ISO26262 - E/E System 에 적용 가능한 Safety Mechanism 및 Diagnostic coverage

안녕하세요. 자율주행 SW 안전 전문가를 목표로 하는 플라잉준 입니다.

 

 오늘은 차량 기능안전 표준인 ISO 26262 관련하여, 일반적인 E/E 시스템의 하드웨어 구성 요소에 적용할 수 있는 안전 매커니즘 (Safety Mechanism)과 해당 적용된 안전 매커니즘의 진단 커버리지 (Diagnostic Coverage) 에 대해 설명하도록 하겠습니다.

 

※ E/E System 의 Failure Mode 에 대한 내용은 아래 링크 참고

차량 E/E (전기/전자) 시스템의 Failure Mode 정리

 

E/E System

 안전 매커니즘 및 진단 커버리지에 대한 설명을 하기에 앞서 E/E 시스템에 대해 설명하도록 하겠습니다.

 차량 시스템은 차량 내 다양한 기능을 구현하고자 여러개의 E/E 시스템으로 구성되어 있으며 E/E 시스템은 Bus interface 로 연결되어 있습니다. 이러한 여러 E/E 시스템에 대한 기능 할당 및 네트워크는 차량용 전기전자 아키텍처 (Electric and Electronic Architecture) 를 설계하며 상세 정의됩니다.

 

  단일 E/E 시스템의 경우는 위의 그림에서 나와있듯이 Sensor, Harness, Digital I/O 등 총 12개의 요소로 분류될 수 있으며 각 요소에 대한 설명은 다음과 같습니다.

 

Hardware Element	Description
Relay	전기적으로 (electrically) 작동되는 스위치
Harness	전원 공급과 신호통신에 이용되는 복수의 전선을 다발로 묶어 끝 부분에 커넥터를 장착한 하드웨어 요소
Sensor	어떤 물질의 양이나 온도를 감지하여 측정하는 장치 센서에서 처리 기능을 추가하여 인식하여 상태를 판정하는 것은 감지(Perceive) 라고 함
Actuator	시스템을 움직이거나 제어하는 데 쓰이는 기계 장치
Power Supply	시스템의 구동에 필요한 전력을 전자 기기 또는 전기 부하에 공급해주는 전기 장치 입력 전력으로부터 필요한 출력 전력을 생성하는 전력 회로
Clock	E/E 시스템 내의 하드웨어 요소 간 동기를 맞춰주기 위해 신호를 생성하는 장치
Digital I/O	디지털 입출력 장치
Analogue I/O	아날로그 입출력 장치
Bus Interface	E/E 시스템 간에 데이터와 정보를 전송하는 통로 (통신 시스템) 인터페이스
Processing Unit	E/E 시스템을 통제하고 프로그램의 연산을 실행 및 처리하는 제어 장치
RAM & ROM	입력 장치를 통해 입력된 자료를 저장하고 처리하는 E/E 시스템의 주 기억 장치
Signal Processing Accelerator	센서에서 수신한 대량의 데이터를 정의된 설정 또는 코드에 맞춰 계산하는 하드웨어 요소 예 : GPU (Graphical Processing Unit), DSP (Digital Signal Processing)

 

Safety Mechanism & Diagnostic Coverage

그럼 이제 이번 글의 메인 주제인 E/E 시스템에 적용할 수 있는 안전 매커니즘과 진단 커버리지에 대해 설명하도록 하겠습니다.

 

먼저, 아래에서 정리하는 Safety Mechanism 에 대한 Diagnostic Coverage 는 낮음 (Low), 중간 (Medium), 높음 (High) 로 분류되며 수치로는 각각 60%, 90%, 99% 의 Coverage 를 의미합니다.

 

E/E 시스템은 앞서 설명드린 것 처럼 차량용 전기전자 아키텍처를 설계하며 기능이 할당되는 시스템으로 E/E 시스템에 대한 일반적인 Failure Mode 는 존재하지 않으며 기능이 할당된 후 특정 도메인에서 추가 분석을 통해 Failure Mode 를 분석할 수 있습니다.

 

이에, E/E 시스템에 대해서는 특정 Failure mode 를 제거하기 위한 안전 매커니즘은 없다고 생각할 수 있으며 일반적으로 적용할 수 있는 안전 매커니즘에 대해 고려해 볼 수 있습니다.

 ※ Relay, Power supply 처럼 기능이 존재하는 하드웨어 요소는 기능에 따른 특정 Failure mode 가 존재하고 해당 Failure mode 를 제거하기 위한 안전 매커니즘을 적용할수 있습니다.

 

그럼 E/E System 에 적용할 수 있는 일반적인 안전 매커니즘에 대해 정리하면 다음과 같습니다.

1. Failure detection by online monitoring
2. Comparator
3. Majority voter
4. Dynamic principles
5. Analogue monitoring of digital signals
6. Self-test by software cross exchange between two independent units

각 안전 매커니즘에 대한 설명은 아래와 같은 형태로 정리하겠습니다.

 

Safety Mechanism (Diagnostic Coverage : Coverage)

목적 : 

설명 : 

예제 :

참고사항 :

 

Failure detection by online monitoring (DC : 낮음 (low, 60%))

목적 : 온라인 상황에서 정상적인 작동에 대한 응답으로 시스템의 동작을 모니터링하여 오류를 감지하기 위함

설명 : 특정 조건에서 시스템의 시간 동작에 대한 정보를 사용하여 오류를 감지하는 매커니즘

예제

• 스위치가 정상적으로 작동되고 있는 상황에서 예상 시간에 상태가 변경되지 않으면 오류가 감지된 것입니다. 일반적으로 문제가 발생하는 특정 Element / Component 를 찾는건 불가능하다.

참고사항

• 일반적으로 online monitoring 을 구현을 위한 특정 하드웨어 요소는 없음
• 온라인 모니터링은 시스템 활성화의 특정 조건과 관련하여 시스템의 비정상적인 동작을 감지
  예를 들어, 차량 속도가 0과 다를 때 특정 파라미터가 반전되면 이 파라미터와 차량 속도 사이의 일관성 감지가 고장 감지로 이어집니다.

온라인 모니터링 기법은 크게 두 가지로 구분됩니다.

• 1. 모델 기반 기법 (Model-based technique)
  • State estimation, parity space, parameter identification 등의 기법을 적용하여 센서가 모니터링하는 대상에 대한 수하적 모델을 개발하여 모니터링
• 2. 모델 프리 기법 (Model-free technique)
  • 대상에 대한 수학적 모델이 아닌 관찰된 결과를 기반으로 개발된 감지기를 통해 모니터링

모델 기반 기법 (Model-based technique)

모델 기반 기법의 경우는 위에서 설명한 수학적 모델에 기능적으로 중복된 값들을 입력하여 예측값 계싼, 예측값과 실제 모니터링 된 값 비교 등을 수행함으로써 오류를 감지합니다. 이는 제어 대상에 대한 이해를 바탕으로 함으로 화이트 박스 접근 (white-box approach) 로 분류되며 해당 기법을 적용할 경우 아래의 기능들이 개발되어야 합니다.

• 모델 (model): 기능적으로 중복된 입력 값들을 활용하여 예측 값을 계산
• 차이 측정 (distance measure): 예측 값과 실제 모니터링 된 센서 값과의 차이 (residual0 을 계산, 신호 상의 노이즈 등에 대한 강건한 판단을 위해 평균, 분산 등의 통계적 연산이 활용
• 오류 감지 (detecting rule): 측정된 차이를 통해 오류 여부 판정

모델 프리 기법 (Model-free technique)

모델 프리 기법의 경우의 오류 감지기는 일반적으로 휴리스틱 기반의 규칙들로 구성되거나, 인공지능 기법들인 신경망 (neural network), 패턴 분류 (pattern classification) 들이 활용됩니다. 해당 기법은 모델 기반 기법과는 다르게 제어 대상에 대한 이해 보다는 제어 대상의 외부에서 관찰된 결과에 기반함으로 블랙-박스 접근(black-box approach) 로 분류됩니다.

 

Comparator (DC : 높음 (High, 99%))

목적 : 독립 하드웨어 또는 소프트웨어의 (비동시적) 오류를 가능한 한 빨리 감지하기 위함

설명 : 독립 하드웨어의 출력 신호 또는 독립 소프트웨어의 출력 정보는 Comparator 에 의해 주기적으로 또는 지속적으로 비교하여 두 값의 차이가 존재할 경우 오류를 감지하는 매커니즘

예제

• 두 개의 처리 장치가 데이터(결과, 중간 결과 및 테스트 데이터 포함)를 상호 교환합니다. 데이터 비교는 각 장치의 소프트웨어를 사용하여 수행되며 감지된 차이는 실패 메시지로 이어집니다.

 

Major voter (DC : 높음 (High, 99%))

목적 : 세 개 이상의 채널 중 하나에서 오류를 감지하고 마스킹하기 위함

설명 : 동일한 값을 출력하는 세 개 이상의 채널에서 다수결 원칙(2 out of 3, 3 out of 4, m out of n)을 사용하여 다른 값을 출력하는, 즉 오류가 발생한 컴포넌트를 감지하는 매커니즘

참고사항

• Comparator 와 달리 다수결 방식은 한 채널이 손실된 후에도 이중화 채널의 기능을 확보하여 가용성을 높임

 

Dynamic principle (DC : 중간 (Medium, 90%))

목적 : 동적 신호처리 (dynamic signal processing) 을 이용하여 정적 오류를 감지

설명 :  정적 신호(내부 또는 외부에서 생성)의 강제 변경을 통해 요소의 정적 오류를 감지하는 매커니즘

참고사항

• 이 기술은 종종 전기 기계 요소와 관련됨

 

Analog monitoring of digital signals (DC : 낮음 (Low, 60%))

목적 : 측정된 신호의 신뢰도를 향상시킵니다.

설명 :  잘못된 신호 레벨을 감지하기 위해 binary signal 를 아날로그 레벨에서 평가 하여 오류를 감지하는 매커니즘

예제

• 스위치는 신호가 높을 때 닫히고 낮으면 열림입니다.지정된 범위는 접지 단락, 공급 전압 단락 및 개방 커넥터가 잘못된 레벨로 이어지는 방식으로 선택
• 모니터링은 출력 레벨이 지정된 범위 내에 있는지 감지

 

Self-test by software cross exchanged between two independent units (DC : 중간 (Medium, 90%)

목적 : 물리적 저장 장치(예: 레지스터)와 기능 장치(예: 명령어 디코더)로 구성된 처리 장치의 오류를 가능한 한 빨리 감지하기 위함

설명 : 2개 이상의 처리 장치를 통해 각 장치의 self-test 를 수행하여 처리 결과를 교환하여 오류를 감지하는 매커니즘

참고사항

• 해당 매커니즘은 Soft error 에 대해서는 매우 제한적이거나 적용되지 않음

 

정리

 위에서 정리한 E/E 시스템에 적용 가능한 안전 매커니즘은 일반적으로 적용할 수 있는 매커니즘으로 Processing Unit, Electric element 등 다른 하드웨어 요소에도 적용 가능한 매커니즘 입니다. 특정 도메인에서 프로젝트를 진행할 때 참고할 수 있는 내용 정도로만 생각해주시면 좋을 것 같습니다 :)

 

긴글 읽어 주셔서 감사드립니다.