Embed Size (px)
Citation preview
01
전기·전자(E/E) 시스템을 개발하는 동안 아키텍처 설계, 요구사항
분석, 소프트웨어 및 시스템 설계, 통신 설계, 하드웨어 부품 및
와이어링 하네스 개발 등 모든 부문에서 기능안전을 분석해야 한
다(그림1). 또한 E/E 시스템을 다른 제품라인 및 장치에 재사용하
는 것도 고려해야 한다. 일관성 있는 E/E 모델은 자유로운 발상으
로 만들어진 다양한 개발 옵션 모델링을 가능하게 할 뿐만 아니
라 기능안전이 확보된 E/E 시스템 개발에 따르는 복잡성을 극복
할 수 있다.
ISO 26262 – 미래와 함께하는 표준
ISO 26262 표준은 차량 안전 관련 E/E 개발에 대한 국제 요구사
항을 정의한다. ISO 26262 표준은 승용차에 적용하기 위해 제정
되었으나 곧 발간될 제2판은 오토바이, 트럭 및 버스 업계뿐만 아
니라 반도체 업계에도 적용될 예정이다. 더 나아가 농기계 업계
에서도 하나의 ‘모범 사례(best practice)’로 이 표준을 채택한 바
있다. 이 표준은 최종 제품의 기능안전뿐만 아니라 제품 개발과
관리의 방법 및 프로세스에 대한 포괄적인 요구사항을 제시한다.
검증된 안전 분석 방법과 기존 산업 표준이 표준 프로세스로 채
택되었다. 최근에 준비 중인 개정판은 표준을 적용하며 터득한
경험을 고려했을 뿐만 아니라 표준의 사용 범위도 확대할 예정이
다. PREEvision은 ISO 26262의 요구사항을 효율적으로 구현하기
위해 사용할 수 있는 툴이다. 벡터는 이 툴을 모든 레벨의 차량
E/E 아키텍처를 일관된 툴 지원 방식으로 모델링할 수 있는 모델
기반 솔루션으로 제공할 뿐만 아니라 이 목적을 위해 특별히 개
발한 기술 언어도 제공한다. 이 툴은 사용자가 E/E시스템의 기능
안전 분석 및 최적화하는 것을 용이하게 해준다(그림 2).
논리 시스템 아키텍처 설계는 차량 사용자가 체험하는 차량 기능
과 관련된 요구사항에서 시작된다. 이를 확장하여 네트워크 토폴
로지를 포함한 소프트웨어 및 하드웨어 아키텍처를 생성할 수 있
다. 이 툴은 시스템 뷰와 함께 회로 및 와이어링 다이어그램과 와
이어링 하네스의 상세 뷰를 제공한다. 또한 차량의 설치 공간의
형상뿐만 아니라 물리적 구성 요소 및 연결의 레이아웃을 캡처할
수도 있다. 툴에 포함되어 있는 버전 및 변경 관리 시스템은 양산
단계의 프로젝트 엔지니어링 환경을 사용할 수 있게 지원한다.
관련된 데이터 교환 형식을 준수하는 불러오기 및 내보내기 인터
페이스는 PREEvision을 고객의 기존 도구 환경에 통합하는 데 사
용할 수 있다.
전동화, 자율주행 및 차량 네트워킹은 차량 기능안전에 대해 최고 수준의 요구사항을 만족할 필요가 있다. 새로운 차량 기능을 위한
전자 시스템은 네트워크로 밀접하게 연결되어 필요한 전체 시스템의 관점에서 안전 분석을 수행해야 하며, 차량 Ethernet 및 AU-
TOSAR Adaptive와 같은 기술적 트렌드도 고려되어야 한다. 모델 기반 엔지니어링 환경은 엔지니어가 이 같은 과제를 극복하는 데
도움을 준다.
안전한 첨단 시스템 설계!
ISO 26262를 준수하는 모델 기반 전기·전자 시스템 개발
02
기술기사 / 안전한 첨단 시스템 설계!
기술안전 컨셉
시스템 단계의 제품 개발 프레임워크에 기능안전 및 기술안전 요
구사항이 미세 조정되어 ISO 26262에 따른 기술안전 컨셉으로
만들어진다. 안전 관련 차량 시스템 개발의 다음 단계는 참조 단
계 모델에 따라 제품 개발을 하드웨어 및 소프트웨어 개발로 세
분화하는 것이며, 이는 시스템 레벨의 단일 틀에서 다시 통합된
다. PREEvision은 하드웨어 및 소프트웨어 모델링 레벨을 사용하
여 기술안전 컨셉을 모델링할 때 이 접근법을 따른다. 그러면 기
술안전 요구사항은 결과적으로 특정 하드웨어 및 소프트웨어 안
전 요구사항이 된다. PREEvision은 사용자에게 다이어그램 및 에
디터를 제공하여 사용자가 다양한 세부 레벨에서 작업하는 것을
지원한다. 이를 통해 아키텍처 설계와 하드웨어 및 소프트웨어
컴포넌트의 세부 설계를 모두 작성할 수 있다. 이러한 과정에서
컴포넌트의 고장률 및 고장 유형이 저장된 라이브러리도 활용될
수 있다. 유사한 방법으로 안전 메커니즘은 관련 진단 커버리지
등급과 통합될 수 있다(그림3).
안전 분석
PREEvision은 설계의 안전 분석을 위해 귀납적 분석방법인
FMEA(Failure Mode and Effects Analysis·고장 형태 및 영향 분
석)와 FMEDA(Failure Mode, Effects and Diagnostic Analysis·고
장 형태, 영향 및 진단 분석) 그리고 연역적 기법인 FTA(Fault Tree
Analysis·결함 트리 분석)를 지원한다. FMEA를 수행할 경우 사용
자는 적절한 에디터를 사용하여 양식을 작성할 수 있다. 또 다른
방식으로 사용자는 PREEvision 모델 정보를 기반으로 FMEA 양
기능안전 컨셉
정성적 분석 방법인 HAZOP(Hazard and Operability Study·위험
원 및 운영 분석)은 차량 기능 오작동을 체계적으로 식별하기 위
한 출발점으로 사용될 수 있다. HAZOP은 고객 기능, 요구사항 또
는 소프트웨어나 하드웨어의 기술 구현으로 추출되는 논리 기능
에 적용된다. HAZOP 결과는 안전 목표가 정의되는 HARA(Haz-
ard Analysis and Risk Assessment·위험원 및 리스크 평가)의 기
초가 된다. 위험 이벤트(hazardous events)를 정의하기 위해
PREEvision은 기능 및 관련 기능 결함뿐 아니라 차량 시스템 및
주행 상황의 작동 모드에 카탈로그 기반 방법을 적용한다. 각 위
험 이벤트에 심각성, 발생빈도 및 통제 효과에 따라 분류되는
ASIL(Automotive Safety Integrity Level) 등급이 부여된다. ASIL
할당은 ASIL과 연계하여 안전 목표를 정의하기 위한 기초가 된
다. 스프레드시트 형태의 에디터는 안전 목표를 위한 기능안전
요구사항을 명시하기 위해 사용될 수 있다. 툴은 백그라운드에서
지속적으로 모델을 점검하며 안전 요구사항에 부합하지 않는
ASIL 분해 같은 표준 위반에 대해 즉각적인 피드백을 제공한다.
논리 아키텍처 레벨에서 인과관계 체인은 기능안전 컨셉을 설명
해 준다. 이를 위해 센서, 액추에이터 및 논리 기능 블록이 사용
되며 이들 포트는 인터페이스 정의에 의해 구체화 된다. 또한, 논
리 기능을 계층적으로 분류할 수도 있다. 여기서 하나의 검증된
방법은 안전 목표 당 하나의 인과관계 체인을 설명하고 구현하는
것이다. 안전 요구사항은 논리 아키텍처 수준의 객체와 쉽게 연
결될 수 있다. 따라서 엔지니어는 컨셉 단계부터 ASIL과 연계된
안전 목표를 달성하기 위한 적절한 조치를 취할 수 있다.
그림 1: E/E 개발의 통합 컴포넌트인 기능안전
03
기술기사 / 안전한 첨단 시스템 설계!
필요 목표값이 제시된다. PREEvision 모델은 엔지니어에게 이들
이 충족되었는지에 대한 피드백을 제공한다. 그런 다음 추가적인
안전 메커니즘 도입, 라이브러리 내의 다른 컴포넌트 사용 등 하
드웨어 설계의 구체적인 변경이 이루어질 수 있다.
확인 및 검증
또한 PREEvision은 하드웨어, 소프트웨어 및 시스템 레벨을 통합
및 테스트하는 데 사용할 수 있다. 테스트 사양은 요구사항 및 고
객 기능을 통해 유추할 수 있으며, 테스트를 설계하고 구현하는
데 사용될 수 있다. 테스트 활동이 수동인지 자동인지에 관계없
이 테스트 활동을 계획하고 각 테스트 결과를 테스트 활동에 입
력 또는 불러올 수 있다. 툴은 보고서 및 다이어그램 형태로 결과
를 보여준다.
OEM과 공급업체의 협력
티켓 시스템을 사용한 변경 관리는 티켓이 모델 요소에 링크될
수 있기 때문에 변경 요청 및 결함에 대한 투명한 추적을 가능하
게 한다. 또한 고객에 특정된 라이프사이클을 티켓에 설정할 수
도 있다. 통합 릴리즈 관리는 프로젝트 계획 및 추적을 지원한다.
또한 안전 요구사항과 같은 모든 모델 컨텐츠의 서브셋을 검토할
수 있다. 기존의 ReqIF 교환 형식을 확장한 요구사항 가져오기/
내보내기 인터페이스를 통해 OEM과 다수의 공급업체 간의 요구
사항을 동시에 조정할 수 있다. 이 메커니즘은 ISO 26262에 명시
된 개발 인터페이스 협약(Development Interface Agreement)을
지원한다.
식 시트의 일부분을 자동으로 채울 수 있다. FTA의 경우 사용자
는 다이어그램의 도움으로 결함 트리(fault trees)를 작성하고 특
정 요구사항을 참조시킬 수 있다. 정성적 FTA가 수행되면 FTA는
상위 이벤트를 발생시키는 하위 단계의 이벤트가 식별된다.
PREEvision은 이 같은 구체적인 방법을 통해 설계를 개선할 수 있
게 한다. 이 방법은 FTA 다이어그램의 모델에서 관련 디자인 요
소를 추가로 표시하여 최적화될 수 있다. 설계가 필요한 목표 고
장률 값을 달성하는지 검사하기 위해 정성적 FTA의 하위 단계 이
벤트를 고장률과 연계하여 정량적 FTA를 수행할 수 있다. 또한,
결함 트리는 서브 시스템처럼 PREEvision에서 재사용 될 수 있다.
파생 시스템의 경우 결함 트리는 시스템 구성요소의 변이에 따라
종속되는 방식(variant-sensitive manner)으로 분석될 수 있다.
FMEDA는 1차 공급업체에 특히 중요하다. PREEvision은 이런 목
적으로 하드웨어를 컴포넌트의 전자 회로 다이어그램 단위로 분
할할 수 있다. 마이크로컨트롤러와 저항과 같은 개별 컴포넌트
유형은 라이브러리에 저장된 고장 정보에 의해 분석 작업이 보완
될 수 있다(그림3).
엔지니어는 회로 다이어그램에서 이러한 구성 요소를 라이브러
리로부터 인스턴스화 한 후 구성 요소의 고장 유형을 단일점 고
장, 잔존 고장 또는 다중점 고장으로 분류할 수 있다. 이를 토대
로 필요한 안전 분석, 하드웨어 아키텍처 매트릭스(Hardware Ar-
chitectural Metrics) 및 고장률 등급 분류법(Failure Rate Class
Method)이 수행될 수 있다. 필요한 모든 정보를 PREEvision 모델
로 통합하고 나면 안전 요구사항, 안전 요구사항의 ASIL 분류 및
그림 2: 기능안전 및 기술안전 컨셉은 PREEvision을 통해 논리 기능 아키텍처, 소프트웨어/서비스 아키텍처 및 하드웨어 아키텍처 레벨로 모델링된다. 안전 요구사항은 컨셉 레벨의 안전 요구사항 관련 컴포넌트와 연결될 수 있다. 툴 지원 안전 분석은 안전 컨셉을 반복적으로 개선하고 안전 컨셉과 요구사항이 일치하도록 하는 데 사용될 수 있다.
04
기술기사 / 안전한 첨단 시스템 설계!
안전 확인을 위한 반복적인 프로세스
ISO 26262가 요구하는 확인(Verification) 문서는 커스터마이즈될
수 있는 보고서 생성 기능을 활용해 자동으로 생성할 수 있다.
E/E 모델로의 하이퍼링크는 확인 보고서 텍스트로 저장될 수 있
다. 이를 통해 내부 검토, 안전 평가 및 감사를 간편하게 수행할
수 있다. ISO 26262는 안전성 평가를 안전 생명 주기 마지막에
하지 말고 점진적으로 하길 권고한다. 엔지니어는 PREEvision을
이용하여 기능안전 관련 개발 업무를 반복적으로 수행할 수 있
다. 다양한 개발 단계에서 작업 산출물을 일관되게 검사하고 안
전 확인에 대한 중간 보고서를 작성할 수 있다. 결국, 이 절차는
모든 안전 목표가 완전하고 충족되었음을 증명하는 안전 검증을
유도할 수 있다(그림4).
그림 3: 하드웨어 레벨의 제품 개발을 위한 안전 분석
그림 4: 점진적인 활동으로써의 안전 확인(Verification)
Dr. (Engineering) Nico AdlerVector Informatik GmbH에서 PREEvision 기능 안전 분야의 Principal
Product Manager로 근무하고 있다.
독일 출판물 “Elektronik automotive“ 2018년 11월 특별호
“Software" 기사 번역판
이미지 권리: Vector Informatik GmbH
요약
모델 기반 환경은 차량 E/E 컨텐츠의 다양한 뷰를 제공하는 강력
한 개발 툴이다. 모델 기반 환경은 기능적으로 안전한 시스템의
일관된 설계를 가능하게 하고 엔지니어가 핵심 업무에 초점을 맞
출 수 있도록 돕는다. 또한 PREEvision과 같은 강력한 툴은 OEM
과 1차 공급업체의 특정 요구사항에 적합한 프로세스를 지원한
다. 통합 접근법은 요구사항 사양부터 안전성 평가까지의 추적성
을 제공한다.
