본문 바로가기

 

 

04. System Development & Verification/한글

HW 고장 모드의 분류 (SPF/DPF)에 따른 ASIL 할당의 상관 관계

by The GSEG 2022. 3. 24.

The GSEG (Global Safety Experts Group)입니다.

HW 고장 모드의 분류 (SPF/DPF)에 따라 그와 관련된 요구사항에 할당되는 ASIL은 어떠한 관계가 있는지 살펴보고자 합니다.

ISO 26262에 정의된 바에 따라 HW 구성품의 고장 모드를 각 Safety Goal에 따른 영향도를 고려하여 분류하면 크게 하기와 같이 정리할 수 있습니다.

1) SPF, RF (Single-point Fault, Residual Fault)
2) MPF (Multiple-points Fault): n=2인 경우를 DPF (Dual-points Fault)라고 하며 주요 분석의 대상이 됩니다.

 

 

그렇다면 이러한 HW 고장 모드의 분류 (SPF/DPF)와 이를 모니터링하는 요구사항에 대한 ASIL과는 어떠한 상관관계가 있을까요?

시스템 개발 컨셉 작성 시 Technical Safety Concept 단계에 이르게 되면 관련 Safety Goal에 반하는 잠재적인 Random HW failure를 모니터링하는 기술적인 방안 (흔히 SM 'Safety Mechanism'이라 명명)이 수립되어야 합니다.

그리고 이는 Hardware와 Software 레벨의 요구 사항으로 상세화 되기에 관련 잠재적인 Random Hardware Failure를 모니터링하는 요구 사항에는 요구되는 품질 수준 즉, ASIL이 부여됩니다.

예를 들어, ASIL C Safety Goal을 보유한 시스템 안의 잠재적인 Random Hardware Failure가 SPF로 분류된다면 이를 모니터링하는 기능 (Safety Mechanism)은 ASIL C의 품질 수준으로 개발되어야 하며, 이와 상반되게 DPF로 분류되어진다면 이를 모니터링하는 기능 (Safety Mechanism)은 최소 ASIL A의 품질 수준으로 개발되어야 합니다.

이를 간략히 정리하면 아래와 같습니다.

 

HW component가 구현하는
기능의 ASIL
HW Fault Classification Random HW failure를 모니터링하는
요구사항 (SM)의 min. ASIL
ASIL D SPF ASIL D
DPF ASIL B
ASIL C SPF ASIL C
DPF ASIL A
ASIL B SPF ASIL B
DPF ASIL A
ASIL A SPF ASIL A
DPF QM

 

 

위의 원칙은 ASIL Decomposition 적용 여부와 무관하게 동일하게 적용되는데, 아래 특정 요구사항이 HW_ASIC과 HW_스위치로 Decompositon 된 예를 들어 설명을 이어 가도록 하겠습니다.

 

- ASIL Decomposition: ASIL C = ASIL A(C) + ASIL B(C)

- HW_ASIC: ASIL A(C)

- HW 스위치: ASIL B(C)

SPF, DPF, SM, ASIL

 

위의 ASIL Decomposition이 적용된 사례에서 HW_ASIC의 Random HW failure는 잠재적인 DPF로 분류될 수 있으며 이를 모니터링하는 요구 사항 (Safety Mechanism)에는 ASIL A(C) 대신 ASIL QM(C)가 할당될 수 있으며, HW_스위치의 Random HW failure를 모니터링하는 요구사항에는 ASIL A(C)가 할당될 수 있습니다.

 

여기서 한 가지 주목해야 할 점은, "최소한"으로 만족해야 할 품질 수준 (ASIL)을 정의하고 있다는 점입니다.

 

즉, HW_ASIC의 Random HW failure를 모니터링하는 SM은 ASIL A(C)로 개발해도 무방하다는 의미입니다.

 

언뜻 보기에는 굳이 ASIL Decomposition을 적용하고 그로 인한 혜택을 포기하는 듯 보일 수 있으나 여기에는 이러한 부분 이외에 보다 전체적인 안목에서 ASIL 할당을 결정해야 합니다.

 

일례로, HW_ASIC을 구성하는 SWC들이 모두 ASIL A(C)의 품질 수준을 만족하도록 설계되어 있다면 HW_ASIC의 Random HW failure를 모니터링하는 SM을 QM(C)로 설계함에 따라 추가적으로 Freedom from interferece를 증명해야 하는 요구사항이 추가되어집니다.

 

따라서 HW_ASIC의 Random HW failure를 모니터링하는 SM에 어떠한 품질 수준 (ASIL)을 요구할 것인가는 보다 넓은 시야에서 결정되어야 합니다.

 

 

Comment