E-GAS Monitoring Concept 의 ISO 26262 - Part 3 Concept Part 까지 정리 (Safety Goal, Functional Safety Requirement)

안녕하세요, 자율주행 SW 안전 전문가를 꿈꾸는 플라잉 준입니다.

 

오늘은 지난번에 작성한 E-GAS Monitoring Concpe 간단 정리에 이어 "Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units" 문서를 한번 정리하도록 하겠습니다.

 

정리하는 내용은 전체 문서 내용 중 ISO26262 - Part 3 Concept Part 영역에 해당하는 내용에 대해 정리합니다.

- Item Definition (System Definition), Hazard Analysis and Risk Analysis, Safety Goal, Functional Safety

 

E-GAS Monitoring Concept 에 대한 정리는 아래 포스팅 참고 부탁드립니다.

ISO26262 - E-GAS Monitoring Concept 간단 정리

 

E-GAS Monitoring Concept - System Definition

E-GAS Monitoring Cocept 이 적용된 시스템은 엔진 제어 시스템으로 해당 시스템은 파워트레인이 구동 휠에 직접 연결된 파워트레인의 일부인 내연 기관입니다.

 

가솔린 엔진을 제어하기 위한 해당 시스템의 개략적인 아키텍처는 다음과 같습니다.

EGAS - System : 엔진 제어 시스템

해당 시스템은 Acceleration Pedal, Engine Control Unit, Throttle-valve 로 구성되어 있으며 아래의 특징을 가지고 있습니다.

• 특성
  • 구동 토크 제공
  • 내연 기관의 드래그 토크에 의한 제동 토크 제공
• 적용 환경
  • 승용차
• 구조
  • 차량 구동 토크의 단일 소스
  • 폐쇄형 파워트레인인 경우, 구동 휠에 직접 연결
  • 엔진 ECU 에 의해 제어됨

Hazard Analysis and Risk Analysis

위에서 정한 시스템(아이템)에 대한 HARA 분석은 일반적인 주행 환경에 대해 분석이 수행되었고 결과로 다음의 Safety Goal (SG) 이 도출됨

• Prevention of unintended acceleration (ASIL B)
  • 의도하지 않은 가속 방지
• Prevention absence of acceleration (QM)
  • 가속 부재 방지
• Prevention of unintended deceleration (QM)
  • 의도하지 않은 감속 방지
• Prevention absence of deceleration (QM)
  • 감속 부재 방지

E-GAS Monitoring Concept 은 전체 Safety Goal 중 첫 번째 Safety Goal 인 Prevention of unintended acceleration (의도하지 않은 가속 방지)를 만족시키기 위해 의도하지 않은 가속 상황을 감지하고 조치를 취하기 위해 적용되며 아래에서 정리할 Functional Safety Concept 및 Functional Safety Requirement 는 

Functional Safety Concept (FSC)

토크 소스, 구동 엔진이 하나뿐인 시스템인 상황에서 허용할 수 없는 & 의도하지 않은 가속의 원인은 아래 2가지를 생각할 수 있습니다.

1. Faulty torque definition (잘못된 토크 정의)
2. Faulty torque implementing (잘못된 토크 구현)

기능 안전 컨셉은 Safety Goal 달성을 위해 시스템이 허용 가능한 차량 가속 또는 구동 토크를 준수하는지 모니터링 하고 Fault 발생시 정의된 FTT (Fault Tolerance Time) 이내에 차량을 제어 가능하고 안전 상태로 전환하도록 설계합니다.

 

해당 기능 안전 컨셉에 대한 설명은 아래와 같습니다.

E-GAS Monitoring Concept - 엔진 제어 시스템의 Functional Safety Concept

• Sensors (S1/S2) : 신호 캡처 후 센서 신호에 대해서 타당성 검증 (plausibility check) 을 적용할 수 있음 (e.g. driver accelerator pedal demand)
• Actuators (A) : 신호 캡처 후 액츄에이터 신호에 대해서 타당성 검증 (plausibility check) 을 적용할 수 있음 (e.g. throttle position)
• Engine Control Unit (L)
  • 엔진 제어 유닛은 센서 시스템에서 발생하는 Fault 를 감지
  • 엔진 제어 유닛은 액츄에이터에서 발생하는 Fault 를 감지
  • Functional Safety Concept 은 엔진 제어 유닛에서 구현됨
    • 허용할 수 없는 높은 구동 토크의 설정을 감지 및 확인하고 시스템을 오류 반응으로 안전한 상태로 전환
  • 안전 컨셉은 central functional monitoring 개념을 사용

Central functional monitoring 개념

• Functional Level (Level 1) 와 관계없이 모니터링 되는 기능은 Functional Monitoring Level (Level 2) 에서 모니터링 되고 에러 발생시 제어 되는 상태로 전환되어야 함
• 독립적인 개발은 시스템 오류가 Functional level (Level 1)과 Functional Monitoring Level (Level 2)에 동일한 영향을 미치지 않도록 보장 해야 함 (→ freedom from interference)
• ECU HW 의 무결성을 확인하기 위해 control unit 에 추가 조치가 구현 되어야 함
  • Functional Level (Level 1) 및 ECU-HW 에 있는 오류가 Functional Monitoring Level (Level 2) 에 영향을 미치지 않도록 보장해야 함

위의 컨셉을 E-Gas Monitoring Concept 의 엔진 제어 시스템에 적용하여 작성한 Functional Safety Requirement 는 아래와 같습니다.

 

Functional Safety Requirement

Safety RequirementAllocation ComponentTechnical implementation

 

Functional Safety Requirement	Allocation Component	Technical implementation (Technical Safety Requirement)
Sensors shall be plausibility checked → 센서는 타당성 검증이 되어야 한다.	Drive Pedal	General Requirements of Level 2 Function Monitoring Level 2 Faults of the Functional Monitoring
Sensors shall be plausibility checked → 센서는 타당성 검증이 되어야 한다.	Throttle valve	General Requirements of Level 2 Function Monitoring Level 2 Faults of the Functional Monitoring
The engine control unit shall detects faults in the sensor system through appropriate plausibility → 엔진 제어 유닛은 적절한 타당성을 이용하여 센서 시스템의 Fault 를 감지해야 한다. (e.g. accelerator pedal, throttle, brake, FRG-operating lever more torques affecting sensors / components)	Engine control unit	General Requirements of Level 2 Function Monitoring Level 2 Faults of the Functional Monitoring
Torques affecting requirements of others ECUs shall be protected in a signal compound of the engine control unit → 다른 ECU의 요구 사항에 영향을 미치는 토크는 엔진 제어 유닛의 해당 신호를 생성하는 컴포넌트에서 보호되어야 한다. (e.g. FGR, ESP, AC, gera etc)	Engine control unit	General Requirements of Level 2 Function Monitoring Validation of the Torque Measurement in the ECU Network Level 2 Faults of the Functional Monitoring
The engine control unit shall detect actuator erros by using appropriate plausibility checks → 엔진 제어 유닛은 적절한 타당성을 이용하여 액츄에이터의 에러를 감지해야 한다. (e.g. throttle-valve, fuel quantity)	Engine control unit	General Requirements of Level 2 Function Monitoring Level 2 Faults of the Functional Monitoring
A safety concept shall be implemented in the engine control unit which detects and confirms undesired states of a high driving torque or an unintended acceleration. → 높은 구동 토크 또는 의도하지 않은 가속의 상태를 감지하고 확인하는 엔진 제어 장치에는 안전 컨셉이 구현되어야 한다. In case of a fault the engine control unit shall switch to a safe state. → Fault 가 감지 된 경우, 엔진 제어 유닛은 안전 상태로 전환되어야 한다.	Engine control unit	General Requirements of Level 2 Function Monitoring System Fault Reaction Additional Technical Requirements Monitoring of Programming and Power Supply Level 2 Faults of the Functional Monitoring Level 3 Faults of the Controller Monitoring
The function controller shall be monitored. → 기능 컨트롤러는 모니터링 되어야 한다.	Engine control unit	Level 3 Controller Monitoring Level 3 Faults of the Controller Monitoring