ISO 26262 (차량 기능 안전)
ISO 26262란? (ISO 26262의 개념)
자동차 기능 안전에 대한 국제 표준인 ISO 26262(International Organization for Standardization 26262)는 산업 전반의 기능 안전 표준인 IEC 61508 (Functional Safety)을 기반으로 정의되었습니다. 소프트웨어 콘텐츠와 메카트로닉스 기술 구현 등 기술이 복잡해지면서 자동차 시스템 장애, 불규칙적 하드웨어 오류 등이 증가함에 따라 이로 인한 사고를 미연에 방지하기 위해 전기·전자 및 소프트웨어로 구성된 시스템에 적용할 수 있는 안전 요구 사항과 프로세스를 제공하는 것을 목적으로 만들어졌습니다.
10개국 27개 자동차 제조사 및 부품 공급사가 참여하였고, 자동차 전체 시스템이 적용 대상이며 개발 초기부터 생산, 폐기에 이르는 전체 생명주기에서의 안전 관련 요구사항을 수렴하고 있습니다. ISO 26262 표준 실현을 위해서는 시스템 성숙도 모델인 CMMI 또는 Automotive SPICE 등의 SW 엔지니어링 프로세스를 필수적으로 준수해야합니다.
- 자동차 안전 관련 요구사항을 지정하는 지표로 ASIL 등급을 사용합니다.
ISO 26262 1판에서 정의하고 있는 표준의 적용 범위는 3.5톤 이하 양산 승용차(Series Production Passenger Cars)에 설치되는 안전관련 전기/전자 시스템(E/E 시스템)이며, 장애인 운전자를 고려한 차량과 같은 특수목적 차량에 설치되는 전기/전자 시스템은 대상이 아닙니다.
ISO 26262 2판에서는 이륜차 중 모페드(moped, 모터 달린 자전거)를 제외한 양산 도로차량(Series Production Road Vehicles)에 설치되는 안전관련 전기/전자 시스템이 그 대상이며, 역시 특수목적 차량에는 해당하지 않습니다.
즉, 2판에서는 3.5톤 미만이라는 중량 제한 사항이 제거되었고, 모페드 제외가 명시적으로 정의되었습니다.
ISO 26262가 탄생한 배경
자동차 전자화로 인한 전자제어장치(ECU)의 급속한 증가 및 네트워크화로 인해 기능 안전성의 중요성 증대해지고, 복수의 Supplier에 의한 ECU 개발 및 자동차 전자 제어 시스템의 복잡도 증가로 인해 개발 프로세스의 효율 제고 및 비용 절감을 위한 표준화 필요성 증대졌으나, 일반 전기전자장치의 포괄적인 기능 안전 규격인 IEC 61508은 자동차 분야의 특수성을 반영하지 못해 새로운 기능 안전 규격이 필요하게 되었습니다.
ISO 26262의 목표는 시스템 또는 그 구성 요소의 잠재적 결함으로 인한 위험을 체계적으로 식별하고, 평가하며, 그 위험을 제어하거나 감소시키는 것입니다. 이를 통해 자동차의 전기/전자 시스템이 예상치 못한 상황에서도 예측 가능하고 통제 가능한 방식으로 작동하도록 보장함으로써, 운전자와 탑승자의 안전을 증진시키고자 합니다.
- 2009년 7월 DIS (Draft International Standard) 배포
- 2011년 4월 FDIS (Final Draft International Standard) 배포
- 2011년 11월 15일 Part 1~9, 국제 표준으로 확정
- 2012년 8월 1일 Part 10, 국제 표준으로 확정
- 2018년 12월 2nd edition 공식 배포
ISO26262의 파트
ISO 26262 규격을 구성하는 12개의 파트는 다음과 같습니다.
- Part 1: Vocabulary
- 관련 용어 정리
- Part 2: Management of functional safety
- 기능 안전성에 관련된 개별활동을 계획, 조정, 추적하는 요건 정의
- 전반적인 안전성 관리 요구사항을 정의
- Part 3: Concept phase
- 개발 품목 정의를 기반으로 해저드 분석 및 위험심사를 통해 ASIL 판정
- 안전 목표와 안전 메커니즘 정의
- Part 4: Product development at the system level
- 제조사 관점의 시스템 통합
- 전기·전자 시스템 외의 타 기술로 구현된 안전 메커니즘 확인
- 외부 수단으로 구현된 안전 개념의 효과 확인
- 사람의 통제성 및 작동 작업에 대한 전제 검증
- Part 5: Product development at the hardware level
- V모델 개념에 따른 HW의 개발, 통합, 검증 등에 대한 요구사항 정의
- Part 6: Product development at the software level
- SW 수준 개발에 대해 V모델 개념에 따라 개발, 통합, 검증 등에 대한 요구사항 정의
- Part 7: Production, operation, service and decommissioning
- 품목 생산을 위한 계획, 샘플생산, 양산, 서비스 등에 관한 요구사항 정의
- Part 8: Support processes
- 안전 요구사항 관리, 명세 방법, 형상/변경관리, 검증, 문서화, 지원도구 자격 검증, 재사용 SW 자격검증, HW 자격 검증, 실제 사용을 통해 입증된 안전성 등에 대한 요구사항 정의
- Part 9: Automotive safety integrity level(ASIL)-oriented and safety-oriented analysis
- 안전 요구사항 ASIL을 분해하는 방법
- 안전 관련 구성요소 사이 공존의 조건인 상호 간섭의 정도, 위험분석 방법 기술
- Part 10: Guidelines on ISO 26262
- 주요 개념, 안전케이스, ASIL 분해 등 ISO 26262 이해에 도움이 되는 정보 기술
- Part 11: Guidelines on application of ISO 26262 to semiconductors
- 2판에서 추가됨
- 반드시 따라야하는 요구사항(Normative)이 아닌 참고용(Informative) 내용으로 구성
- 반도체 수준에서 기본 고장률(Base failure rate) 예측을 위한 가이드와 종속고장분석(dependent failure analysis) 방법과 절차, 결함주입시험의 개념 및 방법 등을 소개하고 있으며, digital/analogue/mixed signal component, multi-core component, sensor/transducer에 대한 결함 모델, 고장 모드, 안전 분석 시 고려사항, 각 품목별 일반적인 안전 메커니즘 예 등을 포함
- Part 12: Adaptation of ISO for motorcycles
- 2판에서 추가됨
- 모터사이클에 적용되는 안전관련 전기/전자 제어 시스템에 대한 요구사항
- ASIL 대신 MSIL(M은 Motorcylce의 약자)을 사용
- MSIL A - QM, MSIL B - ASIL A, MSIL C - ASIL B, MSIL D - ASIL C의 관계가 있음
- 그 외에 integration and testing에 관련된 method 등이 간략화됨
/1.webp)
/2.webp)
ASIL 등급이란?
자동차 안전 무결성 수준(ASIL;Automotive Safety Integrity Level)은 자동차 시스템과 관련된 치명도를 표현하는 기준으로, 치명적인 위험의 노출, 제어 가능성, 심각도의 함수를 뜻합니다.
최저 등급 ASIL-A부터 최고 등급 ASIL-D까지 구성되어 있으며, ASIL이 높다는 것은 해당 개발 품목의 오류로 인해 사고가 날 경우, 상대적으로 피해가 클 수 있다는 것을 의미하고, 그 위험을 줄이기 위해 높은 수준의 안전 메커니즘과 안전 요구사항이 강력해 지는 것을 의미합니다.
IEC 61508의 SIL(Safety Integrity Level)을 차량의 특성에 맞게 조정한 것이 ASIL
심각도 (Severity)
| 등급 | 내용 | 예시 |
|---|---|---|
| S0 | 상해 없음 | - |
| S1 | 가벼운 상해 | 경상이나 심하지 않은 부상 (예 - 20km/h 미만의 속도로 나무와 충돌) |
| S2 | 생존 가능한 정도의 중상 | 생명을 위협할 가능성이 있는 심한 부상, 생존 가능 (예 - 20~40km/h의 속도로 나무와 충돌) |
| S3 | 생존이 불확실한 정도의 중상 | 생명을 위협하는 부상(생존 불확실) 또는 치명상 (예 - 40km/h를 초과하는 속도로 나무와 충돌) |
발생확률 (Exposure)
| 등급 | 내용 | 예시 |
|---|---|---|
| E0 | 거의 불가능함 | - |
| E1 | 매우 낮은 확률 | 1년에 1회 미만 발생 (예 - 엔진 정지 상태로 내리막 주행) |
| E2 | 낮은 확률 | 1년에 수 차례 발생하는 상황 (예 - 안전하지 않게 가파른 경사 주행) |
| E3 | 중간 확률 | 1개월에 1회 발생하는 상황 (예 - 미끄러운 노면 브레이크 사용) |
| E4 | 높은 확률 | 거의 매 주행 시 마다 발생하는 상황 |
통제도 (Controllability)
| 등급 | 내용 | 예시 |
|---|---|---|
| C0 | 대부분 통제 가능 | - |
| C1 | 간단히 통제 가능 | 모든 운전자가 피할 수 있는 위험 (예 - 스티어링 잠금 상태로 차량 시동) |
| C2 | 보통의 경우 통제 가능 | 90%의 운전자가 피할 수 있는 위험 (예 - 경미한 고장이 발생 했을 때 차량 정지) |
| C3 | 통제하기 어렵거나 불가능 | 90% 미만의 운전자가 피할 수 있는 위험 (예 - 브레이크 고장) |
자동차 안전 무결성 수준 (ASIL)
| 자동차 안전 무결성 수준 (ASIL;Automotive Safety Integrity Level) | 예시 |
|---|---|
| ASIL A | 예 - 순항제어 감속 실패 |
| ASIL B | 예 - F2S(Follow to Stop) - 설계 제한을 벗어난 감속 |
| ASIL C | 예 - 조수석 에어백 / 잘못된 배치 |
| ASIL D | 예 - 전동 스티어링 / 잘못된 보조 |
ASIL 등급표 / 기준 산정표
| 합계 | ASIL 등급 |
|---|---|
| 6 이하 | QM(Quality Managerment) |
| 7 | ASIL A |
| 8 | ASIL B |
| 9 | ASIL C |
| 10 | ASIL D |
| Severity | Exposure | Controllability | ||
|---|---|---|---|---|
| C1 | C2 | C3 | ||
| S1 | E1 | QM | QM | QM |
| E2 | QM | QM | QM | |
| E3 | QM | QM | ASIL A | |
| E4 | QM | ASIL A | ASIL B | |
| S2 | E1 | QM | QM | QM |
| E2 | QM | QM | ASIL A | |
| E3 | QM | ASIL A | ASIL B | |
| E4 | ASIL A | ASIL B | ASIL C | |
| S3 | E1 | QM | QM | ASIL A |
| E2 | QM | ASIL A | ASIL B | |
| E3 | ASIL A | ASIL B | ASIL C | |
| E4 | ASIL B | ASIL C | ASIL D |