자동차 ASIL 등급과 기준과 차이점(ASIL B, D, QM등급)

자동차 ASIL 등급과 기준과 차이점(ASIL B, D, QM등급)

ASIL은 자동차 안전 무결성 수준을 나타내는 용어입니다. 도로 차량의 기능 안전을 위해 ISO 26262 표준에 정의된 위험 분류 시스템이라고 이해하시면 됩니다.

이 표준은 기능 안전을 "전기 또는 전자 시스템의 오작동 동작으로 인한 위험으로 인한 불합리한 위험이 없음"으로 정의합니다. ASIL은 자동차 부품이 ISO 26262를 준수하기 위해 위험 가능성과 허용 가능성을 기반으로 하는 안전 요구 사항을 설정하고 있습니다.

오늘은 자동차 ASIL 등급과 기준과 차이점(ASIL B, D, QM등급)에 대해서 알아보도록 하겠습니다.

1. 자동차 ASIL 등급과 기준

반응형

ASIL관련 ISO 26262제정배경을 먼저 알아보겠습니다. 
- EU의 ECU(자동차 전자제어 시스템) 의무 장착 강화 (운전 보조 시스템, 통합형 안전 시스템 의무 장착)
- 해외 자동차 업계의 분쟁 및 사고에서 SW와 관련된 문제가 대두되고 있음(Ex. ECU내의 SW 결함이 원인이 된 도요타의 급발진 사건 등)
- 자동차 ECU의 급속한 증가와 네트워크화로 기능 안전성의 중요성이 증대됨.
- 복수의 Supplier에 의한 ECU 개발 및 자동차 전자 제어 시스템의 복잡도 증가로 개발 프로세스의 효율 제고 및 비용 절감을 위한 표준화 필요성이 증대됨.
- 일반 전기 전자장치의 포괄적인 기능 안전 규격인 IEC 61508은 자동차 분야의 특수성을 반영하지 못함.

이러한 배경하세어 ISO 26262-A, B, C 및 D에 의해 식별된 4 개의 ASIL 등급이 있습니다. ASIL A는 가장 낮은 등급을 나타내고 ASIL D는 가장 높은 수준의 자동차 위험을 나타냅니다.

에어백, 잠금 방지 브레이크 및 파워 스티어링과 같은 시스템은 고장과 관련된 위험이 가장 높기 때문에 안전 보증에 적용되는 가장 엄격한 ASIL-D 등급이 필요합니다. 

안전 스펙트럼의 다른 쪽 끝에서 후방 조명과 같은 구성 요소는 ASIL-A 등급만 필요합니다. 헤드 라이트와 브레이크 라이트는 일반적으로 ASIL-B이고 크루즈 컨트롤은 일반적으로 ASIL-C입니다.

ASIL등급은 노출성( Exposure), 부상정도(Severity), 조작가능성(Control)의 3가지 위험요소 분석을 기준으로 나뉘어 집니다. 

아래 ASIL 등급의 차이점에서 자세히 설명드리겠습니다.

2.  ASIL 등급의 차이점(ASIL QM, A, B,C, D)

ASIL등급은 아래의 3가지 위험요소( 노출성, 부상정도, 조작가능성)의 기준에 해당되는 숫자의 합을 기준으로 나뉘어집니다.

	ASIL 등급
6이하	QM(Quality Management)
7	ASIL A
8	ASIL B
9	ASIL C
10	ASIL D

ISO 26262는 OEM 입장에서는 PL법에 대한 책임 설명을 위한 중요한 증거인 Safety Case Report에서 Safety Plan, Hazard analysis & Risk assessment, Safety Requirement, Verification results, 테스트 결과 등 약 30개 항목의 문서가 들어 갑니다

특히 Safety Requirement가 트레이서빌리티(Traceability)로 관리 되고 있음을 증명해야 합니다. 트레이서빌리티를 쉽게 설명하면, 보고서를 작성할 때 수정, 삭제, 추가된 내용들이 남아 있어야 합니다..

3. ASIL QM(Quality Management)은 ISO 26262를 준수하지 않아도 되나?

그렇지 않습니다. ISO 26262 Part 2 Annex D의 Verification reviews를 보면 Part 3-7의 Hazard and & Risk assessment 단계나 ASIL (Automotive Safety Integrity Level) 분할에서 해당 부분이 QM임을 증명을 해야 합니다.

자동차 안전성 레벨 ASIL은 Safety Case Report에서 제품 개발에서 사회가 허용할 수 있는 정도(Acceptable Risk)로 리스크 절감을 했다고 증명할 수 있는 하나의 기준입니다.

Safety Case Report는 자동차 사고에 대한 PL법 소송에서 OEM이 제출할 서류로 설명 책임(Accountability)에 대한 법적 증거 자료입니다.

지난 2010년 화두가 된 토요타 사건에서도 NASA의 조사 결과 전자제어 스로틀에 대한 안전성 책임 문제가 없다는 결론이 내려졌지만, 책임 설명(Accountability)이 부족해 재판에서 이길 수 패소하였습니다.

4. 차량용 반도체의 안전 등급

차량용 반도체 역시 ASIL이라는 등급이 매겨져 관리됩니다. ASIL은 ‘Automotive Safety Integration Level’의 약자로, A부터 D등급까지 시스템과 똑같이 나뉘어 집니다.

ASIL D는 가장 높은 수준의 안전성이 보장되어야 하는 칩에 요구되는 등급입니다. 등급이 높아질수록 설계를 구현할 때 드는 노력과 어려움도 크겠지만 가격도 함께 올라갑니다.

ISO 26262에서는 특정 수준의 ASIL 등급을 달성하는 방법으로 ASIL 디컴포지션(Decomposition)이라는 방법론을 제시하고 있습니다. 

특정 칩에 요구되는 등급이 ASIL D라도 안전에 치명적인 부분을 같은 안전 목표를 가진 다른 칩에 일종의 파티셔닝을 통해 분배하여 특정 칩에 요구되는 ASIL 등급을 낮춰서 빠르게 달성할 수 있도록 여지를 주는 것입니다.

▶ 반도체 설계 안정성 검증
반도체 설계 안정성 검증은 폴트 캠페인(Fault Campaign)이라는 형태로 진행됩니다. 이 폴트 캠페인은 외부 영향으로 인해 일어날 수 있는 페일이나 폴트들을 모델링하여 실제로 설계 내에서 그런 것들이 발생했을 때 어떠한 형태로 설계의 동작이 이뤄지는지를 검증하는 형태입니다.

일명 폴트 인젝션(Fault Injection)이라는 기법을 통해 폴트를 설계 내에 주입하고, 그에 대한 반응을 살피게 되는데요. 기본적으로 폴트 인젝션은 설계 내에서 가지고 있는 모든 넷과 포트에 대해서 이뤄집니다.

하지만 SoC 레벨의 칩 설계의 경우 수천 수억 개의 넷과 포트가 존재합니다. 이 모든 것에 폴트 캠페인을 진행한다는 것은 거의 불가능에 가깝습니다. 하지만 여기서 중요한 건 폴트 인젝션을 통하여 안전 검증을 진행해야 할 부분들이 안전에 직결되는 부분이라는 것입니다.

멘토는 안전과 연관된 폴트 리스트들에 대한 최적화 기법을 제공하고 있습니다. 정말로 안전에 영향을 미칠 수 있는 부분에 대한 폴트들을 최적화하고 최소화하여 원하는 시간 내에 납품기일을 지키실 수 있도록 많은 지원을 하고 있습니다.

보통의 경우 반도체 업체에서는 ASIL등급과 관련한 내용을 반도체에 적용했다는 문서를 제공하고 이를 자동차 제조사등과 협의하는 경우도 있습니다. 

5. ASIL의 중요성

ASIL 분석은 차량의 E/E 시스템을 설계할 때 중요한 활동입니다. ASIL은 ISO 26262를 기반으로 한 위험 분류 프레임워크입니다. 

최근에는 SAE가 J2980인 "ISO 26262 ASIL 위험 분류를 위한 고려 사항"을 발표하여 ASIL 분석에 대한 추가적인 지을 제공했습니다.

ISO 26262와 J2980은 계속 발전하고 있습니다. J2980의 개정안 중 하나가 이미 발표되었으며, 더 많은 개정안이 개발 중에 있습니다.

특히 자율주행차량을 포함한 차량의 점점 더 연결된 특성에 대응하기 위해 ASIL 안전 분석 프로세스와 병렬로 소프트웨어 보안 엔지니어링 프로세스를 개발하기 위한 노력이 진행 중입니다.