차량 기능안전 (ISO 26262) 용어 정리 - Safety Measure

해당 포스팅은 차량 기능안전 표준인 ISO 26262의 정의된 용어 중 Safety Measure 에 관한 내용을 정리합니다.

 

Term	Description
safety measure 안전 수단/조치	Systematic failure 를 회피 및 컨트롤, random hardware failre 를 감지 및 컨트롤하거나 위해영향을 감소화 하기 위한 활동 또는 기술적 솔루션 ※ 안전 메커니즘은 안전 수단 중 하나이다. 예) 기술적 솔루션 : 안전 메커니즘 (CRC, Alive counter, ECC 등), 활동 : FMEA, Software testing, peer reivew 등
external measure 외부 수단	아이템에서 발생할 수 있는 위험성 (risk)을 완화시키는 외부 수단
safety mechanism 안전 메커니즘	결함을 감지하고 완화하여 시스템의 의도한 기능을 유지하게 하거나 안전 상태로 유지할 수 있도록 하는 E/E 시스템 내의 특정 기능 또는 엘리먼트로 구현된 기술적 솔루션 참고사항 안전 메커니즘은 아이템 내에서 single point failure, latent failure 로 발현 될 수 있는 결함을 막기위해 구현된다. 안전 메커니즘은 아이템을 안전 상태로 전이하거나 유지하도록 할 수 있다. 안전 메커니즘은 기능안전 컨셉에서 정의된 형태로 운전자가 장애/고장에 영향을 제어할 수 있도록 운전자에게 알람을 띄워줄 수 있다.
fault injection 결함 주입	아이템내 엘리먼트에 결함/에러/장애를 강제로 주입하여 해당 결함의 영향을 평가하는 방법 참고사항 결함주입은 범위, 실행 가능성, 관찰 가능성 및 필요한 세부 수준에 따라 아이템, 시스템, 하드웨어 파트, 소프트웨어 유닛 등 다양한 추상화 수준에서 수행할 수 있습니다. 결함주입 목적에 따라 안전 수명주기의 여러 단계에서 다양한 결함 모델을 고려하여 결합주입 테스팅을 수행할 수 있습니다. 예) 잠재적 결함을 감지하기 위한 전략을 일환으로 안전 메커니즘이 제대로 작동하는지 확인하기 위해 아이템의 작동 중 결함을 주입 하드웨어 디버그 포트 또는 전용 소프트웨어 명령을 통해 통합 테스트 단계에서 결함을 주입하여 하드웨어 소프트웨어 인터페이스 (HSI) 를 테스트 하드웨어 컴포넌트 수준에서 stuck-at fault 또는 transient fault 주입한 시뮬레이션을 하여 안전 메커니즘의 진단 범위를 확인하거나 에러 또는 장애를 유발할 수 있는 결함을 식별할 수 있음
degradation 저하	기능, 성능 또는 둘 모두가 감소된 아이템/엘리먼트의 상태 또는 해당 상태로의 전환
diagnostic coverage DC 진단 범위	안전 메커니즘에 의해 감지되거나 제어되어 하드웨어 엘리먼트의 고장 / 고장모드가 커버되는 비율 DC = 전체 검출된 고장/고장모드 / (전체 검출된 고장/고장모드 + 전체 검출되지 않은 고장/고장모드) 참고사항 진단 범위는 잔여 결함 또는 하드웨어 엘리먼트에서 발생할 수 있는 잠재적인 다중 지점 결함과 관련하여 평가 될 수 있음 안전 메커니즘은 다양한 아키텍처에서 고려될 수 있음 명시적으로 언급된 경우를 제외하고 안전 관련 하드웨어 엘리먼트의 안전 결함 비율은 안전 메커니즘의 진단 범위를 결정할 때 고려 되지 않음
diagnostic points 진단 지점	결함의 감지 또는 수정이 관찰된 엘리먼트의 출력 신호 참고사항 진단 지점은 "알람", "에러 플래그", "수정 플래그" 라고도 함
diagnostic test time interval DTTI 진단 테스트 시간 간격	온라인 진단 테스트 실행 기간을 포함하여 안전 메커니즘에 의한 온라인 진단 테스트 실행 사이의 기간
diversity 다양성	독립성을 달성하기 위한 목표로 동일한 요구 사항을 서로 다른 솔루션을 이용하여 만족시키는 것 참고사항 다양성은 독립성을 보장하지 않지만 특정 유형의 common cause failure 를 처리할 수 있습니다. 다양성은 기술적 솔루션(다양한 하드웨어 컴포넌트, 다양한 SW 컴포넌트) 또는 기술적 수단(예: 다양한 컴파일러)일 수 있습니다. 다양성은 이중화을 실현하는 한 가지 방법
redundancy 이중화	기능을 수행하거나 정보를 나타내는데 필요한 수단 외에 추가적인 수단 참고사항 이중화는 안전 목표 또는 안전 요구사항을 달성하거나 안전 관련 정보를 나타내는 것 관련하여 사용됨 이중화는 다양성 또는 동일한 형태로 구현될 수 있음 예 중복된 기능 컴포넌트는 가용성을 높이거나 오류 감지를 할 수 있는 이중화 방법 안전 관련 정보를 나타내는 데이터에 패리티 비트를 추가하면 오류 감지를 할 수 있는 이중화 방법
robust design 강건화 설계	잘못된 입력 또는 스트레스 환경 조건에서 올바르게 작동 하도록 하는 설계 참고사항 소프트웨어의 경우, 강건성은 비정상적인 입력 및 조건에 대응 하는 능력 하드웨어의 경우, 강건성은 설계 한계 내에서 스트레스 환경에 대한 내성과 서비스 수명 동안 안정적인 서비스를 제공할 수 있는 능력 ISO 26262 의 경우, 강건성은 경계에서의 안전한 행동을 수행하는 능력
partitioning 파티셔닝	디자인을 달성하기 위한 기능 또는 엘리먼트의 분리 참고사항 파티셔닝은 연쇄적 장애를 회피하기 위해 사용 될 수 있음 Freedom from interference 를 달성하기 위해 추가적인 비기능 요구사항이 도입될 수 있음
warning and degradation strategy 경고 및 성능 저하 전략	해당 전략은 아래의 2 방법에 대한 사양을 의미함 잠재적으로 기능이 저하될 수 있음을 운전자에게 알리는 방법 안전한 상태에 도달하기 위해 감소된 기능을 제공하는 방법 참고사항 경고 및 저하 전략은 아래의 내용을 포함 다가오는 성능 저하에 대해 운전자에게 경고하는 햅틱, 오디오 또는 시각적 신호의 사양 관련 안전 목표와 관련된 하나 이상의 안전 상태에 대한 설명 안전 상태로 전환하기 위한 조건 안전 상태에서 회복하기 위한 조건 및 최대 회복 시간 간격 해당되는 경우, 비상 동작 및 관련 비상 동작 허용 시간 간격
emergency operation 비상 동작	결함에 대한 반응 후 안전 상태로 전환될 때까지 안전을 제공하기 위한 아이템의 동작 모드 참고사항 안전 상태에 직접 또는 적시에 도달할 수 없거나 결함 감지 후 유지될 수 없는 경우 안전 메커니즘은 안전 상태로의 전환이 달성되고 유지될 때까지 안전을 제공하기 위해 비상 동작으로 전환 할 수 있음 비상 동작 및 관련 비상 동작 허용 시간 간격은 경고 및 성능 저하 전략에 설명되어 있음 성능 저하는 비상 동작 개념의 일부로 생각할 수 있음 예 비상 동작은 fault tolerant time 의 에러 반응의 일부로 지정할 수 있음

 

ISO 26262:2018 Road vehicles - Functional Safety 의 전체 용어는 아래에서 확인 가능합니다.

https://www.iso.org/obp/ui/#iso:std:iso:26262:-1:ed-2:v1:en