ISO 26262 제2판 주요 개정 내용 및 의미

반도체 및 모터사이클 지침 새롭게 포함

2018년 01월호 지면기사  /  글│ 고 병 각 실장 _ byeong.gak.ko@dnvgl.com DNVGL



ISO 26262 자동차 기능안전 표준 두 번째 개정판이 오는 5월 발간될 예정이다. 한 가지 중요한 변화는 part 11로, 이는 반도체 제조업체가 ISO 26262를 준수하는 IP(Intellectual Property)를 개발할 수 있도록 지원하는 상세 정보를 제공한다. ISO TC22/SC32/WG8 한국대표로 활동중인 필자가 제2판의 주요 개정 내용을 2회에 걸쳐 소개한다.


자동차 전기전자(electrical/electronic) 제어 시스템의 결함으로 인한 오동작으로 인해 발생할 수 있는 자동차 수준의 위험을 완화/제어/회피하기 위한 ISO 26262 Road Vehicles - Functional Safety 표준이 2011년 11월 1판(1st edition) 발행에 이어 개정판(2nd edition)이 2018년 5월 발간될 예정이다. ISO 26262 표준은 1판 제정 후 전 세계 OEM 위주로 자동차 개발 프로젝트에 활발히 적용돼 왔고, 그 결과 추가적인 기술 특성들을 반영해 달라는 시장 요구가 많았다.

이에 ISO 26262를 제정한 워킹그룹(Working Group, WG)인 ISO TC22/SC32/WG8에서는 2015년 1월 36개월이 소요될 것으로 예측하고 공식적인 개정 작업에 착수했다. 그러나 표준 개정안인 DIS(Draft Internal Standard)에 대해 각 국에서 많은 의견이 접수됐고, 이를 고려해 48개월 프로젝트로 변경됐다. WG8에서는 2018년 5월 제2판(2nd edition) 개정안을 공표하는 것을 목표로 FDIS(Final Draft International Standard) 표준안을 ISO 사무국에 제출한 상태다.

전체적으로 봤을 때, ISO 26262 제2판은 systematic failure와 random hardware failure의 대응 설계를 위한 엔지니어링 측면의 기술적인 요소들을 좀 더 강화하는 방향으로 개정된다고 할 수 있다.

필자는 ISO TC22/SC32/WG8 한국대표로서 ISO 26262 제2판 개정작업에 참여했다. ISO 26262 개정 내용이 OEM과 전자제어 분야 협력사에게 미칠 영향이 상당할 것으로 예상되므로, 2판의 주요 개정 내용을 업계에 전달해 자동차 개발 프로젝트에 도움이 되고자 하는 목적으로 이 글을 준비했다.

적용 범위 확장

ISO 26262 1판에서 정의하고 있는 표준의 적용 범위는 3.5톤 이하 양산 승용차(series production passenger cars)에 설치되는 안전관련 전기/전자 시스템이며, 장애인 운전자를 고려한 차량과 같은 특수목적 차량에 설치되는 전기/전자 시스템은 대상이 아니다. ISO 26262 2판에서는 이륜차 중 모페드(moped, 모터 달린 자전거)를 제외한 양산 도로차량(series production road vehicles)에 설치되는 안전관련 전기/전자 시스템이 그 대상이며, 역시 특수목적 차량에는 해당 하지 않는다. 즉 2판에서는 3.5톤 미만이라는 중량 제한 사항이 제거됐고, 모페드 제외가 명시적으로 정의됐다.

그 이유는 3.5톤 이상의 버스와 트럭 같은 상용자동차 역시 전기/전자 제어시스템의 결함으로 인한 오동작 때문에 인명 피해가 클 수 있기 때문에, 볼보 트럭(Volvo group truck)을 중심으로 다임러(Daimler), 만 트럭(MAN truck), 스카니아(Scania) 등에서 표준의 범위 확장 필요성을 제기했기 때문이다. 모터사이클 역시 KTM, 혼다(Honda)를 중심으로 같은 필요성이 제기됐으며, 모페드와 같은 이륜차는 최고 속도 등에서 제한되기 때문에 위험성이 크지 않아 제외됐다.
ISO 26262 1판에서는 총 10개의 part로 구성됐으나, 2판에서는 part 11과 part 12가 추가됐다.

Part 11: Guideline on application of ISO 26262 to semiconductors
Part 12: Adaptation of ISO 26262 for motorcycles


그동안 자동차 분야의 반도체 컴포넌트는 기능안전 표준에 따라 명시적으로 개발된 적이 없었다. ISO 26262 1판에서 반도체에 대해서 다루기 시작했으나, 반도체 수준에서 고려해야할 내용들이 명확하지 않아 반도체 업체마다 대응하는 내용이 다르고, OEM 및 부품사에서도 요구하는 내용이 달라 혼선이 가중됐다. 이에 반도체 업계는 공통으로 이해 가능한 표준 내용이 필요하게 됐고, ISO 26262 part 11을 제정하게 됐다. 단 part 11은 반드시 따라야 하는 요구사항(Normative)이 아닌 참고용(Informative) 내용으로 구성돼 있다.

Part 11의 주요 내용으로는 반도체 수준에서 기본 고장률(Base failure rate) 예측을 위한 가이드와 종속고장분석(dependent failure analysis) 방법과 절차, 결함주입시험의 개념 및 방법 등을 소개하고 있으며, digital/analogue/mixed signal component, multi-core component, sensor/transducer에 대한 결함 모델, 고장 모드, 안전 분석 시 고려사항, 각 품목별 일반적인 안전 메커니즘 예 등을 포함하고 있다(표 1).



Part 12는 모터사이클에 적용되는 안전관련 전기/전자 제어 시스템에 대한 요구사항이다. 그 내용은 자동차 요구사항과 크게 다르지 않으나, ASIL 대신 MSIL(M은 Motorcycle의 약자)을 사용하며, MSIL A - QM, MSIL B - ASIL A, MSIL C - ASIL B, MSIL D - ASIL C의 관계가 있다. 그 외에 integration and testing에 관련된 method 등이 간략화됐다.

목적의 구체화

각 part의 모든 clause 별로 목적(objectives)을 구체화 했다. 그 이유는 assessment 등 technical judgement가 필요할 때 판단할 수 있는 기준을 명확히 하기 위해서다. Part 5의 7. Hardware design의 예를 들면 표 2와 같다.

표 해석

ASIL 별로 적용해야 하는 방법이나 특성(methods/properties)은 적용 여부를 ++(highly recommended), +(recommended), 0(no recommendation)의 세 가지로 구분한다. 각 방법은 연속 항목(예 1, 2, 3)과 대안 항목(예 2a, 2b, 2c)으로 나뉜다.

연속 항목(consecutive entry)에 대해, 1판에서는 모든 방법이 ASIL에 따라 권고하는 대로 반드시 적용돼야 하며(shall apply), 표에 없는 방법을 사용할 경우에는 그 방법이 충분하다는 rationale을 제공할 것을 명시하고 있다. 이 요구사항으로 인해 일부 완성차나 부품사는 표준에 나열되어 있는 ++와 +의 모든 방법을 적용할 것을 요구하고 있다.

2판에서는 나열돼 있는 모든 ++와 +를 적용(apply)하며 표에 나열돼 있지 않은 다른 방법이 표에 나열되어 있는 ++와 + 방법을 대체하는 것이 가능한 것으로 변경됐다. 이런 경우에는 대체하는 방법이 해당 요구사항에 적합하다는 rationale을 제공해야 한다. 몇 가지 방법을 선택해 일부만 적용하는 경우도 가능하며, 이 때 적절한 rationale을 제공한다면 몇 가지 방법을 제외했더라도 제외한 것에 대한 rationale은 필요하지 않게 된다.

즉 1판에서와 같이 모든 방법을 반드시 적용해야 하는 것이 아니라 표에 있는 방법들 또는 대체 가능한 방법들을 선택적으로 적용할 수 있게 된 것이다. 좀 더 한정해서 생각하면, 만약 적절한 rationale을 제공해 선택적으로 적용 가능하다면 표에 제시된 ++만 적용할 수 있는 것이 가능하게 될 것이다.

대안 항목(alternative entry)에 대해서, 2판에서는 rationale이 제공된다면 하나의 방법만 적용하는 것이 가능하도록 변경됐다. 이러한 rationale은 표에 제시된 방법들을 적용한다면 충분한 것으로 여겨지므로, 표에 제시된 ++인 방법들을 선택해 적용하는 것이 가능하게 됐다.



용어 정의


트럭, 버스가 적용범위에 포함되면서 이와 관련된 Base vehicle, body builder, body builder equipment, PTO(Power Take-Off), tractor, trailer 등의 용어들이 추가됐으며, 반도체 관련 용어로 base failure rate, processing element, multi-core 등이 추가됐다.

가장 변경이 큰 부분은 FTTI인데, 그림 1과 같이 그 개념 정의가 다시 정립됐다.
FTTI(Fault Tolerant Time Interval)는 그림 1의 첫 번째와 같이 기존 1판의 용어 정의에 안전 메커니즘(safety mechanism)이 작동하지 않는 경우로 한정하여 그 정의를 명확히 했다. 즉 FTTI는 “안전 메커니즘이 작동하지 않을 때, 결함이 발생한 시간부터 위험한 사건이 발생하기까지 걸리는 최소 시간”으로 정의하고 있다.

그림 1의 두 번째와 같이 안전 메커니즘이 작동하는 경우에는, Diagnostic Test Time Intervals(진단 시험 시간 간격) 주기로 안전 메커니즘이 작동할 것이고, 결함 발생 후 Fault Detected(결함 탐지)까지 걸리는 시간을 Fault Detection time interval이라 정의한다. Fault Detected 후 Safety State 진입까지 걸리는 시간은 Fault Reaction Time interval로 정의했다.
그림 1의 세 번째는 Emergency Operation이 구현돼 있는 경우에 safety mechanism이 작동하는 경우이다. Emergency

Operation이란 Fault Reaction Time Interval 후에 Safe State로 직접 진입하지 못하거나, 제 시간 내에 진입하지 못하는 경우에 임시적으로 safety를 제공하기 위한 모드이다. Emergency Operation Time Interval 동안 Emergency Operation 상태를 유지한 후 Safe State로 진입한다.

Part 2 변경사항

기존 1판에서 part 3에 포함돼 있던 impact analysis에 대한 요구사항을 part 2로 이동하면서 프로세스 상 좀 더 중요성을 부여했다. 재사용(reuse) 되는 엘리먼트는 반드시 impact analysis를 수행해야 하며, 그 결과를 고려해 프로세스 조정(tailoring)을 management 수준에서 진행해야 할 것이다. 또한 Impact analysis 결과는 모든 ASIL에 대해서 I3의 독립성을 가진 confirmation review의 대상이 됐다.

Confirmation measure는 가장 많이 변경된 부분으로, 표 3과 같이 변경됐다.


1판에서는 verification review가 필요한 단계별 주제와 ASIL 별로 그 필요성 여부에 대한 정보를 informative로 제공하고 있으나, 2판에서는 annex D overview of verification reviews는 전체가 삭제됐다. verification은 설계 단계에서는 요구사항 명세서, 아키텍처 설계, 모델, 소프트웨어 코드 등과 같은 work product에 대한 정확성, 완전성, 일치성을 확인하기 위한 것인데, 그 방법으로는 review, simulation, analysis 등이며, test를 통한 확인 역시 verification의 방법이다. annex D는 verification 방법 중 review 만을 언급하고 있어서 독자들에게 혼동을 줘 삭제하게 됐다. Verification 수행에 대한 요구사항은 대상 work product 별로 표준의 해당 part에서 기술하고 있으므로 삭제돼도 표준 요구사항이 변경되는 것은 아니다.

Annex E Guidance on potential interaction of functional safety with cybersecurity가 informative로 추가됐는데, 그 이유는 제어 시스템 안전에 기여하는 요소인 Functional safety와 cybersecurity 개발활동 간의 연계점을 가이드 하기 위해서다.
Table 2 - Procedural requirements for confirmation measures는 본문의 요구사항 내용을 중복하여 설명하고 있으므로 삭제됐다.

Table 2에 있는 수행 시점(timing) 등의 내용은 기존 1판에 본문 요구사항에 그 설명이 부족했기 때문에 2판에서는 보완 추가했다. 필드에서는 일부가 1판에서 audit, assessment, confirmation review가 각각 설명돼 있는 것을 audit, assessment, confirmation review를 각각 독립적으로 수행할 수 있는 것으로 해석해 개발 프로젝트에 적용하고 있었기 때문에 ISO 26262 의도와는 달리 적용되는 경우가 빈번했다. 이러한 점이 고려되어 table 2를 삭제하는 것으로 결정했다.

Part 3 변경 사항

Part 3에서는 6. Initiation of the safety lifecycle의 주요 개념과 내용을 part 2로 이동하면서 impact analysis의 프로세스 측면의 중요성을 강조하는 것으로 재배치했다.

Truck & Bus가 그 범위에 추가되면서 상용차에 대한 severity, exposure, controllability에 대한 정의 및 예제를 annex에 추가했다.

또한 FSC에서 다루어야 하는 내용을 좀 더 구체화 하여 결함 회피, 결함 탐지/제어, safe state 천이, fault tolerance, warning and degradation 등에 대한 전략을 다루도록 하고 있다.

Part 4 변경 사항

1판에서는 구분돼 있던 specification of the technical safety concept와 system design을 통합해 Technical Safety Concept 절에 모두 포함시켰으며, 그 내용을 좀 더 기술적으로 구체화했다. specification of the technical safety concept와 system design은 설계 시 같은 시점에 반복적으로 이뤄지는 활동인데, 1판에서 이를 나누어 설명해 많은 사람들이 서로 다른 독립적인 활동으로 오해했기 때문이다. 2판에서는 TSC 단계에서 TSR, safety mechanism, architectural design, safety analysis, HSI specification, POSD, verification을 모두 다루게 된다.

Table 2 properties of modular system design은 삭제했다. 이러한 설계 원칙은 QM에서도 필요한 기본적인 내용이기 때문에 ASIL 별로 구분해서 적용할 필요가 없기 때문이다. 대신 이 내용은 note로 설명하고 있다.

Test에 대한 여러 가지 표 중에서 기술적으로 유사한 것들을 통합했다. 이로 인해 몇몇 표들이 삭제됐으며, ASIL A에서 no recommendation 이었던 몇 가지 method를 recommended로 강화했다.

Functional safety assessment에 대한 내용은 part 4에서 삭제했고 part 2에서 일원화해 설명하고 있다. Release for production은 프로세스 성격과 이행순서를 고려해 part 2로 이동했다.

시스템 수준의 dependent failure 분석을 지원하기 위해 shared resource, communication, systematic coupling 등 dependent failure를 유발할 수 있는 요소들을 정리해 annex에 추가했다.

이러한 변경을 통해 part 4는 1판과 비교하여, 시스템 개발 시 고려해야 하는 technical engineering 측면의 내용들로 정리 및 변경됐다고 볼 수 있다.

Part 5 변경 사항

SPFM, LFM 분석은 1판의 경우 ASIL B는 권고, ASIL C, D는 필수사항이었다. 2판에서는 ASIL A도 권고사항으로 추가됐다. 하드웨어 소자에 대한 고장률/고장분포 산출 시 참고할 수 있는 표준으로 NPRD-2016, RIAC FMD-2016, SN29500, FIDES, IEC 61709 등을 추가했다. field return 기반 통계치는 신뢰 구간 최소 70%를 명시했다. 또한 고장 물리 기반 고장 메커니즘에 대한 내용인 SAE J1211과 JEDEC-JESD89 등 신뢰성 관련 참조자료 추가 및 부가 설명을 대폭 추가해 독자의 이해도를 높일 수 있도록 했다.

Scaling factor의 오용을 방지하고자 annex F는 제거했으나, 그 개념은 유지해 필드에서의 적용 가능성을 열어두었다.
하드웨어로 구성된 SEooC 개발 시 추정한 요구사항(assumptions)들을 하드웨어 안전 요구사항과 하드웨어 설계사양에 대비해 타당성 확인(validation)하는 요구사항이 새로 추가됐다.

하나의 아이템이 여러 가지 엘리먼트로 구성돼 있을 시, SPFM/LFM 목표 값을 각 엘리먼트에 할당하는 경우의 예제와 산술식을 예제로 추가했다. 예를 들어, 3개의 하드웨어 엘리먼트로 구성된 아이템이 있을 경우, 아이템의 전체 고장률 대비하여 각 엘리먼트가 가지는 고장률 비율과 SPFM 목표 값의 곱들을 합산한 것은 아이템의 전체 SPFM 목표 값 이상이 돼야 한다. 이러한 예제가 추가된 이유는 아이템의 SPFM/LFM 목표 값을 엘리먼트에 할당 시 의도적 또는 실수로 적게 할당하는 경우를 방지하기 위한 것이다.

ADAS는 Engine management system, electronic stability control system, electric power assisted steering 등 여러 가지 시스템 기능으로 구성되는 경우가 많다. 이러한 경우에는 아이템의 PMHF 목표 값을 구성하는 시스템 개수만큼 비례하여 증가하는 것이 합리적이다. 2판에서는 신규로 이러한 요구사항을 추가했다. 단, 고려해야 하는 시스템 개수는 최대 10개로 제한했다.

Annex B의 Figure B.2 - Example of flow diagram for failure mode classification가 수정됐다(그림 2).



하드웨어 엘리먼트의 고장 모드별로 안전관련 대상인지 여부를 파악하도록 됐으며, 안전 메커니즘의 진단 범위를 고려해 잔존고장률(Residual Failure rate)을 계산하는 등 실제 분석하는 절차를 플로(flow)에 반영했다.

Table D.1은 각 엘리먼트 별로 가질 수 있는 고장 모드에 대한 안전 메커니즘의 효과적인 진담 범위에 대한 일반적인 값을 1판에서는 60%, 90%, 99%로 명시하고 있으나, 시스템 내에서 각 엘리먼트가 어떤 역할을 하느냐에 따라 D.1에서 정의된 고장 모드에 대한 진단 범위가 실제로는 다를 수 있기 때문에 그 값을 삭제했고 표 이름을 Table 1 - Analysed failure modes로 변경했다.

대신 설계 시 참고할 수 있는 안전 메커니즘의 진담 범위에 대한 표는 table D.2부터 유지하고 있다. 단, Annex D에 명시된 이러한 진단 범위는 그 자체로 안전 메커니즘의 효과성에 대한 근거로 사용할 수는 없고, fault injection 시험이나 분석 등을 통해 입증해야 하는 것은 주의해야 한다. 또한 안전 메커니즘이 엘리먼트 수준에서 고장에 대한 효과성인 diagnostic coverage(DC)와 고장 모드 분포를 고려한 고장 모드 수준에서의 효과성인 failure mode coverage(FMC) 관계를 명확히 하여 수식과 함께 그 예를 추가했다.

Specific semiconductor elements에 대한 고장 모드는 삭제했고 part 11에서 이를 다룬다.

Part 5에 새로운 annex로 3개가 추가될 것으로 예상된다. 첫 번째 annex는 PMHF 목표 값을 충족하는 설계에 대한 것이다. PMHF 값을 계산할 때 고려하는 고장률, 고장 모드, 고장 모드 분산, 진단 범위 등의 값은 uncertainty를 가질 수밖에 없다. 이러한 특성 때문에 의도적으로 PMHF 값을 낮게 조작할 수 있다. 하지만 PMHF 목표 값이 가지는 의도는 그 숫자 자체를 맞추도록 강제하는 것이 아니라, 새로운 설계가 기존 설계 대비 안전성을 판단할 수 있는 가이던스를 제공하기 위한 것과 안전 목표를 충족하는 설계라는 것을 증명할 수 있는 하나의 증거로서 작용하기 위한 것이 더욱 크다.

따라서 PMHF 목표 값을 충족하지 못하더라도 안전하다는 것을 합리적으로 증명할 수 있다면 설계 안전성을 입증할 수 있는 것이다. 새로운 annex에서는 이런 관점에서 PMHF 목표 값을 만족하지 못했다 하더라도 PMHF 측면에서 안전 목표가 충족됐음을 보일 수 있는 방법론을 보여준다.

SPFM/LFM 분석 값을 기반으로 PMHF 값을 산출하고, PMHF 값에 기여도가 높은 part나 failure mode 또는 failure mode coverage가 상대적으로 낮은 part나 failure mode를 식별해 기존 설계에서는 어떤 이슈가 있었고, 이러한 이슈를 다루기 위한 최신 기술은 무엇인지, 필드에서의 문제점을 해결한 경험이 있는지 여부 등을 고려해 분석하고, 그 결과가 합리적이라면 목표 값을 충족하지 못한 설계 PMHF 값은 허용할 수 있는 것이다.

두 번째 annex는 시스템 수준의 PMHF 값을 센서(sensor), ECU, 액추에이터(actuator)에 분배하는 예제를 보여주고 있으며, 세 번째 annex에서는 fault 발생 시 detection 하여 제어하는 안전 메커니즘이 구현된 설계와 fault가 발생한 경우 detection 하지는 않으나, 제어가 가능한 안전 메커니즘이 구현된 설계 차이를 고려해 LFM을 계산하는 예제를 제공한다.

Part 5 역시 엔지니어링 측면의 기술적인 내용들이 대거 추가됐으며, 숫자 값(SPFM/LFM, PMHF, DC 등)에 대해 많은 사람들이 오해하거나 잘못 적용하고 있는 부분에 대해서 명확히 하는데 초점을 맞췄다.
 
[필자 소개]
· ISO TC22/SC32/WG8 한국대표
· ISO 26262 등 기능안전 컨설팅 및 교육
· ISO 26262 등 functional safety assessment (Porsche, Volvo, 현대차, 쌍용차 向 제어기 등 다수)
· Intacs™ Automotive SPICE competent assessor
· 전(前) 한국산업기술시험원(KTL) 책임연구원

 

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인


TOP