(기능안전 16강) 시스템 아키텍처 설계와 안전 메커니즘 – 실전 설계 노하우

🧠 16강. 시스템 아키텍처 설계와 안전 메커니즘 – 실전 설계 노하우

안녕하세요! 기능안전 마스터를 향한 여정,
오늘은 한층 더 엔지니어링의 진짜 맛을 느낄 수 있는 강의입니다. 😎🔧

 

이번 강의에서는 시스템 아키텍처 설계와
그 속에 녹아 있는 기능안전 메커니즘(Fault Handling, Monitoring 등)에 대해
실무 관점으로 정리해 드릴게요!

 

그리고 가장 중요한 개념 중 하나인
Diagnostic Coverage (DC)에 대해서도 쉽고 명확하게 설명합니다.
기능안전 인증을 위해 DC를 모르고 지나가는 건,
자동차 타이어 없이 주행하는 거랑 똑같습니다! 🏎️💥

---

🧩 1. 시스템 아키텍처 설계, 왜 중요한가요?

TSC에서 도출한 Technical Safety Requirements는
이제 실제로 구현 가능한 형태로 정리되어야 합니다.
그게 바로 시스템 아키텍처 설계 단계!

시스템 아키텍처란?
“어떤 기능이 어떤 블록에서, 어떤 흐름으로 동작할지를 구성한 설계도”

✅ 기능안전에서 시스템 아키텍처가 중요한 이유?

• 안전 메커니즘이 작동할 수 있는 물리적/논리적 경로 확보
• 진단 기능이나 중복 기능이 동시에 오작동하지 않도록 분리
• Safe State로 진입할 수 있는 우회로 확보

---

⚙️ 2. 대표적인 안전 메커니즘 설계 예시

안전 메커니즘 종류	설명
Watchdog Timer	소프트웨어 응답 정지 시 리셋 유도
CRC / Checksum	메모리 오류 또는 통신 오류 검출
Signal Monitoring	센서 값의 범위를 감시하고 비정상값 차단
Comparator / Redundancy	이중 센서를 비교하여 고장 감지
Fallback Path	주요 기능 장애 시 대체 경로 또는 안전 상태 전환

---

🧪 3. 실전 설계 예 – EPS 시스템 (Electric Power Steering)

상황: 차량 주행 중 EPS가 고장나면 조향 불능 사고 발생 위험!
ASIL: C 또는 D

아키텍처 예시

• 메인 MCU + 보조 MCU (Hot/Cold redundancy)
• 센서 2개 (Steering Angle Sensor, Torque Sensor)
• 파워 릴레이 이중화
• Watchdog 및 전류 모니터링

적용된 안전 메커니즘

TSR	안전 메커니즘	설명
TSR-01	Double sensor + plausibility check	센서 간 비교로 고장 검출
TSR-02	Current monitoring	과전류 감지 시 모터 구동 정지
TSR-03	Safe State 진입	이상 감지 시 보조 모드로 전환
TSR-04	CAN message heartbeat	통신 이상 시 시스템 재설정 유도

---

📈 4. Diagnostic Coverage (D.C)란?

📚 정의 (ISO 26262-5 기준):

고장을 검출할 수 있는 능력의 비율.
전체 고장 중 시스템이 감지 가능한 고장의 비율(%)입니다.

D.C 수준	정의	예시
< 60%	Low	단일 센서, 고장 검출 없음
60~90%	Medium	단일 센서 + 범위 체크
≥ 90%	High	이중 센서 + 비교 및 CRC 등 다중 진단 메커니즘

🎯 중요한 포인트:
ASIL C 이상이면 대부분의 시스템에서 DC ≥ 90%를 요구합니다!

📌 D.C 계산 방식 예시:

• 전체 고장 수: 100개
• 검출 가능한 고장: 92개
  → D.C = (92 / 100) × 100 = 92%

🛑 D.C를 올리는 방법?

• 이중화(Redundancy) 적용
• 진단 인터벌 최소화
• 스마트 진단 알고리즘 (예: 위상 비교, CRC, 타임아웃 검출 등)

---

🧾 실무 체크리스트

항목	체크 내용
✅ 시스템 구성도에 안전 메커니즘이 표시되어 있는가?
✅ D.C 목표치가 각 컴포넌트마다 정의되어 있는가?
✅ Safety Mechanism은 실제 ASIL 요구사항과 매칭되는가?
✅ 메커니즘은 독립적(Independently Triggered)으로 동작 가능한가?
✅ Safe State로 진입 가능한 구조인가?

---

🧠 정리 한마디

• 시스템 아키텍처 설계는 기능안전 설계의 실질적인 시작점
• 안전 메커니즘은 고장을 ‘막는 것’이 아니라, ‘감지하고 대응하는 것’
• D.C Coverage는 인증·감사에서 빠지면 바로 Fail
• 설계 시에는 항상 “이 고장을 감지할 수 있는가?”를 되물어야 함

---

🔮 다음 강 예고

다음 강의는 기능안전 강의에서 가장 많은 개발자가 관심 갖는 주제입니다!
바로 소프트웨어 개발자라면 꼭 알아야 할 ISO 26262 – Part 6

17강: SW 개발자가 알아야 할 ISO 26262 – Part 6 제대로 이해하기

• 소프트웨어 안전 요구사항 도출
• 검증, 코딩 규칙, 테스트 커버리지 팁까지!
  SW 개발자 여러분, 절대 놓치지 마세요! 💻💥