KPIT Korea가 ‘ISO 26262 해외 가이드라인 쉽게 이해하기’를 5회에 걸쳐 연재한다. KPIT의 멤버들은 KPIT Japan의 도움으로 JASPAR의 ISO 26262 W/G의 멤버 활동을 하고 있으며, 유럽 ISO 26262 가이드라인과 일본 ISO 26262 가이드라인을 비교 분석해 KPIT의 사내 규격인 영문 ISO 26262 가이드라인 작성과 AUTOSAR 4.2.1의 ISO 26262 templates 자동생성 기술을 개발하고 있다. 이번 회는 ISO 26262 Part3 가이드라인 - Concept다.
1. ISO 26262 해외 가이드라인 소개
2. ISO 26262 Part3 가이드라인 - Concept
3. ISO 26262 Part4 가이드라인 - System
4. ISO 26262 Part5 가이드라인 - HW
5. ISO 26262 Part6 가이드라인 - SW
해외 OEM의 ISO 26262 준수와 AUTOSAR 적용 요구
국내 서플라이어가 해외 OEM에 전장부품을 납품하기 위해서는 해외 OEM으로부터 RFQ(request for quotation, 견적 요청)를 받아 입찰에 참여해야 하는데, 크게 4가지(표 1) 대응 여부에 따라 입찰의 성패가 결정된다.
그런데, 해외 OEM의 RFQ는 수 1,000페이지에 각종 ISO/IEC 표준 및 AUTOSAR 용어가 포함돼 있어 아무리 영어를 잘하더라도 사전에 국제표준 용어에 대한 이해가 없으면 해석이 어렵다. 이들은 친절하고 상세하게 설명을 해주지 않는다. 해외 OEM의 경우 국제표준에 따른 협업 업무 프로세스를 제대로 이해해 서플라이어가 대응하길 바란다. OEM은 Vehicle level(차량 레벨)의 새로운 Function(기능)을 주도, 직접 개발한 Master ECU가 서플라이어의 ECU를 Slave로 관리한다. 즉, 해외 OEM의 RFQ 핵심 요구사항으로 기존에 양산된 적이 없는 Master-Slave 형식의 새로운 개념에서 Vehicle level의 Functional Architecture가 적용되는 것이다.
Master-Slave 형식의 개념은 1대 차량에 탑재되는 핵심이 되는 Supplier의 ECU에 OEM이 Supplier로부터 필요한 정보를 인식/판단/제어하기 위해서 개발한 SWC를 Slave 역할로 탑재를 하고, OEM이 개발한 ECU에서 Master 역할로 SWC로 개발해 다른 OEM과 차별화된 Vehicle level의 기능 구현할 수 있다(그림 1). Vehicle level의 기능 구현 예를 들면 자율주행, 고안전, 고편의, 연비향상 등이 포함된다.
위와 같은 내용을 언급한 이유는 ISO 26262 Part3을 왜 OEM이 주도해 진행해야 하는지를 설명하기 위해서다.
Functional Architecture 소개
2003년부터 유럽 중심으로 OEM-서플라이어 간 협업 관계 강화를 위해 Architecture 관점에서 해결책을 고민하기 시작해 AUTOSAR에 피드백해 반영하고 있다(그림 2). 그 결과물인 Functional Architecture는 OEM 입장에서 여러 서플라이어와의 협업에서, Vehicle level에서 System design level까지 Architecture를 고려해 Vehicle 기능을 효율화하는 것이다.
Functional Architecture는 AUTOSAR 뿐만 아니라, ISO 26262와 MBD(Model Based Development)의 개념을 포함시켜, EASIS(Electronic Architecture and System Engineering for Integrated Safety Systems) Engineering Process를 정립했다(그림 3 ~ 6).
현재 해외 OEM은 EASIS Engineering Process를 바탕으로 OEM-서플라이어 협업 프로세스를 자체적으로 만들어 서플라이어에게 RFQ로 자사의 OEM-서플라이어의 협업 프로세스에 대한 설명과 해당 프로세스를 따라 개발 납품할 것을 요구하고 있다.
ISO 26262 Part3 Concept Phase
ISO 26262의 Part3은 4가지 프로세스를 가지며 다음과 같다.
1. 3-5 Item definition: 개발할 ECU의 ISO 26262 적용 대상 범위에 대한 Item 정의
2. 3-6 Initiation of the safety lifecycle: Part2의 Safety Plan(2-6.5.1)에 대한 재정립
3. 3-7 Hazard Analysis and risk assessment: H&R를 통한 Safety Goal과 ASIL 등급 정의
4. 3-8 Functional safety concept: Functional Safety Requirement(FSR)를 정리
ISO 26262의 전체 업무 프로세스는 1. 개발할 ECU의 대상 범위에 대한 Item 정의를 시작으로, 2. OEM과 서플라이어의 기존에 준비된 Internal process(내부 프로세스)인 Part2 기능안전성 관리(Management of functional safety)의 Safety Plan(2-6.5.1)을 바탕으로 쌍방 간의 Safety Plan을 재정립해, 3. OEM 주도로 서플라이어와 함께 Part3는 콘셉트 단계(Concept Phase)의 Hazard Analysis and risk assessment(H&R)를 실시하고, 이후 OEM과 서플라이어는 Part8 지원 프로세스(Supporting processes)의 Development interface agreement(DIA, 8-5.5.2)를 체결한다. 그런 다음에 4. OEM과 서플라이어가 협력해 Functional safety concept를 피드백해 실시한다.
DIA는 OEM-서플라이어의 개발협력 계약서로 OEM과 서플라이어 쌍방이 Safety Manager를 지정해, ISO 26262의 각각 Work Product(산출물)에 대해 OEM과 서플라이어가 수행할 역할과 책임자를 결정, 공동으로 Safety life cycle과 설계 자료에 대한 합의, 쌍방의 정보교환에 대한 내용 기술, 서플라이어 컴포넌트의 ASIL 등급 지정, Supporting processes 및 Confidence in the use of software tools(Tool의 적합성 확인), 보고 경로 규정과 안전성에 관련된 사항 보고, Safety Assessment 활동의 코디네이트 등을 협의한다.
참고로 해외 OEM의 RFQ에는 ASIL 등급의 목표가 명시돼 있다.
JASPAR의 ISO 26262 가이드라인 Part3 Concept Phase
일본 JASPAR에서 Part3은 OEM 주도하에 실시한 내용이라고 판단해, ISO 26262 가이드라인에서 제외시켰다. 그렇지만, 올해 4월 1차 기능안전성 정기회의를 통해 Part3의 업무 내용에 대해 간단하게 설명했는데, 이때 EPB(Electronic Parking Brake)에 대해 Part3의 적용사례를 설명했다.
그림 7의 Part3 업무 프로세스와 같이 개발할 ECU Item의 대상 범위를 정의하고, Part3-7 H&R에서 HAZOP(HAZard Analysis and OPerability study)을 실시해 여러 개의 Hazard를 식별하고 Safety Goal과 ASIL 등급을 정의했다(표 2). 그리고 Safety Goal과 ASIL 등급을 바탕으로 FTA(Fault Tree Analysis)를 실시해 FSR(Functional Safety Requirement)을 도출하고 Part3-8 FSC(Functional Safety Concept)를 완성했다. 참고로 FSC는 여러 개의 FSR의 총 묶음을 의미한다.
마지막으로 안전설계를 검증하기 위해서 FTA(Fault Tree Analysis)를 실시해 누락되거나 잘못 지정된 Basic Event가 없는지 재확인한다. 참고로 Basic Event는 TopEvent를 결함(failure)으로 이르게 하는 하나의 사상(Event)이다(그림 8). JASPAR의 ISO 26262 가이드라인 Part3의 FSC에서는 기능(function) level FTA를 수행하며 구체적인 HW Component를 고려하지 않은 Vehicle level 기능을 중심으로 FTA를 실시하는 것이 특징이다. 또 Quantitative(정량적) FTA처럼 FIT(고장률을 나타내는 단위로 10억 시간에 1회 고장)를 계산하지 않는다.
유럽 SAFE의 ISO 26262 가이드라인에서 Part3 Concept Phase
유럽 SAFE의 ISO 26262 가이드라인은 OEM-서플라이어가 협력해 ISO 26262 Work Product를 데이터베이스로 XML을 도입 정형화를 목표로 하고 있다. 따라서 구체적인 데이터 정보가 언급돼 있다. 또 지난 연재에서도 언급했듯이 SAFE의 ISO 26262 가이드라인은 ISO 26262의 Part별로 나눠지지 않고 여기저기 분리돼 있어, ISO 26262 표준문서 Part1 ~ 10까지 정독해 이해한 후에 SAFE의 ISO 26262 가이드라인을 보지 않으면 전체 구성을 알아보기 힘들게 돼 있다.
참고로 ISO 26262 Part3에 관련된 SAFE의 문서로는 아래와 같은 3가지 문서를 집중적으로 읽어보면 된다.
1. D3.1.1.b Update of final proposal for extension of SAFE meta model for safety requirement expression modeling
2. D3.1.2.c Update of final proposal for extension of SAFE meta model for safety requirement expression modeling
3. D3.3.1b Methodology and Tool specification for analysis of qualitative and quantitative cut-sets issued from error failure propagation analyses
SAFE는 Part 3-7 H&R에 대해 JASPAR처럼 HAZOP 등과 같은 Safety Analysis를 요구하지 않으며, Safety Requirement를 도출하기 위해서만 Safety Analyses를 실시한다(그림 9). 또한 SAFE의 설명에 따르면, 3-7 H&R에서 Hazardous Event(1개의 Operational Situation과 1개 Hazard의 조합을 의미하며, Hazardous Event 발생하면 Safety Goal을 위배함)를 도출해 Safety Goal과 ASIL 등급을 결정해야 하며, JASPAR의 HAZOP과는 다르게, 구체적인 차량 시나리오 내용이 기술되기를 요구한다(그림 10 ~ 11).
SAFE에서는 Part3-8 FSC(Functional Safety Concept)을 도출하기 위해 Safety Analyses를 다음과 같이 SFMEA(System FMEA) → Qual.(정성적) FTA → Quant.(정량적) FTA을 실시하는데, SFMEA에서는 Safety Mechanism을 고려하지 않은 것과 고려한 것의 효과가 기술이 돼야 하며, Quant.(정량적) FTA에서는 FIT 값을 계산해 Part5-9.4.2.1의 Table6의 ASIL 등급에 따른 Residual Risk Metric을 만족해야 하도록 해야 한다(그림 12).
일본과 유럽의 ISO 26262 Part3 가이드라인 비교
일본 JASPAR의 ISO 26262 가이드라인은 서플라이어가 최소한의 범위로 작성해야 하는 내용을 중심으로 작성됐으나, 유럽 SAFE는 OEM-서플라이어가 협력해 최대한의 범위로 작성해야 하는 내용을 중심으로 구체적으로 기술돼 있다. 그림 10의 ISO 26262 Part10의 Figure3을 바탕으로 ISO 26262 level에 대해서 그림 13과 같이 정의했다. 유럽 SAFE에서는 OEM이 Functional Architecture를 고려해 Item의 Function(기능)을 정의하는 것을 시작으로 ISO 26262 대응이 필요하다.
마치며
필자는 Part3에 대해 좀 더 자세한 내용을 기술하고 싶었으나, 페이지 제한으로 많은 정보를 독자들에게 전달하지 못한 것이 아쉽다. 국내에서도 OEM이 주도해 Functional Architecture를 고려, ISO 26262 Part3을 정의하고, 서플라이어가 ISO 26262에 잘 대응할 수 있도록 협력하는 것이 중요하다.
유럽 SAFE에서는 올 11월 30일까지 새로운 ISO 26262 가이드라인 문서를 지속적으로 공개하고 있기 때문에 정보를 모니터링하면서 공부할 필요가 있다. 다음 연재에서는 “3. ISO 26262 Part4 가이드라인 - System”을 설명하면서 역시 일본과 유럽 가이드라인의 차이를 다룰 예정이다.
<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>