해당 규정에서 말하는 “독립적으로 작동”이라는 요구사항은, 전압 감지 회로를 단순히 물리적으로 완전히 분리하라는 의미라기보다, 한 표시등의 동작이 다른 표시등의 동작을 강제로 결정하거나 억제하지 않도록(연동 금지) 하려는 목적이 더 크다고 해석할 수 있다고 생각했습니다. 즉, RED와 GREEN이 서로 배타적으로 동작하도록 만드는 로직(예: GREEN이 켜지면 RED는 무조건 꺼짐)을 금지하고, 경우에 따라서는 두 조건이 동시에 만족될 수 있기 때문에 동시 점등 가능성도 열어두어야 한다는 취지로 보았습니다.
이 관점에서 보면, 고전압 영역에서 인버터 전압을 Divider로 강압한 뒤 “고전압 존재”를 의미하는 신호를 하나 생성하여 저전압 영역으로 전달하고, 이를 RED 회로와 GREEN 회로에서 각각 입력으로 사용하는 방식(2번 로직)은 규정 취지와 충돌한다고 단정하기 어렵다고 판단했습니다. 그 이유는, 전달되는 신호가 RED 또는 GREEN을 직접 강제하는 제어 신호가 아니라, 두 표시 회로가 각각 판단을 수행하기 위한 공통 입력 정보 중 하나에 불과하기 때문입니다. 실제 점등 조건은 저전압 영역에서 RED용 판단 로직과 GREEN용 판단 로직이 각각 독립적으로 구성되어 결정되며, 두 회로가 서로의 출력 상태를 참조하거나 서로를 끄는 연동 동작을 포함하지 않는다면, 규정에서 금지한 연동 동작은 발생하지 않습니다. 또한 과도 상태나 임계값 근처에서 두 회로의 조건이 동시에 만족될 수 있는 상황이 존재할 수 있으므로, 이 방식에서도 RED와 GREEN 동시 점등 가능성이 남아 규정 문구와 일관된 동작이 됩니다.
결론적으로, 2번 로직은 고전압 존재 여부를 하나의 센싱 경로로 전달하더라도, 저전압 영역에서 표시등의 점등 판단을 분리하여 구성하고 상호 연동을 배제하면 독립 동작의 핵심 취지(거짓 안전 표시 방지 및 상호 억제 금지)를 만족하는 방식으로 해석될 수 있다고 생각합니다.
추가로, 2번 방식(고전압 영역에서 비교기 1개로 “고전압 존재” 신호를 만들어 저전압 영역에서 분기하는 방식)에 대해 스스로도 단일 설계의 취약성을 고민해보았습니다.만약 고전압 영역에서 인버터 전압 비교기가 단일일 경우, 해당 비교기가 소손되어 동작하지 않으면 저전압 영역에서 적색등/녹색등을 판단하는 로직 자체가 의미를 잃는 상황이 생길 수도 있다고 생각했습니다. 반대로 고전압 영역에서 비교기를 2개로 구성하여 적색등용/녹색등용 신호를 각각 분리해 보내면, 하나가 고장나더라도 다른 표시가 살아남을 수 있다는 장점도 분명히 있다고 봅니다. 특히 고전압이 실제로 존재하는데 비교기가 고장나서 TSAL이 녹색등을 띄우는 상황이 발생한다면 이는 매우 크리티컬한 문제라고 생각합니다.
다만 TSAL 규정상 단순히 전압만 보는 것이 아니라 AIR 상태 신호도 함께 감지해야 하므로, 고전압 신호 쪽에 문제가 생기더라도 AIR가 동작 중인 상태라면 녹색등이 점등될 가능성은 낮다고 판단했습니다. 오히려 녹색 또는 적색 둘 다 점등되지 않는 상태가 발생하면 외부 인원이 이상 상황으로 인지할 수 있고, 추가적으로 규정에 있는 Voltage Indicator를 통해 인버터 고전압 유무를 다시 확인할 수도 있으며, 의심되는 경우 TSMP를 통해 전압을 직접 측정하는 것도 가능하다고 생각했습니다. 또한 Fail-safe 관점에서 AIR 동작 신호를 대시보드 LED로 별도 표시하도록 구성한다면, 운용 중에도 AIR 상태를 직관적으로 확인할 수 있어 안전성이 더 높아질 수 있다고 보았습니다.
결과적으로 저는 고전압 영역에서 동작하는 소자나 컴포넌트 수를 최소화하는 것이 오히려 고장 가능성이나 위험한 상황을 줄이는 방향이 될 수도 있다고 판단하여 이런 설계를 구상해보았는데, 혹시 어떻게 생각하시는지 궁금합니다.
생각을 많이 해봐서 이런저런 생각들을 두서 없이 정리했더니 글이 길어졌습니다… 긴 글 읽어주셔서 감사합니다:)