이 시리즈의 처음 두 부분에서는 사양 기반 제품이 실제 차량 운영에서 실패하는 이유와 숙련된 운영자가 차량을 대규모로 평가하는 데 사용하는 데이터 포인트를 살펴보았습니다. 이 마지막 부분은 측정항목에서 구조로 초점을 이동합니다.
여기에서는 시스템 아키텍처가 위험 관리의 한 형태로 어떻게 기능하는지, 즉 장애 동작, 예측 가능성, 규정 준수 및 장기적인 운영 안정성을 관리하는지 살펴봅니다. 함대가 성장하더라도 위험은 사라지지 않기 때문입니다. 합성합니다. 아키텍처는 위험이 억제되는지 아니면 확산되도록 허용되는지를 결정합니다.
상업용 차량 운영에서 위험이 실패로 나타나는 경우는 거의 없습니다.
배송 누락, 유휴 차량, 비용 초과, 운영상의 불확실성 등 조용히 나타납니다.
차량 관리자가 무언가 잘못되었음을 깨닫게 되면 일반적으로 문제는 더 이상 기술적인 문제가 아닙니다. 재정적입니다.
이것이 숙련된 운영자가 더 이상 시스템 아키텍처를 엔지니어링 문제로 보지 않는 이유입니다. 그들은 이를 위험 관리 프레임워크 , 즉 압력을 받고 있는 차량이 예측 가능한 상태로 유지되는지 아니면 천천히 관리할 수 없게 되는지를 결정하는 프레임워크로 봅니다.
대부분의 차량 위험은 치명적인 고장으로 인해 발생하지 않습니다. 이는
으로 인해 발생합니다 . 구성 요소 간의 상호 작용 일관된 시스템으로 작동하도록 설계되지 않은
일반적인 예는 다음과 같습니다.
소프트웨어 업데이트로 인해 안전에 중요한 기능이 중단됨
새로운 센서가 공유 통신 버스에 과부하를 걸다
사용자 인터페이스 오류로 인해 불필요한 차량 종료가 발생함
각 구성 요소는 해당 사양을 충족할 수 있습니다.
시스템은 그렇지 않습니다.
사양 기반 제품은 부품을 최적화합니다.
시스템 아키텍처는 상호 의존성을 관리합니다..
운영 위험을 줄이는 가장 효과적인 방법 중 하나는 아키텍처 수준에서 기능을 분리하는 것 입니다..
성숙한 차량 플랫폼에서는 안전에 중요한 기능이 중요하지 않은 기능과 격리됩니다. 전력 공급, 제동 및 조향은 디스플레이, 텔레매틱스 또는 인포테인먼트와 대역폭을 두고 경쟁하지 않습니다.
Dual-CAN 네트워킹과 같은 아키텍처는 다음 원칙을 잘 보여줍니다.
Power CAN 안전이 중요한 제어 전용
지능형 CAN 데이터, 인터페이스 및 연결을 처리하는
이러한 분리를 통해 장애가 상태 로 유지됩니다. 차량 전체에 걸쳐 발생하지 않고 억제된 차량 운영자에게는 봉쇄가 전부입니다. 국부적인 오류는 서비스 작업입니다. 계단식 오류는 가동 중지 시간입니다.
차량 위험은 단지 사고에 관한 것이 아니라 예측 불가능성에 관한 것입니다.
운영자는 다음과 같은 시스템을 중요하게 생각합니다.
갑자기 실패하는 대신 우아하게 성능 저하
모호한 동작 대신 명확한 오류 상태 제공
비상 정지 대신 통제된 정지 허용
기능 안전 원칙(예: ASIL 정렬 설계)으로 구축된 아키텍처는 오류를 제거하지 않습니다. . 실패가 어떻게 행동하는지 정의합니다 .
예측 가능한 장애 동작을 통해 플릿은 다음을 수행할 수 있습니다.
개입 계획
서비스 연속성 유지
자산과 운영자 모두 보호
상업 운영에서는 예측 가능성이 곧 안전입니다.
폐쇄형 시스템은 운영상의 사각지대를 만듭니다.
사각지대는 위험을 야기합니다.
진단, 로그 및 오류 트리에 액세스할 수 없으면 모든 문제는 추측 게임이 됩니다. 차량이 유휴 상태로 방치되는 것은 수리가 불가능하기 때문이 아니라 무엇이 잘못되었는지 아무도 모르기 때문입니다.
표준화된 프레임워크(예: AUTOSAR 및 UDS 진단)를 기반으로 구축된 시스템 수준 아키텍처는 이러한 역학을 뒤집습니다. 그들은 결함이 다음과 같은 것을 허용합니다:
빠르게 감지됨
원격으로 진단
정확하게 우선순위 지정
차량 관리자의 경우 이는 다음 세 가지 방법으로 노출을 줄입니다.
가동 중지 시간 단축
서비스 비용 절감
자산 활용도 향상
진단 경로를 소유한다는 것은 자산을 소유한다는 의미이며 제조업체로부터 자산을 다시 임대하는 것이 아닙니다.
상업용 모빌리티는 정적인 규제 환경에서는 작동하지 않습니다.
데이터 보호, 안전 표준 및 운영 요구 사항은 특히 유럽에서 지속적으로 발전하고 있습니다.
시스템 아키텍처는 차량이 중단 없이 적응할 수 있는지 여부를 결정합니다.
다음을 지원하는 아키텍처:
오타 업데이트
모듈형 소프트웨어 레이어
지역별 데이터 배포
차량이 규정을 준수하도록 허용 물리적 리콜이나 하드웨어 교체 없이 .
위험 관점에서 이는 성능보다 더 중요합니다. 규제 변화에 적응할 수 없는 차량은 미래 보장형이 아니며 책임입니다.
소규모에서는 해결 방법을 관리할 수 있습니다.
규모면에서는 치명적입니다.
차량 10대에 걸쳐 진단이 1시간 지연되는 것은 불편합니다.
500대의 차량에 걸쳐 위기입니다.
시스템 아키텍처는 차량 규모에 따라 확장되는 유일한 계층입니다.
이는 인간이 개입하기 훨씬 전에 오류가 전파되는 방식, 데이터 흐름 및 의사결정 방식을 제어합니다.
이것이 정교한 차량 구매자가 사양표뿐만 아니라 아키텍처 다이어그램을 점점 더 평가하는 이유입니다.
함대 운영자는 건축물이 우아하기 때문에 건축물을 구매하지 않습니다.
하기 때문에 구매합니다. 지루하고 안정적이며 예측 가능 .
좋은 시스템 아키텍처:
운영상의 놀라움을 줄여줍니다.
실패를 포함합니다
시간이 지남에 따라 비용 안정화
마진이 적고 신뢰성이 평판을 결정하는 업계에서 아키텍처는 더 이상 기술적인 세부 사항이 아닙니다. 보험상품입니다.
그리고 보험과는 달리, 차량이 사고 없이 운행될 때마다 매일 배당금을 지급합니다.
