[논문]IEC 61508에 의한 열차제어장치용 PES 구성에 관한 연구

강신주; 이종우

doi:10.5370/kiee.2013.62.8.1169

IEC 61508에 의한 열차제어장치용 PES 구성에 관한 연구
IEC 61508 into PES for Train Control Systems 원문보기

전기학회논문지 = The Transactions of the Korean Institute of Electrical Engineers, v.62 no.8, 2013년, pp.1169 - 1176

강신주 (Dept. of Railway Electric and Signaling Engineering, Graduate School of Railway, Seoul National University of Science and Technology) , 이종우 (Dept. of Railway Electric and Signaling Engineering, Graduate School of Railway, Seoul National University of Science and Technology)

Abstract ▼ AI-Helper

PES have been recently required to implement railway industry for its application flexibility. The PES should be commensurated with railway safety requirements. It achieved its safety through redundant PES. The redundant systems run with voting functions. The successful major voting result becomes the output of the redundant system. The redundant system have to be synchronized to vote each output results. This paper proposed an algorithm for synchronizing and a voter. The proposed algorithm and the voter are verified using simulation.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 IEC 61508에 따라 PE시스템을 구성하기 위한 방법과 구조를 제시하였다. 하드웨어는 비교기의 고장률에 의해서 안전성 특성이 결정되며, 소프트웨어는 “data diver- sity”, “N-version”, “Time redundancy” 및 “Check point and recovery”을 “2 out of 3”을 이용하여 구현하는 방법을 제시하였다.
본 논문에서는 IEC 61508의 생애주기에 따라 열차제어시스템용 PES를 개발하는 방법을 소개한다. 많은 문헌들이 IEC 61508에 대해서 언급을 하고 있지만, 열차제어 시스템을 IEC 61508규격에 따라서 PES를 개발한 사례는 찾기 어렵다.
안전과 관련된 서브시스템의 안전요구명세는 위험도를 평가하여 SIL로 설정한다[14]. 시스템 설계단계에서 안전과 관련된 기능구현은 여러 가지 방법이 가능하지만, 본 논문에서는 PES를 이용하여 안전을 구현하는 방법을 논한다.

가설 설정

가정 : 각각의 프로세서는 미션 처리주기는 일정시간 “Dt”를 초과하지 않는다

제안 방법

PES 구현의 단순화를 위해서 시스템의 안전성에 기여하는 기본설계 변수들을 규명하고 특정화함에 의해서, 우리가 원하는 안전도를 달성할 수 있는 방법을 찾으려고 노력해왔다. ISA SP84.03와 ISA84.02의 하위 위원회에서는 PES에 대해 ①시스템 여분계 구성, ②고장율 및 시스템을 구성하는 요소의 고장모드, ③자동진단의 검지범위, ④공통원인 고장율 혹은 확률, ⑤시험간격 및 실시간 수동 시험에 대한 간격, ⑥유지보수성, ⑦보안성 등 다음의 7가지 기본설계변수를 도출하였다. 시스템설계에서 이러한 변수를 적절히 고려하면, 시스템 안전성을 확보할 수 있다.
비교방법은 2개 이상의 PES를 이용하여 상호 데이터를 비교하는 방법이다. PES 중 한 시스템에서 고장이 발생하면, 시스템간의 데이터 값이 다르기 때문에 데이터를 비교하여 고장을 검지한다. 비교 데이터는 입력, 출력 및 기타 중요한 값 등이 있다.
도출된 위험원들을 이용하여 사고의 크기와 빈도를 도출하여 위험도를 평가한다. 각 운용 시나리오별에 대한 위험원과 위험도를 평가하고, 각 시나리오를 구현하기 위한 기능별 서브시스템을 도출한다. 제 4단계에서는 위험도를 낮추기 위해서 각 시나리오 별로 안전요구명세를 할당한다.
간단한 응용 프로그램은 “x = x+1”의 값을 비교하는 것을 이용하여 Fig. 9와 같은 프로세서에서 연산하는 실험을 하였으며, 동기화, 1개 프로세서 고장, 2개 프로세서 고장 등을 다음과 같이 시험하였다.
위험원 도출방법은 Check list, Hazop등 여러 가지 방법 등을 이용할 수 있다. 도출된 위험원들을 이용하여 사고의 크기와 빈도를 도출하여 위험도를 평가한다. 각 운용 시나리오별에 대한 위험원과 위험도를 평가하고, 각 시나리오를 구현하기 위한 기능별 서브시스템을 도출한다.
회복블록방법에서는 첫 번째 프로그램의 출력이 정확한 값이라고 판단되면 다른 여분 프로그램의 값을 사용하지 않고, 다음 단계로 전환이 중지되며, 그 값을 사용한다. 반대로 첫 번째 프로그램 출력 값이 정확하지 않다고 판단이 되면, 다음 프로그램의 출력 값의 정확성 여부를 판단하며, 값이 정확하지 않을 경우 정확 값을 얻을 때까지 순차적으로 다음 프로그램의 값에 대해서 비교를 실행한다. 회복블록방법은 주어진 순간에 단하나의 프로그램을 실행하여, 동시에 실행하는 N-version 방법과는 다르다.
별도의 컴퓨터에서 “XOR”로 구현된 비교기는 비트 단위로 비교하였다.
본 논문에서는 “2 out of 3”시스템에 대해서 안전성을 분석하였다.
2.2 입력데이터 비교
비교모듈을 통해 수행도중 데이터를 비교하여 에러를 검출한 후, 시스템을 복구할 수 있도록 비교 논리를 도입하였다. 시스템 동작 중에 에러가 발생하였을 경우, 사전에 설정된 수만큼 재시도 할 수 있다.
설계의 다양화는 각기 다른 하드웨어와 소프트웨어를 사용함으로써 구현할 수 있으며, “Time Redundancy”는 각각의 시스템에 시간차를 두어 구현을 하였으며,“Check point and recovery”는 3개의 시스템을 비교하여 한 시스템에서 이상이 발생하였을 경우“recovery”가 수행되며, 회복 불능일 경우는 그 해당 시스템을 차단하도록 한다.
시간 동기화는 동일한 입력 데이터에 대한 시간을 계산하는데 사용하며, 시간 동기화 방법은 여러 가지 형태로 구현할 수 있다. 시스템이 외란에 의해서 데이터가 변질되거나 혹은 중간에 에러가 발생하였을 때 방지하도록 하기 위해서 시간차를 두어 데이터 입력을 시행하도록 하였다.
제안된 시스템은 각기 다른 성능을 갖는 프로세서를 이용하여 “2 out of 3”시스템을 구성하는 방법과 알고리즘을 제시하였다.
본 시스템은 각기 다른 성능을 갖는 프로세서 이므로 timing synchronization에서의 , data output synchroni- zation, data out latch time 등을 미리 설정하여야 한다. 제안된 시스템을 검증하기 위해서는 정형기법 등을 이용할 수 있으며, 하드웨어의 검증, 각각에 사용된 소프트웨어의 검증이 필요하다. 이 검증은 또 다른 연구 분야이다.
이 검증은 또 다른 연구 분야이다. 제안된 시스템의 구현방법은 상용화된 하드웨어와 상용 Graphical sequence 언어를 이용하여 각기 다른 알고리즘을 구성할 수 있다. 알고리즘이 검증이 되면 각기 다른 Graphical sequence언어를 사용하면 N-version 프로그래밍을 쉽게 구현할 수 있다.
프로세서 3개가 정상인 경우, 프로세서 2가 고장이 발생한 경우는 “output 1”에서 출력, 프로세서 1이 고장이 발생하였을 경우는 “output 2”를 통하여 “1”이 출력하도록 하였으며, 3개의 프로세서가 각기 다른 결과를 출력할 경우는 “output 1” 및 “output 2"출력이 “0”이 되도록 하는 것을 시험 하였다.
하드웨어는 비교기의 고장률에 의해서 안전성 특성이 결정되며, 소프트웨어는 “data diver- sity”, “N-version”, “Time redundancy” 및 “Check point and recovery”을 “2 out of 3”을 이용하여 구현하는 방법을 제시하였다.

대상 데이터

2개의 PES데이터가 불일치할 경우에 어떤 값이 정확한 값인지를 모르기 때문이다. PES가 안전측과 결함허용 시스템이 되기 위해서는 3개 이상의 PES를 사용한다.

이론/모형

데이터 다양화는 n개로 복사한 동일한 프로그램을 병렬로 동작시키며, 입력데이터는 각기 다른 입력데이터 산출 시스템에 의해서 생성된 데이터를 사용한다. 출력 값은 다수 값이 아닌 특별한 voting 방법을 사용한다.
오류의 검지는 앞에서 언급한 비교방법을 이용한다. 하드웨어의 결함을 회복하기 위해서는 결함차폐와 동적회복(Dynamic recovery) 방법을 사용한다. 결함차폐는 여분 모듈에서 결함을 완벽하게 차폐하는 여분 모듈 기술이다.

성능/효과

“2 out of 3” 시스템은 Byzantine 고장형태와 “Fail stop failure”을 구현할 수 있는 시스템이다. 또한 3개의 독립된 시스템을 이용한 분산형 시스템을 구현할 경우에, 위에서 제시된 설계 다양화, 데이터 다양화, 인터페이스 다양화, 체크포인트 및 회복 등을 쉽게 구현 할 수 있다. 설계의 다양화는 각기 다른 하드웨어와 소프트웨어를 사용함으로써 구현할 수 있으며, “Time Redundancy”는 각각의 시스템에 시간차를 두어 구현을 하였으며,“Check point and recovery”는 3개의 시스템을 비교하여 한 시스템에서 이상이 발생하였을 경우“recovery”가 수행되며, 회복 불능일 경우는 그 해당 시스템을 차단하도록 한다.
2개 이상의 프로세서가 정상인 경우는 “1”을 출력하였으며, 3개의 프로세서가 고장이 발생한 경우는 “0” 이었다. 제시한 알고리즘이 정확하게 동작하는 것을 확인하였다.

후속연구

향후의 연구는 요구명세기법, SE, HIA, 하드웨어 및 소프트웨어 등의 각 단계마다 심도 있는 연구가 수행되어야 하며, 필요에 따라 연구가 진행될 수 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	안전이 확보된 PES를 구현하기 어려운 이유는 무엇인가?	PES는 하드웨어와 소프트웨어로 구성되어 있으며, 소프트웨어는 Firmware, OS, Application으로 구성되어 있다. 하드웨어와 소프트웨어와 결합되어 있고, 고장발생모드가 조합적(Combinatoric)으로 발생되기 때문에 안전이 확보된 PES를 구현하는 것은 매우 어렵다. 안전관련 PES에서는 고장을 발생시키는 결함을 최소화하기 위해서 개발에 체계화된 방법을 채용한다.
	IEC 61508란?	안전기능은 기계적, E/E/PES (Electrical/Electronic/Programmable Electronic System) 장치 등을 이용하여 구현한다. IEC 61508은 E/E/PES의 안전관련 적용에 관련된 규격이며, PES의 하드웨어 및 소프트웨어에 대한 일반적인 안전성 생애주기(life cycle)를 제시하고 있다. IEC 61508 규격은 PES의 각 분야 응용·개발에 기본지침이 되며, 기타 유사분야의 E/E/PES의 개발에 활용될 수 있다.
	시스템의 설계의 구상단계에서는 어떠한 요소를 상정하여 시스템 기본안을 도출하는가?	제 1단계의 시스템구상 단계는 필요에 따라 시스템을 구상하는 단계이다. 구상단계에서는 시스템의 목적, 시스템 운용 시나리오, 대략적인 시스템의 기능, 사용 환경 및 시스템의 경계 등을 상정하여 시스템의 기본안을 도출한다. 제 2단계에서는 시스템의 기본안을 이용하여 시스템의 상세운용 시나리오, 기능, 시스템 경계설정, 외부 인터페이스 및 운용환경 등을 도출한다.

참고문헌 (23)

Exida, "IEC 61508 Overview Report", vol. 2, pp 1-29, January 2006
Ron Bell, "Introduction to IEC61508", deliver.acm.org
"An Introduction to Functional Safety and IEC61508", www.mtl-inst.com
Simon Brown, "Overview of IEC61508-Design of E/E/PE safety-related system", IEE, vol.11, no.11, February 2000
Dhiraj K. Pradhan, "Fault-Tolerant Computer System Design", Prentice Hall, pp-550, February 1996
Barry W. Johnson " Design and Analysis of Digital System", Addison-Wesley, 1988
Gunter Gloe et al. "The Application of IEC61508 in Automative Sector", pp 1-7
Felix Redmill et al., "System Safety Hazin and Software Hazop", John Wiley & Son, June 1999
Jefrrey W. Vincoli, "Basic guide to System Safety", John Wiley & Son, pp-224, 2006
Nancy G. Leveson, "Safeware System Safety and Computers", Addison-Wesley, pp-680, 1995
W.M. Goble et al. "Using a failure modes, effects and diagnostic analysis (FMEDA) to measure diagnostic coverage in programmable electronic system", Reliability Engineering and System Safety, 66(1999) 145-148

상세보기
Algirdas Avizienis et al., "Basic Concept and Taxonomy of Dependable and Secure Computing", IEEE Transaction on Dependable and Secure Computing, vol. 1, no. 1, 2004
財團法人鐵道總合技術硏究所, "computer 制御信號 system 安全性.信賴性技術"
B. Randell, "System Structure for Software Fault Tolerance", IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, vol. se-1, no. 2, 1975
"ISA84,Electrical/Electronic/Programmable Electronic Systems (E/E/PES) for Use in Process Safety Applications", www.isa84.org
Tieling Zhang et al, "Availability of systems with self-diagnostic components-applying Markov model to IEC 61508-6", Reliability Engineering and System Safety, vol. 80, pp.133-141, May 2003

상세보기
Ben L. DiVito et al, "Formal Technique for Synchronized Fault Tolerant Systems", pp 163-188, 1992
Henrik Lonn, "A Fault Tolerant Clock Synchronization Algorithm for systems with low-precision oscillators", Dependable Computing - EDCC-3 Lecture Notes in Computer Science Volume 1667, 1999, pp 88-105
Jennifer Lundelius et al, "A New Fault Tolerant Algorith for Clock Synchronization", http://groups.csail.mit.edu/tds/papers/Lynch/podc84.pdf
Danny Dolev et al. "Dynamic Fault-Tolerant Clock Synchronization", October 1996
JP Laprie, Dependable Computing and Fault Tolerance Concept and Terminology, http://www-users.cselabs.umn.edu/classes/Fall-2010/seng5861/Laprie-De finitions.pdf
JP Laprie, "Dependable Computing: Concepts, Limits, Challenges", the 25th IEEE International Symposium on Fault-Tolerant Computing, Pasadena, California, USA, Special Issue, pp 42-54, 1995
Debra S. Herrman, "software Safety and Reliability", IEEE Computer Society, pp-503, 1999

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증