엑셀 페달 센서의 하드웨어 엘리먼트 평가 수행을 위한 SEooC 적용 사례 연구

1. 서 론

ISO 26262-8:2018, 13절의 하드웨어 엘리먼트 평가는 기능안전 ISO 26262 표준을 준수하여 개발되지 못한 QM 수준의 하드웨어 엘리먼트가 기능안전 ISO 26262 표준을 준수하여 개발하고자 하는 아이템, 시스템 또는 엘리먼트의 일부로서 사용(통합)할 때 그 하드웨어 엘리먼트가 사용(통합)에 적합하다는 증거를 제공하기 위한 것이다.^1,2) 이러한 하드웨어 엘리먼트 평가는 아이템이 정의되어 있는 어플리케이션 컨텍스트 내에서 수행되어야 함으로,¹⁾ 대게 아이템으로부터 도출되어 하드웨어 엘리먼트로 할당된 안전 요구사항을 기반으로 평가를 수행하게 된다. 하지만, 자동차 산업 현장에서는 때때로 평가 대상 하드웨어 엘리먼트에 대한 특정 하드웨어 안전 요구사항이 없이, 단지 ‘기능안전 ISO 26262 표준을 준수하여 특정 ASIL 수준을 만족 할 것’이라는 매우 포괄적이고 모호한 요구사항만 주는 경우가 있다.²⁾ 사실 이 경우는 요구사항 개발 및 관리에 있어서 적절하지 못한 사례이다. 왜냐하면, 하드웨어 안전 요구사항에 따른 분석 및/또는 시험(기능, 성능, 신뢰성 시험)을 수행해야만이 평가 대상 하드웨어 엘리먼트가 적절한 기능적 성능을 가지고 있어, 이러한 하드웨어 엘리먼트를 적용하려는 아이템 또는 시스템의 하드웨어 설계에서 의도된 기능을 제공하는데 적합하다는 증거를 제공할 수 있기 때문이다.^1,2) 그럼으로 평가 대상 하드웨어 엘리먼트에 주어진 하드웨어 안전 요구사항 없이는 평가 수행이 어렵다. 하지만 그러함에도 불구하고, 이러한 사례는 자동차 시장에 적절한 시기의 제품 출시 요구와 더불어 수많은 다양한 제품의 개발을 위해 종종 직면하게 되는 상황이기도 하다. 이러한 상황을 그나마 적절히 대처할 수 있는 수단이 ISO 26262-10에서 제시된 SEooC방안³⁾이다. SEooC 기법을 적용함으로써, 하드웨어 엘리먼트 평가 수행을 위한 하드웨어 안전 요구사항을 생성할 수 있다.

SEooC는 말 그대로, 안전 관련 엘리먼트를 컨텍스트 밖에서 개발하는 것을 말한다.³⁾ 여기서 컨텍스트 밖(Out of context)이란 적용되는 차종 및 아이템이 명확하지 않는 상태에서 설계에 대한 적절한 가정(Assumption)을 통해 안전 요구사항을 도출하여 기능 안전을 수행하는 것을 말한다.^3,4) 이와 반대되는 경우가 컨텍스트 내(In context)이다. 이 경우는 차종 및 아이템이 명확하고 이에 따른 안전 목표 및 안전 요구사항이 주어진 상태로서 기능안전 ISO 26262 표준을 준수하는 개발의 일반적인 형태이다.⁴⁾ 하지만, 범용 엘리먼트의 개발과 같은, 어느 특정 안전 관련 엘리먼트는 종종, 최종적으로 적용될 차종 및 아이템에 대한 정보를 정확하게 알 수 없는 경우가 발생하게 되는데, 이러한 상황을 적절하게 대처하기 위한 수단으로 컨텍스트 밖(Out of context) 기법을 활용한다.^3,4) 물론, SEooC가 하드웨어 엘리먼트 평가를 위해 제안된 것은 아니나, 자동차 메이커 또는 시스템 통합 업체로 부터 주어진 하드웨어 안전 요구사항이 없는 하드웨어 엘리먼트 평가에도 응용이 가능하다.

본 논문에서는 기능안전 ISO 26262 표준을 준수하여 개발되지는 않았으나, 지난 십 수년간 자동차 시장에서 문제없이 사용해 왔던 APS 센서에 대하여 SEooC 기법을 적용한 하드웨어 엘리먼트 평가 방안을 제시한다. 이를 위해서, 특정 어플리케이션 컨텍스트를 가정하여 APS 센서 수준의 하드웨어 안전 요구사항을 도출하고, 도출된 하드웨어 안전 요구사항에 기반한 하드웨어 엘리먼트 평가 수행 과정을 설명한다.

2. 용어 정의

APS 센서에서 사용되는 주요 용어를 다음과 같이 정의하였다.

3. 하드웨어 엘리먼트 평가 대상

평가 대상 하드웨어 엘리먼트는 Fig. 1에서 나타낸 바와 같이 차량의 가속 페달에 장착되어 운전자의 가속 의지를 전자 신호 형태로 출력하는 APS(Accel Pedal Sensor) 센서이다.

Fig. 1

Accel pedal assy & Accel pedal sensor

안전상의 이유로 출력은 완전히 분리된 두 개의 아날로그 출력인 PPS 1과 PPS 2를 가진다. PPS 2의 출력은 PPS 1의 1/2이다. 이는 두 출력 간의 상관관계를 통해 APS 센서에 대한 유효성을 ECU가 확인하기 위함이다. Fig. 2는 APS 센서의 페달 각도에 따른 PPS 1과 PPS 2에 대한 출력 그래프이다. Table 1에 기술된 PPS에 대한 설명에 보다시피 PPS 전압 값의 범위는 ECU로부터 공급받은 전압에 따라 달라진다.

Fig. 2

APS sensor output graph

Table 1

Term & description

4. 어플리케이션 컨텍스트의 가정

APS 센서에 대한 안전 요구사항을 명세하기 위하여 SEooC 기반의 가정(Assumption)³⁾을 통해 아이템을 정의하고 HARA 분석⁵⁾을 수행한다. APS 센서의 최종 어플리케이션은 엔진 제어시스템이다. HARA 분석⁵⁾의 결과로 안전 목표가 도출되고 ASIL 등급이 지정되었다면, 안전 목표로 부터 파생된 FSR 및 TSR을 명세한다. 이후 명세 된 TSR로 부터 APS 센서에 대한 안전 요구사항은 명세 되어진다.

단, 적절하지 못한 가정은 잘못된 하드웨어 엘리먼트 평가로 이어지게 됨으로 주의해야 한다.

4.1 아이템의 가정

4.1.1 아이템 정의

Fig. 3은 아이템의 아키텍처를 나타낸 그림이다. APS 센서가 적용될 아이템은 각종 센서로 부터 수집된 정보를 분석하여 엔진의 출력을 최적의 상태로 제어하는 엔진 제어 시스템이다.

Fig. 3

ITEM architecture

4.1.2 아이템의 주요 기능

① 차량의 엔진 출력 증가 기능:

운전자의 가속 의지를 반영하여 차량의 엔진 출력을 증가시킴.

a. APS 센서의 증가된 회전각에 상응하는 만큼 Throttle Body의 열림을 증가시킨다.

b. APS 센서의 증가된 회전각에 상응하는 만큼 Injector의 연료 분사를 증가시킨다.

② 차량의 엔진 출력 감소 기능:

운전자의 감속 의지를 반영하여 차량의 엔진 출력을 감소시킴.

a. APS 센서의 감소된 회전각에 상응하는 만큼 Throttle Body의 열림을 감소시킨다.

b. APS 센서의 감소된 회전각에 상응하는 만큼 Injector의 연료 분사를 감소시킨다.

4.2 위험원 분석 및 리스크 평가

위험원 분석 및 리스크 평가인 HARA 분석⁵⁾을 통해 APS 센서가 적용될 아이템의 안전 목표와 ASIL 등급을 가정한다. 엔진 제어 시스템에서의 위험원은 APS 센서 결함이며, 리스크는 이로 인한 주행 중 의도치 않는 차량의 가속 또는 감속에 따른 차량 추돌이다. Table 2와 Table 3은 APS 센서에 대한 HARA 분석 내용을 보여준다. 참고로 HARA 분석에 대한 수행 절차 및 방안은 ISO 26262-3:2018⁵⁾에 자세히 설명되어 있다.

Table 2

HARA analysis results 1 for APS

Table 3

HARA analysis results 2 for APS

4.3 안전 목표 및 ASIL 등급

4.2 HARA 분석⁵⁾의 결과로 다음과 같은 안전 목표(SG) 및 ASIL 등급을 도출하였다.

Table 4

Safety goal and ASIL level

4.4 안전 상태 및 FHTI

APS 센서 고장이 발생한 경우라도 엔진 제어시스템에 대한 리스크가 비합리적인 수준이 없는 운영 모드인 안전 상태(Safe state)는 Table 5에 나타나 있다. 그리고, APS 센서 결함으로 부터 엔진 제어시스템이 안전 상태로 도달하기까지의 시간인 FHTI(결함 처리 시간 간격)는 500 ms 로 가정하였다.

Table 5

Safety status and FHTI

아래 Table 5에서 나타낸 바와 같이 안전 상태 및 FHTI 시간은 SG1과 SG2에 대해 동일하다.

4.7 외부 안전 메커니즘의 가정(Assumption)

하드웨어 엘리먼트 평가 대상인 APS 센서는 내부 진단을 위한 안전 메커니즘이 없다. 그럼으로 ECU는 APS 센서의 출력 신호 품질에 문제가 없음을 보장하기 위하여 필연적으로 APS 센서를 모니터링 하고, 모니터링 결과에 따른 조치를 수행하여야 한다. APS 센서 입장에서 ECU의 이러한 행위는 외부 안전 메커니즘에 해당된다. Tables 6~8에 나타난 바와 같이 3가지의 외부 안전 메커니즘이 ECU 측에 구현되어 있을 것으로 가정한다.

Table 6

Assumption for external safety mechanism 1

Table 7

Assumption for external safety mechanism 2

Table 8

Assumption for external safety mechanism 3

4.8 하드웨어 안전 요구사항

‘4.6 기술 안전 요구사항’으로 부터 하드웨어 안전 요구사항을 도출하여 명세한다.⁷⁾ ASIL 분해는 적용하지 않는다. 모든 HSR에 대한 ASIL등급은 B이다. 다음의 Tables 9~13은 APS 센서에 대한 하드웨어 안전 요구사항을 명세한 것이다.

Table 9

Hardware safety requirement 1 for APS

Table 10

Hardware safety requirement 2 for APS

Table 11

Hardware safety requirement 3 for APS

Table 12

Hardware safety requirement 4 for APS

Table 13

Hardware safety requirement 5 for APS

5. 하드웨어 엘리먼트 평가 수행

‘4.8 하드웨어 안전 요구사항’을 기반으로 APS 센서에 대한 하드웨어 엘리먼트 평가를 수행한다. APS 센서는 내부 고장을 제어 또는 검출하기 위한 자체 안전 메커니즘이 없음으로 ISO 26262-8:2018, 13절에 따라 Class Ⅱ로 분류된다.¹⁾ 이에 따라 평가는 분석과 시험을 적절히 선택하여 수행한다.¹⁾

5.3 고장 모드 및 고장 시나리오

하드웨어 고장 분석을 수행하기에 적합한 정보를 제공하기 위하여 평가 대상인 APS 센서에 대한 고장 모드 및 고장 시나리오를 기술한다. 이를 위해 ISO 26262-5, Annex Table D.1⁷⁾과 ISO 26262-11, Table 53⁸⁾을 참조하였으며, 전문가의 현장 경험을 최종 반영하여 기술 하였다. Table 14와 Table 15는 APS 센서 출력인 PPS 1과 PPS 2에 대한 고장 모드 및 고장 시나리오를 보여준다.

Table 14

Failure mode and failure scenario for PPS 1

Table 15

Failure mode and Failure scenario for PPS 2

5.4 정량적 안전 분석

하드웨어 우발 고장에 대한 정량적 평가는 아이템 수준에서 평가되어야 함으로, 일반적으로 하드웨어 엘리먼트 평가 수준에서 이루어지는 것은 아니다.^1,2,6) 하지만, 본 논문에서는 SEooC 기법³⁾을 적용하여 어플리케이션 컨텍스트를 가정하였을 뿐만 아니라, 이러한 상황에서 APS 센서를 적용할 것으로 기대 하였기 때문에 가정된 아이템 수준의 APS 센서에 대한 정량적 평가를 수행하였다.

5.4.1 기본 고장율(Base Failure Rate) 산출

정량적 안전 분석을 수행하기 위하여 APS 센서의 두 출력 단인 PPS 1과 PPS 2에 대한 기본 고장율 값을 산출한다. 기본 고장율 계산은 ‘IEC TR 62380, 11.7 Non wire wound cermet potentiometer(one or several turn)’에 근거하였고, 미션 프로파일은 ‘IEC TR 62380: Table 11- Mission profiles for automotive’를 적용하였다.⁹⁾ 그리고 보수적으로 계산하기 위하여 De-rating factor의 τ _off를 ‘0’으로 적용하였으며, 계산 수식은 다음과 같다.⁹⁾ 단, 계산 과정은 생략하였다.

$\[ \lambda =0.3\left(\left[\frac{\sum _{i=1}^y{\left({\pi }_t\right)}_i\times {\tau }_i}{{\tau }_{on}+{\tau }_{off}}\right]\times {\pi }_Y+1.2\times {10}^{-3}\times \left[\sum _{i=1}^j{\left({\pi }_n\right)}_i\times {\left(∆T_i\right)}^{0.68}\right]\right)\times {10}^{-9}/h \]$

① PPS 1의 기본 고장율 값

0.3* (3.9634* 1 + 1.2 * 10-3* 3038.541) = 2.283 Fit

② PPS 2의 기본 고장율 값

0.3* (6.3298* 1 + 1.2* 10-3* 3038.541) = 2.993 Fit

5.4.2 FMEDA 수행

SG1과 SG2에 대한 FMEDA를 수행한다. 차량 수명 시간 T _Lifetime은 10만 시간(차량의 년중 운행시간인 500 h⁹⁾ X 차량의 수명 시간인 20년 X 보수적으로 평가하기 위해서 10배를 곱해 줌)으로 하였다. 다음의 Fig. 4, Fig. 5는 SG1과 SG2에 대한 FMEDA 수행 결과를 보여주는 FMEDA 결과서이다. 참고로 FMEDA 분석 기법에 관한 참고할 만한 문헌은 ISO26262-5: 2018 Annex E⁷⁾와 ISO26262-11:2018 Annex C, Annex D⁸⁾이다.

① SG1 - 의도하지 않은 엔진 출력의 증가는 방지되어야 한다.

Fig. 4

FMEDA Result for SG1

② SG2 - 의도하지 않은 엔진 출력의 감소는 방지되어야 한다.

Fig. 5

FMEDA Result for SG2

5.5 하드웨어 엘리먼트 평가 결과

ISO 26262-8:2018, 13.4.3.6 절을 참조하여 하드웨어 엘리먼트 평가 결과서를 작성한다.¹⁾ 다음은 APS 센서에 대한 평가 결과이다.

5.5.1 하드웨어 엘리먼트 정보

Table 16은 APS 센서 출력 단인 PPS 1, PPS 2에 대한 내부 회로와 Class 등급을 보여준다.

Table 16

Hardware element information for APS

5.5.2 기본 고장율, 고장 모드, 고장 모드 분포율

Table 17은 ‘5.3 고장 모드 및 고장 시나리오’에 기술된 10개의 고장 모드에 대한 기본 고장율, 고장 모드, 고장 모드 분포율을 나타낸 것이다. 기본 고장율은 위의 ‘5.4 정량적 안전 분석’에서 계산 되어졌으며, 고장 모드 분포율은 전문가 판단에 의해 균등 분할되었다.

Table 17

Base failure rate, failure mode, failure mode distribution for APS

5.5.3 APS 센서에 대한 기능 및 성능 시험 결과

APS 센서에 대한 기능 및 성능 시험 결과서 및 환경 시험을 포함하는 신뢰성 시험 결과서는 지면상의 이유로 본문에 포함되지 않았다. 하지만, ‘5.1 하드웨어 엘리먼트 평가 계획 및 시험 계획’에 따라 APS 센서에 대한 기능 및 성능 시험을 수행하였고, 모든 시험 항목을 통과하였다. 이를 통해 APS 센서에 할당된 하드웨어 안전 요구사항의 완전하고 올바른 구현을 검증 하였다. 그리고 신뢰성 시험을 수행하여 스트레스 상황에서의 내구성, 강건성을 입증하였다.

5.5.4 FMEDA 수행결과

안전 목표 1과 2에 대한 하드웨어 우발 고장에 대한 정량적 분석 결과는 Fig. 4, Fig. 5에서 나타낸 바와 같이

$\[ \begin{array}{l}\mathrm{S}\mathrm{G}1-\mathrm{S}\mathrm{P}\mathrm{E}\mathrm{M}:95.6\mathrm{\%},\mathrm{ }\mathrm{L}\mathrm{F}\mathrm{M}:92.09\mathrm{\%},\mathrm{P}\mathrm{M}\mathrm{H}\mathrm{F}:0.23\mathrm{F}\mathrm{i}\mathrm{t}\\ \mathrm{S}\mathrm{G}2-\mathrm{S}\mathrm{P}\mathrm{E}\mathrm{M}:95.6\mathrm{\%},\mathrm{ }\mathrm{L}\mathrm{F}\mathrm{M}:92.09\mathrm{\%},\mathrm{P}\mathrm{M}\mathrm{H}\mathrm{F}:0.23\mathrm{F}\mathrm{i}\mathrm{t}\end{array} \]$

으로서, ASIL B 수준의 정량적 목표 값을 만족하였다. 아래 Table 18은 ISO26262-5:2018에 명시된 하드웨어 우발 고장에 대한 ASIL B 수준의 정량적 목표 값이다.

Table 18

Quantitative target value of random hardware failure for ASIL B level

5.5.5 하드웨어 엘리먼트 평가 논거

Table 19는 APS 센서에 대한 하드웨어 엘리먼트 평가 논거이다. 이를 통해 APS 센서가 기능안전 ISO 26262 표준을 준수하여 개발하려는 엔진 제어 시스템에 통합되는 것이 문제가 없음을 보여준다.

Table 19

Argument of EHE(Evaluation of hardware elements) for APS

• ㆍ Assumption of application context for APS : APS에 대한 어플리케이션 컨텍스트 가정 문서
• ㆍ APS functional test report : 가정된 요구사항에 따른 기능 및 성능 시험 결과서
• ㆍ APS reliability test report : 가정된 요구사항에 따른 신뢰성 시험 결과서
• ㆍ FMEDA report : 가정된 어플리케이션 컨텍스트에 따른 FMEDA 결과서

다음 내용을 근거로 하여, 본 문에서 가정된 상황에 따라 APS 센서를 사용할 경우, 목표한 ASIL B 수준을 만족하였다.

• 1) 안전 목표 및 기능 안전 요구사항, 그리고, 기술 안전 요구사항을 가정하여 하드웨어 안전 요구사항을 도출하였다.
• 2) 정량적 평가를 위하여 외부 안전 메커니즘을 가정하였고, 이에 대한 진단 커버리지 값을 산정하였다.
• 3) 가정된 상황에서 하드웨어 엘리먼트 평가 계획을 수립하고 계획에 따라 하드웨어 엘리먼트 평가를 수행하였다.
• 4) APS 센서에 대한 기능 및 성능 시험을 통해 APS 센서에 할당된 하드웨어 안전요구사항의 완전하고 올바른 구현을 검증하였다. 그리고 신뢰성 시험을 통하여 스트레스 상황에서의 내구성, 강건성을 검증하였다.
• 5) APS 센서에 대한 정량적 안전 분석인 FMEDA 수행을 통하여 HAM과 PMHF 값을 평가하여 ASIL B 수준의 목표 값을 만족하였음을 입증하였다.

6. 결 론

본 논문은 지난 십 수년간 자동차 시장에서 문제없이 사용해 왔던 QM 수준의 APS 센서를 기능안전 ISO 26262 표준을 준수하여 개발 하려는 아이템 또는 시스템의 일부로 사용(통합) 할 때 요구되는 하드웨어 엘리먼트 평가 수행에 있어서, SEooC 기법을 적용한 방안을 구체적인 사례를 들어 소개하였다.

서론에서 밝혔듯이, 하드웨어 엘리먼트 평가를 수행 하기 위해서는 평가 대상 하드웨어 엘리먼트에 주어진 하드웨어 안전 요구사항이 필요한데, 자동차 산업 현장에서는 때때로 이러한 하드웨어 안전 요구사항 없이 하드웨어 엘리먼트 평가를 수행해야 하는 경우가 있다. 이를 해결 하기 위해 ISO 26262-10에서 제시된 SEooC 기법을 활용하여 하드웨어 안전 요구사항을 생성하였으며, 생성된 하드웨어 안전 요구사항에 기반한 하드웨어 엘리먼트 평가를 수행하였다.

이를 통해, 가정된 상황에서 APS 센서를 사용할 경우, 통합에 대한 문제가 없음을 입증하였고, 자동차 메이커 또는 시스템 통합 업체로부터 요구된 특정 ASIL 수준이 만족하였음을 증명 하였다.

References

• ISO 26262-8:2018, Road Vehicles Functional Safety Part 8: Supporting Processes, 2nd Edn., 2018.
• B. K. Park and S. H. Lee, “Understanding and Case Study of Hardware Integration by Evaluation of Hardware Elements,” Transactions of KSAE, Vol.28, No.10, pp.693-700, 2020. [https://doi.org/10.7467/KSAE.2020.28.10.693]
• ISO 26262-10:2018, Road Vehicles Functional Safety Part 10: Guidelines on ISO 26262, 2nd Edn., 2018.
• S. H. Lee and B. K. Park, “The Study on Application SEooC by Use Case Analysis of Pressure Sensor,” Transactions of KSAE, Vol.28, No.8, pp.515-520, 2020. [https://doi.org/10.7467/KSAE.2020.28.8.515]
• ISO 26262-3:2018, Road Vehicles Functional Safety Part 3: Concept Phase, 2nd Edn., 2018.
• ISO 26262-4:2018, Road Vehicles Functional Safety Part 4: Product Development at the System Level, 2nd Edn., 2018.
• ISO 26262-5:2018, Road Vehicles Functional Safety Part 5: Product Development at the Hardware, 2nd Edn., 2018.
• ISO 26262-11:2018, Road Vehicles Functional Safety Part 11: Guidelines on Application of ISO 26262 to Semiconductors, 2nd Edn., 2018.
• International Electrotechnical Commission, IEC TR 62380 Edition 1.0: Reliability Data Handbook - Universal Model for Reliability Prediction of Electronics Components, PCBs and Equipment, IEC, 2004.