[ASPICE] 기능 안전 표준 ISO 26262 이란?

ISO 26262 란?

ISO 26262는 자동차 부품에서 중요한 부분을 차지하는 중요한 전기 전자 (E/E) 시스템을 위한 기능 안전 표준이다.

ISO 26262는 전기 및 전자 시스템의 일반 기능 안전 표준인 IEC 61508에서 파생되었으며, 자동차에 탑재되는 E/E (Electrical and/or Electronic) 시스템의 오류로 인한 사고방지를 위해 ISO에서 제정한 자동차 기능 안전 국제 규격이다. ISO 26262는 프로세스 모델과 함께 요구되는 활동, 유무형의 증거물, 그리고 개발과 생산에 사용되는 방식을 정의한다.

 

ISO 26262의 주요 구성요소

ISO 26262는 단계 시스템으로 시스템, 하드웨어, 소프트웨어 레벨에서 기능 안전을 관리하고 제품 개발을 조절한다.

ISO 26262 표준은 개념 개발부터 폐기에 이르기까지 제품 개발 과정 전반에 걸쳐 규정 및 권장사항을 제공합니다. 

시스템 또는 구성요소에 허용 가능한 위험 수준을 할당하고 전체 테스트 프로세스를 문서화하는 방법을 자세히 설명한다.일반적으로 ISO 26262는 다음을 지원합니다.

• 자동차 안전 수명 주기를 제공하고 이러한 수명 주기 단계에서 필요한 작업을 맞춤화할 수 있도록 지원한다.
• 위험 유형 (자동차 안전성 레벨, ASIL)을 결정하는 자동차에 특화된 위험 기반 접근법을 제공한다.
• ASIL을 사용하여 허용 가능한 잔류 위험도를 달성하기 위해 필요한 안전 요구사항을 지정한다.
• 충분하고 허용 가능한 수준의 안전성을 보장하기 위한 검증 및 확인 조치에 대한 요구사항을 제공한다.

 

자동차 안전 수명 주기

ISO 26262는 10개의 볼륨으로 구성된다. 시리즈 양산 자동차를 위해 설계되었으며 자동차 관련 섹션이 포함되어 있다.

예를 들어, ISO 26262의 섹션 7은 생산, 운영, 서비스 및 폐기에 대한 안전 요구사항을 제공한다.

ISO 26262 자동차 안전 수명 주기는 전체 생산 수명 주기를 설명한다. 여기에는 안전 관리자, 안전 계획 개발과, 안전 검토, 감사 및 평가를 포함한 확인 조치의 정의가 포함된다. 이러한 요구사항은 E/E 시스템 및 요소의 개발에 사용되기 위한 것이다.

 

 

자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level)

ASIL은 ISO 26262 규정 준수의 핵심 요소이다. ASIL은 개발 과정의 시작 시에 결정된다. 시스템의 의도된 기능이 가능한 위험 관점으로 분석된다. ASIL은 "오류가 발생하면 운전자와 관련 도로 사용자에게 어떤 일이 발생하겠습니까?"라고 질문한다.

 

노출 확률, 운전자가 제어할 수 있을 확률, 치명적 사건이 발생할 때 그 결과의 심각성을 고려하여 이러한 위험을 추정하면 ASIL이 된다. ASIL은 시스템에서 사용되는 기술은 다루지 않으며, 운전자 및 기타 도로 사용자에게 미치는 피해에만 집중한다. 

 

ASIL을 기반으로 한 위험 수용 수준

 

각 안전 요구사항에는 A, B, C, D의 ASIL이 할당되며, D가 안전이 가장 중요한 프로세스와 가장 엄격한 테스트 규정을 나타낸다. ISO 26262 표준은 부품의 ASIL을 통해 최소 테스트 요구사항을 지정한다. 이는 테스트에 사용해야 하는 방법을 결정하는 데 도움이 된다. ASIL이 결정되면 시스템의 안전 목표가 결정된다. 이는 안전을 보장하기 위해 필요한 시스템 동작을 정의한다.

예를 들어, 충돌 상황 발생 시 모든 좌석의 문이 안열린다고 생각해보자. 충돌이 발생하여 사고가 발생했을 때, 문을 열고 나가야하거나, 외부에서 문을 열어 사람을 구출해야 하는 상황임에도 불구하고 문이 안열린다면 어떻게 될 것인가. ASIL은 특정 수준의 무결성을 달성하기 위해 적절한 방법을 선택할 수 있도록 지침을 제공한다. 이 도움은 현재의 안전성 관련 절차를 보완하기 위한 것이다. 현재 자동차는 높은 안전성 수준을 달성하도록 제조되며, ISO 26262는 산업 전반에서 특정 방법을 표준화하기 위한 것이다.

 

ASIL 결정

 

 

이제 시스템이 안전과 관련이 있는지 여부를 결정하는 방법이 궁금할 것이다. 이 질문에 대한 답은 ISO 26262 안전 표준의 핵심 기여 중 하나에 있다. 위험 분석 및 위험 평가(HARA)는 체계적인 위험 식별로 시작하여 이러한 위험의 분류로 끝나는 위험 기반 방법이다.

식별된 각 위험에 대해 자동차 안전 무결성 수준(ASIL) 분류는 세 가지 주요 매개변수를 기반으로 한다.

• 심각도(Severity) : 이 매개변수는 잠재적으로 위험한 사건에서 한 명 이상의 개인에게 발생할 수 있는 피해의 정도를 추정합니다. 심각도는 S1(경상)부터 S3(치명적 부상)까지 등급이 매겨집니다.
• 노출(Exposure) : 노출은 식별된 위험 또는 고장 모드와 일치할 때 위험할 수 있는 운전 상황에 있을 가능성을 평가합니다. 노출도는 E1(낮은 확률)부터 E4(높은 확률)까지 등급이 매겨집니다.
• 통제성(Controllability) : 통제성은 관련자의 시기적절한 반응을 통해 특정한 피해를 피할 수 있는 능력을 평가합니다. 제어 가능성은 C1(간단하게 제어 가능)부터 C3(제어하기 어려움)까지 등급이 매겨집니다.
  세 가지 매개변수를 조합하면 아래 표에 설명된 대로 ASIL 수준이 결정됩니다.

심각도, 노출 및 제어 가능성의 다양한 조합이 QM 또는 품질 관리 등급으로 이어진다. 이 경우 시스템은 안전과 관련이 없다. 반면, 각 안전 관련 위험(ASIL A, B, C, D 등급)은 최상위 안전 요구 사항을 나타내는 안전 목표의 정의로 이어져야 한다. 흔히 인식되는 예시적인 안전 목표는 에어백 시스템과 관련되어 있다. 즉, 에어백의 부주의한 전개를 방지하는 것이다.