StudyRepository
article thumbnail
Published 2023. 9. 4. 16:19
ISO 26262 자동차
728x90

 

 

 

 

 

 

 

 

ISO 26262 기능 안전 표준이란?

 

 

 

 

 

자동차 업계에서 제품 설계 및 테스트에 대해 표준화된 방식을 도입함에 따라 안전성 관련 절차에 대한 규제가 늘고 있다. ISO 26262는 자동차 부품에서 중요한 부분을 차지하는 중요한 전기 전자 (E/E) 시스템을 위한 기능 안전 표준이다. ISO 26262는 전기 및 전자 시스템의 일반 기능 안전 표준인 IEC 61508에서 파생된 것이다. 

 

 

 

자동차 산업 전반의 복잡성이 증가하면서, 안전성 준수 시스템을 제공하기 위한 노력이 커지고 있다. 예를 들어, 최신 자동차는 스로틀 바이 와이어(throttle-by-wire) 같은 전기 신호 기반 시스템을 사용한다. 이는 운전자가 가속 페달을 누르면 페달의 센서가 전자 제어 장치에 신호를 보내는 것이다. 이 제어 장치는 엔진 속도, 차량 속도 및 페달 위치와 같은 여러 요소를 분석한다. 그런 다음 명령을 스로틀 본체에 전달한다. 스로틀 바이 와이어와 같은 시스템을 테스트하고 검증하는 것이 자동차 산업에서는 과제이다. ISO 26262의 목표는 모든 자동차 E/E 시스템에 통합된 안전 기준을 제공하는 것이다.

ISO 26262의 DIS (International Standard Draft)는 2009년 6월에 발표되었다. 발표 이후, ISO 26262는 자동차 산업에서 중요해졌다. 공개된 표준 초안이 있기 때문에, 법률가는 ISO 26262를 최신 기술로 취급한다. 최신 기술은 특정 시대에 최고 수준의 디바이스 또는 프로세스라는 뜻이다. 독일 법률에 따라 자동차 제조업체는 일반적으로 제품의 오작동으로 인한 사람의 손해에 대해 책임을 진다. 최신 기술로 오작동을 감지할 수 없는 경우는 면책된다.

 

ISO 26262를 구현하면 공통 표준을 활용하여 시스템의 안전성을 측정할 수 있다. 또한 표준이 제공하는 공통 용어를 통해 시스템의 특정 부분을 가리킬 수도 있다. 이는 안전이 필수적인 기타 산업 분야와 마찬가지로, 공통 표준으로 시스템의 안전성을 측정하는 것이다.

 
 
 

 

 

 

ISO 26262의 주요 구성요소

 

ISO 26262는 단계 시스템으로 시스템, 하드웨어, 소프트웨어 레벨에서 기능 안전을 관리하고 제품 개발을 조절한다.

ISO 26262 표준은 개념 개발부터 폐기에 이르기까지 제품 개발 과정 전반에 걸쳐 규정 및 권장사항을 제공한다. 시스템 또는 구성요소에 허용 가능한 위험 수준을 할당하고 전체 테스트 프로세스를 문서화하는 방법을 자세히 설명한다. 일반적으로 ISO 26262는 다음을 지원한다.

  • 자동차 안전 수명 주기 (관리, 개발, 생산, 운영, 서비스, 폐기)를 제공하고 이러한 수명 주기 단계에서 필요한 작업을 맞춤화할 수 있도록 지원한다.
  • 위험 유형 (자동차 안전성 레벨, ASIL)을 결정하는 자동차에 특화된 위험 기반 접근법을 제공한다.
  • ASIL을 사용하여 허용 가능한 잔류 위험도를 달성하기 위해 필요한 안전 요구사항을 지정한다.
  • 충분하고 허용 가능한 수준의 안전성을 보장하기 위한 검증 및 확인 조치에 대한 요구사항을 제공한다.

 

 

자동차 안전 수명 주기

ISO 26262는 10개의 볼륨으로 구성된다. 시리즈 양산 자동차를 위해 설계되었으며 자동차 관련 섹션이 포함되어 있다. 예를 들어, ISO 26262의 섹션 7은 생산, 운영, 서비스 및 폐기에 대한 안전 요구사항을 제공한다.

 

 

ISO 26262 자동차 안전 수명 주기는 전체 생산 수명 주기를 설명한다. 여기에는 안전 관리자, 안전 계획 개발과, 안전 검토, 감사 및 평가를 포함한 확인 조치의 정의가 포함된다. 이러한 요구사항은 E/E 시스템 및 요소의 개발에 사용되기 위한 것이다.

 

 

 

자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level)

ASIL은 ISO 26262 규정 준수의 핵심 요소이다. ASIL은 개발 과정의 시작 시에 결정된다. 시스템의 의도된 기능이 가능한 위험 관점으로 분석된다. ASIL은 "오류가 발생하면 운전자와 관련 도로 사용자에게 어떤 일이 발생하겠습니까?"라고 질문한다.

 

 

 

 

 

노출 확률, 운전자가 제어할 수 있을 확률, 치명적 사건이 발생할 때 그 결과의 심각성을 고려하여 이러한 위험을 추정하면 ASIL이 된다. ASIL은 시스템에서 사용되는 기술은 다루지 않으며, 운전자 및 기타 도로 사용자에게 미치는 피해에만 집중한다.

 

 

 

 

 

각 안전 요구사항에는 A, B, C 또는 D의 ASIL이 할당되며, D가 안전이 가장 중요한 프로세스와 가장 엄격한 테스트 규정을 나타낸다. ISO 26262 표준은 부품의 ASIL을 통해 최소 테스트 요구사항을 지정한다. 이는 테스트에 사용해야 하는 방법을 결정하는 데 도움이 된다. ASIL이 결정되면 시스템의 안전 목표가 결정된다. 이는 안전을 보장하기 위해 필요한 시스템 동작을 정의한다.

예를 들어, 앞 유리 와이퍼 시스템을 생각해보자. 안전 분석은 와이퍼 기능의 손실이 드라이버의 시야에 어떤 영향을 미치는지 결정한다. ASIL은 특정 수준의 무결성을 달성하기 위해 적절한 방법을 선택할 수 있도록 지침을 제공한다. 이 도움은 현재의 안전성 관련 절차를 보완하기 위한 것이다. 현재 자동차는 높은 안전성 수준을 달성하도록 제조되며, ISO 26262는 산업 전반에서 특정 방법을 표준화하기 위한 것이다.

 
 
 

하드웨어 부품 인증

하드웨어 인증에는 부품이 전체 시스템과 연관하여 어떻게 동작하는지 보여주고 장애 모드를 평가하는 두 가지 주 목표가 있다. 기본 하드웨어 부품에는 표준 인증을 사용하면 되지만, 보다 복잡한 부품에는 ASIL 분해 및 테스트를 통한 평가가 필요하다. 하드웨어 부품은 일반적으로 다양한 환경 및 작동 조건에서 부품을 테스트하여 인증된다. 그런 다음 테스트 결과를 다양한 수치 해석법으로 분석하고 테스트 절차, 가정 및 입력 기준과 함께 인증 보고서로 제시한다.

 
 
 

소프트웨어 구성요소 인증

소프트웨어 구성요소를 인증하는 데는 기능적 요구사항, 리소스 사용량, 장애 및 과부하 상황에서 소프트웨어 동작을 예측하는 등의 활동이 포함된다. 어플리케이션 개발 시 인증된 소프트웨어를 사용하면 이 과정을 크게 단순화할 수 있다. 인증된 소프트웨어 구성요소는 일반적으로 여러 프로젝트에서 재사용되는 제품으로, 라이브러리, OS, 데이터베이스, 드라이버 소프트웨어를 포함한다.

표준을 따라 소프트웨어 구성요소를 인증하려면, 일반적인 작동 조건에서의 사용과 더불어, 결함을 삽입하여 비정상적인 입력에 어떻게 반응하는지도 확인해야 한다. 런타임 및 데이터 에러와 같은 소프트웨어 에러는 설계 과정 전반에서 분석되고 해결된다.

 
 
 
 
 

"사용 과정에서 증명" 논리

 

하드웨어 및 소프트웨어 구성요소는 “사용 과정에서 증명” 논리를 통해 ISO 26262 요구사항을 준수할 수 있다. 이 항목은 구성요소가 사건 없이 다른 어플리케이션에서 사용되었을 때 적용된다. ISO 26262는 사용이 증명된 오래된 시스템도 다룬다. 많은 경우, 이미 수백만 대의 차량에 배포된 시스템에 표준을 적용하는 것은 의미가 없다. 예를 들어, 현재 생산된 자동차의 많은 시스템은 ISO 26262가 발표되기 전에 높은 수준의 안전성 수준에 맞게 제조된 것이다. 실제 세계에서 사용되는 안전성이 중요한 이러한 구성요소는 안정적으로 동작할 수 있다는 것을 증명했다.  이전 차량에서 변경되지 않은 안정적인 시스템도 ISO 26262로 인증될 수 있다. 유사한 사용과 광범위하게 배포된 이전 사용을 통한 인증을 조합하면 전체 시스템의 복잡도를 크게 줄일 수 있다.

 
 
 
 

현재 프로세스에 적용하기

ISO 26262와 같은 새로운 표준을 적용할 때 발생하는 주요 과제 중 하나는 이 기준을 현재 프로세스에 적용하는 것이다. 일반적으로 새로운 표준에서는 파일럿 프로젝트로 표준의 적용과 그것이 현재 프로세스에 미치는 영향을 보인다. 지금까지의 결과를 보면 ISO 26262가 현재 산업의 안전 기준에 잘 적응하는 것으로 보인다. 기업들은 이미 개발 과정의 초기에 위험 평가와 분석을 수행하고 전 과정에서 테스트하는 것의 장점을 확인하고 있다.

ISO 26262를 구현하려는 기업은 개발 과정의 초기에 위험을 분석하고, 적절한 안전 요구사항을 설정하고, 개발 과정에서 테스트를 통해 이러한 요구사항을 충족하는 것이 목표라는 사실을 이해해야 한다.

 

 

테스트 도구 인증

ISO 26262 개발 중 테스트는 매우 중요한 요소이다. 안전성 필수적인 시스템은 테스트 시나리오에 적절하게 반응하고 다양한 인간 및 환경 입력에 노출될 때 지정된 안전 동작 범위를 유지해야 한다. 고품질의 테스트 시스템을 사용하면 제품의 성능을 향상하고, 품질과 신뢰성을 향상하며, 반품률을 줄일 수 있다. 오류는 현장이 아닌 생산 과정에 발견되면 그 비용이 10배 감소되고, 생산이 아닌 설계 중에 발견되면 거기에서 다시 10배 감소되는 것으로 추정된다. 테스트는 결함을 발견하고, 데이터를 수집하여 설계나 프로세스를 개선시킴으로써 기업에 가치를 제공한다. 최신 기술과 최적의 방법론을 이 프로세스에 적용함으로써 혁신을 일으키면 엄청난 효율성 향상 및 비용 절감 효과를 얻을 수 있다. 도구를 지나쳐 시스템의 설계만을 생각하기 쉽지만, 실제로 최종 사용자의 안전에는 도구가 매우 중요하다.

ISO 26262는 널리 알려진 소프트웨어 도구를 사용하면 안전 관련 기능을 제공하는 전기, 전자 및 소프트웨어 요소의 개발에 필요한 작업을 단순화하거나 자동화할 수 있다는 것을 인정한다. 도구 인증 과정의 자세한 내용을 설명하기 전에, 도구 인증의 중요한 부분인 도구 신뢰도를 정의하는 것이 중요하다.

 

 

 

도구 신뢰도

도구의 입력과 출력을 통해 일반적인 (또는 참조) 사용 사례가 개발된다. 이러한 사용 사례를 분석하면 도구 신뢰도 (TCL)가 도출된다. TCL과 ASIL은 소프트웨어 도구에 필요한 인증 수준을 결정합니다. 신뢰도를 결정하는 데는 두 가지 영역이 평가된다.

  • 소프트웨어 도구의 오작동과 잘못된 출력이 개발하려는 안전 관련 항목이나 요소에 할당된 안전 요구사항을 위반할 가능성
  • 출력에서 이러한 에러를 방지하거나 감지할 확률

도구 신뢰도는 TCL1, TCL2, TCL3, TCL4로 결정되며, TCL4가 가장 높은 신뢰도이고 TCL1은 가장 낮은 신뢰도이다.

 

 

 

도구 인증 프로세스

ISO 26262에 따라 도구를 인증하려면 여러 요구사항이 있습니다. 예를 들어, ASIL은 이미 결정되어 있어야 합니다. 또 몇 가지 예를 들자면, 도구에는 사용자 매뉴얼, 고유한 식별 및 버전 번호, 기능, 설치 프로세스, 환경에 대한 설명이 있어야 한다. ISO 26262는 다음과 같은 도구 인증 결과물을 요구한다.

  • 소프트웨어 도구 인증 계획
  • 소프트웨어 도구 문서
  • 소프트웨어 도구 분류 분석
  • 소프트웨어 도구 인증 보고서

 

 

소프트웨어 도구 인증 계획

소프트웨어 도구 인증 계획 (STQP)은 안전 관련 항목의 개발 수명 주기 초기에 생성된다. 이는 소프트웨어 도구의 인증을 계획하고, 도구가 필요한 신뢰도를 만족하는지 보여주는 사용 사례를 나열하는 두 가지 영역에 중점을 둔다.

STQP에는 소프트웨어 도구의 고유한 식별 및 버전 번호, 사용 사례, 환경, 설명, 사용자 매뉴얼, 미리 정의된 ASIL과 같은 항목이 포함되어야 한다.

 

 

 

소프트웨어 도구 분류 분석

소프트웨어 도구 분류 분석 (STCA)의 주요 목적은 도구 신뢰도를 결정하는 것이다. TCL을 결정하는 데는 두 가지 주요 요소가 있다. 첫 번째는 도구 영향 (TI)이다. 두 번째는 도구 에러 감지 (TD)이다. 이 두 요소를 기반으로 적절한 TCL가 정해진다.

TI1 또는 TI2는 도구 영향의 두 등급이다. TI1은 오작동된 소프트웨어 도구가 안전 요구사항을 위반할 가능성이 없다는 논리를 주장할 수 있을 때 선택된다. 그 외 모든 경우에는 TI2가 선택된다.

예를 들어, 도구가 특정 소프트웨어 함수에 대한 문서에서 오타를 생성한다고 가정해보자. 이는 성가신 일에 불과하며 테스트 대상 안전 요구사항을 위반하지 않는 것으로 간주할 수 있다. 결과적으로 도구 영향 등급이 TI1이 됩니다. 도구가 시스템의 동작을 어떤 식으로든 변경할 수 있는 에러를 생성하는 경우, TI2가 선택된다.

 

도구 에러 감지는 TD1에서 TD3로 분류된다. TD1은 도구의 에러 감지 능력에 대한 신뢰도가 높은 경우 선택되며, TD3은 예를 들어, 무작위로만 에러를 감지할 수 있는 경우와 같이 에러 감지 신뢰도가 매우 낮은 경우 선택된다.

소프트웨어 도구가 설계 모델에 에러가 있는지 확인하는 예를 들어볼 수 있다. 이 경우 모델의 정적 분석이 수행된다. 정적 분석은 좋은 방법이지만, 모델에서 가능한 모든 위반 사항을 확인할 수는 없다. 또한 이는 모델이 올바르지 않다는 것을 의미하지는 않으며, 단지 추가적인 테스트가 필요하다는 뜻이다. 이 시나리오는 결과적으로 '중간' 신뢰도, 즉 TD2가 된다.

 

 

 

 

 

 

 

 

 

 

728x90

'자동차' 카테고리의 다른 글

ASPICE 3.1의 CL  (2) 2023.10.06
ASPICE  (8) 2023.09.06
CAN과 CAN FD  (0) 2023.09.04
ASIL  (0) 2023.09.04
CAN 통신  (0) 2023.09.01
profile

StudyRepository

@Minseo26262

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!