센서 - Safety Mechanism (ISO 26262-5 Annex D)

해당 포스팅은 차량 기능안전 표준 ISO 26262 Part 5 의 Annex D 에서 설명하는 Sensor 에 대한 Safety Mechanism 중 Software 와 관련있는 Safety Mechanism 에 대해서 설명합니다.

 

개요

 

먼저, 센서에서 제공되는 입력 값에 대해서 오류를 감지하는 기법은 크게 중복 (redundancy) 기반의 기법과 일관성 (consistency) 을 활용하는 기법으로 구분됩니다.

 

중복 기반 기법은 동일/유사한 센서를 다수 사용하여 중복된 입력 값들을 비교함으로써 오류를 감지하는 기법인 Input comparison / voting (1oo2, 2oo3 or better redundancy) 과 기능적으로 관련된 값들의 연관관계를 사용하여 입력 값의 오류를 감지하는 기법인 Sensor rationality check 와 Failure detection by on-line monitoring 이 있습니다.

 

일관성을 활용하는 기법 중 대표적인 것으로는 Sensor valid range 기법을 들 수 있습니다.

 

Sensor valid range

 

Sensor valid range 는 센서의 전기적 개방 (open) 및 단락 (short) 을 감지하기 위해서 사용되는 기법입니다. 

 

이를 위해서 센서가 제공할 수 있는 물리적 입력 범위 중 중간 부분에만 논리적으로 유효한 영역이 할당되도록 설계합니다. 이 경우 논리적으로 유효한 영역에 할당되지 않은 상하단의 값이 읽혀질 경우, 전기적 단락 혹은 개방과 같은 전기적 오류로 해석될 수 있습니다.

 

 

위의 그림에서 보면 x 축은 센서에서 읽을 수 있는 물리적인 값으로 0부터 100까지의 값을 가집니다. 이러한 물리적 영역을 논리적인 입력 범위인 y 값에 할당할 때, 1번과 2번 점선으로 구분된 상하단은 제외되도록 설계되도록 하는 것이 Sensor valid range 입니다. 예를 들어 y축에서 90이 읽힐 경우 이는 측정된 논리적인 값을 의미하며 물리적인 x 축에서는 100을 의미합니다. 이렇게 설계된 경우 1번 점선 상단 혹은 2번 점선 하단의 값이 입력된 경우, 오류로 해석합니다.

 

Input comparison / voting (1oo2, 2oo3 or better redundancy)

 

센서의 오류를 감지하기 위한 기법 중 가장 직관적인 기법은 물리적 중복 (physical redundancy) 를 활용하는 것입니다. 이는 센서의 오류를 감지하기 위해 사용될 뿐만이 아니라 자율주행 레벨 3 이상에서 Fail-operational 을 달성하기 위해서도 사용됩니다.

※ Fail-safe 및 Fail-operational 에 대한 설명은 추후 ADAS & AD 에 대해 설명할 때 작성하도록 하겠습니다.

 

그럼 해당 기법에 대해서 설명 드리면, 해당 기법은 개별 장애, 외부 영향으로 인한 장애, 타이밍 장애, 처리 장애, 드리프트 장애(아날로그 신호용) 및 일시적 장애를 감지하기 위해 사용됩니다. 기법은 정의된 허용 오차 범위(시간, 값)를 준수하는지 확인하기 위해 동질 (homogenous) 한 센서들을 중복으로 사용하여 입력에 대한 데이터 흐름을 비교하며 소제목에 표현한 1oo2, 2oo3, better redundancy 을 이용하여 구현할 수 있습니다.

※ 해당 기법은 진단 테스트 간격 동안 데이터 흐름이 변경된 경우에만 유효합니다.

 

위의 기법 이외의 동질의 다중 센서를 이용한 Safety mechanism 으로는 Sensor correlation 이 있습니다. Sensor correlation 은 중복 센서를 사용하여 범위 내 센서 드리프트, 오프셋 또는 기타 오류를 감지하기 위해 사용됩니다.

 

Sensor correleation 의 예로 위의 그림처럼 입력 값에 대한 기울기가 두 배 차이 나는 센서를 사용한 시스템을 생각해보면, 서로 다른 센서를 사용할 경우, 동일 입력 센서를 중복하는 것보다 다양한 오류의 감지가 가능합니다. 동일한 입력 센서를 사용할 경우에는 두 센서 모두 단락이 발생하는 등 Common cause failure (공통 원인 오류)가 발생할 경우 오류 감지가 불가능하나, 다른 센서들을 중복할 경우 감지가 가능합니다. 위의 그림을 보면 1번 기울기를 갖는 센서에 대해 3번과 4번으로 상하단을 설계하고, 2번 기울기를 갖는 센서에 대해 5번과 6번으로 상하단을 설계하였습니다. 따라서, 두 센서 모두 단락이 발생한 경우 두 센서의 값이 동일하게 읽혀짐으로 오류가 발생한 것을 감지할 수 있습니다. 

 

※ Common cause failure 에 대한 설명은 아래 링크의 description 참조

차량 기능안전 (ISO 26262) 용어 정리 - Failure

 

Sensor rationality check

 

Senro rationality check 는 위의 동질의 센서를 사용하는 것이 아닌 서로 다른 다양한 센서를 사용하여 범위 내 센서 드리프트, 오프셋 또는 기타 오류를 감지하기 위해 사용되는 기법입니다.

 

해당 기법은 다른 센서들에서 읽혀진 다른 물리량을 수학적 모델을 이용하여 비교할 수 있는 동일한 값으로 변환하여 비교하여 센서의 오류를 감지합니다. 예를 들어 가솔린 엔진에서의 1. 쓰로틀 위치, 2. 매니폴드 압력 (manifold pressure), 3. 공기 흐름 (mass air flow) 는 모두 공기의 흐름에 대한 값으로 변환이 가능합니다. 이러한 경우 3개의 센서에서 읽혀진 물리량을 공기 흐름 값으로 변환하여 비교함으로써 오류의 발생 여부를 판단할 수 있습니다. 이 경우 최종 판단을 위해 위에서 설명한 Input comparison / voting 을 사용할 수도 있습니다.

 

 

Failure detection by on-line monitoring

 

Failure detection by on-line monitoring 은 센서에서 읽혀지는 물리량과 기능적으로 연관성을 갖는 값들을 활용하여 정상적인(온라인) 작동에 대한 응답으로 시스템의 동작을 모니터링하여 오류를 감지합니다.

※ 특정 조건에서 시스템의 시간 동작에 대한 정보를 사용하여 오류를 감지합니다.

 

이러한 기능적 중복을 활용하는 기법의 경우는 위의 2 가지 (Input comparison/voting, sensor rationality check) 물리적 중복을 활용하는 기법보다 간소한 부품 구성을 제공하지만 소프트웨어 설계의 복잡성이 증가합니다.

※ 일반적으로 온라인 모니터링 구현을 위한 특정 하드웨어 요소는 없습니다.

 

온라인 모니터링 기법은 크게 두 가지로 구분됩니다.1. 모델 기반 기법 (Model-based technique)-> State estimation, parity space, parameter identification 등의 기법을 적용하여 센서가 모니터링하는 대상에 대한 수하적 모델을 개발하여 모니터링2. 모델 프리 기법 (Model-free technique)

-> 대상에 대한 수학적 모델이 아닌 관찰된 결과를 기반으로 개발된 감지기를 통해 모니터링

 

모델 기반 기법 (Model-based technique)

모델 기반 기법의 경우는 위에서 설명한 수학적 모델에 기능적으로 중복된 값들을 입력하여 예측값 계싼, 예측값과 실제 모니터링 된 값 비교 등을 수행함으로써 오류를 감지합니다. 이는 제어 대상에 대한 이해를 바탕으로 함으로 화이트 박스 접근 (white-box approach) 로 분류되며 해당 기법을 적용할 경우 아래의 기능들이 개발되어야 합니다.

• 모델 (model): 기능적으로 중복된 입력 값들을 활용하여 예측 값을 계산
• 차이 측정 (distance measure): 예측 값과 실제 모니터링 된 센서 값과의 차이 (residual0 을 계산, 신호 상의 노이즈 등에 대한 강건한 판단을 위해 평균, 분산 등의 통계적 연산이 활용
• 오류 감지 (detecting rule): 측정된 차이를 통해 오류 여부 판정

 

모델 프리 기법 (Model-free technique)

모델 프리 기법의 경우의 오류 감지기는 일반적으로 휴리스틱 기반의 규칙들로 구성되거나, 인공지능 기법들인 신경망 (neural network), 패턴 분류 (pattern classification) 들이 활용됩니다. 해당 기법은 모델 기반 기법과는 다르게 제어 대상에 대한 이해 보다는 제어 대상의 외부에서 관찰된 결과에 기반함으로 블랙-박스 접근(black-box approach) 로 분류됩니다.

 

※ 자율주행용 센서 (Camera, Radar, Lidar 등) 의 Blockage 판단, Mis-alignment 판단 등이 모델 프리 기법에 해당