기능 안전성 – ISO 26262

이타스의 툴과 서비스는 전자 시스템의 기능적 안전을 지원하고 있습니다

WEKA Fachmedien의 VIP 스테이지에서 '안전과 보안의 집중'에 대한 Dr. Nigel Tracey about의 인터뷰 (Embedded World 2020)

실제 도로에서의 주행을 가능하게 하려면, 도로를 주행하는 차량들은 과학적 그리고 기술적 성숙도에 관련한 최신기술을 따라야합니다. 또한 제품 신뢰성에 대한 배상을 사전에 예방하려면 적어도 해당 산업기준을 따라야합니다. 시장에 출하되는 모든 제품들은 소위 이런 기준들을 준수해야합니다.

안전하도록 만드는 것은 아래 항목에 의존적입니다.

  • 적절한 시스템 디자인: 진단, 이중화.
  • 하드웨어 신뢰성: 고장모드 및 고장률의 분석
  • 소프트웨어:  최신의 소프트웨어 개발방식
  • 품질관리에 대한 체계적 접근: 분석, 테스트 및 검토
  • 모든 안전 목표가 충족을 입증 가능: 제품, 프로세스 정책, 문서화를 통한 입증

상기 사항을 충족하기 위해 이타스는 전문 컨설팅, 검증된 툴, 엔지니어링 서비스, 교육 등 소프트웨어 개발분야에서 기능적 안전성을 지원하는 포괄적인 포트폴리오를 제공합니다.

과제
ISO26262는 ISO 25119 및 EN ISO 13849와 같은 관련된 다른 사양서와 같이, 도로 차량에 전자 시스템의 기능안전을 위한 일반표준 IEC 61508에서 파생되었습니다. 모든 새로운 E/E 시스템은 적절한 안전 기준을 준수할 필요가 있습니다. 개발 프로세스, 방법 및 툴 체인은 모두 이 표준을 달성하는데 중요한 역할을 하고 있습니다. 따라서 미래의 E/E 시스템에 대한 개발 툴들 또한 ISO 26262를 준수할 필요가 있는 것입니다.

솔루션
이타스 포트폴리오는 기능안전성에서부터 ASIL D 까지 이르러 모든 관점에서 고객을 지원하기 위해 기능 안전성이 매우 중요한 시스템의 임베디드 소프트웨어 개발 및 실제 경험들, 방법론, 프로세스, 도구에 대한 수준 높은 경쟁력을 가지고 있습니다. 이 포트폴리오는 아래 항목을 포함하고 있습니다.

  • 개발 툴
    이타스 소프트웨어 개발 툴과 솔루션들은 ISO 26262 와 같은 표준에 따라, 안전지향 차량 시스템의 개발 및 테스트를 위한 ASCET, EHOOKS, INCA, INTECRIO, ISOLAR-EVE, RTA 및 SCODE 제품군을 포함하고 있습니다. 이타스 소프트웨어 개발 툴은 AUTOSAR 4.x 및 기본 소프트웨어 계층의 완전하고 유연한 구현을 지원합니다. 이타스의 안전성에 대한 적합성 인증을 받은 코드 생성기는, 생성된 소프트웨어의 무결성을 보장합니다.
    자사의 function 개발 툴 및 소프트웨어 개발 툴은 엔진관리, ABS 및 ESP 프로젝트에 효율적으로 사용되고 있습니다.
  • 엔지니어링 서비스
    이타스 엔지니어링 서비스는 고객의 개발수요를 충족시킬 수 있습니다. 모든 이타스 제품에 대한 오픈 아키텍처, 모듈형 설계, 일반산업 및 자동차 표준을 지원하는 다른 개발 요구 사항과 기존 인프라에 유연하게 적응할 수 있습니다.
  • RTA 컨설팅 서비스
    RTA 컨설팅 서비스와 함께, 이타스는 일련의 개발 및 프로세스, 기능안전성을 적용하고 확대하려는 고객을 지원하고 있습니다. 또한, 이타스 안전 메뉴얼을 적용하여, ISO 26262에 따라 적격하도록 고객의 툴 체인을 만들 수 있습니다.

이타스 컨설팅 팀은 기능안전 영역에서 일련의 개발 및 연구 프로젝트의 많은 경험을 가진 컨설턴트들로 글로벌 네트워크를 구축하고 있습니다.

IEC 61508란 무엇인가?
IEC 61508은 전기/전자/프로그래밍 가능한 전자안전관련 시스템의 기능안전에 관한 국제표준입니다. 여기서, 시스템은 센서를 포함한 모든 입력장치, 프로그래밍 가능한 전자기기 및 작동기와 모든 출력장치를 말합니다.

ISO 26262란 무엇인가?
ISO 26262은 승용차, 트럭, 오토바이 등의 차량에 설치된 소프트웨어 및 하드웨어를 모두 포함하며, 전기/전자 시스템에 적용되는 일반 표준 IEC 61508를 섹터 별로 적용시키고 있습니다. (전기자전거, 엔진장착 자전거, 전동휠체어와 같은 특수 차량 제외)

위 표준은 생산 기능안전관리 개념으로부터 디자인 및 생산&운영까지, E/E/PE 안전관련 시스템의 전체 라이프 사이클을 다루는 총 10개의 파트로 구성되어 있습니다. 이에 따라, ISO 26262는 제품신뢰성에 관련하여 최신의 표준입니다.

ISO 26262의 이행은 소프트웨어 개발프로세스 측면에서 각기 다른 영향을 주고있습니다.

  • 구조 설계:
    • 낮은 결합성 및 높은 응집력
    • 준 공식적 표현
  • 설계 및 구현:
    • MISRA-C:2004와 같은 가이드라인
    • 메모리/타이밍 무간섭
  • 소프트웨어 테스팅:
    • 시스템적 테스팅 접근 방법
    • 높은 수준의 커버리지
  • 시스템 테스팅:
    • 오류 주입/견고성 테스트
    • 타겟 환경 소트프웨어 테스팅

IEC 61508 및 ISO 26262은 인증된 툴의 사용이 필요할까요?
IEC 61508 및 ISO 26262은 안전성 기준에 대해 공인된 개발 툴을 필요로 하지는 않습니다. 하지만, 두 표준 모두 시스템 개발자가 개발 과정에서 사용하는 모든 도구가 시스템 안전 무결성 레벨 (적절한 SIL 또는 ASIL)을 지원하도록 확대된 시스템 안전 요구 조건을 위반하지 않도록 하는 것을 요구하고 있습니다.

안전성에 대한 엔지니어링의 측면에서, 시스템 개발자는 툴 체인에 대해 타당한 논거를 제공하여야 합니다.이를 뒷받침하는 적절한 증거자료 또한 필요로 합니다. 좋은 툴 체인 안전성과 관련된 논거는 시스템에서 발견되지 않은 치명적인 결함이 남겨져 있을 수 없음을 명확히 해야 합니다.

안전성 지향 어플리케이션을 위한 개발 툴

ASCET: 시뮬레이션, 빠른 프로토타이핑 및 타겟에서의 실행
아래 ASCET의 표준 기능은 ISO26262에 따른 소프트웨어 개발을 능동적으로 지원하기 때문에 안전성과 관련된 소프트웨어 엔지니어링을 위해 좋은 선택이 될 것 입니다.

  • 모듈화, 추상 및 캡슐화에 대한 지원: ASCET은 객체 지향 프로그래밍 모델이며 생성 된 코드는 동일한 모듈 형 구조를 가지고 있습니다. 모델들은 추상화 고유의 두 개 층으로 분할되며, 높은 수준 상 시스템 설계의 캡슐화 및 낮은 수준의 설계 고려 사항으로 인한 변경으로부터 분리됩니다.
  • 명백한 정의 : 그래픽 모델링 기법들에서 일반적으로 발생되는 데이터 및 제어 플로우에 대한 시적인 가정들은 시퀀스 번호를 통해 순서를 명시함으로써 제거됩니다. ASCET 그래픽 모델은 어떻게 그려지는 가에 상관없이 동일한 동작을 수행합니다.
  • 실시간 지원: ASCET의 상태 기반 메시지 통신 방식을 사용하여 RTA-OSEK와 같은 thread-safe 통신을 가진 실시간 운영 시스템과 간단히 통합되어 실시간성을 제공할 수 있습니다.
  • 런타임 오류의 방지: ASCET은 자동적으로 0으로 나눔, 언더 및 오버플로우와 같은 일반 수치적 오류를 방지하는 보안 프로그램을 추가합니다.
  • 소프트웨어 구현 요구 충족: 100 % MISRA-C 규칙 준수 및 통제되지 않은 데이터나 제어흐름, 정적 데이터 구조체, 미초기화 데이터 사용금지

ASCET에 대한 IEC 61508 및 ISO 26262 인증

ASCET-MD V6.1 및 ASCET-SE V6.1 은 IEC 61508:2010 & ISO/DIS 26262:2009에 따라 안전성에 관련된 시스템의 개발에서 'fit for purpose' 에 적합함이 TÜV-SÜD에 의해 공인되었습니다.

EHOOKS: 핵심 안전 ECU 테스트 수행
ISO 26262에 근거로 한 검증은 소프트웨어에서의 고 수준의 제어성과 식별가능성을 보장하는 반면, 타겟 환경에서의 테스팅을 요구합니다. 이타스는 정교한 환경설정, 빌드, 그리고 패치 방식을 제공하는 EHOOKS라는 툴을 제공합니다.

EHOOKS의 안전성을 지향하는 ECU 소프트웨어 테스팅에 대한 특징 

  • 테스팅은 양산 소프트웨어를 사용하여 타겟 목표 ECU 하드웨어를 기반으로 수행되며, 이타스 ETK 인터페이스를 통해 ECU 접근이 가능합니다.
  • 데이터 변수 및 function은 기능 안전성을 시험할 수 있도록 직접적으로 조작될 수 있습니다.
  • 오류 주입은 잘못된 센서 데이터를 시뮬레이션하거나 잘못된 function으로 우회하거나 변수를 조작함으로써 효율적으로 수행될 수 있습니다.
  • INCA 환경으로의 매끄러운 통합은 숙련된 측정 및 테스트 엔지니어에게는 학습시간을 줄여주며, 효율적인 제어와 식별이 가능하도록 합니다.

EHOOKS으로 생성된 프로토타입은 최종 ECU와 매우 근접하며, ISO 26262에서 요구된 것과 같이 확인과 검증의 목적으로 매우 유용합니다.

INTECRIO: 통합 및 가상 프로토타입에 대한 툴 설계
INTECRIO는 C 코드 레벨로 통합하기 때문에 고객은 C 코드 디버거 및 개발환경을 이용할 수 있을 뿐 아니라, 코드의 커버리지 및 조건판단의 커버리지와 같은 측정을 위한 코드추적이 가능합니다. 이는 기능 모델을 C 코드로 변환하면 테스크 케이스의 추가가 필요한지를 알아내는 데 도움을 줍니다. 그러므로 INTECRIO는 ISO 26262에 의해 제안된 테스트 방법과 소프트웨어 개발을 만족시키기 위해서 사용될 수 있습니다.

ISOLAR-EVE: 치명적인 에러를 조기에 발견함으로써 피드백 루프 단축
ISO 26262 표준은 실제 타겟 환경에서 소프트웨어 통합 테스팅을 요구합니다. ECU 하드웨어 가상화는 타겟 ECU 기본 소프트웨어를 사용하면서 조기에 소프트웨어 통합 테스트를 가능하게 합니다. 하나의 ECU의 동일한 소스코드는 가상 환경에서의 빠른 검증을 위해, ISOLAR-EVE와 같이 실행 될 수 있습니다.

RTA-OS , RTA-RTE 및 RTA-BSW : AUTOSAR 규격을 준수하는 안전성 개념의 구현
AUTOSAR은 ECU의 소프트웨어의 기능 안전을 보장하기 위한 운영 시스템 수준에서 다수의 개념을 구체적으로 기술하고 있습니다. 이타스는AUTOSAR 규격에 따라 구현된 OS, RTE, BSW를 제공합니다.

세 가지 툴은 다음과 같습니다.

  • MISRA 규칙을 따른 소스코드 생성
  • 안전성 및 비 안전성 지향 소프트웨어에 대한 파티션기능을 제공하는 OS의 응용 프로그램과 멀티 코어 개념을 지원
  • 타이밍 및 메모리 분할에 대한 AUTOSAR 접근방식 지원
  • TÜV Süd에의해 ISO 26262 표준에 적격함이 인증된 툴

SCODE 워크벤치(Workbench)-제어 시스템 모델링, 분석, 검증 및 구현

SCODE(System CO-Design) 워크벤치 소프트웨어를 이용하여 제어 시스템 엔지니어 및 소프트웨어 개발자는 구조적이고 이해하기 쉬운 모델 기반 ECU 소프트웨어 개발이 가능합니다. 개발된 모델 기반 소프트웨어는 자동 검증 됩니다.

적용 분야

  • 함수 관계의 자동 검증 및 설정
  • 자동 테스팅

특징

  • 함수 로직의 100% 적용
  • ECU에서 모델과 실행 파일 사이의 기능적 관련성에 대한 증거

SCODE-Analyzer는 소프트웨어 아키텍처 및 소프트웨어 유닛 설계 검증 및 안전 분석에 필요한 컨트롤 플로우 분석 방법을 제공합니다. 해당 툴은 반 정형 표기 법(semi-formal notation), 반 정형 검증법(semi-formal verification), 시스템 수준에서의 단순성, 제한된 크기의 소프트웨어 복잡성을 통해 ISO 26262의 요구사항을 충족할 수 있도록 지원합니다.

SCODE-CONGRA는 소프트웨어 아키텍처 및 소프트웨어 유닛 설계를 검증하기 위한 안전 분석에 필요한 데이터 플로우 분석 방법을 제공합니다.