ISO 26262란 무엇입니까?

ISO 26262("도로 차량 – 기능 안전")는 국제 표준화 기구(ISO)에서 만든 국제 안전 표준으로, 도로 위 차량의 전기 및/또는 전자(E/E) 시스템에 대한 안전한 설계 및 개발을 위한 지침을 제공합니다. 2011년에 처음 공식화되어 2018년에 개정되었습니다.

ISO 26262는 공식 규정이 아닙니다. 대신, 차량 OEM(Original Equipment Manufacturer)과 해당 공급업체가 차량의 전기 및 전자 시스템을 개발할 때 안심하고 따를 수 있는 첨단 산업 분야별 안전 관련 지침을 확립합니다.

전체적으로 이 표준은 자동차 산업 분야의 주요 이해 관계자와 소비자 간의 신뢰를 증진합니다. 이 표준은 국제전기기술위원회에서 개발한 IEC 61508 표준에서 파생되었습니다.

차량 전자 장치는 큰 발전을 이루었습니다. 1950년대 최초의 트랜지스터화된 자동차 라디오부터 시작하여 1960년대 전자 점화 시스템, 1970년대 엔진 제어 장치, 1980년대 잠김 방지 브레이크 시스템, 1990년대 인포테인먼트 시스템, 2000년대 첨단 운전자 지원 시스템의 개발을 목격할 수 있었습니다.

자동차 전자 장치 비용은 전체 차량 비용의 백분율로 보았을 때 1970년의 5%에서 2010년에는 35%로 상승했으며, 2030년에는 수치가 50%에 완전히 도달할 것으로 예상됩니다. 현 상태에서, 최신 차량에는 무려 3,000개의 반도체 칩이 설치되어 있습니다. 이것은 성능 및 비용 면에서의 개선을 통해 기계적 시스템에서 메카트로닉 시스템으로 시스템 기능의 일반적인 이동을 반영합니다.

예를 들어, 엔진 성능을 최적화하기 위한 즉각적인 계산을 수행하는 메카트로닉을 엔진 제어에 사용하면 차량 제조업체에 디지털 기술로 가능한 것이 무엇인지 보여줄 수 있습니다.

실제로 디지털 센서는 스로틀 위치, 크랭크축 위치, 흡입 공기량, 온도 및 배기 가스 내 산소 농도와 같은 다양한 매개변수를 모니터링하여 차량의 연료 소비를 현저하게 개선할 수 있습니다.

이것은 E/E 시스템으로 달성할 수 있는 차량 기능의 상당한 개선을 시사하며, 기계 시스템 단독으로는 달성할 수 없습니다. 최신 차량에서 메카트로닉 시스템은 다음을 비롯한 다양한 기능을 지원합니다.

• 파워 스티어링
• 첨단 운전자 지원 시스템(ADAS)
• 잠김 방지 브레이크 
• 자동 변속 장치(컨트롤러 칩, 속도 센서 및 반도체 전력 스위치를 통합하여 지형에 따른 기어 변속과 같은 정교한 기능 지원)

따라서 E/E 시스템의 유해 요소로 인한 위험을 최소화하기 위해 국제 표준 기구는 자동차 부문의 고유한 특성을 충족하는 일련의 포괄적인 기능 안전 목표 및 요구 사항을 공식화했습니다(자동차 전기/전자 시스템에 대한 기능 안전 표준 IEC 61508에서 개정).

기능 안전 요구 사항

ISO 26262 안전 요구 사항에서는 개발, 생산, 작동, 정비 및 폐기와 관련된 활동을 포함하여 차량의 전체 수명 주기를 다룹니다.

ISO 26262의 초판은 2011년(ISO 26262:2011)에 발표되었으며, 최대 총 중량 3,500kg의 "대량 양산 승용차"에 설치된 E/E 시스템의 기능 안전을 다룹니다. 개정판은 2018년(ISO 26262:2018)에 발표되었으며 모페드를 제외한 모든 도로 차량을 다룹니다.

IEC 61508과 마찬가지로 ISO 26262는 위험에 기반한 표준으로, E/E 시스템 고장으로 인한 위험의 정성적 평가를 제공합니다.

ISO 26262의 목표는 다음과 같습니다.

• 기능 안전: ISO 26262는 요구 사항 사양, 설계, 구현, 통합, 검증, 타당성 확인, 및 구성을 포함하여 개발 프로세스 전반에 적용 가능한 기능 안전 측면을 간략하게 기술합니다. 이 표준은 결함이 있는 상황을 감지하고 이에 대응하는 방법을 정의함으로써 도로 사용자를 차량 전자 장치 및 소프트웨어의 결함으로 인한 부상으로부터 보호하는 것을 목표로 합니다.
• 자동차 안전 수명 주기: ISO 26262는 관리, 개발, 생산, 작동, 정비 및 폐기를 포함한 자동차 안전의 전체 수명 주기를 다루는 포괄적인 프레임워크를 제공합니다. 또한 이러한 단계를 진행하는 동안 맞춤형 활동을 지원하여 차량 수명 주기 전반에 걸쳐 안전이 유지되도록 합니다.
• 위험 관리: ISO 26262는 E/E 자동차 시스템의 설계 및 개발과 연관된 위험을 최소화하여 위험 요소 및 생명을 위협할 가능성이 있는 고장을 방지합니다. 허용 가능한 수준의 잔류 위험을 달성하여 시스템이 최대한 안전하도록 보장합니다. 이 표준은 ASIL(자동차 안전 무결성 수준)로 알려진 위험 등급을 판단하여 위험 기반 접근 방식을 채택합니다. 이 등급은 허용 가능한 수준의 잔류 위험에 도달하기 위한 안전 요구 사항을 지정하는 데 도움이 됩니다.
• 타당성 확인 및 확인: 이 표준은 충분하고 허용 가능한 안전 수준에 도달할 수 있는 타당성 확인 및 확인 수단에 대한 요구 사항을 제공합니다. 또한 시스템 및 차량 수준 모두에서 안전 메커니즘에 대한 테스트 및 검증의 중요성을 강조합니다.

기계, 전기, 전자 및 소프트웨어 분야의 통합은 차량의 시스템 고장 위험을 증가시킵니다. 따라서 ISO 26262는 이러한 위험을 완화하기 위한 시스템 요구 사항 및 프로세스에 대한 포괄적인 지침을 제공합니다. 

이 표준에는 다음이 포함됩니다.

• 개념부터 폐기에 이르기까지 여러 단계의 안전 점검을 포함하는 포괄적인 안전 수명 주기를 간략하게 기술합니다.
• 전기 및 전자(E/E) 시스템의 기능 안전에 중점을 두면서 다른 차량 시스템과의 통합도 다루어 전체적인 차량 안전을 보장합니다.
• 기능 안전을 달성하기 위해서는 기능 개발 활동(예: 요구 사항 사양, 설계 및 구현)과 품질 지향 활동(예: 검증, 타당성 확인, 및 확인 수단)이 모두 필요함을 강조합니다.

다음은 ISO 26262 표준을 구성하는 12개 섹션의 세부 정보입니다.

1부: 용어

1부에서는 전체 표준에 적용되는 용어, 정의 및 약어에 대해 간략하게 설명합니다. "결함(Fault)", "오류(Error)" 및 "고장(Failure)"의 정의에 주의하십시오.

2부: 기능 안전 관리

2부에서는 안전 관련 활동을 수행하는 담당자가 보장해야 하는 조직 요구 사항을 간략하게 설명합니다. 

3부: 개념 단계

3부에서는 통합된 각 아이템(시스템 또는 하위 시스템)에 대한 제품 개발 초기 단계에서 위험 분석 및 위험 평가(HARA)를 수행하는 방법을 설명합니다. 또한 파악된 위험을 기능 아키텍처로 해결할 수 있는 방법도 설명합니다.  

4부: 시스템 수준에서의 제품 개발

4부에서는 기술 아키텍처 설계, 아이템 통합 및 시스템 수준에서의 테스트를 다룹니다. 이 개발 단계에서 엔지니어는 고장 트리 분석(FTA)과 고장 모드 및 영향 분석(FMEA)을 빈번하게 수행합니다.

5부: 하드웨어 수준에서의 제품 개발

5부에서는 하드웨어 메트릭 평가를 포함하여 하드웨어 설계, 통합 및 검증에 대해 다룹니다.

6부: 소프트웨어 수준에서의 제품 개발

6부에서는 소프트웨어 아키텍처 및 단위 설계, 구현, 통합 및 검증에 대해 다룹니다. 

7부: 생산, 작동, 정비, 폐기

7부에서는 안전 관련 시스템 및 아이템의 생산 공정에 대해 설명합니다. 또한 이러한 아이템의 작동, 정비 및 폐기에 대한 세부 정보도 포함되어 있습니다.

8부: 지원 프로세스

8부에서는 안전 수명 주기 전반에 걸친 지원 프로세스의 구현에 대해 설명합니다. 변경 관리 요구 사항, 문서 관리 요구 사항, 툴 평가 및 자격 요구 사항 등을 간략하게 설명합니다.

9부: 자동차 안전 무결성 수준(ASIL) 지향 분석 및 안전 지향 분석

9부에서는 ASIL 분석 요구 사항 및 안전 분석 요구 사항(종속 고장 분석 및 요소 공존 기준 포함)을 명시합니다.

10부: ISO 26262에 대한 지침

10부에서는 ISO 26262의 다양한 부분에 대한 추가 설명을 제공합니다.

11부: 반도체에 대한 표준 적용 지침

11부에서는 반도체 부품의 개발, 생산 및 작동에 대해 다룹니다. 다양한 반도체 기술 및 사용 사례를 설명하고 몇 가지 안전 수명 주기 활동을 수행할 수 있는 방법에 대한 지침을 제공합니다.

12부: 오토바이에 ISO 26262 적응

섹션 제목에서 알 수 있듯이 12부에서는 오토바이에 대한 ISO 26262 적응에 대해 설명합니다.

법적 의무는 없지만 ISO 26262는 차량의 수명 주기 전체에서 전기 및 전자 시스템 통합에 대한 확신을 제공하는 중요한 안전 표준입니다.

또한 ASIL을 통해 위험을 평가하기 위한 신뢰할 수 있는 방법론을 포함합니다. 따라서 ISO 26262는 다양한 차량 유형 및 기술에 대한 전체 자동차 수명 주기를 다루는 포괄적인 표준입니다.

신뢰할 수 있는 자동차 기능 안전 표준으로, 다음과 같은 특징이 있습니다.

• 설계 워크플로 개선: ISO 26262는 자동차 시스템에서 하드웨어 및 소프트웨어 통합의 복잡성을 다루며, 하드웨어 개발 및 소프트웨어 개발에 대한 지침을 제공합니다.
• 차량 안전 개선: ISO 26262는 자동차 전자 장치 및 전기 시스템의 전체 안전 수명 주기를 다루며, 제조업체, 해당 공급업체 및 기관(미국 고속도로 교통 안전국 포함)에 대한 단일 참조 지점을 제공하여 강력한 안전 관리 개발, 생산 및 테스트 절차를 보장합니다.
• 신뢰성 개선: 자동차 산업의 제조업체, 공급업체, 소비자 및 기타 이해 관계자는 인정된 일련의 표준을 준수함으로써 차량 및 부품의 안전에 대한 확신을 가질 수 있습니다.

다음은 ISO 26262 설계 및 검증 프로세스의 개요입니다.

1. 아이템 목록: “아이템(Item)”이라는 용어는 ISO 26262 내에서 특정한 의미를 가지며, 차량 수준에서 기능(또는 기능의 일부)을 수행하는 시스템(또는 시스템의 조합)을 설명합니다. 따라서 ABS(잠김 방지 브레이크 시스템)와 같이 프로세스에서 식별된 가장 높은 수준의 개체입니다.
2. 간략한 최상위 기능 설명: 각 아이템(하위 시스템 포함)의 기능적 요구 사항을 간략하게 설명합니다.
3. 가능성이 있는 위험 식별: 미리 정의된 일련의 위험 이벤트(예: ABS 고장으로 인한 미끄러짐)를 참조하여 각 아이템에 대해 위험 분석 및 위험 평가(HARA)를 수행합니다.
4. ASIL 할당: 자동차 안전 무결성 수준은 A(가장 덜 심각)에서 D(가장 심각, 생명을 위협함)의 범위이며 세 가지 요인 즉, 노출 확률, 제어 가능성 및 위험 심각도를 기반으로 합니다.
5. 안전 목표 파악: 안전 목표는 HARA에서 차량 수준의 최상위 안전 요구 사항으로 식별된 위험 사고로부터 도출됩니다. 각 안전 목표에는 ASIL 등급이 있으며 하나 이상의 위험과 연결될 수 있습니다.
6. 기능 안전 요구 사항 지정: 고장 트리 분석(FTA)과 같은 안전 분석을 수행하여 안전 목표 위반으로 이어질 수 있는 위험한 이벤트의 근본 원인을 파악합니다. 이 분석은 기능 안전 개념(FSC)을 확립하는 데 도움이 됩니다. 후자는 관련 고장의 영향을 해결하는 데 필요한 안전 조치를 명시하고 시스템 아키텍처 설계 또는 외부 조치에 기능 안전 요구 사항을 할당하는 것을 목표로 합니다.
7. 기술 안전 요구 사항 명세: 기술 안전 요구 사항을 지정하고 위에서 언급한 기능 안전 요구 사항을 충족하는 시스템 아키텍처를 설계하는 기술 안전 개념(TSC)을 확립합니다. 기술 안전 요구 사항은 시스템 요소에 할당됩니다.   
8. 제품 설계: 제품 설계 중에 엔지니어는 위에 설명된 기술 안전 요구 사항에 따라 제품을 개발합니다.
9. 검증 및 타당성 확인: 안전 엔지니어는 검증을 통해 안전 요구 사항에 대한 제품 설계를 검증할 수 있으며 타당성 확인을 통해 실제 시나리오에서 테스트할 수 있습니다.

표준 8부에 설명된 대로 개발 수명 주기 전반에서 지원 프로세스(생산, 작동, 변경 관리 및 품질 관리)는 규정 준수 요구 사항을 충족하는 데 중요한 역할을 합니다.

규정 준수를 보장하기 위해 제조업체와 공급업체는 "확인 수단" 절차를 준수하면서 ISO 26262 내에 제공된 기능 안전 지침에 따라 제품 및 프로세스를 확인해야 합니다. 이러한 조치는 다음 세 가지 범주로 그룹화됩니다.

• 확인 검토: 특정 작업 결과물이 관련 ISO 26262 목표 및 요구 사항을 달성하고 있는지 판단합니다.
• 기능 안전 감사: 구현된 프로세스가 ISO 26262 목표와 요구 사항을 달성하고 있는지 판단합니다.
• 기능 안전 평가: ISO 26262 목표와 요구 사항이 달성되었는지 여부를 판단합니다. 기능 안전 평가는 확인 검토 및 기능 안전 감사 결과를 고려해야 합니다.

ISO 26262는 도로 차량에서 전기 및/또는 전자 시스템의 복잡성 증가에 대한 대응으로 도입되었습니다. 그에 따라 규정 준수 아이템 설계의 복잡성도 증가했습니다.

이러한 맥락에서 자동차 엔지니어는 다음과 같은 과제를 해결해야 합니다.

• 각 부분에 제공된 광범위한 목표와 요구사항을 고려하면서 ISO 26262의 모든 부분 준수
• 개발할 시스템(소프트웨어 정의 차량 아키텍처, 고도로 자동화된 주행 시스템, 인포테인먼트 시스템 등)의 복잡성 증가 
• 최종 사용 목적과 관련된 안전 요구 사항에 대한 지식 없이 타사 OEM을 위한 칩을 설계하는 OEM 및 공급업체의 일반 플랫폼 개발. 이 경우 설계자는 가정을 해야 하며 이러한 가정에 대한 완벽한 문서를 제공해야 합니다.
• 광범위한 설계 데이터, 종속성, 지적 재산 및 문서를 모니터링해야 할 필요성
• 개발 프로세스에 사용되는 모든 툴, 시스템 또는 아이템의 IP 소유권을 추적하는 기능. 엔지니어는 모든 공급업체의 IP 오퍼링을 세심하게 평가, 문서화 및 검증해야 합니다.

위에서 설명한 과제에 비추어 볼 때, ISO 26262 규정 준수는 전문 소프트웨어 툴의 도움 없이는 거의 불가능한 작업임이 명확해집니다.

차량 리콜 비용을 고려하면 자동차 공급망을 따라 대부분의 OEM은 ISO 26262 규정 준수 증거를 필요로 합니다.

성공적인 개발 프로젝트가 일반적으로 전용 툴의 패치워크에 의존하여 사용된 경우, Ansys medini® analyze™ 소프트웨어는 전기 및 전자 도로 차량 시스템의 안전 분석을 위한 포괄적인 모델 기반 툴이며 하나의 편리한 패키지로 제공됩니다.

Ansys medini analyze 소프트웨어는 자동차 안전 설계에서 투명성을 제공하여 자동차 산업의 주요 이해 관계자 간의 신뢰와 협업을 촉진합니다. 이를 통해 다음이 가능해집니다.

• 모델 기반 안전성 분석
• 안전 특성으로 SysML(시스템 모델링 언어) 모델링
• 기능 안전 분석
• 고장 모드 영향 및 진단 분석(FMEDA), HARA, 위험 및 운용성(HAZOP) 연구, 고장 모드 및 영향 분석(FMEA), FTA, “의도된 기능의 안전성(SOTIF)” 표준 등과 같은 방법을 사용한 주요 안전성 분석
• 시스템, 소프트웨어 및 하드웨어 수준에서의 안전성 분석
• 요구 사항 관리 툴과의 통합
• 엔드 투 엔드 추적성, 워크플로 등

또한 Ansys medini analyze 소프트웨어 외에도 Ansys SCADE® 제품 컬렉션에서는 소프트웨어 개발을 위한 모델 기반 환경을 제공합니다.

• 모델 기반 설계 편집기 
• 안전한 코드 자동 생성
• 테스트 기능
• MC/DC(수정된 조건/결정 적용 범위)까지 테스트 적용 범위 측정
• AUTOSAR 규정 준수

ISO 26262 프로세스를 간소화하는 데 관심이 있는 경우 Ansys medini analyze 소프트웨어 평가판에 등록하십시오.

소프트웨어 설계 및 검증 비용을 최대 50%까지 줄이려면 Ansys SCADE 소프트웨어 무료 평가판에 등록하십시오.

관련 리소스