자율 주행 자동차를 대상으로 한 위 험. 분석 및 Risk 평가 계획 (1)

ADAS(능동형 드라이버 보조 시스템, advanced·디스트리 시스템) 자기 자율주행 자동차 기술의 등장 등 전기·전자 사업이나 정보통신 산업의 발달에 따라 자동차 산업이 고도화하고 있다. 이것에 의해 차량에 탑재되는 전기/전자 시스템의 수와 시스템의 복잡도가 점차 증가하고 있어 주행 중심에서 운전자나 탑승자 자신이 보행자에 대한 안전 중심으로 산업 패러다임이 변화하고 있다. 안전공학 측면에서 보면, 전기/전자시스템의 오작동에 의한 문제를 방지하는 것이 중요 과제로 부상했으며, 이를 충족시키기 위해 2011년 11월에 자동차 기능안전 국제보통인 ISO 262:2011이 제정되어 2018년 12월 18일에 1판이 폐지되고 2판이 발행되었다. 개정된 ISO 26262:2018은 다음 테이블 1과 함께 총 12개의 Part로 구성되어 있으며 개발 단계부터 생산 및 운영, 폐기 단계까지 준수해야 할 안전 관련 요구사항을 제시하고 있다.​

<표 1> ISO 26262:2018의 구성, 특히 최신 차량 자체를 차량 스스로가 제어하는 자율주행자동차의 개발이 확대됨에 따라 자율주행자동차에 대한 ISO 262 기능안전 대응이 관련 산업의 쟁점이 되고 있다. 미국자동차기술학회(SAE, Society of Automotive Engineers) 본인의 미국도로교통안전국(NHTSA, National Highway Traffic Safety Administration)에서는 자율주행자동차의 등급을 아래 Table 2)과 함께 명시하고 있다.​

<표 2> 미국 자동차 기술 학회(SAE)에 의한 자동차 분류

ISO 26262:2018에 따르면 차량에 탑재되는 안전과 관련된 시스템을 개발하기 위해서는 ISO 262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하려는 Item을 정의한 뒤 해당 Item이 차량에 탑재됐다는 가족 아래에서 리스크를 식별하고 리스크 분석(Hazard Analysis and Risk Assessment, ISO 262-3:2018 Clause 7)를 갖고 최종적으로 자동차 안전 무결성 수준(ASIL, Automotive Safety Integrity Level)을 결정한다.이러한 Hazard Analysis and Risk Assessment(HARA) 수행을 통해 OEM에서는 최상위 안전요구사항인 안전목표(Safety Goal)를 도출하고, 협력업체는 안전목표 달성을 기술안전요구사항, Hardware 안전요구사항 및 Software 안전요구사항을 도출하여 제품을 개발하게 된다.​

>

HARA는 개발 대상을 명세한 Item Definition 상의 기능을 바탕으로 오작동(Malfunction)을 도출하여 도출된 오작동이 다양한 차량의 주행 상황에서 야기되는 위험(Hazard)을 식별합니다. 그 후 각각의 운영 상황에 대한 위험 이벤트(Hazardous Event)를 파악하고, 나아가 각각 심각도(S:Severity), 빈도(Exposure), 제어 기회(C: Controllability)를 부여한 S, E, C를 기반으로 다음과 Fig.2에 명시된 Matrix를 활용해 ASIL 등급을 결정하게 된다.ASIL은 A에서 D로 구분되어 ASILD가 가장 높은 안전수준을 요구하는 등급이며, QM(Quality Management)은 ISO262 대응에 대한 강제성이 없는 등급으로 자동차 분야의 품질표준인 ISOTS16949를 충족하는 수준을 의미합니다. Fig.2에서 보는 바와 같이 ASIL과 심각도(S), 발생빈도(E) 및 제어찬스(C) 사이에는 향후와 같은 관계가 성립합니다.S+E+C의 합이 7 이하인 경우, QMS+E+C의 합이 7인 경우, ASILAS+E+C의 합이 8인 경우, ASILBS+E+C의 합이 9인 경우, ASILD

>

기능의 오작동을 도출하기 위해 가장 합리적인 분석 기법인 HAZOP(Hazard and Operability)을 주로 사용하고(그림 3 참조), 파악되지 않은 오작동을 도출하기 위해 정성적인 수준의 FMEA(Failure Mode and Enalysis) 또는 FTA(Fault Tree Analysis)를 활용하기도 합니다. FMEA를 통해 오작동으로 인한 위험성을 파악하고 FTA를 통해 도출된 위험성에 대해 누출되는 거본인의 FMEA 수행 중 식별할 수 없는 오작동을 도출한다.

>

오작동 식별이 완료되면 차량 주행상황에서 오작동으로 인해 발생할 수 있는 위험을 파악한다. 이때 운영상황 분석(Operational Situation Analysis)이 필요하며 운영상황 분석은 조합 가능한 모든 차량의 주행상황뿐만 아니라 생산된 차량이 수출되는 경우에는 해당 국가의 도로상황, 기후환경, 운전관습 등이 충분히 고려되어야 한다. 통상적인 운용환경 분석에서 고려되는 지금 속도, 장애기물의 상태, 운용상태 등을 포함한 운용상황, 이들과 운용지, 운용지 상태, 기상/ 등의 요소를 포함하는 환경영향, 이에 모두 조합하여 운영상황에서의 본인리오를 도출한다(그림 4 참조).

>

운영상황 시나리오는 운영상황 인제와 환경영향인제의 개수에 따라 조합하여 결정되며, 고려한 인제의 수가 많을수록 운영상황 시나리오의 절대치는 많아진다(그림 5 참조). 고려하는 차량의 수준에 따라, 아래 그림 5의 인재를 모두 고려할 경우, 1억개 이상의 운영자 리오가 생성된다.

>

개발되는 Item을 대상으로 HAZOP, FMEA, FTA 등을 적용하여 도출된 기능의 오작동과 운영귀추 시나리오를 조합하면 귀추에 의한 오작동이 생성되며, 이로 인해 오작동에 의한 결함 위험을 도출하게 됩니다(그림6 참조).

>

기능의 오동작에 의한 위험, 운영상황과의 조합에 의해 얻어진 결과를 위험 이벤트(Hazardous Event)라고 명명하고 각각의 위험 이벤트에 ISO 262에 명시되어 있는 심각도(S: Severity), 발생빈도(E: Exposure), 제어현실성(C: Controllability)을 등급으로 설정하고 최종적으로 ASIL을 결정하게 된다.​

한컴인텔리전스ISE사업본부 SPE팀통합기능안전솔루션 medinianalyze medini@hancomit.com