ISO 26262와 SOTIF의 차이점

배경과 문제

이미지 설명: (1) 2024 08 13 16 59 45: 기능 안전 개념을 설명하기 위한 참고 이미지 자동차 기능 안전: ISO 26262 주요 초점 ISO 26262는 자동차 전기전자(E/E) 시스템의 기능 안전에 중점을 두고 차량 내 하드웨어 및 소프트웨어 오류로 인해 발생하는 문제를 예방하고 관리하는 방법을 다룹니다.

기능 안전은 분석 기법 자체보다, 산출물 간 연결성과 변경 시점의 갱신 속도가 실무 성과를 좌우합니다. 감사/고객 리뷰는 “무엇을 했는가”보다 “근거가 연결되어 있는가”를 봅니다.

핵심 내용

이미지 설명: (1) 2024 08 13 16 59 45: 기능 안전 개념을 설명하기 위한 참고 이미지

자동차 기능 안전: ISO 26262

주요 초점
ISO 26262는 자동차 전기전자(E/E) 시스템의 기능 안전에 중점을 두고 차량 내 하드웨어 및 소프트웨어 오류로 인해 발생하는 문제를 예방하고 관리하는 방법을 다룹니다.

목표

• 기능 안전 보장: 장애가 발생한 경우에도 시스템이 안전하게 작동하도록 보장합니다.

• 위험 기반 접근 방식: ASIL(자동차 안전 무결성 수준)을 활용하여 위험 수준을 평가하고 허용 가능한 잔여 위험 수준을 달성하는 데 프로젝트 리스크를 직접 줄입니다.

• 설계 및 제작의 안전성: 설계 및 제작 단계 전반에 걸쳐 안전성 확보를 목표로 합니다.

애플리케이션
ISO 26262는 주로 전자 제어 장치, 충돌 방지 시스템, 전동식 파워 스티어링과 같은 전기 및 전자 시스템을 대상으로 하드웨어 오류 및 소프트웨어 버그와 관련된 위험을 관리하는 데 사용됩니다.

주요 예시

• 조향 보조 시스템 고장: 조향 보조 시스템의 오작동으로 인해 차량이 운전자의 의도와 반대로 방향을 틀게 됩니다.

• 충돌방지 시스템 고장: 충돌방지 센서의 오작동으로 인해 충돌방지 기능이 작동하지 않습니다.

• 의도하지 않은 에어백 전개: 전자 고장으로 인해 에어백이 의도치 않게 전개되었습니다.

전체 수명 주기
ISO 26262는 개념 설계 단계부터 생산, 운영, 유지 관리, 폐기에 이르기까지 전체 제품 수명 주기를 다루며 모든 단계에서 안전을 보장합니다.

방법

• 위험 분석 및 ASIL 분류: 위험 요소를 식별하고 해당 위험의 심각도를 평가하여 그에 따라 ASIL 등급을 지정합니다.

• 시스템 개발 및 검증: 각 단계에서 요구 사항이 충족되는지 확인하여 시스템이 예상대로 작동하는지 확인합니다.

• 검증 및 검토: 지속적인 검증과 검토를 통해 시스템의 안전성을 지속적으로 점검합니다.

의도된 기능의 안전성: ISO/PAS 21448

주요 초점
SOTIF는 시스템의 의도된 기능이 예상대로 작동하지 않을 때 발생할 수 있는 위험에 중점을 두고, 예상치 못한 상황에서의 기능 제한이나 상호 작용과 관련된 안전 문제를 해결합니다.

목표

• 비고장 상태에서 안전 보장: 시스템이 성능 한계 내에서 작동하거나 예상치 못한 상황에서도 안전을 보장하는 것을 목표로 합니다.

• 예상치 못한 상황에 대한 대응: 불확실한 상황에서 시스템이 적절하게 대응할 수 있도록 하는 데 중점을 둡니다.

애플리케이션
SOTIF는 주로 자율주행 자동차 및 첨단 운전자 지원 시스템(ADAS)에 사용하도록 고안되었습니다. 자율주행차의 안전 보장에 중점을 두고 성능 제한이나 예상치 못한 환경 변화로 인한 위험을 해결합니다.

주요 예시

• 환경 변화에 대한 대응: 차량이 예상치 못한 기상 조건이나 도로 변화에 적절하게 대응하지 못합니다.

• 센서 및 알고리즘 성능 제한: 차량 센서가 잘못된 데이터를 수집하여 오작동을 일으킵니다.

• 사람에 의한 오용: 사용자가 의도하지 않게 시스템을 오용할 경우의 위험을 관리합니다.

전체 수명주기
SOTIF는 설계, 검증, 검토를 포함한 전체 개발 수명주기를 다루며 설계 단계에서 불확실성을 제거하기 위해 노력하고 있습니다. 시스템이 의도한 기능을 수행하는 동안 발생할 수 있는 위험을 줄이려면 검증과 시뮬레이션이 필수적입니다.

방법

• 시뮬레이션 및 테스트: 다양한 시나리오를 시뮬레이션하여 시스템이 예상치 못한 상황에 어떻게 반응하는지 테스트합니다.

• AI 및 기계 학습 사용: 대규모 데이터 세트를 분석하여 차량이 복잡한 실제 환경에서 어떻게 반응할지 예측합니다.

• 성능 제한 평가: 시스템의 기능 제한을 식별하고 예상치 못한 상황에서의 위험을 평가합니다.

ISO 26262 및 SOTIF는 자동차 시스템의 안전을 보장하고 안전의 다양한 측면을 다루는 핵심 표준입니다. ISO 26262는 하드웨어, 소프트웨어를 포함한 전기 및 전자 시스템 내 오류 발생 시 안전에 중점을 두고 있으며, SOTIF는 오류가 없더라도 발생할 수 있는 위험 관리에 중점을 두고 있습니다. 이러한 표준은 상호 보완적이며 자율주행차와 같이 매우 복잡한 시스템의 안전을 보장하는 데 중요한 역할을 합니다.

실무 적용 가이드

1. Item/기능 경계를 명확히 하고 HARA 범위를 고정합니다.
2. Safety Goal→요구사항(HW/SW)→검증 케이스를 양방향으로 연결합니다.
3. 설계 변경 시점마다 SPFM/LFM/PMHF와 근거 산출물을 함께 갱신합니다.

체크리스트

• Safety Goal과 검증 케이스가 1:1로 추적되는가?
• 변경 이력(누가/언제/왜)과 승인 근거가 남아 있는가?
• Safety Case 제출 시 “근거 묶음”을 즉시 생성할 수 있는가?

마무리

정리하면 기능 안전은 “완벽한 문서”보다 “연결된 근거와 빠른 갱신”이 품질을 만듭니다. 팀이 반복 가능한 운영 패턴을 갖추는 것이 장기적으로 가장 큰 비용 절감으로 이어집니다.

다음 단계: 프로젝트 산출물 샘플(추적 매트릭스/증적 패키지)이 필요하면 Hermes Solution Technical Briefing을 요청해보세요.