ISO 26262

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 배경
3. 표준화 일정
4. 적용 범위
5. 구성
6. 안전 수명 주기 (Safety Life Cycle)
- 6.1. 주요 개념
- 6.2. 프로세스
7. 지원 프로세스 (Supporting Processes)
8. 자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level)
- 8.1. ASIL 평가
- 8.2. ASIL 평가 절차
9. 한국 자동차 산업과 ISO 26262
참조

1. 개요

ISO 26262는 자동차 전자 제어 장치의 기능 안전에 대한 국제 표준으로, 자동차 전자 시스템의 복잡성 증가와 안전성 요구 증대에 따라 개발되었다. 이 표준은 자동차 전기/전자 시스템의 전체 수명 주기에 걸쳐 적용되며, 자동차 안전 무결성 수준(ASIL)을 사용하여 위험을 평가하고, 안전 목표를 설정하여 안전 요구 사항을 정의한다. ISO 26262는 2011년에 초판이 발행되었고, 2018년에 2nd edition이 배포되었으며, 총 12개의 파트로 구성되어 있다.

더 읽어볼만한 페이지

국제 표준 - 국제단위계
국제단위계(SI)는 7개의 기본 상수 값을 고정하여 정의되는 국제적인 측정 단위 체계로, 2019년 재정의를 통해 자연 상수에 기반하여 측정의 정확도와 재현성을 향상시켰다.
국제 표준 - 블루 플래그
블루 플래그는 국제 환경 교육 재단에서 해변, 마리나, 보트 관광 사업자를 대상으로 수여하는 친환경 인증으로, 환경 교육, 수질, 환경 관리, 안전 기준을 충족해야 하며 보트 기반 관광 활동도 포함된다.
자동차 안전 - 교통심리학
교통심리학은 운전 및 교통 환경에서 개인의 인지적, 비인지적, 감각-운동적 측면을 연구하여 운전 행동에 영향을 미치는 다양한 요인을 분석하고 도로 이용 행동을 이해하며 교통 참여의 부정적 영향을 줄이는 방안을 모색하는 학문이다.
자동차 안전 - 수막현상
수막 현상은 타이어와 노면 사이에 물이 유입되어 접지력을 잃는 현상으로, 타이어 마모, 과속, 수량 증가, 공기압 부족 등으로 발생하며, 차량 제어력 상실 및 사고 유발, 항공기 유사 현상 발생, 세 가지 유형 구분 등의 특징을 가진다.
ISO 표준 - 국제 표준화 기구
국제 표준화 기구(ISO)는 167개국 국가 표준 기구를 회원으로 둔 비정부 기구로서, 상품 및 서비스 관련 국제 표준을 제정하며, 국제전기기술위원회(IEC)와 협력하고 대한민국은 기술표준원을 통해 정회원으로 활동한다.
ISO 표준 - ISO 3166-1
ISO 3166-1은 국가 식별을 위한 국제 표준으로 숫자 코드, 알파벳 두 글자(alpha-2), 세 글자(alpha-3) 코드 시스템을 제공하며, 유엔의 통계적 분류와 정치적 상황을 고려하여 코드가 할당되고 필요에 따라 업데이트된다.

ISO 26262
개요
명칭	ISO 26262
분야	기능 안전
대상	자동차 전기/전자 (E/E) 시스템
발행 기관	국제 표준화 기구(ISO)
상태	발행됨
상세 정보
소개	ISO 26262는 자동차 내의 전기 및 전자(E/E) 시스템의 기능 안전에 대한 국제 표준이다.
기반 표준	IEC 61508
적용 대상	양산 승용차
범위	안전 관련 E/E 시스템의 전체 수명 주기 (소프트웨어, 하드웨어, 개발, 생산, 운영, 서비스, 폐기)
목표	자동차 제품별 IEC 61508의 요구사항 구체화 자동차 E/E 시스템의 오작동으로 인한 위험 방지 개발 프로세스 전반에 걸쳐 안전 수명 주기 제공 안전 관련 E/E 시스템 개발의 체계적인 접근 방식 지원
ASIL (Automotive Safety Integrity Level)	A, B, C, D (D가 가장 엄격)
표준 구성	Part 1: 용어 Part 2: 기능 안전 관리 Part 3: 개념 설계 Part 4: 시스템 수준 제품 개발 Part 5: 하드웨어 수준 제품 개발 Part 6: 소프트웨어 수준 제품 개발 Part 7: 생산 및 운영 Part 8: 지원 프로세스 Part 9: ASIL 관련 활동의 예시 분석 Part 10: ISO 26262 지침 Part 11: 반도체 적용 지침 Part 12: 이륜차 적용
특징
안전 수명 주기	시스템 개발의 모든 단계에서 안전을 고려하는 프로세스 정의
위험 분석 및 평가	위험 식별, 분석, ASIL 할당 방법론 제공
안전 요구사항	시스템, 하드웨어, 소프트웨어 수준에서 안전 요구사항 정의
안전 메커니즘	안전 목표 달성을 위한 기술적 해결책 제시
안전 검증 및 확인	안전 요구사항 충족 여부 확인을 위한 활동 정의
관련 표준 및 규정
IEC 61508	기능 안전에 대한 일반 표준
ISO 25119	농업 및 임업 트랙터의 기능 안전
ISO 13849	기계류 안전
Automotive SPICE	자동차 소프트웨어 개발 프로세스 평가 모델
참고 자료
추가 정보	ISO 26262 공식 웹사이트

2. 배경

자동차 전자제어장치(ECU)의 급속한 증가 및 네트워크화로 인해 기능 안전성의 중요성이 증대되었다. 복수의 공급업체(Supplier)에 의한 ECU 개발 및 자동차 전자 제어 시스템의 복잡도 증가로 인해 개발 프로세스의 효율 제고 및 비용 절감을 위한 표준화 필요성이 증대되었다. 일반 전기전자장치의 포괄적인 기능 안전 규격인 IEC 61508은 자동차 분야의 특수성을 반영하지 못했다. 기능 안전 기능은 자동차 제품 개발의 각 단계, 즉 사양, 설계, 구현, 통합, 검증, 유효성 검사 및 생산 출시에 이르기까지 필수적인 부분을 형성한다. ISO 26262 표준은 자동차 전기/전자 시스템에 대한 기능 안전 표준 IEC 61508을 자동차에 맞게 적용한 것이다. ISO 26262는 모든 자동차 전자 및 전기 안전 관련 시스템의 수명 주기 전체에 적용 가능한 자동차 장비의 기능 안전을 정의한다.

2011년 11월 11일에 발행된 초판(ISO 26262:2011)은 최대 총중량 3500kg의 "양산 승용차"에 설치된 전기 및/또는 전자 시스템으로 제한되었다. 2018년 12월에 발행된 2판(ISO 26262:2018)은 승용차에서 모페드를 제외한 모든 도로 차량으로 범위를 확장했다.^[1]

이 표준은 차량의 전자 및 전기 시스템의 오작동으로 인해 발생할 수 있는 위험을 해결하는 것을 목표로 한다. "도로 차량 - 기능 안전"이라는 제목에도 불구하고 이 표준은 전기 및 전자 시스템뿐만 아니라 시스템 전체 또는 기계 하위 시스템의 기능 안전과 관련이 있다.

ISO 26262는 모표준인 IEC 61508과 마찬가지로 위험 기반 안전 표준으로, 위험한 작동 상황의 위험을 질적으로 평가하고 체계적인 고장을 방지 또는 제어하고, 임의의 하드웨어 고장을 감지 또는 제어하거나 그 영향을 완화하기 위한 안전 조치를 정의한다.

ISO 26262의 목표는 다음과 같다.

자동차 안전 수명 주기(관리, 개발, 생산, 운영, 서비스, 폐기)를 제공하고 이러한 수명 주기 단계에서 필요한 활동을 맞춤화할 수 있도록 지원한다.
요구 사항 명세, 설계, 구현, 통합, 검증, 유효성 검사 및 구성과 같은 활동을 포함하여 전체 개발 프로세스의 기능 안전 측면을 다룬다.
위험 클래스(자동차 안전 무결성 수준, ASIL)을 결정하기 위한 자동차별 위험 기반 접근 방식을 제공한다.
허용 가능한 잔류 위험을 달성하기 위해 항목의 필요한 안전 요구 사항을 지정하는 데 ASIL을 사용한다.
충분하고 허용 가능한 수준의 안전이 달성되고 있는지 확인하기 위한 유효성 검사 및 확인 조치에 대한 요구 사항을 제공한다.^[2]

자동차의 오랜 역사 속에서 많은 기능이 주로 기계적으로 구현되었지만, 최근에는 전기/전자적으로 제어되는 부분이 급속히 증가하고 있다. 급속한 복잡화로 인해 고장 부위가 점점 증가하고, 급속한 고성능화로 인해 오작동 시 피해는 점점 더 무시할 수 없게 되었다. 그와 동시에, 더 고성능, 더 고기능, 더 저렴한 제품을 더 빨리 얻고 싶어하는 사회적 요구는 종종 안전성과 상충된다. 안전성 확보 또한 중요한 사회적 요구이기 때문에, 우리 사회가 허용하는 안전성과의 균형을 확보하기 위해 이미 IEC 61508로 국제 표준화된 기능 안전 개념을 자동차 산업에 도입하기 위해 작성되었다.

3. 표준화 일정

ISO 26262의 표준화 일정은 다음과 같다.

날짜	내용
2009년 7월	DIS (Draft International Standard, 국제 표준 초안) 배포
2011년 4월	FDIS (Final Draft International Standard, 최종 국제 표준 초안) 배포
2011년 11월 15일	Part 1~9, 국제 표준으로 확정
2012년 8월 1일	Part 10, 국제 표준으로 확정
2018년 12월	2nd edition 공식 배포

4. 적용 범위

ISO 26262는 자동차 전자제어장치의 오작동으로 인한 사고 및 인명 손실을 최소화하기 위해 제정된 기능 안전성 규격이다. 10개국 27개 자동차 제조사 및 부품 공급사가 참여하며, 자동차 전체 시스템을 대상으로 개발 초기부터 생산, 폐기에 이르는 전체 생명주기 동안 안전 관련 요구사항을 다룬다. ISO 26262 표준을 실현하려면 시스템 성숙도 모델인 CMMI 또는 Automotive SPICE 등의 SW 엔지니어링 프로세스를 필수적으로 준수해야 한다. 자동차 안전 관련 요구사항을 지정하는 지표로는 ASIL 등급을 사용한다.^[1]

자동차 전자제어장치(ECU)의 급속한 증가와 네트워크화, 복수의 Supplier에 의한 ECU 개발 및 자동차 전자 제어 시스템의 복잡도 증가로 인해 개발 프로세스의 효율을 높이고 비용을 절감하기 위한 표준화 필요성이 커졌다. 일반 전기전자장치의 포괄적인 기능 안전 규격인 IEC 61508은 자동차 분야의 특수성을 반영하지 못하기 때문에, 자동차 전기/전자 시스템에 대한 기능 안전 표준 IEC 61508을 자동차에 맞게 적용한 것이 ISO 26262이다. ISO 26262는 모든 자동차 전자 및 전기 안전 관련 시스템의 수명 주기 전체에 적용 가능하다.^[2]

2011년 11월 11일에 발행된 초판(ISO 26262:2011)은 최대 총중량 3500kg의 "양산 승용차"에 설치된 전기 및/또는 전자 시스템으로 제한되었다. 2018년 12월에 발행된 2판(ISO 26262:2018)은 승용차에서 모페드를 제외한 모든 도로 차량으로 범위를 확장했다.^[1] 즉, 3.5톤 이하의 승용차에 적용되며, 2018년 최신판에서는 이륜차도 적용 범위에 포함된다.

이 표준은 차량의 전자 및 전기 시스템의 오작동으로 인해 발생할 수 있는 위험을 해결하는 것을 목표로 한다. "도로 차량 - 기능 안전"이라는 제목에도 불구하고, 이 표준은 전기 및 전자 시스템뿐만 아니라 시스템 전체 또는 기계 하위 시스템의 기능 안전과도 관련이 있다. ISO 26262는 모표준인 IEC 61508과 마찬가지로 위험 기반 안전 표준으로, 위험한 작동 상황의 위험을 질적으로 평가하고 체계적인 고장을 방지 또는 제어하며, 임의의 하드웨어 고장을 감지 또는 제어하거나 그 영향을 완화하기 위한 안전 조치를 정의한다.

5. 구성

ISO 26262는 자동차 전자제어장치의 오작동으로 인한 사고 및 인명 피해를 최소화하기 위해 제정된 기능 안전성 규격이다. 10개국 27개 자동차 제조사 및 부품 공급사가 참여하여 만들어졌으며, 자동차 전체 시스템을 대상으로 개발 초기부터 생산, 폐기에 이르는 전 과정에 걸쳐 안전 관련 요구사항을 제시한다.

ISO 26262 표준을 실현하기 위해서는 CMMI 또는 Automotive SPICE 등의 소프트웨어 엔지니어링 프로세스를 준수해야 한다. 또한, 자동차 안전 관련 요구사항을 지정하는 지표로 ASIL 등급을 사용한다.

ISO 26262는 2011년에 초판이 발행되었고, 2018년에 개정판이 발행되면서 총 12개의 파트로 구성되었다. 하드웨어(HW)와 소프트웨어(SW) 모두 V모델 개발 프로세스를 따르며, 시스템 설계 후 HW와 SW 개발이 독립적으로 병행될 수 있는 구조로 되어있다.

ISO 26262의 목표는 다음과 같다.^[2]

자동차 안전 수명 주기(관리, 개발, 생산, 운영, 서비스, 폐기)를 제공하고 이러한 수명 주기 단계에서 필요한 활동을 맞춤화할 수 있도록 지원한다.
요구 사항 명세, 설계, 구현, 통합, 검증, 유효성 검사 및 구성과 같은 활동을 포함하여 전체 개발 프로세스의 기능 안전 측면을 다룬다.
위험 클래스(ASIL)을 결정하기 위한 자동차별 위험 기반 접근 방식을 제공한다.
허용 가능한 잔류 위험을 달성하기 위해 항목의 필요한 안전 요구 사항을 지정하는 데 ASIL을 사용한다.
충분하고 허용 가능한 수준의 안전이 달성되고 있는지 확인하기 위한 유효성 검사 및 확인 조치에 대한 요구 사항을 제공한다.

5. 1. 파트 구성 (2nd edition 기준)

ISO 26262 2nd edition은 12개의 파트로 구성되어 있으며, 10개의 규범적 파트(1~9, 12)와 2개의 가이드라인(10, 11)으로 구성되어 있다.^[2] 각 파트의 제목은 다음과 같다.

파트 번호	파트 제목
1	용어
2	기능 안전 관리
3	개념 단계
4	시스템 레벨에서의 제품 개발
5	하드웨어 레벨에서의 제품 개발
6	소프트웨어 레벨에서의 제품 개발
7	생산, 운영, 서비스 및 해체
8	지원 프로세스
9	ASIL(Automotive Safety Integrity Level, 자동차 안전 무결성 수준) 지향 및 안전 지향 분석
10	ISO 26262에 대한 가이드라인
11	반도체에 ISO 26262 적용에 대한 가이드라인
12	오토바이를 위한 ISO 26262의 적용

2011년에 발행된 초판(ISO 26262:2011)은 10개의 파트로 구성되어 있었으며, 2nd edition과는 파트 구성 및 제목에 약간의 차이가 있었다.^[1]

5. 2. 개발 프로세스

자동차 전자제어장치(ECU)의 급속한 증가 및 네트워크화, 복수 공급 업체(Supplier)에 의한 ECU 개발, 자동차 전자 제어 시스템 복잡도 증가로 인해 개발 프로세스의 효율을 높이고 비용을 절감하기 위한 표준화 필요성이 커졌다. 일반 전기전자장치의 포괄적인 기능 안전 규격인 IEC 61508은 자동차 분야의 특수성을 반영하지 못했기 때문에 자동차 산업에 특화된 기능 안전 개념을 도입하기 위해 ISO 26262가 작성되었다.^[10]^[11]

ISO 26262는 개발 초기부터 생산, 폐기에 이르는 전체 생명주기에서의 안전 관련 요구사항을 제시한다. 하드웨어(HW)와 소프트웨어(SW) 모두 V모델 개발 프로세스를 따르며, 시스템 설계 후 HW와 SW 개발이 독립적으로 병행될 수 있는 구조로 구성되어 있다.

ISO 26262 규격 내 ''안전 수명 주기'' 프로세스는 다음과 같은 단계로 이루어진다.

# ''아이템''(특정 자동차 시스템 제품) 식별 및 최고 수준의 시스템 기능 요구 사항 정의.

# ''아이템''에 대한 포괄적인 ''위험 이벤트'' 식별.

# 각 ''위험 이벤트''에 ''ASIL'' 할당.

# 각 ''위험 이벤트''에 대한 ''안전 목표'' 결정 (위험의 ASIL 상속).

# 차량 수준의 ''기능 안전 컨셉'' 정의 (''안전 목표'' 보장을 위한 ''시스템 아키텍처'' 정의).

# ''안전 목표''를 하위 수준의 ''안전 요구 사항''으로 세분화.
(일반적으로 각 안전 요구 사항은 상위 안전 요구 사항/목표의 ASIL을 상속. 단, 제약 조건에 따라 요구 사항을 충분히 독립적인 중복 구성 요소로 구현된 중복 요구 사항으로 분해하여 상속된 ASIL을 낮출 수 있음).

# "안전 요구 사항"을 ''아키텍처 구성 요소''(서브 시스템, 하드웨어 구성 요소, 소프트웨어 구성 요소)에 할당.
(일반적으로 각 구성 요소는 해당 구성 요소에 할당된 안전 요구 사항의 가장 높은 ASIL에 대해 제안/요구되는 표준 및 프로세스에 따라 개발 및 검증).

# 아키텍처 구성 요소는 할당된 안전(및 기능) 요구 사항에 따라 ''개발'' 및 ''검증''.

5. 3. Part 1: 용어 (상세)

ISO 26262는 표준의 모든 부분에 적용하기 위한 용어, 정의 및 약어의 어휘(프로젝트 용어집)를 명시하고 있다.^[1] 특히, 이러한 용어는 기능 안전 프로세스에 대한 표준의 정의에 핵심적이기 때문에 ''고장'', ''오류'', ''결함''을 신중하게 정의하는 것이 중요하다.^[3] 특히 "''고장''은 ''오류''로 나타날 수 있으며, ... 그리고 ''오류''는 궁극적으로 ''결함''을 일으킬 수 있다"는 점을 고려해야 한다.^[1] 그 결과, ''위험한'' 영향을 미치는 ''오작동''은 ''기능 안전''의 손실을 나타낸다.

;항목

: 이 표준 내에서 ''항목''은 핵심 용어이다. ''항목''은 ISO 26262 안전 수명 주기가 적용되는 특정 시스템(또는 시스템의 조합)을 지칭하며, 차량 수준에서 기능(또는 기능의 일부)을 구현한다. 즉, ''항목''은 프로세스에서 가장 높은 식별된 객체이며, 이 표준에 따른 제품별 안전 개발의 시작점이다.

;요소

: 시스템, ''구성 요소''(하드웨어 부품 및/또는 소프트웨어 단위로 구성됨), 단일 하드웨어 부품 또는 단일 소프트웨어 단위 - 효과적으로, 시스템에서 명확하게 식별하고 조작할 수 있는 모든 것.

;고장

: ''요소'' 또는 ''항목''이 실패를 유발할 수 있는 비정상적인 상태.

;오류

: 계산, 관찰 또는 측정된 값이나 조건과 실제, 지정 또는 이론적으로 정확한 값이나 조건 간의 불일치.

;결함

: ''고장''의 징후로 인해 ''요소'' 또는 ''항목''의 의도된 동작 종료.

;고장 허용

: 하나 이상의 지정된 ''고장''이 있는 경우 지정된 기능을 제공하는 능력.

;오작동 행동

: 설계 의도와 관련하여 ''항목''의 ''결함'' 또는 의도하지 않은 행동.

;위험

: ''항목''의 오작동 행동으로 인해 발생하는 ''해''(신체적 부상 또는 건강 손상)의 잠재적 원인.

;기능 안전

: 전기/전자 시스템의 오작동 행동으로 인해 발생하는 ''위험''으로 인한 불합리한 위험의 부재.

''참고:'' 다른 ''기능 안전'' 표준 및 업데이트된 ISO 26262:2018과 달리, ISO 26262:2011에서는 시스템에서 발생할 수 있는 모든 고장을 이해하는 것이 불가능하다고 가정했기 때문에 ''고장 허용''이 명시적으로 정의되지 않았다.^[4]

''참고:'' ISO 26262는 IEC 61508 용어인 안전 결함 분율(SFF)을 사용하지 않는다. 대신 ''단일 지점 고장 지표'' 및 ''잠재 고장 지표''라는 용어를 사용한다.^[5]

6. 안전 수명 주기 (Safety Life Cycle)

ISO 26262는 자동차 안전 수명 주기(관리, 개발, 생산, 운영, 서비스, 폐기)를 제공하고, 각 단계에서 필요한 활동을 맞춤화할 수 있도록 지원한다.^[2] 또한 요구 사항 명세, 설계, 구현, 통합, 검증, 유효성 검사 및 구성과 같은 활동을 포함하여 전체 개발 프로세스의 기능 안전 측면을 다룬다.^[2]

ISO 26262는 IEC 61508을 자동차 전기/전자 시스템에 맞게 적용한 기능 안전 표준이다. ISO 26262는 모든 자동차 전자 및 전기 안전 관련 시스템의 수명 주기 전체에 적용 가능한 자동차 장비의 기능 안전을 정의한다.

6. 1. 주요 개념

ISO 26262는 자동차 애플리케이션의 기능 안전 관리에 대한 표준을 제공하며, 전반적인 조직 안전 관리 표준과 개별 자동차 제품의 개발 및 생산을 위한 안전 수명 주기 표준을 정의한다.^[6]^[7]^[8]^[9] ISO 26262 안전 수명 주기는 다음과 같은 안전 관리 개념을 기반으로 작동한다.^[1]

위험 이벤트: 차량 수준의 ''위험''과 운전자의 적절한 조치 없이는 사고로 이어질 수 있는 차량의 작동 상황이 조합된 것이다.
안전 목표: 하나 이상의 ''위험 이벤트''의 위험을 허용 가능한 수준으로 줄이기 위해 시스템에 할당된 최고 수준의 안전 요구 사항이다.
자동차 안전 무결성 수준(ASIL): ''안전 목표''의 자동차 특정 위험 기반 분류를 나타내며, 해당 목표의 달성을 보장하기 위해 표준에서 요구하는 검증 및 확인 조치를 나타낸다.
안전 요구 사항: 모든 ''안전 목표''와 안전 목표에서 하드웨어 및 소프트웨어 구성 요소에 할당된 최저 수준의 기능적 및 기술적 안전 요구 사항까지 분해된 모든 수준의 요구 사항을 포함한다.

ISO 26262 ''안전 수명 주기'' 내의 프로세스는 위험(안전 위험)을 식별하고 평가하며, 이러한 위험을 허용 가능한 수준으로 줄이기 위한 특정 안전 요구 사항을 설정하고, 전달된 제품에서 이러한 안전 요구 사항이 합리적으로 보장되도록 관리 및 추적한다. 이러한 안전 관련 프로세스는 기존 품질 관리 시스템의 관리되는 요구 사항 수명 주기와 통합되거나 병렬로 실행되는 것으로 볼 수 있다.^[10]^[11]

자동차는 오랜 역사 속에서 많은 기능이 주로 기계적으로 구현되었지만, 최근에는 전기/전자적으로 제어되는 부분이 급속히 증가하고 있다. 이러한 급속한 복잡화로 인해 고장 부위가 점점 증가하고, 급속한 고성능화로 인해 오작동 시 피해는 점점 더 커지고 있다. 그와 동시에, 더 고성능, 더 고기능, 더 저렴한 제품을 더 빨리 얻고 싶어하는 사회적 요구는 종종 안전성과 상충된다. 안전성 확보 또한 중요한 사회적 요구이기 때문에, 우리 사회가 허용하는 안전성과의 균형을 확보하기 위해 이미 IEC 61508로 국제 표준화된 기능 안전 개념을 자동차 산업에 도입하기 위해 ISO 26262가 작성되었다.

6. 2. 프로세스

ISO 26262 ''안전 수명 주기'' 내의 프로세스는 위험(안전 위험)을 식별하고 평가하며, 이러한 위험을 허용 가능한 수준으로 줄이기 위한 특정 안전 요구 사항을 설정하고, 전달된 제품에서 이러한 안전 요구 사항이 합리적으로 보장되도록 관리 및 추적한다. 이러한 안전 관련 프로세스는 기존 품질 관리 시스템의 관리되는 요구 사항 수명 주기와 통합되거나 병렬로 실행되는 것으로 볼 수 있다.^[10]^[11]

''아이템''(특정 자동차 시스템 제품)이 식별되고 최고 수준의 시스템 기능 요구 사항이 정의된다.
''아이템''에 대한 포괄적인 ''위험 이벤트'' 세트가 식별된다.
각 ''위험 이벤트''에 ''ASIL''이 할당된다.
각 ''위험 이벤트''에 대한 ''안전 목표''가 결정되며, 위험의 ASIL을 상속한다.
차량 수준의 ''기능 안전 컨셉''은 ''안전 목표''를 보장하기 위한 ''시스템 아키텍처''를 정의한다.
''안전 목표''는 하위 수준의 ''안전 요구 사항''으로 세분화된다. (일반적으로 각 안전 요구 사항은 상위 안전 요구 사항/목표의 ASIL을 상속한다. 그러나 제약 조건에 따라 요구 사항을 충분히 독립적인 중복 구성 요소로 구현된 중복 요구 사항으로 분해하여 상속된 ASIL을 낮출 수 있다.)
"안전 요구 사항"은 ''아키텍처 구성 요소''(서브 시스템, 하드웨어 구성 요소, 소프트웨어 구성 요소)에 할당된다. (일반적으로 각 구성 요소는 해당 구성 요소에 할당된 안전 요구 사항의 가장 높은 ASIL에 대해 제안/요구되는 표준 및 프로세스에 따라 개발되어야 한다.)
아키텍처 구성 요소는 할당된 안전(및 기능) 요구 사항에 따라 ''개발'' 및 ''검증''된다.

7. 지원 프로세스 (Supporting Processes)

ISO 26262는 안전 수명 주기 프로세스를 지원하며, 모든 단계에서 지속적으로 활성화되는 통합 프로세스에 대한 목표를 정의한다. 또한 일반적인 프로세스 목표 달성을 지원하기 위한 추가 고려 사항도 정의한다.

분산 개발에서 모든 공급업체에 목표, 요구 사항 및 제어를 전달하기 위한 제어된 회사 인터페이스
안전 수명 주기 전반에 걸친 안전 요구 사항의 명시적 명세 및 관리
종속된 작업 산출물 간의 추적성 및 구성의 모든 변경 사항 식별을 제공하는 공식적인 고유 식별 및 재현성을 갖춘 작업 산출물의 구성 제어
감지된 결함 제거 보장 및 위험 발생 없이 제품 변경을 위한 안전 요구 사항에 대한 변경 사항의 영향 관리를 포함한 공식적인 변경 관리
검토, 분석 및 테스트를 포함한 작업 산출물 검증의 계획, 제어 및 보고, 감지된 결함의 원본에 대한 회귀 분석
기능 안전 및 안전 평가의 지속적인 관리를 용이하게 하기 위해 안전 수명 주기의 모든 단계를 통해 생성된 모든 문서(작업 산출물)의 계획된 식별 및 관리
소프트웨어 도구에 대한 신뢰 (의도된 실제 사용을 위한 소프트웨어 도구 자격)
현재 개발 중인 ASIL 항목에 통합하기 위한 이전에 개발된 소프트웨어 및 하드웨어 구성 요소의 자격
항목이 의도된 ASIL에 대해 사용 시 충분히 안전함을 입증했음을 주장하기 위한 서비스 이력 증거 사용

8. 자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level)

ISO 26262는 자동차 전자제어장치의 오작동으로 인한 사고 및 인명 손실을 최소화하기 위해 제정된 기능 안전성 규격이다. 10개국 27개 자동차 제조사 및 부품 공급사가 참여하여 제정되었으며, 자동차 전체 시스템을 대상으로 개발 초기부터 생산, 폐기에 이르는 전체 생명주기 동안의 안전 관련 요구사항을 다룬다. ISO 26262 표준을 실현하기 위해서는 CMMI 또는 Automotive SPICE 등의 SW 엔지니어링 프로세스를 필수적으로 준수해야 한다.

자동차 안전 관련 요구사항을 지정하는 지표로 ASIL 등급을 사용한다. ASIL은 자동차 시스템 또는 시스템 요소에 내재된 안전 위험을 분류하며, 필요한 위험 감소 수준을 나타낸다. ASIL D는 가장 높은 위험 수준, ASIL A는 가장 낮은 위험 수준을 의미한다. ASIL 등급은 "위험 분석 및 위험 평가"를 통해 결정된다. ISO 26262에서는 시스템과 관련된 유해한 영향의 상대적 영향과 위험 발생 가능성을 고려하여 위험을 평가한다. 즉, 각 유해한 사건은 차량이 위험에 노출되는 시간과 운전자가 부상을 예방할 수 있는 가능성을 고려하여 부상의 심각성 측면에서 평가된다.

자동차는 오랜 역사 동안 많은 기능이 주로 기계적으로 구현되었지만, 최근에는 전기/전자적으로 제어되는 부분이 급속히 증가하고 있다. 이러한 급속한 복잡화는 고장 부위를 증가시키고, 고성능화는 오작동 시 피해를 더욱 크게 만들었다. 동시에, 더 높은 성능, 더 많은 기능, 더 저렴한 제품을 빠르게 얻고자 하는 사회적 요구는 종종 안전성과 상충된다. 안전성 확보 또한 중요한 사회적 요구이므로, 우리 사회가 허용하는 안전성과의 균형을 확보하기 위해 IEC 61508로 국제 표준화된 기능 안전 개념을 자동차 산업에 도입하고자 ISO 26262가 작성되었다.

8. 1. ASIL 평가

자동차 안전 무결성 수준(ASIL)은 자동차 시스템 또는 그러한 시스템의 요소에 내재된 안전 위험에 대한 추상적인 분류를 의미한다. ASIL 분류는 ISO 26262 내에서 특정 위험을 예방하기 위해 필요한 위험 감소 수준을 나타내는 데 사용되며, ASIL D는 가장 높은 위험 수준을 나타내고 ASIL A는 가장 낮은 위험 수준을 나타낸다.^[13] 주어진 위험에 대해 평가된 ASIL은 해당 위험을 해결하기 위해 설정된 안전 목표에 할당된 다음 해당 목표에서 파생된 안전 요구 사항에 의해 상속된다.

ASIL(자동차 안전 무결성 수준)의 결정은 "위험 분석 및 위험 평가"의 결과이다.^[13] ISO 26262의 맥락에서 위험은 시스템과 관련된 유해한 영향의 상대적 영향에 따라 평가되며, 이러한 영향을 나타낼 위험의 상대적 가능성에 따라 조정된다. 즉, 각 유해한 사건은 차량이 위험 발생 가능성에 노출되는 상대적인 시간과 일반적인 운전자가 부상을 예방하기 위해 행동할 상대적인 가능성의 맥락에서 가능한 부상의 심각성 측면에서 평가된다.^[14]

8. 2. ASIL 평가 절차

안전 수명 주기의 시작 부분에서 위험 분석 및 위험 평가를 수행하여, 식별된 모든 위험한 사건 및 안전 목표에 대한 ASIL 평가를 진행한다.^[13]

각 '위험한 사건'은 발생할 수 있는 '부상'의 '심각도'(S)에 따라 분류된다.

심각도 분류 (S)
분류	설명
S0	부상 없음
S1	가벼운 부상에서 중간 정도의 부상
S2	심각한 부상에서 생명을 위협하는 부상 (생존 가능성 높음)
S3	생명을 위협하는 부상 (생존 불확실)에서 치명적인 부상

위험 관리는 가능한 부상의 심각도를 고려할 때 부상이 발생할 가능성에 따라 수정된다는 것을 인식한다. 즉, 특정 위험에 대해 위험한 사건이 발생할 가능성이 낮으면 위험이 더 낮다고 간주한다. 이 표준의 '위험 분석 및 위험 평가' 프로세스 내에서, 부상을 입힐 수 있는 위험의 가능성은 다음의 조합에 따라 추가로 분류된다.

''노출'' (E) (부상이 발생할 수 있는 작동 조건의 상대적 예상 빈도)
''제어'' (C) (운전자가 부상을 예방하기 위해 행동할 가능성)

노출 분류 (E)
분류	설명
E0	믿을 수 없을 정도로 드문 경우
E1	매우 낮은 확률 (부상은 드문 작동 조건에서만 발생할 수 있음)
E2	낮은 확률
E3	중간 확률
E4	높은 확률 (부상은 대부분의 작동 조건에서 발생할 수 있음)

제어 가능성 분류 (C)
분류	설명
C0	일반적으로 제어 가능
C1	간단하게 제어 가능
C2	일반적으로 제어 가능 (대부분의 운전자는 부상을 예방하기 위해 행동할 수 있음)
C3	제어하기 어렵거나 제어 불가능

이러한 분류 측면에서, ''자동차 안전 무결성 수준 D''(약칭 ''ASIL D'')는 생명을 위협하는 (생존 불확실) 또는 치명적인 부상을 일으킬 합리적인 가능성이 있으며, 대부분의 작동 조건에서 부상이 물리적으로 가능하고, 운전자가 부상을 예방하기 위해 할 수 있는 일이 거의 없는 사건으로 정의된다. 즉, ''ASIL D''는 S3, E4, C3 분류의 조합이다. 이러한 분류 중 하나에서 최대 값에서 단일 감소가 발생하면 (C1을 C0으로 감소하는 것을 제외하고) ASIL이 ''D''에서 단일 수준으로 감소한다.^[15] 예를 들어, 가상적으로 제어 불가능한 (C3) 치명적 부상 (S3) 위험은 위험의 확률이 매우 낮으면 (E1) ''ASIL A''로 분류될 수 있다. ASIL 수준 ''A'' 아래는 가장 낮은 수준인 ''QM''이다. ''QM''은 ''ASIL A'' 아래에는 안전 관련성이 없으며 표준 품질 관리 프로세스만 필요하다는 표준의 고려 사항을 나타낸다.^[13]

이러한 심각도, 노출, 제어 정의는 지침일 뿐 규정적이지 않으며, 다양한 자동차 제조업체와 부품 공급업체 간에 주관적인 변동 또는 재량의 여지를 남긴다.^[14]^[16] 이에 대응하여, 자동차 안전 기술자 협회(SAE)는 특정 위험에 대한 노출, 심각도 및 제어 가능성을 평가하기 위한 보다 명시적인 지침을 제공하기 위해 ''J2980 – ISO26262 ASIL 위험 분류에 대한 고려 사항''을 발행했다.^[17]

9. 한국 자동차 산업과 ISO 26262

자동차는 오랜 역사 동안 많은 기능이 주로 기계적으로 구현되었지만, 최근에는 전기/전자적으로 제어되는 부분이 급속히 증가하고 있다. 이러한 급속한 복잡화는 고장 부위 증가로 이어졌고, 급속한 고성능화는 오작동 시 피해를 더욱 심각하게 만들었다. 동시에, 더 고성능, 더 고기능, 더 저렴한 제품을 더 빨리 얻고자 하는 사회적 요구는 종종 안전성과 상충된다. 안전성 확보 또한 중요한 사회적 요구이므로, 우리 사회가 허용하는 안전성과의 균형을 확보하기 위해 IEC 61508로 국제 표준화된 기능 안전 개념을 자동차 산업에 도입하고자 ISO 26262가 작성되었다.

참조

_[1] 서적 ISO 26262-1:2018(en) Road vehicles — Functional safety — Part 1: Vocabulary https://www.iso.org/[...] International Standardization Organization
_[2] 간행물 "ISO 26262 Software Compliance: Achieving Functional Safety in the Automotive Industry" http://www.parasoft.[...] Parasoft
_[3] 서적 ISO 26262-1:2018(en) Road vehicles — Functional safety — Part 10: Guidelines on ISO 26262 https://www.iso.org/[...] International Standardization Organization
_[4] 학술발표 Design of Microcontrollers for Safety Critical Operation (ISO 26262 Key Differences from IEC 61508) http://www.ti.com/ww[...]
_[5] 학술발표 High-Availability Controller Concept for Steering Systems: The Degradable Safety Controller http://www.wseas.us/[...] WSEAS 2016-04-17
_[6] 간행물 "Management of functional safety" ISO 2011
_[7] 학술발표 Functional Safety and ISO 26262 http://www.apec-conf[...] APEC
_[8] 학술발표 Criticality categories across safety standards in different domains http://web1.see.asso[...] Embedded Real Time Software and Systems
_[9] 간행물 "Guideline on ISO 26262" ISO 2012
_[10] 학술지 Incorporating ISO 26262 Development Process in DFSS http://www.apiems.ne[...] 2013-08-01
_[11] AV media The ISO 26262 Safety Lifecycle http://www.mks.com/r[...] 2011-07-28
_[12] 서적 Glossary, V2.5.0 http://www.autosar.o[...] AUTOSAR 2014-02-16
_[13] 서적 ISO 26262-3:2011(en) Road vehicles — Functional safety — Part 3: Concept phase https://www.iso.org/[...] International Standardization Organization
_[14] 서적 Understanding ISO 26262 ASILs http://electronicdes[...] Penton Electronics Group 2013-07-09
_[15] 논문 LFSR generation for high test coverage and low hardware overhead https://livrepositor[...] UoL repository 2019-08-21
_[16] 학술발표 Assessment of the ISO 26262 Standard, "Road Vehicles – Functional Safety" http://www.sae.org/e[...] SAE
_[17] 서적 J2980 - Considerations for ISO 26262 ASIL Hazard Classification https://www.sae.org/[...] SAE International
_[18] 웹사이트 Relationship between ISO 26262 and IEC 61508 https://ez.analog.co[...] 2021-04-11
_[19] 웹사이트 Automotive vs Industrial Functional Safety https://ez.analog.co[...] 2021-04-11
_[20] 웹사이트 IEC 60730-1:2013+AMD1:2015+AMD2:2020 CSV {{!}} IEC Webstore https://webstore.iec[...] 2021-04-11

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com