본문 바로가기
AUTOSAR/AUTOSAR 기능안전

AUTOSAR 기능 안전 - 01 FFI

by 임아톰 2022. 8. 22.

관련 글 목록

  1. AUTOSAR 기능 안전 - 01 FFI <- 현재 포스팅
  2. AUTOSAR 기능 안전 - 02 Memory Partitioning
  3. AUTOSAR 기능 안전 - 03 Timing Monitoring
  4. AUTOSAR 기능 안전 - 04 Logical Supervision
  5. AUTOSAR 기능 안전 - 05 End-2-End Protection
  6. AUTOSAR 기능 안전 - 06 Hardware Diagnostics

 

참고

  • 개인적인 공부 목적으로 정리한 자료입니다.
  • AUTOSAR_EXP_FunctionalSafetyMeasures.pdf 문서를 참고하여 작성하였습니다.
  • 잘못된 내용이 있다면 댓글 달아주시면 수정하겠습니다 :)

 

AUTOSAR 기능 안전 개요

차량은 사고가 날 경우 운전자와 승객에게 큰 피해를 입힐 수 있기 때문에 기능 안전이 매우 중요합니다. 기능 안전 (Functional Safety)은 기능 장애 및 중단으로 인해 발생하는 위험에 대한 보호 장치입니다. 이러한 기능 안전은 시스템 디자인 초기부터 고려해야 합니다. 

 

 자동차 표준 소프트웨어 플랫폼인 AUTOSAR (AUtomotive Open Sysmet ARchitecture)에서는 기능 안전과 관련된 내용 및 관련 기능을 다루고 있습니다. AUTOSAR_EXP_FunctionalSafetyMeasures.pdf 문서는 AUTOSAR에서 기능 안전이 어떻게 지원되고 구체적인 정보가 어디에 있는지 다루는 문서입니다.

 

  다만, AUTOSAR에서 기능 안전 관련된 기능을 지원하지만 AUTOSAR를 사용하는 것이 기능 안전 상 완전한 해결책은 아니라고 합니다. 즉, AUTOSAR 사용만으로는 ISO 26262를 준수한다는 걸 의미하지 않습니다.

 

 제어기의 기능안전과 관련하여 중요한 개념 중 하나가 ISO 26262에서 정의한 FFI (Freedom From Interference) 입니다. 해당 문서에서 중점적으로 다루는 내용도 AUTOSAR SWC 들 간의 FFI (Freedom From Interference) 입니다. 

 

 

FFI란?

FFI(Freedom From Interference)는 하나의 구성 요소가 다른 구성 요소의 간섭(interference)로 부터 자유로운 상태를 말합니다. 

Element 2 is free from interference.

Element 2가 FFI가 보장된다면 그림과 같이 Element 1에 failure가 발생하여도 Element 2의 failure로 이어지지 않습니다.

Element 3 interferes with Element 4.

FFI가 보장되지 않는다면 그림과 같이 Element 3의 failure에 의해 Element 4의 failure로 이어질 수 있습니다.

 

 

FFI가 중요해지는 이유

 차량의 전장화 비율이 증가하고 여러 제어기를 하나의 통합 제어기에 합침에 따라서 ECU에는 탑재되는 SW의 양은 증가하고 있습니다. 이에 따라 서로 다른 ASIL 등급을 가진 SW들도 하나의 ECU에 올라가고 있습니다. 안전과 관련한 SWC와 안전과 관련되지 않은 SWC가 서로 영향을 줄 위험도 높아진 것입니다.

 

 ISO 26262에 따르면 임베디드 SW가 서로 다른 ASIL 등급을 가진 SWC로 구성됐다면, 전체 SW를 가장 높은 ASIL 등급에 맞춰서 개발하거나 ASIL 등급이 높은 SWC가 ASIL 등급이 낮은 SWC로 부터 FFI를 보장해야 합니다. FFI를 보장하지 않으면 모든 SW를 가장 높은 등급의 ASIL에 맞게 개발하면 됩니다. 다만, 이렇게 개발한다면 개발 비용은 크게 증가하게 됩니다. 

 

아래의 예시는 ASIL A, ASIL B 그리고 ASIL D 등급의 SW로 구성된 시스템 예시입니다.

FFI가 보장되지 않은 a)의 경우 가장 높은 등급인 ASIL D 등급으로 SW를 개발해야 합니다. 반면 FFI를 보장한 b)의 경우 각각의 등급에 맞게 SW를 개발하면 됩니다.

 

 

간섭(Interference)의 종류

AUTOSAR에서는 간섭을 일으키는 fault의 종류를 다음 4가지로 분류하였습니다.

  1. Memory
  2. Timing
  3. Execution
  4. Exchange of information

다음 포스팅 부터는 AUTOSAR의 기능 안전 메카니즘에 대해 이야기 하겠습니다. AUTOSAR 기능안전 메카니즘은 SWC 간 FFI를 보장하기 위해 HW와 SW fault를 감지, 예방 및 완화를 돕습니다. 이러한 AUTOSAR 기능안전 메카니즘은 안전 관련 시스템을 개발할 때 사용됩니다.

 

 

다음글 - AUTOSAR 기능 안전 - 02 Memory Patitioning

반응형
저작자표시

'AUTOSAR > AUTOSAR 기능안전' 카테고리의 다른 글

AUTOSAR 기능 안전 - 04 Logical Supervision  (0) 2022.09.13
AUTOSAR 기능 안전 - 03 Timing Monitoring  (0) 2022.08.31
AUTOSAR 기능 안전 - 02 Memory Partitioning  (1) 2022.08.29

관련글

티스토리툴바