ISO 26262 기능 안전 표준이란?

자동차 산업 전반의 복잡성이 증가하면서, 안전성 준수 시스템을 제공하기 위한 노력이 커지고 있습니다. 예를 들어, 최신 자동차는 스로틀 바이 와이어 (throttle-by-wire) 같은 전기 신호 기반 시스템을 사용합니다. 이는 운전자가 가속 페달을 누르면 페달의 센서가 전자 제어 장치에 신호를 보내는 것입니다. 이 제어 장치는 엔진 속도, 차량 속도 및 페달 위치와 같은 여러 요소를 분석합니다. 그런 다음 명령을 스로틀 본체에 전달합니다. 스로틀 바이 와이어와 같은 시스템을 테스트하고 검증하는 것이 자동차 산업에서는 과제입니다. ISO 26262의 목표는 모든 자동차 E/E 시스템에 통합된 안전 기준을 제공하는 것입니다.

ISO 26262의 DIS (International Standard Draft)는 2009년 6월에 발표되었습니다. 발표 이후, ISO 26262는 자동차 산업에서 중요해졌습니다. 공개된 표준 초안이 있기 때문에, 법률가는 ISO 26262를 최신 기술로 취급합니다. 최신 기술은 특정 시대에 최고 수준의 디바이스 또는 프로세스라는 뜻입니다. 독일 법률에 따라 자동차 제조업체는 일반적으로 제품의 오작동으로 인한 사람의 손해에 대해 책임을 집니다. 최신 기술로 오작동을 감지할 수 없는 경우는 면책됩니다 [독일 제조물 책임 법률 (§ 823 Abs. 1 BGB, § 1 ProdHaftG)].

ISO 26262를 구현하면 공통 표준을 활용하여 시스템의 안전성을 측정할 수 있습니다. 또한 표준이 제공하는 공통 용어를 통해 시스템의 특정 부분을 가리킬 수도 있습니다. 이는 안전이 필수적인 기타 산업 분야와 마찬가지로, 공통 표준으로 시스템의 안전성을 측정하는 것입니다.

ISO 26262는 단계 시스템으로 시스템, 하드웨어, 소프트웨어 레벨에서 기능 안전을 관리하고 제품 개발을 조절합니다.

ISO 26262 표준은 개념 개발부터 폐기에 이르기까지 제품 개발 과정 전반에 걸쳐 규정 및 권장사항을 제공합니다. 시스템 또는 구성요소에 허용 가능한 위험 수준을 할당하고 전체 테스트 프로세스를 문서화하는 방법을 자세히 설명합니다. 일반적으로 ISO 26262는 다음을 지원합니다.

• 자동차 안전 수명 주기 (관리, 개발, 생산, 운영, 서비스, 폐기)를 제공하고 이러한 수명 주기 단계에서 필요한 작업을 맞춤화할 수 있도록 지원합니다.
• 위험 유형 (자동차 안전성 레벨, ASIL)을 결정하는 자동차에 특화된 위험 기반 접근법을 제공합니다.
• ASIL을 사용하여 허용 가능한 잔류 위험도를 달성하기 위해 필요한 안전 요구사항을 지정합니다.
• 충분하고 허용 가능한 수준의 안전성을 보장하기 위한 검증 및 확인 조치에 대한 요구사항을 제공합니다.

자동차 안전 수명 주기

ISO 26262는 10개의 볼륨으로 구성됩니다. 시리즈 양산 자동차를 위해 설계되었으며 자동차 관련 섹션이 포함되어 있습니다. 예를 들어, ISO 26262의 섹션 7은 생산, 운영, 서비스 및 폐기에 대한 안전 요구사항을 제공합니다.

ISO 26262 자동차 안전 수명 주기는 전체 생산 수명 주기를 설명합니다. 여기에는 안전 관리자, 안전 계획 개발과, 안전 검토, 감사 및 평가를 포함한 확인 조치의 정의가 포함됩니다. 이러한 요구사항은 E/E 시스템 및 요소의 개발에 사용되기 위한 것입니다.

이 문서는 주로 수명 주기의 개발 단계에 중점을 둡니다. ISO 26262의 개발 섹션에는 시스템, 시스템 설계, 기능 안전 평가 및 안전 검증이 포함되어 있습니다.

자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level)

ASIL은 ISO 26262 규정 준수의 핵심 요소입니다. ASIL은 개발 과정의 시작 시에 결정됩니다. 시스템의 의도된 기능이 가능한 위험 관점으로 분석됩니다. ASIL은 "오류가 발생하면 운전자와 관련 도로 사용자에게 어떤 일이 발생하겠습니까?"라고 질문합니다.

노출 확률, 운전자가 제어할 수 있을 확률, 치명적 사건이 발생할 때 그 결과의 심각성을 고려하여 이러한 위험을 추정하면 ASIL이 됩니다. ASIL은 시스템에서 사용되는 기술은 다루지 않으며, 운전자 및 기타 도로 사용자에게 미치는 피해에만 집중합니다.

각 안전 요구사항에는 A, B, C 또는 D의 ASIL이 할당되며, D가 안전이 가장 중요한 프로세스와 가장 엄격한 테스트 규정을 나타냅니다. ISO 26262 표준은 부품의 ASIL을 통해 최소 테스트 요구사항을 지정합니다. 이는 테스트에 사용해야 하는 방법을 결정하는 데 도움이 됩니다. ASIL이 결정되면 시스템의 안전 목표가 결정됩니다. 이는 안전을 보장하기 위해 필요한 시스템 동작을 정의합니다.

예를 들어, 앞 유리 와이퍼 시스템을 생각해봅시다. 안전 분석은 와이퍼 기능의 손실이 드라이버의 시야에 어떤 영향을 미치는지 결정합니다. ASIL은 특정 수준의 무결성을 달성하기 위해 적절한 방법을 선택할 수 있도록 지침을 제공합니다. 이 도움은 현재의 안전성 관련 절차를 보완하기 위한 것입니다. 현재 자동차는 높은 안전성 수준을 달성하도록 제조되며, ISO 26262는 산업 전반에서 특정 방법을 표준화하기 위한 것입니다.

하드웨어 인증에는 부품이 전체 시스템과 연관하여 어떻게 동작하는지 보여주고 장애 모드를 평가하는 두 가지 주 목표가 있습니다. 기본 하드웨어 부품에는 표준 인증을 사용하면 되지만, 보다 복잡한 부품에는 ASIL 분해 및 테스트를 통한 평가가 필요합니다. 하드웨어 부품은 일반적으로 다양한 환경 및 작동 조건에서 부품을 테스트하여 인증됩니다. 그런 다음 테스트 결과를 다양한 수치 해석법으로 분석하고 테스트 절차, 가정 및 입력 기준과 함께 인증 보고서로 제시합니다.

소프트웨어 구성요소를 인증하는 데는 기능적 요구사항, 리소스 사용량, 장애 및 과부하 상황에서 소프트웨어 동작을 예측하는 등의 활동이 포함됩니다. 어플리케이션 개발 시 인증된 소프트웨어를 사용하면 이 과정을 크게 단순화할 수 있습니다. 인증된 소프트웨어 구성요소는 일반적으로 여러 프로젝트에서 재사용되는 제품으로, 라이브러리, OS, 데이터베이스, 드라이버 소프트웨어를 포함합니다.

표준을 따라 소프트웨어 구성요소를 인증하려면, 일반적인 작동 조건에서의 사용과 더불어, 결함을 삽입하여 비정상적인 입력에 어떻게 반응하는지도 확인해야 합니다. 런타임 및 데이터 에러와 같은 소프트웨어 에러는 설계 과정 전반에서 분석되고 해결됩니다.

하드웨어 및 소프트웨어 구성요소는 “사용 과정에서 증명” 논리를 통해 ISO 26262 요구사항을 준수할 수 있습니다. 이 항목은 구성요소가 사건 없이 다른 어플리케이션에서 사용되었을 때 적용됩니다. ISO 26262는 사용이 증명된 오래된 시스템도 다룹니다. 많은 경우, 이미 수백만 대의 차량에 배포된 시스템에 표준을 적용하는 것은 의미가 없습니다. 예를 들어, 현재 생산된 자동차의 많은 시스템은 ISO 26262가 발표되기 전에 높은 수준의 안전성 수준에 맞게 제조된 것입니다. 실제 세계에서 사용되는 안전성이 중요한 이러한 구성요소는 안정적으로 동작할 수 있다는 것을 증명했습니다.  이전 차량에서 변경되지 않은 안정적인 시스템도 ISO 26262로 인증될 수 있습니다. 유사한 사용과 광범위하게 배포된 이전 사용을 통한 인증을 조합하면 전체 시스템의 복잡도를 크게 줄일 수 있습니다.

ISO 26262와 같은 새로운 표준을 적용할 때 발생하는 주요 과제 중 하나는 이 기준을 현재 프로세스에 적용하는 것입니다. 일반적으로 새로운 표준에서는 파일럿 프로젝트로 표준의 적용과 그것이 현재 프로세스에 미치는 영향을 보입니다. 지금까지의 결과를 보면 ISO 26262가 현재 산업의 안전 기준에 잘 적응하는 것으로 보입니다. 기업들은 이미 개발 과정의 초기에 위험 평가와 분석을 수행하고 전 과정에서 테스트하는 것의 장점을 확인하고 있습니다.

ISO 26262를 구현하려는 기업은 개발 과정의 초기에 위험을 분석하고, 적절한 안전 요구사항을 설정하고, 개발 과정에서 테스트를 통해 이러한 요구사항을 충족하는 것이 목표라는 사실을 이해해야 합니다.

ISO 26262 개발 중 테스트는 매우 중요한 요소입니다. 안전성 필수적인 시스템은 테스트 시나리오에 적절하게 반응하고 다양한 인간 및 환경 입력에 노출될 때 지정된 안전 동작 범위를 유지해야 합니다. 고품질의 테스트 시스템을 사용하면 제품의 성능을 향상하고, 품질과 신뢰성을 향상하며, 반품률을 줄일 수 있습니다. 오류는 현장이 아닌 생산 과정에 발견되면 그 비용이 10배 감소되고, 생산이 아닌 설계 중에 발견되면 거기에서 다시 10배 감소되는 것으로 추정됩니다. 테스트는 결함을 발견하고, 데이터를 수집하여 설계나 프로세스를 개선시킴으로써 기업에 가치를 제공합니다. 최신 기술과 최적의 방법론을 이 프로세스에 적용함으로써 혁신을 일으키면 엄청난 효율성 향상 및 비용 절감 효과를 얻을 수 있습니다 도구를 지나쳐 시스템의 설계만을 생각하기 쉽지만, 실제로 최종 사용자의 안전에는 도구가 매우 중요합니다.

ISO 26262는 널리 알려진 소프트웨어 도구를 사용하면 안전 관련 기능을 제공하는 전기, 전자 및 소프트웨어 요소의 개발에 필요한 작업을 단순화하거나 자동화할 수 있다는 것을 인정합니다. 도구 인증 과정의 자세한 내용을 설명하기 전에, 도구 인증의 중요한 부분인 도구 신뢰도를 정의하는 것이 중요합니다.

도구 신뢰도

도구의 입력과 출력을 통해 일반적인 (또는 참조) 사용 사례가 개발됩니다. 이러한 사용 사례를 분석하면 도구 신뢰도 (TCL)가 도출됩니다. TCL과 ASIL은 소프트웨어 도구에 필요한 인증 수준을 결정합니다. 신뢰도를 결정하는 데는 두 가지 영역이 평가됩니다.

• 소프트웨어 도구의 오작동과 잘못된 출력이 개발하려는 안전 관련 항목이나 요소에 할당된 안전 요구사항을 위반할 가능성
• 출력에서 이러한 에러를 방지하거나 감지할 확률

도구 신뢰도는 TCL1, TCL2, TCL3, TCL4로 결정되며, TCL4가 가장 높은 신뢰도이고 TCL1은 가장 낮은 신뢰도입니다.

도구 인증 프로세스

ISO 26262에 따라 도구를 인증하려면 여러 요구사항이 있습니다. 예를 들어, ASIL은 이미 결정되어 있어야 합니다. 또 몇 가지 예를 들자면, 도구에는 사용자 매뉴얼, 고유한 식별 및 버전 번호, 기능, 설치 프로세스, 환경에 대한 설명이 있어야 합니다. ISO 26262는 다음과 같은 도구 인증 결과물을 요구합니다.

• 소프트웨어 도구 인증 계획
• 소프트웨어 도구 문서
• 소프트웨어 도구 분류 분석
• 소프트웨어 도구 인증 보고서

소프트웨어 도구 인증 계획

소프트웨어 도구 인증 계획 (STQP)은 안전 관련 항목의 개발 수명 주기 초기에 생성됩니다. 이는 소프트웨어 도구의 인증을 계획하고, 도구가 필요한 신뢰도를 만족하는지 보여주는 사용 사례를 나열하는 두 가지 영역에 중점을 둡니다.

STQP에는 소프트웨어 도구의 고유한 식별 및 버전 번호, 사용 사례, 환경, 설명, 사용자 매뉴얼, 미리 정의된 ASIL과 같은 항목이 포함되어야 합니다.

소프트웨어 도구 분류 분석

소프트웨어 도구 분류 분석 (STCA)의 주요 목적은 도구 신뢰도를 결정하는 것입니다. TCL을 결정하는 데는 두 가지 주요 요소가 있습니다. 첫 번째는 도구 영향 (TI)입니다. 두 번째는 도구 에러 감지 (TD)입니다. 이 두 요소를 기반으로 적절한 TCL가 정해집니다.

TI1 또는 TI2는 도구 영향의 두 등급입니다. TI1은 오작동된 소프트웨어 도구가 안전 요구사항을 위반할 가능성이 없다는 논리를 주장할 수 있을 때 선택됩니다. 그 외 모든 경우에는 TI2가 선택됩니다.

예를 들어, 도구가 특정 소프트웨어 함수에 대한 문서에서 오타를 생성한다고 가정합니다. 이는 성가신 일에 불과하며 테스트 대상 안전 요구사항을 위반하지 않는 것으로 간주할 수 있습니다. 결과적으로 도구 영향 등급이 TI1이 됩니다. 도구가 시스템의 동작을 어떤 식으로든 변경할 수 있는 에러를 생성하는 경우, TI2가 선택됩니다.

도구 에러 감지는 TD1에서 TD3로 분류됩니다. TD1은 도구의 에러 감지 능력에 대한 신뢰도가 높은 경우 선택되며, TD3은 예를 들어, 무작위로만 에러를 감지할 수 있는 경우와 같이 에러 감지 신뢰도가 매우 낮은 경우 선택됩니다.

소프트웨어 도구가 설계 모델에 에러가 있는지 확인하는 예를 들어볼 수 있습니다. 이 경우 모델의 정적 분석이 수행됩니다. 정적 분석은 좋은 방법이지만, 모델에서 가능한 모든 위반 사항을 확인할 수는 없습니다. 또한 이는 모델이 올바르지 않다는 것을 의미하지는 않으며, 단지 추가적인 테스트가 필요하다는 뜻입니다. 이 시나리오는 결과적으로 '중간' 신뢰도, 즉 TD2가 됩니다.

도구 영향 (TI) 및 도구 에러 감지 (TD)가 결정되면, 필요한 신뢰도에 따라 TCL1에서 TCL3까지의 값이 주어집니다. 사용 사례가 여러 개면 여러 TCL이 주어지는 경우도 있습니다. 이 경우 가장 높은 TCL이 사용됩니다. 각 소프트웨어 도구에 대해 사용자는 도구 분류를 수행해야 합니다.  

소프트웨어 도구 문서

소프트웨어 도구를 올바르게 사용하려면 몇 가지 정보가 제공되어야 합니다.

• 기능 설명
• 설치 과정 설명
• 사용자 매뉴얼
• 동작 환경
• 비정상적인 조건에서 예상되는 동작

소프트웨어 도구 인증 보고서

소프트웨어 도구 인증 보고서에는 도구 인증이 완료되었고 요구사항이 충족되었다는 결과와 증명이 포함되어 있습니다. 모든 검증과정에서의 오작동 또는 잘못된 출력은 여기에 분석되고 문서화되어야 합니다.

사용을 통해 향상된 신뢰도

도구 인증의 중요한 측면으로 사용을 통해 향상된 신뢰도라는 개념이 있습니다. 어떤 도구에 대한 인증 요구사항을 이미 보일 수 있는 경우, 더 이상 인증이 필요 없습니다. 이렇게 하면 개발 프로세스 전반에 걸쳐 비용과 시간을 크게 절감할 수 있습니다. 그러나 각 안전 관련 항목이나 원소에 대해 자격 요구사항을 증명한 뒤 그 항목을 개발해야 합니다. 이를 보여주려면, 도구는 다음을 보여야 합니다.

• 이전에 동일한 목적으로 유사하게 사용되었어야 합니다
• 도구의 스펙이 변경되지 않았어야 합니다
• 이전에 개발된 안전 관련 항목에 할당된 안전 요구사항을 위반한 적이 없어야 합니다.

예를 들어, 테스트 도구 A가 자동차 X의 ECU (엔진 제어 장치)에 대한 요구사항을 검증하는데 사용되었다고 가정합시다. 테스트 도구 A가 어떤 안전 요구사항도 위반하지 않고 변경되지 않은 경우, 자동차 Y의 ECU가 자동차 X의 ECU와 유사한 방식으로 사용된다면, 도구 A를 자동차 Y의 ECU를 검증하는데 사용할 수 있습니다.

내쇼날인스트루먼트의 테스트 도구가 안전 관련 항목의 테스트에 어떻게 사용되는지 알아보려면, NI 안전성 준수 시스템 테스트 모범 사례를 살펴보십시오. 해당 문서는 전체 개발 과정에서 MIL (Model-in-the-Loop) 테스트 및 HIL (Hardware-in-the-Loop) 테스트와 같은 기술 사용을 다룹니다. 또한 구성요소 재사용의 장점과 효율성 향상에 대해서도 다룹니다.

관련 자료

• NI 안전성 준수 시스템 테스트 모범 사례
• ISO 26262 인증 시작 관련 웨비나 시청