1. ISO(International Organization for Standardization)26262
가. ISO26262?
ISO 26262는 자동차의 EE 시스템의 기능 안전을 위한 국제 표준이다. 이 표준은 차량 내 시스템이 정해진 기능을 올바르고 정확한 시점에 수행할 수 있도록 설계·개발·생산하는 일련의 과정을 정의한다. 주요 목표는 다음과 같다.
- 설계부터 생산까지 기능 안전 개발 프로세스를 명확히 규정
- 사고 위험을 최소화하기 위한 가이드라인 제공
- 자동차 부품이 의도한 기능을 정확하게 수행하도록 보장
- 위험 분류 시스템(ASIL)을 기반으로 위험도에 따라 대응 수준 결정
나. ISO 26262의 12개 구성 파트
| 파트 | 설명 |
|---|---|
| Part 1: Vocabulary | 용어 정의 (Item, Element, Fault, Error, Failure, Hazard 등) |
| Part 2: Functional Safety Management | 기능 안전 관리를 위한 절차 및 조직 구성 가이드 |
| Part 3: Concept Phase | 제품 초기 개발 단계에서 HARA (Hazard and Risk Assessment) 수행 |
| Part 4: System-level Development | 시스템 수준의 기능 안전 요구사항 개발 |
| Part 5: Hardware-level Development | 하드웨어 수준의 안전 요구사항 정의 및 개발 |
| Part 6: Software-level Development | 소프트웨어 수준의 요구사항, 아키텍처 설계, 유닛 테스트, 통합 테스트 등 |
| Part 7: Production & Operation | 생산, 운영, 서비스 및 폐기에 이르는 안전 유지 활동 |
| Part 8: Supporting Processes | 변경 관리, 문서화, 형상관리 등 지원 프로세스 정의 |
| Part 9: Safety Analysis (ASIL 기반) | ASIL 분해, 동시 고장 분석, 안전 분석 도구 등 |
| Part 10: General Guidelines | 전체 ISO 26262를 보완·설명하는 해설서 역할 |
| Part 11: Semiconductors | 반도체 및 IP 공급자를 위한 적용 지침 |
| Part 12: Motorcycles | 이륜차(모터사이클)에 맞춰 ISO 26262 적용 방법 정의 |
※ Part 1 기준 핵심 용어 정리
-
Item: ISO26262 안전 수명 주기가 적용되는 EE 시스템(예: 크루즈 컨트롤, 에어백)
-
Element: 시스템 내의 식별 가능한 구성요소
-
Fault: 오류를 일으킬 수 있는 비정상 상태
-
Error: 실제값과 기댓값 간 불일치
-
Failure: 의도된 동작의 중단
-
Hazard: 신체적 손상 또는 피해를 초래할 수 있는 잠재적 원인
-
Malfunctioning Behavior: 설계 의도와 다른 실패 또는 의도치 않은 동작
-
Functional Safety: 오작동으로 인한 위험이 부당하게 크지 않음(Unreasonable Risk)을 의미
-
Fault Tolerance: 특정 결함이 발생해도 기능을 유지하는 능력
다. ISO 26262의 도입 효과
- 개발 전 주기 안전 관리 가능
- HW-SW 통합 설계 추세를 반영한 세부 가이드 제공
- 협력사 관리 용이성 향상 (OEM ↔ 공급사 간 검증 기준 통일)
- 개발 중 안전 관련 리스크 사전 예방 가능
2. SOTIF(Safety of the Intended Functionality)
ISO26262는 Failure으로 인한 위험을 다루지만, SOTIF는 고장은 없지만 기능이 현실 세계에서 오작동하는 경우를 다룬다.
가. 어떤 상황?
- 센서나 인식 알고리즘이 정상적으로 작동하지만, 예외 상황(눈부심, 날씨, 복잡한 환경)에서 실수할 경우
- 사람이 설계한 기능이 현실의 불확실성을 고려하지 못해 발생하는 위험
나. 관련 표준
- ISO/PAS 21448
- 자율주행, ADAS 등에서 빈번히 발생하는 의도된 기능의 비의도적 동작 문제를 보완
- 센서/소프트웨어의 한계를 기반으로 안전 확보 방안 제시
다. Vs. ISO26262
| 구분 | 설명 |
|---|---|
| ISO 26262 | • 기능 안전에 대한 표준으로, 알려진 컴포넌트 고장으로부터 발생할 수 있는 안전 리스크를 줄이는 것이 목표 |
| SOTIF | • 시스템 고장이 없는 상태에서도 발생할 수 있는 예기치 못한 시나리오에 대해 기능의 안전을 확보하기 위한 표준 • 시스템 고장 없이 발생 가능한 안전 위험을 예방, 제어 및 완화하는 방법 • ADAS(첨단 운전자 지원 시스템)처럼, 고장은 없지만 안전 위험이 존재할 수 있는 시스템에 적용 가능 |
ISO26262와 SOTIF 모두 안전한 자율주행 시스템을 개발하기 위해 신중히 고려되어야 한다.
<참고 자료>
전재욱 교수님, SDV 이해하기(K-MOOC), 성균관대학교 반도체시스템공학과, '24.12.09.~'25.02.28.
Chung-Ang Univ. EEE.