latent fault handling

퇴근 하기에 앞서서 짧게 오호~ 하는게 있어서 글을 적어본다.

얼마 전에 ISO 26262 FDIS version이 공개되었다. *FDIS: Final Draft International Standard

 

Part 5. Annex H를 보니까 표제와 관련하여 재밌고 쉽게 이해가는 그림이 있다.

(향후 문제의 소지가 있을 수 있으니 간단하게 그림을 그려서 설명해본다. 그리고 내용 중 확인이 필요한 부분은 제외하였다. 참고 바란다.)

 

Safety mechanism이 fault detection & Control 하는 경우이다. 이런 경우 대게 Logic에 Safety mechanism이 아래와 같이 할당된다.

 

WC: Watchdog Component

 

위 그림에 latent fault에 대한 몇 가지 가정을 하고, 산출해 보면 다음과 같다.

 

그림이 좀 작다. 확대 해서 보시기 바란다.

 

마이크로 컨트롤러의 FIT는 100이다. 이를 Watchdog component를 통해 60% 걸러질 수 있다. 

그러므로 100 - (100*0.6) = 40 FIT가 Residual Fault Failure Rate으로 남게 된다.

40 --> 60 FIT의 남은 부분이 다른 another fault와 결합하여 Safety Goal을 위반할 수 있다면 이는 Latent로 볼 수 있다.

위에서는 마이크로 컨트롤러의 latent에 대해서 Watchdog component를 통해서 detected multiple point fault로 판단할 수 있다. 이에 대해서 100% 보증을 하므로 Latent Failure Rate는 0이 된다.

 

수식은 다음과 같다. 40-(40*1) = 0, 60-(60*1) = 0

 

Watchdog component의 경우 40FIT를 가진다. 그러나 이는 위 그림에서 보듯이 Function이 수행하는 데에서 Safety goal을 직접적으로 위배하지는 않는다. 그러나 마이크로 컨트롤러와 결합하여 Failure 되는 경우가 있기 때문에, Latent Failure 를 따져보아야 한다. 이에 대해서 자체의 startup test를 통해서 일부 보증이 되고 4 FIT의 값이 남게 된다.

 

 

 

위 경우와 다르게 다음과 같이 구성된 경우를 생각해 볼 수 있다.

 

 

이번에도 역시 위 그림에 대해서 latent fault를 산출해 보자

 

Component A와 Component B 사이에 구성된 Filter는 첫번째 경우와는 다름을 주의하자.

위 첫번 째의 경우 Component A는 마이크로 컨트롤러를 통해 Safety mechanism을 받았다. 그러나 이번의 경우에는 오직 Filter는 Component A만 보호를 한다.

 

Filter의 Safety mechanism은 99.9%의 DC를 가지고 계산하게 되면 0.1 FIT의 Residual이 남는다. 그리고 latent와 관련하여 Filter는 Safety mechanism의 역할을 할수 없다. 그러므로 0%의 Coverage를 가진다.

 

 

 

산출식만 보면 뭘 설명하려는 거야? 라고 생각할 수 있을 것 같다.

여기서 포인트는 어느 컴포넌트에 Safety mechanism를 할당하느냐에 따라서 latent에 대한 Safety mechanism으로 고려할 수 있다라는 것이다. 물론 Filter와 Watchdog component 자체가 다를 수도 있지만 이는 넘어가자.

 

 

내가 생각했을 때 좋은 예제가 될 수 있을 것 같아서 공유하고자 글을 적어보았다.

 

다들 퇴근 후에 이 글을 보길 바란다.

 

이상입니다.

감사합니다.