자동차 및 철도 등 수송 시스템에서 무인화 운전으로의 진전으로 인해 시스템 운영 시 안전성의 확보는 필수불가결한 요소로 간주되어 왔다. 자동차 안전설계를 뒷받침하기 위해 제정된 기능안전 표준인 ISO 26262에서는 위험원 분석 및 평가 그리고 안전 설계를 수행할 때 시스템 설계 정보를 적절하게 반영함으로써 안전성이 확보되는 자동차 시스템을 구현하기 위한 절차가 제시되어 있다. 이에 따라 위험원 분석에 관해 많은 연구가 이루어졌는데, 주로 이미 운영되고 있는 유사 시스템 사례에 의존하여 설계 정보를 활용하였다. 먼저 물리 구성품 수준에서 설계정보를 추출하고, 이로부터 기능 들을 역추적 한 후에 위험원을 식별하는 방법이 연구되었다. 이러한 방법은 빠르고 쉽게 위험원의 식별이 가능하기는 하지만, 설계 요구사항이 변경되거나 새로운 시스템을 설계할 때에는 설계 정보를 제대로 반영할 수 없어 일부 위험원이 누락될 수 있는 가능성이 있다. 이러한 점을 해결하기 위해서 본 논문에서는 기능안전표준에서 제시하는 안전수명주기 모델의 위험원 분석 단계에서 효과적인 방법을 연구하였다. 구체적으로 시스템 개념 설계를 Top-Down 방식으로 수행하면서 확보한 설계 정보를 위험원 분석에 적절하게 활용하는 방법을 제안하였다. 먼저 시스템 개념 설계를 수행하고, 획득된 기능 설계 결과를 분석하였다. 그러고 나서 기능 분석 결과를 활용하는 기능기반 Fault Tree Analysis 방법을 제시하고 위험원 분석을 수행하였다. 또한 자동차 시스템에서의 안전 설계 사례 연구를 통하여 본 논문에서 제시하는 방법이 대상 시스템의 설계 정보가 체계적으로 반영되어 누락 가능성이 줄어든 위험원 분석이 가능함을 보여 주었다.
자동차 및 철도 등 수송 시스템에서 무인화 운전으로의 진전으로 인해 시스템 운영 시 안전성의 확보는 필수불가결한 요소로 간주되어 왔다. 자동차 안전설계를 뒷받침하기 위해 제정된 기능안전 표준인 ISO 26262에서는 위험원 분석 및 평가 그리고 안전 설계를 수행할 때 시스템 설계 정보를 적절하게 반영함으로써 안전성이 확보되는 자동차 시스템을 구현하기 위한 절차가 제시되어 있다. 이에 따라 위험원 분석에 관해 많은 연구가 이루어졌는데, 주로 이미 운영되고 있는 유사 시스템 사례에 의존하여 설계 정보를 활용하였다. 먼저 물리 구성품 수준에서 설계정보를 추출하고, 이로부터 기능 들을 역추적 한 후에 위험원을 식별하는 방법이 연구되었다. 이러한 방법은 빠르고 쉽게 위험원의 식별이 가능하기는 하지만, 설계 요구사항이 변경되거나 새로운 시스템을 설계할 때에는 설계 정보를 제대로 반영할 수 없어 일부 위험원이 누락될 수 있는 가능성이 있다. 이러한 점을 해결하기 위해서 본 논문에서는 기능안전표준에서 제시하는 안전수명주기 모델의 위험원 분석 단계에서 효과적인 방법을 연구하였다. 구체적으로 시스템 개념 설계를 Top-Down 방식으로 수행하면서 확보한 설계 정보를 위험원 분석에 적절하게 활용하는 방법을 제안하였다. 먼저 시스템 개념 설계를 수행하고, 획득된 기능 설계 결과를 분석하였다. 그러고 나서 기능 분석 결과를 활용하는 기능기반 Fault Tree Analysis 방법을 제시하고 위험원 분석을 수행하였다. 또한 자동차 시스템에서의 안전 설계 사례 연구를 통하여 본 논문에서 제시하는 방법이 대상 시스템의 설계 정보가 체계적으로 반영되어 누락 가능성이 줄어든 위험원 분석이 가능함을 보여 주었다.
Ensuring the safety of automobiles and trains during system operation is regarded as indispensable due to the progress in unmanned operation. The automotive functional safety standard, ISO 26262, has been proposed to ensure the safe design of vehicles. This standard describes in detail the required ...
Ensuring the safety of automobiles and trains during system operation is regarded as indispensable due to the progress in unmanned operation. The automotive functional safety standard, ISO 26262, has been proposed to ensure the safe design of vehicles. This standard describes in detail the required risk analysis and evaluation procedure and safety measures, while appropriately reflecting the system design information. Therefore, much research has been done on the risk analysis procedure, wherein the design information is mostly extracted from physical components of similar systems already in operation, the information traced back to obtain constituent functions, and then methods of identifying risk sources are studied. This method allows the sources of risk to be identified quickly and easily, however if the design requirements are changed or systems are newly developed, others may be introduced which are not accounted for, thereby yielding mismatched design information. To resolve this problem, we propose a top-down analysis in order to utilize the system design information appropriately. Specifically, a conceptual system is designed to obtain the functions, which are then analyzed. Then, a function-based fault tree analysis is conducted, followed by a risk source analysis. In this paper, a case study of automotive safety is presented, revealing that the proposed method can analyze the risk sources with reduced possibility of omission by systematically reflecting the system design information.
Ensuring the safety of automobiles and trains during system operation is regarded as indispensable due to the progress in unmanned operation. The automotive functional safety standard, ISO 26262, has been proposed to ensure the safe design of vehicles. This standard describes in detail the required risk analysis and evaluation procedure and safety measures, while appropriately reflecting the system design information. Therefore, much research has been done on the risk analysis procedure, wherein the design information is mostly extracted from physical components of similar systems already in operation, the information traced back to obtain constituent functions, and then methods of identifying risk sources are studied. This method allows the sources of risk to be identified quickly and easily, however if the design requirements are changed or systems are newly developed, others may be introduced which are not accounted for, thereby yielding mismatched design information. To resolve this problem, we propose a top-down analysis in order to utilize the system design information appropriately. Specifically, a conceptual system is designed to obtain the functions, which are then analyzed. Then, a function-based fault tree analysis is conducted, followed by a risk source analysis. In this paper, a case study of automotive safety is presented, revealing that the proposed method can analyze the risk sources with reduced possibility of omission by systematically reflecting the system design information.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
기능안전 규격에서 제시하는 위험원을 효과적으로 식별하기 위해 본 논문에서는 첫째, 대표적인 위험원 분석기법인 FTA를 개념설계단계의 설계정보를 활용하여 수행하기 위한 방법을 제시하였다. 개념설계 정보인 기능분석 결과를 활용하여 기능기반 fault tree를 도출하는 방법과 이를 활용하여 위험원 분석을 수행하는 방법을 제시하였다.
첫째, 시스템 개념설계 단계에서 확보되는 설계정보 중 기능분석결과에 기반을 두어 top event의 식별, event의 분해, 조합 등을 도출하여 기능기반 fault tree를 도출하는 것. 둘째,기능기반 fault tree를 활용한 위험원 분석 수행 방법의 제시이다.
본 논문에서는 기존 연구에서의 문제점 들을 개선하기 위해 두 가지 의 연구목표를 설정하였다. 첫째, 시스템 개념설계 단계에서 확보되는 설계정보 중 기능분석결과에 기반을 두어 top event의 식별, event의 분해, 조합 등을 도출하여 기능기반 fault tree를 도출하는 것.
본 논문에서는 운영시나리오 모델을 생성하고 이를 기반으로 top event를 결정하는 방법을 도출하였다. 운영시나리오는 대상시스템의 최상위의 기능모델이라 할 수 있기 때문에 설계초기에 도출된다.
또한 위험원에 대한 원인을 식별하여 기술하였다. 이것은 식별한 위험원과 원인이 기능 수준에서 기술되어 설계초기에 안전설계를 수행 할 수 있는가를 평가하기 위해 포함되었다.
제안 방법
제안한 방법을 통한 fault tree는 wheel braking function과 다섯 가지 functional failure type을 조합하여 도출된 기능오류들을 top event로 결정하였으며 예시에서는 fails to operate에 상응하는 fails to wheel braking function을 top event로 하였다. Wheel braking function은 분해하면 pedaling, braking, actuating, sensing등의 기능으로 분해되며 예시에서는 그 중 핵심 기능인 braking 기능에 대해 분석하였다. 이를 위해 braking 기능과 functional failure type을 조합하여 fails to operate,operates early/late, operates out of sequence 유형이 조합되어 event가 식별되었다.
기능안전 규격에서 제시하는 위험원을 효과적으로 식별하기 위해 본 논문에서는 첫째, 대표적인 위험원 분석기법인 FTA를 개념설계단계의 설계정보를 활용하여 수행하기 위한 방법을 제시하였다. 개념설계 정보인 기능분석 결과를 활용하여 기능기반 fault tree를 도출하는 방법과 이를 활용하여 위험원 분석을 수행하는 방법을 제시하였다. 이렇게 대상시스템에 대한 설계정보를 바탕으로 위험원 분석을 수행함으로써 대상 시스템의 설계특성이 반영된 위험원 분석이 수행되어 누락 없는 위험원분석이 가능하게 된다.
2와 같이 fault tree의 top event의 식별수준에서 기능정보가 활용되었다. 그리고 Fig. 2와 같이 event를 분해하는 것이 아닌 기존의 고장정보를 활용하여 하위 event tree를 만들어 top event와 연결하는 형태로 fault tree를 도출하였다. 따라서 기능수준에서 설계정보를 활용하여 event의 분해, 조합 등이 수행 되진 못했다.
이렇게 대상시스템에 대한 설계정보를 바탕으로 위험원 분석을 수행함으로써 대상 시스템의 설계특성이 반영된 위험원 분석이 수행되어 누락 없는 위험원분석이 가능하게 된다. 둘째, FTA를 수행할 때 Top Event의 식별, Event의 분해, Cause의 식별등 FTA수행의 전반에 걸쳐 기능분석 정보를 활용하여 위험원 분석을 수행하는 방법을 제시하였다. 셋째, 제안한 방법을 통해 기능수준에서 위험원의 3요소를 명확히 도출하였다.
Table 1에는 식별한 위험원을 기술하고, 기술된 위험원이 위험원의 3요소를 식별하였는지를 평가하였다. 또한 위험원에 대한 원인을 식별하여 기술하였다. 이것은 식별한 위험원과 원인이 기능 수준에서 기술되어 설계초기에 안전설계를 수행 할 수 있는가를 평가하기 위해 포함되었다.
따라서 top event의 원인이 되는 가능한 한 모든 cause를 식별해 낼 수 있다. 본 연구에서는 거동 모델을 기반으로 다양한 event의 조합을 식별할 수 있으며, top event에 대해 식별 가능한 cause tree를 Fig. 7과 같이 도출할 수 있다.
즉 설계과정에서 식별된 모든 기능들에 대한 오류를 분석하여 fault tree에 반영이 되어 있다. 우측의 기존 연구에서의 fault tree는 기존의 고장정보에서 failure mode로부터 역으로 failure mode와 관련된 기능을 식별하여 top event로 결정하였다. 그리고 하위 event들은 기존의 고장정보를 가져와 top event와 관련이 있다고 판단되는 것들을 연결시키는 수준에서 fault tree가 도출되었다.
또한 event들의 조합이 어떻게 결정되었는지에 대한 근거도 미약하다. 이에 반해 본연구에서 제시한 fault tree는 거동모델에 근거한 기능간의 인터페이스를 이용하여 event의 조합의 근거를 제시하였다. 즉 좌측 fault tree의 and gate는 subfunction1,2가 병렬연결로 이뤄져있음을 거동모델을 통해 분석하였고 이를 근거로 event의 조합이 이뤄진 것이다.
제안한 방법을 통한 fault tree는 wheel braking function과 다섯 가지 functional failure type을 조합하여 도출된 기능오류들을 top event로 결정하였으며 예시에서는 fails to operate에 상응하는 fails to wheel braking function을 top event로 하였다. Wheel braking function은 분해하면 pedaling, braking, actuating, sensing등의 기능으로 분해되며 예시에서는 그 중 핵심 기능인 braking 기능에 대해 분석하였다.
하위 event도 wheel과 shaft에 대해 failure를 유발하는 원인들이 식별되어 연결되었다. 제안한 방법을 활용한 fault tree는 steering function의 fail을 top event로 하였다. 하위 event는 steering function을 분해하였을 때 핵심기능인 steering speed 및 angle을 측정하는 기능에 관한 기능오류들로 도출되었다.
이에 반해 본연구에서 제시한 fault tree는 거동모델에 근거한 기능간의 인터페이스를 이용하여 event의 조합의 근거를 제시하였다. 즉 좌측 fault tree의 and gate는 subfunction1,2가 병렬연결로 이뤄져있음을 거동모델을 통해 분석하였고 이를 근거로 event의 조합이 이뤄진 것이다.
데이터처리
그중 fails to braking event는 braking 기능의 하위 기능인 신호 송수신과 관련된 event 두 가지를 추가적으로 식별하였다. 이와 같이 제안한 방법을 통한 fault tree는 구성품 수준의 고장정보의 확보 없이 설계과정에서 도출된 기능분석 결과를 활용하여 도출이 되었다.
성능/효과
3.1, 3.2절을 통해 안전수명주기의 hazard analysis 단계에서 기능기반 FTA를 활용하여 기능수준에서 위험원, 원인, 영향을 식별할 수 있음을 확인 하였다. 이 결과를 활용하여 안전수명주기에서 hazard analysis 다음단계인 functional safety concept 결정 단계에서 safety function을 도출 할 수 있다.
Case 1 및 2에서 제안한 방법을 통해 식별된 위험원을 보면 제안한 방법을 통해 위험원의 3요소를 모두 식별되어 기술되었음을 확인할 수 있다. 기존의 방법에 따라 도출한 위험원들은 고장정보가 그대로 활용되어 IM은 식별이 가능하나 HE와 T/T는 기능수준에서 명확히 식별할 수 없었다.
기존 방법과 같이 구성품 수준에서 위험원의 기술, 영향과 원인분석이 이뤄지게 되면 safety function이 어느 기능의 오류와 관련하여 필요한지, 다른 어떤 기능의 영향을 안 미치도록 구현되어야 하는 지등을 결정하는데 어려움이 있다. 그러나 본 논문에서 제시한 기능기반 FTA를 통해 위험원, 원인, 영향이 모두 기능수준에서 명확히 정의가 되어, 다음 절차인 functional safety concept 결정 단계에서 safety function이 어떤 기능의 오류에 대응하기 위한 것인지, 원인이 되는 다른 기능의 오류를 어떻게 차단할 것인지, 다른 기능에 영향을 어떻게 안 미치게 할지 등을 기능수준에서 명확히 정의할 수 있게 된다. 이렇게 되면 차후 상세설계단계에서 safety function을 구현함으로써 설계단계에서 안전을 확보할 수 있게 된다.
기능트리는 운영시나리오 모델에서 정의 되었던 최상위 수준의 기능들을 분해하여 어떠한 기능들의 조합을 통해 최상위 수준의 기능이 수행 될 수 있는지를 파악할 수 있도록 상하위 기능들 간의 추적성을 제공한다. 기능트리를 활용하여 하위 기능들의 오류의 조합으로 상위 수준의 기능의 오류가 발생한다는 것을 파악 할 수 있다. 따라서 이것을 근거로 fault tree의 event를 분해해 나갈 수 있다.
반면 본 논문에서 제안한 방법에 따른 결과는 위험원과 원인, 영향이 모두 기능수준에서 식별되고 정의되었다. 이를 활용하면 안전수명주기에 따라 설계를 진행하면서 기능수준에서부터 안전설계가 수행 가능해진다.
위의 두 가지 케이스에서 기존의 방법은 top event만이 기능을, 하위 event들은 고장정보를 기반으로 도출된 것이라 이에 대응하는 안전설계는 물리 설계 단계까지 진행된 이후에 본격적으로 반영이 될 수 있다. 반면 제안한 방법에 따라 도출된 위험원 분석결과는 모두 기능 수준에서 정의 가능하다. 이를 통해 설계를 진행하면서 기능설계 단계부터 위험원을 분석하고 이에 대응하기 위한 안전기능의 식별과 설계에의 반영이 가능해진다.
둘째, FTA를 수행할 때 Top Event의 식별, Event의 분해, Cause의 식별등 FTA수행의 전반에 걸쳐 기능분석 정보를 활용하여 위험원 분석을 수행하는 방법을 제시하였다. 셋째, 제안한 방법을 통해 기능수준에서 위험원의 3요소를 명확히 도출하였다. 이때 도출한 정보는 안전수명주기의 다음단계인 functional safety concept 설계 단계에서의 안전기능의식별 및 구현 대상 등이 명확히 도출되어 향후 설계에 안전기능이 체계적으로 반영이 될 수 있게 된다.
후속연구
또한 이를 달성하기 위해 FTA기법을 기능수준에서의 설계정보를 기반으로 수행할 수 있게 된다. 기능기반 FTA의 수행을 통해 기능 수준에서 위험원, 원인, 영향을 식별할 수 있고 이것은 안전수명주기에서 다음단계인 Functional Safety Concept에서 어떤 safety function이 어디에 구현이 되어야 하는지를 결정하는 판단 근거로 활용될 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
ISO26262를 통해 어떠한 기능을 시스템에 구현할 수 있는가?
1에 도시되어 있는 바와 같이 안전수명주기를 정의하고 시스템의 설계 정보를 반영하여 위험원분석 및 평가를 수행하고, 이를 기반으로 한 안전기능이 설계과정에서 구현되도록 하고 있다[2-3]. 이러한 과정을 통해 미리 설계과정에서 대상 시스템에 존재할 만한 위험원을 식별하고 이것의 발현확률을 낮추기 위한 안전기능을 시스템에 구현 할 수 있게 된다[4].
자동차 기능안전 규격인 ISO26262의 특징은 무엇인가?
자동차 기능안전 규격인 ISO26262의 특징은 Fig. 1에 도시되어 있는 바와 같이 안전수명주기를 정의하고 시스템의 설계 정보를 반영하여 위험원분석 및 평가를 수행하고, 이를 기반으로 한 안전기능이 설계과정에서 구현되도록 하고 있다[2-3]. 이러한 과정을 통해 미리 설계과정에서 대상 시스템에 존재할 만한 위험원을 식별하고 이것의 발현확률을 낮추기 위한 안전기능을 시스템에 구현 할 수 있게 된다[4].
Hazard Analysi가 Concept Phase에서 수행되는 것이 중요한 이유는 무엇인가?
안전수명주기에 따라 안전을 확보하는데 있어 Concept Phase에서 Hazard Analysis를 수행하는 것은 매우 중요하다. 대상시스템에 존재할 만한 위험원을 이 단계에서 빠짐없이 식별하여야 다음의 Functional Safety Concept 설계 단계에서 안전 기능을 도출해서 안전 설계 수행 및 구현을 할 수 있다.
참고문헌 (11)
Functional safety of electrical/electronic/programmable electronic safety-related systems, International Electrotechnical Commission Standard, IEC 61508, 2010.
Road vehicles -- Functional safety --, International Organization for Standardization Standard, ISO 26262, 2011.
Railway Applications - Communication Signalling and Processing Systems Software for Railway Control and Protection Systems, IEC Standard, IEC 62279, 2002.
A. Scharl, K. Stottlar, R. Kady, "Functional hazard analysis methodology tutorial," in Proc. International System Safety Training Symposium, St.Louis, MO, Aug. 4-8, 2014, pp. 1-17.
R. B. Stone, I. Tumer, M. Van Wie, "The function-failure design method," Journal of Mechanical Design, vol. 127, no. 3, pp. 397-407, Jul. 12, 2004. DOI: https://doi.org/10.1115/1.1862678
M. H. Ordouei, A. Elkamel, G. Al-Sharrah, "New simple indices for risk assessment and hazards reduction at the conceptual design stage of a chemical process," Chemical Engineering Science, vol. 119, no. 8, pp. 218-229, Nov. 2014. DOI: https://doi.org/10.1016/j.ces.2014.07.063
K. G. Lough, "The risk in early design method," Journal of Engineering Design, vol. 20, no. 2, pp. 155-173, Mar. 2009. DOI: https://doi.org/10.1080/09544820701684271
Y. D. Shin, S. H. Sim, J. C. Lee, "Model-based integration of test and evaluation process and system safety process for development of safety-critical weapon systems," Systems Engineering, vol. 20, no. 3, pp. 257-279, May 31, 2017. DOI: https://doi.org/10.1002/sys.21392
A. Majdara, T. Wakabayashi, "Component-based modeling of systems for automated fault tree generation," Research in Engineering Design, vol. 94, no. 6, pp. 1076-1086, Jun. 2009. DOI: https://doi.org/10.1016/j.ress.2008.12.003
I. Tumer, R. B. Stone, "Mapping function to failure mode during component development," Research in Engineering Design, vol. 14, no. 1, pp. 25-33, Jan. 2003. DOI: https://doi.org/10.1007/s00163-002-0024-y
※ AI-Helper는 부적절한 답변을 할 수 있습니다.