자율 주행 자동차를 대상으로 한 위 험. 분석 및 Risk 평가 계획 (일) 이야~~

1. 서론 ​ ADAS(능동형 운전자 보조 시스템, Advanced Driver Assist System)이쟈싱, 자율 주행 자동차 기술의 등장 등 전기 전자 사업과 쵸은그냐은싱 산업이 발달하면서 자동차 산업이 고도화되고 있다. 이에 따라 차량에 탑재되는 전기/전자 시스템의 수와 시스템의 복잡도가 점차 증가하고 있으며, 주행 한가운데서 운전자와 탑승자 자신의 어린이가 보행자에 대한 안전의 상징으로서 산업의 패러다임이 변화하고 있습니다. 안전 공학 측면에서 보면 전기/전자 시스템의 오작동에 의한 문재를 방지할 핵심 현안으로 부각되고 이를 충족시키기 위해서 2011년 11월 자동차의 기능 안전 국제 그저 그런 ISO 26262:2011이 제정됐으며 2018년 12월 18일 1판이 폐지되고 2판이 발행되었다. 개정된 ISO 26262:2018은 아래의 Table 1과 함께 총 12개의 Part으로 구성됐으며 개발 초기 단계부터 생산 및 운영, 폐기 단계까지 준수해야 하는 안전 관련 요구 사항을 제시하고 있다.​

Table 거.ISO 26262:20일 8의 구성 ​ 특히 최신 차량 자체를 차량 스스로 제어하는 자율 주행 자동차에 대한 개발이 확대됨으로써 자율 주행 자동차에 대한 ISO 26262기능 안전 대응이 관련 산업의 쟁점 사항이다. 미국 자동차 기술 학회(SAE, Society of Automotive Engineers) 아니며 미국 도로 교통 안전국(NHTSA, National Highway Traffic Safety Administration)에서는 자율 주행 자동차의 등급을 밑의 Table 2)과 함께 명시하고 있다.​

Table 2. 미국 자동차 기술 학회(SAE)에 의한 자율 주행 자동차 등급 분류 기준 ​ 2. 위험원 분석 및 리스크 평가 ​ ISO 26262:20하나 8에 따르면 차량에 탑재된 안전과 관련된 시스템을 개발하려면 ISO 26262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하려는 Item에 대한 정의를 수행한 뒤 해당 Item이 차량에 탑재됐다는 가족의 품으로 리스크를 식별하고 위험원에 대한 분석과 위험에 대한 평가(Hazard Analysis and Risk Assessment, ISO 26262-3:20하나 8 Clause 7)을 추진하고 최종적으로 자동차 안전, 완전성(ASIL, Automotive Safety Integrity Level)을 결정합니다.이러한 Hazard Analysis and Risk Assessment(HARA)의 수행을 통해 OEM에서는 최상위 안전요구사항의 안전목표(Safety Goal)를 도출하고 협력기업은 안전목표 달성을 위한 기술안전요구사항, Hardware 안전요구사항 및 Software 안전요구사항을 도출하여 제품을 개발하게 된다.

>

HARA는 개발대상을 명세한 아이템 Definition상의 기능을 바탕으로 오작동(Malfunction)을 도출하여 도출된 오작동이 다양한 차량의 주행정세에서 말할 수 있는 위험(Hazard)을 식별한다. 다음 각각의 운영의 정세에 대한 위험 이벤트(Hazardous Event)을 파악하고, 여기에 각각 심각성(S:Severity), 발생 빈도(E:Exposure), 제어 가능성(C:Controllability)을 부여하고 부여된 S, E, C를 기반으로 이하 Fig.2에 명시된 Matrix를 활용하고 ASIL반을 자결이다.ASIL는 A에서 D로 구분되며, ASIL D가 가장 높은 안전 수준을 요구하는 수준으로, QM(Quality Management)는 ISO 26262대응에 대한 강제력이 없는 등급에서 자동차 분야 품질 표준인 ISO TS 16949를 만족하는 수준을 의미한다. Fig.2에서 보듯이 ASIL과 심각성(S)발생 빈도(E)및 제어 가능성(C)사이에는 다음과 같은 관계가 성립된다.​ S+E+C의 합계가 7이하의 경우 QMS+E+C의 합계가 7등의 경우 ASIL AS+E+C의 합계가 8등의 경우 ASIL BS+E+C의 합계가 9등의 경우 ASIL CS+E+C의 합계가 10등의 경우 ASIL D​

>

기능의 오작동을 도출하기 위한 가장 합리적인 분석 방법인 HAZOP(Hazard and Operability)을 주로 사용하고(Fig.3참조)파악할 수 없는 오작동을 찾기 위해서 정성적 수준의 FMEA(Failure Mode and Effect Analysis)혹은 FTA(Fault Tree Analysis)을 활용하기도 한다. FMEA를 통해 오작동으로 인한 위험을 파악하고 FTA를 통해 도출된 리스크에 대해 누락 및 FMEA 수행 중 식별되지 않은 오작동을 도출한다.

>

오작동 식별이 완료되면 차량의 주행정세에서 오작동에 의해 발생할 수 있는 위험을 파악한다. 이때 운영정세분석(Operational Situation Analysis)이 필요하며 운영정세분석은 조합 가능한 모든 차량의 주행정세뿐만 아니라 생산된 차량이 수출될 경우에는 해당 정부의 도로정세, 기후환경, 운전관습 등이 충분히 고려되어야 한다. 통상의 운영 환경 분석에서 고려되는 인제는 속도, 장애물의 상태, 운영 상태 등을 포함한 운용 정세인제와 운용 육지, 운용 육지의 상태, 기상/기후 등의 요소를 포함한 환경 영향, 인제로 이들을 모드 조합 운영 상황 시 나쁘지 않고 리오를 도출(그림 4참조). ​

>

운영 귀추 시자신리 온 운영 귀추 이제 와서 환경 영향 이지에우이 개정에 따른 조합에 의하여 채결되고 고려한 이지에우이 수가 많을수록 운영 귀추 시자 싱 리오의 절대치는 많아진다(그림 5참조). 고려하는 차량의 레벨에 따라 다르지만, 이하의 Fig. 5이를 전체 고려한 경우 하나 옥개 이상의 운영 귀추 시자 싱리이 발생된다.

>

개발되는 Item을 대상으로 HAZOP, FMEA, FTA 등을 적용하여 도출된 기능의 오작동과 운영 정세 시그인리오를 조합하면 정세에 따른 오작동이 생성되며, 이를 통해 오작동에 의한 결구ヮ임프지안이여 위험을 도출하게 된다(그림 6참조).

>

기능의 오작동에 의한 위 햄, 운영 상황과 조합을 통해서 나온 결과를 위 함 이벤트(Hazardous Event)으로 명명하면서 각각 위 햄 행사에 ISO 26262에서 명시하고 있는 심각성(S:Severity)생성, 빈도(E:Exposure), 제어의 실현성(C:Controllability)등급을 부여하고 최종적으로 ASIL을 결정하게 된다.​

한컴 MDS medini analyze l SES사업부 SES1팀 E.medini@hancommds.com제품 문의 medini analyze의 소개 페이지