E-Gas version 5.0 (1)


StandardizeEGas Monitoring Concept for Gasoline and Diesel Engine Control Units ver 5.0

조회수가 많아서 해석자료를 올려보고자 함.

  1. Developing Guideline and Basic Principles
  • 개인 안전이 가장 높은 우선 순위를 가지고 있습니다.
  • 신뢰성(reliability)은 대체 기능(replacement function)보다 우선합니다
  • 모니터링은 엔진 개념에 독립적이어야 하며 최대한 드라이버 반응에 독립적이어야 한다.
  • 특히 시스템 모니터링 (또한 결함 반응)에 대한 기능은 쉽고 관리할 수 있어야 한다.
  • 시스템은 숨겨진 오류와 관련된 단일 결함(single fault) 및 결함들의 반응을 제어하도록 설계되어야 한다. 모든 관련된 신호 경로가 모니터링 되어야 한다. (센서, 액츄에이터, 함수).
  • 시스템은 최첨단의 요구에 따라 더블(double) 및 이중(dual) 고장의 반응을 제어하도록 설계되어야 한다.
  • 단계별 결함 반응은 가능한 가장 높은 가용성에 대한 노력을 해야 한다.
  • 반응(reaction)이 활성화 되어야 하기 전에 신호 경로는 명시적인 탐지 (이벤트 또는 시간을 디 바운싱 후 등)후 “확인 결함(confirmed defect)”으로 분류되어야 한다. 그 전에는 결함(defect)은 “가정된 결함(supposed defect)”으로 분류되어야 한다.
  • 적절한 반응 메커니즘은 “추정 결함”뿐만 아니라 “확인 결함”에 대해서도 특정 기능에 대해 정의되어야 한다.
  • 오류 반응의 리셋은 개별 사례별로 실현되어야 하며, 제어 가능한 방식으로 수행되어야 한다. 불안정한 분기(junction)는 피해야 한다.
  • 다른 제어 시스템의 반응이 보장되지 않는다면 엔진 정지는 허용됩니다.
  • 전송기(transmitter)는 제어 장치 인터페이스의 시작 메시지의 내용에 대한 책임이 있다. 이것은 예를 들어 외부 토크 요청이 전송기 제어 장치에 의해 보장되어야 하는 것을 의미한다. 전송 경로와 최신의(up-to-date) 메시지가 엔진 제어 시스템에 의해 점검되어야 한다.
  • 다음의(next) 단일 결함(fault)에 더하여 오류들(faults)이 의도하지 않은 시스템 반응을 유발하는 경우 드라이버는 통보 받아야 한다. (광학적으로 또는 운전 동작을 변경함으로써).
  • 기능 제어기의 모니터링은 강력하고 쉽게 설계되어야 한다. ASIC으로 구현하는 것도 가능하다.
  • 중복 차단 경로의 효과성은 각 운전 사이클에서 시험을 해야만 한다.
  • 모니터링 개념의 차단 경로는 결함이 있는 전원 공급 장치의 드리프트(drift)와 관련되어 견고하게(robust) 설계되어야 하고 전원 공급 개념은 컴포넌트에게 피해 주는 것을 막기 위해 모니터링 되어야 한다. 제어 가능한 고장에 대한 반응이 반드시 들어가야 한다.
  • ISO26262의 요구사항에 따라 기술적 안전 개념(technical safety concept)을 구현해야 한다.
  1. Amendments/Reference
  1. System Definition

ISO 26262을 준수하여 시스템 범위의 정의가 필요하다. (항목 정의). 고려 대상은 도로 챠량의 드라이브 트레인의 일부인 내부 연소 엔진(internal combustion engine)이다. 내부 연소 엔진은 트랜스미션이 관여되어 (engaged) 있는 동안 직접적으로 기계적으로 드라이브 휠과 결합된다.

다음의 기능적 특성은 연소 엔진에 할당된다.

  • 드라이브 토크
  • 브레이킹 토크

Application environment: Passenger cars

Construction:

  • 내부 연소 엔진은 차량의 구동 토크의 단일 소스입니다.
  • 연소 엔진은 파워 트레인에 의해 구동 바퀴에 직접 연결된다.
  • 연소 엔진은 엔진 ECU에 의해 제어되어야 한다.

 

  1. Hazard and Risk Analyzes

As result of the hazard and risk analysis, the next safety goals shall be defined as

ID Description ASIL
SZ-01 Prevention of unwanted acceleration ASIL B
SZ-02 Prevention of missing acceleration QM
SZ-03 Prevention of unwanted deceleration QM
SZ-04 Prevention of missing deceleration QM
  1. Functional Safety Concept

(중략)

No Safety Requirement for SZ-01 Component Technical implementation
SANF-01 센서는 타당성 있도록(plausibiliable) 구현되어야 한다. Accelerator 10.1.2.2.1
10.1.2.2.3
SANF-02 센서는 검증 가능하도록 구현되어야 한다. Throttle-valve 1) 10.1.2.1.1
SANF-03 ECU는 적절한 타당성 검사를 사용함으로써 센서 결함(엑셀레이터 페달, 스로틀 밸브, 브레이크, 크루즈 컨트롤 레버2) 및 추가적인 토크 관련 센서 및 컴포넌트)을 탐지할 수 있다. Engine control unit 10.1.2
10.1.2.1.2
10.1.2.2.2
10.1.2.2.4
10.1.2.2.5
10.1.2.3
10.1.2.4
SANF-04 네트워크에 의해 전달되는 다른 제어 장치의 토크 요청은 타당성을 검사해야 한다. (예. 엔진 컨트롤러의 액셀레이터 페달, 스로틀 밸브, 브레이크, 크루즈 컨트롤 레버2)) Engine control unit 10.1.2
SANF-05 ECU는 적절한 타당성 검사를 통해 액추에이터 오류(스로틀 밸브1), 연료량)를 검출하여야 한다. Engine control unit 10.1.2
SANF-06 엔진 제어 장치의 안전 개념은 1)허용하지 않아야 하는 운전자 토크 값을 초과하는 검사와 2)의도하지 않은 가속의 확인을 구현해야 한다.

고장의 경우 엔진 제어 장치는 안전 상태로 전환된다.

Engine control unit 10.1.3
10.2
10.3
SANF-07 기능 제어기는 모니터링 되어야 한다. Engine control unit 10.1.5
1) Only applies to gasoline engines in air-guided systems.
2) Project specific
  1. Technical Safety Concept

10.1 The Monitoring Concept at Three Levels

10.1.1 System Overview Electronic Control Unit (ECU)

The monitoring is performed at three levels:

Level Level title Level Description 
Level 1 functional level 레벨 1은 엔진 제어 기능, 예를 들어, 요청 된 엔진 토크, 구성 요소 모니터링, 입력 / 출력 변수 진단을 변환하고 결함이 발견되어야 하는 경우 시스템의 반응을 제어 할 수를 포함합니다.
Level 2 function monitoring level 그것은 계산 된 토크 값이나 차량의 가속을 모니터링하여, 레벨 1 기능 소프트웨어 등의 결함이 시퀀스를 감지합니다. 고장의 경우, 시스템 반응이 발생해야 한다.
Level 3 controller monitoring level 기능 컨트롤러 (예를 들어, ASIC 또는 컨트롤러)에 독립적인 모니터링 모듈을 포함한다. 모니터링 모듈은 질문-응답 프로세스의 방법으로 프로그램이 올바르게 수행되었는지를 시험한다.

고장의 경우, 시스템의 반응은 기능 컨트롤러와 독립적으로 트리거 됩니다.

Advertisements

Webinar: Automotive cyber security – protecting the connected car (part 1)


IoT시대를 맞아 사물이 인터넷으로 연결되고, 자동차도 연결이 될 것인데,

기업들이 open source를 business용으로 적극적으로 사용하고 있는 현실과 맞물리면,

open source로 개발되는 자동차 sw의 사이버 보안의 취약성 문제가 발생될 수 있다.

흥미로운 주제이고, 앞으로 기업들이 어떤 것들을 준비해야 할 지에 대해서 알 수 있었다.

동영상 및 발표자료 링크는 다음을 참조한다.

http://www.automotiveworld.com/events/webinar-protecting-connected-car-part-1/

영원한 열등생은 없다.


이 사진의 주제는: 영원한 열등생은 없다.

IMG_0098

왼쪽 큰 바질 화분이 원래 2천원짜리 작은 화분 (바질씨앗 4개 싹틔운 화분)이 커서 저렇게 된 것이고, 오른쪽의 길쭉한 2개 화분에 옮긴 바질은 꺾꽃이 해서 키운 것이다. (2개를 2회에 걸쳐 꺾꽃이 함, 꺾꽃이 한 시점이 차이가 있어서 화분 하나의 생장이 약한데, 좀 지나면 무럭무럭 클 것으로 기대..)

바질화분 구매해서 2~3주 지났을 때, 한 녀석이 심하게 못커서 솎아주려고 하였으나(자연도태), 그냥 도태시키기에는 저녀석을 불쌍하게 여겨서 꺾꽃이를 시켜버렸다. (4놈의 뿌리가 엉켜있으므로 포기나누기 하지 않고, 비실거리는 놈의 줄기 아랫부분을 잘라서 3주간 생육포기)

경쟁에서 진 녀석을 꺾꽃이 하고 분변토로 옮겨심었더니, 지금은 꽤 성장한 상황..저녀석을 보면 경쟁에서 졌다고 열등한 것도 아닌 거 같다.

영양가 많은 토양에서 성장을 방해하지 않으니 저렇게 잘 크는 것을 보니 내가 솎아주지 않고 참고 기다린 보람이 있다.

3놈에게 경쟁에 밀려서 꺾꽃이 당하는 수모(?)를 겪기는 했으나, 거기에 붙어서 그냥 비실거린 상태로 있는거보다는, 3주간 성장을 못하더라도, 더 나은 환경에서 더 크게 성장하는게 이 녀석에게도 더 좋은 일이었듯 싶다.