기능 안전성 – ISO 26262

이타스의 툴과 서비스는 전자 시스템의 기능적 안전을 지원하고 있습니다

실제 도로에서의 주행을 가능하게 하려면, 도로를 주행하는 차량들은 과학적 그리고 기술적 성숙도에 관련한 최신기술을 따라야합니다. 또한 제품 신뢰성에 대한 배상을 사전에 예방하려면 적어도 해당 산업기준을 따라야합니다. 시장에 출하되는 모든 제품들은 소위 이런 기준들을 준수해야합니다.

안전하도록 만드는 것은 아래 항목에 의존적입니다:

  • 적절한 시스템 디자인: 진단, 이중화.
  • 하드웨어 신뢰성: 고장모드 및 고장률의 분석
  • 중대한 오류가 없는 소프트웨어: 소프트웨어 개발으로의 최신의 접근방식
  • 품질관리에 대한 체계적인 접근: 분석, 테스트 및 검토
  • 모든 안전목표 충족을 입증하는 능력: 제품 및 프로세스 측정

상기 사항을 충족하기 위해서, 이타스는 전문적인 컨설팅 뿐만아니라 적격한 툴, 엔지니어링 서비스, 소프트웨어 개발분야에서 기능적 안전성 제공의 방대한 포트폴리오를 제공합니다.

과제:
ISO26262는 ISO 25119 및 EN ISO 13849와 같은 관련된 다른 사양서와 같이, 도로 차량에 전자 시스템의 기능안전을 위한 일반표준 IEC 61508에서 파생되었습니다. 모든 새로운 E/E 시스템은 적절한 안전 기준을 준수할 필요가 있습니다. 개발 프로세스, 방법 및 툴 체인은 모두 이 표준을 달성하는데 중요한 역할을 하고 있습니다. 따라서 미래의 E/E 시스템에 대한 개발 툴들 또한 ISO 26262를 준수할 필요가 있는 것입니다.

솔루션:
이타스 포트폴리오는 기능안전성의 모든 관점에서 고객을 지원하기 위해 기능 안전성이 매우 중요한 시스템의 임베디드 소프트웨어 개발 및 실제 경험들, 방법론, 프로세스, 도구에 대한 수준 높은 경쟁력을 가지고 있습니다. 이 포트폴리오는 하기 사항을 포함하고 있습니다.

  • 개발 툴
    이타스 소프트웨어 개발 툴과 솔루션들은 ISO 26262 와 같은 표준에 따라, 안전지향 차량 시스템의 개발 및 테스트를 위한 ASCET, RTA, INTECRIO, EHOOKS, LABCARINCA 제품군을 포함하고 있습니다. 이타스 소프트웨어 개발 툴은 AUTOSAR 4.x 및 기본 소프트웨어 계층의 완전하고 유연한 구현을 지원합니다. 이타스의 안전성에 대한 적합성 인증을 받은 코드 생성기는, 생성된 소프트웨어의 무결성을 보장합니다.
    자사의 기능 개발 툴 및 소프트웨어 개발 툴은 엔진관리, ABS 및 ESP 프로젝트에 효율적으로 사용되고 있습니다.
  • 엔지니어링 서비스
    이타스 엔지니어링 서비스는 고객의 개발수요를 충족시킬 수 있습니다. 모든 이타스 제품에 대한 오픈 아키텍처, 모듈형 설계, 일반산업 및 자동차 표준을 지원하는 다른 개발 요구 사항과 기존 인프라에 유연하게 적응할 수 있습니다.
  • RTA 컨설팅 서비스
    RTA 컨설팅 서비스와 함께, 이타스는 일련의 개발 및 프로세스, 기능안전성을 적용하고 확대하려는 고객을 지원하고 있습니다. 또한, 이타스 안전 메뉴얼을 적용하여, ISO 26262에 따라 적격하도록 고객의 툴 체인을 만들 수 있습니다.

이타스 컨설팅 팀은 기능안전 영역에서 일련의 개발 및 연구 프로젝트의 많은 경험을 가진 컨설턴트들로 글로벌 네트워크를 구축하고 있습니다.

IEC 61508란 무엇인가?
IEC 61508은 전기/전자/프로그래밍 가능한 전자안전관련 시스템의 기능안전에 관한 국제표준입니다. 이 문맥에서, 시스템은 센서를 포함한 모든 입력장치, 프로그래밍 가능한 전자기기 및 작동기와 모든 출력장치를 말합니다.

ISO 26262란 무엇인가?
ISO 26262은 총 중량 3.5 톤까지 승용차에 설치된 소프트웨어와 하드웨어를 포함하며, 모든 전기/전자 안전관련 시스템에 적용되는 IEC 61508를 자동차 전기/전자 시스템에 적응시킨 것입니다.

위 표준은 생산 기능안전관리 개념으로부터 디자인 및 생산&운영까지, E/E/PE 안전관련 시스템의 전체 라이프 사이클을 다루는 총 10개의 파트로 구성되어 있습니다. 그에 따라, ISO 26262는 제품신뢰성에 관련하여 최신의 표준입니다.

ISO 26262의 이행은 소프트웨어 개발프로세스 측면에서 각기 다른 영향을 주고있습니다.

  • 구조 설계:
    • 낮은 결합성 및 높은 응집력
    • 준 공식적 표현
  • 설계 및 구현:
    • MISRA-C:2004와 같은 가이드라인
    • 메모리/타이밍 무간섭
  • 소프트웨어 테스팅:
    • 시스템적 테스팅 접근 방법
    • 높은 수준의 커버리지
  • 시스템 테스팅:
    • 오류 주입/견고성 테스트
    • 타겟 환경 소트프웨어 테스팅

IEC 61508 및 ISO 26262은 인증된 툴의 사용이 필요할까요?
IEC 61508 및 ISO 26262은 안전성 기준에 대해 공인된 개발 툴을 필요로 하지는 않습니다. 하지만, 두 표준 모두 시스템 개발자가 개발 과정에서 사용하는 모든 도구가 시스템 안전 무결성 레벨 (적절한 SIL 또는 ASIL)을 지원하도록 확대된 시스템 안전 요구 조건을 위반하지 않도록 하는 것을 요구하고 있습니다.

안전성에 대한 엔지니어링의 측면에서, 시스템 개발자는 툴 체인에 대해 타당한 논거를 제공하여야 합니다.이를 뒷받침하는 적절한 증거자료 또한 필요로 합니다. 좋은 툴 체인 안전성과 관련된 논거는 시스템에서 발견되지 않은 치명적인 결함이 남겨져 있을 수 없음을 명확히 해야 합니다.

안전성 지향 어플리케이션을 위한 개발 툴

INTECRIO: 통합 및 가상 프로토타입에 대한 툴 설계
INTECRIO는 C-code 레벨로 통합하기 때문에 고객은 C-코드 디버거 및 개발환경을 이용할 수 있을 뿐 아니라, 코드의 커버리지 및 조건판단의 커버리지와 같은 측정을 위한 코드추적이 가능합니다. 이는 기능 모델을 C-코드로 변환하면 테스크 케이스의 추가가 필요한지를 알아내는 데 도움을 줍니다. 그러므로 INTECRIO는 ISO 26262에 의해 제안된 테스트 방법과 소프트웨어 개발을 만족시키기 위해서 사용될 수 있습니다.

ASCET: 시뮬레이션, 빠른 프로토타이핑 및 타겟에서의 실행
아래 ASCET의 표준 기능은 ISO26262에 따른 소프트웨어 개발을 능동적으로 지원하기 때문에 안전성과 관련된 소프트웨어 엔지니어링을 위해 좋은 선택이 될 것 입니다.

  • 모듈화, 추상 및 캡슐화에 대한 지원: ASCET은 객체 지향 프로그래밍 모델이며 생성 된 코드는 동일한 모듈 형 구조를 가지고 있습니다. 모델들은 추상화 고유의 두 개 층으로 분할되며, 높은 수준 상 시스템 설계의 캡슐화 및 낮은 수준의 설계 고려 사항으로 인한 변경으로부터 분리됩니다.
  • 명백한 정의 : 그래픽 모델링 기법들에서 일반적으로 발생되는 데이터 및 제어 플로우에 대한 시적인 가정들은 시퀀스 번호를 통해 순서를 명시함으로써 제거됩니다. ASCET 그래픽 모델은 어떻게 그려지는 가에 상관없이 동일한 동작을 수행합니다.
  • 실시간 지원: ASCET의 상태 기반 메시지 통신 방식을 사용하여 RTA-OSEK와 같은 thread-safe 통신을 가진 실시간 운영 시스템과 간단히 통합되어 실시간성을 제공할 수 있습니다.
  • 런타임 오류의 방지: ASCET은 자동적으로 0으로 나눔, 언더 및 오버플로우와 같은 일반 수치적 오류를 방지하는 보안 프로그램을 추가합니다.
  • 소프트웨어 구현 요구 충족: 100 % MISRA-C 규칙 준수 및 통제되지 않은 데이터나 제어흐름, 정적 데이터 구조체, 미초기화 데이터 사용금지

ASCET에 대한 IEC 61508 및 ISO 26262 인증

ASCET-MD V6.1 및 ASCET-SE V6.1 은 IEC 61508:2010 & ISO/DIS 26262:2009에 따라 안전성에 관련된 시스템의 개발에서 “fit for purpose” 에 적합함이 TÜV-SÜD에 의해 공인되었습니다.

RTA-OSRTA-RTE: 안전성 개념의 AUTOSAR 표준에 적합한 구현
AUTOSAR은 ECU의 소프트웨어의 기능 안전을 보장하기 위한 운영 시스템 수준에서 다수의 개념을 구체적으로 기술하고 있습니다. 이타스는AUTOSAR 4.0 표준을 따라 구현된 OS와 RTE를 제공합니다.

두가지 툴은 다음과 같습니다:

  • MISRA 규칙을 따른 소스코드 생성
  • 안전성 및 비 안전성 지향 소프트웨어에 대한 파티션기능을 제공하는 OS의 응용 프로그램과 멀티 코어 개념을 지원
  • 시간 및 메모리 분할에 대한 AUTOSAR 4.0 접근방식 지원
  • TÜV Süd에의해 ISO 26262 표준에 적격함이 인증된 툴

ISOLAR-EVE: 치명적인 에러를 조기에 발견함으로써 피드백 루프 단축
ISO 26262 표준은 실제 타겟 환경에서 소프트웨어 통합 테스팅을 요구합니다. ECU 하드웨어 가상화는 타겟 ECU 기본 소프트웨어를 사용하면서 조기에 소프트웨어 통합 테스트를 가능하게 합니다. 하나의 ECU의 동일한 소스코드는 가상 환경에서의 빠른 검증을 위해, ISOLAR-EVE와 같이 실행 될 수 있습니다.

EHOOKS: 핵심 안전 ECU 테스트 수행
ISO 26262에 근거로 한 검증은 소프트웨어에서의 고 수준의 제어성과 식별가능성을 보장하는 반면, 타겟 환경에서의 테스팅을 요구합니다. 이타스는 정교한 환경설정, 빌드, 그리고 패치 방식을 제공하는 EHOOKS라는 툴을 제공합니다.

 

EHOOKS의 안전성을 지향하는 ECU 소프트웨어 테스팅에 대한 특징:
  • 테스팅은 양산 소프트웨어를 사용하여 타겟 목표 ECU 하드웨어를 기반으로 수행되며, ETAS ETK 인터페이스를 통해 ECU 접근이 가능합니다.
  • 데이터 변수 및 기능은 안전 기능성을 시험할 수 있도록 직접적으로 조작될 수 있습니다.
  • 오류 주입은 잘못된 센서 데이터를 시뮬레이션하거나 잘못된 기능으로 우회하거나 변수를 조작함으로써 효율적으로 수행되어질 수 있습니다.
  • INCA 환경으로의 매끄러운 통합은 숙련된 측정 및 테스트 엔지니어에게는 학습시간을 줄여주며, 효율적인 제어와 식별이 가능하도록 합니다.

EHOOKS으로 생성된 프로토타입은 최종 ECU와 매우 근접하며, ISO 26262에서 요구된 것과 같이 확인과 검증의 목적으로 매우 유용합니다.

LABCAR: HiL 시스템 통합 테스트 수행
ISO 26262는 시스템 레벨에서 수행되어지는 오류 주입 및 회귀검사를 요구합니다. 이는 시스템 환경에서의 시뮬레이션 에서 높은 수준의 정확성을 요합니다.

LABCAR는 높은 정밀도 및 신호 품질을 제공함으로써 대규모의 HiL테스트 환경을 제공합니다. 특징은 다음과 같습니다:

  • 시뮬레이션 환경을 갖춘 실험실 내에서의 실제 ECU 테스트(재현율 100%)
  • 고성능 플랜트 모델의 통합
  • ECU 인터페이스에서 발생하는 오류의 정확한 시뮬레이션
  • 완전 자동 회귀 테스트 및 ECU의 변수 기반 릴리스 테스팅
  • 차량 프로젝트들을 통해서 입증된 테스트를 효과적으로 재사용