차량용 전기 및 전자 시스템의 기술적 복잡성이 증가하고 있습니다. 위험 없는 작동을 보장하는 핵심 요소로서 신뢰성을 달성하고 있는 것은 점점 더 어려워지고 있습니다. ISO26262는 도로 차량의 기능적 안전을 위해 차량 시스템의 하드웨어 아키텍처와 관련하여 높은 신뢰성을 달성해야 하며, 하드웨어 소자는 ISO 26262 Part 5의 요구사항에 따라 정량적인 분석을 통해 하드웨어 우발 고장으로 인한 안전 목표 위배 여부를 평가해 하고, 이를 만족해야 합니다.
하드웨어의 각각의 엘리먼트가 안전 목표와 그에 따른 ASIL 등급을 충족하는 두가지 방안 PMHF와 EEC를 소개함으로 엘리먼트의 중요성과 고장률 등급 기준에 대해 알아보고, 국내/해외 OEM에 유연한 대응을 돕고자 기술하게 되었습니다.
본 레터는 총 두번에 걸쳐 하드웨어 아키텍처의 개념 및 개발중에 충분한 논거와 실무 적용 사례를 통해 대응 방안을 제시하고자 합니다.
ISO26262 is a quantitative technique for assessing safety mechanisms and residual risks of violations. (1 of 2)
하드웨어 우발 고장으로 인한 안전 목표 위배 평가 (Evaluation of safety goal violations due to random hardware failures)
안전 목표 위배에 대한 잔존 리스크가 충분히 낮은지를 평가하기 위한 두 가지 대안 방법을 소개합니다.
① 전역적 확률 접근법인 하드웨어 우발 고장에 대한 확률 메트릭 평가 (PMHF: Probabilistic Metric for random Hardware Failures)
② Cut Set 분석법인 안전 목표 위배에 대한 개별 원인 평가 (EEC: Evaluation of Each Cause of safety goal violation)
- 두 기법 모두 단일점 결함(SPF), 잔존 결함, 이중점(DPF) 결함으로 인한 안전 목표 위배의 잔존 리스크를 평가함
- 안전 개념과 관련된 것으로 판단된 경우, 이중점(DPF) 결함 이상의 다중점(MPF) 결함 역시 고려될 수 있음.
- 이중점(DPF) 결함의 경우, 안전 메커니즘의 커버리지와 노출 지속 시간이 고려됨.
- 잔존(RF) 및 이중점(DPF) 결함에 대한 안전 메커니즘의 커버리지가 고려되며, 이중점(DPF) 결함에 대한 노출 기간 역시 고려됨.
- 선택된 방법은 하드웨어 아키텍처 설계 및 상세 설계단계에서 반복적으로 적용 할 수 있음
하드웨어 설계의 안전성 평가 (Safety evaluation of hardware designs)
하드웨어 제품 개발 중 다양한 안전 분석 및 평가에 중점을 ISO26262-5 “하드웨어 수준의 제품 개발(General topics for the product development at the hardware level)”에서는 견고성을 보장하고 증거를 용이하게 하기 위해 하드웨어 설계에 대해 정량적 평가를 설명합니다.
하드웨어 아키텍처 주요 목적은 관련 전자 부품에 대해 고려된 각 안전 목표에 대해 정의 된 하드웨어 아키텍처 메트릭을 도출하는 것입니다.
[Clause 8 “Evaluation of the hardware architectural metrics”]
하드웨어 아키텍처 메트릭을 적용하여 하드웨어 아키텍처를 평가하는 것을 설명합니다. 이러한 지표는 중대한 Random Hardware Failure에 대한 하드웨어 아키텍처의 견고성에 대한 정량적 정보를 제공합니다.
다음은 하드웨어 아키텍처 메트릭 평가의 목적이며, 목표값에 대한 확인을 포함하여 둘 다 적용해야 하는 단일 지점 오류 메트릭(SPFM)과 잠재 오류 메트릭(LFM)의 두 가지 메트릭이 설명 됩니다.
- 객관적으로 평가 가능함: 메트릭은 다른 아키텍처를 구분할 수 있는 이해하기 쉬운 수단
- 최종 설계 평가 지원함 : 즉, 선택된 상세 하드웨어 설계를 기반으로 한 계산
- 하드웨어 아키텍처의 적합성을 평가하기 위해 ASIL에 의존적인 합격 / 불합격 기준을 만들 수 있음
- 하드웨어 아키텍처의 단일점 또는 잔존 결함으로 부터 발생되는 리스크를 막기 위한 안전 메커니즘의 커버리지가 충분한지를 밝힘
- 하드웨어 아키텍처의 잠재 결함으로 부터 리스크를 막기 위한 안전 메커니즘의 커버리지가 충분한지를 밝힘
- 단일점 결함, 잔존 결함, 잠재 결함 발견, 하드웨어 고장율의 불확실성에 대한 강건성을 보장, 안전관련 엘리먼트로 제한됨
- 다른 엘리먼트 수준에서의 사용을 뒷받침 함 (ex : 목표 값을 공급자의 하드웨어 엘리먼트에 할당할 수 있음)
[Clause 9 “Evaluation of the safety goal violations due to random hardware failures”]
Random Hardware Failure으로 인한 안전 목표 위반 평가에서 안전 목표 위반의 잔여 위험이 평가됩니다. 이 평가는 하드웨어 아키텍처 메트릭을 보완하여 수행되며, 이 절의 요구사항의 목적은 아이템의 Random Hardware Failure 으로 인한 안전 목표 위배의 잔존 리스크가 충분히 낮다는 것을 증명하기 위한 근거에 사용될 수 있는 기준을 만드는 것이다.
ISO26262는 PMHF(Probabilistic Metric for random Hardware Failures) 또는 FRC(Failure Rate Classes)를 사용하여 안전 목표 위반의 각 원인을 평가하는 두가지 대체 방법을 제안 합니다.
PMHF는 안전 목표 위반에 대한 최대 확률을 설명하는 글로벌 접근 방식을 나타내는 반면, 고장률 등급 방법은 안전 목표 위반의 각 원인에 대한 개별 평가를 고려합니다.
Conclusions
하드웨어 부품은 정량적 요구사항에 대해 정량적인 분석으로 증명해야 하며, 정량적인 분석은 PMHF와 EEC는 ASIL D, ASIL C 반드시 요구되며, ASIL B는 권고사항 입니다.
PMHF는 모든 안전 관련 결함에 대응하는 안전 매커니즘의 전체 합이며, FIT 단위는 확률로 계산할 수 있고 모든 안전 목표 ASIL에 종속됩니다.
EEC는 각 하드웨어 부품의 개별 평가와 잔존 결함(RF), 단일점 결함(SPF), 및 이중점 결함(DPF)과 관련하여 고려된 안전 목표 위반에 대한 기여도를 기반으로 평가합니다.
PMHF와 EEC 두가지 방법 모두 단일 결함(SPF), 잔존결함(RF), 이중점 결함(DPF)으로 인한 안전 목표 위반의 잔존 결함을 평가합니다. 안전 메커니즘의 적용 범위는 잔존 및 이중점 결함에 대해 고려합니다.
PMHF와 EEC 중 선택한 방법은 하드웨어 아키텍처 설계와 하드웨어 설계과정에서 반복적으로 기준에 충족할 때까지 적용될 수 있습니다.