차량용 전기 및 전자 시스템의 기술적 복잡성이 증가하고 있습니다. 위험 없는 작동을 보장하는 핵심 요소로서 신뢰성을 달성하고 있는 것은 점점 더 어려워지고 있습니다. ISO26262는 도로 차량의 기능적 안전을 위해 차량 시스템의 하드웨어 아키텍처와 관련하여 높은 신뢰성을 달성해야 하며, 하드웨어 소자는 ISO 26262 Part 5의 요구사항에 따라 정량적인 분석을 통해 하드웨어 우발 고장으로 인한 안전 목표 위배 여부를 평가해 하고, 이를 만족해야 합니다.
하드웨어의 각각의 엘리먼트가 안전 목표와 그에 따른 ASIL 등급을 충족하는 두 가지 방안 PMHF와 EEC를 소개함으로 엘리먼트의 중요성과 고장률 등급 기준에 대해 알아보고, 국내/해외 OEM에 유연한 대응을 돕고자 기술하게 되었습니다.
본 레터는 총 두번에 걸쳐 하드웨어 아키텍처의 개념 및 개발 중에 충분한 논거와 실무 적용 사례를 통해 대응 방안을 제시하고자 합니다.
ISO26262 is a quantitative technique for assessing safety mechanisms and residual risks of violations. (2 of 2)
안전목표 위배에 대한 개별 원인 평가 (ECC : Evaluation Each Cause of safety goal violation)
각 단일 지점 오류는 오류 발생 기준을 사용하여 평가됩니다. 각 잔류 오류는 오류 발생과 안전 메커니즘의 효율성을 결합한 기준을 사용하여 평가됩니다. FRC의 기준을 달성하지 못한다면 만족할 때까지 DC(Safety Mechanism)을 추가하여, 설계 변경이 필요합니다.
Figure 3에 설명된 평가 절차는 하드웨어 부품 (Resistor, Capacitor, CPU, etc.) 소자 레벨에 적용됩니다
- 두 기법 모두 단일점 결함(SPF), 잔존 결함, 이중점(DPF) 결함으로 인한 안전 목표 위배의 잔존 리스크를 평가함
- 안전 개념과 관련된 것으로 판단된 경우, 이중점(DPF) 결함 이상의 다중점(MPF) 결함 역시 고려될 수 있음.
- 이중점(DPF) 결함의 경우, 안전 메커니즘의 커버리지와 노출 지속 시간이 고려됨.
- 잔존(RF) 및 이중점(DPF) 결함에 대한 안전 메커니즘의 커버리지가 고려되며, 이중점(DPF) 결함에 대한 노출 기간 역시 고려됨.
- 선택된 방법은 하드웨어 아키텍처 설계 및 상세 설계단계에서 반복적으로 적용 할 수 있음
이중점 고장 결함 분석 흐름도는 첫째로 타당성에 관하여 평가하고, 고장을 일으키는 두 결함이 충분한 커버리지를 가지고 충분히 짧은 시간 내에 검출되거나 인지된다며 이중점 결함은 타당하지 않다고 간주합니다.
이중 지점 오류가 그럴듯하면 오류 발생과 안전 메커니즘의 적용 범위를 결합한 기준을 사용하여 이를 유발하는 오류를 평가합니다.
ISO26262-5, 9.4.3.2 ASIL (B), C, D에 적용. 고려된 안전 목표를 위배하는 각각의 단일점 결함, 잔존 결함, 이중점 고장에 대한 개별 평가는 하드웨어 소자 수준에서 실행되어 하며, 평가는 각 결함이 요구사항에 대하여 용인할 수 있다는 증거를 제공해야 합니다.
PMHF vs EEC 합격 / 불합격 평가 기준
※ Note : 전용 수단 (DM : Dedicated Measures)이란 ?
- 하드웨어 소자 할증(over design)과 같은 설계 특성 또는 인쇄된 회로 보드상의 접점의 물리적 분리 (마진 설계 포함)
- 고장 형태의 발생 리스크를 감소시키기 위한 도입 재료에 대한 특별 샘플 시험
- 번인(burn-in) 시험, 통제 계획의 일부 로서의 전용 통제 세트. 안전 관련 특별 특성의 할당
※ Note : 고장률 등급 (FRC : Failure Rate Class)이란 ?
- 고장률 등급 1, 2, 3 고장 발생(Occurrence) Rate를 다루기 위해 도입
- 높은 품질을 가졌다는 것은 고장율이 낮다는 것을 뜻함.
- 고장률 등급 할당은 안전 메커니즘 효과를 고려하지 않은 하드웨어 소자 고장률에 기반함.
시스템 수준에서 아키텍처 메트릭 확인
아래는 Head Lamp Lighting System을 예로 들어 관련 구성 제어기 Body Control ECU와 Integrated Central ECU에 대해 계산된 아키텍처 메트릭을 기반으로 시스템 수준에서 아키텍처 메트릭의 검증을 달성할 수 있는 방법을 설명합니다.
위 표는 PMHF와 EEC 두 가지 방법을 결합할 수 있는 방법을 제시하고 있으며, ASIL B의 Safety Goal을 가지게 될 경우, SPFM 90% 이상, LFM 60% 이상 값을 가져야 하나, Body Control ECU는 SPFM이 88%로 90% 이상이 되지 않으므로, FRC로 계산했으며, Integrated Central ECU의 경우는 SPFM과 LFM이 둘 다 만족됨으로 PMHF로 계산하였다.
Conclusions
하드웨어 아키텍처 메트릭의 주요 목적은 최종적으로 단일 지점 결함 메트릭 및 잠재 지점 결함 메트릭을 의미하는 아키텍처 메트릭의 대상 값이 고려된 각 안전 목표에 대해 시스템 수준에서 충족되는지 확인하는 것입니다.
하드웨어 부품은 정량적 요구사항에 대해 정량적인 분석으로 증명해야 하며, 정량적인 분석은 PMHF와 EEC는 ASIL D, ASIL C 반드시 요구되며, ASIL B는 권고사항 입니다.
PMHF는 모든 안전 관련 결함에 대응하는 안전 매커니즘의 전체 합이며, FIT 단위는 확률로 계산할 수 있고 모든 안전 목표 ASIL에 종속됩니다.
EEC는 각 하드웨어 부품의 개별 평가와 잔존 결함(RF), 단일점 결함(SPF), 및 이중점 결함(DPF)과 관련하여 고려된 안전 목표 위반에 대한 기여도를 기반으로 평가합니다.
PMHF와 EEC 두 가지 방법 모두 단일 결함(SPF), 잔존 결함(RF), 이중점 결함(DPF)으로 인한 안전 목표 위반의 잔존 결함을 평가합니다. 안전 메커니즘의 적용 범위는 잔존 및 이중점 결함에 대해 고려합니다.
PMHF와 EEC 중 선택한 방법은 하드웨어 아키텍처 설계와 하드웨어 설계과정에서 반복적으로 기준에 충족할 때까지 적용될 수 있습니다.