FMEDA에서 SG위배 가능성 표시 중 메커니즘 실적용 여부 확인

SM(진단/예방) 연결이 누락된 part의 고장모드가 “SG 위배 가능성 있음”으로 평가되었다면, FMEDA/아키텍처 관점에서 즉시 아래처럼 처리해야 합니다.

---

1) 우선 분류 (FMEDA 메트릭 반영)

• 단일고장으로 SG 위배(감지·제어 부재)
  → Single Point Fault (SPF) 로 분류
  → SPFM↓, PMHF↑ 영향. 기본값은 Residual(미검출) 로 계산.
• 다른 고장과 결합 시에만 SG 위배
  → Multiple-Point/Latent 로 분류
  → LFM에 반영. 주기진단 없으면 Latent Residual.
• 상위(시스템) 진단이 이미 SG 위배를 차단(단, 프로젝트 경계 내 증빙 존재)
  → Detected로 재분류 가능 (상위 진단을 이 고장모드에 링크)
  → Coverage Matrix/Trace 추가가 필요.

⚠️ “진단이 있긴 한데 FMEDA에만 링크가 빠짐”인지, “실제 진단이 없음”인지부터 확정하세요.
증빙 없으면 Residual 취급이 기본입니다.

---

2) 빠른 확인 체크(누락인지, 실제 부재인지)

1. 전역 진단 존재 확인: 전원/클럭/온도/브라운아웃/ECC/WDG 등 플랫폼 진단이 이 고장을 잡는가?
2. 시스템 레벨 교차진단: 이중화/상호검증/플라우저빌리티로 검출되는가? (FTTI 내)
3. 운용상태/안전기능 토폴로지: 실제 위험 경로가 차단되어 있는가? (de-energize to trip 등)
4. 문서 추적: HSI/TSR/테스트케이스에 검출 근거가 있는가? (있다면 링크 추가)

→ 하나라도 “예”이면 Detected로 재분류하고 DC% 산정 + 링크 보강.
→ 전부 “아니오”면 SPF/Residual로 유지하고 대책 필요.

---

3) 대책 옵션(우선순위 순)

1. 즉시 가능한 SW 진단 추가 (빠른 효과)
   • 범위/변화율/상호일관성 체크(플라우저빌리티)
   • 통신 E2E/CRC, 카운터/시퀀스 체크
   • Alive supervision 결과를 WDG refresh 연계(이상 시 refresh 중단)
2. HW 기저 진단/보호 추가
   • 비교기/윈도우 감시, 클럭/전원/온도 모니터, 브라운아웃 리셋
   • ADC 채널 이중화, 센서 이중화(다양성 고려)
   • NVM 이중화 + 미러/롤백 복구
3. FTTI/주기진단 설계
   • 진단 실행주기 ≤ FTTI 보장, 오류 전파시간/검출시간/반응시간 문서화
   • 주기진단으로 Latent → Detected 전환
4. 아키텍처 차단
   • 안전출력 경로에 하드 차단(세이프티 릴레이, 게이팅)
   • De-energize to safe 구조로 SPF 자체 제거
5. 안전목표/요구분해 재검토(필요 시)
   • ASIL 분해, 독립성 강화, CCF 대책으로 위험경로 자체 약화

---

4) FMEDA 업데이트 필수사항

• 고장모드 행에 검출 메커니즘 링크(전역/상위/로컬) 추가
• DC% 산정 근거: 시험 또는 표준 값(예: 제조사 진단 커버리지 데이터, 분석 보고)
• 시간 파라미터: Fault→Detection→Reaction 타임라인(FTTI 비교)
• 테스트 증빙 링크: 단위/통합/시스템 테스트 ID 연결
• 링크 불가 시 Residual 사유 한 줄 기록
  • 예: “No applicable diagnostic; architecture changed in Rev.B”

6) 보고서(Assessment)용 문구 예시

“The failure mode FM-123 was initially classified as SG-violating with no mapped diagnostic.
Global clock supervision and system-level plausibility were reviewed and not applicable within FTTI;
therefore it is currently treated as SPF (Residual) impacting SPFM/PMHF.
Action: add window comparator and periodic diagnostic (100 ms) → expected DC=90% → reclassify to Detected; FMEDA rev. to link mechanism and update metrics.”