TI, TD Determination in SW Tool evaluation

굿 애프터눈입니다.

잠깐 SW Tool Evaluation을 얘기하고자 합니다. 

ISO 26262 뿐만 아니라 IEC 61508에서도 SW Tool에 대한 요구사항이 기술되어 있습니다.

오늘은 ISO 26262 기반으로 잠깐 얘기해보도록 하겠습니다.

SW Tool의 평가를 왜 하냐? 이유는 간단하고 명확합니다.

프로젝트를 수행하는 동안, 사람의 실수와 기타 기술적인 문제 외에도 SW Tool을 통해서 수행되는 과정에서 오류가 있는 경우 이를 식별하고 관리할 수 있어야 합니다.

예를 들어서, 명확하게 SW Tool에서의 값이 잘못된 경우를 찾을 수 있으면 다행이지만, 그렇지 못한다면 이러한 SW Tool은 프로젝트에 Critical한 요인이 되기 때문입니다.

그래서 ISO 26262에서는 (SW) Tool Confidence Level, TCL이란 지수를 통해서 필요한 요구사항을 정리하고 있습니다.

TCL을 산출하는 경우 TI, TD라는 parameter를 활용하게 됩니다.

간단하게 아래 그림과 같이 TI, Tool Impact를 가지고서 1과 2로 구분됩니다. 사용되는 SW Tool이 프로젝트에 영향을 미친다. 아니다. 만 가지고서 택하시면 됩니다.

TI1: 오류 발생 가능성이 없다는 논거가 있으면 택

TI2: 그 외 모든 경우는 TI 2

TD는 Tool error Detection을 말합니다. Tool에서 산출된 결과에 대해 확인이 가능한지를 물어봅니다.

TD1: 오류 감지, 방지, 출력에 대한 검출할 수 있고, 신뢰 수준이 높은 경우 이를 택

TD2: 중간치 신뢰수준이다 싶으면 택 (?)

TD3: 그 외 모든 경우

개인적으로 TD2는 권장하지 않습니다. 이유는 애매모호하기 때문입니다. 중간이라는 것은 명확한 기준이 있지 않으면 안됩니다. 우리가 납득할 수 있는 것이 아니라 우리의 고객도 납득할 수 있을만큼의 기준이어야 합니다. 

그리고 TI2, TD3로 판단되어 TCL3가 되는 경우에 TCL2와 비교하여 방법의 차이가 있을 뿐입니다. 

위에서 TI, TD를 잠깐 언급했습니다.

그렇다면 TI, TD를 결정할 수 있는 기준은 어떻게 해야 할까요? ISO 26262에서는 해당 방법에 대해서 Use case에 대해 언급이 나옵니다. 그러나 자세한 방법이 나오진 않습니다.

제가 사용하고 있는 방법을 다음과 같이 공유합니다. 도움이 되면 좋겠습니다.

위 3번에서 말하는 HAZOP은 일반적으로 가이드 사용되는 방법론입니다.

FMEA에서 Failure mode를 식별할 때 고려할 수 있습니다. 기타 등등에서도 말이죠.

위 TI를 위한 기준은 다른 경우에도 유용하게 적용할 수 있었습니다. 그러나 TD는 명확하게 기준을 설정하기 어려웠습니다.

그래서 저는 개인적으로 TD2의 경우는 고려하지 않고 다음과 같이 기준을 설정하여 적용하였습니다.

위 기준에서 TD 1의 경우 Verification Review와 같은 Process 또는 다른 SW Tool을 통해서 검증할 수 있는 경우로 기준을 잡았습니다.

개발 과정에서 여러 SW Tool이 활용될 수 있습니다. 또한 각 활동과 산출물들은 개발자 또는 QA 또는 고객 등의 담당자들로부터 검증할 수 있습니다. 

이상입니다.

감사합니다.