프리스케일의 기능 안전성 전문가들이 이어지는 두 편의 논문에서 자동차 분야의 기능 안전성 표준 ISO 26262의 세부 내용과 설계 커뮤니티에 갖는 함축적 의미를 알아본다. 첫 번째 논문에서는 안전 표준 요구사항, 전반적인 안전 평가 흐름에 관련된 다양한 절차와 설계 커뮤니티에 대한 영향을 논의한다. 

글│아쉬시 고엘 <ashish.goel@freescale.com>
사친 자인 <sachin.jain@freescale.com>
프라샨트 바르가바 <prashantb@freescale.com>, 프리스케일

안전은 현재와 미래의 자동차 개발에서 핵심적인 문제이자 요구사항 중 하나다. 운전자 지원 분야뿐 아니라 차량의 동적제어, 능동 및 수동안전 시스템 등의 새로운 기능이 점점 더 안전 공학의 영역에서 다뤄지고 있다. 장래에 이러한 기능이 개발 및 통합됨에 따라, 안전 시스템 개발 프로세스를 구축하고 합당한 모든 안전 목표가 만족됐다는 증거를 제시해야 할 필요성이 더욱 강화될 것이다.
복잡성, 소프트웨어 콘텐츠, 메카트로닉스 구현이 증가하는 추세와 함께 시스템 장애와 불규칙한 하드웨어 고장이 발생할 위험성도 높아지고 있다. ISO 26262는 실현 가능한 요구사항과 프로세스를 제시함으로써 이러한 위험을 용납 가능한 수준으로 낮출 수 있는 지침을 제공한다.
우리는 이어지는 두 편의 논문에서 자동차 분야의 기능 안전성 표준 ISO 26262의 세부 내용과 설계 커뮤니티에 갖는 함축적 의미를 알아보고자 한다. 첫 번째 논문에서는 안전 표준 요구사항, 전반적인 안전 평가 흐름에 관련된 다양한 절차와 설계 커뮤니티에 대한 영향을 논의하며, 두 번째 논문에서는 장애 방지를 위해 설계 과정에서 이행돼야 하는 다양한 절차에 대해 다룰 것이다.

ISO 26262 표준의 진화
ISO 26262는 “자동차 - 기능 안전성”에 대해 특별히 구성된 기능 안전성 표준이다. 이 표준은 기능 안전성 표준 IEC 61508을 자동차 전기/전자 시스템에 적합하게 수정한 것이다.

ISO 26262가 제공하는 기능
- 자동차 안전 라이프사이클(관리, 개발, 생산, 운영, 서비스, 폐기) 및 해당 라이프사이클 단계 동안 필요한 활동에 적합하게 구성된 지원
- 전체 개발 프로세스(요구사항 지정, 설계, 구현, 통합, 확인, 검증, 구성 등의 활동 포함)의 기능 안전성 측면을 다룸
- 위험 등급(ASIL, 자동차 안전 무결성 수준)을 판정하는 데 필요한 자동차 고유의 위험 기준 방식 제공
- ASIL을 활용해 허용 가능한 잔여 위험을 달성하는 데 필요한 품목별 안전 요구사항 지정
- 충분하고 허용 가능한 수준의 안전이 달성됨을 보장할 수 있도록 검증 및 확인에 필요한 조치 제공
ISO 26262의 주요 적용 범위와 목적은 그림 1에 나온 것처럼 설명할 수 있다.

ISO 26262 준수 이행 단계
아래 그림에 ISO 26262 준수에 필요한 안전 등급 분류 및 평가와 관련된 다양한 단계가 나와 있다.

ASIL 등급 분류
ASIL(자동차 안전 무결성 수준)은 자동차 시스템과 관련된 치명도를 표현하는 기준으로, 치명적인 위험의 노출, 제어 가능성, 심각도의 함수이다.
ASIL: 자동차 SIL => 위험의 치명도 = f(E, C, S)

노출 등급 분류: 노출은 분석 대상 고장 모드와 동시에 발생할 경우 위험할 수 있는 작동 상황이 되는 상태로 분류된다. 표, 그림과 같이 노출 등급이 분류돼 있다.



심각도 등급 분류: 심각도는 위험할 수 있는 상황에서 한 명 이상의 사람에게 발생할 수 있는 위해 범위의 예상치로 정의할 수 있다. 아래 표에 심각도 등급이 분류돼 있다.

제어 가능성 등급 분류: 제어 가능성이란 관련 당사자가 시기적절한 대응을 통해 지정된 위해 또는 피해를 방지할 수 있는 역량으로 정의된다. 다음 표에 제어 가능성 등급이 분류돼 있다.

ASIL은 다음과 같은 네 가지 범주로 분류된다.
- ASIL A  
- ASIL B  
- ASIL C  
- ASIL D
ASIL D가 가장 엄격한 기준이며 ASIL A가 가장 엄격하지 않은 기준이다.

그림 6에 이전 섹션에서 설명한 등급과 관련된 ASIL 수준이 설명되어 있다.

다음 표에 몇 가지 ASIL 수준의 예가 나와 있다.



ASIL 수준이 갖는 의미
- ISO 26262는 ASIL 수준에 따라 고장 상황에서도 설계자 및 시스템 엔지니어가 실현해야 하는 안전 요구사항을 정의하며, 시스템이 사용자(운전자, 승객, 도로 교통 이용자 등)의 안전에 대해 충분한 여유를 제공해야 한다.
- ASIL 수준은 특정 모듈에 결부되는 것이 아니라 특정 기능에 결부된다.
- ASIL 수준은 감지 가능성 향상 및 대응 조치 실행과 같이 동일한 기능을 수행하는 두 가지 개별적인 요소의 분리를 통해 낮출 수 있다.
- 구현된 방식 그대로 안전 핵심 기능의 추적 가능성을 입증할 수 있으려면 설계 사이클의 각 단계에서 적절한 증거를 유지해야 한다.

안전 분석
안전 분석의 목표는 품목의 기능, 작동 상태, 설계를 고려하여 고장 및 장애의 결과를 검사하는 것이다. 안전 분석은 또한 안전 목표 또는 요구사항 위반으로 이어질 수 있는 상황과 원인에 대한 정보도 제공한다. 마지막으로, 위해성 분석 및 위험 평가 도중 발견되지 않은 새로운 위험에 대해 알릴 수 있다.

고장 빈도를 예측하는 데에는 정량적 분석 방식(FMEA, FTA, ETA, 마르코프 모델, 신뢰성 블록도)이 사용되고 고장을 식별하는 데에는 정성적 분석(FMEA, FTA, ETA) 방식이 사용되지만, 두 방식 모두 고장 유형 및 고장 모드 정보를 바탕으로 한다. 기타 적용 가능한 방식의 등급 분류는 수행되는 방식을 기준으로 한다.

- 유도적 안전 분석 방식: 알려진 원인에서 시작하여 알려지지 않은 결과 발견
- 연역적 안전 분석 방식: 알려진 결과에서 시작하여 알려지지 않은 원인 예측

분석 결과 안전 목표 또는 요구사항이 만족되지 않음이 발견되면, 해당 결과를 사용해 위반 원인의 방지 또는 완화 조치를 이끌어내야 한다.

준수 확인 조치
확인 조치는 시스템 안전 프로세스가 적절히 이행됨을 확인하고 시스템 안전 활동과 작업 결과를 전반적으로 평가하는 데 사용된다. 반면, 검증 활동은 일정한 제품 개발 활동이 기술적 요구사항을 충족하는지 확인하는 것을 목표로 한다.
확인 조치는 다음 세 가지 유형으로 정의된다.

- 기능 안전성 감사 
- 기능 안전성 평가  
- 확인 리뷰

각각의 확인 조치에는 숙련된 전문가의 참여가 필요하며, 평가가 객관적인 방식으로 수행됨을 보장해야 한다.

결론
이제 ISO 26262 지침에 따른 안전 프로세스를 구현하지 않으면 어떤 안전 핵심 부품도 자동차 제품에 사용할 수 없음이 분명해졌다. 이러한 지침에 대한 이해가 SoC 후속 설계 사이클의 근간을 이루며, 해당 지침/규정은 SoC 수준에만 적용되는 것이 아니라 개별 모듈 설계 수준까지 적용된다. 2부에서는 안전 규정 준수를 위해 SoC 및 모듈 설계자가 따라야 하는 안전 설계 개념에 대해 다룬다.

사례
프리스케일의 차량용 반도체 전반에 ISO 26262 구현을 추진해 온 마티어 블래지 위닝(Mathieu Blazy Winning)에게 이 논문 검토에 대한 감사를 전하고자 한다.

AEM_Automotive Electronics Magazine