 운전자 사이에 발생한 타임스탬프된 상호작용들을 나타내는 복수의 인터렉션 데이터들을 기록하는 단계와, 상기 복수의 인터렉션 데이터들을 미리 정의된 스케줄에 따라 원격 서버로 업로드하는 단계를 포함한다. 또한, 상기 방법은, 미리 정의된 이벤트의 발생에 응답하여, 제 2 데이터 레코더에 의해, 상기 미리 정의된 이벤트의 발생 전후의 소정 시간 동안의 차량 상태를 나타내는 이벤트 데이터를 기록하는 단계와, 상기 이벤트의 발생 시점에 근접하여 기록된 적어도 하나의 인터렉션 데이터인 주요 인터렉션 데이터를 식별하는 단계와, 상기 주요 인터렉션 데이터를 상기 이벤트 데이터와 함께 혹은 상기 이벤트 데이터에 후속하여 상기 원격 서버로 업로드하는 단계를 포함한다.

상기 데이터 기록 시스템과 상기 방법의 실시예들은 다음의 특징들을 하나 이상 더 포함할 수 있다.

일부 실시예에서, 상기 주요 인터렉션 데이터는 상기 이벤트 발생 당시에 상기 차량을 제어하고 있던 주체를 식별하는 데 이용될 수 있다.

일부 실시예에서, 상기 복수의 인터렉션 데이터 각각은 상기 상호작용의 유형을 나타내는 타임-스탬프된 데이터일 수 있다.

일부 실시예에서, 상기 상호작용의 유형은, 자율주행 시스템의 상태 변경, 자율주행 시스템에 의한 최소 위험 기동(Minimal Risk Maneuver; MRM)의 개시 및 종료, 상기 운전자로의 주행 태스크의 제어 인계를 포함할 수 있다. 또한, 일부 실시예에서, 상기 상호작용의 유형은 상기 제 1 데이터 레코더의 기록을 트리거 하는 이벤트의 발생 및 상기 제 1 데이터 레코더의 기록을 트리거 하지 못하는 경미한 이벤트의 발생을 더 포함할 수 있다.

일부 실시예에서, 상기 복수의 인터렉션 데이터는, 상기 상호작용의 유형을 나타내는 타입 플래그가 정의되는 타입 필드, 상기 상호작용이 발생한 원인을 나타내는 데이터가 정의되는 원인 필드, 상기 상호작용이 발생한 날짜를 나타내는 데이터가 정의되는 날짜 필드, 및 상기 상호작용이 발생한 시간을 나타내는 데이터가 정의되는 타임스탬프 필드를 포함하는 데이터 포맷으로 표현될 수 있다.

본 개시의 기술들에 따르면, 자율주행 차량은 충돌사고와 같은 이벤트의 발생 시점에 근접하여 기록된 인터렉션 데이터를, 자율주행 차량의 V2X 통신에 과도한 부담을 가하지 않으면서도, 클라우드 스토리지 시스템(20)으로 가능한 성공적으로 업로드할 수 있다. 이벤트가 발생하지 않은 통상의 주행 동안에, 인터렉션 데이터들의 업로드 태스크는 자율주행을 위한 V2X 통신 자원에 영향이 없거나 줄이도록 스케줄링 될 수 있다.

도 1은 본 발명의 일 실시예에 따른, 차량들로부터 이벤트 데이터를 수집하고 관리하는 중앙화된 시스템을 도식화한 도면이다.

도 2는 차량에서 기록될 수 있는 이벤트 데이터와 인터렉션 데이터 사이의 차이를 보이는 개념도이다.

도 3은 본 발명의 일 실시예에 따른, 인터렉션 데이터를 표현하는 예시적인 데이터 포맷을 보인다.

도 4는 본 발명의 일 실시예에 따른, 차량 시스템에 의해 차량 생성 데이터를 기록하고 업로드하는 방법을 보이는 흐름도이다.

도 4는 본 발명의 일 실시예에 따른, 차량 식별 번호(VIN)의 비식별화된 버전 및 이에 의해 식별되는 EDR의 일 예를 보인다.

도 5a 및 도 5b는 차량이 도로를 주행하는 동안 발생할 수 있는 예시적인 시나리오와 차량으로부터 클라우드 스토리지 시스템으로 업로드 되는 차량 생성 데이터를 예시한다.

도 6는 본 발명의 일 실시예에 따른, 차량 식별 정보(VII), EDR 데이터, 및 DSSAD 데이터를 데이터베이스들에 분리 저장하는 예시적인 방법을 보이는 개념도이다.

도 7은 차량 식별 번호(VIN)의 세부사항을 설명하는 도면이다.

도 8은 본 발명의 일 실시예에 따른, 차량 식별 번호(VIN)의 비식별화된 버전 및 이에 의해 식별되는 EDR의 일 예를 보인다.

도 9는 본 발명의 일 실시예에 따른, 클라우드 스토리지 시스템이 특정 차량에 대한 EDR/DSSAD 데이터를 조회하고 제공하는 예시적인 방법을 보이는 개념도이다.

도 10은 본 발명의 일 실시예에 따른, 클라우드 스토리지 시스템이 차량 보유자의 요청에 따라 VII/EDR/DSSAD 데이터를 삭제하는 예시적인 방법을 보이는 개념도이다.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.

도 1은 본 발명의 일 실시예에 따른, 차량들로부터 차량 생성 데이터를 수집하고 관리하는 중앙화된 시스템(centralized system)을 도식화한 도면이다.

시스템(100)은 차량에 구비된 차량 탑재 데이터 기록 시스템(in-vehicle data recording system; 10)과 네트워크 상의 서버(들)로 구현되는 클라우드 스토리지 시스템(20)을 포함한다. 클라우드 스토리지 시스템(20)을 구현하는 서버(들)은 차량 제조사에 의해 운용되는 서버(들) 혹은 차량 제조사들과는 독립적인 사업자에 의해 운용되는 서버(들)이거나 이들의 결합을 포함할 수 있다.

차량은 자율주행모드로 완전히 혹은 부분적으로 동작하도록 구성되고, 따라서 "자율주행차량" 이라고 지칭될 수도 있다. 예를 들어, 자율주행 시스템(14)은 센서 시스템(13)으로부터 정보를 수신하고, 자동화된 방식으로, 수신된 정보를 기반으로 (예컨대, 검출된 장애물을 피하기 위해 조향을 설정하는 것과 같은) 하나 이상의 제어 프로세스를 실행할 수 있다.

차량은 완전히 자율적이거나 부분적으로 자율적일 수 있다. 부분 자율 차량에서, 일부 기능은 일시적으로 혹은 지속적으로 운전자에 의해 수동으로 제어될 수 있다. 또한, 부분 자율 차량은 완전 수동 동작 모드와 부분 자율 동작 및/또는 완전 자율 동작 모드 사이에서 전환 가능하도록 구성될 수 있다.

차량 탑재 데이터 기록 시스템(10)은 차량 작동이나 운전자 행동과 관련된 다양한 유형의 데이터를 생성, 기록 혹은 저장하도록 구성되어 있다. 차량 탑재 데이터 기록 시스템(10)은 이벤트 데이터 레코더(Event Data Recorder: EDR; 11)와 자율주행차량용 데이터 스토리지 시스템(Data Storage System for Automated Driving Vehicles: DSSAD; 12)의 두 가지 유형의 데이터 레코더들을 구비할 수 있다. 이들은 서로 다른 목적으로 차량 생성 데이터를 기록한다.

EDR(11)의 목적은 충돌 사고, 에어백 전개와 같은 특정 이벤트에 대한 차량 정보를 저장하는 것이다. EDR(11)의 데이터는 충돌 분석 및 재구성에 사용된다. DSSAD(12)의 목적은 운전자와 자율주행 시스템 간의 사전 정의된 모든 상호작용을 기록하는 것이다. 즉, 도 2에 예시된 바와 같이, EDR(11)은 충돌 사고와 같은 이벤트가 발생할 때 관련 데이터를 기록 혹은 저장하는 반면, DSSAD(12)는 주행하는 동안 차량과 운전자 사이의 상호작용들을 기록 혹은 저장한다. 일반적으로 타임 스탬프 형식으로 저장되는 DSSAD(12)의 데이터는 특정 시점에 (운전자와 자율주행 시스템 중) 누가 차량을 제어하고 있었는지를 식별하는 데에 사용된다. EDR(11)의 데이터와 DSSAD(12)의 데이터는 포렌식 조사에서 상호 보완적으로 사용되며, 특히 포렌식 조사에서 DSSAD(12)의 데이터는 충돌 당시 차량을 제어하고 있던 주체를 식별하는 데 유용하다.

EDR(11)은 차량에 장착된 각종 센서 및/또는 전자 제어 유닛(electronic control unit: ECU)들로부터 데이터를 수신할 수 있다. EDR(11)의 휘발성 메모리에는 일정 시간 동안의 데이터가 지속적으로 업데이트되면서 기록된다. EDR(11)은 하나 이상의 미리 정의된 이벤트의 발생이 검출되면, 그 검출 전후 소정 시간 내에 휘발성 메모리에 기록된 데이터를 내부의 비휘발성 메모리에 저장하도록 설계된다. 그러한 이벤트는 특히 충돌 사고(traffic collision)일 수 있다. 충돌 사고는, 예를 들어, 에어백 또는 프리텐션너(pretensioner) 등의 비가역 안전장치의 전개가 트리거되는 때에 검출될 수 있다. 충돌 사고는, 또한, 사전 정의된 임계 값을 초과하는 가감속(예컨대, 150 ms 내에 8km/h 이상의 속도 변화)이 발생할 때 검출될 수도 있다. 이벤트는 차량의 주요 기능의 고장을 더 포함할 수도 있다.

EDR(11)은, 예컨대, 에어백 제어 유닛(airbag control unit: ACU)과 같은, 전자 제어 유닛(들)으로부터 이벤트 발생을 알리는 트리거 신호(들)를 수신할 수 있다. EDR(11)은 센서 시스템(13)에 포함된 적어도 하나의 센서에 의해 측정된 값들에 접근 가능할 수도 있다. 적어도 하나의 센서는 차량의 속도/가감속/이동거리/지리적 위치 등을 감지하도록 설계될 수 있다. EDR(11)은 에어백 제어 유닛(ACU) 내에 일 모듈로서 포함될 수도 있다.

EDR(11)에 의해 기록 및 저장되는 데이터는, 예컨대, 차량의 동역학(dynamics), 운전자의 행동, 차량의 안전 시스템의 작동 상태 등과 같은 충돌 사고를 분석하기에 적합한 데이터일 수 있다. EDR(11)은 저장된 데이터(이하 'EDR 데이터' 혹은 '이벤트 데이터'로도 지칭될 수 있음)를, 클라우드 스토리지 시스템(20)에 전송될 수 있도록, 통신 디바이스(15)에 제공할 수 있다. 전형적인 실시예에서, EDR(11)은, 이벤트 발생 후 지체없이 관련된 EDR 데이터가 클라우드 스토리지 시스템(20)에 전송될 수 있도록, EDR 데이터의 저장한 후 곧바로 통신 디바이스(15)에 제공하도록 구성될 수 있다.

자율주행 시스템(14)은 운전자와 자율주행 시스템(14) 간의 상호 작용(interactions)을 나타내는 인터렉션 신호들을 생성할 수 있다. 이러한 인터렉션 신호들은 하나 이상의 자율주행 기능들이 현재 활성화되어 있는지를 나타내는 신호를 포함할 수 있다. 예를 들어, 자율주행 시스템(14)은 어댑티브 크루즈 컨트롤(Adaptive Cruise Control; ACC), 자동 차선 유지 시스템(Automated Lane Keeping Systems; ALKS)과 같은 특정 기능이 현재 활성화되어 있는지 여부를 나타내는 신호를 생성할 수 있다. 다른 예로서, 자율주행 시스템(14)은 차량의 주행이 현재 수동이 아닌 완전히 자동 제어되고 있는지 여부를 나타내는 신호를 생성할 수도 있다. 또한, 이러한 인터렉션 신호들은 운전자로의 주행 태스크의 제어를 인계(take-over)받아야 함을 지시하는 전환 요구(transition demand)를 나타내는 신호, 운전자로의 주행 태스크의 제어가 인계(take-over)되었음을 지시하는 신호 등을 더 포함할 수 있다. 자율주행 시스템(14)은 데이터 버스(예컨대, CAN 버스, Ethernet 버스 등)를 통해 DSSAD(12)에 인터렉션 신호들을 제공할 수 있다.

DSSAD(12)는 자율주행 시스템(14)으로부터 수신된 인터렉션 신호들을 기초로 운전자와 자율주행 시스템 간의 상호작용을 나타내는 인터렉션 데이터를 내부의 비휘발성 메모리에 저장할 수 있다. DSSAD(12)는 고도 자율주행(highly-automated driving) 시스템(예를 들어, SAE 레벨 3, 4, 5 분류)이 구비된 차량에 장착되어, "운전을 요청받은 주체" 및 "실제로 운전한 주체"을 명확히 하는 것을 목표로 하는 데이터 스토리지 시스템이다. 전환 절차 동안에(즉, 전환 요구가 발행된 후 운전자가 제어를 실제로 인계받기까지) "운전을 요청받은 주체" 및 "실제로 운전한 주체"는 서로 다를 수 있다.

인터렉션 데이터(이하, 'DSSAD 데이터'로도 지칭될 수 있음)는, 예를 들어, 자율주행 시스템의 상태(switched off, activated, transition demand, override) 변경, 자율주행 시스템에 의한 최소 위험 기동(Minimal Risk Maneuver; MRM) 개시 및 종료, 운전자로의 주행 태스크의 제어 인계 등의 특정 인터렉션들을 나타내는 타임-스탬프된 데이터 엘리먼트들을 포함할 수 있다. 일부 실시예에서, 인터렉션들은, EDR(11)의 기록을 트리거 하는 이벤트의 발생 및 EDR(11)의 기록을 트리거 하지 못하는 경미한 이벤트의 발생을 더 포함할 수도 있다.

도 3에 예시된 바와 같이, 인터렉션 데이터는 타입 필드, 원인 필드, 날짜 필드, 및 타임스탬프 필드를 포함한 네 개의 필드들을 가질 수 있다. 타입 필드는 전환 요구 혹은 최소 위험 기동과 같은 운전자와 시스템 간의 상호작용의 유형을 나타내는 타입 플래그가 정의되는 필드이다. 원인 필드는 타입 필드에서 특정된 상호작용이 발생한 원인을 나타내는 데이터가 정의되는 필드이다. 원인 필드는 선택적인 필드(optional field)일 수 있다. 날짜 필드는 타입 필드에서 특정된 상호작용이 발생한 날짜를 나타내는 데이터가, 예를 들어, 년/월/일 형식으로 정의된다. 타임스탬프 필드는 타입 필드에서 특정된 상호작용이 발생한 시간을 나타내는 데이터가, 예를 들어, 시/분/초 형식으로 정의된다.

DSSAD(12)는 저장된 인터렉션 데이터를, 클라우드 스토리지 시스템(20)에 전송될 수 있도록, (미리 정의된 스케줄에 따라 혹은 통신 디바이스(15)의 요청에 응답하여) 통신 디바이스(15)에 제공할 수 있다.

일부 실시예에서, 인터렉션 데이터는 주기적으로 클라우드 스토리지 시스템(20)에 업로드 될 수 있다. 예를 들어, DSSAD(12)는 6h 단위 또는 12h 단위로, 혹은 매일, 매주 인터렉션 데이터의 업로드 절차를 수행하도록 스케줄링될 수 있다. 차량의 시동(Ignition)이 ON 상태로 진입하면, DSSAD(12)는 마지막 업로드 시점으로부터 업로드 주기가 도과하였는지 여부를 판단할 수도 있다. 업로드 주기가 도과하였다고 판단되면, DSSAD(12)는 업로드 절차를 개시할 수도 있다. 다른 일부 실시예에서, DSSAD(12)는, 차량의 시동(Ignition)이 ON 상태로 진입할 때마다, 클라우드 스토리지 시스템(20)에 인터렉션 데이터를 전송하는 업로드 절차를 개시하도록 구성될 수도 있다. 또 다른 일부 실시예에서, DSSAD(12)는 DSSAD(12)의 내부 저장소에 빈 저장 공간의 비율이 임계치에 도달하면, 클라우드 스토리지 시스템(20)에 인터렉션 데이터를 전송하는 업로드 절차를 수행하도록 구성될 수도 있다. 이와 같이, 이벤트 데이터(EDR 데이터)와 달리, 인터렉션 데이터는 인터렉션이 발생할 때마다 클라우드 스토리지 시스템(20)에 업로드되는 대신에, 상당한 기간 동안 누적된 인터렉션 데이터가 업로드된다.

통신 디바이스(15)는, 차량 내부 네트워크를 외부의 통신 네트워크에 연결하는 유선 혹은 무선 통신 기능을 가진 전자기기이다. 통신 디바이스(15)는, 예컨대, 텔레매틱스 유닛(Telematics Unit; TMU), OBD-Ⅱ 포트에 플러그 되는 유무선 동글일 수 있다. 통신 디바이스(15)는, 예를 들어, GSM/WCDMA/LTE/5G와 같은 셀룰러 통신 혹은 WLAN, c-V2X, WAVE, DSRC, 블루투스와 같은 단거리 무선 통신이 가능한 무선 송수신기를 포함하도록 구성될 수도 있다.

통신 디바이스(15)는, DSSAD(12)로부터 DSSAD 데이터가 수신되면, 인터렉션 리포트 메시지를 생성할 수 있다. 통신 디바이스(15)는, 통신 네트워크를 거쳐, 클라우드 스토리지 시스템(20)에, 인터렉션 리포트 메시지를 전송할 수 있다. 인터렉션 리포트 메시지는 차량 식별 정보(Vehicle Identifiable Information: VII)와 DSSAD(12)로부터 수신된 DSSAD 데이터를 포함할 수 있다.

통신 디바이스(15)는, EDR(11)로부터 EDR 데이터가 수신되면, 이벤트 리포트 메시지를 생성할 수 있다. 통신 디바이스(15)는, 통신 네트워크를 거쳐, 클라우드 스토리지 시스템(20)에, 이벤트 리포트 메시지를 전송할 수 있다. 이벤트 리포트 메시지는 차량 식별 정보(VII)와 EDR(11)로부터 수신된 EDR 데이터를 포함할 수 있다.

전형적인 실시예에서, 차량 식별 정보(VII)는 차량 제조사가 개별 차량에 할당하는 숫자와 문자로 구성된 17 자리(17 digits)의 고유 식별자인 차량 식별 번호(vehicle identification number: VIN)일 수 있다. 대안적으로, 차량 식별 정보는 차량 등록 번호(license plate information), 통신 디바이스(15)가 통신에 사용하는 고유 식별자, V2X 통신을 위해 차량에 할당된 (장기 혹은 단기) 인증서 등일 수 있다. 리포트 메시지는 이벤트 혹은 인터렉션이 발생한 지리적 위치를 더 포함할 수도 있다.

전술한 바와 같이, 차량은 이벤트 발생 후 지체없이 관련된 이벤트 데이터(EDR 데이터)를 업로드하며, 반면에, 인터렉션이 발생할 때마다 관련된 인터렉션 데이터(DSSAD 데이터)를 업로드 하는 대신에, 미리 정의된 스케줄에 따라 일정 기간 누적된 인터렉션 데이터를 업로드한다. 즉, 인터렉션이 발생할 때마다 관련된 인터렉션 데이터(DSSAD 데이터)가 클라우드 스토리지 시스템(20)으로 지체없이 업로드 되지 않는다.

이러한 업로드 방식에서, 충돌 사고와 같은 이벤트의 발생 당시에 차량을 제어하고 있던 주체를 식별하는 데에 유용한 인터렉션 데이터를 업로드할 시점이 이벤트가 발생한 때로부터 상당한 시간이 경과한 후일 수 있으며, 그 시점에는 차량이 인터렉션 데이터(DSSAD 데이터)의 업로드를 시도하는 것이 (예컨대, 차량 화재, 침수, 폐차 등으로 인해) 불가능할 수도 있다.

인터렉션 데이터를 보다 빈번하게 업로드 하는 것이 하나의 방안(solution)일 수도 있으나, 업로드 태스크에 의한 통신 링크의 빈번한 점유는 다른 차량이나 인프라와의 V2X 통신이 지속적으로 요구되는 자율주행 차량에 적합하지 않을 수 있다.

따라서 충돌사고의 발생 시점에 근접하여 기록된 인터렉션 데이터를, 자율주행 차량의 V2X 통신에 과도한 부담을 가하지 않으면서도, 클라우드 스토리지 시스템(20)으로 가능한 성공적으로 업로드할 수 있는 방안이 요구된다.

본 개시의 바람직한 실시예에 따르면, 통신 디바이스(15)는 EDR(11)로부터 EDR 데이터가 수신되면(혹은 EDR(11)의 기록을 트리거하는 이벤트의 발생에 응답하여), 상기 이벤트의 발생 시점에 근접하여 기록된 적어도 하나의 인터렉션 데이터(이하 "주요 인터렉션 데이터"로 지칭됨)를 취득할 수 있다. 예컨대, 통신 디바이스(15)는 DSSAD(12)에게 주요 인터렉션 데이터의 전달을 요청할 수 있다. 그 후 통신 디바이스(15)는 EDR 데이터와 함께 혹은 EDR 데이터의 전송에 후속하여 주요 인터렉션 데이터를 클라우드 스토리지 시스템(20)에 전송할 수 있다. 여기서, 주요 인터렉션 데이터는 이벤트 발생 시점 이전에 일정 기간 동안 기록된 최근 인터렉션 데이터일 수 있으며, 대안적으로, 이벤트 발생 시점 이전에 기록된 미리 정의된 개수의 최근 인터렉션 데이터일 수 있다.

클라우드 스토리지 시스템(20)은, 다수의 차량들로부터 EDR 데이터와 DSSAD 데이터를 수집 및 관리하는, 네트워크 상의 서버들로 구현되는, 데이터 관리 시스템이다.

클라우드 스토리지 시스템(20)은 다수의 차량들로부터 이벤트 리포트 메시지와 인터렉션 리포트 메시지를 수신할 수 있다. 클라우드 스토리지 시스템(20)은 차량으로부터 수신된 리포트 메시지들에 대해, 제3자가 관련된 차량이나 관련된 개인을 식별하거나 추적할 수 있게 하는 차량 식별 정보(VII)를 EDR/DSSAD 데이터로부터 분리하여, 차량 식별 정보(VII)와 EDR/DSSAD 데이터를 각각 상이한 데이터베이스들에 저장할 수 있다.

도 6을 참조하여 후술하는 바와 같이, 각 차량에서 기록된 EDR/DSSAD 데이터는, 제3자가 관련 차량을 식별하거나 추적할 수 있게 하는 차량 식별 정보(VII)로부터 분리된 채, 링크 데이터와 함께 네트워크 상의 데이터베이스들에 저장되고 관리된다. 링크 데이터는 VII 데이터베이스에 저장된 차량 식별 정보 및 솔트에 기초하여 암호학적으로 (재)생성될 수 있다. 따라서 VII 데이터베이스로부터 차량 식별 정보 혹은 솔트를 삭제하는 것에 의해, 차량 식별 정보와 관련된 EDR/DSSAD 데이터 사이의 연관성이 제거될 수 있다.

클라우드 스토리지 시스템(20)은, EDR/DSSAD 데이터를 이용하고자 하는 이용자(30)의 요청에 응답하여, 특정 차량이나 개인이 식별되지 않는 익명화된 EDR/DSSAD 데이터를 제공하거나 특정 차량이나 개인이 식별된 EDR/DSSAD 데이터를 제공할 수 있다. 이용자(30)는 EDR/DSSAD 데이터를 활용하고자 하는 차량 소유자, 운전자, 보험사, 정부기관, 연구자, 차량 제조사 등일 수 있다. 클라우드 스토리지 시스템(20)은, 법원 명령(court order), 수색 영장 및/또는 다른 적용 가능한 법률 및 규정에 의해 달리 승인되지 않는 한, 특정 차량이나 개인이 식별된 EDR/DSSAD 데이터에 대해, 관련 차량 보유자에 의해 허가된 조사자 혹은 다른 이용자에 한해 제공하여야 한다.

이러한 중앙화된 시스템은 차량의 데이터 레코더들로 하여금 저장 공간의 제약으로부터 벗어나게 할 수 있다. 예를 들어, 이벤트 데이터 레코더는 종래에 비해 더 많은 트리거 조건들을 사용하여 종래에 무시되었던 경미한 사고와 관련된 EDR 데이터들도 수집하도록 설계될 수 있으며, 이벤트의 사후 분석을 보다 용이하게 할 수 있는 더 다양한 데이터 엘리먼트들(예를 들어, 이벤트 전후에 얻어진 레이더/라이다 데이터, V2X 메시지 등)을 수집하도록 설계될 수 있다.

개인이나 기관은 중앙화된 시스템으로부터 관심 있는 EDR/DSSAD 데이터를 적시에 쉽게 얻을 수 있다. 또한, 신뢰할 수 있는 네트워크 상의 저장소에 저장된 EDR/DSSAD 데이터는 그 데이터의 무결성 보장이 요구되는 포렌식 조사에 유용할 수 있다. EDR 데이터와 DSSAD 데이터는 상호 보완적이며, 특히 DSSAD 데이터는 충돌 당시 차량을 제어하고 있던 주체를 식별하는 데 유용하다.

클라우드 스토리지 시스템(20)은 서비스 매니저(21), 규칙/정책 매니저(23), 저장소 코디네이터(25), 클라우드 인터페이스(27), 및 데이터 저장소(29)를 포함하도록 구현될 수 있다. 데이터 저장소(29)는 적어도 하나의 데이터 서버에 의해 구현될 수 있다.

서비스 매니저(21)는 차량들로부터 EDR/DSSAD 데이터를 수집 및 관리하고, 사용자에게 특정 차량이나 개인이 식별되지 않는 익명화된 EDR/DSSAD 데이터를 제공하거나 특정 차량이나 개인이 식별된 EDR/DSSAD 데이터를 제공하는 기능적 엔티티이다. 규칙/정책 매니저(23)는 데이터 저장소(29)에 저장된 사용자 프로파일들, 및 프라이버시 정책을 관리하는 기능적 엔티티이다. 저장소 코디네이터(25)는 EDR 데이터, DSSAD 데이터 및 VII 데이터를 데이터 저장소(29)의 데이터베이스들에 분리 저장하고, 데이터 저장소(29)의 데이터베이스들로부터 EDR 데이터, DSSAD 데이터 및 VII 데이터를 검색하는 기능을 수행하는 기능적 엔티티이다. 클라우드 인터페이스(27)는 클라우드 스토리지 시스템(20)의 게이트웨이(gateway)로써 동작하는 기능적 엔티티이다.

데이터 저장소(29)는 사용자 프로파일들, 프라이버시 정책, VII 데이터, EDR 데이터, 및 DSSAD 데이터를 기록한 데이터베이스들을 가진다. 사용자 프로파일은 클라우드 스토리지 시스템(20)에 가입한 개인들, 단체들, 혹은 기관들의 가입 정보를 포함한다. 프라이버시 정책은 각 차량의 EDR/DSSAD 데이터의 수집 및 관리 절차에 대해 적용되는 프라이버시 규칙들의 세트를 포함한다.

규칙/정책 매니저(23)는 차량 보유자로부터 자신의 차량로부터 수집되는 개인 데이터(VII/EDR/DSSAD 데이터)에 대한 프라이버시 옵션에 대한 설정을 수신하고, 수신된 프라이버시 옵션 설정에 따라 개인 데이터의 수집, 관리, 및 이용에 대해 적용할 프라이버시 규칙들의 세트(즉, 프라이버시 정책)를 생성할 수 있다.

이하, 도 4를 참조하여, 도 1에 도시된 차량 탑재 데이터 기록 시스템(10)일 수 있는 차량 시스템에 의해 차량 생성 데이터를 기록하고 업로드하는 방법을 설명한다.

차량 시스템은 제 1 데이터 레코더 및 제 2 데이터 레코더를 구비할 수 있다. 제 1 데이터 레코더는 자율주행차량용 데이터 스토리지 시스템(DSSAD)일 수 있으며, 제 2 데이터 레코더는 이벤트 데이터 레코더(EDR)일 수 있다.

차량 시스템은 주행하는 동안, 제 1 데이터 레코더를 이용하여, 차량의 자율주행 시스템과 운전자 사이에 발생한 타임스탬프된 상호작용들을 나타내는 복수의 인터렉션 데이터들을 기록한다(S410). 차량 시스템은, 복수의 인터렉션 데이터들을 미리 정의된 스케줄에 따라 원격 서버로 업로드한다(S420).

인터렉션 데이터는 상호작용의 유형을 나타내는 타임-스탬프된 데이터이다. 상호작용의 유형은 자율주행 시스템의 상태 변경, 자율주행 시스템에 의한 최소 위험 기동(MRM)의 개시 및 종료, 상기 운전자로의 주행 태스크의 제어 인계 등을 포함할 수 있다.

인터렉션 데이터는, 상호작용의 유형을 나타내는 타입 플래그가 정의되는 타입 필드, 상호작용이 발생한 원인을 나타내는 데이터가 정의되는 원인 필드, 상호작용이 발생한 날짜를 나타내는 데이터가 정의되는 날짜 필드, 및 상호작용이 발생한 시간을 나타내는 데이터가 정의되는 타임스탬프 필드를 포함하는, 미리 정의된 데이터 포맷으로 표현될 수 있다.

상호작용의 유형은 제 2 데이터 레코더의 기록을 트리거 하는 이벤트의 발생 및 제 2 데이터 레코더의 기록을 트리거 하지 못하는 경미한 이벤트의 발생을 더 포함할 수도 있다. 따라서 특정 인터렉션 데이터는 제 2 데이터 레코더의 기록을 트리거 하는 혹은 트리거 하지 못하는 이벤트의 발생 또는 발생 유형을 나타내는 데이터가 정의된 타입 필드를 가질 수도 있다.

차량 시스템은, 미리 정의된 이벤트의 발생에 응답하여, 제 2 데이터 레코더를 이용하여, 이벤트의 발생 전후의 소정 시간 동안의 차량 상태를 나타내는 이벤트 데이터를 기록한다(S430). 또한, 차량 시스템은, 이벤트의 발생 시점에 근접하여 저장된 적어도 하나의 인터렉션 데이터인 "주요 인터렉션 데이터"를 식별하고(S440), 식별된 주요 인터렉션 데이터를 이벤트 데이터와 함께 혹은 이벤트 데이터의 업로드에 후속하여 원격 서버로 업로드한다(S450). 포렌식 조사에서, 주요 인터렉션 데이터는 이벤트 발생 당시에 차량을 제어하고 있던 주체를 식별하는 데 이용될 수 있다.

도 5a 및 도 5b는 자동 차선 유지 시스템(ALKS)이 장착된 차량이 도로를 주행하는 동안 발생할 수 있는 예시적인 시나리오에서 클라우드 스토리지 시스템(20)으로 업로드되는 차량 생성 데이터를 예시한다.

자동 차선 유지 시스템(ALKS)은 스마트 크루즈 컨트롤과 유사한 기능으로, 고속도로 혹은 이와 유사한 도로 환경에서 차량의 횡방향 및 종방향의 움직임을 제어하여 차량으로 하여금 운전자의 개입 없이 차선을 유지하며 주행하게 한다. 즉, ALKS가 작동하는 동안 운전자는 더이상 운전대를 잡거나 주의를 기울일 필요가 없다. 그러나 상황에 따라 ALKS가 전환(transition demand)을 요청하는 경우 운전자가 정해진 시간 내에 제어권을 되찾을 수 있도록 조치를 취해야 한다. 따라서 안전한 제어권 전환을 위해 ALKS는 운전자의 행동을 모니터링하여야 한다.

도 5a에 예시된 시나리오에서 (e) 시점에 EDR(11)의 기록을 트리거하는 이벤트(즉, 충돌 사고)가 발생했다. 차량은 ALKS 활성화 시점인 (a)부터 주행 동안에 발생한 ALKS와 운전자 상호간의 인터렉션들에 관한 DSSAD 데이터를 클라우드 스토리지 시스템(20)으로 업로드했다. 또한 차량은 (e) 시점에 발생한 이벤트에 대한 EDR 데이터를 클라우드 스토리지 시스템(20)으로 업로드했다. 이러한 DSSAD 데이터와 EDR 데이터에 기초한 분석은 다음을 보여준다.

운전자가 ALKS를 10:19:10에 활성화했기 때문에 ALKS가 차량 제어권을 넘겨 받았다. 1 분 50 초 후 날씨가 너무 악화되어 ALKS가 운전자에게 차량의 제어권 전환을 요청했지만 운전자는 응답하지 않았다. ALKS는 10:22:00에 MRM을 자동으로 개시했다. 그리고 충돌이 10:22:30에 발생했다.

이와 같이 EDR/DSSAD 데이터 분석을 통해 사고 발생 당시의 상황을 확인할 수 있다. 특히, 클라우드 기반 데이터 레코더 시스템은 사전 정의된 데이터 전송 정책에 따라 EDR/DSSAD 데이터를 클라우드 스토리지 시스템(20)로 전달하여 사고 후 차량에 대한 물리적 접근 및 정보 수집을 위한 종래의 수고를 줄여준다.

도 5b에 예시된 시나리오에서 (c) 시점에 EDR(11)의 기록을 트리거할 정도에 이르지는 못한 자전거와의 가벼운 충돌 사고가 발생했다. 차량은 ALKS의 활성화 시점인 (a)부터 주행 동안에 발생한 ALKS와 운전자 상호간의 인터렉션들에 관한 DSSAD 데이터를 클라우드 스토리지 시스템(20)으로 업로드했다. 이러한 DSSAD 데이터에 기초한 분석은 다음과 같이 시계열적인 상황을 재구성 가능하게 한다.

ALKS가 07:10:00에 운전자에 의해 활성화되었다. 15 초 후에, 운전자가 스티어링을 직접 조작하는 오버라이드(override)의 발생에 의해, ALKS가 비활성화 되었다. 차량과 자전거 간의 충돌이 07:10:16에 발생했다.

이 시나리오에서, 충돌이 차량에 미치는 영향이 미미하여 EDR 트리거 조건이 충족되지 않았고 따라서 관련된 EDR 데이터가 수집되지 않았다. 그럼에도 불구하고 DSSAD 데이터가 클라우드 스토리지 시스템(20)에 업로드되어 있기 때문에 상세한 사고 상황이 쉽게 시뮬레이션되고 분석될 수 있다.

도 6을 참조하여, 클라우드 스토리지 시스템(20)이 차량으로부터 수신된 리포트 메시지들에 포함된 차량 식별 정보(VII), EDR 데이터, 및 DSSAD 데이터를 데이터베이스들에 분리 저장하는 예시적인 방법이 설명된다.

클라우드 인터페이스(27)는 차량과 보안 채널을 통해 이벤트 리포트 메시지 혹은 인터렉션 리포트 메시지를 수신할 수 있다. 각 리포트 메시지는 EDR 데이터와 차량 식별 정보(VII)를 포함하거나 DSSAD 데이터와 차량 식별 정보(VII)를 포함할 수 있다.

저장소 코디네이터(25)는, 서로 상이한 데이터베이스에 저장될 EDR/DSSAD 데이터와 차량 식별 정보(VII) 사이의 연관성을 유지하기 위한 링크 데이터를 생성할 수 있다. 링크 데이터는 차량 식별 정보와 무작위로 생성한 값(이하 "솔트(salt)"로 지칭됨)에 적어도 부분적으로 기초하여 생성될 수 있다. 그러나 링크 데이터는 그 자체로서 차량이나 개인을 식별하게 하는 어떠한 의미 있는 정보도 포함하지 않는다.

저장소 코디네이터(25)는, 각 리포트 메시지에 포함된 정보들을 2개의 데이터 셋으로 분할할 수 있다. 제 1 데이터 셋은 EDR/DSSAD 데이터가 포함하지만 차량 식별 정보(VII)를 포함하지 않으며, 제 2 데이터 셋은 차량 식별 정보(VII)를 포함하지만 EDR/DSSAD 데이터를 포함하지 않는다. 즉, 관련된 차량이나 개인을 식별하거나 추적할 수 있게 하는 차량 식별 번호(VIN) 또는 임의의 다른 고유 데이터가 EDR/DSSAD 데이터로부터 분리된다.

저장소 코디네이터(25)는 링크 데이터가 추가된 제 1 데이터 셋(즉, 링크 데이터와 EDR/DSSAD 데이터)를 EDR/DSSAD 데이터베이스들에 저장할 수 있다. 저장소 코디네이터(25)는 솔트가 추가된 제 2 데이터 셋(즉, 솔트와 차량 식별 정보)를 VII 데이터베이스에 저장할 수 있다.

링크 데이터는 차량 식별 정보에 적어도 부분적으로 기초하여 생성된 가명 식별자(pseudonymous identifier)일 수 있다. 일부 실시예에서, 가명 식별자는 차량 식별 정보(VII)에 대해 단방향 해시 함수(one-way hash function)을 적용하여 생성될 수 있다. 단방향 해시 함수는 생성된 가명 식별자로부터 차량 식별 정보 혹은 다른 유용한 정보를 추출하는 것을 불가능하게 한다. 바람직하게는, 가명 식별자는 차량 식별 정보와 솔트(salt)의 연접(concatenation)에 대해 단방향 해시 함수를 적용하여 생성될 수 있다. 가명 식별자의 생성에 사용된 솔트는 관련된 차량 식별 정보와 함께 VII 데이터베이스에 저장될 수 있다. 여기서, 단방향 해시 함수가 일 예로 설명되었으나, 가명 식별자를 생성하는 다른 유형의 암호학적 알고리즘의 사용될 수도 있다.

일부 실시예에서, 링크 데이터는 차량 식별 번호(vehicle identification number: VIN)의 비식별화된 버전일 수도 있다. 전술한 바와 같이, 차량 식별 번호(VIN)은 차량 제조사가 개별 차량에 할당하는 숫자와 문자로 구성된 17 자리(17 digits)의 고유 식별자이다. 차량 식별 번호(VIN)의 비식별화된 버전은 적어도 생산 일련 번호를 포함한 일부 디지트가 암호학적으로 비식별화된 것일 수 있다.

이하에 설명하는 바와 같이, 차량 식별 번호(VIN)의 각 자리는 특정 목적을 가지고 있다.

세계 제조업체 식별자(World Manufacturer identifier) 또는 WMI 코드로 알려진, VIN의 처음 세 자리는 차량을 제조한 회사와 위치에 대한 정보를 제공한다.

VIN의 첫 번째 자리는 차량이 제조된 국가를 나타낸다. 이 자리는 문자 또는 숫자일 수 있다. 예를 들어, 첫 번째 자리인 "1", "4"또는 "5"는 원산지를 미국으로 식별한다. 캐나다는 "2", "3"은 멕시코, "6"은 호주, "A"는 남아프리카, "J"는 일본, "L"은 중국, "K"는 한국으로 식별된다.

VIN의 두 번째 자리는 차량 제조업체를 나타내지만 제조업체를 정확하게 디코딩하려면 첫 번째 자리(원산지 국가를 나타냄)와 쌍을 이루어야 한다. 예를 들어, "1C"로 시작하는 VIN은 미국에서 Chrysler에 의해 제조된 차량을 식별하는 반면, "AC"로 시작하는 VIN은 남아프리카에서 Hyundai에 의해 제조된 차량을 식별한다.

세 번째 문자는 차량 유형(vehicle type) 또는 제조 부문(manufacturing division)을 나타낸다. "WV1"로 시작하는 VIN을 고려하면, "W"는 독일을 제조 국가로 나타내고 "V"는 제조업체로서 Volkswagen을 가리 킨다. "1"은 Volkswagen의 상용차(commercial vehicle)를 의미한다. Volkswagen의 버스 또는 밴의 VIN은 "WV2"로 시작하고 Volkswagen 트럭의 VIN은 "WV3"으로 시작한다.

VIN의 네 번째부터 여덟 번째 자리들은 차량 설명자 섹션(Vehicle Descriptor Section: VDS)을 구성하며, 차체 스타일, 엔진 유형, 모델, 시리즈 등과 같은 차량 특징들(vehicle features)을 나타낸다. 각 제조업체는 자신들의 방식으로 이 5 자리 필드를 사용한다.

아홉 번째 자리는 유효하지 않은 VIN을 식별하기 위한 VIN의 점검 숫자이다. 이 숫자는 처음 8자리와 마지막 8자리에 대한 수치 값들(numeric values)을 사용하여 수학 공식에 의해 결정된다.

VIN의 열 번째부터 열일곱 번째 자리는 차량 식별자 섹션(Vehicle Identifier Section: VIS)으로 알려져 있다. 이들은 특정 차량에 대해 훨씬 더 자세한 설명을 제공한다.

열 번째 문자는 차량의 모델 연도를 나타낸다. B에서 Y까지의 문자는 1981 년에서 2000년 사이의 모델에 해당한다. VIN은 I, O, Q, U 또는 Z를 사용하지 않는다. 2001년부터 2009년 사이에는 문자 대신 1에서 9까지의 숫자가 사용되었다. 2010년에 A에서 시작하여 알파벳이 2030년까지 계속될 것이다. 2000년 이후 모델 연도는 다음과 같다: Y = 2000, 1 = 2001, 2 = 2002, 3 = 2003, ... , 9 = 2009, A = 2010, B = '11, C = 2012, ... , K = 2019, L = 2020.

열한 번째 자리는 차량이 조립된 제조 공장을 나타낸다. 각 차량 제조사는 자체 공장 코드 세트를 가진다. 마지막 여섯 자리(열두 번째부터 열일곱 번째 자리)는 차량의 생산 일련번호(serial number)를 나타낸다.

저장소 코디네이터(25)는 차량 식별 번호(VIN)을 파싱하여 일련 번호(serial number)를 추출하고, 솔트와 일련 번호(serial number)의 연접(concatenation)에 대해 단방향 해시함수를 적용하여 해시값을 생성할 수 있다. 저장소 코디네이터(25)는 VIN의 일련 번호를 생성된 해시값으로 대체하여, 차량 식별 번호(VIN)의 비식별화된 버전을 생성할 수 있다. 즉, 차량 식별 번호(VIN)의 비식별화된 버전은 마스크된(masked) 생산 일련 번호를 가질 수 있다.

도 8은 차량 식별 번호(VIN)의 비식별화된 버전의 일 예를 보인다. 차량 식별 번호(VIN)의 비식별화된 버전에서, 생산 일련 번호를 제외한 나머지 자리들(digits)은 평문 상태이므로, 다수의 차량들로부터 수집된 EDR 데이터에 대한 의미 있는 통계 분석을 가능하게 한다. 예컨대, '북미에서 생산된 2018년형 아반떼 모델'의 차량들에서 생성된 EDR 데이터를 분석하는 것이 가능하다.

한편, 극소수만 생산되는 모델의 경우에는, 모델, 시리즈, 차량의 모델 연도 와 같은 정보가 관련된 차량이나 소유자를 추적할 수 있게 할 수 있다. 따라서, 이와 같은 모델에 대해서는, 차량 식별자 섹션(VIS)인 차량 식별 번호(VIN)의 열 번째부터 열일곱 번째 자리와 차량 설명자 섹션(VDS)인 차량 식별 번호(VIN)의 네 번째부터 여덟 번째 자리들 중 적어도 일부에 대해서도 생산 일련 번호에 대해 수행된 비식별화 처리와 유사한 처리가 수행될 수도 있다.

링크 데이터(특히, 가명 식별자) 그 자체는 차량이나 개인을 식별하게 하는 어떠한 의미 있는 정보도 포함하고 있지 않으나, 링크 데이터는 VII 데이터베이스에 저장된 차량 식별 정보 및 솔트에 기초하여 암호학적으로 재구성될 수 있다. 따라서 VII 데이터베이스로부터 EDR/DSSAD 데이터베이스들 방향으로 차량 식별 정보(VII)와 EDR/DSSAD 데이터의 관련성을 추적할 수 있으나, 그 역방향으로는 추적이 불가능하다. 일부 구현예에서, EDR/DSSAD 데이터베이스들의 운용자가 VII 데이터베이스를 포함한 클라우드 스토리지 시스템(20)의 다른 기능요소들의 운용자로부터 독립적인 서비스 사업자일 수 있음에 주목한다. 이러한 구현예에서, VII 데이터베이스가 안전하게 관리되는 한, 그러한 독립적인 서비스 사업자는 차량 보유자의 프라이버시에 대한 위험이 거의 없이 EDR/DSSAD 데이터를 이용하거나 배포할 수 있다.

또한, VII 데이터베이스로부터 링크 데이터를 재구성하기 위해 사용되는 차량 식별 정보 또는 솔트를 삭제하는 것에 의해, 차량 식별 정보와 관련된 EDR/DSSAD 데이터 사이의 연관성이 제거될 수도 있다. 저장소 코디네이터(25)는 차량 식별 정보 및 EDE/DSSAD 데이터 사이의 연관성을 제거하는 것이 요구되는 경우에, EDR/DSSAD 데이터를 관련된 데이터베이스에서 그대로 보유하되, VII 데이터베이스로부터 차량 식별 정보 또는 솔트를 삭제할 수 있다. 이는 VII 데이터베이스와 EDR/DSSAD 데이터베이스들의 운영 주체가 서로 상이할 경우에 유용할 수도 있다.

도 9를 참조하여, 클라우드 스토리지 시스템(20)이 특정 차량에 대한 EDR/DSSAD 데이터를 조회하고 제공하는 예시적인 방법이 설명된다.

보안 채널을 통해 특정 차량에 대한 EDR/DSSAD 데이터를 요청하는 데이터 요청 메시지를 수신하면, 클라우드 인터페이스(27)는 요청자가 데이터 주체인 차량 보유자이거나 정당한 권한을 가진 제3자인지 여부를 인증할 수 있다. 데이터 요청 메시지는 인증 정보와 특정 차량의 VII를 포함할 수 있다. 인증이 성공하면 저장소 코디네이터(25)는 VII 데이터베이스를 조회하여 차량의 VII와 함께 저장된 솔트를 획득할 수 있다. 저장소 코디네이터(25)는 VII와 솔트로부터 링크 데이터를 재구성할 수 있다. 저장소 코디네이터(25)는, 링크 데이터를 이용하여, EDR 데이터베이스 및 DSSAD 데이터베이스로부터 각각 EDR 데이터 및 DSSAD 데이터를 검색할 수 있다. 저장소 코디네이터는 데이터 요청 및 그에 따른 조회 태스크에 대한 로그를 기록하고 요청자에게 발견된 EDR 데이터 및 DSSAD 데이터를 응답할 수 있다.

GDPR과 같은 개인정보보호와 관련된 대부분의 규정은 데이터 주체가 데이터의 이용, 관리, 및 처분을 제어할 수 있는 권리를 보유하는 것을 보장한다. 이를 위해, 클라우드 스토리지 시스템(20)은 각 차량으로부터 EDR/DSSAD 데이터를 수집 및 관리하는 절차에 대해 적용할 프라이버시 규칙들의 세트를 포함하는 프라이버시 정책을 수립할 수 있다.

규칙/정책 매니저(23)는 차량 보유자가 EDR/DSSAD 데이터에 대해 적용할 하나 이상의 프라이버시 옵션을 선택할 수 있는 그래픽 유저 인터페이스를 제공하는 웹서버를 운용할 수 있다. 클라우드 스토리지 시스템(20)의 규칙/정책 매니저(23)는 차량 보유자로부터 그 차량의 EDR/DSSAD 데이터에 대한 프라이버시 옵션의 선택을 수신할 수 있다. 프라이버시 옵션의 선택은 차량 보유자가 클라우드 스토리지 시스템(20)에 가입하거나 자신의 차량을 등록할 때 혹은 등록 이후의 어느 시점에 이루어질 수도 있다. 선택 가능한 예시적인 프라이버시 옵션들이 나열된다.

- 옵트-아웃(opt-out): 차량 보유자가 자신의 차량으로부터 수집되는 것이 불허되는 하나 이상의 데이터 엘리먼트들을 특정할 수 있는 옵션

- 옵트-인(opt-in): 차량 보유자가 자신의 차량으로부터 수집되는 것이 허용되는 하나 이상의 데이터 엘리먼트들을 특정할 수 있는 옵션

- 제한된 사용(restricted use): 차량 보유자가 자신의 차량으로부터 수집된 데이터가 사용되는 것이 허용되는 목적과 기간을 제한할 수 있는 옵션

- 비식별화(de-identification): 차량 보유자가 자신의 차량으로부터 데이터가 수집되는 것이 수집되는 것이 허용되지만, 차량이나 개인과의 연관 관계가 제거된 상태로 제3자에 의해 사용되는 것을 허용하는 옵션

규칙/정책 매니저(23)는 차량 보유자에 의해 이루어진 선택들(혹은 프라이버시 옵션)에 따라 상기 차량의 EDR/DSSAD 데이터에 대해 적용할 프라이버시 규칙들의 세트를 생성하여, 프라이버시 정책 관련 데이터베이스에 저장할 수 있다. 프라이버시 규칙들의 세트는 Extensible Markup Language(XML)와 같은 마크업 언어(markup language)로 정의될 수 있다.

클라우드 스토리지 시스템(20)에 가입한 이후에도, 차량 보유자는 클라우드 스토리지 시스템에 개인 데이터(VII/EDR/DSSAD 데이터)의 삭제를 요청할 권리를 가지며, 그 요청에 응답하여, 클라우드 스토리지 시스템(20)은 과도한 지체없이 개인 데이터를 삭제할 의무를 부담한다.

도 10을 참조하여, 클라우드 스토리지 시스템(20)이 차량 보유자의 요청에 따라 VII/EDR/DSSAD 데이터를 삭제하는 예시적인 방법이 설명된다.

보안 채널을 통해 차량 생성 데이터의 삭제할 것을 요구하는 삭제 요청 메시지를 수신하면, 클라우드 인터페이스(27)는 요청자가 데이터 주체인 차량 보유자인지 여부를 인증할 수 있다. 삭제 요청 메시지는 인증 정보와 관련된 차량의 VII를 포함할 수 있다. 인증이 성공하면 저장소 코디네이터(25)는 VII 데이터베이스를 조회하여 차량의 VII와 함께 저장된 솔트를 획득할 수 있다. 저장소 코디네이터(25)는 VII와 솔트로부터 링크 데이터를 재구성할 수 있다. 저장소 코디네이터(25)는, 링크 데이터를 이용하여 EDR 데이터베이스 및 DSSAD 데이터베이스로부터 각각 EDR 데이터 및 DSSAD 데이터를 검색하여, 링크 데이터에 대응되는 EDR/DSSAD 데이터를 삭제할 수 있다. 저장소 코디네이터는 삭제 요청 및 그에 따른 삭제 태스크에 대한 로그를 기록하고 요청자에게 그 수행 결과를 응답할 수 있다.

차량 보유자의 삭제 요청은 VII와 EDR/DSSAD 데이터 중에서 삭제하고자 하는 데이터에 대한 선택을 더 포함할 수도 있다. 차량 보유자의 선택에 따라, 클라우드 스토리지 시스템(20)은 VII와 EDR/DSSAD 데이터를 데이터베이스들로부터 선택적으로 삭제할 수도 있다. VII만이 삭제된 경우에, 클라우드 스토리지 시스템(20)은 관련된 EDR/DSSAD 데이터를 보다 완화된 보안 레벨로 관리할 수도 있다. 예를 들어, 클라우드 스토리지 시스템(20)은, 차량 보유자가 설정한 사용 목적이나 기간에 대한 제약 없이, VII가 삭제된 EDR/DSSAD 데이터를 보유하고, 연구목적으로 사용하거나 제3자에게 제공할 수도 있다. 즉, VII가 삭제된 EDR/DSSAD 데이터에 대한 이용 권한의 보안 레벨을 완화할 수 있다.

일부 실시예에서, 차량 보유자가 설정한 유효 기간이 만료되는 경우에, 클라우드 스토리지 시스템(20)은, EDR/DSSAD 데이터베이스들에 관련된 EDR/DSSAD 데이터를 그대로 유지하되, VII 데이터베이스로부터 관련된 차량 식별 정보(VII) 또는 솔트를 삭제할 수도 있다. 따라서, 차량 보유자가 설정한 유효 기간이 만료된 후에도, EDR/DSSAD 데이터는 VII 데이터와의 연관성을 제거한 상태로 통계적인 분석 등에 이용될 수도 있다. 그러한 경우에도, 차량 보유자의 명시적인 삭제 요청을 수신하면, 클라우드 스토리지 시스템(20)은 EDR/DSSAD 데이터마저도 삭제하여야 한다. 다른 일부 실시예에서, 차량 보유자가 설정한 사용 기간이 만료되는 경우에, 클라우드 스토리지 시스템은, 관련된 VII 데이터를 그대로 보유하되, 사용 기간이 만료된 EDR/DSSAD 데이터만을 선택적으로 삭제할 수도 있다.

전술한 예시적인 실시예들은 많은 다른 방식으로 구현될 수 있다는 것을 이해해야 한다. 일부 구현들에서, 본 개시에서 설명된 다양한 방법들, 장치들, 서버들, (서브) 시스템들은 프로세서, 메모리, 디스크 또는 다른 대용량 스토리지, 통신 인터페이스, 입/출력(I/O) 디바이스들 및 기타 주변 장치들을 가지는 적어도 하나의 범용 컴퓨터에 의해 구현될 수도 있다. 범용 컴퓨터는 소프트웨어 명령어들을 프로세서에 로딩한 다음, 본 개시에 설명된 기능들을 수행하기 위해 명령들의 실행함으로써 상술한 방법을 실행하는 장치, 서버, 시스템 등으로 기능할 수 있다.

한편, 본 개시에서 설명된 다양한 방법들은 하나 이상의 프로세서에 의해 판독되고 실행될 수 있는 비일시적 기록매체에 저장된 명령어들로 구현될 수도 있다. 비일시적 기록매체는, 예를 들어, 컴퓨터 시스템에 의하여 판독가능한 형태로 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 예를 들어, 비일시적 기록매체는 EPROM(erasable programmable read only memory), EEPROM(Electrically Erasable Programmable Read-Only Memory), 플래시 드라이브, 광학 드라이브, 자기 하드 드라이브, 솔리드 스테이트 드라이브(SSD)와 같은 저장매체를 포함한다.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

[CROSS-REFERENCE TO RELATED APPLICATION]

본 특허출원은, 본 명세서에 그 전체가 참고로서 포함되는, 2020년 07월 21일 한국에 출원한 특허출원번호 제10-2020-0090449호와 2021년 05월 10일 한국에 출원한 특허출원번호 제10-2021-0060237호에 대해 우선권을 주장한다.

Claims

차량의 데이터 기록 시스템으로서,

상기 차량과 원격 서버 사이의 통신을 가능하게 하는 통신 디바이스;

주행하는 동안 상기 차량의 자율주행 시스템과 운전자 사이에 발생한 타임스탬프된 상호작용들을 나타내는 복수의 인터렉션 데이터들을 기록하기 위한 제 1 데이터 레코더; 및

미리 정의된 이벤트의 발생 전후의 소정 시간 동안의 차량 상태를 나타내는 이벤트 데이터를 기록하기 위한 제 2 데이터 레코더를 포함하고,

상기 통신 디바이스는,

복수의 인터렉션 데이터들을 미리 정의된 스케줄에 따라 상기 원격 서버로 업로드하되, 상기 이벤트의 발생에 응답하여, 상기 이벤트의 발생 시점에 근접하여 기록된 적어도 하나의 인터렉션 데이터인 주요 인터렉션 데이터를, 상기 이벤트 데이터와 함께 혹은 상기 이벤트 데이터에 후속하여 상기 원격 서버로 업로드하도록 구성된 것을 특징으로 하는, 데이터 기록 시스템.
제 1 항에 있어서,

상기 주요 인터렉션 데이터는,

상기 이벤트 발생 당시에 상기 차량을 제어하고 있던 주체를 식별하는 데 이용되는 것을 특징으로 하는, 데이터 기록 시스템.
제 1 항에 있어서,

상기 복수의 인터렉션 데이터 각각은,

상기 상호작용의 유형을 나타내는 타임-스탬프된 데이터인 것을 특징으로 하는, 데이터 기록 시스템.
제 1 항에 있어서,

상기 상호작용의 유형은,

자율주행 시스템의 상태 변경, 자율주행 시스템에 의한 최소 위험 기동(Minimal Risk Maneuver; MRM)의 개시 및 종료, 상기 운전자로의 주행 태스크의 제어 인계를 포함하는 것을 특징으로 하는, 데이터 기록 시스템.
제 4 항에 있어서,

상기 상호작용의 유형은,

상기 제 1 데이터 레코더의 기록을 트리거 하는 이벤트의 발생 및 상기 제 1 데이터 레코더의 기록을 트리거 하지 못하는 경미한 이벤트의 발생을 더 포함하는 것을 특징으로 하는, 데이터 기록 시스템.
제 1 항에 있어서,

상기 복수의 인터렉션 데이터는,

상기 상호작용의 유형을 나타내는 타입 플래그가 정의되는 타입 필드, 상기 상호작용이 발생한 원인을 나타내는 데이터가 정의되는 원인 필드, 상기 상호작용이 발생한 날짜를 나타내는 데이터가 정의되는 날짜 필드, 및 상기 상호작용이 발생한 시간을 나타내는 데이터가 정의되는 타임스탬프 필드를 포함하는 데이터 포맷으로 표현된 것을 특징으로 하는, 데이터 기록 시스템.
제 1 데이터 레코더 및 제 2 데이터 레코더를 구비한 차량의 데이터 기록 시스템에 의해 수행되는 방법으로서,

제 1 데이터 레코더에 의해, 주행하는 동안 상기 차량의 자율주행 시스템과 운전자 사이에 발생한 타임스탬프된 상호작용들을 나타내는 복수의 인터렉션 데이터들을 기록하는 단계;

상기 복수의 인터렉션 데이터들을 미리 정의된 스케줄에 따라 원격 서버로 업로드하는 단계;

미리 정의된 이벤트의 발생에 응답하여, 제 2 데이터 레코더에 의해, 상기 미리 정의된 이벤트의 발생 전후의 소정 시간 동안의 차량 상태를 나타내는 이벤트 데이터를 기록하는 단계;

상기 이벤트의 발생 시점에 근접하여 기록된 적어도 하나의 인터렉션 데이터인 주요 인터렉션 데이터를 식별하는 단계; 및

상기 주요 인터렉션 데이터를 상기 이벤트 데이터와 함께 혹은 상기 이벤트 데이터에 후속하여 상기 원격 서버로 업로드하는 단계

를 포함하는, 방법.
제 7 항에 있어서,

상기 주요 인터렉션 데이터는,

상기 이벤트 발생 당시에 상기 차량을 제어하고 있던 주체를 식별하는 데 이용되는 것을 특징으로 하는, 방법.
제 7 항에 있어서,

상기 복수의 인터렉션 데이터 각각은,

상기 상호작용의 유형을 나타내는 타임-스탬프된 데이터인 것을 특징으로 하는, 방법.
제 7 항에 있어서,

상기 상호작용의 유형은,

자율주행 시스템의 상태 변경, 자율주행 시스템에 의한 최소 위험 기동(Minimal Risk Maneuver; MRM)의 개시 및 종료, 상기 운전자로의 주행 태스크의 제어 인계를 포함하는 것을 특징으로 하는, 방법.
제 10 항에 있어서,

상기 상호작용의 유형은,

상기 제 1 데이터 레코더의 기록을 트리거 하는 이벤트의 발생 및 상기 제 1 데이터 레코더의 기록을 트리거 하지 못하는 경미한 이벤트의 발생을 더 포함하는 것을 특징으로 하는, 방법.
제 7 항에 있어서,

상기 복수의 인터렉션 데이터는,

상기 상호작용의 유형을 나타내는 타입 플래그가 정의되는 타입 필드, 상기 상호작용이 발생한 원인을 나타내는 데이터가 정의되는 원인 필드, 상기 상호작용이 발생한 날짜를 나타내는 데이터가 정의되는 날짜 필드, 및 상기 상호작용이 발생한 시간을 나타내는 데이터가 정의되는 타임스탬프 필드를 포함하는 데이터 포맷으로 표현된 것을 특징으로 하는, 방법.