Failure mode classification of hardware element

ISO 26262 에서 하드웨어에 관한 내용은 Part 5를 통하여 확인할 수 있다.

시스템에서 발생하는 여러 Failure 중에서 하드웨어 엘리먼트와 관련된 Failure mode의 분류는 ISO 26262 Part 5 Annex B Figure B.1 를 통하여 확인할 수 있다. 

1. 안전에 관한 포커스에 맞춰서 안전과 관련된 Failure mode 인지 아닌지를 처음에 구분한다.

비안전관련된 하드웨어 엘리먼트의 Failure mode는 Safe fault라고 판단하고 해당 표준에서 별다른 조치를 취하지 않는다.

2. 안전과 관련된 하드웨어 엘리먼트의 Failure mode의 분류를 한다.

이 역시도 안전과 비안전관련된 내용으로 나누어서 생각하게 된다.

간단히 말하면, 안전목표를 위배할 가능성이 없다면 안전과 관련된 하드웨어 엘리먼트라고 할지라도 Safe fault로 판단한다는 것이다.

즉 요약하면 ISO 26262에서 말하는 하드웨어 엘리먼트의 Failure mode는 안전 목표를 위배할 가능성이 있는 Failure mode에서 핸들링하고 그 외에는 고려하지 않는다는 것이다.

(뭐, 하드웨어 엘리먼트 뿐만 아니라 다른 부분에서도 마찬가지이다. 이런 경우 QM 이라고 생각해도 무방하다)

3. 이제 고려해야 하는 하드웨어 엘리먼트 Failure mode는 4개로 좁혀진다.

3-1. Detected multiple point fault

3-2. perceived multiple point fault

3-3. Latent multiple point fault

3-4. Residual fault / single-point fault

위 4개 중 3개에 중복적으로 나오는 multiple point fault는 무엇일까?

모를 땐 ISO 26262 Part 1. Vocabulary를 참조해본다.

1.77 

multiple-point fault

individual fault that, in combination with other independent faults, leads to a multiple-point failure

NOTE. A multiple-point fault can only be recognized after the identification of multiple-point failure, e.g. from cut set analysis of a fault tree

다중점 결함

다른 독립 결함과 결합하여 다중점 고장을 이끄는 개별 결함

비고. 다중점 결함은 다중점 고장을 식별해야만 인식할 수 있다. 예를 들어 고장 트리의 컷셋 분석

알아보는 김에 다른 용어도 참고해서 확인해 보자

1.71

latent fault

multiple-point fault whose presence is not detected by a safety mechanism nor perceived by the driver within the multiple point fault detection interval

잠재 결함

다중점 결함 검출 간격 이내에 결함 발생 유무가 안전 메커니즘에 의해 감지되지 않고, 운전자에 의해서도 인식되지 않는 다중점 결함

1.96

residual fault

portion of a fault that by itself leads to the violation of a safety goal occurring in a hardware element, where that portion of the fault is not covered by safety mechanisms

NOTE. This presumes that the hardware element has safety mechanism coverage for only a portion of its faults.

EXAMPLE. if low (60%) coverage is claimed for a failure mode, the other 40% of that same failure mode is the residual fault.

잔존 결함

하드웨어 엘리먼트에서 발생하는 안전 목표의 위반을 야기하는 결함 부분으로, 안전 메커니즘에 의해 보호되지 않는다.

비고. 이것의 전제는 하드웨어 엘리먼트는 결함의 일부분에 대해서만 안전 메커니즘 커버리지를 갖는다는 것이다.

보기. 어느 한 고장형태 모드가 낮은 커버리지 (60%)를 갖는다고 한다면, 동일한 고장형태의 나머지 (40%)가 잔존 결함이다.

1.122

single-point fault

fault in an element that is not covered by a safety mechanism and that leads directly to the violation of a safety goal

NOTE. See also single point failure

단일점 결함

안전 메커니즘으로 보호되지 않으며, 안전 목표의 위반을 직접 야기하는 엘리먼트의 결함

비고. 단일점 고장도 참조

고려되어야 하는 안전 관련된 하드웨어 엘리먼트에서

1. 안전 메커니즘을 통해 안전 목표를 위배할 수 있는지 판단한다.

안전 메커니즘 없어도 되는 상황에서

1-1. 독립된 고장과 결합하여도 이상없다면, 위에서 말했던 것처럼 Safe fault

1-2. 독립된 고장과 결합하여 안전 목표를 위배할 수 있다면 Multiple point fault

2. 안전 목표를 위해 안전 메커니즘이 있어야 되는 상황에서

막을 수 있는 안전 메커니즘이 존재하지 않는다. 

2-1. 즉 결함이 발생하면 바로 안전 목표를 위배한다. 그런 무시무시한 녀석을 Single point fault

막을 수 있는 안전 메커니즘이 존재한다.

2-2. 그런데 일부 보호할 수 있고 나머지는 보호할 수 없다면 Residual fault

사실 Residual fault와 Single point fault를 위에 설명한 말로만 이해할려면 헷갈릴 수 있다.

쉽게 말해서 Safe fault가 아닌 fault에서

처음 구분해야 하는것은 Single point fault와 Latent fault이다.

Single point fault에서 안전 메커니즘을 통해 커버되는 부분을 제외한 부분을 Residual fault라고 이해하면 된다.

ISO 26262에서는 안전 메커니즘을 통해 커버될 수 있는 것이 최대 99%로 보고 있다.

안전메커니즘을 통해 60%가 보호되고 남은 40%는 보호할 수 없다면 그 40%는 Residual fault가 된다고 이해하면 된다.

앞서서 말한 Multiple point fault는 3가지로 구분된다.

Failure mode가 검출된다면 Detected multiple point fault

Failure mode가 검출되지 않았지만, 인지된다면 Perceived multiple point fault

Failure mode가 검츨되지 않고 인지되지도 않는다면 Latent multiple point fault

위에 말한 내용을 바탕으로 우리가 고려해야 하는 하드웨어 엘리먼트의 Failure mode를 구분해 보면,

즉 안전메커니즘 또는 운전자에게 인지를 줄 수 있는 fault를 포함하여 (거의) Safe 하다고 보면 된다.

Latent multiple point fault는 Risk를 가지고 있는 결함

Residual fault, Single point fault는 발생되면 위험한 결함

요렇게 이해하면 이해가 되려나?

생각한 내용을 적으면서도 조금씩은 헷갈리기도 하니 원;;;

이럴때는 다시 규격을 읽어보자 ㅎ

오늘도 굿 데이~

이상. 끝