10.2 ISO 26262: 도로 차량 기능 안전
ISO 26262 Road vehicles — Functional safety는 도로 차량의 전기·전자(E/E) 시스템에 적용되는 기능 안전 표준이다. 이 표준은 IEC 61508을 차량 분야에 특화하여 도출된 것으로, 차량의 안전 수명주기 전반을 다루는 12개의 부(part)로 구성되어 있다. 이 절에서는 ISO 26262의 적용 범위, 구조, 핵심 개념, 절차, 후속 개정의 학술적 의의를 학습 순서에 따라 기술한다.
1. 적용 범위와 역사
ISO 26262 초판은 2011년에 승용차의 E/E 시스템을 적용 대상으로 하여 발간되었다. 2018년의 제2판은 트럭, 버스, 트레일러, 모터사이클을 포함하는 범위로 확장되었으며, 반도체와 모터사이클에 관한 별도의 부가 추가되었다. 표준의 명시적 적용 대상은 양산 도로 차량에 탑재되는 E/E 시스템으로서 그 오작동이 비합리적 위험을 초래할 수 있는 안전 관련(safety-related) 항목이다. 표준은 비차량 분야, 비양산 차량, 일부 특수 차량에는 직접 적용되지 않지만, 그 원리는 광범위하게 참조된다.
2. 구조
ISO 26262:2018의 구성은 다음과 같다.
| 부 | 제목 | 주요 내용 |
|---|---|---|
| Part 1 | Vocabulary | 용어와 정의 |
| Part 2 | Management of functional safety | 기능 안전 관리 |
| Part 3 | Concept phase | 항목 정의, HARA, 기능 안전 개념 |
| Part 4 | Product development at the system level | 시스템 수준 개발 |
| Part 5 | Product development at the hardware level | 하드웨어 수준 개발 |
| Part 6 | Product development at the software level | 소프트웨어 수준 개발 |
| Part 7 | Production, operation, service and decommissioning | 생산, 운용, 서비스, 폐기 |
| Part 8 | Supporting processes | 지원 절차 |
| Part 9 | ASIL-oriented and safety-oriented analyses | ASIL 분해, DFA 등 |
| Part 10 | Guidelines on ISO 26262 | 안내 |
| Part 11 | Guidelines on application of ISO 26262 to semiconductors | 반도체 적용 안내 |
| Part 12 | Adaptation of ISO 26262 for motorcycles | 모터사이클 적용 |
3. 핵심 개념
3.1 안전 수명주기
Part 2는 개념 단계, 제품 개발, 생산, 운용, 폐기 단계를 포괄하는 안전 수명주기를 정의한다. 안전 수명주기는 V 모델에 기반하며, 좌측 가지에서 요구사항이 단계적으로 분해되고 우측 가지에서 검증과 유효성 확인이 수행된다.
3.2 위험원 분석 및 위험 평가(HARA)
Part 3은 항목의 운용 상황에서의 위험원을 식별하고, 노출(E), 제어 가능성(C), 심각도(S)의 세 가지 매개 변수에 의하여 자동차 안전 무결성 등급(ASIL)을 결정하도록 규정한다. ASIL은 QM, A, B, C, D의 다섯 등급으로 구분되며, ASIL D가 가장 높은 무결성 수준이다.
3.3 기능 안전 개념과 기술 안전 개념
기능 안전 개념(Functional Safety Concept, FSC)은 안전 목표를 만족하기 위한 시스템 수준의 안전 요구사항이며, 기술 안전 개념(Technical Safety Concept, TSC)은 이를 시스템 아키텍처와 인터페이스 사양으로 구체화한 것이다.
3.4 안전 메커니즘과 진단 커버리지
안전 메커니즘은 결함을 검출하거나 결함의 영향을 완화하는 기술적 수단이며, 진단 커버리지는 안전 메커니즘에 의하여 검출되는 결함의 비율로 정의된다. Part 5와 Part 8은 진단 커버리지의 산출 절차를 규정한다.
3.5 정량적 지표
Part 5는 무작위 하드웨어 결함에 대한 다음의 정량적 지표를 정의한다.
- 단일 점 결함 지표(SPFM)
- 잠재 결함 지표(LFM)
- 무작위 하드웨어 결함의 확률적 지표(PMHF)
ASIL 등급별 권고 값은 ASIL D가 가장 엄격하며, 시스템의 결함 분석은 FMEDA에 의하여 수행된다.
3.6 ASIL 분해
ASIL 분해(ASIL decomposition)는 단일 안전 요구사항을 독립된 요소로 분해하고, 분해된 요소 각각이 더 낮은 ASIL을 가지도록 허용하는 절차이다. 분해는 충분한 독립성이 입증될 때에만 가능하며, Part 9가 그 절차를 규정한다.
3.7 종속 결함 분석
Part 9는 종속 결함(dependent failure)을 분석하기 위한 절차를 규정한다. 종속 결함은 공통 원인 결함과 종속적 결함을 포함하며, 그 분석은 이중화 설계의 효과성을 입증하기 위하여 필수적이다.
4. 소프트웨어 개발 요구사항
Part 6은 소프트웨어의 ASIL 등급별 개발 요구사항을 규정한다. 주요 요구사항은 다음과 같다.
- 모듈성, 캡슐화, 계층성과 같은 아키텍처 원칙
- MISRA C:2012와 같은 코딩 가이드라인의 적용
- 단위 검증, 통합 검증, 시스템 검증 단계의 차등 요구
- 등급별 구조적 커버리지의 차등 요구(예: ASIL D에서 분기 커버리지와 MC/DC가 매우 권고됨)
- 형식적 방법의 권고
5. 안전 사례
ISO 26262의 안전 사례(safety case)는 항목의 안전성을 입증하는 논증과 증거의 집합이다. 안전 사례는 주장(claim), 논증(argument), 증거(evidence)의 구조로 작성되며, GSN (Goal Structuring Notation)이 학술적으로 자주 사용된다.
6. 자율주행 영역에서의 한계와 보완
ISO 26262는 결함이 있는 시스템의 위험을 다루지만, 결함이 없는 시스템에서도 발생할 수 있는 의도된 기능의 성능 한계로 인한 위험은 다루지 않는다. 이 한계를 보완하기 위하여 ISO 21448 (SOTIF)이 별도로 제정되었다. 또한 신경망 기반 모듈의 안전성을 입증하기 위한 추가적 절차는 ISO/AWI TS 5083에서 정비가 진행되어 왔다.
7. 출처 및 버전 정보
- ISO 26262:2018, Road vehicles — Functional safety, Parts 1–12, International Organization for Standardization
- IEC 61508:2010, Functional safety of electrical/electronic/programmable electronic safety-related systems, Parts 1–7, International Electrotechnical Commission
- ISO 26262:2011, Road vehicles — Functional safety, International Organization for Standardization (제1판 참조)
- Kelly, T., Arguing Safety — A Systematic Approach to Managing Safety Cases, University of York, 1998