ISO 26262
용어 개념
위험 요인(Hazard)
스템, 환경, 또는 조건으로 인해 발생할 수 있는 잠재적인 위험 상황
위험(Risk)
Hazard가 실제로 사고로 이어질 가능성과 그로 인한 영향을 결합한 개념
가능성(Probability), 심각도(Severity)를 고려
안전 필수 시스템(Safety Critical System)
시스템이 정상적으로 작동하지 않을 경우 사람의 생명, 재산, 환경에 중대한 영향을 미칠 수 있는 시스템
기능 안전(Functional Safety)
전기/전자 시스템(E/E systems)이 고장 시 발생할 수 있는 위험을 분석하고, 이러한 위험이 제어될 수 있도록 설계와 프로세스를 통해 보장하는 것
1
기능안전 = 안전 기능 요구사항 + 안전 무결성 요구사항
안전 기능 요구사항 : 해저드 분석(Hazard Analysis)
ex) ~ 시스템은 전기 모터 과열을 방지하기 위한 모니터링 기능을 제공
안전 무결성 요구사항 : 리스크 평가(Risk Assessment)
ex) ~ 시스템은 SIL 4등급을 만족
안전 무결성(Safety Integrity) (IEC 61508)
안전 관련 시스템이 명시된 기간 내의 명시돈 모든 조건 하에서 요구되는 안전 기능을 만족스럽게 수행할 확률
Low Demand Rate : 안전 관련 기능에 대한 사용 빈도가 년 1회 미만 요구
ex) 에어백 시스템 등
High Demand Rate : 안전 관련 기능에 대한 사용 빈도가 년 1회 이상 계속적 요구
ex) 제동 시스템, 가스 감지 시스템 등
safety integrity level
|SIL|Low Demand Rate | High Demand Rate| |4| |3| |2| |1|
| 하위 시스템 | -> | 시스템 | -> | 최종 제품 |
|---|---|---|---|---|
| 엔진 제어기 에어백 제어기 등 | 엔진 시스템 에어백 시스템 등 | 자동차(차량), 항공기, 로봇 등 |
| 용어 | 설명 | 예시 |
|---|---|---|
| Harm(위해) | 사람의 건강에 영향을 주는 직/간접적 손상 | 운전자 척추 골절 |
| Accident(사고) | Hazardous Event가 실제로 발생하여 문제가 된 상황 | 차량이 나무에 충돌 |
| Hazardous Event(위험한 사건) | Hazard가 Operation Situation이 결합되어, Accident가 발생할 수 있는 사건 | 야간 주행 중 의도치 않은 에어백 작동 |
| Hazard(해저드) | Harm을 일으킬 수 있는 잠재적 요인 | 에어백이 의도치 않게 작동 |
| Malfunction(오동작) | 정상적인 기능으로부터 Devication이 발생한 상태 | 에어백 시스템이 의도치 않게 작동 |
| Operation Situation(운용 상황) | 시스템이 노출되어 있는 운용 환경 | 야간에 고속도로 주행 |
| Risk(리스크) | 잠재적인 문제, Hazard가 Accident로 이어질 가능성과 심각도의 조합으로 표현 | 리스크가 큼 |
소프트웨어 안전
Software Hazards : 버그(휴먼 에러로 인한)
결험 전파(Fault Propagation)
코드 Mistake -> Fault -> Error -> Failure ->
제어기 -> Fault -> Error -> Failure ->
시스템 -> Fault -> Error -> Failure ->
완성품 -> Fault -> Error -> Failure ->
Hazard -> Accident -> Harm
| 용어 | 설명 | 예시 |
|---|---|---|
| Mistake(실수) | 사람이 실수로 결함을 주입하는 행위 | 반복문 종료 조건 잘못 명시 |
| Fault(결함) | 오류를 일으킬 수 있는 비정상적 상태/조건 | 무한루프 발생 |
| Error(오류) | 명세된 결과와 처리 결과와의 불일치 | 명세된 결과는 10번 반복이지만 무한루프 발생 |
| Failure(고장) | 상위 시스템에서 요구된 기능 수행 못함 | 제어기 상에서 SW가 요구된 기능 수행 못함 |
소프트웨어 안전 확보 컨셉 Fault 예방
Fault 찾기/해결
Fault 허용
| 구분 | 설명 | 예시 |
|---|---|---|
| Fault Prevention (결합 예방) | 사람이 실수하지 않도록 방지하기 위해 | 코딩 표준 준수 |
| Fault Detection (결합 검출) | 결함을 검출하기 위한 방법 | - 정적/동적 테스팅(찾기) - 코드 리뷰 |
| Fault Removal (결함 제거) | 검출된 결함을 제거하기 위한 방법 | 디버깅(해결하는 과정) |
| Fault Tolerance (결함 허용) | - 런타임시 결함이 발생해도 오류를 유발하지 않도록 하거나 오류가 발생해도 고장이 발생하지 않도록 하기 위한 방법 - 결함 전파를 방지 | - Redundancy Design - Diversity Design |
테스팅 결과로 결함이 없는 것이 좋은 게 아니라, 최대한 많이 찾는 게 목표
Redundancy는 시스템의 주요 구성 요소를 복제하여 하나의 구성 요소에 고장이 발생하더라도 전체 시스템이 정상적으로 작동할 수 있도록 보장하는 방식
Diversity는 동일한 기능을 수행하지만 서로 다른 설계, 구현, 기술, 또는 방식을 사용하는 시스템 구성
ISO 26262
자동차에 탑재되는 전기전자시스템의 오동작과 해저드로 인한 사고를 방지하기 위한 기준을 제공하는 기능 안전 국제 표준
12개의 파트
1
2
3
4
5
6
7
8
9
10
11
12
1. Vocabulary
2. Management of functional safety
3. Concept phase
4. Product development at the system level
5. Product development at the hardware level
6. Product development at the software level
7. Production, operation, service and decommissioning
8. Support processes
9. Automotive safety integrity level(ASIL)-oriented and safety-oriented analysis
10. Guidelines on ISO 26262
11. Guidelines on application of ISO 26262 to semiconductors
12. Adaptation of ISO for motorcycles
3-6 HARA(Hazard analysis and risk assessment)
| 시스템 정의 | -> | malfunction 식별 | -> | Hazard 식별 | -> | Hazardous Event 정의 | -> | (A)SIL 등급 결정 |
|---|---|---|---|---|---|---|---|---|
| 무슨 기능 | 무슨 문제 발생 | 그로 인한 시스템 문제 | 해당 문제와 운용상황의 결합 | - Sevrity - Exposure - Controllability | ||||
| 조향 기능 | 조향 기능이 생성되지 않음 | 차량의 조향 불가 | 강수량 많고, 내리막 길에서, 차량 조향 불가 |
SW 안전 아키텍처 설계
- 결함 감지를 위한 모니터링 부분을 추가
- Fault injection Testing : 비정상적 조건을 강제로 주입, 예외 상황에 대한 시스템의 반응 테스팅
SOTIF
SOTIF : (Safety Of The Intended Functionality)
자율주행차량 내 시스템의 의도된 기능의 성능 등이 불충분하거나 부적절한 경우를 개선하기 위한 프로세스와 V&V 기법을 제공하는 국제 표준
ISO 26262 vs SOTIF
Hazardous Behavior로 인한 사고 발생
ISO 26262 : System Failure
SOTIF : System Weakness