IT Technology

ISO 26262 교육( 1일차 )

빠릿베짱이 2015. 7. 28. 18:00
반응형

- References

        IEC61508 

               - Functional safety of electrical.electronic/programmable electronic safety-related system 

                    : 전기, 전자, 시스템, 소프트웨어 기능 안전(기능상의 안전)에 대한 표준 


        ISO 26262 

               - Functional safety-Road Vehicles 

                    : 자동차 산업에 특화된 표준, 기능 안전 표준 중 가장 최근에 발표된 표준, 다른 표준들도 26262에 맞춰가려는 움직임. 현재는 3.5톤 이하에 적용됨, 버스 트럭,오토바이에도 적용될 예정


                 예) 브레이크 : 만약 기계적으로 구성된다면 상관없음, 전자적으로 구성된다면 포함, 안전과 관계가 있느냐. 결국 기능이 안정적으로 작동하도록 만들기 위해, 디등급은 10의 마이너스 8승이다?

        

                    Item Definition : 안전과 관련된 기능 정의 ? 


기능 안전의 철학이 중요함

CES에 자동차가 많이 나온 것은 자동차도 가전이라는 의미

미국 도로 교통 안전국은 자율주행 자동차 단계를 5단계로 구성


운전 지원, 사고 예방, 사고회피 , 사고 피해 경감

자율주행자동차 - 센서 + 통신 기반( 보안도 중요)


자율 주행 자동차 양면성

- 2010년 94프로가 전방 주시 태만으로 인한 사고임.

- 사고를 방지 할수도, 사고를 유발할 수도 있음


각 기능별 표준도 있음( 예) LKAS )


매년 130만명 사망자 발생, 부상자 수 5천만명

우리나라 -> 사망자 4980명 , 2010년 기준 5000명 사망자 발생시 경제적 손실 17조원

사망자를 줄이자. 


Vision Zero : 유엔이 교통사고 0으로 만들겠다는 계획

1. 안전한 차, 안전한 도로, 안전한 문화, ... 


ISO26262 동기 및 목적

     - 전기전자시스템이 점점 복잡해진다. - 검증 방법이 없음, 그래서 26262를 만들자라고 한것.


자동차 전자제어시스템의 구성

     1. 센서 

     2. 제어기(ECU)

     3. 엑츄에이터

               3개의 조합이면 26262이 전체에 해당

               만약 센서가 제어기와 관련이 없으면 일부만 해당, 관련이 있으면 전체에 해당

               결국 제어기가 가장 핵심


시스템 어레이 -> 크루즈 컨트롤 -(엑셀 - 브레이크 - ... ) -> 아이템으로 정의 

제동 시스템 : ASIL D -> 직렬로 0.9의 신뢰도로 2개가 연결된 경우 0.81

병렬로 연결된 경우 : 등급이 내려갈 수 있다. 병렬로 연결된 경우를 0.981이라고 했는데, 계산은 어떻게?


RAMS? -> 기능안전의 철학이라고 생각한다?

Dependability 

     : aptitude of a product allowing to have the specified functional performances, at the right time, for the wanted period without damage for itself and its environment.


Safety + Availability ( Reliability : 얼마나 사용하느냐? 24시간중에 얼마나 사용하는가? + Maintainability) = > RAMS


신뢰성은 시간 함수이다 : 오래도록 정상작동, 이건 좀 확인해봐야 할듯, 정확히 기준이 무엇인지...

교체 비용 : 교체시간이 짧은게 좋음 ( 가용성 ), 원자력 발전소를 예를 들어 설명. 


Dependability 

JD Power, 

VDS(Vehicle Dependability Study ) 지수 :  차량 신인도(신뢰도(내구성)) 지수

  - 신차 구입후 2년 지난 차량 100대당 고장 차량???


RAMS 의 개념

- 제품 설계 단계에서 1의 노력 - 가장 중요함

- 공정 설계 노력 10이 필요

- 출하 이후 이를 개선하려면 100의 노력과 비용


RAMS 의 목적

- 개발비는 증가하나 AS비용 감소


프로세스가 아니라 기술력이라 주장


기계적 결함은 사전 신호가 나타나지만, 전자 시스템은 사전 신호가 없이 문제가 발생한다.


도요타 사태 - 징벌적 책임 1조 2000억 


back to the basic


2014년 10월 7일 미국 NHTSA에서 Safety와 Security 법제화 요청

NHTSA 홈페이지에 들어가면 있음 - 2년 뒤에 법제화 예측


DFSS (Design for Safety and Security) - 한양대 그룹

IEC62443(Security)


결국 무역 장벽이 속내?ㅋ


Shall : 의무사항

Should : 약한 의무사항

Work Product : 산출물 

0 : 고객 요구사항 >> ? 확실치 않음

+ : 해야한다?

++ : 무조건 해야한다.


위험은 사람에 대해서만 결정된다.


강제 규정, 임의규정으로 나뉜다.

강제 규정을 만족못하면 수출이 안됨

PL법 ( Product Liability)



======================= 오후 ==========================


미국이 사고율이 높은 이유는 차량 주행 시간이 많기 때문이다. 즉 사고에 노출되는 시간이 많으므로 확률적으로 높기 때문이다.


기능 안전의 원칙


1원칙 : 인터페이스가 핵심이다. 물병을 예를들어 물병입구를 중심으로 설계를 해야한다.

각 모듈간 입출력 정의가 가장 중요하며, 가장 처음으로 고려할 사항


2원칙 : 간섭이 있나 없나  interference? 

                    PDCA

Plan -> DO -> Check -> Action                  


포드는 차량의 색상 변경하는데 20년이 걸렸다,. 

그러한 이유는 리디자인 사이클을 고려하지 않았기 떄문이다.



용어 정의

Harm : 사람의 피해에 대한 정도

Risk : Harm 의 발생 확률과 정도



walkthrough :  간단하게 확인?

inspection :  절차를 통해, 회의를 하는 것?

item : 26262 대상이 되는 최소 단위

element : 아이템 하위 레벨를 각각 엘리멘트라 한다.

part : 하드웨어에서 최소 엘리멘트 단위

unit : 소트프웨엉[서 최소 엘리멘트 단위?

component :

S/W tool :  qualification 받은 툴 ->소프트웨어를 검증하는 툴 같음.



안전 수명 주기 (Safety lifecycle)



예) 스마트 와이퍼 시스템 : 비가 오면 빗물량을 감지하여 0.5초 이내에 부드럽고 소리없이 앞 유리창을 닦여야(기능) 한다. 

나머지는 비기능, 

잘못된 요구 정의이다.

왜냐하면, 테스트, 검증, 구현 능력이 가능해야한다.

기능 : 앞 유리 닦음

0.5초 : 비기능 이지만, 환경적인 요인에 따라 안전과 관련 있을 수 있다. 예를 들어 폭우가 내릴때

=> 따라서 기능과 비기능에 대해서도 해야한다.


HNR , HARA : Hazard analysis and risk assessment

SEC??

HA와 RA를 어떻게 하는지 찾아보자


SIL -> ASIL

정량적 평가 기준은 하드웨어만 있음

소프트웨어는 정량적 평가가 없음


CMMI(카네기 멜론 대학에서 만듬) - 소프트웨어에 많이 치우져져 있는 경우

ASIL 을  만족하면 CMMI도 만족하지만, CMMI만족한다고 해도 ASIL은 만족할 수 없다.


=================== 용어 정의 =======================


harm : 사람에게 가해지는 물리적인 피해나 손상

risk : harm의 발생 빈도와 정도

Hazard :  아이템의 고장으로 인한 발생되는 harm의 잠재적인 소스, 위험원

safety : 불합리한 위험을 제거하는 것

safety culture : 가장 중요한 안전 문화


ALARP : As Low As Reasonably Practicable (UK), 통념보다 더 안전하게 

GAMAB : Globalement Au Moin Aussi

MEM :

 

Fault : 결함, 부분적인 문제? 

Error : 에러, 실측치와 보여주는 값이 다른 경우를 에러라 정의한다.

Failure : 고장, 완전 기능 상실


Minimal cut set : top down 방식

Single point fault : 하나의 결함으로 고장이 되는 경우를 말함.

두개 이상의 아이템의 결함으로 인해 고장으로 전파 되는 경우를 잡기 위한 방법이 FDA(Bottom up), 



allocation : 엘레멘트에 할당을 주는 것 ( 주로 완성차에서 해야할 일)


functional safety assessment : 아이템의 특성을 조사, 더 큰 개념   

functional safety audit : 제품을 구현하기 위해 프로세스를 정상적으로 따랐는지 확인하는 것, 청취를 한다. 가서 듣고 문제점을 찾는 것.

적격성이 부여된 사람이 가서 평가를 해야함.


ASIL decomposition


Availability

calibration data

candidate : 재사용을 위해 검증을 요청하는 아이템 또는 엘리멘트

cascade failure : 

common cause failure(CCF) : EMI, ESD

component

configuraion data

comfirmation measure : review, audit, assessment

comfirmation review : work product를 확인

controllability : 회피 능력

dedicated measures : 

degradation : 등급을 낮추는 것, 타이어가 터졌을 때, 속도가 50키로 이상 나지 않도록 만드는 것

dependent failure : 

detected fault : 결함 발견


Fault Classification 

지수 함수의 고장률, 지수함수를 따른다, 

안전한 고장을 람다s, 위험한 고장을 람다d, 위험하고 검출 가능 람다dd, 위험하고 검출불가능 람다du, 안전 검출 람다sd, 안전 검출불가능 람다su, -> 이 개념은 61508에 나와있음


26262에서는 SF, SF, DMPF( 자체 인식), PMPF(Perceive :  사람이 인지), LMPF, SPF/RF,

Fit (Failure in time)


development interface agreement(DIA) : 협력 개발 협약서, 법적 문제에서 중요함. 가장 처음에 제출함

diagnostic coverage : 진단 범위, 

distributed development

diversity : 다양하게 설계하라

dual-point fault

emergency operation : 비상 상황시 동작하도록 설계

exposure ; 발생확률

fault model : 

failure mode : 형태로 나타나는 고장, 오픈, 숏, 드리프트

failure model : 각 고장 부류에 따른 확률을 찾은 것


fault tolerant time interval :  결함 발생 후, 결함을 인식하는 시간과 이를 보정하는 시간, 안정화 후 다시 결함이 발생할때까지의 시간


field data

freedom from interference

functional concept

initial asil

model based development

partitioning

redundancy : 다중화, 듀얼코어락스텝(하드웨어로 만족),  타임 redundancy가 예이다(EMI을 피하기 위해서)

Safety case : 기능안전을 준수하며 안전하게 설계했다는 요약본, 법원 제출용, 고객 제출용, 우주 항공의 경우 300에서 350 페이지로 만듬

work product


ASIL Decomposition

- 등급에 따른 개발 비용이 2배라고 한다, 통계없음,

- 등급을 낮추는 것이 목적.

- 분해를 하더라도 원래 초기 등급에 맞춰서 산출물을 작성해야하는 것들이 있다.

- 안전 기능과 비안전 기능으로 분할 할 수 있다.

- () 안에 있는 것이 초기 ASIL 등급이다.


사례 ) Hydraulic Brake System (AEB)


Criteria for coexistence of elements

관련성이 있는 엘리멘트에서 하나의 엘리가 에이실 D라면 종속적인 엘리도 ASIL D로 설계해야함

FMEA , FTA


잘못된 예, 에이실 디를 에이실 디와 에이로 분해한 경우

예제1,  전체 시스템의 에이실 디를 안전 기능과, 비안전 기능과 분리하여, 비안전 기능은 큐엠으로 안전관련 기능은 에이실 디로 한 예


소프트웨어로 redundancy 하는 방법 , 같은 프로세스에 하는 방법과, 다른 프로세스에 하는 방법,

즉 다른 방법으로 같은 작업 수행 후 비교하여 결정



반응형

'IT Technology' 카테고리의 다른 글

ISO 26262 교육( 3일차 )  (0) 2015.07.28
ISO 26262 교육( 2일차 )  (0) 2015.07.28
ISO 26262 정리  (4) 2015.07.15
애플iOS로 작동되는 드론 등장  (0) 2015.05.15
ADAS AVM Dynamic Calibration  (0) 2015.04.14