엔진 정지&시동 시스템은 자동차가 정지 상태 일때에 시동을 끄고 페달을 밟으면 다시 엔진이 작동될 수 있도록 도와주는 시스템입니다. 운전 환경에 따라서 정지 시간이 많은 경우 ESS 시스템을 통해 연비 절약 및 엔진 수명 관리 등의 이점을 가져다 줄 수 있습니다. 이제 ESS 시스템의 STPA 분석을 시작하고자 합니다.

1. 손실 및 위험원 식별
ESS 시스템에서 발생할 수 있는 손실은 아래와 같습니다. 표와 함께 VisualPro SA-STPA 툴에서 식별 된 손실 화면을 확인하실 수 있습니다. 자동차 산업과 관련한 손실은 아래의 4가지 손실의 틀에서 크게 벗어나지 않습니다. 다른 시스템에도 마찬가지입니다.

표1. ESS 시스템 손실

그림1. VisualPro SA 상 ESS 시스템 손실 화면

이제 손실을 야기 시킬 수 있는 위험원 들을 식별 할 차례입니다. 위험원 들을 식별 후 손실과 연결 관계를 지정합니다. 식별 된 위험원과 화면은 아래와 같습니다.

표2. ESS 시스템 위험원

그림2. VisualPro SA 상 ESS 시스템 위험원 화면

2.Control Structure 모델링

이제 ESS 시스템의 전체적인 Control Structure 모델링을 구성하는 단계입니다. ESS 시스템을 구성하는 요소는 Driver, Auto Engine Stop-Start Module, Inertial Unit, Braking System, Propulsion System, Environment 로 볼 수 있습니다. 완성 된 ESS 시스템의 CS 모델링은 아래와 같습니다.

그림3. ESS 시스템의 Control Structure Model

3. UCA 식별

ESS에서 식별될 수 있는 UCA는 아래의 표와 같습니다. ESS 시스템과 직접적으로 연관 된 Restart 및 Stop에 대한 Control Action 대상으로 UCA를 식별하였습니다.

표3. ESS 시스템 UCA

그림4. VisualPro SA 상 ESS 시스템 UCA 작성 화면

4. 컨트롤러 제약사항 식별

UCA(Unsafe Control Action)이 정의되면 UCA를 예방하기 위한 각 UCA에 따른 제약사항 등을 정의할 수 있습니다. ESS 시스템에서 정의될 수 있는 컨트롤러 제약사항은 아래와 같습니다.

표4. ESS시스템 컨트롤러 제약사항

그림4. VisualPro SA 상 ESS 시스템 컨트롤러 제약사항 화면

5. 손실 시나리오 식별

UCA를 식별 후 각 UCA를 일으킬 수 있는 손실 시나리오를 작성합니다. STPA는 손실 시나리오를 작성할 때에 참고할 수 있는 Guide Word를 제공합니다. VisualPro SA – STPA툴 역시 STPA Handbook 2018 기준의 Guide Word를 기본으로 제공합니다.

표5. UCA-01에 대한 손실 시나리오

그림6. VisualPro SA 상 ESS 시스템  손실 시나리오 화면

손실시나리오에 따른 대응방안(요구사항)들을 추가적으로 작성할 수 있습니다. 손실부터 대응방안까지 작성 된 모든 내용에 대한 추적성 보기를 한 화면입니다.

그림7. L-01 Two or More vehicles collide에 대한 추적성 보기 화면

 

[출처 및 참고 : Application of STPA to the integration of multiple control systems : A case study and new approach(Matthew Seth Placke 2012)]