close
프로필 배경
프로필 로고

CarTech

Functional Safety/ISO26262 · 2026. 2. 10. fullscreen 넓게보기

[ISO 26262 6강(실무)] HW/SW 인터페이스 설계 및 검증

Title: ISO 26262 중급 강좌 6강 – HW/SW 인터페이스 설계 및 검증 실무
Description: ISO 26262 중급 강좌 6강에서는 HW/SW 인터페이스 설계를 중심으로 전기적 인터페이스, 통신 오류, 메모리 맵핑 문제를 고려한 안전 설계와 HW 고장 시 SW 오류 처리 전략을 실무 예제로 설명합니다.
Keywords: ISO 26262, HW/SW 인터페이스, 기능안전, CAN 통신, 인터페이스 오류, Safe State

🚗 ISO 26262 중급 강좌 6강: HW/SW 인터페이스 설계 및 검증

기능안전 이슈의 상당수는 하드웨어도, 소프트웨어도 아닌 경계 영역에서 발생합니다.
HW/SW 인터페이스는 신호, 데이터, 타이밍이 만나는 지점으로,

작은 설계 누락이 치명적인 안전 문제로 이어질 수 있습니다.
이번 강의에서는 인터페이스 관점에서의 기능안전 설계와 검증 방법
실무 사례 중심으로 다룹니다. 🔌🧠

1. HW/SW 인터페이스에서 고려해야 할 요소 🔍

ISO 26262에서는 HW/SW 인터페이스를
명확히 정의하고 검증 대상으로 다루도록 요구합니다.

대표적인 고려 항목은 다음과 같습니다.

  • 전기적 인터페이스: 전압 레벨, 풀업/풀다운, 신호 안정 시간
  • 통신 인터페이스: CAN, LIN, FlexRay의 프레임 구조와 오류 처리
  • 메모리 맵핑: 레지스터 주소, Endianness, Alignment 오류

👉 중요 포인트:
      인터페이스 오류는 정상 코드에서도 발생하며,
      테스트로만 잡기 어렵기 때문에 설계 단계에서 예방해야 합니다.
       (출처: ISO 26262-6:2018, Clause 7 & 9)

2. 통신 인터페이스 오류와 안전 설계 📡

CAN 통신은 ECU 간 가장 일반적인 인터페이스이지만
동시에 가장 많은 안전 이슈가 발생하는 영역입니다.

대표적인 오류 시나리오는 다음과 같습니다.

  • 메시지 타임아웃 발생
  • CRC 오류 또는 프레임 손상
  • 주기 불일치(Jitter)
  • 잘못된 신호 값 수신

이를 위해 소프트웨어는 다음을 수행해야 합니다.

  • Timeout Monitoring
  • Alive Counter / CRC Check (E2E)
  • 신호 값에 대한 Range & Plausibility Check

👉 단순히 “통신 오류 발생”이 아니라
      오류 발생 후 시스템이 어떻게 안전 상태로 가는지가 핵심입니다.

3. HW 고장 시 SW 응답 설계 ⚠️

하드웨어 고장은 소프트웨어 입장에서는
“비정상 입력” 또는 “예상하지 못한 상태”로 나타납니다.

예를 들면 다음과 같습니다.

  • 센서 단선 → 고정된 값 출력
  • ADC 고장 → 최대/최소값 유지
  • 메모리 오류 → 잘못된 파라미터 사용

소프트웨어는 이를 감지하고 다음 중 하나를 선택해야 합니다.

  • Degraded Mode 진입
  • Safe State 전이
  • 운전자 경고 및 기능 제한

👉 핵심:
      HW 고장은 피할 수 없지만,
      SW 반응은 반드시 제어 가능해야 합니다.
     (출처: ISO 26262-5/6 연계 요구사항)

4. HW/SW 인터페이스 검증 전략 🧪

인터페이스 검증은 단위 테스트만으로는 부족합니다.
다음과 같은 검증 접근이 필요합니다.

  • SIL/MIL 환경에서 오류 주입 테스트
  • 통신 오류 강제 삽입(Fault Injection)
  • Fault Bit, Error Flag 반응 확인

아래 그림은 CAN 인터페이스 오류 처리 흐름 예시입니다.

5. 실습 예제 🧑‍💻

🔧 실습 주제

CAN 통신 기반 HW/SW 인터페이스 오류 시나리오 설계

실습 내용

  1. CAN 메시지 정의 (ID, 주기, 신호)
  2. Timeout / CRC 오류 시나리오 작성
  3. 오류 감지 조건 정의
  4. Safe State 전이 로직 설계

체크리스트

  • 메시지 주기 타임아웃 정의
  • 오류 발생 시 Fault Flag 설정 여부
  • Safe State 진입 조건 명확성
  • OEM 요구사항과 인터페이스 일치 여부

👉 추천 도구: CANoe, CANalyzer, Vector DaVinci

6. OEM / Tier1 / Tier2 관점 정리 📊

  • OEM: 차량 기능 관점에서 인터페이스 안전 요구사항 정의
  • Tier1: ECU 내부 HW/SW 인터페이스 설계 및 검증 수행
  • Tier2: MCU, 통신 IC, 드라이버 레벨 오류 정보 제공

👉 정리하면,
OEM은 “무엇이 잘못되면 위험한지”를 정의하고,
Tier1은 “어떻게 감지하고 대응할지”를 설계하며,
Tier2는 “하드웨어 한계와 고장 특성”을 명확히 전달해야 합니다.

핵심 정리 📝

  • HW/SW 인터페이스는 기능안전의 핵심 취약 지점이다.
  • 전기적, 통신, 메모리 인터페이스를 모두 고려해야 한다.
  • HW 고장에 대한 SW 응답은 반드시 정의되어야 한다.
  • CAN 통신 오류는 Timeout, CRC, Plausibility 관점에서 설계한다.
  • OEM / Tier1 / Tier2 간 인터페이스 책임 분담이 중요하다.

👉 다음 강의 예고: 설계 구현(Design Implementation) 단계 실습

반응형

'Functional Safety > ISO26262' 카테고리의 다른 글

[ISO 26262 5강(실무)] 소프트웨어 안전 아키텍처 설계  (0) 2026.01.11
[ISO 26262 4강(실무)] 하드웨어 안전 아키텍처 설계  (0) 2025.12.27
[ISO 26262 3강(실무)] 기능 요구사항 → 기술 요구사항(Technical Safety Requirements) 분해  (0) 2025.11.08
[ISO 26262 2강(실무)] 안전 목표(Safety Goals) 및 기능 안전 요구사항 설정  (0) 2025.10.15
[ISO 26262 1강(실무)] ASIL 분류 및 ASIL 할당 실전 사례 분석  (0) 2025.09.21
Functional Safety/ISO26262 관련 글
더 보기

티스토리툴바