ISO 26262 대응 위한 신뢰성 방법론의 합성
2015년 09월호 지면기사  / 글│한 승 용 기자 _ jasmine77@empas.com



다양한 테스트, S/W 코딩 방식은 ISO 26262와 관련해 아직 효율성, 완전성 측면에서 충분히 대응하지 못하고 있다. 예를들어 안전 기능을 수행하는 단일 부품이나 시스템 관련 FMEA 혹은 FTA의 분석 결과만도 적게는 수십 장, 많게는 수백 장에 달하는 방대한 데이터를 수집하고 사용하기 때문에 장기적인 결과의 변동성, 간접비용 등을 최소화할 수 있는 분석 기법의 변형, 분석 방법론의 결합이 필요할 것으로 보인다.


SO 26262 발표 이전, 자체적인 모델링 등을 이용해 일반적으로 시스템 요구사항에 타깃(Target)을 맞춰오던 다양한 테스트, S/W 코딩 방식은 ISO 26262 발표 이후 효율성, 완전성 측면에서 충분히 대응하지 못하고 있다. 심지어 ISO 26262에 대한 제정 논의가 시작되던 때에 연구개발이 진행되던 전기차(하이브리드, 플러그인 하이브리드 포함)나 연료전지차는 기능안전성 표준 적용 대상에서 제외됐기 때문에 이들 분야에 대한 전기적, 화학적 파라미터를 고려한 또 다른 기능안전성 표준도 요구될 것으로 보인다.

방법론으로서의 FMEA(고장 모드 및 영향 평가)나 FTA(고장 수목 분석)는 비교적 오랜 기간 다양한 산업 분야에서 사용돼온 안전성 및 신뢰성 평가 기법이다. 하지만 ISO 26262 대응을 위해서는 보다 상세한 기능상의 요구사항, 안전상의 요구사항과 같은 ‘Specific Requirement’가 요구됨에 따라 전체 시스템 혹은 부품 대상으로 수행해오던 신뢰성 평가 기법에 대한 최소한의 변경(혹은 변형)이 요구되고 있다.

안전 기능을 수행하는 단일 부품이나 시스템 관련 FMEA 혹은 FTA의 분석 결과만 적게는 수십 장, 많게는 수백 장에 달하고, 이 방대한 데이터를 수집하고 사용하기 때문에 장기적인 결과의 변동성, 간접비용을 최소화할 수 있는 분석 기법의 변형, 분석방법론의 결합이 필요할 것으로 보인다.



가령 Input/Turbine Speed Sensor Circuit의 오류는 Solenoid Valve의 Shift 결함이나 엔진 냉각수 온도 센서 등의 문제로 인해 자동 변속기 차량의 주행 중 종종 나타나고, 일반적으로 엔진 경고등을 통해 운전자에게 시각적 정보를 제공한다.

위험 A 및 위험 B에 대한 안전 목표의 설정이 ISO 26262 대응을 위한 최초 업무가 되는데, 이때 안전 목표(Safety Goal)는 ISO 26262-1에 따라 최상위에 배치되는 비정상사건의 제거가 핵심 타깃이 된다.

기능안전성 콘셉트는 제시된 안전 목표를 달성할 수 있는 메커니즘이나 각종 조치에 대한 기본적 사항을 기능안전성 요구사항의 틀에서 기술하는 것이다. 이 콘셉트에는 수립된 안전 목표를 달성하기 위해 시스템 내에 존재하는 모든 부품에 적용돼야만 한다. 또한 기술적 안전 콘셉트에서는 어떻게 이러한 기능안전성 요구사항에 대해 기술적으로 수행해야 하는가에 초점을 맞춰야만 한다.



기능안전성 요구사항은 수용가능한 범위 내에서 안전 목표와 안전 상태를 제시해야만 하며, 이는 통상적으로 ISO 26262-3의 7.4.2.1에 따라 FMEA(고장 모드 및 영향분석), FTA(고장 수목 분석)와 같은 안전성 평가를 바탕으로 수립돼야 하고 세부사항 역시 고려해서 수립해야 한다.

위의 조건을 기초로 ISSC 오류(통상 Error Code: P0715)를 Top-Event로 해 크게 ECU로 인한 오류/ ECU 이외의 오류로 분류가 가능하고, 하위 Event들은 S/W오류나 제어장치의 오류, 부품의 오동작이나 속도인식 오류 등 여러 가능한 조합을 통해 복잡한 FT를 형성할 수 있다. 고속도로 주행이나 일반 도심주행 등 상황에 따라 ASIL 등급을 상이하게 부여할 수 있지만, 차량의 주행에 직접적인 문제가 되고 단시간 내에 정비/보수가 필요한 상황이기 때문에 높은 ASIL 등급을 부여하는 것이 적합하다.

물론 ISO 22626-3의 7.4.2.3에서 제시하는 warning and degration concept에 따라 조작자는 발생하는 오류 정보를 수집하거나 System 기능의 범위를 축소시킬 수 있다. 하지만 System의 오류 조건이나 오류 발생에 대한 간략한 시퀀스 등은 운전자에게 시각적으로 제공하도록 해야 한다. 또한 안전 목표 달성에 장애가 되는 오류들은 당연히 인식할 수 있어야 하고 제어 가능 또는 수정 가능해야 한다.

그리고 이들을 확인이나 입증 단계를 통해 안전한 상태(안전 공학 측면에서의 ‘안전한 상태’)를 유도하거나 일련의 기능상 문제점에 관해 일시적 비활성화를 위한 긴급조치를 해야만 하며, 지속적 오류 노출의 경우에는 운전자 등에게 ‘수리 요망’과 같은 신호를 송출하거나 표시하는 등의 조치가 이뤄져야 한다1).

기존의 신뢰성 분석 기법으로는
- 잠재 위험 상황이나 고장 모드(Failure Mode)
- 각 부품이나 시스템의 고장 빈도와 확률
- RBD(Reliability Block Diagram) 상 나타나는 Core Component의 구분
- Markov Process 분석을 통한 기능상의 중첩
등은 도출 가능하지만, 이를 모두 또는 상당부분은 포함해 나타낼 수 있는 분석 기법은 없다고 해도 무방하다.
수없이 많은 부품과 시스템으로 구성돼 있고, ECU의 비약적 발전으로 인해 멀티코어 칩의 사용이 증가해 기능 수행의 중복이나 상호 시스템 간 감시 활동의 빈도가 높아짐에 따라 향후 분석의 복잡성은 더욱 가중될 것이다. 또 추적성(Traceability) 역시 보장하기 어려운 수준에 다다를 수도 있다.

FTA 상 얻어지는 Minimal-Cut-Set과 FMEA 상에서 도출할 수 있는 고장 모드와의 유사성, RBD 내 Core Component(또는 시스템)와의 조합을 통해 새로운 변형된 복합 신뢰성 분석 기법의 개발이 가능할 것으로 보인다.

다음 호에는 이같은 상황에서 사용할 수 있는 신뢰성 분석기법의 결합에 대해 다뤄보겠다.



1. 추가적으로 운전자, 동승자 또는 기타 인원에 의해 조치가 필요한 요구사항은 안전 목표 달성을 위해 (ISO 26262-3의7.4.2.7 - Action of the driver ... necessary to fulfil
the safety goals) 정의돼야만 한다: P0715 Error의 경우 해당 사항에 대한 요구 낮음

 



<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>


  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP