FMEDA 예제 (Latent Fault / Perceived Fault에 대한 FMC / SM 적용)

The GSEG (Global Safety Experts Group)입니다.

 

아래 article에서 설명드린 바와 같이 error reaction에 관한 safety concept에 따라 latent fault의 FMC (Failure Mode Coverage)는 달라질 수밖에 없는데, 이는 FMEDA를 수행함에 있어 가장 실수하기 쉬운 부분이기에 아래와 같이 예를 들어 좀 더 자세히 설명드리고자 합니다.

Safety Concept (Error reaction)이 LFM에 미치는 영향

Safety Concept (Error reaction)이 LFM에 미치는 영향

 

이번 예제를 통해 말씀드린 예제는 아래 FMEDA 발췌 중 오른쪽 (red dot) 부분을 의미합니다.

 

즉, 해당 예제에서 논하는 latent fault는 intended function을 구성하는 HW 부품들이 가지고 있는 고장 모드에 대한 사항이며 SM (Safety Mechanism)을 수행하는 HW 부품들이 가지고 있는 고장 모드를 의미하지 않음에 주의하셔야 합니다.

 

FMEDA example, LF, FMC, SM, perceived fault, not perceived fault

 

 

** FMEDA 예제 **

 

1) SM1: 'R1 open' failure mode을 모니터링하며 open 고장 모드 감지 시 error management unit에 관련 정보를 전달하는 것과 동시에 warning 신호를 차량 레벨로 전달하는 기능을 포함하고 있음.

(note: warning 램프를 점등하는 것은 상위 레벨 ECU의 책임으로 간주)

따라서 SM1 자체는 고장 모드 감지 뿐 아니라 warning 신호를 CAN을 통해 외부로 송신하는 기능을 포함하고 있음.

 

2) SM2: 'IC100 wrong processing' 고장 모드를 모니터링하며 고장 모드 감지 시 error management unit에 관련 정보를 전달하는 것 외에 기타 다른 기능을 포함하고 있지 않음.

 

3) SM3: 'IC100 wrong sequence' 고장 모드를 모니터링하며 고장 모드 감지 시 error management unit에 관련 정보를 전달하는 것과 동시에 degradation mode activation을 하는 기능을 포함하고 있음.

 

4) SM5: 'R1 closed' failure mode을 모니터링하며 closed 고장 모드 감지 시 error management unit에 관련 정보를 전달하고 warning 신호를 차량 레벨로 전달하는 것은 SM6에 의해 이루어짐.

 

FMEDA example, LF, FMC, SM, perceived fault, not perceived fault

 

 

** Latent fault에 대한 FMC 결정 프로세스 **

 

1) 'R1 Open' 고장 모드의 경우 SM1에 의해 90%의 효율로 감지되기에 아래 플로우와 같이 0.35 FIT (5 * 0.7 * 0.1)이 residual fault의 확률이며 나머지 3.15 FIT은 Multiple-points fault로써 다음 단계의 분석으로 넘어가게 되는데, 아래 그림에서 'can the driver perceive the effects?'라는 질문에 대한 답변에 따라 latent fault (not perceived fault) 또는 perceived fault인지가 결정되어집니다.

 

즉, 3.15 FIT은 SM1에 의해 감지되고 SM1에 의해 차량으로 warning 신호로 제공되어 지기에 운전자가 이를 인지할 수 있는 것입니다.

 

이에 'R1 open' failure mode의 3.15 FIT에 대해 SM1을 통한 100% coverage를 주장할 수 있어 'R1 open' failure mode가 가지고 있는 latent fault는 0 FIT이 됩니다. 

 

 

'R1 Open' 고장 모드 (FMEDA example, LF, FMC, SM), perceived fault, not perceived fault

 

 

2) 'R1 closed' 고장 모드의 경우 SM5에 의해 감지되어지고 감지 후 SM6에 의해 차량 레벨로 관련 정보가 전달되어 지기에, 'R1 closed' 고장 모드의 latent fault는 'R1 open' 고장 모드와 동일하게 SM6에 의해 100%를 주장할 수 있습니다.

 

이때, MPF_perceived에 해당하는 고장 확률은  0.9 FIT (5 * 0.3 * 0.4)으로 MPF_L에 해당하는 고장 확률은 0 FIT입니다.

 

3) 'IC100 wrong sequence' 고장 모드는 SM3에 의해 감지되나 이후 별도의 warning 신호 없이 degration support를 제공하기에 아래 그림과 같이 SM3에 의해 감지된 28.8 FIT의 60%만이 MPF_Perceived에 해당하게 되며 11.52 FIT (60 * 0.6 * 0.8 * 0.4)은 latent fault로 남게 됩니다.

 

이 경우, SM3에 의해 degration mode activation이 결정되기에 SM3를 SM으로 사용할 수 있습니다. 

 

'R1 Open' 고장 모드 (FMEDA example, LF, FMC, SM), perceived fault, not perceived fault

 

4) 'IC100 wrong processing' 고장 모드는 SM2에 의해 감지되나 감지 이후 IC100도 어떠한 기능도 수행할 수 없게 되기에 SM2에 의해 감지된 21.6 FIT (60 * 0.4 * 0.9) 모두 latent로 남게 됩니다.