자율 주행 자동차를 대상으로 한 리스크 분석 및 Risk의 평가 방안(1)서론 ADAS(능동형 운전자 보조 시스템, Advanced Driver Assist System)과 자율 주행 자동차 기술의 등장 등 전기 전자 사업과 정보 통신 산업이 발달하면서 자동차 산업이 고도화되고 있다. 이에 의해서 차량에 탑재된 전기/전자 시스템의 수와 시스템의 복잡성이 점차 증가하고 있어 주행하는 중심에서 운전자, 탑승자나 보행자에 대한 안전 중심으로 산업의 패러다임이 변화하고 있다. 안전 공학 측면에서 보면 전기/전자 시스템의 오작동에 의한 사고를 방지하는 것이 중요 현안으로 부각되고 이를 충족시키기 위해서 2011년 11월 자동차의 기능 안전 국제 표준 ISO 26262:2011이 제정됐으며 2018년 12월 18일 1판이 폐지되고 2판이 발행되었다. 개정된 ISO 26262:2018은 아래의 Table 1과 함께 총 12개의 Part으로 구성됐으며 개발 초기 단계부터 생산 및 운영, 폐기 단계까지 준수해야 하는 안전 관련 요구 사항을 제시하고 있다.
구분의 내용 제1부(Part 1)용어 제2부(Part 2)기능 안전 관리제 3부(Part 3)의 개념 단계 제4부(Part 4)시스템 차원에서 제품 개발 제5부(Part 5)하드웨어 수준의 제품 개발 제6부(Part 6)소프트웨어 수준에서 제품 개발 제7부(Part 7)생산, 운영 및 폐기, 제8부(Part 8)지원 프로세스, 제9부(Part 9)자동차 안전 무결성 등급 및 안전 기반 분석 제10부(Part 10)ISO 26262에 대한 가이드 라인 제11부(Part 11)반도체 개발에 따른 가이드 라인 제12부(Part 12)Motorcycle에 대한 ISO 26262적용<표 1>ISO 26262:2018의 구성
특히 최근 차량 자체를 차량 스스로 제어하는 자율 주행 자동차에 대한 개발이 확대됨으로써 자율 주행 자동차에 대한 ISO 26262기능 안전 대응이 관련 산업의 쟁점 사항이다. 미국 자동차 기술 학회(SAE, Society of Automotive Engineers)나 미국 도로 교통 안전국(NHTSA, National Highway Traffic Safety Administration)에서는 자율 주행 자동차의 등급을 밑의 Table 2)과 같이 명시하고 있다.
등급 정의 조향/가속, 감속 주행 환경 감시 주행 모드 Fall-back주행 모드 차량의 모든 제어권은 운전자라는 것 Level 0:자동화 없음-사람 운전자에 의한 주행-운전자에 따른 위험 상황 제어 HHH 아님 Level 1:일부 지원과 주변 환경 판단 및 스티어링/가속, 감속 지원 운전자의 조작 이후 기능 수행 H/SHH주행 모드 Level 2:부분의 자율화-주행 상황에 의해서 1개 이상의 조향/가속, 감속 기능이 스스로 수행 SHH주행 모드, 자율 주행 시스템이 주행 환경을 모니터링
Level 3:조건부의 자율화와 차량 제어권을 운전자가 차량에 또는 차량이 운전자에게 인도 가능 SSH주행 모드 Level 4: 높은 자율화-모든 상황을 차량을 통제하고 주행-운전자 개입 없이 주행 SSS주행 모드 Level 5:완전 자율화 상시 자율 주행-환경 조건에 따라서 운전자가 주행 모드 변경 가능 SSS완전 자율
인기글
![[인천/미추홀구] 전차종 블랙박스&내비게이션 작업 전문! : 신길카 오디오 인천점 (제우스전자)](https://qi-o.qoo10cdn.com/goods_image_big/1/8/2/9/6195651829_l.jpg "[인천/미추홀구] 전차종 블랙박스&내비게이션 작업 전문! : 신길카 오디오 인천점 (제우스전자)")
![자율주행 자동차의 현재 [Our Life]](https://blog.kakaocdn.net/dn/dJaTys/btrwnrsT4o4/adUUlkEv50EkbIdTzQ3rT1/img.gif "자율주행 자동차의 현재 [Our Life]")
범례:H(Human)S(System)<표 2>미국 자동차 기술 학회(SAE)의 차량 등급 분류 기준
위험원 분석 및 리스크 평가 ISO 26262:2018에 따르면 차량에 탑재된 안전과 관련된 시스템을 개발하려면 ISO 26262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하려는 Item에 대한 정의를 수행하고 이후 해당 Item이 차량에 탑재됐다는 가정 하에서 리스크를 식별하고 위험원에 대한 분석과 위험에 대한 평가(Hazard Analysis and Risk Assessment, ISO 26262-3:2018 Clause 7)을 추진하고 최종적으로 자동차 안전, 완전성(ASIL, Automotive Safety Integrity Level)을 결정한다.
이런 Hazard Analysis and Risk Assessment(HARA)의 수행을 통해서 OEM에서는 최상위의 안전 요구 사항인 안전 목표(Safety Goal)을 도출하게 되고 협력 업체들은 안전 목표 달성을 위한 기술 안전 요구 사항, Hardware안전 요구 사항 및 Software안전 요구 사항을 도출하고 제품을 개발한다.
<그림 1> ISO 26262를 준수하는 안전요구사항의 흐름 HARA는 개발대상을 명세한 Item Definition 상의 기능에 근거하여 오작동(Malfunction)을 도출하여 도출된 오작동이 다양한 차량의 주행상황에서 일어날 수 있는 위험(Hazard)을 식별한다. 그 후 개개의 운용상황에 대한 위험 이벤트(Hazardous Event)를 파악하고 여기에 각각 심각도(S:Severity), 발생빈도(E:Exposure), 제어가능성(C:Controllability)을 부여한 S, E, C를 기반으로 다음 Fig.2에 명시된 매트릭스를 활용하여 ASIL 등급을 결정하게 된다.
ASIL은 A에서 D로 구분되어 ASILD가 가장 높은 안전수준을 요구하는 등급이며, QM(Quality Management)은 ISO26262 대응에 대한 강제성이 없는 등급으로 자동차 분야의 품질표준인 ISOTS16949를 만족하는 수준을 의미한다. Fig.2에서 보듯이 ASIL과 심각도(S), 발생빈도(E) 및 제어가능성(C) 사이에는 다음과 같은 관계가 성립한다.
S+E+C의 합이 7 이하인 경우, QMS+E+C의 합이 7인 경우, ASILAS+E+C의 합이 8인 경우, ASILBS+E+C의 합이 9인 경우, ASILCS+E+C의 합이 10인 경우, ASILD
<그림 2> ASIL 결정 매트릭스 기능의 오작동을 이끌어내기 위해 가장 합리적인 분석 기법인 HAZOP(Hazard and Operability)을 주로 사용하며(그림 3 참조), 파악되지 않은 오작동을 이끌어내기 위해 정성적인 수준에서의 FMEA(Failure Mode and Effect Analysis), 혹은 FTA(FaultT)를 활용하기도 한다. FMEA를 통해 오작동으로 인한 위험을 파악하고, FTA를 통해 도출된 위험을 누설하거나 FMEA 수행 중 식별되지 않은 오작동을 도출한다.
<그림 3> HAZOP를 활용한 오작동(Malfuction) 도출 오작동 식별이 완료되면 차량 주행 상황에서 오작동에 의해 발생할 수 있는 위험을 파악한다. 이 때 운영상황 분석(Operational Situation Analysis)이 필요하며 운영상황 분석은 조합 가능한 모든 차량의 주행상황뿐만 아니라 생산된 차량이 수출될 경우에는 해당 국가의 도로상황, 기후환경, 운전관습 등이 충분히 고려되어야 한다. 통상의 운영 환경 분석에서 고려되는 인자는, 속도, 장애물의 상태, 운용 상태등을 포함한 운용 상황 인자와 운용 지역, 운용 지역 상태, 기상/기후등의 요소를 포함한 환경 영향 인자로, 이것들을 모두 조합해 운영 상황 시나리오를 도출한다(그림 4 참조).
<그림 4> 잠재적인 차량운영상황의 예운영상황 시나리오는 운영상황인자와 환경영향인자의 개수에 따라 조합에 의해 결정되며, 고려한 인자의 수가 많을수록 운영상황 시나리오의 절대치는 많아진다(그림 5 참조). 고려하는 차량의 수준에 따라 다르지만 아래 그림 5의 표시를 모두 고려할 경우 1억 개 이상의 운용상황 시나리오가 생성된다.
<그림 5> 운용 시나리오에 필요한 요소와 상세 인자 예시 개발되는 Item을 대상으로 HAZOP, FMEA, FTA 등을 적용해 도출된 기능 오작동과 운영 상황 시나리오를 조합하면 상황에 따른 오작동이 생성되고, 이것에 의해 오작동에 의한 결과인 위험을 도출하게 된다(그림 6 참조).
<그림 6> 운영 시나리오 개발 대상 아이템의 오동작과 위험의 관계(Hazardous Event) 기능의 오동작에 의한 위험, 운영 상황과의 조합에 의해 얻어진 결과를 위험 이벤트(Hazardous Event)라 명명하고, 각각의 위험 이벤트에 ISO26262에서 명시하고 있는 심각도(S: Severity), 발생 빈도(Expures Event)를 최종 부여하고, Contility에 부여할 수 있다.
한컴인텔리전스ㅣISE사업본부SPE팀통합기능안전솔루션 [email protected]