ISO 26262 자동차 기능 안전 표준

1. 자동차 기능 안전의 패러다임, ISO 26262

1.1 자동차 E/E 시스템의 발전과 안전의 재정의

과거의 자동차는 기계 공학의 산물이었으나, 현대의 자동차는 정교한 전기/전자(E/E) 시스템과 소프트웨어로 구동되는 첨단 기술의 집약체로 변모했다. 파워 스티어링, 잠김 방지 브레이크(ABS), 첨단 운전자 지원 시스템(ADAS)을 넘어 자율주행 기능에 이르기까지, 차량의 핵심 기능을 제어하는 메카트로닉스 시스템의 역할은 기하급수적으로 증대되었다.1 이러한 변화는 운전자의 편의성과 차량 성능을 획기적으로 향상시켰지만, 동시에 과거에는 존재하지 않았던 새로운 유형의 위험을 야기했다.

소프트웨어의 복잡성 증대, 수십에서 수백 개에 이르는 전자 제어 장치(ECU)의 상호 작용, 그리고 완성차 업체(OEM)와 다수의 부품 공급업체(Supplier) 간의 복잡한 개발 생태계는 E/E 시스템의 오작동 가능성을 높이는 주요 원인이 되었다.2 기계적 결함과 달리 소프트웨어 오류나 전자 부품의 랜덤 고장은 예측이 어렵고, 그 영향이 차량 전체 시스템에 연쇄적으로 파급될 수 있다. 이는 전통적인 안전 개념, 즉 충돌 시 탑승객을 보호하는 물리적 안전(Passive Safety)만으로는 더 이상 차량의 안전을 온전히 담보할 수 없음을 의미한다. 따라서 E/E 시스템 자체의 기능적 신뢰성을 확보하고, 오작동 발생 시에도 안전을 유지할 수 있는 체계적인 접근법의 필요성이 절실해졌으며, 이것이 바로 기능 안전(Functional Safety) 표준화의 시발점이 되었다.3

이러한 변화는 자동차 산업의 안전 패러다임을 근본적으로 전환시키는 계기가 되었다. 과거의 안전 공학이 주로 사고 발생 후의 피해를 최소화하는 ‘사후 대응(Reactive)’ 방식에 초점을 맞추었다면, E/E 시스템의 복잡성은 예측 불가능한 오류로 인한 사고를 미연에 방지하는 ‘사전 예방(Proactive)’ 체계를 요구하게 된 것이다. 개발 초기 단계부터 시스템이 가질 수 있는 모든 잠재적 위험을 식별하고, 이를 체계적으로 관리 및 제거하는 과정이 필수 불가결해졌다. ISO 26262는 바로 이러한 사전 예방적 안전 철학을 자동차 산업 전반에 걸쳐 구현하기 위한 구체적인 방법론과 프로세스를 제시하는 표준이다.

1.2 기능 안전(Functional Safety)의 개념과 IEC 61508의 한계

기능 안전은 ’E/E 시스템의 오작동으로 인해 발생하는 불합리한 수준의 위험이 없는 상태’로 정의된다.5 여기서 핵심은 ’완벽하고 오류 없는 시스템’을 만드는 것이 아니라, 시스템에 고장(Failure)이 발생하더라도 사전에 정의된 안전 상태(Safe State)로 전환하여 치명적인 위험을 방지하는 것을 목표로 한다는 점이다.7 예를 들어, 자율주행 시스템의 주 센서가 고장 나더라도 즉시 시스템 제어권을 운전자에게 안전하게 이양하거나, 차량을 갓길에 정차시키는 등의 조치를 통해 탑승자의 안전을 확보하는 것이 기능 안전의 본질이다.

자동차 산업에 기능 안전 개념이 도입되기 이전에는 IEC 61508이라는 포괄적인 기능 안전 표준이 존재했다. 이 표준은 다양한 산업 분야(공정, 원자력, 철도 등)에 범용적으로 적용될 수 있도록 개발된 상위 표준이다.1 그러나 IEC 61508을 자동차 산업에 직접 적용하기에는 여러 한계가 존재했다. 자동차 산업은 수백만 대 이상의 대량 생산, 전 세계에 걸친 복잡한 공급망, 전문 운전자가 아닌 일반 대중이 운전 주체라는 특수성을 지닌다.2 IEC 61508은 이러한 자동차 산업 고유의 개발 환경, 양산 프로세스, 그리고 운전자의 역할과 같은 특수성을 충분히 반영하지 못했다.3 따라서 자동차 산업의 특수성에 최적화된 새로운 기능 안전 표준의 필요성이 대두되었다.

1.3 ISO 26262의 탄생 배경과 핵심 철학: 위험 기반 접근법

이러한 배경 속에서 ISO 26262는 IEC 61508을 모태로 하여 자동차 산업의 특수성을 반영해 새롭게 제정된 ’자동차 기능 안전 국제 표준’이다.3 공식 명칭은 ’Road vehicles – Functional safety’이며, 2011년 초판이 발표된 이후 자동차 E/E 시스템 개발에 있어 사실상의 산업 표준(de facto standard)으로 자리 잡았다.9

ISO 26262의 가장 핵심적인 철학은 ’위험 기반 접근법(Risk-based approach)’이다.12 이는 모든 잠재적 위험을 100% 제거하는 것이 현실적으로 불가능함을 인정하고, 대신 위험을 체계적으로 식별, 분석, 평가하여 ‘허용 가능한 수준(Acceptable risk)’ 이하로 관리하는 데 초점을 맞추는 방식이다.14 이 철학은 자동차 개발의 개념 구상 단계부터 설계, 구현, 통합, 검증을 거쳐 생산, 운영, 서비스, 폐기에 이르는 전체 생명주기(Lifecycle)에 걸쳐 일관되게 적용된다.2 즉, 개발 초기 단계에서부터 발생 가능한 모든 위험 시나리오를 예측하고, 각 위험의 심각도에 따라 차등적인 안전 조치를 요구함으로써, 한정된 개발 자원을 가장 치명적인 위험을 관리하는 데 효과적으로 집중하도록 유도한다. 이로써 ISO 26262는 주관적이고 경험에 의존하던 안전 활동을, 객관적이고 체계적이며 추적 가능한 엔지니어링 프로세스로 정립시켰다.

2. ISO 26262의 핵심 프레임워크

ISO 26262는 자동차 기능 안전을 달성하기 위한 구체적인 방법론으로 세 가지 핵심 요소를 제시한다. 바로 위험의 수준을 정량화하는 자동차 안전 무결성 수준(ASIL), 위험을 식별하고 안전 목표를 수립하는 위험 분석 및 리스크 평가(HARA), 그리고 안전 요구사항을 체계적으로 구현하고 검증하는 V-모델 개발 프로세스이다. 이 세 요소는 독립적으로 존재하는 것이 아니라, ’위험 식별 → 위험 정량화 → 체계적 구현 및 검증’으로 이어지는 유기적인 단일 프레임워크를 형성하며 ISO 26262의 근간을 이룬다.

2.1 자동차 안전 무결성 수준(ASIL): 리스크 정량화의 척도

자동차 안전 무결성 수준(ASIL, Automotive Safety Integrity Level)은 E/E 시스템의 오작동으로 인해 발생할 수 있는 잠재적 위험의 수준을 분류하고, 해당 위험을 관리하기 위해 적용되어야 할 안전 요구사항의 엄격성을 정의하는 핵심적인 등급 체계이다.16 ASIL은 위험도에 따라

ASIL A, B, C, D의 네 가지 등급으로 나뉘며, ASIL A가 가장 낮은 수준의 위험을, ASIL D가 가장 높은 수준의 치명적인 위험을 의미한다.12 예를 들어, 후미등과 같은 시스템의 고장은 상대적으로 낮은 위험을 가지므로 ASIL A로 분류될 수 있지만, 에어백이나 브레이크 시스템의 고장은 치명적인 결과를 초래할 수 있으므로 가장 높은 등급인 ASIL D를 요구받는다.12 만약 분석 결과, 특정 오작동이 안전에 영향을 미치지 않는다고 판단될 경우, 이는

QM(Quality Management) 등급으로 분류되어 ISO 26262의 엄격한 프로세스 대신 일반적인 자동차 산업의 품질 관리 프로세스(예: IATF 16949)를 따르게 된다.20

ASIL 등급은 다음의 세 가지 요소를 체계적으로 평가하여 결정된다.17

1. 심각도 (Severity, S): 위험 이벤트가 발생했을 때 운전자, 승객, 또는 주변 보행자에게 가해질 수 있는 상해의 심각성을 평가한다.

• S0: 상해 없음 (No injuries)
• S1: 가볍거나 보통 수준의 상해 (Light to moderate injuries)
• S2: 심각하거나 생명을 위협하지만, 생존 가능성이 높은 상해 (Severe to life-threatening injuries, survival probable)
• S3: 생명을 위협하며 생존이 불확실하거나 치명적인 상해 (Life-threatening to fatal injuries, survival uncertain) 5

1. 노출도 (Exposure, E): 해당 위험 상황에 차량이 노출될 확률 또는 빈도를 평가한다. 이는 차량의 운행 시간, 특정 기능의 사용 빈도 등을 고려하여 결정된다.

• E0: 거의 발생 불가능 (Incredibly unlikely)
• E1: 매우 낮은 확률 (Very low probability)
• E2: 낮은 확률 (Low probability)
• E3: 중간 확률 (Medium probability)
• E4: 높은 확률 (High probability) 19

1. 제어 가능성 (Controllability, C): 위험 이벤트가 발생했을 때, 운전자가 적절한 조치를 통해 사고를 회피하거나 피해를 완화할 수 있는 능력을 평가한다.

• C0: 일반적으로 제어 가능 (Controllable in general)
• C1: 단순하게 제어 가능 (Simply controllable, >99%의 운전자가 회피 가능)
• C2: 보통 수준으로 제어 가능 (Normally controllable, >90%의 운전자가 회피 가능)
• C3: 제어가 어렵거나 불가능 (Difficult to control or uncontrollable, <90%의 운전자가 회피 가능) 21

이 세 가지 요소의 조합을 통해 최종 ASIL 등급이 결정된다. 아래 표는 ISO 26262 Part 3에 제시된 ASIL 등급 결정 매트릭스를 나타낸다. 이 표를 통해 알 수 있듯이, 심각도가 높고(S3), 노출 빈도가 잦으며(E4), 운전자의 제어가 어려운(C3) 위험일수록 가장 높은 ASIL D 등급이 부여된다. 할당된 ASIL 등급은 이후 개발 전 과정에서 요구되는 분석 기법, 설계 원칙, 테스트 커버리지, 문서화 수준 등 모든 안전 활동의 엄격성을 결정하는 기준이 된다.14

2.2 위험 분석 및 리스크 평가(HARA): 안전 목표 수립의 시작점

위험 분석 및 리스크 평가(HARA, Hazard Analysis and Risk Assessment)는 ISO 26262 Part 3(개념 단계)에서 수행되는 가장 중요하고 선행적인 활동이다.1 HARA의 목적은 개발하고자 하는 아이템(차량 레벨의 기능)과 관련된 잠재적인 모든 위험원을 체계적으로 식별하고, 앞서 설명한 S, E, C 분석을 통해 리스크를 평가하여 ASIL 등급을 결정하며, 최종적으로 이를 방지하기 위한 최상위 안전 요구사항인 ’안전 목표(Safety Goal)’를 수립하는 것이다.4 HARA는 “어떤 위험이 있는가?“라는 근본적인 질문에서 출발하여, 이후의 모든 안전 활동의 방향과 깊이를 결정하는 나침반 역할을 한다.

HARA 프로세스는 다음과 같은 단계로 진행된다.26

1. 아이템 정의 (Item Definition): 가장 먼저 분석의 대상이 되는 아이템을 명확하게 정의해야 한다. 아이템이란 차량 레벨에서 특정 기능을 구현하는 시스템 또는 시스템의 조합을 의미한다 (예: 차선 유지 보조 시스템).28 아이템의 기능, 경계, 다른 시스템과의 인터페이스, 동작 환경, 알려진 고장 모드 등을 상세하게 기술한다. 아이템 정의가 상세하고 명확할수록 이후의 위험 식별 과정이 용이해진다.26
2. 상황 분석 및 오작동 식별: 아이템이 사용될 다양한 운전 상황(Operating Scenarios, 예: 고속도로 주행, 시내 주행, 주차)과 동작 모드(Operating Modes, 예: 시스템 활성, 비활성, 성능 저하 모드)를 정의한다.7 그리고 각 상황에서 발생할 수 있는 아이템의 오작동(Malfunctions, 예: 기능이 원치 않게 작동, 기능이 필요할 때 미작동, 기능의 성능 저하)을 체계적으로 도출한다. 이 과정에서 HAZOP(Hazard and Operability Analysis)과 같은 탐색적 분석 기법이 효과적으로 사용될 수 있다.26
3. 위험 이벤트 (Hazardous Event) 도출: 앞서 정의한 ’운전 상황’과 ’오작동’을 논리적으로 조합하여 잠재적으로 위험을 초래할 수 있는 구체적인 이벤트, 즉 ’위험 이벤트’를 정의한다. 예를 들어, ’[고속도로 주행 상황]에서 [차선 유지 보조 시스템이 의도치 않게 급격히 조향하는 오작동]’과 같이 기술된다.26
4. 리스크 평가 및 ASIL 결정: 도출된 각각의 위험 이벤트에 대해 심각도(S), 노출도(E), 제어 가능성(C)을 평가하고, 이를 바탕으로 ASIL 등급을 할당한다. 이 과정은 HARA의 핵심적인 정량화 단계이다.18
5. 안전 목표 (Safety Goal) 수립: 마지막으로, ASIL 등급이 할당된 각 위험 이벤트를 예방하거나 그 영향을 완화하기 위한 최상위 수준의 안전 요구사항을 차량 레벨에서 정의한다. 이것이 바로 ’안전 목표’이다.14 안전 목표는 구현 기술과 독립적으로, “차량은 [위험 이벤트]를 겪지 않아야 한다” 또는 “[위험 이벤트]를 회피해야 한다“와 같은 형식으로 명확하게 기술되어야 한다.7 예를 들어, 앞선 위험 이벤트에 대한 안전 목표는 “차량은 의도치 않은 급격한 조향을 방지해야 한다 (ASIL D)“와 같이 수립될 수 있다. 이 안전 목표는 이후의 모든 하위 요구사항 개발의 근거가 된다.

2.3 안전 생명주기와 V-모델: 개발 전 과정을 관통하는 체계

ISO 26262는 HARA를 통해 수립된 안전 목표와 요구사항이 제품에 체계적으로 반영되고 검증될 수 있도록 V-모델 개발 프로세스를 따를 것을 명시하고 있다.2 V-모델은 개발 단계와 테스트 단계를 ’V’자 형태로 대칭적으로 매핑하여, 각 개발 단계의 산출물이 상위 요구사항을 만족하는지(검증, Verification) 그리고 최종 제품이 사용자의 요구를 충족하는지(확인, Validation)를 체계적으로 관리하는 프레임워크다.30

V-모델의 구조는 다음과 같이 좌측의 개발 단계와 우측의 검증/확인 단계로 구성된다.

• V-모델 좌측 (설계 및 개발): 이 단계는 요구사항을 분석하고 설계를 구체화하는 과정이다.

1. 개념 단계: HARA를 통해 **안전 목표(Safety Goals)**를 수립한다.
2. 시스템 개발: 안전 목표를 달성하기 위한 **기능 안전 요구사항(Functional Safety Requirements)**과 **기술 안전 요구사항(Technical Safety Requirements)**을 정의하고, 시스템 아키텍처를 설계한다.7
3. 하드웨어/소프트웨어 개발: 기술 안전 요구사항을 할당받아 하드웨어 및 소프트웨어의 상세 아키텍처를 설계하고, 각 단위(Unit)를 구현(코딩, 회로 설계 등)한다.29

• V-모델 우측 (검증 및 확인): 이 단계는 개발된 산출물을 테스트하고 통합하는 과정이다.

1. 단위 시험 (Unit Testing): 개발된 가장 작은 단위의 소프트웨어 유닛이나 하드웨어 컴포넌트가 상세 설계 명세에 맞게 동작하는지 검증한다.
2. 통합 시험 (Integration Testing): 단위들을 통합하여 컴포넌트 또는 서브시스템 수준에서 인터페이스와 상호작용이 올바르게 동작하는지 검증한다.
3. 시스템 시험 (System Testing): 모든 하드웨어와 소프트웨어를 통합한 전체 시스템이 기술 안전 요구사항을 만족하는지 검증한다.
4. 차량 시험 (Vehicle-level Testing / Validation): 최종적으로 완성된 차량이 HARA에서 정의한 안전 목표를 달성하는지, 그리고 의도된 기능이 실제 운행 환경에서 안전하게 동작하는지를 확인(Validation)한다.10

V-모델의 핵심적인 가치는 **추적성(Traceability)**에 있다.10 안전 목표에서부터 최종 코드 한 줄, 회로 하나에 이르기까지 모든 요구사항과 설계, 테스트 케이스는 양방향으로 연결되어야 한다. 이를 통해 특정 요구사항이 어떻게 구현되고 테스트되었는지, 또는 특정 테스트가 실패했을 때 어떤 요구사항과 관련이 있는지를 신속하게 파악할 수 있다. 이처럼 체계적인 검증과 추적성을 통해 개발 초기의 오류가 후반부에서 발견되어 막대한 비용과 시간을 초래하는 것을 방지하고, 제품의 안전성을 논리적으로 입증할 수 있게 된다.

이러한 HARA, ASIL, V-모델의 상호작용은 주관적일 수 있는 ’안전’이라는 개념을 객관적이고, 추적 가능하며, 방어 가능한 엔지니어링 프로세스로 변환시키는 ISO 26262의 핵심 메커니즘이다. 전체 프로세스에서 생성되는 모든 요구사항, 설계 문서, 분석 결과, 테스트 보고서 등의 작업 산출물(Work Products)은 체계적으로 관리되어야 하며 33, 보고서화된 증거들의 집합은 해당 제품이 표준에 따라 안전하게 개발되었음을 입증하는 ’안전 케이스(Safety Case)’의 근간을 이룬다.27

3. ISO 26262 표준의 상세 구조 분석 (Part 1-12)

ISO 26262 표준은 자동차 개발 생명주기의 모든 단계를 포괄하는 체계적인 구조를 가지고 있다. 2011년 초판은 10개의 파트로 구성되었으나, 2018년 제2판으로 개정되면서 반도체 및 모터사이클에 대한 지침이 추가되어 총 12개의 파트로 확장되었다.2 각 파트는 독립적인 주제를 다루면서도, 개발 프로세스의 흐름에 따라 유기적으로 연결되어 있다. 표준의 방대한 내용을 효과적으로 이해하기 위해, 먼저 각 파트의 핵심 역할과 내용을 요약한 표를 통해 전체 구조를 조망할 수 있다.

이러한 파트 구조는 단순한 개발 단계의 나열이 아니라, ’관리(Management) - 핵심 개발(Core Development) - 지원(Support) - 확장(Extension)’이라는 다층적이고 유기적인 구조를 가진다. 이는 기능 안전이 특정 엔지니어링 팀의 국소적인 업무가 아닌, 강력한 관리 체계와 지속적인 지원 프로세스를 기반으로 조직 전체가 총체적으로 수행해야 하는 활동임을 명확히 보여준다.

3.1 개발 생명주기의 기반

Part 1: 용어 (Vocabulary)

이 파트는 표준의 기초를 이루는 공통 언어를 제공한다. ‘결함(Fault)’, ‘오류(Error)’, ’고장(Failure)’과 같이 혼용되기 쉬운 용어들의 의미를 명확히 정의함으로써, OEM, 공급업체, 인증 기관 등 다양한 이해관계자 간의 원활한 의사소통과 일관된 해석을 보장한다.1 이는 기능 안전 논의의 모호성을 제거하고 정밀성을 높이는 데 필수적인 역할을 한다.

Part 2: 기능 안전 관리 (Management of Functional Safety)

기술적인 개발 활동에 앞서, 기능 안전을 성공적으로 수행하기 위한 조직적, 관리적 체계를 규정한다. 이 파트는 조직 전반에 걸쳐 안전을 최우선으로 고려하는 ’안전 문화(Safety Culture)’를 구축할 것을 요구한다. 또한, 개별 프로젝트 차원에서는 프로젝트의 특성과 ASIL 등급을 고려한 구체적인 ’안전 계획(Safety Plan)’을 수립하고, 각 안전 활동에 대한 역할과 책임(R&R)을 명확히 정의하도록 한다.1 개발 과정의 주요 산출물들이 요구사항을 만족하는지 독립적인 관점에서 평가하는 확인 조치(Confirmation Measures) - 확인 검토(Confirmation Review), 기능 안전 심사(Safety Audit), 기능 안전 평가(Safety Assessment) - 에 대한 요구사항도 포함하여, 프로세스의 객관성과 신뢰성을 확보한다.33

Part 8: 지원 프로세스 (Supporting Processes)

이 파트는 특정 개발 단계에 국한되지 않고, 전체 안전 생명주기 동안 지속적으로 수행되어야 하는 지원 활동들을 다룬다. 요구사항의 생성부터 폐기까지 전 과정을 체계적으로 관리하고 추적성을 보장하는 요구사항 관리, 소프트웨어 소스 코드나 설계 문서의 버전을 관리하는 형상 관리(Configuration Management), 개발 과정에서 발생하는 변경 사항의 영향을 분석하고 통제하는 변경 관리(Change Management) 등이 포함된다.1 특히, 컴파일러, 정적 분석 도구, 모델링 도구 등 개발에 사용되는 소프트웨어 도구가 안전 관련 아이템 개발에 미치는 영향을 분석하고, 필요 시 해당 도구의 신뢰성을 입증(Tool Qualification)하도록 요구하는 것은 이 파트의 중요한 특징이다.1

3.2 개념 및 시스템 레벨 개발

Part 3: 개념 단계 (Concept Phase)

본격적인 제품 개발에 앞서 안전에 대한 큰 그림을 그리는 단계다. ’아이템 정의(Item Definition)’를 통해 개발 대상의 범위와 기능을 명확히 하고, HARA를 수행하여 잠재적 위험을 식별하고 리스크를 평가하여 ASIL 등급을 결정한다.1 이 분석 결과를 바탕으로, 시스템이 달성해야 할 최상위 안전 요구사항인 ’안전 목표(Safety Goals)’를 도출한다.27 이 단계에서 수립된 안전 목표는 이후 진행될 모든 시스템, 하드웨어, 소프트웨어 개발 활동의 근간이자 최종 검증의 기준이 된다.

Part 4: 시스템 레벨 제품 개발 (Product development at the system level)

개념 단계에서 도출된 추상적인 안전 목표를 실제 시스템으로 구현하기 위한 기술적인 청사진을 그리는 단계다. 안전 목표를 달성하기 위한 시스템의 동작과 상태 전이를 정의하는 ’기능 안전 개념(Functional Safety Concept)’을 수립하고, 이를 하드웨어와 소프트웨어에 할당할 수 있는 구체적인 ’기술 안전 요구사항(Technical Safety Requirements)’으로 상세화한다.1 이 과정에서 시스템 아키텍처가 설계되고, 하드웨어와 소프트웨어 간의 인터페이스(HSI)가 정의되며, 시스템 수준의 통합 및 테스트 전략이 수립된다.2

3.3 하드웨어 및 소프트웨어 레벨 개발

Part 5: 하드웨어 레벨 제품 개발 (Product development at the hardware level)

시스템 레벨에서 할당된 기술 안전 요구사항을 만족시키는 하드웨어를 개발하는 과정을 다룬다. 상세 회로 설계, 부품 선정, 구현과 같은 활동을 포함한다. 이 파트의 핵심은 차량 운행 중 예측 불가능하게 발생하는 ’랜덤 하드웨어 고장(Random Hardware Failures)’에 대한 대응이다. 이를 위해, 설계된 하드웨어 아키텍처가 단일점 고장(Single-point fault)과 잠재적 고장(Latent fault)에 얼마나 강건한지를 평가하는 정량적 분석, 즉 하드웨어 아키텍처 메트릭(SPFM, LFM) 평가를 요구한다. 또한, 시간당 위험 고장 확률을 평가하는 **확률적 메트릭(PMHF)**을 통해 목표 ASIL 등급이 요구하는 안전 수준을 만족하는지 입증해야 한다.1

Part 6: 소프트웨어 레벨 제품 개발 (Product development at the software level)

할당된 기술 안전 요구사항을 만족시키는 소프트웨어를 개발하는 과정을 상세히 규정한다. 소프트웨어 아키텍처 설계, 단위(Unit) 수준의 상세 설계 및 구현(코딩)을 포함한다. 특히, 코드의 잠재적 결함을 줄이고 신뢰성을 높이기 위해 MISRA-C와 같은 정적 분석 기반의 코딩 규칙을 준수할 것을 강력히 권고한다.35 개발된 소프트웨어의 안전성을 입증하기 위해 단위 시험, 통합 시험, 자격 시험 등 체계적이고 엄격한 검증 활동을 요구하며, 각 시험 단계에서 요구되는 커버리지(예: Statement, Branch, MC/DC)는 ASIL 등급에 따라 상이하게 정의된다.1

3.4 생산 이후 단계 및 특수 분야

Part 7: 생산, 운영, 서비스, 폐기 (Production, operation, service, decommissioning)

기능 안전은 제품 개발 완료로 끝나는 것이 아니라, 제품의 전 생애에 걸쳐 유지되어야 함을 강조한다. 이 파트는 안전 관련 부품의 양산 과정에서 품질을 일관되게 유지하기 위한 생산 계획, 차량 운용 중 안전 메커니즘이 올바르게 동작하는지 확인하기 위한 정비 및 수리 절차, 그리고 차량의 수명이 다했을 때 안전하게 폐기하는 방법에 대한 요구사항을 다룬다.1

Part 9: ASIL 지향 및 안전 지향 분석 (ASIL-oriented and safety-oriented analyses)

개발 과정 전반에 걸쳐 적용되는 특수한 분석 기법들에 대한 상세 요구사항을 제공한다. 높은 ASIL 등급의 요구사항을 중복된 하위 요소에 더 낮은 ASIL 등급으로 나누어 할당하는 ASIL 분할(Decomposition), 단일 원인으로 인해 두 개 이상의 요소가 동시에 고장 나는 것을 방지하기 위한 종속 고장 분석(Dependent Failure Analysis, DFA), 그리고 시스템의 잠재적 고장 모드와 그 영향을 분석하는 **FMEA(Failure Mode and Effects Analysis)**나 특정 상위 위험 이벤트의 원인을 논리적으로 추적하는 **FTA(Fault Tree Analysis)**와 같은 안전 분석 기법을 다룬다.1

Part 10: 가이드라인 (Guideline on ISO 26262)

이 파트는 규범적인(Normative) 요구사항이 아닌, 정보성(Informative) 내용을 담고 있다. 표준의 다른 파트들에 기술된 요구사항들을 실제 프로젝트에 적용할 때 발생할 수 있는 다양한 상황에 대한 추가적인 설명, 해석, 예시를 제공하여 사용자의 이해를 돕는 일종의 해설서 역할을 한다.1

Part 11: 반도체 적용 지침 (Guidelines on application of ISO 26262 to semiconductors)

현대 자동차 E/E 시스템의 핵심인 반도체(MCU, SoC 등)에 ISO 26262를 적용하기 위한 구체적인 지침을 제공한다. 반도체 고유의 고장 모드, 설계 프로세스, IP 재사용 등을 고려한 안전 분석 및 검증 방법에 대해 상세히 다루며, 이 역시 정보성 파트이다.34

Part 12: 모터사이클 적용 (Adaptation of ISO 26262 for motorcycles)

2018년 제2판에서 추가된 파트로, 기존의 4륜 승용차 중심이었던 표준을 모터사이클 E/E 시스템에 적용하기 위한 특화된 지침과 고려사항을 제공한다. 모터사이클의 동적 특성과 운전자-차량 상호작용의 차이점을 반영한다.34

4. смежных 안전 표준과의 통합적 접근

현대 자동차, 특히 ADAS 및 자율주행 기술이 탑재된 차량의 안전은 단일 표준만으로는 완벽하게 보장할 수 없다. E/E 시스템의 ’고장’을 다루는 ISO 26262를 중심으로, 고장은 없으나 ’성능 한계’로 인해 발생하는 위험을 다루는 SOTIF(ISO 21448), 그리고 악의적인 외부 공격을 방어하는 ’사이버 보안(ISO/SAE 21434)’이 상호 보완적으로 결합되어야 한다. 이 세 가지 축이 유기적으로 통합될 때 비로소 총체적인 안전(Holistic Safety & Security)을 확보할 수 있다.

4.1 기능 안전을 넘어서: SOTIF (ISO 21448)

ISO 26262는 E/E 시스템의 하드웨어 부품 고장이나 소프트웨어 결함과 같은 ’고장(Fault)’으로 인해 발생하는 위험을 관리하는 데 초점을 맞춘다.37 그러나 자율주행 시스템과 같이 복잡한 환경을 인식하고 판단하는 시스템은, 모든 구성 요소가 정상적으로 동작하고 있음에도 불구하고 안전하지 않은 상황을 유발할 수 있다. 예를 들어, 폭우나 안개 속에서 카메라 센서의 인식 성능이 저하되거나, AI 알고리즘이 예상치 못한 도로 위의 물체를 잘못 해석하는 경우가 이에 해당한다.39 이러한 위험은 시스템의 ’고장’이 아닌 ’의도된 기능의 성능적 한계’에서 비롯된다.

이러한 공백을 메우기 위해 등장한 것이 바로 SOTIF(Safety of the Intended Functionality, 의도된 기능의 안전성), 즉 ISO 21448 표준이다. SOTIF는 시스템에 고장이 없는 상황에서, 기능의 성능적 불완전성이나 예상치 못한 외부 환경 요인과의 상호작용으로 인해 발생할 수 있는 불합리한 위험을 다룬다.38 따라서 ISO 26262와 ISO 21448은 서로를 대체하는 관계가 아니라, 자동차 안전의 서로 다른 측면을 다루며 상호 보완하는 관계에 있다.42

SOTIF 분석 프로세스는 크게 네 가지 영역으로 구분되는 시나리오를 식별하고 관리하는 데 중점을 둔다.

1. 영역 1 (Known Safe): 알려져 있고 안전한 시나리오.
2. 영역 2 (Known Unsafe): 알려져 있고 위험한 시나리오. 이 영역의 위험은 기능 수정을 통해 영역 1로 이동시켜야 한다.
3. 영역 3 (Unknown Unsafe): 알려지지 않았지만 위험한 시나리오. 이 영역은 검증 및 확인(V&V) 활동을 통해 최소화해야 한다.
4. 영역 4 (Unknown Safe): 알려지지 않았지만 안전한 시나리오.

SOTIF는 이러한 시나리오 분석을 통해 잠재적 위험을 식별하고, 기능 수정, 운전자 경고, 작동 설계 도메인(ODD) 제한 등의 조치를 통해 리스크를 허용 가능한 수준으로 낮추는 체계적인 절차를 제공한다.37

4.2 안전과 보안의 공존: 사이버 보안 (ISO/SAE 21434)

기능 안전(Safety)이 의도치 않은 시스템 내부의 고장으로부터 탑승객을 보호하는 것이라면, 사이버 보안(Security)은 의도적이고 악의적인 외부의 공격으로부터 시스템을 보호하는 것이다. 과거의 폐쇄적인 차량 네트워크와 달리, 현대의 커넥티드카는 V2X(Vehicle-to-Everything) 통신, OTA(Over-the-Air) 업데이트 등 외부 네트워크와 끊임없이 연결된다. 이러한 연결성은 해커에게 새로운 공격 경로(Attack Vector)를 제공하며, 사이버 보안 침해가 기능 안전을 직접적으로 위협하는 심각한 문제로 이어진다.45 예를 들어, 해커가 차량의 CAN 네트워크에 침투하여 브레이크 제어 ECU에 악성 명령을 내린다면, 이는 시스템 고장이 아님에도 불구하고 ISO 26262가 방지하고자 했던 치명적인 위험 상황을 동일하게 유발할 수 있다.

이러한 배경에서 자동차 사이버 보안 엔지니어링을 위한 국제 표준인 ISO/SAE 21434가 제정되었다. 이 표준은 차량의 기획, 개발부터 생산, 운영, 폐기에 이르는 전체 생명주기에 걸쳐 사이버 보안 위협을 관리하기 위한 체계적인 프로세스와 요구사항을 정의한다.45

기능 안전과 사이버 보안은 밀접하게 연동되어야 한다. ISO 26262의 핵심 위험 분석 활동이 HARA라면, ISO/SAE 21434의 핵심은 **TARA(Threat Analysis and Risk Assessment, 위협 분석 및 리스크 평가)**이다.49 HARA가 시스템 ’오작동’의 영향을 분석하는 반면, TARA는 잠재적 ‘위협’ 시나리오를 식별하고, 공격 경로, 공격 가능성, 그리고 공격 성공 시의 영향을 평가한다. 이 두 분석 프로세스는 상호 정보를 교환하며 통합적으로 수행되어야 한다. 예를 들어, TARA를 통해 식별된 ’GPS 스푸핑’이라는 보안 위협이 자율주행 시스템의 경로 이탈이라는 안전 위험(HARA의 분석 대상)으로 이어질 수 있음을 분석해야 한다. 반대로, HARA를 통해 설계된 안전 메커니즘(예: 원격 진단 기능)이 새로운 보안 취약점을 만들지는 않는지 TARA 관점에서 검토해야 한다.46 이처럼 Safety와 Security는 동전의 양면과 같아서, 하나를 고려하지 않은 다른 하나는 불완전할 수밖에 없다.

4.3 프로세스 성숙도: Automotive SPICE (ASPICE)

Automotive SPICE(ASPICE)는 자동차 소프트웨어 개발 프로세스의 역량과 성숙도를 평가하고 개선하기 위한 프레임워크다. ISO 26262가 기능 안전을 달성하기 위해 ‘무엇을(What)’ 해야 하는지에 대한 구체적인 요구사항과 작업 산출물을 정의한다면, ASPICE는 그 ‘무엇을’ 얼마나 체계적이고 성숙한 프로세스를 통해 ‘어떻게(How)’ 수행하는지를 평가한다.51

ISO 26262는 그 자체로 매우 체계적인 프로세스를 요구하기 때문에, 높은 수준의 ASPICE 역량은 ISO 26262 준수를 위한 강력한 기반이 된다. 예를 들어, ASPICE에서 요구하는 체계적인 요구사항 관리, 형상 관리, 문제 해결 관리 프로세스는 ISO 26262 Part 8(지원 프로세스)의 요구사항과 직접적으로 연결된다. 따라서 많은 OEM들은 부품 공급업체에게 ISO 26262 준수와 더불어 특정 수준(주로 Level 2 또는 3) 이상의 ASPICE 역량을 요구하는 경우가 많다.2 잘 정립된 개발 프로세스 없이는 ISO 26262가 요구하는 수많은 증거(Evidence)와 작업 산출물을 일관성 있고 추적 가능하게 생성하기 어렵기 때문이다.

5. 결론 - 자율주행 시대의 ISO 26262와 미래 전망

5.1 ISO 26262 도입의 실질적 이점과 당면 과제

ISO 26262의 도입은 자동차 산업에 단순한 규제 준수를 넘어선 근본적인 변화와 가치를 가져왔다. 가장 큰 이점은 제품의 안전성과 신뢰성을 비약적으로 향상시킨다는 점이다.6 개발 초기부터 위험을 식별하고 체계적으로 관리함으로써, 출시 후 발생할 수 있는 치명적인 결함이나 리콜 가능성을 현저히 줄일 수 있다.52 또한, 표준화된 개발 프로세스와 공통 용어의 사용은 OEM과 수많은 공급업체로 이루어진 복잡한 공급망 내에서 원활한 소통과 일관된 품질 관리를 가능하게 하는 공통 언어 역할을 한다.15 이는 궁극적으로 고객의 신뢰를 증진시키고 브랜드 가치를 높이는 효과로 이어진다.6 법적인 측면에서도, 만약의 사고 발생 시 제조물 책임법(PL) 소송에서 ISO 26262를 준수했다는 객관적인 증거(Safety Case)는 기업이 ’최신 기술 수준(State of the Art)’에 따라 제품을 개발했음을 입증하는 강력한 방어 수단이 될 수 있다.8

반면, ISO 26262를 도입하고 내재화하는 과정에는 상당한 도전 과제가 따른다. 표준 자체가 방대하고 복잡하여 완전히 이해하고 적용하기까지 높은 학습 곡선이 요구된다.52 또한, V-모델의 각 단계에서 요구되는 엄격한 분석, 검증, 문서화 활동은 기존 개발 프로세스에 비해 상당한 시간과 비용 투자를 필요로 한다.15 특히, ASIL 등급을 결정하는 과정에서 노출도(E)나 제어 가능성(C)과 같은 일부 요소의 평가는 엔지니어의 주관적인 판단이 개입될 여지가 있어, 조직 내외부적으로 일관된 기준을 수립하는 데 어려움을 겪을 수 있다.15

5.2 제3판 개정 동향 분석: 미래 모빌리티를 향한 진화

ISO 26262는 기술 발전에 발맞춰 끊임없이 진화하는 ’살아있는 표준(Living Standard)’이다. 현재 국제 표준화 기구의 기술 위원회(ISO/TC22/SC32/WG8)를 중심으로 2018년 제2판에 이은 제3판 개정 작업이 진행 중이며, 공식 배포는 2027년경으로 예상된다.9 이번 개정의 핵심은 자율주행, 인공지능(AI) 등 미래 모빌리티 기술을 표준의 프레임워크 안으로 포용하는 것이다.

주요 개정 논의 사항은 다음과 같다.

• 인공지능(AI) 및 머신러닝(ML) 적용 안전성 확보: 전통적인 소프트웨어와 달리, 동작 원리를 완벽히 설명하기 어려운 ‘블랙박스’ 특성과 비결정론적(non-deterministic) 행동을 보이는 AI/ML 기반 시스템의 안전성을 어떻게 보증하고 검증할 것인지에 대한 새로운 가이드라인이 추가될 전망이다. 이는 제3판 개정의 가장 큰 기술적 도전 과제 중 하나다.40
• 완전자율주행(SAE 레벨 4~5) 개념 반영: 운전자의 개입을 전제하지 않는 완전자율주행 환경에서는 ASIL 등급을 결정하는 핵심 요소 중 하나인 ’제어 가능성(Controllability)’의 개념이 무의미해진다.19 이에 따라 HARA 및 ASIL 평가 방법론을 완전자율주행 환경에 맞게 수정하고, 운전자 대신 시스템이 모든 안전 책임을 지는 상황을 고려한 새로운 요구사항이 논의되고 있다.53
• ** смежных 표준과의 통합 및 연계 강화:** SOTIF(ISO 21448), 반도체 가이드라인 등 기존에 별도의 문서로 존재하던 파생 표준들을 ISO 26262의 기본 프레임워크로 통합하거나, 이들 간의 상호작용 및 적용 순서를 명확히 정의하여 사용자 혼란을 줄이고 통합적 안전 분석을 강화하는 방향으로 논의가 진행 중이다.53
• 애자일(Agile) 개발 프로세스 적용: 신속한 반복 개발과 지속적인 통합을 특징으로 하는 애자일 개발 방법론과 OTA를 통한 빈번한 소프트웨어 업데이트는 전통적인 V-모델과 상충될 수 있다. 제3판에서는 이러한 최신 개발 트렌드를 수용하여, 안전 생명주기 내에서 애자일 방법론을 어떻게 적용할 수 있는지에 대한 지침을 포함할 것으로 예상된다.54

5.3 미래 모빌리티 환경에서 기능 안전 표준의 진화 방향

ISO 26262의 미래는 ’확장성’과 ’적응성’이라는 두 가지 키워드로 요약할 수 있다. 표준은 더 이상 E/E 시스템의 고장에만 머무르지 않고, AI, 자율주행과 같은 새로운 기술 영역을 포용하기 위해 그 범위를 ’확장’하고 있다. 동시에 V-모델이라는 전통적인 틀을 넘어 애자일, OTA와 같은 새로운 개발 패러다임에 ’적응’하려는 노력을 보이고 있다. 이는 ISO 26262가 기술 발전을 가로막는 경직된 규제가 아니라, 기술 혁신을 안전한 방향으로 이끄는 유연한 가이드로서의 역할을 지향하고 있음을 보여준다.

미래 모빌리티 환경에서 ISO 26262는 독립적인 표준이 아닌, SOTIF(ISO 21448), 사이버 보안(ISO/SAE 21434), AI 안전성 관련 표준(예: ISO/TR 4804) 등과 긴밀하게 연결된 거대한 ’안전 표준 생태계’의 중심축 역할을 하게 될 것이다. 또한, 정적인 문서와 설계 기반의 안전성 입증 방식에서 나아가, 방대한 실제 주행 데이터와 고도화된 시뮬레이션을 활용한 ‘지속적인 검증 및 확인(Continuous Validation)’ 개념이 더욱 중요해질 것이다.

결론적으로, ISO 26262는 자동차 기술의 급격한 변화에 대응하여 스스로의 경계를 허물고 끊임없이 진화하고 있다. 자율주행 시대의 복잡하고 새로운 안전 문제를 해결하기 위한 핵심적인 방법론으로서, 이 표준의 중요성은 앞으로 더욱 커질 것이며, 미래 모빌리티의 안전을 담보하는 가장 근본적인 초석으로 기능할 것이다.

6. 참고 자료

1. ISO 26262란 무엇입니까? | Ansys, https://www.ansys.com/ko-kr/simulation-topics/what-is-iso-26262
2. ISO 26262 - 위키백과, 우리 모두의 백과사전, https://ko.wikipedia.org/wiki/ISO_26262
3. [기능안전/Safety Function] ISO 26262에 대하여 (1) - Auzii의 기억을 위한 - 티스토리, https://auzii.tistory.com/entry/%EA%B8%B0%EB%8A%A5%EC%95%88%EC%A0%84Safety-Function-ISO-26262%EC%97%90-%EB%8C%80%ED%95%98%EC%97%AC
4. 기능안전성 표준 및 동향, [http://dslab.konkuk.ac.kr/class/2020/20SV/Team%20Project/functional%20safety/T2]ppt.pdf
5. ISO26262 and IEC61508 Functional safety Overview - NXP Community, https://community.nxp.com/pwmxy87654/attachments/pwmxy87654/tech-days/160/1/AMF-AUT-T2713.pdf
6. Automotive Functional Safety: Ensuring ISO 26262 Compliance - Apriorit, https://www.apriorit.com/dev-blog/automotive-functional-safety-ensuring-iso-26262-compliance
7. 차량 기능안전 (ISO 26262) 용어 정리 - Safety Requirement, https://ji-se.tistory.com/entry/%EC%B0%A8%EB%9F%89-%EA%B8%B0%EB%8A%A5%EC%95%88%EC%A0%84-ISO-26262-%EC%9A%A9%EC%96%B4-%EC%A0%95%EB%A6%AC-Safety-Requirement
8. ISO 26262: 자동차 기능 안전 표준 이해하기 - 두루이디에스 공식 티스토리, https://doorooeds.tistory.com/14
9. [ICT응용] 자율주행 시대의 차량의 안정성 확보를 위한 ISO 26262 기능안전 표준, https://committee.tta.or.kr/data/weekly_view.jsp?news_id=5137
10. 1부: ISO 26262 개요, https://www.autoelectronics.co.kr/article/articleView.asp?idx=789
11. ISO 26262 에서 요구하는 안전 활동 관리 (Safety Activity Management) 방안 연구, https://koreascience.kr/article/JAKO201325449260745.pdf
12. ISO26262 : 자동차 기능 안전( Functional Safety)국제 규격 - 해외경제정보드림, https://dream.kotra.or.kr/user/extra/kotranews/bbs/linkView/jsp/Page.do?dataIdx=201286
13. What is ISO 26262 Functional Safety Standard for Automotive? - Visure Solutions, https://visuresolutions.com/automotive/iso-26262/
14. 자동차용 ISO 26262 기능 안전 표준이란? - NI - National Instruments, https://www.ni.com/ko/solutions/transportation/what-is-the-iso-26262-functional-safety-standard-.html
15. Understanding ISO 26262 Standard - What you need to know - TÜV SÜD, https://www.tuvsud.com/en-ae/resource-centre/blogs/understanding-the-iso-26262-standard—what-you-need-to-know
16. ISO 26262 준수를 통한 제품 개발에서의 기능 안전 소프트웨어 검증 - 모아소프트, https://moasoftware.co.kr/ldra/iso-26262-%EC%A4%80%EC%88%98%EB%A5%BC-%ED%86%B5%ED%95%9C-%EC%A0%9C%ED%92%88-%EA%B0%9C%EB%B0%9C%EC%97%90%EC%84%9C%EC%9D%98-%EA%B8%B0%EB%8A%A5-%EC%95%88%EC%A0%84-%EC%86%8C%ED%94%84%ED%8A%B8%EC%9B%A8/
17. 자동차 ISO 26262, https://www.vway.co.kr/service/iso-26262/
18. www.vway.co.kr, https://www.vway.co.kr/service/iso-26262/#:~:text=ASIL%EC%9D%98%20%EB%93%B1%EA%B8%89%20%EA%B2%B0%EC%A0%95%EC%9D%80,%EB%93%B1%EA%B8%89%20D%EA%B9%8C%EC%A7%80%20%EA%B5%AC%EC%84%B1%EB%90%A9%EB%8B%88%EB%8B%A4.
19. What is ASIL (Automotive Safety Integrity Level)? – Overview - Synopsys, https://www.synopsys.com/glossary/what-is-asil.html
20. ISO 26262, functional safety, and ASILs – what it all means, and how automated tools can help to achieve compliance - - LDRA, https://ldra.com/iso-26262/
21. What Is ISO 26262? ISO 26262 Functional Safety Overview + ASIL | Perforce Software, https://www.perforce.com/blog/qac/what-is-iso-26262
22. A Guide to Automotive Safety Integrity Levels (ASIL) - Jama Software, https://www.jamasoftware.com/requirements-management-guide/automotive-engineering/guide-to-automotive-safety-integrity-levels-asil/
23. ISO 26262 (차량 기능 안전) - RapidAUTO, https://rapidauto.io/%EC%9E%90%EB%8F%99%EC%B0%A8_%EC%82%B0%EC%97%85_%ED%91%9C%EC%A4%80/ISO_26262_(%EC%B0%A8%EB%9F%89_%EA%B8%B0%EB%8A%A5_%EC%95%88%EC%A0%84)
24. ISO 26262 ASIL Ranking Table - Quality-One, https://quality-one.com/wp-content/uploads/2018/07/ISO-26262-Rankings-and-Guidelines.pdf
25. ISO 26262 - StudyRepository - 티스토리, https://touslesjourscoding.tistory.com/68
26. HARA by ISO 26262 Standard | Automotive Functional Safety Project, https://www.embitel.com/blog/embedded-blog/hara-by-iso-26262-standard-for-your-functional-safety-project
27. ISO 26262 맛보기 - 자동차 개발자 컨퍼런스 20130515, https://hujubkang.tistory.com/entry/ISO-26262-%EB%A7%9B%EB%B3%B4%EA%B8%B0
28. 차량 기능안전 (ISO 26262) 용어 정리 - Scope, https://ji-se.tistory.com/entry/%EC%B0%A8%EB%9F%89-%EA%B8%B0%EB%8A%A5%EC%95%88%EC%A0%84-ISO-26262-%EC%9A%A9%EC%96%B4-%EC%A0%95%EB%A6%AC-Scope
29. What Is the V-Model in Software Development? - Aptiv, https://www.aptiv.com/en/insights/article/what-is-the-v-model-in-software-development
30. V-MODEL AND PROCESS ANALYSIS - pegasus, https://www.pegasusprojekt.de/files/tmpl/Pegasus-Abschlussveranstaltung/03_V-Model_and_Process_Analysis.pdf
31. V-Model and Functional Safety: Ensuring Process Adherence… - Critical Systems Analysis, https://www.criticalsystemsanalysis.com/articles/v-model-and-functional-safety-ensuring-process-adherence-in-engineering/
32. ISO 26262 Functional Safety in Automotive Software - eInfochips, https://www.einfochips.com/blog/road-vehicles-functional-safety-a-software-developers-perspective/
33. ISO 26262 기능안전 요구사항의 부합성 평가 - SPID, https://www.espid.com/index.php/user/common/file_download/20c0514a0f1aa5c960a7d7c093dff525.pdf/item/346/parent_item/3_ISO_26262_%EA%B8%B0%EB%8A%A5%EC%95%88%EC%A0%84_%EC%9A%94%EA%B5%AC%EC%82%AC%ED%95%AD%EC%9D%98_%EB%B6%80%ED%95%A9%EC%84%B1%ED%8F%89%EA%B0%80.pdf
34. (기능안전 6강) ISO 26262는 총 12개의 파트 – 구조부터 이해하자! - CarTech, https://cartec.tistory.com/51
35. 자동차 기능 안전과 ISO 26262 표준 개요, https://ji-se.tistory.com/entry/%EC%9E%90%EB%8F%99%EC%B0%A8-%EA%B8%B0%EB%8A%A5-%EC%95%88%EC%A0%84%EA%B3%BC-ISO-26262-%ED%91%9C%EC%A4%80-%EA%B0%9C%EC%9A%94
36. ISO 26262 제2판 주요 개정 내용 및 의미 - AEM (오토모티브 일렉트로닉스 매거진), https://www.autoelectronics.co.kr/article/articleView.asp?idx=2654
37. SOTIF(의도된 기능의 안전) in Bosh, https://innospi.tistory.com/entry/SOTIF%EC%9D%98%EB%8F%84%EB%90%9C-%EA%B8%B0%EB%8A%A5%EC%9D%98-%EC%95%88%EC%A0%84-in-Bosh
38. SOTIF (ISO21448:2022) 개요 - 자율주행/ASPICE/기능안전 연구 블로그 (+컨설팅), https://ji-se.tistory.com/entry/SOTIF-ISO214482022-%EA%B0%9C%EC%9A%94
39. ISO 26262와 SOTIF(ISO/PAS 21448): 무엇이 다른가? | PTC (KO), https://www.ptc.com/ko/blogs/alm/iso-26262-vs-sotif-iso-pas-21448-whats-the-difference
40. Rethinking Autonomous Vehicle Functional Safety Standards: An Analysis of SOTIF and ISO 26262 - Automotive IQ, https://www.automotive-iq.com/autonomous-drive/articles/rethinking-autonomous-vehicle-functional-safety-standards-an-analysis-of-sotif-and-iso-26262
41. SOTIF란 무엇인가? (ISO 21448) - Visure Solutions, https://visuresolutions.com/ko/%EC%9E%90%EB%8F%99%EC%B0%A8/ISO-21448/
42. 자동차 - 안전성 평가 - ISO/PAS 21448 - Char - 티스토리, https://charstring.tistory.com/469
43. ISO/PAS 21448, SOTIF (Safety Of The Intended Functionality) - theGAP (SecureDog), https://thegap.tistory.com/216
44. Report on ISO/TC22/SC32/WG8 activities - UNECE, https://unece.org/fileadmin/DAM/trans/doc/2019/wp29grva/GRVA-02-32e.pdf
45. CSMS(ISO/SAE 21434)인증으로 살펴보는 차량 보안의 현재와 미래 - 이글루코퍼레이션, https://www.igloo.co.kr/security-information/csmsiso-sae-21434%EC%9D%B8%EC%A6%9D%EC%9C%BC%EB%A1%9C-%EC%82%B4%ED%8E%B4%EB%B3%B4%EB%8A%94-%EC%B0%A8%EB%9F%89-%EB%B3%B4%EC%95%88%EC%9D%98-%ED%98%84%EC%9E%AC%EC%99%80-%EB%AF%B8%EB%9E%98/
46. From HARA and TARA to Risk-Based Safety and Security Dependency Testing - Fraunhofer IEM, https://www.iem.fraunhofer.de/content/dam/iem/dokumente/termine/whitepaper_safety-and-security_06_240527_e-v11.pdf
47. ISO/SAE 21434:2021 자동차 사이버보안 경영시스템 - DNV Korea, https://www.dnv.co.kr/services/page-194910/
48. 품질, 신뢰성, 기능 안전 및 사이버 보안을 통해 자동차 등급을 달성하는 방법 - Phison Blog, https://phisonblog.com/ko/how-to-achieve-automotive-grade-with-quality-reliability-functional-safety-and-cybersecurity/
49. Complying with ISO 26262 and ISO/SAE 21434: A Safety and Security Co-Analysis Method for Intelligent Connected Vehicle - MDPI, https://www.mdpi.com/1424-8220/24/6/1848
50. Goal and Threat Modelling for Driving Automotive Cybersecurity Risk Analysis Conforming to ISO/SAE 21434 - Semantic Scholar, https://pdfs.semanticscholar.org/6c0d/849af222e2ac3dc515431eedf0843bbd5237.pdf
51. What is ISO 26262? | A Guide to Functional Safety Standard - Embitel, https://www.embitel.com/automotive-insights/what-is-iso-26262
52. What is ISO 26262 Functional Safety Standard? - Synopsys, https://www.synopsys.com/glossary/what-is-iso-26262.html
53. 세계 자동차 기능안전 전문가 한국에 모여 - 국가기술표준원, https://www.kats.go.kr/cwsboard/board.do?mode=download&bid=128&cid=24463&filename=24463_202404220957272971.pdf
54. Updates on the Third Edition of the ISO 26262 Standard | SRES Insights, https://sres.ai/functional-safety/updates-on-the-third-edition-of-the-iso-26262-standard/
55. 자율주행 국제표준 패러다임 변화와 과제 - 한국자동차연구원, https://www.katech.re.kr/download/3f069788-7c92-45ab-97fc-edf23ab51773;jsessionid=5183CFEEA39FF59667AB19C9407712AB