한 줄 정리: 이 Hermes 솔루션 블로그 게시물에서는 ISO 26262 표준을 간략하게 개요하고 기능 안전 개발의 출발점이자 안전 목표 설정 프로세스인 HARA(위험 분석 및 위험 평가) 방법론을 자세히 실무 기준으로 구조화하겠습니다. 또한 정의된 안전 목표가 달성되었는지 확인하는 데 사용되는 검증 방법도 실무 기준으로 구조화하겠습니다.
이 Hermes 솔루션 블로그 게시물에서는 ISO 26262 표준을 간략하게 개요하고 기능 안전 개발의 출발점이자 안전 목표 설정 프로세스인 HARA(위험 분석 및 위험 평가) 방법론을 자세히 실무 기준으로 구조화하겠습니다. 또한 정의된 안전 목표가 달성되었는지 확인하는 데 사용되는 검증 방법도 실무 기준으로 구조화하겠습니다.
기능 안전은 분석 기법 자체보다, 산출물 간 연결성과 변경 시점의 갱신 속도가 실무 성과를 좌우합니다. 감사/고객 리뷰는 “무엇을 했는가”보다 “근거가 연결되어 있는가”를 봅니다.
이 Hermes 솔루션 블로그 게시물에서는 ISO 26262 표준을 간략하게 개요하고 기능 안전 개발의 출발점이자 안전 목표 설정 프로세스인 HARA(위험 분석 및 위험 평가) 방법론을 자세히 실무 기준으로 구조화하겠습니다. 또한 정의된 안전 목표가 달성되었는지 확인하는 데 사용되는 검증 방법도 실무 기준으로 구조화하겠습니다.
ISO 26262의 기본 목적은 자동차 E/E 시스템의 오작동으로 인해 발생하는 불합리한 위험을 식별, 평가, 관리하여 사고를 예방하는 것입니다. 이는 단순한 기술 사양이 아니라 전체 개발 수명주기, 요구 사항 정의, 증거 관리, 특정 방법론에 대한 프로세스 모델을 포괄하는 포괄적인 프레임워크입니다.
처음에는 최대 3,500kg의 승용차로 제한되었으나, 2018년에 출판된 두 번째 버전에서는 모페드를 제외한 모든 도로 차량을 포함하도록 범위를 확장했습니다. 반도체 안전에 대한 지침(11부)과 오토바이에 대한 적용(12부)에 대한 지침이 추가되면서 표준의 포괄성이 더욱 강화되었습니다.
ISO 26262는 안전 수명주기 모델을 기반으로 합니다. 이는 안전 관련 활동이 초기 개념 단계부터 개발(시스템, 하드웨어, 소프트웨어), 생산, 운영, 서비스, 최종 폐기에 이르기까지 전체 제품 수명주기에 걸쳐 체계적으로 수행되어야 함을 의미합니다.
V-Model 개발 프로세스는 이러한 안전 수명주기 활동을 시각적으로 표현하고 개발 단계와 검증 단계 간의 관계를 명확하게 표시하는 데 널리 사용됩니다. V-모델은 개발 프로세스를 V자 형태로 묘사합니다. 왼쪽의 하향 경로는 요구사항 정의부터 세부 설계 및 구현까지의 개발 활동을 나타내고, 오른쪽의 상향 경로는 각 개발 단계의 결과에 대한 검증 및 통합 활동을 나타냅니다.
HARA(위험 분석 및 위험 평가)는 ISO 26262 표준의 3부(개념 단계)에서 수행되는 핵심 활동입니다. 개발 중인 품목의 오작동으로 인해 발생할 수 있는 잠재적 위험을 체계적으로 식별하고, 관련 위험을 평가하며, 이러한 위험을 완화하기 위해 안전 목표(Safety Goals)라고 하는 최고 수준의 안전 요구 사항을 도출하는 프로세스입니다.
HARA는 기능 안전 개발 프로세스의 시작점입니다. HARA에서 파생된 안전 목표 및 ASIL(자동차 안전 무결성 수준) 등급은 모든 후속 개발 및 검증 활동의 방향과 엄격함을 결정합니다.
HARA는 일반적으로 다음 단계로 구성됩니다.
이미지 설명: (1) HARA %ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4 %EB%8B%A8%EA%B3%84 svg: 기능 안전 개념을 설명하기 위한 참고 이미지
항목 정의: 분석 중인 시스템 또는 기능에 대한 범위, 기능적 동작, 경계 조건 및 외부 시스템과의 인터페이스를 명확하게 정의합니다.
상황 분석 및 위험 식별: 다양한 운영 시나리오(예: 고속도로 주행, 시내 주행, 주차)를 분석하고 각 시나리오에서 품목 오작동으로 인해 발생할 수 있는 잠재적 위험을 식별합니다.
위험 이벤트 분류: 식별된 위험을 특정 운영 상황과 결합하여 구체적인 위험 이벤트(예: '고속도로 주행 중 브레이크 시스템의 완전한 고장')를 정의하고 잠재적인 결과를 예측합니다.
위험 평가 및 ASIL 결정: 각 위험 이벤트에 대해 심각도(S), 노출(E), 제어 가능성(C)의 세 가지 요소를 평가하여 ASIL 등급(QM, A, B, C, D)을 결정합니다.
안전 목표 정의: 평가된 위험을 허용 가능한 수준으로 줄이는 데 필요한 최고 수준의 안전 목표를 정의합니다.
ASIL 판단의 핵심 요소인 심각도(S), 노출(E), 제어 가능성(C)에 대한 평가 기준은 다음과 같습니다.
심각도(S): 위험한 사건이 발생할 경우 운전자, 승객 또는 기타 도로 이용자가 입을 수 있는 부상의 정도를 S0(부상 없음)부터 S3(생명을 위협하거나 치명적인 부상)까지 평가합니다.
노출(E): 차량이 위험한 사건으로 이어질 수 있는 특정 작동 상황에 있을 확률로, E0(매우 가능성 없음)부터 E4(높음 가능성)까지 등급이 매겨집니다.
제어 가능성(C): 위험한 사건이 발생할 경우 부상이나 손해를 방지하거나 완화하기 위해 적절하고 시의적절하게 대응하는 운전자의 능력으로 C0(일반적으로 제어 가능)부터 C3(대부분의 운전자가 제어하기 어렵거나 불가능)까지 등급이 매겨집니다.
ASIL 등급은 S, E, C 평가 결과의 조합에 따라 결정됩니다. ASIL은 QM(품질 관리, 특별한 안전 조치가 필요하지 않음)부터 ASIL D(가장 높은 위험 수준)까지 5가지 레벨로 구분됩니다. ASIL 등급이 높을수록 더욱 엄격한 개발 프로세스, 검증 활동 및 독립성 요구 사항이 요구됩니다.
마지막으로 각 위험한 사건에 대한 안전 목표가 정의됩니다. 안전 목표는 차량 수준에서 정의된 최고 수준의 안전 요구 사항이며 해당 위험 이벤트의 ASIL 등급을 상속합니다.
안전 목표는 HARA를 통해 식별된 위험을 '허용 가능한 수준'으로 완화하는 것을 목표로 하는 최고 수준의 기능 안전 요구사항입니다. 이는 차량 수준에서 정의되고 기능 지향적이어야 하며 특정 기술 솔루션을 지정하지 않아야 합니다.
안전 목표는 후속 개발 단계에서 점진적으로 구체화됩니다.
기능 안전 개념(FSC): 안전 목표를 달성하는 데 필요한 기능 안전 요구 사항(FSR)을 정의하고 초기 시스템 아키텍처의 개요를 설명합니다. FSR은 특정 구현 방법과 관계없이 시스템이 수행해야 하는 안전 관련 기능의 측면에서 설명됩니다.
기술 안전 개념(TSC): FSR 구현을 위한 구체적인 기술 안전 요구사항(TSR)을 정의합니다. FSR과 달리 TSR에는 안전 메커니즘, 인터페이스, 성능 제약 조건 등의 동작을 지정하는 구현 관련 세부 정보가 포함되어 있습니다.
이 과정을 통해 안전 목표(SG)는 SG → FSR → TSR → 하드웨어 안전 요구사항(HSR)/소프트웨어 안전 요구사항(SSR)으로 계층적으로 분해되어 최종적으로 개발자가 구현하고 검증할 수 있는 구체적인 요구사항으로 변환됩니다.
효과적인 안전 목표 및 요구사항은 다음 속성을 보유표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다.
명확함/명확함: 의미는 고유하게 해석 가능표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다.
Atomic: 더 이상 나눌 수 없는 단일 요구사항만 설명합니다.
검증 가능: 요구사항 충족 여부를 객관적으로 확인할 수 있는 능력.
타당성: 주어진 제약 하에서 구현 가능.
일관성: 다른 요구사항과 충돌하지 않아야 합니다.
완료: 상위 수준 요구사항의 모든 측면을 포함표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다.
추적 가능: 요구 사항 소스와 구현/검증 항목 간의 명확한 양방향 링크.
ISO 26262는 ASIL 분해라는 특수 기술을 허용합니다. 여기에는 ASIL이 높은 단일 요구사항(예: ASIL D)을 동일한 안전 목표를 함께 달성하는 여러 중복 하위 요구사항으로 분할하고 각 하위 요구사항에 더 낮은 ASIL(예: ASIL B(D))을 할당하는 작업이 포함됩니다.
ASIL 분해의 핵심 조건은 분해된 하위 요구 사항을 구현하는 요소가 서로 충분히 독립적이어야 한다는 것입니다. 이는 종속 실패 분석(DFA)을 통해 입증되어야 합니다.
검증 계획은 전체 안전 수명주기에 걸쳐 수행되는 모든 검증 활동에 대한 범위, 방법, 일정, 책임 및 필수 리소스를 정의하는 문서입니다. 검증 대상과 범위, 방법과 기준, 환경과 도구, 일정과 책임, 독립성 요구사항, 결과 보고 및 관리 등이 포함됩니다.
ISO 26262에서는 다양한 안전 분석 기술을 적용하여 안전 목표의 타당성을 확인하고 잠재적인 시스템 오류의 원인과 영향을 분석할 것을 권장합니다.
FMEA(고장 모드 및 영향 분석): 시스템 구성 요소의 잠재적인 고장 모드를 식별하고 그 영향을 분석하는 상향식 유도 분석 기술입니다.
FTA(Fault Tree Analysis): 논리 게이트를 사용하여 바람직하지 않은 특정 상위 이벤트의 근본 원인 조합을 분석하는 하향식 연역적 분석 기술입니다.
DFA(종속 실패 분석): 단일 이벤트 또는 원인으로 인해 중복된 요소가 동시에 실패할 가능성을 분석하여 독립성을 검증합니다.
FMEDA(Failure Mode, Effects and Diagnostic Analysis): 각 하드웨어 구성요소의 고장 모드 및 그 영향에 대한 진단 메커니즘의 효율성을 정량적으로 평가하는 FMEA의 확장입니다.
실제 검증 활동에는 다음과 같은 방법이 포함됩니다.
이미지 설명: (1) %EA%B2%80%EC%A6%9D%EB%B0%A9%EB%B2%95 svg: 기능 안전 개념을 설명하기 위한 참고 이미지
검토: 요구사항 사양, 설계 문서, 소스 코드 등의 오류, 누락, 불일치 식별
정적 분석: 소프트웨어 코드를 실행하지 않고 구조, 스타일, 잠재적 오류, 코딩 표준 준수 여부를 분석합니다.
단위 테스트: 소프트웨어의 가장 작은 단위가 올바르게 작동하는지 확인합니다.
통합 테스트: 개별적으로 테스트된 장치가 결합되었을 때 올바르게 상호 작용하고 작동하는지 확인합니다.
시스템 테스트: 완전히 통합된 시스템이 정의된 요구 사항을 충족하는지 확인합니다.
하드웨어 평가: 하드웨어 구성 요소와 시스템이 요구 사항을 충족하고 안전 메커니즘이 효과적인지 평가합니다.
안전성 검증: 개발된 시스템이 전체 차량 환경 내에서 안전 목표를 충족하는지 최종 확인합니다.
안전 사례는 개발된 시스템이 안전 목표를 달성하고 충분한 안전성을 보유하고 있음을 입증하는 구조화된 주장과 증거 세트입니다. 일반적으로 최상위 주장이 증거(예: HARA 보고서, 안전성 분석 결과, 테스트 보고서)에 의해 뒷받침되는 특정 하위 주장으로 분해되는 구조를 가지고 있습니다. Safety Case는 내부 신뢰 구축, 외부 이해관계자 설득, 안전 승인, 지식 관리 및 법적 방어에 대한 정당성 제공과 같은 목적을 수행합니다.
EV BMS는 리튬이온 배터리 열 폭주 위험으로 인해 안전이 중요한 시스템입니다. 열폭주와 관련된 위험 이벤트는 ASIL D(S3, E4, C3)로 평가될 가능성이 높습니다. 결과적으로 "배터리 시스템은 모든 작동 조건에서 열 폭주를 방지표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다"와 같은 안전 목표가 설정됩니다. 이는 셀 전압/온도 모니터링, 과전류 감지, 셀 밸런싱, 안전한 상태 전환과 같은 기능적 안전 요구 사항으로 분해됩니다. 검증에는 HIL 테스트, 환경/EMC 테스트, 차량 테스트와 함께 안전 분석(FMEA, FTA, FMEDA)이 포함됩니다.
ADAS 기능은 차량 동작을 직접 제어하므로 안전이 매우 핵심 요소입니다. 예를 들어, 차선 유지 보조(LKA) 시스템의 오작동(예: 의도하지 않은 조향, 과도한 조향, 잘못된 방향 조향)이 고속 주행 중에 발생할 경우 ASIL D로 평가할 수 있습니다. 이에 따라 "LKA 시스템은 차량의 안전한 경로를 위태롭게 하는 조향 개입을 유발해서는 안 됩니다"와 같은 안전 목표를 설정하고 이를 달성하기 위해 다양한 안전 메커니즘(센서 데이터 검증, 알고리즘 견고성, 조향 명령 검증 등)을 구현 및 검증합니다.
ISO 26262 적용 시 주요 과제는 다음과 같습니다.
표준의 복잡성과 해석의 어려움.
개발 프로세스 변화에 대한 조직의 문화적 저항.
비용 및 개발 시간 증가.
레거시 시스템 및 재사용 가능한 구성요소에 표준을 적용하는 데 문제가 있습니다.
도구 지원 및 자동화가 부족합니다.
전체 공급망에서 표준 준수를 보장하기가 어렵습니다.
조직 내에서 강력한 안전 문화를 확립하는 데 어려움이 있습니다.
이러한 과제를 극복하려면 강력한 안전 문화를 구축하기 위한 중요한 노력과 함께 경영진의 강력한 지원, 체계적인 교육 및 전문가 개발, 표준화된 프로세스 및 템플릿, 자동화 도구 활용, 공급망 관리 강화, 단계적 도입 및 지속적인 개선 접근 방식이 감사 대응과 재사용성을 위해 필수입니다.
ISO 26262 기반 안전 목표 설정 및 검증은 단순히 표준 요구 사항을 준수하기 위한 공식적인 프로세스가 아닙니다. 잠재적인 위험을 사전에 식별하고, 이를 제거하거나 통제하기 위한 목표를 명확하게 설정하고, 이러한 목표가 달성되었음을 가시적인 증거를 통해 객관적으로 입증하는 체계적인 문제 해결 프로세스입니다.
자동차 산업이 전기화, 자율 주행, 연결성을 통해 빠르게 발전함에 따라 SOTIF(ISO 21448) 및 사이버 보안(ISO/SAE 21434) 표준과 함께 ISO 26262를 고려하는 통합 접근 방식이 점점 더 중요해지고 있습니다. 또한 AI/ML 기반 시스템, OTA 업데이트, 데이터 기반 안전 분석과 같은 새로운 기술 동향을 다루기 위해서는 안전 보장 방법론의 지속적인 개발이 감사 대응과 재사용성을 위해 필수입니다.
자동차 기능 안전은 규정 준수를 넘어 고객의 삶과 직결된 핵심 가치임을 인식하는 것이 필수적입니다. ISO 26262에 따른 체계적인 안전 목표 설정과 철저한 검증은 기술 발전에 맞춰 안전을 확보하기 위한 지속적인 노력의 가장 기본적이고 중요한 출발점이 될 것입니다. 헤르메스 솔루션은 기능안전 분야의 중요성을 깊이 인식하고 자동차 산업의 안전한 미래를 위한 기술 발전에 기여합니다.
정리하면 기능 안전은 “완벽한 문서”보다 “연결된 근거와 빠른 갱신”이 품질을 만듭니다. 팀이 반복 가능한 운영 패턴을 갖추는 것이 장기적으로 가장 큰 비용 절감으로 이어집니다.
다음 단계: 프로젝트 산출물 샘플(추적 매트릭스/증적 패키지)이 필요하면 Hermes Solution Technical Briefing을 요청해보세요.