기능 안전

No unacceptable risk due to hazards caused by malfunctioning behaviors of E/E systems

전기·전자 시스템의 오동작(Malfunction)으로 인한 해저드에서 비롯되는 허용할 수 없는 리스크가 없는 상태. ISO 26262가 자동차 분야의 기능 안전 국제 표준.

안전(Safety)의 일반 정의

Safety: Freedom from Unacceptable Risk (ISO/IEC GUIDE 51)

Safety is a degree of risk. The smaller the risk, the safer.

안전은 절대적이 아니라 리스크의 정도.

안전 필수 시스템 (Safety Critical System)

인적·환경적 심각한 피해를 야기할 수 있는 시스템. Life-critical System이라고도 부름.

Systems where it is essential that system operation is always safe.

Risk = Probability × Severity. Risk Reduction Measures는 두 축을 낮춤.

구분	분석
Hazard (Threat) Analysis	무엇이 위험을 일으킬 수 있는가
Risk Assessment	그 위험이 얼마나 큰가

예시: 자동차의 구동/조향/제동 제어 시스템, 항공의 오토파일럿, 의료의 방사선 치료 시스템.

기능 안전 vs 비기능 안전

구분	예시
기능 안전 (Functional Safety)	전기 모터의 과열을 모니터링하기 위한 센서 + 제어 SW 적용
비기능 안전 (Nonfunctional Safety)	전기 모터 과열 화재에 견디는 내화성 강한 재질 부품 적용

→ 본 표준의 관심 영역은 기능 안전.

기능 안전 요구사항의 두 관점

요구사항 유형	도출 방법	예시
안전 기능 요구사항 (Safety Function Requirement)	해저드 분석을 통해 도출	OOO 시스템은 전기 모터 과열을 방지하기 위한 모니터링 기능을 제공해야 한다
안전 무결성 요구사항 (Safety Integrity Requirement)	리스크 평가를 통해 도출	OOO 시스템은 SIL 4 등급을 만족해야 한다

안전 무결성(Safety Integrity)과 SIL

안전 관련 시스템이 명시된 기간 내의 명시된 모든 조건 하에서 요구되는 안전 기능을 만족스럽게 수행할 확률 (IEC 61508 출처)

SIL (Safety Integrity Level) 등급별 고장 확률:

SIL	Low Demand Rate	High Demand Rate
4	$\geq 1 0^{- 5}$ to $< 1 0^{- 4}$	$\geq 1 0^{- 9}$ to $< 1 0^{- 8}$
3	$\geq 1 0^{- 4}$ to $< 1 0^{- 3}$	$\geq 1 0^{- 8}$ to $< 1 0^{- 7}$
2	$\geq 1 0^{- 3}$ to $< 1 0^{- 2}$	$\geq 1 0^{- 7}$ to $< 1 0^{- 6}$
1	$\geq 1 0^{- 2}$ to $< 1 0^{- 1}$	$\geq 1 0^{- 6}$ to $< 1 0^{- 5}$

Low Demand Rate: 안전 기능 사용 빈도가 연 1회 미만 (예: 에어백)
High Demand Rate: 연 1회 이상 계속 요구 (예: 제동 시스템, 가스 감지)

※ ISO 26262는 SIL 대신 ASIL 등급을 사용한다.

기능 안전 기본 용어

[하위 시스템] Fault → Failure Mode → Failure → Malfunction
   (예: 엔진 제어기, 에어백 제어기)
            ↓
[시스템]    Hazard + Operation Situation = Hazardous Event
   (예: 엔진 시스템, 에어백 시스템)
            ↓
[최종 제품]  Accident → Harm
   (예: 자동차, 항공기)

용어	정의	예시
Harm (위해)	사람의 건강에 영향을 주는 직/간접적 손상	운전자 척추 골절
Accident (사고)	Hazardous Event가 실제로 발생하여 문제가 된 상황	차량이 나무에 충돌함
Hazardous Event	Hazard와 Operation Situation이 결합되어 Accident가 발생할 수 있는 사건	야간·100km/h 고속도로 주행 중 에어백이 의도치 않게 터짐
Hazard	Harm을 일으킬 수 있는 잠재적 요인	차량 내 에어백이 의도치 않게 터짐
Malfunction (오동작)	정상 기능으로부터 Deviation이 발생한 상태 (Loss of Function, Unintended Function 등)	에어백 시스템이 의도치 않게 터짐
Operation Situation	시스템이 노출된 운용 환경	야간·100km/h 고속도로 주행
Risk	잠재적 문제. Hazard가 Accident로 이어질 가능성과 심각도의 조합	리스크가 큼

Safety vs Security — 자매 개념

기능 안전이 시스템 내부의 Malfunction으로부터 야기되는 안전 사고에 집중한다면, 사이버보안은 외부 공격(Attack)으로 야기되는 보안 문제에 집중한다. 외부 공격이 안전 사고를 유발할 수 있으므로 두 영역은 함께 다루어야 한다.

구분	Safety (기능 안전)	Security (사이버보안)
위험 원인	내부 Malfunction	외부 Attack
정의	”Hazard: People and environment can be harmed by malfunctions"	"Attack: People and environment attack the system thus creating harm or unintended behavior”
대표 표준	ISO 26262	ISO/SAE 21434 (‘21.8월)
결함 전파 매핑	Mistake → Fault → Error → Failure → Hazard	Mistake → Weakness → Vulnerability → Attack

→ 자세한 비교는 자동차 사이버보안 참조. 두 표준은 통합 V-Model 위에서 함께 운용된다.

소프트웨어 안전 (Software Safety)

Software Safety: (Functional) “Freedom from Software Hazards” (IEEE 1228)

Hazard: Potential Source of Harm

[참고] 소프트웨어 진흥법(2020년 10월 전면 개정)의 SW 안전 정의:

외부로부터의 침해 행위가 없는 상태에서 SW의 내부적인 오작동 및 안전 기능 미비 등으로 인하여 발생할 수 있는 사고로부터 사람의 생명이나 신체에 대한 위험에 충분한 대비가 되어 있는 상태

AE Wiki

탐색기