안녕하세요. 자율주행 SW 안전 전문가를 목표로 하는 플라잉 준입니다.
오늘은 ISO26262 관련 E/E 시스템의 하드웨어 요소 중 하나인 Sensor 의 안전 매커니즘 (Safety Mechanism) 및 진단 커버리지 (Diagnostic Coverage) 에 대해 정리하도록 하겠습니다.
Sensor
센서는 위의 E/E 시스템에 있는 하드웨어 요소 중 하나로 어떤 물질의 양이나 온도를 감지하여 측정하는 장치입니다. 이때, 센서에서 Processing Unit 의 기능과 동일 또는 유사한 처리 기능을 추가하여 센싱된 값을 이용하여 상태를 판정한 경우는 감지 or 인지 (Perceive) 라고 합니다.
차량에 장착되는 센서의 예로는 자율주행 시스템을 위한 레이더, 카메라, 초음파, 라이다와 차량의 상태를 확인하기 위한 조향각 센서, 차속 센서 등이 있습니다.
Safety Mechanism & Diagnostic Coverage
센서는 위의 예에서도 보셨다 싶이 종류 별로 다양한 물리적 수치를 측정합니다. 이런 센서에 대한 Failure mode 를 고려해 보면 다음을 생각해 볼 수 있습니다.
- Out of range
- Offsets
- Stuck in range
- Oscillations
위의 Failure mode 를 감지하기 위해 생각할 수 있는 안전 매커니즘은 다음과 같습니다.
- Failure detection by on-line monitoring
- Test pattern
- Input comparison/ voting (1oo2, 2oo3 or better redundancy)
- Sensor valid range
- Sensor correlation
- Sensor rationality check
먼저 아래에서 정리하는 안전 매커니즘에 대한 진단 커버리즘은 낮음 (Low), 중간 (Meduim), 높음(High) 로 분류되며 수치로는 각각 60%, 90%, 99%의 Coverage 를 의미합니다. 개별 안전 매커니즘에 대한 설명은 아래와 같은 형태로 정리하도록 하겠습니다.
Safety Mechanism (Diagnostic Coverage : Coverage)
목적 :
설명 :
예제 :
참고사항 :
Input comparison/voting (1 out of 2, 2 out of 3 or better redundancy) (DC : 높음 (High, 99%))
목적 : 컴포넌트의 개별적인 failure 를 감지하기 위함 (외부 영향으로 인한 failure, 타이밍 failure, addressing failure, 드리프트 failure (for analogue signal) 및 일시적 failure)
설명 : 해당 safety mechanism 은 다중 채널에서 받는 독립적인 입력의 비교 (dataflow-dependent comparision) 를 통해 정의된 허용 오차 범위(시간, 값)를 준수하는지 확인한다.
동일한 값을 입력으로 받는 두 개 이상의 채널에서 신뢰성 높은 입력 값 (1 out of 2) 또는 다수결 원칙 (2 out of 3, 3 out of 4, m out of n)을 사용하여 다른 값을 출력하는, 즉 오류가 발생한 컴포넌트를 감지합니다.
Sensor valid range (DC : 낮음 (Low, 99%))
목적 : 센서의 short to ground or power 및 open circuits 감지
설명 : 해당 safety mechanism 은 센서의 전기적 신호 값을 유요한 범위내로 제한하여 범위 밖인 경우, short to ground or power 및 open circuits 같은 센서의 전기적 문제를 감지
참고사항
- 일반적으로 ADC를 사용하여 ECU에서 읽는 센서와 함께 사용
예제
- X : 물리적 센서 값
- Y : 측정된 센서 값 (전압 관점)
- A : 범위를 벗어난 값 (high)
- B : 범위를 벗어난 값 (low)
Sensor correlation (DC : 높음 (High, 99%))
목적 : 중복 센서를 사용하여 범위 내 센서 drift, offset 또는 기타 오류를 감지
설명 : 2개의 동일하거나 유사한 센서 값을 비교하여 drift, offset 또는 stuck-at failure 와 같은 범위 내 오류를 감지
참고사항
- 범위를 벗어난 영역은 센서마다 다르며. 일반적으로 ADC를 사용하여 ECU에서 읽는 센서와 함께 사용
예제
1) 기울기 값은 같지만 부호가 반대되는 두 개의 센서
- X : 물리적 센서 값
- Y : 측정된 센서 값 (전압 관점)
- a : 센서 1
- b : 센서 2
- c : 센서 1의 범위를 벗어난 값 (low)
- d : 센서 2의 범위를 벗어난 값 (low)
- e : 센서 1의 범위를 벗어난 값 (high)
- f : 센서 2의 범위를 벗어난 값 (high)
센서는 동일한 기울기로 변환되고 임계값 내 (c,d,e,f)에서 일치하는지 비교됩니다.
- 임계값은 ADC 허용 오차와 전기 요소의 변동을 고려하여 선택됩니다.
- 두 센서는 동적으로 변화하는 센서 측정값으로 인한 잘못된 오류를 방지하기 위해 최대한 같은 시간에 ECU에서 샘플링
2) 기울기 값이 2배인 두 개의 센서
- X : 물리적 센서 값
- Y : 측정된 센서 값 (전압 관점)
- a : 센서 1
- b : 센서 2
- c : 센서 1의 범위를 벗어난 값 (low)
- d : 센서 1의 범위를 벗어난 값 (high)
- e : 센서 2의 범위를 벗어난 값 (low)
- f : 센서 2의 범위를 벗어난 값 (high)
등기울기 센서 기반 진단은 두 센서가 함께 단락되어 교차점에서 상관된 판독값을 생성하거나 단일 구성요소에서 일반적인 원인 오류가 발생하는 상황을 감지하지 않습니다.
예를 들어 ADC는 유사한 방식으로 두 센서 결과를 모두 손상시킵니다. 1개의 완전 및 1/2 경사 센서를 기반으로 하는 대체 설계는 위와 같습니다.
(Equal slope sensor based diagnostics do not detect situations where the two sensors are shorted
together yielding correlated readings at the crossing point or common cause failures where a single
component, e.g. the ADC, corrupts both sensor results in a similar way. An alternative design based on
one full- and one-half slope sensor is given in)
Sensor rationality check (DC : 중간 (Medium, 90%))
목적 : 여러 개의 다양한 센서를 사용하여 범위 내 센서 drift, offset 또는 기타 오류를 감지
설명 :
drift, offset 또는 stuck at failure 와 같은 범위 내 오류를 감지하기 위해 서로 다른 속성을 측정하는 두 개(또는 그 이상) 센서의 비교하여 오류가 발생하는 상황을 감지
- 특정 모델을 사용하여 센서 측정값을 비교할 수 있는 값을 등가 값으로 변환하여 비교
Failure detection by online monitoring (DC : 낮음 (low, 60%))
목적 : 온라인 상황에서 정상적인 작동에 대한 응답으로 시스템의 동작을 모니터링하여 오류를 감지하기 위함
설명 : 특정 조건에서 시스템의 시간 동작에 대한 정보를 사용하여 오류를 감지하는 매커니즘
예제
- 스위치가 정상적으로 작동되고 있는 상황에서 예상 시간에 상태가 변경되지 않으면 오류가 감지된 것입니다. 일반적으로 문제가 발생하는 특정 Element / Component 를 찾는건 불가능하다.
참고사항
- 일반적으로 online monitoring 을 구현을 위한 특정 하드웨어 요소는 없음
- 온라인 모니터링은 시스템 활성화의 특정 조건과 관련하여 시스템의 비정상적인 동작을 감지
예를 들어, 차량 속도가 0과 다를 때 특정 파라미터가 반전되면 이 파라미터와 차량 속도 사이의 일관성 감지가 고장 감지로 이어집니다.
온라인 모니터링 기법은 크게 두 가지로 구분됩니다.
- 1. 모델 기반 기법 (Model-based technique)
- State estimation, parity space, parameter identification 등의 기법을 적용하여 센서가 모니터링하는 대상에 대한 수하적 모델을 개발하여 모니터링
- 2. 모델 프리 기법 (Model-free technique)
- 대상에 대한 수학적 모델이 아닌 관찰된 결과를 기반으로 개발된 감지기를 통해 모니터링
모델 기반 기법 (Model-based technique)
모델 기반 기법의 경우는 위에서 설명한 수학적 모델에 기능적으로 중복된 값들을 입력하여 예측값 계싼, 예측값과 실제 모니터링 된 값 비교 등을 수행함으로써 오류를 감지합니다. 이는 제어 대상에 대한 이해를 바탕으로 함으로 화이트 박스 접근 (white-box approach) 로 분류되며 해당 기법을 적용할 경우 아래의 기능들이 개발되어야 합니다.
- 모델 (model): 기능적으로 중복된 입력 값들을 활용하여 예측 값을 계산
- 차이 측정 (distance measure): 예측 값과 실제 모니터링 된 센서 값과의 차이 (residual0 을 계산, 신호 상의 노이즈 등에 대한 강건한 판단을 위해 평균, 분산 등의 통계적 연산이 활용
- 오류 감지 (detecting rule): 측정된 차이를 통해 오류 여부 판정
모델 프리 기법 (Model-free technique)
모델 프리 기법의 경우의 오류 감지기는 일반적으로 휴리스틱 기반의 규칙들로 구성되거나, 인공지능 기법들인 신경망 (neural network), 패턴 분류 (pattern classification) 들이 활용됩니다. 해당 기법은 모델 기반 기법과는 다르게 제어 대상에 대한 이해 보다는 제어 대상의 외부에서 관찰된 결과에 기반함으로 블랙-박스 접근(black-box approach) 로 분류됩니다.
Test pattern (DC : 높음 (High, 99%))
목적 : 정적 장애(stuck-at failures) 및 혼선을 감지하기 위함
설명 : 해당 safety mechanism 은 입력 및 출력 단위의 데이터 흐름에 독립적인 주기적 테스트를 의미합니다.
정의된 테스트 패턴을 사용하여 관측치를 해당 예상 값과 비교합니다.
테스트 커버리지는 테스트 패턴 정보, 테스트 패턴 수신 및 테스트 패턴 평가 간의 독립성 정도에 따라 다릅니다.
시스템의 기능적 동작은 테스트 패턴에 의해 허용할 수 없을 정도로 영향을 받지 않습니다.
정리
위에서 정리한 내용은 특정 도메인에서 프로젝트를 진행할 때 참고할 수 있는 내용 정도로 생각해 주시고 활용해주시면 감사하겠습니다 :)
긴글 읽어 주셔서 감사드립니다.
