🚗 기능 안전 타이밍 설계
기능 안전에서는 시스템이 고장을 얼마나 빠르게 감지하고, 얼마나 신속하게 안전한 상태로 전환되는지가 핵심적인 설계 요소이다.
이러한 시간적 요구사항은 단순한 성능 문제가 아닌, 사고를 예방하고 생명을 보호하기 위한 안전 메커니즘의 기반이 되는데
특히 ISO 26262와 같은 기능 안전 표준에서는 고장 발생 시점부터 안전 상태에 도달하기까지의 일련의 시간 구간을 정의하고 있으며, 그 중심에 다음 세 가지 개념이 있다
⏱️FDTI, FRTI, FTTI의 의미와 관계
1. FDTI (Fault Detection Time Interval)
고장을 감지하는 데 걸리는 시간
- 시스템 내부의 고장을 진단 메커니즘이 인식하는 데 걸리는 시간
- 예를 들어 센서 이상을 ECU가 감지하는 데 10ms가 걸렸다면, FDTI는 10ms
- FDTI를 줄이기 위해 watchdog timer, CRC 체크와 같은 진단 기술이 사용된다.
2. FRTI (Fault Reaction Time Interval)
고장 감지 후, 안전한 상태로 전환되는 데 소요되는 시간
- 고장을 감지한 이후 시스템이 Safe State로 전환되기까지의 시간
- 예를 들어 고장 감지 후, 차량이 자동으로 감속하거나, 시스템이 전원을 차단하는 데 걸리는 시간
- ISO 26262에서 정의하는 ASIL-D를 만족하기 위해서 엄격한 기준의 FRTI 가 적용
- FRTI가 길어질수록 FDTI를 줄이거나 FTTI 자체를 늘릴 수 있는 설계적 근거가 필요
3. FTTI (Fault Tolerant Time Interval)
고장이 발생한 시점부터 위험한 상태가 되기 전까지 허용 가능한 전체 시간
- 고장으로 인해 위험한 상황이 되지 않도록 대응할 수 있는 최대 시간
- 이를 수식으로 표현하면 아래와 같다.
FTTI = FDTI + FRTI
- 고장을 감지하고 대응하는 전체시간이 FTTI를 초과하지 않아야 안전한 시스템이라고 판단할 수 있다.
📌 설계 시 유의사항
- FTTI는 시스템 요구사항에 의해 고정값으로 정의되며 설계자는 FDTI와 FRTI를 이 범위 내로 맞춰야 한다.
- FDTI가 짧을수록 FRTI에 더 많은 여유를 줄 수 있어 시스템 설계가 유연해진다.
- 반대로 FDTI가 길어지면 FRTI를 짧게 설계해야하므로 실현 가능성이 낮아질 수 있다.