도로 주행 차량의 기능안전
ISO 26262에 따른 개발 툴의 인증
2010년 10월호 지면기사  / 글│위르겐 클라만 박사, 스테판 크리소 박사, Robert Bosch GmbH, 마커스 게하르트, ETAS

도로 주행 차량은 도로 교통에 이용되기 위해 과학적·기술적인 성숙도 측면에서 최고 수준의 요구사항을 준수해야 한다. 제조물책임법(Product Liability, PL)에 대응하기 위해서는 최소한 적용 규격을 준수해야 한다. ISO 26262 규격의 정식 발행일 이후, 시장에 출시되는 모든 제품은 이 규격을 준수해야 한다.
보쉬는 향후 출시되는 전기/전자 시스템에 대해 최신 안전 규격을 준수할 방침이다. 이에 따라, 회사의 개발 프로세스의 일환으로 사내의 개발 툴에 대한 ISO 26262 규격 인증(qualification)을 위한 작업에 이미 착수했다.

소프트웨어 툴
ISO/DIS 26262 규정에서, “소프트웨어 툴(software tool)”은 소프트웨어로 구성된 툴을 가리킨다. 이 용어는 소프트웨어 개발용 툴 뿐 아니라, 하드웨어 개발과 ECU 캘리브레이션에 사용되는 애플리케이션 프로그램이나 요구사항 관리 등 시스템 수준에서 도입되는 프로그램도 가리킨다.
소프트웨어 툴의 인증을 지향하는 목표는 그 툴의 품질을 유지하고, 툴을 활용해 제품의 잠재적인 불량을 예방하는데 있다. 이 목표를 달성하기 위해, ISO 26262는 다음과 같은 방안을 제공하다. 즉, 제품 개발 프로세스에 적절한 수단을 도입하기 위한 툴이 불량을 일으키지 않도록 할 수 있다. 한편으로는 후속 프로세스에서, 혹은 조직적인 대책을 강구하기 위한 툴에 의해 발생한 불량을 식별하고 제거할 수 있다. ISO 26262와의 적합성을 보증하기 위해서는 안전 관련(safety-relevant) 전자 제품의 개발에 도입된 모든 소프트웨어 툴들에 대해 그 제품의 고유 개발 프로세스에 따라 평가를 받아야 한다. 한편, 프로세스를 구성하는 개별 툴에 대해서는 ISO 26262 보증 대상이 되지 않는다는 사실을 유의할 필요가 있다. 흔히 사용하는 “샘플 프로세스”의 인증조차도 특정 소프트웨어 제조업체의 고유한 개발 프로세스에 적용된 경우에 이 목적을 달성하지 못한다. 그렇지만, 개발 프로세스 전반에 걸쳐 툴의 도입이 표준 구성에 기반하고 있다면, 결과의 재사용성을 잘 활용해 툴의 적합성 인증을 조기에 실현하는 방법을 확립할 수 있다. ETAS의 코드 생성기 ASCET-SE가 세계 최초로 IEC 61508 인증을 취득한 예와 같이 적절한 해석을 연계해 조기에 검증이 이뤄지면, ISO 26262 적합 프로세스의 일환으로서 툴의 인증 취득이 상당히 용이해진다.

툴 분류
인증 프로세스의 첫 단계는 특정 툴이 개발 공정에서 적용되는 모든 유스 케이스들의 클래스를 나누는 것이다. 예를 들면, 문서화하는 데 사용되는 애플리케이션을 처리하는 텍스트 파일을 저장할 때 글꼴만 변경되면, 안전 관련(safety-relevant)으로 분류되지 않는다. 그러나 파일 저장에 의해 관련 정보의 변경이 생길 경우에는 상황이 다르다. 전자의 경우는 툴이 결과의 내용에 영향을 미치지 않기 때문에, 그 이상의 인증 대책은 필요하지 않다. 후자의 경우는 이후 개발 공정에서 어떤 평가나 테스트를 통해 툴이 일으킨 결함이 검출되는 확률까지 알아낼 필요가 있다.
품질관리 대책은 툴이나 혹은 프로세스 단계(정합성 검사 등)를 추가 도입함으로써 실현할 수 있다. 높은 확률로 오류를 일으키는 툴을 배제하기 위한 적절한 검증 수단을 개발 공정에 도입할 수 없다면, 툴 인증에  적합한 대책이 요구된다. 소프트웨어 툴의 클래스 분류 결과는 해당 툴이 개발 공정에 도입돼 있는 상황에 따라 크게 좌우된다   (그림 1).



<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>


  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP