Journal of the Korea Academia-Industrial cooperation Society Vol. 18, No. 9 pp. 9-17, 2017 https://doi.org/10.5762/kais.2017.18.9.9 ISSN 1975-4701 / eissn 2288-4688 정호전, 이재천 * 아주대학교시스템공학과 An Improved Method of FTA and Associated Risk Analysis Reflecting Automotive Functional Safety Standard Ho-Jeon Jung, Jae-Chon Lee * Dept. of Systems Engineering, Ajou University 요약자동차및철도등수송시스템에서무인화운전으로의진전으로인해시스템운영시안전성의확보는필수불가결한요소로간주되어왔다. 자동차안전설계를뒷받침하기위해제정된기능안전표준인 IS 26262 에서는위험원분석및평가그리고안전설계를수행할때시스템설계정보를적절하게반영함으로써안전성이확보되는자동차시스템을구현하기위한절차가제시되어있다. 이에따라위험원분석에관해많은연구가이루어졌는데, 주로이미운영되고있는유사시스템사례에의존하여설계정보를활용하였다. 먼저물리구성품수준에서설계정보를추출하고, 이로부터기능들을역추적한후에위험원을식별하는방법이연구되었다. 이러한방법은빠르고쉽게위험원의식별이가능하기는하지만, 설계요구사항이변경되거나새로운시스템을설계할때에는설계정보를제대로반영할수없어일부위험원이누락될수있는가능성이있다. 이러한점을해결하기위해서본논문에서는기능안전표준에서제시하는안전수명주기모델의위험원분석단계에서효과적인방법을연구하였다. 구체적으로시스템개념설계를 Top-Down 방식으로수행하면서확보한설계정보를위험원분석에적절하게활용하는방법을제안하였다. 먼저시스템개념설계를수행하고, 획득된기능설계결과를분석하였다. 그러고나서기능분석결과를활용하는기능기반 Fault Tree Analysis 방법을제시하고위험원분석을수행하였다. 또한자동차시스템에서의안전설계사례연구를통하여본논문에서제시하는방법이대상시스템의설계정보가체계적으로반영되어누락가능성이줄어든위험원분석이가능함을보여주었다. Abstract Ensuring the safety of automobiles and trains during system operation is regarded as indispensable due to the progress in unmanned operation. The automotive functional safety standard, IS 26262, has been proposed to ensure the safe design of vehicles. This standard describes in detail the required risk analysis and evaluation procedure and safety measures, while appropriately reflecting the system design information. Therefore, much research has been done on the risk analysis procedure, wherein the design information is mostly extracted from physical components of similar systems already in operation, the information traced back to obtain constituent functions, and then methods of identifying risk sources are studied. This method allows the sources of risk to be identified quickly and easily, however if the design requirements are changed or systems are newly developed, others may be introduced which are not accounted for, thereby yielding mismatched design information. To resolve this problem, we propose a top-down analysis in order to utilize the system design information appropriately. Specifically, a conceptual system is designed to obtain the functions, which are then analyzed. Then, a function-based fault tree analysis is conducted, followed by a risk source analysis. In this paper, a case study of automotive safety is presented, revealing that the proposed method can analyze the risk sources with reduced possibility of omission by systematically reflecting the system design information. Keywords : Functional Safety, Safety Design, Conceptual System Design, Hazard Analysis, Fault Tree Analysis (FTA), Function-Based FTA 본논문은 2015년도정부 ( 교육부 ) 의재원으로한국연구재단의지원을받아수행된기초연구사업임 (No. NRF-2015R1D1A1A01056730) * Corresponding Author : Jae-Chon Lee(Ajou Univ.) Tel: +82-31-219-3941 email: jaelee@ajou.ac.kr Received August 9, 2017 Accepted September 15, 2017 Revised (1st August 29, 2017, 2nd September 5, 2017) Published September 30, 2017 9
한국산학기술학회논문지제 18 권제 9 호, 2017 1. 서론표준 IEC 61508로대표되는기능안전은시스템전수명주기적관점그리고계층적접근을통하여차별화되는진전을이루었다 [1]. 자동차기능안전규격인 IS26262 의특징은 Fig. 1에도시되어있는바와같이안전수명주기를정의하고시스템의설계정보를반영하여위험원분석및평가를수행하고, 이를기반으로한안전기능이설계과정에서구현되도록하고있다 [2-3]. 이러한과정을통해미리설계과정에서대상시스템에존재할만한위험원을식별하고이것의발현확률을낮추기위한안전기능을시스템에구현할수있게된다 [4]. 하여위험원의식별이가능하다는장점이있다. 그러나새로운시스템을설계할때시스템의특성을제대로반영하지못하여위험원이누락될수있는위험이존재한다. 또한기존에는기능수준에서 FTA를수행할때 Fig. 2와같이 fault tree의 top event의식별수준에서기능정보가활용되었다. 그리고 Fig. 2와같이 event를분해하는것이아닌기존의고장정보를활용하여하위 event tree를만들어 top event와연결하는형태로 fault tree를도출하였다. 따라서기능수준에서설계정보를활용하여 event의분해, 조합등이수행되진못했다. Fig. 2. Example of Traditional Function-Based Fault Tree Fig. 1. IS 26262 Safety Life Cycle[2] 안전수명주기에따라안전을확보하는데있어 Concept Phase에서 Hazard Analysis를수행하는것은매우중요하다. 대상시스템에존재할만한위험원을이단계에서빠짐없이식별하여야다음의 Functional Safety Concept 설계단계에서안전기능을도출해서안전설계수행및구현을할수있다. 따라서시스템설계정보를활용하여대상시스템에존재하는잠재위험원을사전에분석하고이에대응하는안전설계에관한연구가필요하다 [5-8]. 기존의연구결과들의공통점은기능정보를얻기위해구성품수준의정보를기반으로하여 bottom-up 방식의분석을수행했다는것이다. Majdara 등 [9] 은구성품정보로부터구성품들이수행할기능을역으로식별하였다. Tumer 등 [10] 에서는구성품수준에서의 failure mode에관한정보로부터 failure mode들이어떤기능과연관이있는지를역으로분석하여기능을식별하는방법을연구하였다. 이러한방법들은빠르고쉽게기존설계정보를활용 본논문에서는기존연구에서의문제점들을개선하기위해두가지의연구목표를설정하였다. 첫째, 시스템개념설계단계에서확보되는설계정보중기능분석결과에기반을두어 top event의식별, event의분해, 조합등을도출하여기능기반 fault tree를도출하는것. 둘째, 기능기반 fault tree를활용한위험원분석수행방법의제시이다. 연구목표달성을통해안전수명주기에서 top-down으로수행되는설계절차에서확보되는설계정보를기반으로 Hazard Analysis 단계를수행할수있다. 이렇게위험원분석을수행하게됨으로써누락의위험을줄인위험원분석의수행이가능하다. 또한이를달성하기위해 FTA기법을기능수준에서의설계정보를기반으로수행할수있게된다. 기능기반 FTA의수행을통해기능수준에서위험원, 원인, 영향을식별할수있고이것은안전수명주기에서다음단계인 Functional Safety Concept 에서어떤 safety function이어디에구현이되어야하는지를결정하는판단근거로활용될것이다. 본논문의구성은다음과같다. 1절서론에이어 2절및 3절에서는본논문에서제시하는기능기반 FTA의수행방법을제안하고 4절에서는사례분석을통해유용성 10
을검증한결과를제시하였다. 마지막으로 5절에서는본논문의결과를정리및요약하였다. 2. 시스템설계정보를활용한개선된기능기반 Fault Tree 생성방법 2.1 운영시나리오모델을활용한 Top Event 결정방법본논문에서는운영시나리오모델을생성하고이를기반으로 top event를결정하는방법을도출하였다. 운영시나리오는대상시스템의최상위의기능모델이라할수있기때문에설계초기에도출된다. Fig. 3은 SysML 의 activity diagram을활용하여생성한운영시나리오모델의예시를나타내고있다 [11]. 생성한운용시나리오모델로부터대상시스템의최상위수준의기능들을식별하고기능들의순서, 상호관계등에대한정보를얻을수있다. 이정보들은 fault tree의 top event를결정하는데활용된다. Top event는앞서생성된기능에대한정보를바탕으로분석한기능오류로정의할수있다. 이때기능의오 류는다음과같이다섯가지유형을기반으로식별된다. 이것은미국방부와유렵철도분야에서제시하는 functional failure case들을분석하여정의한것이다 [3]. 1. Fails to operate, 2. perates early/late, 3. perates out of sequence, 4. Unable to stop operation, 5. Degraded function or Malfunction. Fig. 3과같이확보되는운영시나리오모델에서식별된기능과기능간의상호관계, 위의정의된 5가지의기능오류유형을기반으로각기능들의오류를분석하여 top event 를결정하게된다. 2.2 기능분석결과를활용한기능기반 Fault Tree 의생성방법개념설계에서기능분석을수행함으로써도출되는대표적인산출물은기능트리와기능의거동모델이라할수있다. 기능트리는운영시나리오모델에서정의되었던최상위수준의기능들을분해하여어떠한기능들의조합을통해최상위수준의기능이수행될수있는지를파악할수있도록상하위기능들간의추적성을제공한다. 기능트리를활용하여하위기능들의오류의조합으로상위수준의기능의오류가발생한다는것을파악할수있다. 따라서이것을근거로 fault tree의 event를분해해 Fig. 3. Concept of Identifying Top Event in Fault Tree Fig. 4. Example of Function Tree and Associated Functional Behavior Model 11
한국산학기술학회논문지제 18 권제 9 호, 2017 Fig. 5. Comparison of Fault Tree Methods between Proposed and Existing Cases 나갈수있다. 거동모델은기능들간의상호관계, 즉기능간의인터페이스를식별하는데활용할수있다. 인터페이스정보는 event를분해하는또다른정보로활용할수있다. Fault tree에서상하 event는 and. or gate로조합이이뤄지게된다. 동일수준의기능들간의인터페이스분석을통해 and, or gate 중어떤 gate가적절한지식별할수있게된다. 위의개념을바탕으로 Fig. 4는 System Function에대해 Top Level Function부터 SubFunction 까지식별한기능트리와 Function Level의기능에대한거동모델을도출한예이다. Fig. 4와같이 event를분해및조합하는절차는다음과같다. 첫째. 기능트리를통해최상위수준의기능이분해된기능들을식별한다. 그후식별된기능들각각의오류를식별한다. 식별된각각의오류들은 top Event아래의 intermediate event가된다. 둘째. 앞단계에서식별한 intermediate event들간의조합을또다른산출물인거동모델을통해식별한다. 즉개별기능의오류는 or gate로, 여러기능들의조합은거동모델을기반으로병렬연결되는기능이동시에수행되는것인지, 어느하나가수행되는것인지를식별하여전자의경우 or gate, 후자의형태는 and gate로조합을하게된다. 위의두단계에따라점차 event를식별하고분해해가며기능트리의가장하위의기능에관련된 event를식별할때까지반복적으로수행한다. Fig. 5는앞서제시한방법과기존의연구에서의방법에따라도출한 fault tree를나열한것이다. 좌측의본연구에서제시한방법에따른기능기반 fault tree는식별된모든 event와 event의조합이온전히설계초기기 능분석결과를활용하여도출한결과이다. 즉설계과정에서식별된모든기능들에대한오류를분석하여 fault tree에반영이되어있다. 우측의기존연구에서의 fault tree는기존의고장정보에서 failure mode로부터역으로 failure mode와관련된기능을식별하여 top event로결정하였다. 그리고하위 event들은기존의고장정보를가져와 top event와관련이있다고판단되는것들을연결시키는수준에서 fault tree가도출되었다. 따라서설계과정에서식별된기능들중 top event에반영이안된기능들이존재할확률이있다. 또한 event들의조합이어떻게결정되었는지에대한근거도미약하다. 이에반해본연구에서제시한 fault tree는거동모델에근거한기능간의인터페이스를이용하여 event의조합의근거를제시하였다. 즉좌측 fault tree의 and gate는 subfunction1,2 가병렬연결로이뤄져있음을거동모델을통해분석하였고이를근거로 event의조합이이뤄진것이다. 3. 개선된기능기반 Fault Tree 를활용한위험원분석수행방법 3.1 기능기반 Fault Tree 를활용한위험원의식별방법 2절에서제시한방법에따라도출된기능기반 fault tree를활용하여위험원분석을수행하는방법을아래에서제시한다. 위험원은 Fig. 6과같이크게 hazardous element, initiating mechanism, target/threat, 3가지구성요소로이뤄져있다. 그리고각요소들은 Fig. 6과같이앞서도출한설계정보및 fault tree를통해도출할수있다. Hazardous element는위험원이존재하는요소들 12
Fig. 6. Relationship among Three Elements of Hazard Analysis including Function Tree, Fault Tree, and Behavior Model 을식별하는것이다. 기능수준에서의위험원분석은대상시스템의기능에관한위험원을식별하는것이므로기능트리를통해식별한기능들이 hazardous element가된다. Initiating Mechanism은위험원을발현시키는 event로써 fault tree에서식별되는 event들이 initiating mechanism에해당된다. Target/Threat는위험원이발현되었을때예측되는피해의대상과피해의정도를기술하는것이다. 기능수준에서의위험원분석은상세한피해의정도를식별하는것은힘들며, 위험원이발현되었을때의피해의대상과피해의발생확률을가능한한식별하여기술하여야한다. 기능기반 fault tree와거동모델을활용하면하나의기능에대한위험원이발현되었을때다른어떤기능에영향을미치는지를식별할수있다. 위와같은방법으로기능기반 fault tree와기능분석결과를활용하면위험원의 3요소를모두도출할수있다. 3.2 기능기반 FTA 수행을통한 Cause & Effect 분석방법위험원의원인을분석하는것은원인을점차상세히분석하여결과적으로 cause tree를도출해내는것이라 할수있다. Fault tree에서는 top event아래로 top event 의원인이되는 event들을계속식별해나가게된다. 따라서 top event의원인이되는가능한한모든 cause를식별해낼수있다. 본연구에서는거동모델을기반으로다양한 event의조합을식별할수있으며, top event에대해식별가능한 cause tree를 Fig. 7과같이도출할수있다. 기능수준에서위험원의영향은개별기능의위험원이발현되었을때다른어느기능에영향을미칠것인가를식별하는것이다. 따라서도출한거동모델을활용하여각수준에서의기능간의인터페이스매트릭스를도출할수있다. Fig. 8은최상위수준의기능을분해한기능들에대한거동모델을기반으로도출한기능인터페이스매트릭스이다. Fig. 8을보면 Function 1의오류는 Function 2와 3에영향을미치고 Function 2,3은 Function 4, Function 4는 Function 5에영향을미친다는것을파악할수있다. 이와같이 fault tree와기능분석결과를활용하여위험원의원인과영향을분석할수있다. Fig. 8. Function Interface Matrix 3.1, 3.2절을통해안전수명주기의 hazard analysis 단계에서기능기반 FTA를활용하여기능수준에서위험원, Fig. 7. Identification of Cause Tree from Fault Tree 13
한국산학기술학회논문지제 18 권제 9 호, 2017 Fig. 9. Fault Trees Derived from Proposed Method and Existing Method 원인, 영향을식별할수있음을확인하였다. 이결과를활용하여안전수명주기에서 hazard analysis 다음단계인 functional safety concept 결정단계에서 safety function 을도출할수있다. 기존방법과같이구성품수준에서위험원의기술, 영향과원인분석이이뤄지게되면 safety function이어느기능의오류와관련하여필요한지, 다른어떤기능의영향을안미치도록구현되어야하는지등을결정하는데어려움이있다. 그러나본논문에서제시한기능기반 FTA를통해위험원, 원인, 영향이모두기능수준에서명확히정의가되어, 다음절차인 functional safety concept 결정단계에서 safety function이어떤기능의오류에대응하기위한것인지, 원인이되는다른기능의오류를어떻게차단할것인지, 다른기능에영향을어떻게안미치게할지등을기능수준에서명확히정의할수있게된다. 이렇게되면차후상세설계단계에서 safety function을구현함으로써설계단계에서안전을확보할수있게된다. 4. 사례를통한기존방법과의결과비교 4 절에서는자동차의안전에큰영향을미치는 braking과 steering system에대해본논문에서제안한방법과기존연구에서의방법을통해 FTA를수행한결과를비교하여본논문에서제안한방법의유용성을검증하였다. Fig. 9는본논문에서제안한방법과기존의방법을활용하여 fault tree를도출한결과이다. Case1은 braking, Case2는 steering에대해분석을수행한결과이다. Case1에서기존의방법을통한 fault tree는 brake controller와 actuator controller에대한고장정보를확보한상태에서두구성품의고장이어떤기능과연관이있는지를역으로식별하였다. 그결과두구성품의고장은 wheel braking function의오류와연관이있다고식별하였다. Top event는 wheel braking function의오류로놓고그아래는두구성품의고장정보에기반을둔 event 를도출하여 top event와연결하는형태로 fault tree가도출되었다. 14
제안한방법을통한 fault tree는 wheel braking function과다섯가지 functional failure type을조합하여도출된기능오류들을 top event로결정하였으며예시에서는 fails to operate에상응하는 fails to wheel braking function을 top event로하였다. Wheel braking function 은분해하면 pedaling, braking, actuating, sensing등의기능으로분해되며예시에서는그중핵심기능인 braking 기능에대해분석하였다. 이를위해 braking 기능과 functional failure type을조합하여 fails to operate, operates early/late, operates out of sequence 유형이조합되어 event가식별되었다. 그중 fails to braking event 는 braking 기능의하위기능인신호송수신과관련된 event 두가지를추가적으로식별하였다. 이와같이제안한방법을통한 fault tree는구성품수준의고장정보의확보없이설계과정에서도출된기능분석결과를활용하여도출이되었다. Case2에서기존의방법을활용한 fault tree는 Case1 과마찬가지로 steering system의물리적구성품인 steering wheel과 shaft에대한 failure를기반으로 fault tree가도출되었다. 하위 event도 wheel과 shaft에대해 failure를유발하는원인들이식별되어연결되었다. 제안한방법을활용한 fault tree는 steering function 의 fail을 top event로하였다. 하위 event는 steering function을분해하였을때핵심기능인 steering speed 및 angle을측정하는기능에관한기능오류들로도출되었다. Steering 기능은 steering speed와 angle을실제와같이측정하여전달할수있어야정확한조향기능을수행할수있다. 따라서두가지기능은잘못된조향으로인한위험을방지하기위해매우중요한기능이다. 두가지기능은각각 fails to operate와 malfunction 두가지에상응하는 functional failure 들이추가적으로식별이되었다. 위의두가지케이스에서기존의방법은 top event만이기능을, 하위 event들은고장정보를기반으로도출된것이라이에대응하는안전설계는물리설계단계까지진행된이후에본격적으로반영이될수있다. 반면제안한방법에따라도출된위험원분석결과는모두기능수준에서정의가능하다. 이를통해설계를진행하면서기능설계단계부터위험원을분석하고이에대응하기위한안전기능의식별과설계에의반영이가능해진다. Table 1은두가지케이스에서두가지방법으로도출한위험원분석결과이다. Table 1에는식별한위험원 Table 1. Comparison of Hazard Analysis Results for Case1,2 Hazard HE IM T/T Cause Wheel braking function fails to braking when fails to transmitted signal from braking controller and affect to actuating Signal Transmitting Function Failure Wheel braking function fails to braking when fails to transmitting braking signal and Signal Transmitting Function Failure affect to actuating [Case1] Wheel braking function unintended braking when transmitting unintended braking Proposed Signal Transmitting Function Failure signal and affect to actuating Method Wheel braking function unintended braking when transmitting unintended torque Signal Transmitting Function Failure request and affect to actuating Wheel braking function early locked braking before transmitting braking signal and affect to actuating Malfunction of Braking Loss of Input to Brake Controller [Case1] Failure of Brake Controller Faulty Request from Brake Controller Existing Method Failure of Actuator Controller Faulty Actuation Signal from Actuator Steering function fails to steering when fails to transmitted steering angle and affect to steering angle measurement Information Transmitting Failure Steering function fails to steering when transmitted incorrect steering angle and affect to steering angle measurement Malfunction of Measurement [Case2] Proposed Method Steering function fails to steering when fails to transmitted steering speed and affect to steering speed measurement Steering function fails to steering when transmiitted incorrect steering speed and affect to steering speed measurement [Case2] Failure of Steering Wheel Existing Method Information Transmitting Failure Malfunction of Measurement Cracking of Steering Sleeve Jamming of Ball Joint Jamming of Bearing Failure of Steering Shaft Cracking of Shaft 15
한국산학기술학회논문지제 18 권제 9 호, 2017 을기술하고, 기술된위험원이위험원의 3요소를식별하였는지를평가하였다. 또한위험원에대한원인을식별하여기술하였다. 이것은식별한위험원과원인이기능수준에서기술되어설계초기에안전설계를수행할수있는가를평가하기위해포함되었다. Case 1 및 2에서제안한방법을통해식별된위험원을보면제안한방법을통해위험원의 3요소를모두식별되어기술되었음을확인할수있다. 기존의방법에따라도출한위험원들은고장정보가그대로활용되어 IM 은식별이가능하나 HE와 T/T는기능수준에서명확히식별할수없었다. 또한기존방법으로식별된위험원의원인은모두구성품수준에서의고장에의한것이었다. 이것은기존방법으로는기능수준에서안전기능이필요한대상의식별과설계에의반영이힘들다는것을의미한다. 즉기존방법의결과로는 Fig. 1의안전수명주기에따른안전설계를수행하는것이힘들다는것을의미한다. 반면본논문에서제안한방법에따른결과는위험원과원인, 영향이모두기능수준에서식별되고정의되었다. 이를활용하면안전수명주기에따라설계를진행하면서기능수준에서부터안전설계가수행가능해진다. 즉, wheel braking function과 steering function의 failure 유형, 원인, 다른기능으로의영향등이모두기능수준에서식별이되었다. 특히원인이주로 signal& information transmitting function과관련이있어 signal&information transmitting failure를방지하기위한 safety function이필요함을확인할수있다. 이와같이본논문의방법을활용하여수행한위험원분석의결과를활용하면안전기능의정의가체계적으로이뤄지게된다. 5. 결론기능안전규격에서제시하는위험원을효과적으로식별하기위해본논문에서는첫째, 대표적인위험원분석기법인 FTA를개념설계단계의설계정보를활용하여수행하기위한방법을제시하였다. 개념설계정보인기능분석결과를활용하여기능기반 fault tree를도출하는방법과이를활용하여위험원분석을수행하는방법을제시하였다. 이렇게대상시스템에대한설계정보를바탕으로위험원분석을수행함으로써대상시스템의설계특 성이반영된위험원분석이수행되어누락없는위험원분석이가능하게된다. 둘째, FTA를수행할때 Top Event의식별, Event의분해, Cause의식별등 FTA수행의전반에걸쳐기능분석정보를활용하여위험원분석을수행하는방법을제시하였다. 셋째, 제안한방법을통해기능수준에서위험원의 3요소를명확히도출하였다. 이때도출한정보는안전수명주기의다음단계인 functional safety concept 설계단계에서의안전기능의식별및구현대상등이명확히도출되어향후설계에안전기능이체계적으로반영이될수있게된다. References [1] Functional safety of electrical/electronic/programmable electronic safety-related systems, International Electrotechnical Commission Standard, IEC 61508, 2010. [2] Road vehicles -- Functional safety --, International rganization for Standardization Standard, IS 26262, 2011. [3] Railway Applications - Communication Signalling and Processing Systems Software for Railway Control and Protection Systems, IEC Standard, IEC 62279, 2002. [4] A. Scharl, K. Stottlar, R. Kady, "Functional hazard analysis methodology tutorial," in Proc. International System Safety Training Symposium, St.Louis, M, Aug. 4-8, 2014, pp. 1-17. [5] R. B. Stone, I. Tumer, M. Van Wie, "The function-failure design method," Journal of Mechanical Design, vol. 127, no. 3, pp. 397-407, Jul. 12, 2004. DI: https://doi.org/10.1115/1.1862678 [6] M. H. rdouei, A. Elkamel, G. Al-Sharrah, "New simple indices for risk assessment and hazards reduction at the conceptual design stage of a chemical process," Chemical Engineering Science, vol. 119, no. 8, pp. 218-229, Nov. 2014. DI: https://doi.org/10.1016/j.ces.2014.07.063 [7] K. G. Lough, "The risk in early design method," Journal of Engineering Design, vol. 20, no. 2, pp. 155-173, Mar. 2009. DI: https://doi.org/10.1080/09544820701684271 [8] Y. D. Shin, S. H. Sim, J. C. Lee, "Model-based integration of test and evaluation process and system safety process for development of safety-critical weapon systems," Systems Engineering, vol. 20, no. 3, pp. 257-279, May 31, 2017. DI: https://doi.org/10.1002/sys.21392 [9] A. Majdara, T. Wakabayashi, "Component-based modeling of systems for automated fault tree generation," Research in Engineering Design, vol. 94, no. 6, pp. 1076-1086, Jun. 2009. DI: https://doi.org/10.1016/j.ress.2008.12.003 16
[10] I. Tumer, R. B. Stone, "Mapping function to failure mode during component development," Research in Engineering Design, vol. 14, no. 1, pp. 25-33, Jan. 2003. DI: https://doi.org/10.1007/s00163-002-0024-y [11] System Modeling Language, bject Management Group Standard, 2015. 정호전 (Ho-Jeon Jung) [ 정회원 ] 2010 년 8 월 : 경북대학교전자공학과 ( 공학사 ) 2013 년 2 월 : 아주대학교시스템공학과 ( 공학석사 ) 2013 년 3 월 ~ 현재 : 아주대학교시스템공학과 ( 박사과정 ) < 관심분야 > 시스템공학 (SE), 모델기반시스템공학 (MBSE), 시스템안전 (System Safety), 기능안전 (Functional Safety), 시스템안전관리체계, Modeling & Simulation 등. 이재천 (Jae-Chon Lee) [ 정회원 ] 1977 년 2 월 : 서울대학교공과대학전자공학과 ( 공학사 ) 1979 년 2 월 / 1983 년 8 월 : KAIST 통신시스템 ( 석 / 박사 ) 1984 년 9 월 ~ 1985 년 9 월 : 미국 MIT Post Doc 연구원 1985 년 10 월 ~ 1986 년 10 월 : 미국 Univ. of California 방문연구원 1990 년 2 월 ~ 1991 년 2 월 : 캐나다 Univ. of Victoria (Victoria, BC) 방문교수 2002 년 3 월 ~ 2003 년 2 월 : 미국 Stanford Univ. 방문교수 1994 년 9 월 ~ 현재 : 아주대학교시스템공학과정교수 < 관심분야 > 시스템공학 (SE), Model-Based SE (MBSE), Systems Safety, System T&E, Modeling & Simulation 17