ISO 26262 문제 - 하드웨어(HW)

허... 어렵다. 하드웨어 이름부터가 어렵지 않은가? 하드;;;

도무지 정리를 어떻게 해야 할지... 으흠.. 그냥 마음대로 정리한다.

1. Hardware component 또는 part의 qualification은?

ISO 26262-8.13.4.3 Methods for qualification of the hardware component or part를 참고하면

13.4.3.1 a) analyses, and b) testing이라고 기술되어 있다.

그렇다.분석과 시험이다. 아주 간단하다.

1) 시험

* 하드웨어 컴포넌트나 소자는 의도된 환경과 작동 조건에 노출되며 기능 요구사항을 준수하는지 평가.

* 정확한 환경 조건을 재생하기가 어렵고 외삽법이 오류 대상이면 시험 결과를 해석할 때 그와 같은 시험 조건의 한계를 고려

2) 분석

* 사용되는 분석 방법과 추정의 근거에 의존

* 일반적으로 분석만으로 하드웨어 컴포넌트의 인정을 실시하기에는 너무 복잡하다. 그러나 시험 데이터의 외삽법은 효과적으로 사용될 수 있으며, 기존에 시험이 끝난 하드웨어 컴포넌트에 대한 작은 변경의 영향을 결정하는데 사용될 수 있다. 

현재 우리나라는 Date가 없는 관계로 Test를 통해서만 qualification이 가능하다. 왜냐고? 비밀스러운게 참 많은 나라이다. OEM측에서 Data를 공개하지 않고 있기 때문이다. 무슨 이유일까? 해외에는 데이터북으로 제공도 되는데 참 멀리 돌아가는 일이 아닐 수 없다.

1) 13.4.6 Qualification by analyses

* 분석은 이해될 수 있는 양식으로 표시

* 관련 엔지니어링이나 과학 부문에 자격이 있는 사람에 있는 확인 (적격성이 중요함)

* HW 컴포넌트나 소자가 노출되는 모든 환경 조건

* 이러한 조건의 한계

* 기타 작동과 관련된 추가 부하 (예를 들어 예상되는 스위칭 주기, 충전 및 방전, 장 시간 전원 차단 시간) 등을 고려

2) 13.4.7 Qualification by Testing

* 시험 계획이 작성, 다음과 같은 정보를 포함한다.

 - HW 컴포넌트나 소자의 기능에 대한 설명

 - 실시할 시험의 수 또는 순서

 - 조립 및 연결에 대한 요구사항

 - HW 컴포넌트나 소자의 작동 조건을 고려한 가속 에이징 절차

 - 시뮬레이션 할 대상이 되는 작동 및 환경 조건

 - 수립할 합격/불합격 기준

 - 측정할 환경 파라미터

 - 정확도를 포함한 시험 장비에 대한 요구사항

 - 시험하는 동안 허가된 유지보수 및 교체 프로세스

* 표준화된 시험 명세가 사용

* 시험은 계획에 따라 실시되고 시험 결과의 데이터를 이용할 수 있어야 한다.

2. HW qualification 이유?

HW을 정량적으로 평가하기 위함이다. 오랫동안 분류/저장된 데이터를 통해 고장율과 HW metric 평가가 가능하다. 즉 HW qualification을 통해 고장형태, 고장형태 분포, 아이템의 안전 개념에 관한 진단 능력을 파악할 수 있다.

3. HSI란?

Hardware-Software Interface를 줄인 단어로써, 하드웨어와 소프트웨어간의 인터페이스 명세서를 상세화 하는 것을 말한다.

4. HW architecture 설계 시 고려사항은?

1) HW safety requirements (Clause 6)

하드웨어 아키텍처는 6절에 정의된 하드웨어 안전 요구사항을 구현해야 한다.

2) Each HW component the highest ASIL

각 하드웨어 컴포넌트는 하드웨어 안전 요구사항으로부터 최상의 ASIL을 상속받아야 한다.

3)ASIL decomposition (ISO 26262-9. Clause 5)

하드웨어 아키텍처를 설계하는 동안 하드웨어 안전 요구사항에 ASIL 분해가 적용된 경우 ISO 26262-9, 5절에 따라 적용되어야 한다.

4) different ASILs, no ASIL (sub-elements): the highest ASIL * unless the criteria for coexistence in accordance with ISO 26262-9 are met

서로 다른 ASIL이 할당된 하위 엘리먼트들이나, 할당된 ASIL이 없는 하위 엘리먼트와 안전 관련 하위 엘리먼트로 하드웨어 엘리먼트가 구성되는 경우 ISO 26262-9에 따라 공존 기준이 충족되지 않는 한, 각 하위 엘리먼트는 최상위 ASIL을 갖는 것으로 취급되어야 한다.

5) Traceability (to the lowest level)

하드웨어 안전 요구사항과 요구사항의 구현 사이의 추적성이 하드웨어 컴포넌트의 가장 낮은 수준까지 유지되어야 한다.

6) Table 1 (to avoid failures resulting from complexity) 

a) modularity, b) adequate level of granularity, c) simplicity

높은 복잡성으로 인한 고장을 피하기 위해 하드웨어 아키텍처 설계는 다음의 표 1의 원칙을 이용하여 다음과 같은 속성을 나타내야 한다.

a) 모듈성, b) 적합한 입자 수준, c) 단순성

7) Consider non-functional causes for failure

하드웨어 아키텍처를 설계하는 동안 온도, 진동, 물, 먼지, 전자기 방해, 하드웨어 아키텍처의 다른 하드웨어 컴포넌트나 그 환경에서 생긴 간섭(cross-talk) 영향을 포함하여 안전관련 하드웨어 컴포넌트 고장의 비기능적 원인을 고려해야 한다.

5. HW 고장율을 뽑는 방법? 

ISO 26262-6. 8.4.3 이 요구사항은 안전 목표의 ASIL (B), C, D에 적용된다. 분석에 사용된 하드웨어 소자에 대해 추정된 고장율은 다음과 같이 결정되어야 한다.

a) 인정된 산업 출처(recognized industry source)에 의한 하드웨어 소자 고장율 이용

using hardware part failures rates data from a recognized industry source

ex. IEC/TR 62380, IEC 61709, MIL HDBK 217 F notice 2, RAC HDBK 217 Plus, UTE C80-811, NPRD 95, EN 50129:2003, 부속서 C, IEC 62061:2005, 부속서 D, RAC FMD97, MIL HDBK 338

비고) 이들 데이터베이스에서 제시된 고장율 값은 일반적으로 비관적(pessimistic)으로 간주된다.

b) 현장에서 얻어진 데이터나 시험을 기준으로 한 통계 이용. 이 경우 추정된 고장율은 적합한 신뢰성 수준을 유지해야 한다.

using statistics based on field returns or tests

c) 정량적 및 정성적 논거를 기반으로 공학적 접근법에 따른 전문가의 판단을 이용. 전문가의 판단은 이 판단에 대한 근거로서 체계적인 기준에 따라 수행되어야 한다. 이 기준은 고장율 추정이 이루어지기 전에 정해져야 한다.

비고) 전문가의 판단 기준은 현장 경험, 시험, 신뢰성 분석, 설계의 참신성(novelty) 등을 포함한다.

using expert judgement founded on an engineering approach based on quantitative and qualitative arguments 

6. HW 안전  요구사항에서 검증해야 할 항목은?

a) consistency with the technical safety concept, the system design specification and the hardware specifications

기술안전 개념, 시스템 설계 명세서, 하드웨어 명세서와의 일치성

b) completeness with respect to the technical safety requirements allocated to the hardware element

하드웨어 엘리먼트에 할당된 기술안전 요구사항의 완전성

c) consistency with the relevant software safety requirements

관련된 소프트웨어 안전 요구사항과의 일치성

d) correctness and accuracy

정확성과 정밀도

7. HW 안전분석에 대하여

비고1. 안전 분석의 초기 목적은 하드웨어 설계 명세서를 뒷받침하기 위한 것이다. 그 후에 안전 분석은 하드웨어 설계 검증을 위해 사용될 수 있다.

비고2. 하드웨어 설계 명세서를 뒷받침하기 위한 목적으로 정성적 분석이 적절하고 충분할 수 있다.

이 요구사항은 안전 목표의 ASIL (B), C, D에 적용된다. 각 안전관련 하드웨어 컴포넌트나 소자의 경우, 안전 분석은 고려 중인 안전 목표에 대해 다음 사항을 식별해야 한다.

a) 안전 측 결함

b) 단일 결함 또는 잔존 결함

c) 다중점 결함 (인지되거나, 검출되거나 또는 잠재된) * 대부분의 경우 이중점 결함으로 제한함

단일점 결함을 피하기 위한 안전 메커니즘의 효과성에 대한 증거가 있어야 한다. (안전 목표의 ASIL (B), C, D에 적용)

a) 안전한 상태를 유지하거나 안전한 상태로 안전하게 전환하는 안전 메커니즘의 능력에 대한 증거가 있어야 한다. (특히 결함 허용 시간간격 내 적절한 고장 완화 능력)

b) 잔존 결함에 대한 진단 커버리지가 평가되어야 한다.

잠재 결함을 피하기 위한 안전 메커니즘의 효과성에 대한 증거가 있어야 한다. (안전 목표의 ASIL (B), C, D에 적용)

a) 어떤 결함이 잠재된 상태로 남아 있고 어떤 결함이 잠재되지 않았는지 결정하기 위해, 잠재된 결함에 대해 허용된 다중점 결함 검출간격 안에, 결함을 검출하고 운전자에게 알릴 수 있는 능력에 대한 증거가 만들어져야 한다.

b) 잠재 결함에 대한 진단 커버리지가 평가되어야 한다.

적용 가능한 경우, 하드웨어 설꼐가 독립성에 대한 요구사항에 부합된다는 증거가 ISO 26262-9에 따르는 종속 고장에 대한 분석을 기반하여 제공되어야 한다.

하드웨어 설계에 의해 생겨난 새로운 위험원이 기존의 안전 목표에 포함되지 않았다면, 그 위험원은 ISO 26262-8의 변경관리 프로세스에 따라 위험원 분석 및 리스크 평가에 의해 평가되어야 한다.