National Highway Traffic Safety Administration Toyota Unintended Acceleration Investigation


출처: http://www.nhtsa.gov/UA

NASA report의 short version을 읽었다.

소감을 말하자면 참 흥미진진한 밀실살인사건을 해결해야 하는 느낌이다.

분명 UA(unintended accerlation)는 발생했다. 사용자는 브레이킹이 잘 안되었다고 했고,

그런데 문제는 DTC는 동작하지 않았다.

집안에 문이 잠겨있고, 범인이 누군지 모르는 상황에서 누군가는 죽었다..

뭔가 비슷하지 않은가? 범인이 누굴까?

대충 번역한 자료

 

결론은 설계상에 문제는 없는데?

BARR에서 수행한 악조건 시험에서 UA가 발생한다면 그것도 나름대로 의미는 있을 수 있겠지만, 누가 더 전문가일까? 란 생각도 든다.

어쨌던 털어서 먼지를 찾았으니 BARR의 승리? ㅎㅎ

 


 

NASA 엔지니어링 및 안전 센터(NESC)는 NHTSA로부터 토요타의 의도하지 않은 가속(Unintended Accerlation, UA)에 대해 조사해 달라고 요청을 받았다. 이 연구의 목표는 토요타의 Electronic Throttle Control System Intelligent (ETCS-i) 전자의 설계 및 구현 취약점들로 인해 실제로 UA를 발생시키는지를 판단하는 것이다. TMC는 2002년 캠리에 ETCS-i를 도입하여 악셀레이터 페달과 스로틀 밸브사이의 기계적 연결을 대체하였다. ETCS-i는 페달 및 스로틀에 전기적 위치 센서를 가지고 있고, 스로틀에 액추에이터 모터를 가지고 있고, 와이어링, 부가적인 전가 회로, ECM의 소프트웨어로 구성되어 있으며 그림 4.0-1과 같다

ECM은 스로틀 밸브, 연료 주입, 시동, 배출을 포함한 엔진 시스템을 관리한다. 스로틀 밸브는 엔진에 들어가는 공기의 양을 제한함으로써 엔진 스피드와 파워에 대한 중요 제어를 한다. ECM내에 있는 전기적 연료 주입 시스템은 mass공기흐름과 다른 센서 신호를 기반으로 하여 적절한 공기를 유지한다. 공기 입력(예를 들면 연료 주입, 시동 스파크)보다는 factor들의 ECM제어가 엔진 성능에 최적화되어 있어서 연료 주입 및 시동 factor의 off-nominal setting이 더 높은 엔진의 속도 및 출력을 생성하지 못한다. 그러므로 스로틀 밸브의 ETCS-i제어는 UA의 잠재적 전자전 원인을 판단하기 위한 것에서 주요한 focus가 되었다.

전자적 제어 시스템은 기계적인 고장에 대한 발생가능성(likelihood)를 줄여줄 수 있지만, 기계적 시스템에는 나타나지 않는 anomalous mode를 잠재적으로 생기게 할 수도 있다. NESC팀은 TMC ETCS-i시스템에 대해서 그러한 잠재적 전자적 취약성이나 NHTSA자동차 소유자들의 질문(VOQ)시스템에서의 국내 소비자에 보고된 UA를 유발할 수 있는 고장 모드를 조사했다.

NESC팀은 광범위하게 NHTSA VOQ 데이터 세트를 조사했다. 보고된 UA는 희귀한 이벤트였다. 일반적으로, 보고된 UA는 1/100,00 vehilce/year 혹은 1.4백만 마일의 1번꼴로 발생했다. 426,911의 총 VOQ 보고에서 전문가 검토 및 분석을 통해 9698건의 UA가 확인되었다. 이 중에서 3054건이 TMC 차량이다.

NESC팀은 모든 TMC모델에서 ETC-i의 도입으로 인한 VOQ보고서의 증가를 볼 수 없었다. 일부 모델은 영향 없음 및 몇 모델은 작은 증가를 가리켰다. 반면 다른 것들은 수신한 보고서의 숫자에서 작은 감소를 보였다. 하지만 공적으로 VOQ의 UA는 증가하고 있었다.

VOQ레코드는 831개의 캠리에 대한 UA보고서를 포함했고, 2005 캠리가 NESC팀에서 자세한 조사를 위해 선택되었다. 다른 캠리 2002나 2007은 2005와 비교하요 식별된 영역을 validate했다. VOQ보고는 자세하게 조사되었고 보고된 증상을 기반으로 분류하고 정상적 차량 디자인의 특성, 제조 기술 서비스 불레틴(TSBs)상에서 식별된 문제점, 확인된 운전자 행동, 바닥 매트와 sticking 페달 리콜 이슈와 같은 다른 유사한 알려진 이유들과 추적 가능한 원인들을 포함하였다.

NESC팀의 VOQ데이터를 검토결과 보고된 이벤트에서 알려지지 않은 원인으로 인해 one-half이상(25도 이상) high 스로틀 오픈 UA였음이 드러났다. 많은 경우 오퍼레이터는 보고하기를, 브레이크가 자동차를 제동하는데 효과적이지 않았다. (분명한 브레이킹의 상실이 발생했다). 하지만 ETCS-i나 브레이크 시스템에서의 어디에서도 failure의 증거는 없었다. NESC팀은 높은(25도보다 높은) 상대적 밸브 오프닝은 이런 타입의 UA를 생성할 수 있다고 판단하였다.

NESC팀은 탑다운 시스템 엔지니어링 접근법을 적용하여 ETC(Electronic throttle control)의 중요 기능을 조사해서 어떻게 시스템이 failure에 대해 어떻게 대응하는지(fail-safe설계 특징)를 살펴봤으며, 시스템이 취약점을 가지는지를 확인했다.

 

NESC팀에서는:

  1. ETCS-i설계, 설계 엔지니어링, drawings, schematics, software source code, HTSA에서 획득한VOQ 차량들에 대해 무제한 접근이 가능했다.
  2. 알려지지 않은 UA고장모드가 식별될 수 있는지를 연구했고, 그것이 일반적 사용자의 사용과 연계되는지, 사용자 보고서(VOQ 차량)혹은 차량 컴포넌트와 연계된 차량 테스트를 통해 시연을 했다.
  3. 어디에 flow가 있는지를 판단하고 무엇이 원인이고 정상적 사용을 위해 어떻게 해야 하는지를 판단하기 위해 VOQ보고서에서 제공받은 데이터를 사용했다.
  4. ETCS-i의 어떤 조건에서 UA를 유발하면서 DTC(diagnostic trouble code)를 생성하지 않는지를 평가하는 데에 집중했다.

이 시스템 연구는 ETCS-i아키텍처가 tiered fail-safe접근법을 가지고 있어서 prime 시스템과 monitor시스템으로 이루어져 있다. 팀은 5개의 fail-safe 모드를 식별하였는데, 그 모드는 제한된 페달 제어에서 완전한 엔진 셧다운을 하는 단계로 변화한다, 1개 혹은 그 이상의 고장이 탐지될 경우. 두 시스템의 UA에 대한 기능적 방어책도 발견되었다: limp home모드는 최대 스로틀 오픈을 18도로 제한하였다.( 15도의 nominal idle에서 3도 높은 수치), 만약 1개 혹은 2개의 페달 위치 센서가 실패하고 연료 cut mode 에서 악셀레이터 페달이 눌려지지 않음(released)을 판단할 때. 만약 둘 중의 하나의 악셀레이터 페달 센서가 악셀이 눌려지지 않았다고 가리키면 엔진 스피트 센서를 스로틀 밸브 포지션과는 무관하게 연료 cut기능으로 2500rpm으로 최대치를 제한한다.

(중략)

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중