The GSEG (Global Safety Experts Group)입니다.
Functional Safety Concept과 Technical Safety Concept 작성 시에, 가장 비중 있게 다루어지는 용어 중의 하나인 ASIL Decomposition에 대해 설명드리고자 합니다.
우선, ASIL Decomposition을 이해하기 위해서는 ASIL이 의미하는 바를 명확히 이해해야 하며, ASIL에 대한 정의는 아래의 포스팅을 참조하시면 좋으실 듯합니다.
2020/06/12 - [ISO 26262 engineering (한글)] - ASIL 정의/의미 올바로 이해하기, ASIL A와 ASIL C는 어떻게 다른가?
ASIL 정의/의미 올바로 이해하기, ASIL A와 ASIL C는 어떻게 다른가?
The GSEG (Global Safety Experts Group)입니다. The GESG에서는 개발 프로젝트에 몸 담고 계신 분들의 문의를 접수해 본 결과 (특히 아시아권), ASIL의 정의 및 의미를 정확히 이해하지 못하고 계신 분들이 많��
iso26262engineering.tistory.com
ASIL Decomposition은 시스템 기능 개발의 컨셉 / 전략을 결정하는데 매우 중요한 용어 중 하나로, 상위 레벨의 요구 사항을 구현하기 위한 하위 레벨의 요구 사항 도출 시, 상위 레벨의 요구 사항에 부여된 ASIL을 다음 레벨의 요구 사항에서 낮출 수 있는 방안을 의미합니다.
즉, 일반적으로는 최상위 요구 사항을 하위 레벨에서 구현함에 있어 해당 최상위 요구사항에 요구되는 품질 수준 (ASIL)과 동일한 품질 수준을 하위 레벨에도 적용해야 하나, 이를 예외적으로 변경할 수 있는 방안을 의미하며 제품의 오동작을 일으키는 원인 중 하나인 systematic failure가 주요 관심의 대상이라 할 수 있습니다.
ISO 26262 part 10에 제시된 예를 들면 아래와 같이 ASIL Decomposition을 설명할 수 있습니다.
(설명의 이해를 높이기 위해 ISO 26262 part 10에서 사용한 예제와는 달리, 특정 부분에만 초점을 맞추어 일정 부분 수정하여 사용하였음을 알려 드립니다.)
1. ASIL Decomposition 미 적용 시 요구 사항 도출에 따른 ASIL의 분배
1) 상위 요구 사항: 개발 시스템 B ECU는 차량의 속도가 15km/h 이상일 경우에는 시스템 토크를 출력하지 않아야 한다 (ASIL C).
2-1) 하위 요구 사항: 개발 시스템 B ECU의 HW_ASIC은 A ECU로부터의 차량 속도 정보가 15km/h 이상일 경우, 시스템 토크 출력 HW의 동작 전원을 제공하지 않아야 한다 (ASIL C).
2-2) 하위 요구 사항: 개발 시스템 B ECU의 시스템 토크 출력 HW는 동작 전원이 제공된 경우에만 물리적으로 동작해야 한다 (ASIL C).
위의 예는 ASIL Decomposition이 적용되지 않은 케이스로 하위 요구사항을 구현 시 요구되는 품질 수준 (ASIL)은 관련 상위 요구 사항에 할당된 품질 수준 (ASIL)과 동일함을 알 수 있습니다.
2. ASIL Decomposition 적용 시 요구 사항 도출에 따른 ASIL의 분배
1) 상위 요구 사항: 개발 시스템 B ECU는 차량의 속도가 15km/h 이상일 경우에는 시스템 토크를 출력하지 않아야 한다 (ASIL C).
2-1-1) 하위 요구 사항: 개발 시스템 B ECU의 HW_ASIC은 A ECU로부터의 차량 속도 정보가 15km/h 이상일 경우, 시스템 토크 출력 HW의 동작 전원을 제공하지 않아야 한다 (ASIL A(C)).
2-1-2) 하위 요구 사항: 개발 시스템 B ECU의 HW 스위치는 A ECU로부터의 차량 속도 정보가 15km/h일 경우 비활성화 상태를 유지하여 시스템 토크 출력 HW로 공급되는 전원을 차단해야 한다 (ASIL B(C)).
2-2) 하위 요구 사항: 개발 시스템 B ECU의 시스템 토크 출력 HW는 동작 전원이 제공된 경우에만 물리적으로 동작해야 한다 (ASIL C).
ISO26262 실무 적용에 어려움이 있으신가요?
The GSEG가 실무적인 고민을 함께 하고 관련 산출물을 직접 작성해 드립니다.
관련 실제 프로젝트의 예제를 받아보시기를 원하시거나 진행하고 계신 프로젝트의 산출물 작성을 요청하실 분은 아래의 포스팅을 참고해 주시기 바랍니다.
참고로, 관련 비용은 요청하신 분의 만족도에 따라 요청하신 분께서 직접 산정하는 방식을 취함을 알려드립니다.
2022.09.28 - [ISO 26262 engineering (한글)] - ISO 26262 / Functional Safety 산출물 만들어 드립니다.
ISO 26262 / Functional Safety 산출물 만들어 드립니다.
The GSEG (Global Safety Experts Group)입니다. The GSEG는 ISO26262 / Functional Safety를 실무에 적용하시는 데 어려움이 있으신 분들의 요청에 의해 내부 회의를 통해 관련 산출물 작성에 도움을 드리기로 결정하
iso26262engineering.tistory.com
위의 예는 ASIL Decomposition이 적용된 케이스로 기존의 2-1)의 요구 사항이 2-1-1)과 2-1-2) 2가지의 요구 사항으로 나누어져 각각 HW_ASIC과 HW 스위치에 할당이 되어진 것을 알 수 있습니다.
2-1-1)과 2-1-2)는 모두 "차량 속도가 15km/h 인 경우 시스템 토크 출력 HW에게 공급되는 전원을 차단한다"는 동일한 목적을 가지고 작성된 요구 사항으로 각각 ASIL A(C)와 ASIL B(C)의 품질 수준이 요구되어 짐을 알 수 있습니다.
이를 두고, "동일한 목적을 지난 특정 요구 사항에 대해 ASIL Decomposition이 적용되었다"라고 말할 수 있으며 이를 위해 HW 디자인이 변경된 것을 확인할 수 있습니다.
여기서 주의하셔야 할 것은 ASIL Decomposition은 특정 단계에서의 systematic failure에 대한 요구 사항이 감소한다는 것을 의미하며 Random Hardware Failure에 대한 요구 사항은 ASIL Decomposition의 적용 전후가 다르지 않다는 사항입니다.
즉, 위 예의 경우 B ECU에 할당된 상위 요구 사항이 만족해야 할 품질 수준은 ASIL C로, 이를 증명하기 위한 Random Hardware Failure에 대한 정량적 목표 값인 SPFM > 97% (예)는 ASIL Decomposition 여부와 관계없이 동일하게 적용되어집니다.
ASIL Decomposition이 적용된 요구 사항 간 적용 가능한 ASIL의 조합은 ISO 26262에서 정해진 바를 따르며 위의 예제의 경우 아래와 같은 조합이 가능합니다.
1) 2-1-1: ASIL C(C) + 2-1-2: ASIL QM(C)
2) 2-1-1: ASIL A(C) + 2-1-2: ASIL B(C): 해당 예제에서 사용
3) 2-1-1: ASIL QM(C) + 2-1-2: ASIL C(C)
4) 2-1-1: ASIL B(C) + 2-1-2: ASIL A(C)
덧붙여, ASIL Decomposition 적용을 위한 전제조건은 두 요구 사항을 구현함에 있어 상호 간에 종속 관계가 없음을 증명하는 것으로 이는 DFA (Dependent Failure Analysis)를 통해 최종 검증되어야 합니다.
일 예로, HW_ASIC의 내부 고장으로 인해 시스템 토크 출력 HW에 전원을 공급하는 출력 단자에 보증 전류 이상의 대 전류가 공급되어지고 이로 인해 HW_ASIC의 출력 단자와 HW 스위치의 상태가 활성화 상태로 고정되어지는 경우, HW_ASIC 내부의 고장을 dependent failure라고 분류할 수 있습니다.
따라서 이에 대한 독립성을 보장할 수 있도록 추가적인 요구 사항을 도출하고 그를 합당한 방법 (예, Fault Injection Test)을 통해 검증해야 합니다.
ASIL Decomposition은 언뜻 보기에는 복잡하지 않은 개념으로 보이나 실 프로젝트에 적용되어지는 과정에서는 개념에 대한 부정확한 이해로 인해 ASIL Decomposition을 잘못된 방향으로 적용되어 지는 것을 어렵지 않게 발견할 수 있습니다.
이에 Functional Safety Concept 또는 Technical Safety Concept 작성 시 반드시 ASIL Decomposition에 대한 올바른 이해를 바탕으로 컨셉을 작성해야 하며, 대표적인 ASIL Decomposition 적용의 오해와 잘못된 예는 아래의 포스팅을 참조하시기 바랍니다.
2020/07/31 - [ISO 26262 engineering (한글)] - ASIL Decomposition에 대한 오해
ASIL Decomposition에 대한 오해
The GSEG (Global Safety Experts Group)입니다. 지난번 ASIL Decomposition에 대한 설명 시 언급해 드린 바와 같이, ASIL Decomposition 적용에 대한 오해와 잘못된 예를 아래와 같이 설명드리고자 합니다. ASIL..
iso26262engineering.tistory.com
DFA 포함 ISO 26262에서 요구되는 safety analysis의 종류 및 상호 간의 관계에 대해 궁금하신 분은 아래의 포스팅을 참조하시기 바랍니다.
2020/07/03 - [ISO 26262 engineering (한글)] - Safety Analysis의 대표적인 종류와 분류
Safety Analysis의 대표적인 종류와 분류
The GSEG (Global Safety Experts Group)입니다. 이번 포스팅에서는 ISO 26262에서 요구하는 대표적인 Safety Analysis의 종류와 그에 대한 분류에 대해 설명드리고자 합니다. 아래는 The GSEG 구성원들의 경험을..
iso26262engineering.tistory.com
ISO 26262에서 비중 있게 다루어지는 또 다른 용어인 Freedom From Interference에 대한 정의가 궁금하신 분에게는 아래의 포스팅을 추천드립니다.
2020/07/23 - [ISO 26262 engineering (한글)] - Freedom From Interference 5분 만에 이해하기
Freedom From Interference (FFI) 5분 만에 이해하기
The GSEG (Global Safety Experts Group)입니다. ISO 26262를 프로젝트에 적용함에 있어 가장 난해한 용어 중의 하나인 Freedom From Interference (FFI)에 대해 간략히 설명해 드리고자 합니다. Freedom from in..
iso26262engineering.tistory.com
특정 질문이 있으신 분은 'tofusiexpertask@gmail.com' 또는 아래의 카카오 오픈 채널을 통해 문의 주시기 바랍니다.
https://open.kakao.com/o/gexclpze
The GSEG는 질문 주신 분의 지적 재산권 보호 관련 내역에는 책임이 없음을 밝히며, 또한 답변드린 내역은 GSEG 구성원들의 현재 가용한 지식 및 경험을 바탕으로 가이드드린 내역으로 최종 방향의 선택과 결정은 절대적으로 질문 주신 분께 있음을 알려 드립니다.
'02. Terms & Definitions > 한글' 카테고리의 다른 글
| Freedom From Interference (FFI) 5분 만에 이해하기 (0) | 2022.03.08 |
|---|---|
| Fault Tolerant Time Interval? Fault Detection Time Interval?? 한번에 이해하기 (0) | 2022.03.05 |
| Random Hardware Failure, Systematic Failure 어떻게 다를까요? (2) | 2022.02.05 |
| ASIL 정의/의미 올바로 이해하기, ASIL A와 ASIL C는 어떻게 다른가? (0) | 2022.01.16 |
| ISO 26262 실무자라면 반드시 이해해야 할 주요 실무 용어 69가지 (0) | 2022.01.12 |
Comment