ISO 26262의 Concept Phase에서 수행되는 핵심 프로세스. 해저드를 식별하고, Unacceptable Risk를 예방/완화하기 위한 안전 목표를 정의.
정의와 위치
To identify and to categorize the hazards that malfunctions in the item can trigger, and to formulate the safety goals related to the prevention or mitigation of the hazardous events, in order to avoid unreasonable risk.
ISO 26262 Concept Phase의 3-6 Hazard analysis and risk assessment에 해당. Item definition(3-5) 이후, Functional safety concept(3-7)를 도출하기 위한 전 단계.
산출물
- HARA 결과 (안전 목표 포함)
- HARA 결과 검토서
전체 흐름
1. 해저드 분석: Malfunction 식별
시스템의 정상 기능으로부터 오동작(Malfunction)을 식별. HAZOP(HAZard and OPerability) 기법 적용.
HAZOP 적용 방법
What if [Entity].[Parameter/Attribute] = [Guideword]? → [Deviation]
| 구성 요소 | 의미 |
|---|---|
| Entity | 시스템 또는 구성요소 |
| Parameter/Attribute | Entity의 기능/상태 등의 속성 |
| Guideword | 정상 의도를 벗어난 형태의 유형 |
| Deviation | Entity의 비정상 상태 (오동작 등) |
HAZOP Guideword 예시
- Loss of Function: 기능 미동작
- More Than Requested: 기준 초과로 기능 동작
- Less Than Requested: 기준 미만으로 기능 동작
- Wrong Direction: 반대로 기능 동작
- Unintended Activation of Function: 의도치 않은 기능 동작
- Failure to update as intended (Stuck, Locking): 의도한 대로 갱신되지 않음
적용 예시
- “What if 회전문 회전방향 = Wrong Direction?” → 회전문이 반대로 회전
- “What if 엔진 연료량 = Less Than Requested?” → 엔진의 연료량이 적은 상태로 구동
- “What if 조향제어기 조향기능 = Unintended Activation of Function?” → 조향 기능이 의도치 않게 생성
Guideword별 Malfunction 도출 예시 — 자율 주행 긴급 정지
| Guideword | Malfunction |
|---|---|
| Loss of Function | 자율 주행 긴급 정지 안됨 |
| More Than Requested | 긴급 정지 시간이 오래 걸림 (제동거리 초과) |
| Less Than Requested | 긴급 정지 시간이 적게 걸림 (제동거리 미만) |
| Wrong Direction | 자율 주행 속도 증가 |
| Unintended Activation of Function | 의도치 않은 긴급 정지 |
| Failure of function to update as intended | 자율 주행 기능 Lock |
→ 하나의 기능에 대해 Guideword를 빠짐없이 적용해 Malfunction 누락을 방지한다.
2. 해저드 분석: Hazard 식별
시스템의 Malfunction으로 인해 Harm을 일으킬 수 있는 잠재적 요인 식별.
예시:
- 의도치 않은 차량의 움직임 (Unintended Vehicle Lateral Motion)
- 차량 움직임 제어 불가 (Loss of Vehicle Lateral Motion Control)
3. Hazardous Event 정의
Hazard + Operational Situation = Hazardous Event
차량의 운용 상황 분류 예시
| 분류 | 항목 |
|---|---|
| 위치 (Location) | Highway, Country Road, City Roads, Intersection, Dirt Roads, Off-road, Parking Lots, Driveway |
| 도로 상태 (Road Conditions) | Road widths, Road Friction (Dry / Ice / Snow / Wet / Split-Mu) |
| 주행 상태 (Driving Maneuvers) | Start-up, Coasting, Parking, Creeping, Drive Forward, Accelerating, Deceleration, Turning, Evasive Lane Change |
| 차량 상태 (Vehicle State) | Trailer, Heavily laden, Straight, Parked, Ignition off/on, Remote Car start, Shut-off |
| 기타 (Other Considerations) | Side Wind, Oncoming Traffic, Construction zone, Accident Scenario, Traffic jam, Pedestrians, Collision |
Hazardous Event 예시: “고속 도로, 빗길, 고속(V > 100 km/h) 중에 Unintended Vehicle Lateral Motion”
4. 리스크 평가: ASIL 등급 결정
Hazardous Event를 Severity × Exposure × Controllability 3축으로 평가.
| 축 | 의미 |
|---|---|
| Severity (S) | Hazardous Event로 사람에게 Harm을 입히는 정도 |
| Exposure (E) | Hazardous Event의 Operation Situation이 발생 가능한 정도 |
| Controllability (C) | Hazardous Event를 운전자/동승자가 제어할 수 있는 정도 |
Severity 등급
| 구분 | 설명 | 예시 |
|---|---|---|
| S0 | No injuries | – |
| S1 | Light and moderate injuries | 20km/h 미만 속도로 나무 충돌 |
| S2 | Severe and life-threatening (survival probable) | 20~40km/h 속도로 나무 충돌 |
| S3 | Life-threatening (survival uncertain), fatal | 40km/h 초과 속도로 나무 충돌 |
Exposure 등급
| 구분 | 설명 | Duration | Frequency |
|---|---|---|---|
| E0 | Incredible | – | – |
| E1 | Very low probability | 운행 시간의 1% 미만 | 1년에 1회 미만 |
| E2 | Low probability | 운행 시간의 1~10% | 1년에 수 차례 |
| E3 | Medium probability | 운행 시간의 10% 초과 | 1개월에 1회 |
| E4 | High probability | – | 1주에 1회 |
Controllability 등급
| 구분 | 설명 | 예시 |
|---|---|---|
| C0 | 모두 피할 수 있음 | 주유 부족 경고등 켜짐 |
| C1 | 99% 이상의 운전자가 피할 수 있음 | 엔진 소음으로 인한 차량 정지 |
| C2 | 90% 운전자가 피할 수 있음 | 경미한 고장으로 차량 정지 |
| C3 | 90% 미만의 운전자가 피할 수 있음 | 브레이크 고장 |
ASIL 등급
S/E/C의 조합으로 ASIL A < B < C < D 4단계 등급이 결정됨 (또는 QM = Quality Management, 일반 품질관리로 충분한 경우).
QM은 Risk가 없다는 의미가 아니라 Hazardous Event를 통제 가능하다는 의미. 따라서 ISO 26262의 추가적 Risk Reduction 조치가 아닌, 일반 개발 프로세스의 품질 관리로 충분하다고 판단되는 수준.
ASIL 최종 할당 원칙
하나의 Hazard가 여러 Operational Situation에서 서로 다른 ASIL로 평가된 경우, 해당 Hazard에 할당되는 ASIL은 평가된 값들 중 가장 높은 등급으로 결정한다.
예: “의도되지 않은 주차브레이크 활성화”가 고속 주행 시 높은 ASIL, 중저속 시 낮은 ASIL로 평가되어도 → 해당 안전 목표의 ASIL은 높은 쪽이 할당됨. 낮은 ASIL 상황의 발생 가능성만으로 리스크 감소 수준을 결정하면 고위험 시나리오가 방치되기 때문.
5. 안전 목표 (Safety Goal) 정의
시스템의 오동작으로 인해 발생할 수 있는 Hazard를 완화·예방하기 위해 달성해야 하는 최상위 수준의 기능 안전 요구사항 (ASIL A 등급 이상에 대해 정의).
예시: “의도치 않은 차량의 움직임을 방지해야 한다.”
→ 이후 HWSR로 단계적으로 구체화.
안전 상태 (Safe State)
안전 목표와 짝을 이루는 개념. 안전 목표를 달성하기 위해 시스템이 유지해야 할 위험이 통제된 운영 상태.
예시:
| 고장 모드 | 안전 목표 | 안전 상태 |
|---|---|---|
| 의도되지 않은 주차브레이크 활성화 | 차량 운행 시 운전자 요청 없는 주차 기능 활성화 회피 | EPB 꺼짐 |
→ 결함 감지 시 시스템은 안전 상태로 전이해야 한다. 자세한 결함 대응 아키텍처는 결함 전파와 소프트웨어 안전 확보 참조.