Other technology and External measures

드디어 기말고사가 끝났다. 

이런 저런 개인적인 핑계와 이유들로 이번 학기에는 최저인 12학점만 신청했음에도 불구하고, 중간고사 시간을 헷갈려하거나, 퀴즈/토론 등을 정해진 기간안에 등록하지 못하는 등 여러 어려움을 겪었었다.

그래도 인생은 "그럼에도 불구하고" go ahead.. 

일을 하다가 위 제목과 관련하여 헷갈려하실 수 있는 내용이 있기에 간단하게 정리해보고자 한다.

ISO 26262 Safety lifecycle 에서 제목과 관련된 부분은 1번, 2번이다.

블럭으로 표시된 부분을 이해하기 위해서는 이와 관련하여 어디서부터 고려해야 하는지를 이해하면 된다. 쉽게 말해서 1번이 어디와 연결되어 있는가? Functional Safety concept 이다.

그럼 2번은 어디와 연관되어 있는가 Item definition이다.

간단하게 System을 그림으로 아래와 같이 그려보자

음영이 들어간 부분이 우리의 개발 범위이다. 

즉 System이라고 부를 수 있는 레벨 (여기서는 Vehicle로 생각)에서 우리가 개발하는 영역은 위의 음영으로 표시된 부분이고 다른 음영으로 표시되지 않은 범위는 우리의 개발 범위 외인것이다.

이를 왜 구분할까?

간단하게 요즘 ADAS, Self-driving 등에서 언급되는 자동 긴급 제동 (AEB, Autonomous Emergency Braking)을 살펴보면, AEB의 Logic을 처리하는 부분과 Braking을 수행하는 부분은 다를 수 있다.

여러 신호/정보로부터 Braking에 대한 인지(센서 부분)를 하고 Logic에서 Braking 하겠다. 얼마만큼 하겠다. 어떻게 하겠다고 결정을 하는 것이다. 그런데 이를 수행하는 Actuator는 ESC에 할당되어 있다면 우리가 개발하는 부분 Braking function를 수행하는 부분은 빠질 수가 있는 것이다.

즉, Braking을 하겠다고 결정을 하는 내용을 AEB에서 하는 것이고, 이를 수행하는 것은 ESC에서 한다.

이런 경우 ESC를 External measure로 인식하면 된다.

위 예시는 표준 적인 내용을 풀기 위해서 예를 든 것이다. 각 OEM에서 어떤 컨셉으로 제품을 구상하느냐에 따라서 달라질 것이다. 그래서 Part 3가 Concept인 것인가? 라는 생각을 해본다.

그러면 External measure로 결정된 경우는 어떻게 해야 할까?

ISO 26262-3

8.4.3.3 If the functional safety concept is to rely on external measures, then the following shall apply:

a) The functional safety requirements implemented by external measures shall be derived and

communicated.

b) The functional safety requirements of interfaces with external measures shall be specified.

c) If the external measures are implemented by one or more E/E systems, the functional safety

requirements shall be addressed using ISO 26262.

d) The implementation of functional safety requirements by external measures shall be ensured.

NOTE The adequacy of external measures is shown during validation activities (see ISO 26262-4).

간단하게 해석하면 External measure를 통해서 구현되어야 하는 안전 요구사항(인터페이스 포함)을 도출하고 AEB는 ESC에 요구사항을 전달할 수 있어야 한다는 내용이다.

그리고 External measure는 ISO 26262 표준에 따라 개발되어야 한다는 것이라고 이해하면 된다.

(얼떨결 2번 부터 설명을 해버렸다;;)

자 Item definition (Scope definition) 이후 진행을 하다가 보니, 전기/전자 기술과 방법들로서 해당 요구사항이 충분히 개발되지 않거나 필요한 경우가 생길 수 있다.

현재도 그렇고 앞으로도 그렇고 한 특정 영역의 기술이 우리의 안전을 완전하게 보장한다는 생각을 가지진 말자 (지극히 개인적인 생각이다)

이러한 경우에는 Other technology를 고려해야 한다.

ISO 26262 에서 다음과 같이 기술되어 있다.

8.4.3.2 If the functional safety concept is to rely on elements of other technologies, then the following shall apply:

a) The functional safety requirements implemented by elements of other technologies shall be derived and allocated to the corresponding elements of the architecture.

b) The functional safety requirements relating to the interfaces with elements of other technologies shall be specified.

c) The implementation of functional safety requirements by elements of other technologies shall be ensured through specific measures that are outside the scope of ISO 26262.

d) No ASIL should be assigned to these elements. 

NOTE The adequacy of elements of other technologies is shown during validation activities (see ISO 26262-4).

이것도 간단히 풀어서 해석하면 기능안전 요구사항이 Other technology로 할당된 경우에도 이를 수행하는 엘리먼트/요구사항은 식별 및 할당이 되어야 한다는 것이고, 이러한 Other technology의 경우 ISO 26262 범위 외 특별한 수단을 통해 보장해야 한다는 것이다.

물론 ISO 26262 범위 외~로 할당된 경우이므로 ASIL을 할당하지 않는 것이 좋다. (만약에 하나의 엘리먼트에 다른 요구사항으로 ASIL이 포함된 경우라면 이를 아키텍처 레벨에서부터 분리를 하는 것이 필요하다. 그렇지 않으면 공존성 분석이라든지 복잡하기도 하고 Other technology를 ASIL에 따른 요구사항을 적용해서 개발하기 어려울 수 있다.)

위 Other technology와 External measure는 둘다 Validation 을 통해 적합성/타당성 확인을 해야 한다.

자 간단하게 설명을 해보았다.

다른 의견, 보완 사항 등 의견이 있으시다면 언제든지 연락 주시기 바랍니다.

오늘도 화이팅!!