E-Gas


Engine Control Unit에 대한 개발 표준이다. Automotive Domain에서 High level requirement, Low level requirement라는 용어는 없지만, E-GAS표준은 System level의 design단계에서 구현해야 하는 기능을 정리해 놓은 표준이다. 즉, System level의 low level requirement이다.

High level requirement(Requirement문서)와 Low level requirement(Design문서)는 이전 포스팅(요구사항.. 어떻게 작성해야 좋을까?)에서 그 차이를 기술한 바 있다.

또한 시스템 수준의 요구사항과 소프트웨어 수준의 요구사항에 대한 비교도 이전 포스팅(시스템 요구사항과 소프트웨어 요구사항의 차이점?)에서 그 차이를 기술하긴 했지만, 이 문서를 읽는다면 system수준의 low level 요구사항에 대한 사례를 이해할 수 있을 것이다.

DO-178C나 DO-278A기반의 항공쪽 domain에서는 시스템 수준의 Low level requirement와 소프트웨어 수준의 High level requirement의 표현 수준의 차이는 크지 않다. 그러므로 어떤 요구사항의 경우는 표현이 달라지지 않고(refine되지 않고) 그대로 software 수준의 요구사항으로 allocate될 수 있다.

난 자동차 쪽에서도 그런 방식을 적용하는 것이 좋은 practice라고 생각한다. 그런 점에서 E-GAS는 System 수준의 low level requirement뿐만 아니라, Software 수준의 High-level requirement(allocated from System level)의 사례를 익힐 수 있는 좋은 기회라고 생각한다.

물론, Engine Control Unit의 Safety관점에서 설계하기 위한 방법을 파악할 수도 있다. ECU는 ASIL-B를 위해서 디자인되었다고는 하는데, 개인적 생각으로는 상당히 과한게 아닌가 생각이 든다. E-GAS를 만들었을 당시에는 ISO26262의 개념이 정립되지 않아서 과하게 한건 아닐까 생각이 들기도 한다.

처음 접했을 때 E-GAS의 구현 난이도는 좀 tough한게 아닌가 생각되었다. 사실 detail한 내용에 대해서는 E-GAS표준에도 나오지는 않는다. 안전 분석을 수행하는 방법과 그 가이드 관점에서 본다면 E-GAS를 읽는다고 알 수는 없는 내용이다. 다만 E-GAS표준을 읽으면 안전 분석 수행한 결과를 볼 수 있어서 safety mechanism을 어떻게 설계하기로 결정한건지는 알 수 있다.

과정을 알 수 있으면 더할나위 없이 좋겠건만,, 혹시 intermediate data를 가지고 계신분이 있다면 저한테도 보내주시면 감사하겠습니다..

Anyway, 그런 detail이 없어도 이 문서는 Functional Safety를 한다고 하면 반드시 읽어봐야 하는 문서가 아닐까 한다.

 

Overview

ECU와 관련된 설계 가이드라인 및 기본적 원칙

  • 개인 안전이 가장 높은 우선 순위를 가지고 있습니다.
  • 신뢰성(reliability)은 대체 기능(replacement function)보다 우선합니다
  • 모니터링은 엔진 개념에 독립적이어야 하며 최대한 드라이버 반응에 독립적이어야 한다.
  • 특히 시스템 모니터링 (또한 결함 반응)에 대한 기능은 쉽고 관리할 수 있어야 한다.
  • 시스템은 숨겨진 오류와 관련된 단일 결함(single fault) 및 결함들의 반응을 제어하도록 설계되어야 한다. 모든 관련된 신호 경로가 모니터링 되어야 한다. (센서, 액츄에이터, 함수).
  • 시스템은 최첨단의 요구에 따라 더블(double) 및 이중(dual) 고장의 반응을 제어하도록 설계되어야 한다.
  • 단계별 결함 반응은 가능한 가장 높은 가용성에 대한 노력을 해야 한다.
  • 반응(reaction)이 활성화 되어야 하기 전에 신호 경로는 명시적인 탐지 (이벤트 또는 시간을 디 바운싱 후 등)후 “확인 결함(confirmed defect)”으로 분류되어야 한다. 그 전에는 결함(defect)은 “가정된 결함(supposed defect)”으로 분류되어야 한다.
  • 적절한 반응 메커니즘은 “추정 결함”뿐만 아니라 “확인 결함”에 대해서도 특정 기능에 대해 정의되어야 한다.
  • 오류 반응의 리셋은 개별 사례별로 실현되어야 하며, 제어 가능한 방식으로 수행되어야 한다. 불안정한 분기(junction)는 피해야 한다.
  • 다른 제어 시스템의 반응이 보장되지 않는다면 엔진 정지는 허용됩니다.
  • 전송기(transmitter)는 제어 장치 인터페이스의 시작 메시지의 내용에 대한 책임이 있다. 이것은 예를 들어 외부 토크 요청이 전송기 제어 장치에 의해 보장되어야 하는 것을 의미한다. 전송 경로와 최신의(up-to-date) 메시지가 엔진 제어 시스템에 의해 점검되어야 한다.
  • 다음의(next) 단일 결함(fault)에 더하여 오류들(faults)이 의도하지 않은 시스템 반응을 유발하는 경우 드라이버는 통보 받아야 한다. (광학적으로 또는 운전 동작을 변경함으로써).
  • 기능 제어기의 모니터링은 강력하고 쉽게 설계되어야 한다. ASIC으로 구현하는 것도 가능하다.
  • 중복 차단 경로의 효과성은 각 운전 사이클에서 시험을 해야만 한다.
  • 모니터링 개념의 차단 경로는 결함이 있는 전원 공급 장치의 드리프트(drift)와 관련되어 견고하게(robust) 설계되어야 하고 전원 공급 개념은 컴포넌트에게 피해 주는 것을 막기 위해 모니터링 되어야 한다. 제어 가능한 고장에 대한 반응이 반드시 들어가야 한다.
  • ISO26262의 요구사항에 따라 기술적 안전 개념(technical safety concept)을 구현해야 한다.

ECU와 관련된 위험 분석

ID Description ASIL
SZ-01 Prevention of unwanted acceleration ASIL B
SZ-02 Prevention of missing acceleration QM
SZ-03 Prevention of unwanted deceleration QM
SZ-04 Prevention of missing deceleration QM

 

Technical Safety Requirement(System-level requirement)

No Safety Requirement for SZ-01 Component Technical implementation
SANF-01 센서는 타당성 있도록 구현되어야 한다.Sensors shall be plausibiliable implemented Accelerator 10.1.2.2.1
10.1.2.2.3
SANF-02 센서는 검증 가능하도록 구현되어야 한다.Sensors become verifiable implemented Throttle-valve 1) 10.1.2.1.1
SANF-03 ECU는 적절한 타당성 검사를 사용함으로써 센서 결함(엑셀레이터 페달, 스로틀 밸브, 브레이크, 크루즈 컨트롤 레버2) 및 추가적인 토크 관련 센서 및 컴포넌트)을 탐지할 수 있다.The engine control unit detects sensor faults (e.g. accelerator pedal, throttle-valve, brake, cruise control lever2), additional torque relevant sensors / components) by using appropriate plausibility checks. Engine control unit 10.1.2
10.1.2.1.2
10.1.2.2.2
10.1.2.2.4
10.1.2.2.5
10.1.2.3
10.1.2.4
SANF-04 네트워크에 의해 전달되는 다른 제어 장치의 토크 요청은 타당성을 검사해야 한다. (예. 엔진 컨트롤러의 액셀레이터 페달, 스로틀 밸브, 브레이크, 크루즈 컨트롤 레버2))Torque requests of other control devices that are transmitted by networks shall be checked for plausibility (e.g. accelerator pedal, throttle-valve, brake, CC-control lever2) in the engine controller Engine control unit 10.1.2
SANF-05 ECU는 적절한 타당성 검사를 통해 액추에이터 오류(스로틀 밸브1), 연료량)를 검출하여야 한다.The engine control unit detects actuator errors (e.g. throttle-valve1), fuel quantity) by using appropriate plausibility checks) Engine control unit 10.1.2
SANF-06 엔진 제어 장치의 안전 개념은 1)허용하지 않아야 하는 운전자 토크 값을 초과하는 검사와 2)의도하지 않은 가속의 확인을 구현해야 한다.고장의 경우 엔진 제어 장치는 안전 상태로 전환된다.In the engine control unit a safety concept shall be implemented for validation and confirmation of a not permissible exceeding driving torque or an unintended acceleration.In case of a fault the engine control unit shall switch to a safe state. Engine control unit 10.1.3
10.2
10.3
SANF-07 기능 제어기는 모니터링 되어야 한다.The function controller shall be monitored Engine control unit 10.1.5
1) Only applies to gasoline engines in air-guided systems.
2) Project specific

 

E-GAS는 3-level architecture이다. 각각의 level의 function은 아래와 같다.

Level Level title Level Description 
Level 1 functional level 레벨 1은 엔진 제어 기능, 예를 들어, 요청 된 엔진 토크, 구성 요소 모니터링, 입력 / 출력 변수 진단을 변환하고 결함이 발견되어야 하는 경우 시스템의 반응을 제어 할 수를 포함합니다.Level 1 contains the engine control functions, e.g., to convert requested engine torque, component monitoring, input / output variable diagnostic and to control the system reactions if a fault shall be detected.
Level 2 function monitoring level 그것은 계산 된 토크 값이나 차량의 가속을 모니터링하여, 레벨 1 기능 소프트웨어 등의 결함이 시퀀스를 감지합니다. 고장의 경우, 시스템 반응이 발생해야 한다.It detects the defective sequence of level 1 functional software, e.g., by monitoring the calculated torque values or the vehicle acceleration. In case of a fault, system reactions shall be triggered.
Level 3 controller monitoring level 기능 컨트롤러 (예를 들어, ASIC 또는 컨트롤러)에 독립적인 모니터링 모듈을 포함한다. 모니터링 모듈은 질문-응답 프로세스의 방법으로 프로그램이 올바르게 수행되었는지를 시험한다.It contains a monitoring module that is independent of the function controller (e.g. ASIC or controller), which tests if the program has been correctly executed by means of a question-answer process.

 

이 표준은 구글에서 E-Gas monitoring concept으로 찾으면 다운받을 수 있으며, 아래 site에도 있다.

https://www.iav.com/sites/default/files/attachments/seite/ak-egas-v5-5-en-130705.pdf

 

참고로 가전 기기의 기능안전 표준인 IEC 60730-1도 같이 확인하면 좋을 듯 하다.

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중