한 줄 정리: 더 그러나 여기에 중요한 질문이 있습니다. 이러한 시스템에서 작은 오류라도 발생하면 어떻게 될까요?
더 그러나 여기에 중요한 질문이 있습니다. 이러한 시스템에서 작은 오류라도 발생하면 어떻게 될까요?
기능 안전은 분석 기법 자체보다, 산출물 간 연결성과 변경 시점의 갱신 속도가 실무 성과를 좌우합니다. 감사/고객 리뷰는 “무엇을 했는가”보다 “근거가 연결되어 있는가”를 봅니다.
그러나 여기에 중요한 질문이 있습니다. 이러한 시스템에서 작은 오류라도 발생하면 어떻게 될까요? 단순한 내비게이션 오류는 귀엽지만 조향이나 제동 시스템의 오류는 정말 무서운 사고로 이어질 수 있습니다. 자동차 기능 안전에 대한 ISO 26262 국제 표준이 바로 여기에 있습니다.
이 표준은 기술 지침 이상의 역할을 합니다. 이는 오늘날 자동차 산업에서 생존을 위한 필수적인 요구 사항이 되었습니다. 이는 OEM과 공급업체가 글로벌 공급망 내에서 서로 신뢰하고 협력할 수 있는 "공통 언어" 역할을 합니다. ISO 26262를 준수하지 못하면 비즈니스 기회를 놓치거나 비용이 많이 드는 리콜 또는 기업 이미지 손상이 발생할 수 있으므로 단순한 기술을 넘어선 핵심 위험 관리 전략이 됩니다.
이 게시물은 ISO 26262의 핵심 분석 기술인 FMEA(고장 모드 및 영향 분석) 및 FTA(결함 트리 분석)를 마스터하는 데 대한 포괄적인 가이드 역할을 할 것입니다. 이 지식은 안전한 자동차 개발에 관심이 있는 모든 사람에게 필수적입니다!
ISO 26262를 효과적으로 적용하려면 먼저 핵심 개념을 이해하는 것이 핵심 요소입니다. 이 표준은 모든 안전 활동의 중심에 ASIL 위험 등급 시스템을 두고 V 모델 개발 프로세스를 따릅니다.
ISO 26262는 문자 V와 같은 개발 프로세스를 구성합니다. 왼쪽 날개는 계획부터 설계 및 구현까지의 개발 단계를 나타내고, 오른쪽 날개는 모든 단계가 올바르게 작동하는지 확인하기 위한 검증 및 검증 단계를 나타냅니다. 이를 통해 개발 초기 단계부터 최종 제품까지 안전 요구 사항을 완벽하게 추적하고 검증할 수 있습니다.
ASIL은 ISO 26262의 위험 기반 접근 방식의 핵심입니다. 간단히 말해서 잠재적인 위험의 심각도를 바탕으로 '얼마나 안전해야 하는지'를 결정하는 등급 시스템입니다.
참고 사항: 오해하지 마세요! ASIL은 구성 요소 자체에 대한 등급이 아닙니다. 흔히 "ASIL D 마이크로컨트롤러"라고 부르지만 이는 구성 요소가 ASIL D 수준이 필요한 시스템에서 사용할 수 있는 기능을 가지고 있음을 의미합니다. 실제 ASIL 등급은 구성요소가 특정 기능에서 실패할 때 발생하는 위험에 따라 달라집니다.
예: 동일한 전방 카메라라도 후방 주차 지원(저위험, ASIL B)과 자율 비상 제동(매우 고위험, ASIL D)에 필요한 안전 요구 사항은 전혀 다르죠? 따라서 ASIL은 기능에 대한 "상황에 따른" 요구 사항이라는 점을 기억하십시오!
ASIL 등급은 다음 세 가지 요소를 종합적으로 평가하여 결정됩니다.
심각도(S): 위험이 발생할 경우 부상이 얼마나 심각할 수 있습니까? (S0: 부상 없음 ~ S3: 사망/생명에 위협)
노출(E): 위험에 얼마나 자주 노출됩니까? (E0: 거의 없음 ~ E4: 매우 높음)
제어성(C): 위험이 발생했을 때 운전자가 상황을 얼마나 잘 제어할 수 있습니까? (C0: 제어하기 쉽다 ~ C3: 제어하기 어렵다/불가능)
이 세 가지 요소의 조합에 따라 최종 ASIL 등급(A, B, C, D)이 결정됩니다. ASIL D는 가장 높은 위험을 나타내며 가장 엄격한 안전 조치가 감사 대응과 재사용성을 위해 필수입니다. QM(Quality Management)은 기능안전과 무관한 위험으로 분류된 경우 부여되며, 일반적인 품질관리를 따릅니다.
이미지 설명: (1) paragragh 01 250703: 기능 안전 개념을 설명하기 위한 참고 이미지
<표 1: ASIL 판정 매트릭스>
S0, E0, C0 등급은 일반적으로 QM에 의해 결정되므로 표에서는 생략합니다.
ISO 26262 안전 목표가 설정되면 다음 질문은 "고장이 어떻게 발생하고 어떤 영향을 미칠 것인가?"입니다. 여기에 사용된 강력한 기술은 FMEA입니다!
FMEA는 개별 구성 요소(하드웨어, 소프트웨어)부터 시작하여 가능한 모든 오류 모드를 철저하게 식별하고 이러한 오류가 시스템, 궁극적으로 차량에 미치는 영향을 분석하는 체계적인 기술입니다. 모든 ASIL 등급에 강력히 권장되는 필수 활동입니다!
팀워크가 핵심 요소입니다!: FMEA는 설계, 제조, 품질 전문가가 참여하는 팀 활동입니다. 개발이 완료된 후에 형식적으로 수행하는 것이 아니라, 문제를 사전에 방지하기 위해 설계 초기 단계부터 반복적으로 수행하는 '살아있는 문서'로 수행표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다.
FMEA 워크시트: 주요 항목
항목/기능: 분석할 구성 요소 또는 기능(예: 전면 카메라)
잠재적 실패 모드: 어떻게 실패할 수 있나요? (예: "이미지 데이터가 중지됩니다.")
실패의 잠재적 영향: 실패하면 어떻게 될까요? (예: "차선 이탈을 유발합니다")
심각도(S): 최종 영향의 심각도(1~10점)
실패의 잠재적 원인: 왜 실패할 수 있습니까? (예: "소프트웨어 교착 상태")
발생(O): 원인이 발생할 가능성(1~10점)
전류 제어 조치: 오류를 예방하거나 감지하는 방법(예: 감시 타이머)
감지 가능성(D): 오류를 감지할 가능성(1~10점, 값이 높을수록 감지가 더 어렵다는 점에 유의하세요!)
FMEA는 RPN(위험 우선 순위 번호) = S × O × D 공식을 사용하여 위험을 정량화합니다. RPN이 높을수록 고위험요인의 개선이 시급하다는 뜻이다.
그러나 단순히 RPN 번호를 보는 것만으로는 충분하지 않습니다. RPN이 낮더라도 심각도(S)가 매우 높은 장애는 최우선적으로 관리표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다. 따라서 최근 FMEA에서는 심각도를 우선시하기 위해 “Action Priority” 개념을 도입했습니다. FMEA의 진정한 가치는 RPN 수치가 아니라 팀이 고위험 이벤트를 먼저 논의하고 분석하는 프로세스 자체에 있다는 것을 기억하세요!
항목: LKA 시스템용 전면 카메라 모듈
실패 모드: 카메라가 정지된 이미지를 지속적으로 출력합니다.
영향: LKA 시스템이 부정확하게 작동하여 차선 이탈이 발생함(심각도 S=9)
원인: 카메라 내부 프로세서의 소프트웨어 교착 상태(발생 O=3)
감지 관리 조치: 이미지 처리 ECU의 워치독 타이머가 프레임 업데이트를 모니터링합니다(감지 D=2).
RPN: 9 × 3 × 2 = 54
(이 값은 다른 고장 모드의 RPN과 비교하여 개선 조치의 우선 순위를 결정하는 데 사용됩니다.)
이미지 설명: (1) paragragh 02 250703: 기능 안전 개념을 설명하기 위한 참고 이미지
<표 2: 전면 카메라 모듈 FMEA 워크시트 예시>
FMEA가 작은 부품부터 시작하는 '상향식' 접근 방식인 반면, FTA는 전체 시스템을 살펴보는 '하향식' 분석입니다.
FTA는 특정 시스템 오류('최상위 이벤트')에서 시작하여 해당 오류로 이어질 수 있는 모든 가능한 근본 원인('기본 이벤트')을 논리적으로 식별하는 기술입니다. ASIL C, D와 같이 높은 안전 수준이 요구되는 시스템에 특히 필수적입니다.
탑이벤트 : 분석의 시작점! 이는 "Y ms 이상 동안 X Nm을 초과하는 의도하지 않은 조향 토크"와 같이 명확하게 정의된 시스템 오류 상태여야 합니다.
논리 게이트: 이벤트 간의 관계를 보여주는 기호입니다.
AND 게이트: 결과가 나타나려면 모든 입력 이벤트가 동시에 발생표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다. (복잡한 고장 모델링)
OR Gate: 입력 이벤트 중 하나라도 발생하면 결과가 나타납니다. (개별 원인 모델링)
중간 및 기본 이벤트: 상위 이벤트를 여러 개의 중간 이벤트로 분류한 다음 더 이상 분해할 수 없는 기본 이벤트(구성 요소 오류, 소프트웨어 오류, 인적 오류 등)로 분류하는 프로세스입니다.
정성적 분석: 상위 수준 이벤트를 유발하는 가장 중요한 최소 원인 조합('최소 컷세트')을 찾는 데 중점을 둡니다. 컷셋이 단일 기본 이벤트로 구성된 경우 이는 '단일 실패 지점'이며, 이는 안전이 중요한 시스템에서 제거되어야 하는 설계 결함입니다!
정량 분석: 각 기본 이벤트에 실패 확률(예: FIT)을 할당하여 상위 이벤트가 발생할 전체 확률을 계산합니다. 이는 ASIL D 시스템에 필요한 PMHF(무작위 하드웨어 오류에 대한 확률적 측정 기준) 목표를 준수함을 입증하는 데 사용됩니다.
[상위 이벤트] LKA 시스템에서 의도하지 않은 조향 발생
또는
[중간사건 1] ECU의 잘못된 조향 명령 또는
[중간 사건 2] 센서 데이터 입력이 손상되었거나
[기본이벤트] 카메라 내부 불량
[기본 이벤트] CAN 버스 통신 오류
[중간 사건 3] 소프트웨어 계산 오류 또는
[기본 이벤트] 알고리즘 로직 결함
[기본 이벤트] 메모리 손상(RAM)
[중간사건 4] ECU 하드웨어 결함 또는
[기본 이벤트] 마이크로 컨트롤러 결함
[기본 이벤트] 전원공급장치(PMIC) 불량
[중간사건 5] 조향액추에이터 오작동 또는
[기본 이벤트] 모터 드라이버 결함
[기본 이벤트] 모터 결함
이미지 설명: (1) FTA 250703 eng 1024x700 1: 기능 안전 개념을 설명하기 위한 참고 이미지
FMEA와 FTA는 단순히 개별 분석이 아닌, 서로 상호 작용하여 강력한 시너지 효과를 발휘하는 쌍입니다.
이 두 기술은 서로 반대 방향에서 문제를 분석하고 서로의 약점을 보완한다.
분석방향 : FMEA는 하향식(원인→결과), FTA는 상향식(결과→원인)이다.
분석 범위: FMEA는 특정 부품의 "모든" 고장 모드를 광범위하게 탐색하는 반면, FTA는 "하나"의 특정 고장 원인을 심층적으로 분석합니다.
장점: FMEA는 구성 요소의 약점을 식별하는 데 탁월한 반면, FTA는 복잡한 시스템의 오류 상호 작용을 분석하는 데 강력합니다.
FMEA는 FTA에서 요구하는 잠재적인 실패 원인 목록을 제공하고, FTA는 이러한 원인이 시스템에 얼마나 중요한지를 나타냅니다. 이 피드백 루프를 통해 FMEA 팀은 시스템 전반의 관점에서 가장 심각한 오류 모드를 방지하는 데 집중할 수 있습니다.
이미지 설명: (1) paragragh 03 250703: 기능 안전 개념을 설명하기 위한 참고 이미지
<표 4: FMEA와 FTA의 비교>
FMEA와 FTA에 대해 자세히 살펴보았습니다. 이 두 가지 분석 기법은 단순한 활동이 아닌, 자동차의 기능 안전성을 입증하기 위한 핵심 증거를 구축하는 과정입니다.
FMEA: 모든 부품이 견고하게 설계되었는지, 고장 모드가 잘 관리되었는지 확인합니다.
FTA: 심각한 오류가 발생하는 경우에도 시스템 아키텍처에 충분한 복원력이 있는지 확인합니다.
이러한 모든 분석 결과는 최종적으로 'Safety Case'로 정리되어 우리 차량이 얼마나 안전한지 논리적으로 입증하는 데 사용됩니다. 이는 규제 및 인증 기관의 필수 요구 사항입니다!
자동차 안전의 범위가 확대되고 있습니다. 이제 기능 안전(ISO 26262) 외에도 예상치 못한 상황(센서 제한, 외부 환경 등)에서의 안전을 다루는 SOTIF(ISO 21448), 해킹 공격으로부터 시스템을 보호하는 사이버 보안(ISO/SAE 21434)도 고려표준 근거와 함께 수행검증 기준을 명확히 두고 진행해야 합니다. 미래 자동차 엔지니어링은 이 세 가지 영역을 모두 포괄하는 방향으로 진화하고 있습니다.
결론적으로 FMEA, FTA 등 체계적 분석기법을 철저히 이해하고 활용하는 것은 더 이상 '선택'이 아닌 현대 자동차 엔지니어의 핵심역량이다. 안전하고 믿을 수 있는 미래자동차를 만들기 위한 가장 중요한 첫걸음이 여기에 있습니다!
이 글이 자동차 안전 아키텍처 설계를 이해하는 데 도움이 되었기를 바랍니다. 앞으로도 더욱 유용한 정보를 공유할 수 있기를 기대합니다! 감사합니다.
정리하면 기능 안전은 “완벽한 문서”보다 “연결된 근거와 빠른 갱신”이 품질을 만듭니다. 팀이 반복 가능한 운영 패턴을 갖추는 것이 장기적으로 가장 큰 비용 절감으로 이어집니다.
다음 단계: 프로젝트 산출물 샘플(추적 매트릭스/증적 패키지)이 필요하면 Hermes Solution Technical Briefing을 요청해보세요.