자동차 기능안전표준 ISO26262 개요 및 구성

자동차 기능안전이란 무엇인가요?

자동차 산업 및 기술이 나날이 복잡해지면서 사람이 단순 관리만으로는 자동차의 안전과 관리에 한계가 오면서 안전 관련 규약에 대한 필요성이 강하게 대두되었습니다. 

ISO 26262 또는 자동차 기능 안전성 국제 표준은 자동차에 탑재되는 E/E (Electrical and/or Electronic) 시스템의 오류로 인한 사고방지를 위해 ISO에서 제정한 자동차 기능 안전 국제 규격이다. ISO 26262는 프로세스 모델과 함께 요구되는 활동, 유무형의 증거물, 그리고 개발과 생산에 사용되는 방식을 정의한다.

기능안전은 각 제품 개발 단계에 통합되는데, 그 범위는 명세 specification로부터 시작하여 설계 design, 구현 implementation, 통합, 검증 verification, 인증 validation, 그리고 생산을 위한 출도 단계에 이른다. ISO 26262 표준은 기능 안전 표준 IEC 61508을 자동차 전기/전자 시스템에 적용시킨 것이다. ISO 26262는 모든 자동차용 전기/전자 안전 관련 시스템의 제품 수명 전 주기에 걸쳐 적용 가능한 자동차용 장비의 기능안전을 정의한다.

초판은 2011년 11월 11일에 발표되었고, 최대 중량 3500kg 까지의 일관 생산 승용차에 설치되는 전기/전자 시스템에 적용될 예정이다. (시험제작차나 장애인을 위해 개조된 차량, 표준 제정 이전에 생산된 차량은 이에 해당되지 않음) 표준을 적용하는 것은 자율에 따르나 실제로는 점차로 더 많은 완성차 업체에서 그 부품공급업체들에게 새로운 프로젝트에 사용할 것을 요구하고 있다. 이는 전기 전자 시스템의 오작동 거동에 의해 일어날 수 있는 위험을 다루는 것을 목표로 한다.

그 부모 표준인 IEC 61508처럼 ISO 26262는 위험 기반 안전 표준으로, 해로운 작동 상황의 위험을 정량적으로 계산하고 체계적인 고장을 회피하거나 통제하고 임의의 하드웨어 고장을 감지 또는 제어하거나 그 영향을 완화하기 위한 안전 수단을 정의한다.

ISO TC22/SC32/WG8에서 다루고 있다.   - 위키백과

 

ISO 26262의 Draft International Standard (DIS)는 2009년 6월에 발표되었습니다. 이 초안이 발표되고 난 후, ISO 26262는 자동차 업계의 큰 관심을 받게 되었습니다. 왜냐하면, 이 공인된 ISO 26262의 초안을 변호사들이 최신 인증 기술로 인정하여 이용할 수 있었기 때문입니다. 이러한 최신 기술은 특정 시간에서 디바이스 또는 프로세스의 최상위 개발 단계입니다. 독일 법에 따르면 자동차의 오작동으로 인한 인적 피해에 대해서는 자동차 제조업체가 법적 책임이 따르게 되지만, 이러한 경우, 최신 기술을 통해 오작동을 발견되지 않을 경우에는 법적 책임이 없어지게 됩니다.

이와 같이, ISO 26262를 따르게 되면 공인된 표준을 활용하여 시스템을 사용할 때, 얼마나 안전한지를 판단할 수 있게 됩니다. 또한 이러한 표준은 공통된 용어를 제공하기 때문에 자신의 시스템의 특정 부분을 공동된 용어로 표현할 수도 있습니다. 즉, 기타 안전이 중요한 어플리케이션 영역과도 일맥상통합니다. 즉, 공인된 표준은 시스템이 얼마나 안전한지 판단할 수 있는 방법을 제공합니다.

ISO 26262는 3.5t 이하 승용차의 에어백 시스템, 브레이크 제어시스템 등에 적용되며, 아래 그림과 같이 총 10개 파트, 43개 요구사항으로 구성되어 있다. 주요 내용은 다음과 같다.① 안전 문화 및 조직 체계 수립을 위한 안전관리 요구사항② 시스템, 소프트웨어, 하드웨어 개발 및 양산/폐기 단계별 절차 및 기법③ ASIL(Automotive Safety Integrity Level) 기반의 설계, 테스팅, 안전분석 등의 기법 별 적용 기준④ 형상관리, 변경관리, 문서화 등의 지원(Supporting) 프로세스

 

Automotive Safety Integrity Level (ASIL)

ASIL은 ISO 26262 준수를 확인하는 핵심 사항입니다. ASIL은 개발 프로세스가 시작될 때 결정되어져서 이에 맞도록 시스템을 설계해야 합니다. 시스템의 각 기능들은 일어날 수 있는 위험에 따라 분석됩니다. ASIL은 “실패할 경우, 운전자와 다른 운전자에게 어떤 일이 발생할까요?”라는 질문을 합니다.

위험 노출 확률, 운전자가 수행 가능한 제어력, 심각한 문제가 발생할 경우 일어날 수 있는 결과의 심각성들이 조합된 내용을 기초로 위험성 평가가 ASIL로 이어집니다. ASIL은 시스템에서 사용되는 기술들을 다루지는 않고 각 제조사가 알아서 구현될 수 있도록 현존하는 기술을 사용합니다. ASIL은 운전자와 도로 위의 다른 운전자들에게 미치는 위험성에 초점을 맞추어 위험성의 회피방안이 되어 있는지를 확인하다.

각 안전 요구사항은 ASIL의 A, B, C ,D등급으로 나뉩니다. 그 중에서 D등급이 안전이 중요한 프로세스와 엄격한 테스트 규제를 가지는 등급입니다. ISO 26262 표준은 컴포넌트의 ASIL의 구성요소를 기반으로 하여 최소한의 테스트 요구사항을 상세히 파악합니다. 따라서 테스트에 반드시 사용되어야 하는 방식을 판단하는 데 도움이 됩니다. ASIL이 결정되고 나면, 시스템에 대한 안전 목표가 형성됩니다. 이로써 안전을 보장하기 위해 필요한 시스템 동작이 정의됩니다.

에어백, 윈드실드 그리고 전방카메라등 오작동할 경우 운전자의 시야나 동작에 끼칠 영향을 안전 분석이 결정하게 될 것입니다. ASIL은 특정 레벨의 제품 무결성에 도달에 적합한 방식을 결정하기 위한 가이드를 제공합니다. 이 가이드는 현재 안전 방식을 보완하기 위해 제작되었습니다. 현재 자동차들은 이미 높은 안전성을 가지도록 제조되고 있지만, ISO 26262는 업계들 간의 특정한 방식들을 표준화하기 위해 제정되었습니다. 각 제조사별로 안전규격을 표준화하여 모든 제조사가 같은 레벨의 안정성을 제공하도록 하는데 그 목적이 있습니다.

 

자동차 사이버보안 (Cyber-security) ISO21434가 뭔가요?

 

ASPICE(Automotive Spice) 프로세스와 CyberSecurity의 연관성

자동차 ASIL 등급과 기준과 차이점(ASIL B, D, QM등급)