ISO26262 에서 ASIL 등급이란 무엇인가? A/B/C/D 차이 완전 정리

자동차 기능 안전을 공부하다 보면 가장 먼저 마주치는 핵심 용어 중 하나가 바로 ASIL이다.

 

ISO 26262를 읽거나 자동차 전장 프로젝트 문서를 보다 보면

ASIL A, ASIL B, ASIL C, ASIL D와 같은 표현이 반복적으로 등장한다.

 

처음 접하는 사람 입장에서는 단순히 “등급이 높을수록 중요한 것 같다” 정도로 이해하기 쉽지만,

실제로 ASIL은 그보다 훨씬 더 중요한 의미를 가진다.

ASIL은 단순한 분류표가 아니다. 어떤 차량 기능이 고장 났을 때 얼마나 위험한 결과를 만들 수 있는지 평가하고,

그 위험 수준에 맞추어 개발 방법, 검증 절차, 요구사항 관리 수준을 결정하는 기준이다.

즉, 자동차 소프트웨어와 하드웨어를 어떤 강도로 개발해야 하는지를 판단하는 핵심 체계라고 볼 수 있다.

 

이번 글에서는 ASIL의 정확한 의미부터 왜 필요한지, QM과의 차이, A/B/C/D 등급 구조,

그리고 ASIL이 어떻게 결정되는지까지 이해하기 쉽게 정리해본다.

 

ASIL이란 무엇인가?

 

ASIL은 Automotive Safety Integrity Level의 약자이며, 자동차 기능 안전에서 위험 수준에 따라 적용되는 안전 무결성 등급이다.

 

쉽게 말하면, 차량 기능이 오작동했을 때 사람에게 얼마나 큰 위험을 줄 수 있는지를 평가하고, 그 결과에 따라 적절한 안전 개발 수준을 정하는 제도다.

자동차 안에는 매우 다양한 기능이 존재한다. 운전자가 직접 조작하는 브레이크와 조향 장치부터, 편의 기능인 실내등, 창문 제어, 공조 장치, 인포테인먼트 시스템까지 수많은 기능이 동시에 동작한다. 그런데 이 모든 기능을 같은 수준으로 개발하는 것은 현실적으로 비효율적이다.

 

예를 들어 실내등이 켜지지 않는 문제와 주행 중 브레이크가 동작하지 않는 문제는 위험도가 전혀 다르다. 하나는 불편함으로 끝날 수 있지만, 다른 하나는 중대한 사고로 이어질 수 있다. ISO 26262는 이러한 차이를 반영하여 기능별로 안전 수준을 구분하고, 위험도가 높은 기능에는 더 엄격한 개발 기준을 적용하도록 요구한다. 그때 사용하는 기준이 바로 ASIL이다.

 

왜 ASIL이 필요한가?

 

자동차는 일반 전자제품과 다르다. 스마트폰 앱이 멈추면 다시 실행하면 되지만, 자동차 제어 시스템의 오류는 실제 주행 중 사고로 이어질 수 있다. 특히 최근 차량은 전자 제어 의존도가 매우 높기 때문에 소프트웨어와 ECU의 역할이 계속 커지고 있다.

 

과거 자동차는 기계식 제어 비중이 높았지만, 현재는 아래와 같은 핵심 기능들이 대부분 전자 제어 기반으로 동작한다.

- 전자식 브레이크 제어
- 전동식 조향 시스템
- 에어백 제어
- 주행 안정화 제어
- 배터리 관리 시스템
- ADAS 및 자율주행 보조 기능
- 전동 파워트레인 제어

 

이러한 기능들은 단순 편의 기능이 아니라 탑승자의 생명과 직결된다.

따라서 어떤 기능이 고장 났을 때 위험도가 높은지 먼저 판단하고, 그 기능에는 더 많은 검증과 보호 설계를 적용해야 한다.

 

ASIL은 바로 이러한 우선순위를 정하는 기준이다. 모든 기능을 최고 수준으로 개발하는 것은 비용과 일정 측면에서 비현실적이며, 반대로 중요한 기능을 낮은 수준으로 개발하면 안전문제가 발생할 수 있다. ASIL은 이 균형을 맞추기 위한 체계적인 방법이다.

 

ASIL 등급 구조

 

ISO 26262에서는 기능을 크게 다섯 단계로 분류한다.

 

- QM

- ASIL A

- ASIL B

- ASIL C

- ASIL D

 

위 단계로 갈수록 요구되는 기능 안전 수준이 높아진다.

즉, ASIL D가 가장 엄격하고, QM은 기능 안전 관점에서 별도 등급 요구가 없는 수준이다.

 

QM이란 무엇인가?

 

QM은 Quality Management의 약자이며, 기능 안전 위험도가 낮아 일반 품질 관리 프로세스로 대응 가능한 항목을 의미한다.

 

QM은 “중요하지 않다”는 뜻이 아니다. 단지 ISO 26262의 고강도 안전 활동까지는 필요하지 않다는 의미다. 일반적인 개발 절차, 품질 검토, 테스트 활동은 여전히 수행해야 한다.

 

예를 들어 차량 내부 표시 기능, 일부 편의 기능, 안전과 직접 연결되지 않는 단순 제어 기능 등은 HARA 결과에 따라 QM으로 분류될 수 있다.

 

ASIL A란 무엇인가?

 

ASIL A는 기능 안전 등급 중 가장 낮은 단계다.

위험이 존재하더라도 사고 결과가 상대적으로 제한적이거나, 운전자가 상황을 쉽게 제어할 수 있는 경우에 적용될 수 있다.

 

ASIL A 수준의 기능도 안전 요구사항이 존재하며, 설계 검토와 테스트가 필요하다.

다만 상위 등급에 비해 요구되는 검증 깊이와 문서화 수준은 상대적으로 낮다.

 

즉, 위험은 존재하지만 관리 가능한 수준의 기능에 적용되는 첫 번째 안전 등급이라고 이해하면 된다.

 

ASIL B란 무엇인가?

 

ASIL B는 중간 수준의 안전 등급으로, 실제 차량 프로젝트에서 자주 등장하는 등급이다.

단순 불편 수준을 넘어 실제 운행 안전에 영향을 줄 가능성이 있는 기능들이 여기에 해당할 수 있다.

 

ASIL B부터는 요구사항 추적성, 설계 검토, 예외 상황 테스트, 고장 대응 로직 설계 등이 보다 체계적으로 요구된다.

기능이 오동작했을 때 운전자에게 영향을 줄 수 있으므로, 개발자는 정상 동작뿐 아니라 비정상 상황까지 고려해야 한다.

 

실무적으로는 바디 제어 기능, 일부 구동 보조 기능, 특정 제어 시스템 등에서 자주 검토되는 수준이다.

 

ASIL C란 무엇인가?

 

ASIL C는 높은 수준의 기능 안전 등급이다. 시스템 오류가 발생했을 때 사고 위험이 크고, 운전자가 즉시 대응하기 어렵거나 사고 결과가 심각할 가능성이 있는 기능에 적용된다.

 

이 등급에서는 단순 기능 구현만으로는 부족하다.

시스템 아키텍처 단계에서부터 고장 감지, 이중화 구조, Fail-safe 전략, 독립 검토, 강화된 테스트 전략 등이 함께 고려되어야 한다.

 

ASIL C 수준의 기능은 개발 난이도와 검증 강도가 크게 올라가며, 안전 분석 활동도 훨씬 중요해진다.

 

ASIL D란 무엇인가?

 

ASIL D는 ISO 26262에서 가장 높은 기능 안전 등급이다.

차량 탑승자 또는 주변 사람에게 치명적인 위험을 줄 수 있는 기능에 적용된다.

 

예를 들어 고속 주행 중 브레이크 제어 상실, 핵심 조향 기능 실패, 에어백 전개 실패와 같은 상황은 매우 심각한 결과를 만들 수 있다. 이런 기능은 단순히 잘 동작하는 수준이 아니라, 고장이 발생하더라도 위험 상태로 이어지지 않도록 매우 엄격하게 설계되어야 한다.

 

ASIL D 수준에서는 개발 프로세스 전반에서 가장 높은 수준의 요구사항 관리, 구조 설계, 검증 활동, 테스트 커버리지, 리뷰 독립성이 요구된다.

 

ASIL은 어떻게 결정되는가?

 

ASIL은 개발자의 감이나 경험으로 정하지 않는다. ISO 26262에서는 HARA(Hazard Analysis and Risk Assessment) 를 통해 체계적으로 결정한다.

 

HARA는 특정 기능이 고장 났을 때 어떤 위험이 발생할 수 있는지 분석하고, 그 위험 수준에 따라 안전 등급을 도출하는 과정이다. 이때 세 가지 핵심 요소를 사용한다.

 

1. Severity (심각도)

심각도는 사고가 발생했을 때 결과가 얼마나 큰 피해를 만드는지를 의미한다.

단순 경미한 불편 수준인지, 차량 손상인지, 탑승자 부상인지, 생명에 위협이 되는 수준인지에 따라 평가가 달라진다. 사고 결과가 심각할수록 높은 ASIL로 이어질 가능성이 커진다.

등급	내용	예시
S0	상해 없음	-
S1	가벼운 상해	경상이나 심하지 않은 부상 (예 - 10km/h 미만의 속도로 나무와 충돌)
S2	생존 가능한 정도의 중상	생명을 위협할 가능성이 있는 심한 부상, 생존 가능
S3	생존이 불확실한 정도의 중상	생명을 위협하는 부상(생존 불확실) 또는 치명상 (예 - 50km/h를 초과하는 속도로 나무와 충돌)

 

2. Exposure (노출도)

노출도는 해당 위험 상황이 실제 운행 중 얼마나 자주 발생할 수 있는지를 의미한다.

아주 드문 특수 상황에서만 발생하는 기능 오류와, 일상적인 주행 환경에서 자주 마주치는 상황은 위험 평가가 다르다. 예를 들어 고속도로 주행, 우천 주행, 도심 정체 구간처럼 실제 운전자들이 자주 경험하는 조건이라면 노출도가 높게 평가될 수 있다.

등급	내용	예시
E0	거의 불가능함	-
E1	매우 낮은 확률	1년에 1회 미만 발생 (예 - 엔진 정지 상태로 내리막 주행)
E2	낮은 확률	1년에 수 차례 발생하는 상황 (예 - 안전하지 않게 가파른 경사 주행)
E3	중간 확률	1개월에 1회 발생하는 상황 (예 - 미끄러운 노면 브레이크 사용)
E4	높은 확률	거의 매 주행 시 마다 발생하는 상황

 

3. Controllability (제어 가능성)

제어 가능성은 위험 상황이 발생했을 때 운전자가 이를 피하거나 대응할 수 있는지를 의미한다.

운전자가 쉽게 인지하고 조작으로 회피할 수 있다면 위험도는 낮아질 수 있다. 반대로 갑작스럽고 즉시 대응이 어려운 상황이라면 높은 위험도로 평가된다.  예를 들어 순간적인 경고 메시지는 대응 가능성이 높지만, 갑작스러운 조향 상실은 운전자가 제어하기 매우 어렵다.

등급	내용	예시
C0	대부분 통제 가능	-
C1	간단히 통제 가능	모든 운전자가 피할 수 있는 위험 (예 - 스티어링 잠금 상태로 차량 시동)
C2	보통의 경우 통제 가능	90%의 운전자가 피할 수 있는 위험 (예 - 경미한 고장이 발생 했을 때 차량 정지)
C3	통제하기 어렵거나 불가능	90% 미만의 운전자가 피할 수 있는 위험 (예 - 브레이크 고장)

 

세 요소는 왜 중요한가?

 

같은 기능이라도 어떤 환경에서, 어떤 속도로, 어떤 방식으로 고장 나느냐에 따라 위험도는 달라진다.

단순히 “브레이크니까 무조건 D” 또는 “편의 기능이니까 무조건 QM”처럼 단정할 수 없는 이유가 여기에 있다.

 

ISO 26262는 감각적인 판단이 아니라, 심각도·노출도·제어 가능성을 체계적으로 분석해 기능별 안전 수준을 결정하도록 요구한다.

 

ASIL을 이해할 때 중요한 관점

 

ASIL은 제품의 성능 등급이 아니다. “더 좋은 제품”, “더 비싼 제품”, “더 고급 기능”을 의미하지 않는다.

오직 기능 고장 시 발생 가능한 위험과 그에 대한 개발 통제 수준을 의미한다.

 

즉, ASIL이 높다는 것은 기능이 뛰어나다는 뜻이 아니라, 잘못되었을 때 위험하므로 더 엄격하게 개발해야 한다는 뜻이다.

 

개발자가 왜 반드시 알아야 할까?

 

자동차 소프트웨어 개발자, 시스템 엔지니어, 테스트 엔지니어에게 ASIL은 매우 중요하다. 이유는 단순하다.

실제 프로젝트의 개발 방식 자체가 ASIL에 따라 달라지기 때문이다.

 

요구사항 작성 방식, 리뷰 절차, 테스트 범위, 문서화 수준, 추적성 관리, 고장 대응 로직 설계 등 대부분의 프로세스가 ASIL과 연결된다. 따라서 ASIL을 이해하지 못하면 왜 프로젝트가 복잡하게 운영되는지 이해하기 어렵다.

 

정리

 

ASIL은 ISO 26262에서 정의하는 자동차 기능 안전 등급 체계이며, 차량 기능이 고장 났을 때 발생 가능한 위험 수준에 따라 QM부터 ASIL D까지 구분된다. 등급은 Severity(심각도), Exposure(노출도), Controllability(제어 가능성)을 기반으로 HARA를 통해 결정된다.

 

ASIL이 높아질수록 더 엄격한 요구사항 관리, 설계 검토, 테스트, 검증 활동이 필요하며, 이는 자동차 ECU 개발의 핵심 기준이 된다. ISO 26262를 이해하고 자동차 전장 개발 역량을 높이고 싶다면 ASIL은 반드시 정확히 알아야 하는 핵심 개념이다.