Social

홈 컨설팅 Social

Social

ISO 26262 차량용기능안전

차량내 전장비의 안전한 기능안전을 위해 만들어진 품질경영시스템

도입배경

자동차 산업은 다양한 전자 제어 시스템(예: ABS, 에어백, 자율주행 시스템)을 점차 더 많이 사용하고 있습니다.
시스템 오작동이 발생할 경우 안전상 큰 위험을 초래할 수 있으므로 이러한 전자/전기 시스템에 대한 기능 안전 기준이 필요하게 되었습니다.
하지만 일반 전기전자장치의 포괄적인 기능 안전 규격인 IEC 61508은 자동차 분야의 특수성을 반영하지 못하였습니다.

이에 따라 자동차 산업에서 기능 안전을 다루기 위해 개발 된 국제 표준이 바로 ISO 26262입니다.
이 표준은 차량 전기/전자 시스템(E/E 시스템)의 안전성 보장을 목표로 하며,
특히 전자제어 시스템의 오작동으로 인한 위험을 최소화하는 것을 목적으로 합니다.

규격개요

자동차 전자제어장치의 오작동으로 인한 사고 및 인명손실을 최소화하기 위해 제정한 기능 안전성 규격입니다.
ISO 26262는 자동차에 사용되는 전기 및 전자 시스템의 기능 안전에 중점을 둡니다.
자율주행차, 전기차, ADAS(첨단 운전자 보조 시스템)와 같은 첨단 기술에도 적용됩니다.

10개국 27개 자동차 제조사 및 부품 공급사 참여
자동차 전체 시스템이 적용대상이며 개발 초기부터 생산, 폐기에 이르는 전체 생명주기에서의 안전 관련 요구사항을 수렴함
ISO 26262 표준 실현을 위해서는 시스템 성숙도 모델인 CMMI 또는 Automotive SPICE 등의 SW 엔지니어링 프로세스를
필수적으로 준수해야 함
자동차 안전 관련 요구사항을 지정하는 지표로 ASIL 등급을 사용

용어정의

자동차 전기/전자 시스템의 안전 요구 사항의 엄격도를 분류하는 기준입니다. ASIL은 기능 안전성 평가의 핵심 요소로,
시스템 장애 또는 오작동이 발생했을 때 인체에 미치는 위험도를 평가하여 대응해야 할 안전 수준을 결정합니다.

① ISO 26262에서 ASIL은 A부터 D까지 4가지로 분류되며, 다음과 같은 의미를 가집니다.
•ASIL A: 가장 낮은 안전 무결성 수준
•ASIL B: 중간 정도의 위험
•ASIL C: 높은 안전 요구 수준
•ASIL D: 가장 높은 안전 무결성 수준 (위험도 가장 높음)
※ ASIL 등급이 높아질수록 시스템의 안전 요구사항이 더 엄격해지고, 시스템 개발 과정에서 더욱 철저한 검증 및 테스트가 필요합니다.

예를 들어, 특정 상황이 발생했을 때 브레이크 시스템의 오작동을 분석한다고 가정해 봅시다.
  •S (심각도): S3 (사망 또는 생명에 위협)
  •E (노출도): E4 (매우 자주 발생)
  •C (제어 가능성): C3 (제어 불가능)
   ➡ ASIL D 등급이 할당됩니다. 브레이크와 같은 핵심 안전 시스템은 ASIL D 수준에서 철저한 안전 관리와 테스트를 요구하게 됩니다.

자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level)

V-모델

구분

심각도
(severity, S)

S0: 위험 없음

S1: 경미한 부상

S2: 중대 부상

S3: 생명을 위협하거나
사망에 이를 수 있는 위험

E0: 거의 발생하지 않음

E1: 드물게 발생

E2: 가끔 발생

E3: 자주 발생

C0: 완전히 제어 가능

C1: 대부분 제어 가능

C2: 제한적으로 제어 가능

C3: 제어 불가능

N/A

E4: 매우 자주 발생

N/A

노출도
(Exposure, E)

제어 가능성
(Contollability, C)

구분

안전 분석

개발 단계

테스트 및 검증

문서화 수준

ASIL A

제한적 요구

간소화 가능

최소 수준 테스트

간단한 문서화

ASIL B

기본적 요구

일부 검증 필요

표준 검증 수행

표준 문서화

ASIL C

강화된 분석 요구

대부분의 검증 요구

심화된 테스트

고도화된 문서화

ASIL D

최고 수준 요구

철저한 검증 요구

극도의 테스트 수행

매우 엄격한 문서화

② ASIL 등급

③ ASIL 할당 예시

▶ ASIL 등급에 따라 안전 프로세스와 검증 방법:

▶ 예시 시스템에 따른 ASIL 수준:
  •ASIL D: 브레이크 시스템, 에어백 제어 시스템, 전자 스티어링 시스템
  •ASIL C: 엔진 관리 시스템
  •ASIL B: 와이퍼 제어 시스템
  •ASIL A: 실내 조명 시스템

④ ASIL에 따른 안전 요구사항

⑤ 기능 안전과 ASIL의 중요성
  ASIL 등급은 자동차 시스템의 기능 안전성을 확보하기 위해 필수적으로 적용됩니다.
  높은 ASIL 수준을 요구하는 시스템일수록 더 많은 설계, 테스트, 검증 작업이 요구되지만,
  결과적으로 차량 및 운전자에 대한 안전성이 크게 향상됩니다.

② V-모델 프로세스 예시

① V-모델 개요

구분

왼쪽 (설계)

오른쪽 (검증 및 테스트)

시스템 개념

안전 목표 설정

안전 목표 검증

요구사항 분석 및 정의

시스템 요구사항 테스트

시스템 설계

시스템 통합 테스트

시스템 요구사항

시스템 아키텍처 설계

HW/SW 요구사항 및 설계

HW/SW 단위 테스트 및 통합 검증

하드웨어/소프트웨어 설계

구현 및 코드 작성

구현된 시스템의 검증 및 유효성 평가

시스템 구현

설계와 검증 단계의 관계를 V자 모양으로 시각화
개념 -> 설계 -> 구현 -> 검증 -> 통합 테스트 -> 시스템 검증

V-모델의 왼쪽은 설계 및 개발 단계, 오른쪽은 검증 및 테스트 단계를 나타냅니다.
각 설계 단계에는 반드시 대응하는 검증 및 테스트 활동이 존재합니다.

③ V-모델 중요성

•단계별 위험 관리: 오류를 초기에 발견할수록 수정 비용이 줄어듭니다.
•기능 안전 보장: 차량 전기/전자 시스템의 설계부터 검증까지 전 과정에서 ISO 26262의 기능 안전 요구사항을 충족합니다.
•품질 및 신뢰성 확보: 각 단계를 체계적으로 검토하고 확인함으로써 최종 시스템의 안전성을 확보합니다.

ISO 26262의 V-모델 프로세스는 시스템 개발 단계를 체계적으로 나누고,
각 단계에서 수행해야 할 작업과 검증 절차를 명확히 정의하는 모델입니다.

이 프로세스는 시스템의 기능 안전성을 보장하기 위해 설계, 구현, 테스트, 검증의 전체 주기를 시각화하며
왼쪽과 오른쪽의 단계가 밀접하게 연결되는 구조입니다.