ISO 26262의 PMHF를 통한 자동차 하드웨어 고장 평가 및 안전 보장

배경과 문제

ISO 26262 표준은 하드웨어 장애로 인한 위험을 사전에 분석하고 관리 방법을 제시함으로써 차량의 안전을 보장하기 위해 제정되었습니다. 특히, 무작위 하드웨어 오류가 안전 목표에 미치는 영향을 평가하는 것이 핵심 요소입니다.

기능 안전은 분석 기법 자체보다, 산출물 간 연결성과 변경 시점의 갱신 속도가 실무 성과를 좌우합니다. 감사/고객 리뷰는 “무엇을 했는가”보다 “근거가 연결되어 있는가”를 봅니다.

핵심 내용

ISO 26262 표준은 하드웨어 장애로 인한 위험을 사전에 분석하고 관리 방법을 제시함으로써 차량의 안전을 보장하기 위해 제정되었습니다. 특히, 무작위 하드웨어 오류가 안전 목표에 미치는 영향을 평가하는 것이 핵심 요소입니다. 이번 포스팅에서는 ISO 26262에서 제시하는 하드웨어 고장 평가 방법을 설명하고 PMHF(Probabilistic Metric for Random Hardware Failures)를 간단하게 소개하겠습니다.

1. 하드웨어 오류 평가의 목적

주요 목표는 하드웨어 오류로 인해 안전 목표를 위반할 위험이 충분히 낮다는 증거를 제공하는 것입니다. 여기서 '충분히 낮다'는 것은 과거에 안전하게 사용되었던 시스템과 비교할 수 있다는 뜻이다.

2. PMHF의 정의와 목적

PMHF는 무작위 하드웨어 오류로 인해 안전 목표를 위반할 가능성을 나타내는 핵심 측정항목입니다. 주요 목적은 다음과 같습니다:

• 하드웨어 설계의 안전성 평가: 하드웨어가 안전 목표를 충족하는지 평가합니다.

• 신규 디자인과 기존 디자인의 비교: 기존 디자인과 비교하여 새로운 디자인의 안전성을 평가하기 위한 지침을 제공합니다.

• 안전 목표 준수 증명: 디자인이 안전 목표를 충족한다는 증거로 사용됩니다.

PMHF는 ASIL(자동차 안전 무결성 수준)을 기반으로 하는 목표 값을 충족해야 하며 SPFM(단일 지점 오류 측정항목) 및 LFM(잠재 오류 측정항목)과 함께 평가됩니다. 하드웨어 아키텍처의 안전성을 종합적으로 평가합니다.

3. PMHF 평가 방법

PMHF는 FMEDA(고장 모드 및 영향 진단 분석) 및 FTA(결함 트리 분석)라는 두 가지 주요 기술을 사용하여 평가됩니다. 이러한 기술은 하드웨어의 논리적 구조와 고장 모드를 분석하고 그 결과를 바탕으로 PMHF 값을 계산합니다. PMHF는 무작위 하드웨어 오류로 인해 안전 목표를 위반할 가능성을 정량적으로 평가합니다.

4. PMHF의 특성 및 응용

• 불확실성: 실패율, 실패 모드, 진단 적용 범위 등 PMHF를 계산하는 데 사용되는 값에는 약간의 불확실성이 있을 수 있습니다.

• 유연한 해석: PMHF 목표 값이 충족되지 않더라도 설계가 합리적으로 안전성을 입증할 수 있다면 여전히 안전한 것으로 간주될 수 있습니다.

• PMHF와 ECC: PMHF는 전체 시스템의 안전 목표를 위반할 가능성을 설명하는 글로벌 접근 방식입니다. 반면 ECC(Evaluation of Each Cause)는 각 장애 원인을 개별적으로 분석하므로 구체적인 장애 원인에 대한 자세한 분석이 필요한 경우에 더 적합합니다.

5. 평가 방법

ISO 26262는 하드웨어 오류를 평가하는 두 가지 방법을 제공합니다.

• PMHF(임의의 하드웨어 오류에 대한 확률적 지표): 이 방법은 무작위 하드웨어 오류가 발생할 때 안전 목표를 위반할 가능성을 정량화합니다. 그 결과를 목표치와 비교하여 안전성을 평가합니다.

• 각 원인 평가(EEC): 이 방법은 개별 하드웨어 구성 요소의 오류 가능성을 평가합니다. 단일 지점 오류, 잔여 오류 및 이중 지점 오류를 개별적으로 평가합니다.

6. 평가에 필요한 정보

이러한 평가를 수행하려면 다음 정보가 감사 대응과 재사용성을 위해 필수입니다.

• 하드웨어 안전 요구사항: 하드웨어가 충족해야 하는 안전 요구사항.

• 하드웨어 설계 사양: 하드웨어의 구조 및 설계에 대한 정보

• 하드웨어 안전 분석 보고서: 하드웨어에 대한 안전 분석 결과.

추가로 기술 안전 개념이나 시스템 아키텍처 설계 사양을 참조할 수 있습니다.

7. 안전목표 위반 평가기준

• 단일 지점 오류 평가: 특정 구성 요소에서 단일 오류가 발생할 때 안전 목표를 위반할 가능성을 평가합니다. 실패 가능성이 낮다는 것이 입증되어야 합니다.

• 잔여 결함 평가: 진단 시스템이 오류를 놓친 경우에도 오류가 발생할 가능성은 여전히 낮아야 허용 가능합니다.

• 이중 지점 오류 평가: 두 개 이상의 오류가 동시에 발생할 가능성을 평가합니다. 고장 가능성과 안전 시스템의 효율성을 모두 고려합니다.

8. 평가 결과 검증

이러한 분석 결과는 ISO 26262 표준에 따라 기술적 정확성과 완전성을 검토표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다. 이 검증 프로세스를 통해 분석이 제대로 수행되었는지, 시스템이 안전 목표를 충족하는지 확인합니다.

9. 결론

ISO 26262의 하드웨어 고장 평가 프로세스와 PMHF는 자동차 시스템의 안전을 보장하는 데 중요한 역할을 합니다. 하드웨어 고장으로 인한 잠재적 위험을 식별하고 적절한 대책을 구현하는 것은 차량 안전을 유지하는 데 필수적입니다. PMHF는 무작위 하드웨어 오류로 인한 위험을 체계적으로 평가하는 데 특히 유용합니다. 이러한 표준을 준수하는 것은 자동차의 안전을 강화하는 데 매우 핵심 요소입니다.

이 게시물이 ISO 26262, 하드웨어 오류 평가 및 PMHF를 더 잘 이해하는 데 도움이 되었기를 바랍니다.

실무 적용 가이드

1. Item/기능 경계를 명확히 하고 HARA 범위를 고정합니다.
2. Safety Goal→요구사항(HW/SW)→검증 케이스를 양방향으로 연결합니다.
3. 설계 변경 시점마다 SPFM/LFM/PMHF와 근거 산출물을 함께 갱신합니다.

체크리스트

• Safety Goal과 검증 케이스가 1:1로 추적되는가?
• 변경 이력(누가/언제/왜)과 승인 근거가 남아 있는가?
• Safety Case 제출 시 “근거 묶음”을 즉시 생성할 수 있는가?

마무리

정리하면 기능 안전은 “완벽한 문서”보다 “연결된 근거와 빠른 갱신”이 품질을 만듭니다. 팀이 반복 가능한 운영 패턴을 갖추는 것이 장기적으로 가장 큰 비용 절감으로 이어집니다.

다음 단계: 프로젝트 산출물 샘플(추적 매트릭스/증적 패키지)이 필요하면 Hermes Solution Technical Briefing을 요청해보세요.