About the Journal | Browse Archives | For Reviewers | For Authors |
Sorry.
You are not permitted to access the full text of articles.
If you have any questions about permissions,
please contact the Society.
죄송합니다.
회원님은 논문 이용 권한이 없습니다.
권한 관련 문의는 학회로 부탁 드립니다.
[ Article ] | |
Transactions of the Korean Society of Automotive Engineers - Vol. 28, No. 10, pp. 693-700 | |
Abbreviation: KSAE | |
ISSN: 1225-6382 (Print) 2234-0149 (Online) | |
Print publication date 01 Oct 2020 | |
Received 28 Nov 2019 Revised 08 Jun 2020 Accepted 25 Jun 2020 | |
DOI: https://doi.org/10.7467/KSAE.2020.28.10.693 | |
하드웨어 엘리먼트 평가에 의한 하드웨어 통합의 이해와 사례 연구 | |
박병규*
; 이승환
| |
에스피아이디 엔지니어링 사업본부 | |
Understanding and Case Study of Hardware Integration by Evaluation of Hardware Elements | |
Byoungkyu Park*
; Seunghwan Lee
| |
Engineering Division, SPID Co., Ltd., 145 Gasan digital1-ro, Geumcheon-gu, Seoul 08506, Korea | |
Correspondence to : *E-mail: pbk@espid.com | |
Copyright Ⓒ 2020 KSAE / 179-05 This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons.org/licenses/by-nc/3.0) which permits unrestricted non-commercial use, distribution, and reproduction in any medium provided the original work is properly cited. | |
In general, the items to be developed in accordance with the ISO 26262 standard are mostly products that will be integrated by a number of companies, rather than a single product of one company. In this situation, there will be no issues if the product to be integrated is developed in compliance with the ISO 26262 standard and above the target ASIL level. If not, problems may arise with integration. The proposed solution to this is either the evaluation of the hardware elements in ISO 26262-8, clause 13, or the proven in use argument of ISO 26262-8, clause 14. This paper examines the contents and methods with regard to the evaluation of hardware elements in ISO 26262-8, clause 13, which is one of the methods used to determine the eligibility for integration when integrating hardware elements into a system or item to be developed in accordance with the ISO 26262 standard. Also, a method of integrating hardware elements in a variety of cases is proposed through an engine control system. In addition, the process of integrating a QM-level hardware component, stop lamp switch, into an ICU system to be developed in compliance with the ISO 26262 standard was explained in order to promote understanding of the method for the evaluation of hardware elements.
Keywords: Functional safety, ISO 26262, Evaluation of hardware elements, Hardware integration, Re-qualification, Engine control system, Stop lamp control system 키워드: 기능안전, 자동차 기능 안전성 국제 표준, 하드웨어 엘리먼트 평가, 하드웨어 통합, 재 인정, 엔진 제어 시스템, 스탑 램프 제어 시스템 |
기능안전 ISO 26262 표준은 2011년 11월 1판을 발간한 이래로 국내외 자동차 산업 품질 향상에 많은 영향을 끼치고 있다. 하지만, 여전히 산업 현장에서는 기능안전 ISO 26262 표준에 대한 내용을 잘못 이해하는 경우가 종종 있다. 그리하다 보니, 자동차 메이커들이 하드웨어 엘리먼트를 공급하는 부품사들에게 적절하지 못한 요구사항을 전달하는 경우를 심심치 않게 목격하게 된다. 예컨대, 기능 안전 ISO 26262 표준 발행 이전에 개발되었으며, 현재까지 시장에서 아무런 문제없이 사용되고 있는 QM 수준의 하드웨어 엘리먼트 제품에 대해 할당된 하드웨어 안전 요구사항 없이 그저 “기능 안전 ISO 26262 표준을 준수하여 특정 ASIL 등급에 만족할 것”이라는 요구사항이다.
일반적으로 ‘기능안전 ISO 26262 표준을 준수하여 개발되었다.’ 라는 의미는 차량 수준의 아이템이 정의된 상황에서 HARA 분석 수행의 결과로 ASIL 등급 및 안전 목표가 수립되고, 수립된 안전 목표에 따라 도출된 안전 요구사항들을 충족시켰다는 의미이다. 이러한 안전 요구사항들을 충족시키기 위해서는 ASIL 등급 별 기능 안전 ISO 26262 표준에서 요구된 요구사항 및 프로세스를 준수하여 관련 산출물들을 생성하고, 생성된 산출물들에 대한 검증 및 확인을 수행해야 하며, 이와 더불어 (ASIL B 이상일 경우에 해당) 하드웨어 우발 고장에 대한 정량적 목표 값인 HAM 값과 PMHF 값을 평가하여 목표 값 이내인지를 확인하여야 한다. 그럼으로, 처음부터 기능 안전 ISO 26262 표준을 준수하여 개발되지 못한 하드웨어 엘리먼트의 경우, 위의 활동을 하지 않았기 때문에, “기능 안전 ISO 26262 표준을 준수하여 특정 ASIL 등급을 만족해야 할 것” 이라는 요구사항은 다소 무리가 있다.
이 경우에 대하여 적용할 수 있는 ISO 26262 표준은 ISO 26262-8:2018, 13절의 하드웨어 엘리먼트 평가1) 또는 14절의 사용 입증 논거1)이다. 이 중 ISO 26262-8:2018 14절의 사용 입증 논거의 경우 現, 국내 산업 여건상 적게는 수년에서 많게는 수십 년간 축적된 필드 데이터가 없음으로 인해, 이를 적용하기가 어렵다. 그렇기 때문에, 대개의 경우 ISO 26262-8:2018, 13절의 하드웨어 엘리먼트 평가를 적용하게 된다.
하드웨어 엘리먼트 평가는 기능 안전 ISO 26262 준수하지 못한 하드웨어 엘리먼트가 기능 안전 ISO 26262 표준을 준수하여 개발하려는 아이템, 시스템 또는 더 큰 규모를 갖는 하드웨어 엘리먼트의 일부로 사용할 때, 그 하드웨어 엘리먼트가 적합하다는 증거를 제공하기 위한 활동이다.1) 즉, 다시 말하자면, QM 수준의 하드웨어 엘리먼트를 기능안전 ISO 26262 표준을 준수하여 개발하고자 하는 시스템, 아이템 또는 엘리먼트의 일부로 편입(통합) 하고자 할 때 편입(통합)에 대한 자격 여부를 평가하기 위한 활동으로서, 기능 안전 ISO 26262 표준 준수에 대한 대체 수단이다.1)
본 논문은 이러한 하드웨어 엘리먼트 평가에 대한 내용을 ISO 26262-8:2018, 13절1) 중심으로 살펴보고, QM 수준의 하드웨어 엘리먼트가 어떻게 기능 안전 ISO 26262 표준을 준수하여 개발하려는 시스템 또는 아이템에 편입(통합)이 되는지를 두 가지 사례를 통해 보여준다. 또한 하드웨어 엘리먼트 평가에 필요한 절차 및 방안을 기능 안전 ISO 26262 2nd 버전에 맞게 제시한다.
안전 관련으로 식별되고, 기능안전 ISO 26262 표준에 따라 개발되지 않았지만, 현업에서 문제없이 사용하던 하드웨어 엘리먼트들을 대상으로 하며, 재 사용 가능한 하드웨어 모듈 및 하드웨어 COTS(Commercial Off-the-Shelf) 제품들을 포함한다.1)
하드웨어 엘리먼트 평가는 특정 어플리케이션 컨텍스트 내에서 수행된다.1) 그럼으로, 컨텍스트 내(In Context)인 경우 아이템으로 부터 도출되고 할당된 안전 목표 및 안전 요구사항을 기반으로 평가를 수행하고, 컨텍스트 밖(Out of Context)인 경우에는 SEooC2) 기반의 가정(Assumption)된 안전 목표 및 안전 요구사항을 기반으로 평가를 수행한다.
하드웨어 엘리먼트 평가는 Systematic fault으로 인한 안전 목표 또는 안전 요구사항 위반 위험이 충분히 낮다는 논거를 제공하는 것을 달성 목표로 한다. 이를 위한 수단으로서 분석 또는 시험을 수행한다.1)
이를 통해 하드웨어가 적절한 기능적 성능을 가지고 있어, 기능안전 ISO 26262 표준을 준수하여 개발하려는 제품의 하드웨어 설계에서 요구하는 의도된 기능을 제공하는데 적합하다는 증거를 제공할 수 있다. 그리고 한계 시험, 가속 시험과 같은 시험 또는 분석의 수행은 알려진 고장 모드를 식별하고, 식별된 고장 모드 분포율을 정량화 하는데 유용하다. 뿐만 아니라 하드웨어 엘리먼트에 대한 알려진 사용 제한(Limits)을 확인하거나 새로이 식별하여 시스템 통합사가 하드웨어 엘리먼트 사용을 보다 적합하게 한다.1)
하드웨어 엘리먼트의 복잡도에 따라 평가를 달리하게 됨으로, ISO26262-8:2018, 13.4.1.1절에서 제시된 바와 같이 하드웨어 엘리먼트의 복잡도에 따라 Class I, Class II, Class III로 분류한다.1)
AEC-Q101,3) AEC-Q2004) 등과 같은 표준화된 인정이면 충분하다. 별도의 하드웨어 엘리먼트 평가 수행 없이 통합되어 기능안전 ISO 26262 표준에 따라 개발되어야 한다.1)
ISO26262-8 13.4.3.1 요구사항에 따라 분석 또는 시험을 적절히 선택하여 하드웨어 엘리먼트의 기능적 성능이 안전 컨셉의 목적에 부합되는지를 보장한다. 이를 통해 평가하려는 안전 관련 하드웨어 엘리먼트에 대한 충분한 강건성을 보장하고 엘리먼트 사용 제약 사항을 확인한다.1)
Class III 하드웨어 엘리먼트는 그 복잡성으로 인해 되도록 기능 안전 ISO 26262 표준에 따라 개발된 제품을 사용할 것을 권장한다. 그럼에도 불구하고 Class III 하드웨어 엘리먼트에 대한 평가를 수행할 경우, 아래의 요구사항들을 만족하여야 한다.1)
Fig. 1은 기능 안전 ISO 26262 표준을 준수하는 엔진 제어 시스템을 개발 때, 통합 하려는 개별 하드웨어 엘리먼트들에 대한 통합 사례를 보여준다.
먼저 Fig. 1의 내용을 설명하기에 앞서, Fig. 1에서 표기된 안전 관련 대상 여부 및 평가 여부에 대한 표기들은 하드웨어 통합에 대한 이해를 도모하기 위하여 가정하였음을 밝힌다. 즉, 단지 예시일 뿐이다.
통합하려는 개별 하드웨어 엘리먼트들에는 다음과 같이 두 가지 부류로 구분할 수 있다.
첫 번째인1)의 경우는 서로 다른 업체로 부터 제공되는 완제품 형태의 하드웨어 엘리먼트로서 컴포넌트 수준 이상의 하드웨어 제품들이다. 편의상 ‘A社~ I社’로 표기하였다.
‘A社’, ‘F社’, ‘I社’의 경우는 안전과 관련이 없는 비안전측 하드웨어 엘리먼트로 식별되었기 때문에, 기능안전 ISO 26262 표준을 준수하여 개발되지 않아도 통합하는데 문제가 없다. 즉, 이들 제품은 하드웨어 엘리먼트 평가 대상이 아니며, QM 수준으로 개발된 제품이면 충분하다.
나머지 ‘B社’, ‘C社’, ‘D社’, ‘E社’, ‘G社’, ‘H社’의 제품들은 안전 관련으로 식별되어 통합에 대한 자격 여부를 확인하여야 한다.
‘D社’와 ‘E社’는 기능안전 ISO 26262 표준을 준수한 제품은 아니지만, 유사 프로젝트에서 이미 하드웨어 엘리먼트 평가가 수행된 제품들로써 하드웨어 통합에 대한 자격이 충분하다. 그리고 ‘G社’와 ‘H社’ 역시, 통합될 시스템에 목표 ASIL 수준을 만족하여 개발된 제품들임으로 통합에 대한 자격이 충분하다.
하지만 이와는 달리 ‘B社’, ‘C社’는 안전 관련이긴 하나 통합에 대한 자격이 없는 제품들로써 ISO26262-8: 2018, 13절의 하드웨어 엘리먼트 평가1) 또는 14절의 사용 입증 논거1)를 통해 통합에 대한 자격을 획득하여야 한다.
기능안전 ISO 26262 표준에서는 하드웨어 엘리먼트 평가 수행의 주체를 특별히 지정하지 않았음으로, 할 수 있는 곳에서 수행하면 된다. 즉, 시스템 통합 업체이든 공급 업체이든 상관없다. 허나 하드웨어 엘리먼트 평가에 대한 최종 평가는 아이템 수준에서 이뤄져야 함으로, 이것은 적어도 시스템 통합 업체 수준에서 이루어져야 한다.1)
제시된 사례에서 ‘B社’의 경우는 시스템 통합 업체에서 하드웨어 엘리먼트 평가를 수행하는 경우이고, ‘C社’의 경우는 자신들의 제품에 대한 하드웨어 엘리먼트 평가를 수행하는 경우이다. 이 경우를 다른 말로 재 인정(Re-qualification) 이라고도 말한다. 왜냐하면, 이미 QM 수준의 품질 인정을 받은 제품을 다시 평가하는 것이기 때문이다.
두 번째인 2)의 경우는 엔진 컨트롤 유닛 내에서 부품으로 존재하는 하드웨어 엘리먼트들로서, Class I, Class II, Class III 하드웨어 엘리먼트들이 동일 공간 내에 서로 공존하는 경우이다.
Class I의 경우, 부품의 데이터 시트에 표기 되어있는 AEC-Q101,3) AEC-Q2004)과 같은 표준화된 인정이면 충분함으로 별도의 하드웨어 엘리먼트 평가는 필요치 않다.
Class II의 경우, 딸 보드(Daughter board)와 같은 별도의 하드웨어 엘리먼트 모듈로서 존재하거나, EGR motor drive circuit, CAN Interface circuit 등과 같은 하드웨어 컴포넌트로 분류 될 수 있는 회로 블록으로 존재하는 경우이다. 하드웨어 컴포넌트 회로 블록 경우, 일반적으로 신규 개발에 해당되어 기능 안전 ISO 26262 표준 개발 프로세스에 처음부터 편입된다. 그럼으로 굳이 별도의 하드웨어 엘리먼트 평가 수행을 요구하지 않는다. 그러나 사내 라이브러리에 있는 회로 블록을 적용하는 재사용 이거나 독립적으로 구성된 딸 보드(Daughter board)를 사용하는 경우는 ISO 26262를 준수한 유사 프로젝트에서 적용되어 그 자격을 입증한 경우를 제외 하고서는 안전 목표 위배 가능성 및 안전 요구사항을 충족시킬 수 있는지에 대한 기능 및 성능 시험 후에 제어기 개발에 포함시켜야 한다. 단, 신뢰성 시험의 경우, 단독으로 수행하기 어렵기 때문에 엔진 컨트롤 유닛 내 다른 하드웨어 부품과 함께 ISO 26262-5:2018, 10절 하드웨어 통합 및 검증8)에 따라 수행한다.
Class III의 경우, MCU 또는 특수 목적의 복잡한 ASIC이 해당될 수 있다. 이들은 기본적으로 기능 안전 ISO 26262 표준을 준수하여 개발된 제품을 선택할 것을 권한다. 물론 기능 안전 ISO 26262 표준을 준수하지 못한 MCU 제품을 사용할 수 있겠으나, 통합에 대한 자격을 평가하기 위한 노력과 비용을 고려한다면 기능 안전 ISO 26262 표준을 준수한 제품을 선택하는 것이 훨씬 좋다. 만약 부득이하게 기능안전 ISO 26262 표준을 준수하지 못한 Class III 수준의 하드웨어 엘리먼트를 사용할 경우, ISO 26262-8:2018, 13절의 하드웨어 엘리먼트 평가1)에서는 Class II 수준의 평가뿐만 아니라, 정성적 및/또는 정량적 안전 분석을 포함하는 추가적인 초치를 요구한다.
Fig. 2는 QM 수준의 하드웨어 엘리먼트인 Stop lamp switch를 하드웨어 엘리먼트 평가를 통해 기능 안전 ISO 26262 표준을 준수하는 시스템에 통합되는 과정을 설명하기 위해 준비된 예시이다. 통합되는 과정을 설명하기에 앞서 시스템의 이해가 선행되어야 함으로, Fig. 2에 표현된 아키텍처를 설명한다.
Stop lamp switch는 Inductive 방식의 비 접촉 스위치로서 운전자가 브레이크 페달을 밟으면 상호 반전된 이중 신호를 출력한다. 출력된 신호는 ICU로 입력되고, ICU는 Stop lamp switch로부터 입력된 신호를 판단하여 Stop Lamp를 점등시킨다.
Stop lamp의 점등 트리거로 사용된 Stop lamp switch는 기능안전 표준을 준수하여 개발되지 않았으나, 시장에서 오랫동안 문제없이 쓰던 제품으로서 내부 고장 진단을 위한 안전메커니즘이 없다. 따라서 이 하드웨어 엘리먼트는 ISO 26262-8:2018 13절1)에 의해 Class II로 분류된다. 그리고 자동차 메이커로부터 주어진 안전 목표와 안전 요구사항은 다음과 같다.
다음의 1)~7)번은 하드웨어 엘리먼트 평가에 의한 Stop lamp switch의 통합 과정을 설명한다.
본 논문은 기능안전 ISO 26262-8:2018, 13절 하드웨어 엘리먼트 평가1)에 대한 내용과 더불어 수행 방안을 살펴보았으며, 엔진 제어 시스템에 대한 개별 하드웨어 엘리먼트의 통합 사례를 제시하여 하드웨어 엘리먼트 통합에 대한 이해를 도모하였다. 뿐만 아니라, QM 수준의 Stop lamp switch를 기능안전 ISO 26262 표준을 준수하는 ICU 시스템에 통합하는 과정을 설명함으로서 자동차 메이커, 시스템 통합사, 부품사들 간의 역할과 책임을 제시하였다.
이를 통해 하드웨어 엘리먼트 평가 및 하드웨어 엘리먼트 통합을 수행할 때 자동차 메이커, 시스템 통합사, 부품사들 간에 올바른 이해와 더불어 합당한 적용을 기대 해 본다.
ASIC : | application specific integrated circuit |
ASIL : | automotive safety integrity level |
BFR : | base failure rate |
CAN : | controller area network |
DFA : | dependent failure analysis |
ECU : | engine control unit |
EGR : | exhaust-gas recirculation |
FMEDA : | failure modes effects and diagnostics analysis |
FSR : | functional safety requirement |
FTA : | fault tree analysis |
HAM : | hardware architecture metric |
HARA : | hazard and risk analysis |
HSR : | hardware safety requirement |
IC : | integrated circuit |
ICU : | integrated controller unit |
JEDEC : | joint electron device engineering council |
MCU : | micro controller unit |
PMHF : | probabilistic metric for random hardware failures |
QM : | quality management |
SEooC : | safety elements out of context |
SG : | safety goal |
‘4.2 QM 수준의 하드웨어 엘리먼트를 기능 안전 ISO 26262 표준을 준수하는 시스템에 통합하는 과정’에 대한 설명은 컨텍스트 내(In Context)를 기반으로 하였음으로 하드웨어 엘리먼트 평가를 수행할 업체는 상위 업체인 고객사로부터 명확한 요구사항을 할당 받는 것으로 상정하였다. 그러나 현장에서는 종종 명확한 요구사항을 할당 받을 수 없는 상황이 발생하게 된다. 이러한 상황에 대처할 수 있는 적절한 수단은 ISO 26262-10: 2018에서 제시된 SEooC2)이다.
향후 과제로서 이러한 SEooC 기반의 가정(Assumption)에 따른 하드웨어 엘리먼트 평가 방안 및 하드웨어 통합에 대한 연구가 필요해 보인다.
1. | ISO 26262-8:2018, Road Vehicles Functional Safety Part 8: Supporting processes, 2nd Edn., 2018. |
2. | ISO 26262-10:2018, Road Vehicles Functional Safety Part 10: Guidelines on ISO 26262, 2nd Edn., 2018. |
3. | AEC-Q101-Rev-D1, Failure Mechanism Based Stress Test Qualification for Discrete Semiconductors in Automotive Applications, AEC(Automotive Electronics Council) September 6, 2013. |
4. | AEC-Q200-Rev-D, Stress Test Qualification for Passive Electrical Devices, AEC(Automotive Electronics Council), June 1, 2010. |
5. | AEC-Q100-Rev-H, Failure Mechanism Based Stress Test Qualification for Integrated Circuits, AEC (Automotive Electronics Council), September 11, 2014. |
6. | JEDEC JEP122H, Failure Mechanisms and Models for Semiconductor Devices, 2016. |
7. | ISO 26262-9:2018, Road Vehicles Functional Safety Part 9: Automotive Safety Integrity Level (ASIL)-Oriented and Safety-oriented Analyses, 2nd Edn., 2018. |
8. | ISO 26262-5:2018, Road Vehicles Functional Safety Part 5: Product Development at the Hardware, 2nd Edn., 2018. |
9. | ISO 26262-4:2018, Road Vehicles Functional Safety Part 4: Product Development at the System Level, 2nd Edn., 2018. |