ASPICE 4.0서 요구되는 설계 분석 및 검증 위한 FMEA

2023년 11월 ASPICE 4.0 버전이 배포됐다. 몇 년 사이에 ASPICE에 대한 OEM의 요구는 점점 더 늘어나는 추세다. 따라서 자동차에 들어가는 소프트웨어를 개발하는 모든 회사는 ASPICE 인증에 대해 준비 및 대응이 필요하다. 이 글에서는 ASPICE 4.0이 배포된 시점에서 새롭게 언급하고 있는 안전 및 고장분석 방법 중 하나인 FMEA에 대해 이야기한다.   

글 | 노경현, CEO & 수석 컨설턴트, ASPICE & CMMI 선임심사원, VWAY
      김범석, 안전 및 사이버보안 분석 소프트웨어 기획자, VWAY   

노경현은 VWAY 대표이사로 자동차 기능안전성 전문가로 활동하고 있으며, 국민대학교 겸임 교수이다. ASPICE 및 CMMI의 선임심사원으로 안전 및 품질 프로세스 컨설팅을 담당하고 있다.  김범석은 VWAY의 안전 및 사이버보안 소프트웨어 개발 기획자이다. VisualPro STPA의 기획을 총괄하고 있으며 국내 STPA의 교육 및 컨설팅을 담당하고 있다.






ASPICE 4.0 

Automotive SPICE는 자동차 산업에서 소프트웨어 개발 프로세스의 품질을 향상시키기 위한 표준 모델이며, 이 모델은 ISO 15504 및 ISO 12207 국제 표준에 기반해 개발됐다. 자동차 제조업체 및 그들의 공급업체들이 소프트웨어 개발 프로세스를 개선하고, 품질을 보장하며 비용을 절감하는데 사용하는 SW 품질 체계다.
그리고 지난 2023년 11월 VDA QMC에서 ASPICE 3.1에 이어 ASPICE 4.0을 발표했다. 4.0은 이전 버전인 3.1 버전과 비교해 추가되거나 삭제된 부분이 있다. 특히 기존 3.1 버전 SYS.3.BP5에서는 시스템 아키텍처에 대해 대안의 시스템의 아키텍처를 평가하도록 했었다. 하지만 4.0의 SYS.3.BP3에서는 제품 라이프사이클과 관련된 기술 설계 측면에 대해서 시스템 아키텍처를 분석하도록 언급하고 있으며 이 기술적 측면의 정성적인 분석 방법으로 FMEA(Failure Mode and Effect Analysis)를 언급하고 있다. 



그림 1 | ASPICE 4.0의 SYS.3.BP3



이는 새롭게 추가된 HWE(Hardware Engineering Process Group) 파트에서도 HWE.2.BP4에서 동일하게 언급되고 있다.




그림 2 | ASPICE 4.0의 HWE.2.BP4



이 변화가 암시해 주는 바는 이제는 기존 아키텍처를 평가하는 방법을 넘어서 아키텍처를 분석해 더 안전하고 품질이 높은 제품을 만들 수 있도록 요구하는 것이라 본다. 기능안전성 ISO 26262, 의도된 기능안전성 ISO 21448, 사이버보안 ISO/SAE 21434에서 요구하던 안전 및 사이버보안 분석에서 요구하던 영역이 ASPICE에도 자리 잡게 됐다. 



AIAG-VDA FMEA 

FMEA, 고장의 형태에 따라 그 영향이 어떻게 영향을 미치는지 분석하는 널리 사용되고 있는 귀납적인 분석 방법이다. 다만 방법론이 많은 시간을 거치며 자동차 산업의 양대 산맥인 두 단체, 미국 AIAG과 독일의 VDA에서 각각의 기준에 맞게끔 제정되어 사용되고 있었다. 이는 동일한 분석을 각 제정된 표준에 맞게끔 다시 정리하는 불편함을 초래하게 됐고 두 협회가 만나 각자의 장점을 살려 2019년도에 제정한 것이 AIAG-VDA FMEA 방법이다. 


 

AIAG-VDA FMEA는 일곱 단계의 분석 방법을 가지고 있으며 아래의 그림을 통해 각 방법을 파악할 수 있다. 





그림 4 | AIAG-VDA FMEA 7단계, 출처 : AIAG & VDA FMEA Handbook, 2019



1단계는 기획 및 준비 단계로 분석 대상의 프로젝트를 식별하고 기본적인 정보를 정의하는 단계다. 2단계는 구조 분석의 단계로 시스템을 구성하는 단계로 시스템을 구성하는 가장 큰 시스템으로 시작해 세부 컴포넌트까지 이어지는 시스템의 구조를 시각화 단계다. 3단계는 기능 분석의 단계로 구성된 각 구조의 기능을 식별해 구조에 따른 기능 네트워크를 형성하게 된다. 4단계는 고장 분석으로 기능에 따른 고장을 식별하고 고장 네트워크를 형성, 각 고장의 영향에 따른 심각도를 판별하는 단계이다.

5번째 단계는 리스크 분석 단계로 식별된 고장에 대한 검출도 및 발생도를 측정하고 이에 따른 검출 및 예방 관리가 되어있는지 확인을 하는 단계이다. 6단계는 최적화로 리스크 분석에서 더 나아가 검출 조치와 예방 조치를 통해 개선된 검출도 및 발생도를 적용하는 단계이다. 

마지막 7번째 단계는 결과 문서화로 AIAG-VDA FMEA 양식에 따라 결과 데이터를 시각화 해 볼 수 있는 문서화하는 단계이다. 아래의 그림은 자사의 VisualPro FMEA에서 7단계인 결과 문서화에 대한 AIAG-VDA FMEA 결과 데이터를 보여주는 화면이다.




그림 5 | 자사의 VisualPro FMEA의 7단계 - 결과 문서화 화면



위와 같은 AIAG-VDA FMEA의 장점을 통해 특히 기존 FMEA와는 다르게 구조에 따른 기능 네트워크 및 고장 네트워크를 형성해 기능 및 고장의 인과관계를 효과적으로 식별할 수 있다. 아래와 같이 자사의 VisualPro FMEA를 통해 구조에 따른 효과적인 기능 네트워크를 형성했다.




그림 6 | 자사의 VisualPro FMEA의 기능 분석 단계



 또한 기존 RPN을 통한 중요도를 평가한 기존 FMEA과는 다르게 AP(Action Priority)라는 심각도를 중점으로 두어 평가하는 효율적인 방법을 사용했고 FMEA-MSR란 방법을 통해 설계 단계를 넘어 운용 단계에서까지 분석 범위를 넓혀서 분석이 가능하도록 지원한다. 이런 AIAG-VDA FMEA만의 분석 장점을 이용해 기존 FMEA 분석보다 분석의 신뢰성 및 효율을 높일 수 있게 됐다. AIAG-VDA FMEA 방법을 통해 이제 ASPICE에서도 아키텍처에 대한 안정성이 더욱 확보될 것이라고 본다.


남은 과제 

“Better safe than sorry - 안전하게 하는 것이 후회하는 것보다 낫다.” 라는 말이다. 

이를 반영하듯 ISO 26262 기능안전성, ISO 21448 자율주행을 위한 의도된 기능안전성, ISO/SAE 21434 자동차 사이버보안, 그리고 이제는 ASPICE까지 수많은 표준과 프로세스가 안전을 위해 많은 분석 방법을 제시하고 사용하도록 권장하고 있다. 

그리고 이미 FMEA, FTA, STPA, HAZOP, HARA, TARA 등 많은 방법론들이 안전이란 목표를 달성하기 위해 고안되고 제시돼 있다. 분석자는 이 수많은 방법을 어떻게 효과적으로 수행할 수 있는지가 중요한 이슈이며 이를 통해 도출된 데이터를 효과적으로 관리하는 것이 남은 과제가 될 수 있다. 이제는 이를 잘 지원할 수 있는 도구가 그 어느 때보다 필요한 시점이다.

---

AEM_Automotive Electronics Magazine