Functional Safety

Similar documents
제 KI011호사업장 : 서울특별시구로구디지털로26길 87 ( 구로동 ) 02. 공산품및소비제품 생활용품검사검사종류검사품목검사방법 안전확인대상생활용품 생활 휴대용레이저용품 안전확인대상생활용품의안전기준부속서 46 ( 국가기술표준원고시제 호 (

Microsoft PowerPoint - sem(nov05)3.ppt

SW¹é¼Ł-³¯°³Æ÷ÇÔÇ¥Áö2013

슬라이드 1

기능안전, 안전분석및신뢰성교육과정 VCA Korea

Main Title

untitled

ISO17025.PDF

1.장인석-ITIL 소개.ppt

2

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

Microsoft Word - KSR2015A100

F1-1(수정).ppt

Microsoft Word - ISO vs ISO 대비표[1].doc

IT현황리포트 내지 완


03.Agile.key

SPICE-CMMI 보고서 작성 양식

PowerPoint 프레젠테이션

소프트웨어개발방법론

Microsoft Word - KSR2016S102

PowerPoint 프레젠테이션

ecorp-프로젝트제안서작성실무(양식3)

Journal of Educational Innovation Research 2017, Vol. 27, No. 3, pp DOI: (NCS) Method of Con

13 Who am I? R&D, Product Development Manager / Smart Worker Visualization SW SW KAIST Software Engineering Computer Engineering 3

example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for

PERFORMANCE technology the all-new bmw 5 series. dynamic 06 business 14 comfort 20 safety 22 model LineuP 24 TecHnicaL data 26 bmw service 28 bmw kore

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

IBM blue-and-white template

Bluetooth

PowerPoint 프레젠테이션

consulting

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

PowerPoint 프레젠테이션

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

<4D F736F F D20C0CCBEBEC1A6BEEE5FC3A5BCD2B0B35F >

Microsoft PowerPoint - KNOM Tutorial 2005_IT서비스관리기술.ppt

Microsoft PowerPoint - 발표자료.pptx

Validation Plan Template

슬라이드 1

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft Word - [2017SMA][T8]OOPT_Stage_2040 ver2.docx

[11하예타] 교외선 인쇄본_ver3.hwp

untitled

QbD 적용을위한품질심사해설서 ( 예시 )

04-다시_고속철도61~80p

보험판매와 고객보호의 원칙

スライド タイトルなし

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>


Microsoft Word - [2017SMA][T8]OOPT_Stage_1000 ver2.docx

Microsoft Word - [2017SMA][T8]OOPT_Stage_1000_ docx

I 1 1) TESCO, 1993, ( 96, 98, 99) - : : 354 (19993 ~ , 1 =1737 ) - : 845 ( : 659 ) - : ) CM 9 (CM), CM , 2 CM, -

Á¦3ºÎ-6Àå

02_연구보고서_보행자 안전확보를 위한 기술개발 기획연구( )최종.hwp

Oracle Apps Day_SEM

<31B1E8C0B1C8F128C6ED2E687770>

<4D F736F F F696E74202D20BCD2C7C1C6AEBFFEBEEE28B9E8B5CEC8AF204B >

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2

<C3D6C1BE5F2D FBCF6C1A42E687770>

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

2012 kicte??????????1223

歯CRM개괄_허순영.PDF

DBPIA-NURIMEDIA

untitled

슬라이드 1

??윕햳??

Ver 1.0 마감하루전 Category Partitioning Testing Tool Project Team T1 Date Team Information 김강욱 김진욱 김동권

슬라이드 1

CR hwp

첨부 #1 교육프로그램및강사소개 1. Functional Safety Certification Program (FSCP) Level 2 소개 (1) 교육추천대상자 - 회사의프로세스개선, 기능안전도입및추진담당자또는관리자 Airbag, BMS, ACC, TPMS, EPS,

무인항공기 국제표준 현황 및 테스팅 형상관리 서비스

Microsoft PowerPoint - 30.ppt [호환 모드]

Manufacturing6

µµÅ¥¸àÆ®1

Software Modeling < < OOAD Stage 김정태 최정명 이낙원 송준현

untitled

04±èºÎ¼º

<313230C8A35FC0CEBBE7C0CCB5E55FC0CCBDB45FC2F7B7AEBFEB5FB9DDB5B5C3BCC0C75FC7B0C1FA5FC8AEBAB8B8A65FC0A7C7D15FBBE7BEE75FB9D75FBCB3B0E85FB0B3B9DF5FC7C1B7C

의료기기의전기 기계적안전에관한 공통기준규격실무안내서 - 사용적합성 -

RVC Robot Vaccum Cleaner

Journal of Educational Innovation Research 2019, Vol. 29, No. 2, pp DOI: * The Effect of Paren

Microsoft PowerPoint - jfeature장범석서재원박동현.pptm

Adobe Photoshop PDF

<4D F736F F F696E74202D EB9CC20B1B9B9E6BCBA20BDC3BDBAC5DB20BEC8C0FC20C7C1B7CEB1D7B7A52E BC8A3C8AF20B8F0B5E55D>

2012북가이드-최종교

Disclaimer IPO Presentation,. Presentation...,,,,, E.,,., Presentation,., Representative...

Service-Oriented Architecture Copyright Tmax Soft 2005

<4D F736F F F696E74202D EB9CC20B1B9B9E6BCBA20BDC3BDBAC5DB20BEC8C0FC20C7C1B7CEB1D7B7A52E BC8A3C8AF20B8F0B5E55D>

슬라이드 1

Ver. 4.0 OOPT Stage 1000 <Plan and Elaboration> Version 4.0 Project Team T7 Team Date Team Information 오세욱 임현유

Microsoft Word - KSR2014A273

공학트렌드_3호.hwp

SchoolNet튜토리얼.PDF

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Microsoft PowerPoint - DO-178B_적용.pptx

About

<23C0B1C1A4B9E65FC6EDC1FDBFCFBCBA E687770>

Transcription:

1 / 11 자동차전기 / 전자개발에안전엔지니어링의도입 : 문제점과해결책 요약 : 어댑티브크루즈컨트롤 (ACC: Adaptive Cruise Control), 충돌보호시스템, 차체제어시스템 (ABC: Active Body Control), 차체자세제어장치 (ESP: Electronic Stability Program) 같은기능은복잡성이날로증가하는것은물론, 차량제어에있어그어느때보다많은역할을담당하고있다. 이러한기능은센서시스템, 액추에이터, 그리고서로연결된전자제어장치를통해구현된다. 시스템은다양한작동조건에서실행되도록디자인되어야하는것은물론여러가지기계, 하드웨어및소프트웨어관련제약사항을준수해야한다. 이러한시스템과관련하여최근떠오르는제조물책임위험을관리하고자동차시스템에요구되는높은수준의품질을확보하려면엔지니어링프로세스를대폭개선해야한다. 이기사에서는안전표준을준수하고위에서언급한문제에대처하기위해회사의개발프로세스를개선및조정하는과정에서얻은경험을소개하고자한다. 특히, 이러한문제를극복하는데결정적인역할을한핵심성공요인을자세히살펴보고, 전세계 OEM 및 Tier 1 공급업체와의협력을통해전기 / 전자개발시안전표준을이행한노력을사례를통해설명하기로한다. 저자 : 디터레더러 (Dieter Lederer) 박사, 크리스토프에베르트 (Christof Ebert) 박사디터레더러박사는벡터컨설팅서비스 (Vector Consulting Services) 의매니징디렉터이자파트너로, 제품개발및전략변경관리프로그램수행과같은관련프로세스의최적화를위해전세계고객들을지원하고있으며, 현재는자동차 OEM 과공급사에 ISO 26262 와같은안전규격을따르도록지원하고있다. 이전에보쉬에서엔지니어링및관리직책을수행한바있다. 크리스토프에베르트박사는벡터컨설팅서비스의매니징디렉터이자파트너로, 전세계고객의기술제품개발업무를개선하는부분을지원하고있으며, 이전에는전자통신및우주항공부문에서 10년이상엔지니어링및관리직무를수행한경험이있다. 크리스토프박사는다양한기사와서적을저술하고연설자이자컨설턴트로도활동하며결과중심적인기여를통해많은기업에영향을주었다. 소개몇년전운전자에게편의를제공하고무게와기계적부하및비용을절감하기위해전자주차브레이크시스템이도입되었다. 원리는매우간단했다. 브레이크가작동하면차량의바퀴가굴러가지않도록하고운전자가스로틀을작동하면이를해제하므로운전자가스로틀을누르는동시에브레이크를해제하는동기화작업을수행하는부담을덜어주는것이다. 개념에는문제가없었으며전자주차브레이크에는주차버튼에서브레이크로바로이어지는두개의예비채널이있었다. 더운여름날에진행된테스트주행도중운전자는외부에서무언가를확인하기위해차량을멈추고전자주차브레이크를작동했다. 잠깐동안만차량을벗어나기위해정차하는것이었으므로운전자는엔진이가동되는상태로유지했다. 결국차량은주차브레이크를통해잠기게되었다. 그런데차량에서벗어난지몇초후갑자기차량이가속되면서벽을들이받는상황이발생했다. 어떤일이일어난것일까? 전자주차브레이크시스템은정상적으로작동했다. 그러나운전자가차량을벗어날때자연스럽게차문을열었는데, 이로인해차량내부로뜨거운공기가유입되었다. 그에따라필요한

2 / 11 실내온도를유지하기위해에어컨이자체적으로가동되었는데, 이를위해전력이추가로필요해져스로틀이약간증가하고브레이크가해제된것이다. 안전필수시스템은의도된기능을수행하지못할경우물리적인손해나손상을유발할수있다. 고장의원인은임의로발생하는하드웨어결함 ( 예 : 단락회로 ) 일수도있고계통적디자인오류 ( 예 : 소프트웨어결함 ) 일수도있다. 고장발생가능성을최소화하고불가피한고장의결과를제한하면시스템과관련된위험이줄어든다. 차량자체와차량에통합된다양한전자부품그리고이러한부품간상호작용의복잡성이증가함에따라안전개념은새로운디자인의핵심에자리잡거나, 위의예에서처럼기존기능을변화시키는데사용되거나, 완전히새로운기능에사용될것으로예상된다. 기능안전은시스템의올바른작동상태에따라달라진다 [1,2]. 이는단순한부품속성이라기보다는시스템의전반적인속성으로, 모든센서, 액터, 제어장치등의통합적인작동상태에따라달라진다. 목표는시스템의기능고장과연관된잔여위험을 합리적으로실행가능한낮은위험수준 (ALARP: As Low As Reasonably Practicable) 으로낮추는것이다 [3,4]. 기본적인개념의안전은운전자보호를위한승객실디자인이나치명적인사고를대폭줄여준 ABS(Anti-blocking Braking System) 처럼특정부문에서오랜세월이어져오고있다 [4]. 하지만오늘날에는안전이새로운영향및위험수준에도달했음을인정해야한다. 안전에추가되는것은더이상개별부품이아니라시스템레벨 ( 기계및전자서브시스템이물리적으로조합된전체차량 ) 에서이러한부품들간의상호작용이다. 이기사에서는자동차전기 / 전자개발에안전엔지니어링을올바르게도입하는방법에관한경험과지침을제시하고있다. IEC 61508[1] 및 ISO 26262[2] 같은표준에도몇가지지침이나와있지만, 제품개발시안전문화가자리잡도록하려면엔지니어링및관리레벨에대해안전이의미하는바가무엇인지를철저하게이해해야한다. 자동차업계에서안전표준을적용하는과정에서맞닥뜨릴수있는문제점안전이필수적인자동차시스템의엔지니어링은여전히중요한문제이며심각한개발부담과연관되어있는경우도많다. 자동차업계에서효과적이면서효율적인안전엔지니어링을수행하는데방해가되는주된요인은다음과같이요약할수있다. 1. 부품중심적인개발 2. 부적절한프로세스역량 3. 추상적인표준자동차전기 / 전자시스템의개발은아직도지나치리만큼부품중심적이다. 하지만안전은시스템의전반적인속성이다. 많은부품을안전측면에서고려하려면대개현재보다요구사항및품질관리부문에체계적으로접근해야하는것은물론개발부서의조직적인변화가요구된다. 현재의프로세스로는시스템레벨의최상위안전목표 ( 예 : 전자주파브레이크는특정속도를넘으면작동해서는안됨 ) 에서부터소프트웨어안전요구사항 ( 예 : 센서값의타당성검사 ) 에이르기까지추적체계를확보할수없는경우가많다. 안전엔지니어링을이행하려면프로젝트, 품질및공급업체관리실무에대한정확한적용을바탕으로프로세스중심적개발을엄격하게준수해야한다. 이러한사전요구사항을우리가살펴본개발프로세스에서는확인되지않는경우가많았는데, 안전관련조치를효과적으로적용할수있는

3 / 11 토대를마련하기위해서는가장먼저정해야하는부분이다. 일반적인예로, 공급업체개발실무에대한요구사항은요구사항명세서에는포함되어있지만 OEM 에서시스템개발시검증하거나적용하지는않는경우가많다. 현재의안전표준은다소추상적이며필요한조치를기존프로세스에효율적으로통합하는방법에대한구체적인지침을제공하지않는다 [3]. 적합성을확보하는데필요한프로세스의세부적인변경및확장요소는각조직에대해사례별로식별해야한다. 반면, 엔지니어링프로세스, 안전요구사항, 안전사례명세, 그리고이에대한검증을다루는방식과관련해서는세부적인지침을제공하는쪽으로표준이발전해나가는추세이다. 표준을이행함에있어이러한접근방식의위험요소는엔지니어가설명된부분만따르고실질적으로필요한부분, 즉안전요구사항, 위험및경제적절충요소등은고려하지않는다는점이다. 이렇게되면결국안전엔지니어링은많은비용이들고복잡한업무가되는것은물론사용자입장에서전혀안전성이개선되지않는경우도생긴다. 이는재구성작업과정에인명사고를일으킨런던앰뷸런스시스템이나방사선과량으로인해마찬가지로인명사고를일으킨테락 (Therac) 의료방사선시스템과같은사고를예로들면가장쉽게이해할수있다 [11]. 둘다필수표준을준수하도록디자인되었지만유용성이떨어졌기때문에안전을입증하는데실패했다. 내장된장치의복잡성을이해하지못하는미숙한운전자또한이러한문제를축적시킨다. 이를통해분명하게알수있는것은아무리완성도가높고잘통제된프로세스가위와같은시스템엔지니어링및판단기준의뒷받침이된다하더라도안전표준만으로는안전을확실하게보장하지못한다는사실이다. 안전엔지니어링의성공요인전세계자동차 OEM 및 Tier 1 공급업체를대상으로안전개념을도입하는과정에서얻은경험을살펴보면, 이미제도화된확고한관리및엔지니어링실무위에안전엔지니어링문화를정립하기위해서는다음과같은세가지가요구된다. 시스템중심적인개발 (System-oriented development) 엔지니어링에깊이스며든안전방식 (Safety methods engrained to engineering) 향상된프로세스완성도 (Improved process maturity) Safety Engineering Goals: 1. Avoid failures, 2. Make unavoidable failures safe System-oriented development Safety methods engrained to engineering Improved process maturity Systems engineering measures addressing safety risks top-down looking to the system and its environment: Safety analysis Safety cases Derived functional and non-functional requirements Traceability Supplier management Quality management Technical measures against random HW and systematic HW and SW failures: Multi-level redundancy (system, components, algorithms, etc.) Diagnostics Self-tests Modular architecture Architecture patterns Defensive programming Methodological measures to ensure the application of a safety-critical development process: Requirements development Analysis techniques Design methods Verification and validation methods Training and competence management Project management

4 / 11 그림. 1 실제안전엔지니어링 시스템중심적인개발안전에는시스템엔지니어링관점이요구된다. 차량의전기서브시스템과이들서브시스템의네트워크연결이날로복잡해지고기능의다양성이증가함에따라임베디드전기 / 전자시스템이갈수록취약해지고있다. 이러한위험에대응하려면전체수명주기를따라다양한레벨을강력하게보호해야한다. 무엇보다도관련된안전위험을식별하고시스템및소프트웨어레벨에서이를어떻게피하거나완화할수있는지를알아내야한다. 특히자동차용임베디드시스템의경우시스템사양, 분석및디자인부터안전을다뤄야한다. 초기아키텍처및디자인이완성되고나면각기다른수많은부품및이들간의상호작용을고려해더이상안전을소급한디자인을할수없게된다. 자동차부품공급망에서의관계관리는분할정복 (Divide and Conquer) 원리가계층식으로정립되어관리및엔지니어링문화에깊이내재되어있다. 이는공급업체로부터선택한차량의작동부분을확보하는동안에는확실한이점이있었다. 하지만일례로전자스티어링시스템의경우에는이러한표준사양을참조해서는확보할수없다. 전자스티어링시스템은시스템의물리적, 동적및기계적동작은물론전자적인제약을비롯한그밖의제한사항을고려하여차량의핵심적인부분으로디자인해야한다. 그럼에도불구하고 OEM 은여전히너무많은시스템정보를공개하는데지나치게신중한입장이며이들의 Tier 1 공급업체는각자의특정서브시스템만바라보고이러한레벨에서만기능을검증하려는경우가많다. 모든이점을갖춘 V 모델은검증이최저레벨에서만이루어지는단편적인관점이아닌통합프레임워크로이해해야한다. 이러한프레임워크에서는안전디자인, 구현및검증과관련된요구사항과사양이시스템요구사항및디자인원리로부터하향식으로얻어진다. 그림 2 에서는안전엔지니어링기법의몇가지예와이러한기법을시스템엔지니어링관점에서얻어내는방식을보여준다. 안전개념은시스템아키텍처레벨에서정의해야한다. 요구사항을체계적으로관리하기위해서는실패유형과영향분석 (FMEA: Failure Mode & Effects Analysis), 오류나무분석 (FTA: Fault Tree Analysis) 등과같은방법을이용한시스템레벨및안전분석을이행하고, 이를통해얻은안전요구사항을문서화해야한다. 그리고나서개별컴포넌트 ( 하드웨어및소프트웨어 ) 에이러한안전요구사항을지정하고컴포넌트레벨에서안전분석결과를성공적으로적용한후에는각컴포넌트에대한특정안전관련기술요구사항에까지안전요구사항을지정해야한다.

5 / 11 Hazard and risk analysis Idea Product Safety case Analysis of safety requirements Requirements analysis System Test Test of system safety requirements Design of system safety concept System design System integration Safety analyses e.g.: FMEA Component design Component test Test of component safety requirements Implementation Implementation guidelines, e.g. MISRA C 그림. 2 하향식으로전개되는안전개념 엔지니어링에깊이스며든안전방식각각의엔지니어링활동은적절한안전방법론에의해향상되어야한다. 그림 3 에서는안전분석및최상위안전목표에서부품별기술요구사항을얻어내는부분에대해설명하고있다. 수직 수평요구사항추적기능은제품아키텍처의다양한레벨에서안전요구사항간의종속관계를관리하기위한확고한토대역할을한다. 안전이필수적인소프트웨어를개발하려면소프트웨어아키텍처디자인, 소프트웨어구현지침, 소프트웨어확인및검증모두에서시스템오류를배제시키는데더많이주력해야한다. 또한구체적인안전관련방법및기법을엔지니어링방식에깊이내재시켜야한다. 안전이필수적인소프트웨어를프로그래밍하기위해코딩표준및규칙을사용하는것과관련해서는이러한요구사항이더욱확실하게적용된다 [3,5]. 하지만코딩만으로는충분하지않다. 첨단전기 / 전자시스템에서요구되는높은품질은체계적인엔지니어링프로세스를통해서만확보할수있다. 다른많은업체들이그랬던것처럼나중에시작하고부품에만몰두하는것도해결책이아니다. 전반적으로높은품질수준을구현하기위해서는조기결함감지및제거가필요한데이는요구사항엔지니어링단계에서부터서비스의종료 ( 제품퇴거포함 ) 에이르기까지종속형디자인, 검증및확인과같은수많은활동을결합해야만가능하다. 하드웨어개발시에는하드웨어의안정성을평가하기위한분석기법 ( 예 : 설계 FMEA 및최악의경우허용오차계산 ) 의활용을포함한문서화된개발프로세스가필요하다. 틀림없는보다견고한디자인을제공하려면잠재적인하드웨어고장율을계량화된방식으로모델링하고이를바탕으로하드웨어진단조치를적용해야한다. 디자인과정에서의안전엔지니어링에는체계적인결함예측, 감지, 수정및방지가요구된다. 이를위한첫번째단계는오작동과관련된위험요소및결함이성능에미칠수있는중요한영향을식별하는것이다. 기본적으로사용되는기법은결함추정, 신뢰도예측, 심각도평가에대한통계적방식이다 [8]. 디자인및구현에서의시스템결함은검사, 재검토, 유닛테스트같은품질관리활동을통해감지돼야만한다 [9]. 이러한각기법들은저마다장단점이있기때문에적절히혼합해서사용해야효율성이극대화된다. 세부적인요구사항검토가훨씬빠르고저렴한경우에는아무리

6 / 11 많은엔지니어들을배정한다해도큰효과를얻을수없다. 결함감지및식별후에는세번째단계를통해이를제거해야한다. 이는쉬운것처럼들릴수있지만실제로는수정할때마다시스템에많은파급효과가발생한다. 변경으로인해품질이떨어지지않도록하려면수정사항에대한회귀테스트및리뷰를반드시수행해야한다. 효율성및무품질 (non-quality) 비용을관리하려면결함이반복되지않도록하는데중점을두어야한다. 종종엔지니어와관리자들은이것이첫번째이자가장중요한단계가되어야한다고말한다. 물론이에동의하지만경험상사람들은프로세스가뒷받침되지않는탓에계속해서결함을회피하는데만급급한것을알수있다. 결함을효과적으로회피하려면엔지니어링프로세스를정의하고이를체계적으로적용하고계량화된방식으로관리해야한다. 이러한체계를갖추게되면완성도가높은많은조직에서처럼결함방지를통해매우경제적인방식으로고객만족도와비즈니스성과를모두높일수있다 [8]. Concept and definition of scope Hazard and risk analysis Hazard list H1 Hazard 1 H2 SIL2 Hazard 2 Definition of safety goals Safety functions Safety goals SF1 SG1 Safety function 1 SG1 H1, H3 Safety goal 1 SF2 SG1 Safety function 2 SG2 H2 Safety goal 2 Identification of safety functions Refinement of safety requirements Allocated safety requirements SR1.1.1 SF1.1 Allocated Comp.1 safety Safety requirements requirement 1 SR1.1.2 SR1.1.1SF1.1 SF1.1 Allocated Comp.1 Comp.1 safety Safety Safety requirements requirement requirement 2 1 SR1.1.2 SR1.1.1 SF1.1 SF1.1 Comp.1 Comp.1 Safety Safety requirement requirement 2 1 SR1.1.2 SF1.1 Comp.1 Safety requirement 2 그림. 3 안전분석및안전요구사항 향상된프로세스완성도표준의요구사항을충족하려면프로세스의완성도가요구된다. 다시말해, 완료시까지안전을위해계획된작업을추적하고, 프로세스전반에걸쳐안전요구사항을체계적으로식별및추적하고, 필요한모든활동이프로세스를따라수행되었음을, 즉제품이해당요구사항 ( 예. 안전사례 ) 을모두충족하는것을확인해야한다. 경험을바탕으로살펴보면 CMMI[6] 및 SPICE[7] 프로세스개선프레임워크는안전프로세스를이행하기위한훌륭한토대로활용될수있다. CMMI 또는 SPICE 프로세스개선프로그램의일환으로개발프로세스를안전표준에준수하도록조정하면필수사전요소가충족되어안전을위한추가조치를지속적이고통제된방식으로도입할수있는확고한기초가마련된다. 그림 4 에서는 CMMI 관련실무가안전표준의요구사항을어떤식으로지원하는지를대략적으로보여준다. CMMI 프레임워크에서는안전프로세스에서요구되는많은요구사항을다루고있다. OEM 이공급업체관리에주력하고 CMMI 를사용하도록요구하는현재의상황을감안하면이프레임워크는안전표준을이행하는데적합한경제적인토대가될것이다. 하지만이프로세스프레임워크에서는완성도레벨 3 요구사항을충족해야하는데, 여기에엔지니어링에대한세부적인

Specific Practices OT OPF ISM RSKM IPM VAL VER PI TS RD PPQA CM MA SAM PMC PP REQM 7 / 11 설명이있기때문이다. 추가적으로요구사항개발및제품통합등의프로세스영역에통합될수 있는안전관련실무 ( 예 : 위험분석, 안전평가, 안전사례편집 ) 도필요하다. Process Areas ML2 Process Areas ML3 Legend: Contribution No contribution 그림. 4 CMMI 실무와안전표준간의매핑 안전측면을다른프로세스개선조치와함께다루면프로세스를효율적으로구체화할수있다 [8]. 예를들어안전계획은기존프로젝트및품질관리계획에대한확장으로실현할수있고, 안전사례는다양한분석, 검증및확인조치의결과를참조해이러한계획을예를들어설명하는방식으로구현할수있다. 그림 5 에서는안전관련확장을통해기존개발계획을향상시키는방법을보여준다. 왼쪽의열에서는프로젝트계획, 품질보장, 구성관리같은영역을중심으로현재이행되고있는개발계획의몇가지예를보여준다. 그리고가운데열은안전을고려한디자인으로이들세가지영역을확장한모습을보여준다. 또한오른쪽열에는안전사례를만드는데사용할수있는계획과관련된증거가나와있다. 우주항공부문을통해알고있는 명령및통제 (Command and Control) 원리는자동차안전엔지니어링에도확실히적용된다. 위에서언급한세가지영역인계획, 품질보증및형상관리는예에불과하며교육또는측정을포함한모든프로세스영역으로확장되어야한다.

8 / 11 Development Plans Project Plan Project scope Project planning Project organisation Development process Safety Plan Safety Related Extension Safety goals Safety lifecycle activities Safety responsibilities Safety specific methods Safety Evidence Safety goals Qualification reports Hazard and risk analyses Safety requirements Safety functions Safety concept Quality Management Plan Product test and reviews Process assessments Configuration Management Plan Project work products Baseline management Change management Safety V&V Safety assessments Tool qualification Safety specific work products Safety specific baselines Impact analysis V&V-reports Assessment reports Proven-in-use tool reports Baseline for safety case Traceability of changes 그림. 5 안전계획및안전사례 : 실무적접근방식 결론자동차시스템개발부문에서의안전엔지니어링과그에따른안전표준 (ISO 26262) 의도입은로켓을만드는것같은심오한과학분야가아니며, 미래에발생할심각한제조물책임위험을피하는데반드시필요하다. 이기사에서는자동차시스템에서의지속가능한안전엔지니어링을위해세가지핵심요소인시스템중심적인개발, 엔지니어링에내재된안전방식, 그리고향상된프로세스완성도에대해중점적으로살펴보았다. 그럼어떤부분이달라지는지를보여주는도입부의예로다시돌아가보자. 시스템중심적개발은전체시스템과해당신호를고려하도록지원함에따라 CAN-버스에서스로틀신호를사용하는대신브레이크페달위치를선택했을것이다. 예를들어수명주기전반에걸쳐안전방식을내재시키면테스트사례가만들어지는동시에안전사례가확립될것이다. 또한안전요구사항및안전사례에서부터디자인결정사항및이러한사항의검증에이르기까지부품및제품레벨에서완전히추적할수있도록세부적으로분류될것이다. 마지막으로다양한관점에서운영시나리오를검토하고대체디자인을평가하기위해보다높은프로세스완성도가요구되었을것이다. 결국그당시가장경제적인것처럼보여구현했던, 그러나안전표준충족과는거리가먼방법은구현되지않았을것이다. 표준요구사항을효율적으로이행하려면개발프로세스를체계적으로관리및개선하는동시에몇가지중점적인안전관련조치를도입해야한다. OEM 과공급업체에안전문화를도입하는과정에서우리는안전엔지니어링비용을절감하기위한두가지효율향상방안을확인하게되었다. - ASIL C 또는 D 로도약하려는완성도레벨 1 조직은일반적으로엔지니어링에 30~50% 의비용을추가로지불해야한다. 안전엔지니어링을도입하는동시에프로세스완성도를완성도레벨 3 으로개선하는데에도여전히이비용은발생하지만결함상태봉쇄, 조기변경관리및향상된예측가능성 ( 엔지니어링비용절감에각각 10~20% 씩기여 ) 을토대로즉각적인회수효과를얻게된다.

Increasing safety capabilities 9 / 11 - ASIL C 또는 D 의요구사항을지정및이행하고분산된아키텍처에서부품을하향식으로디자인할때시스템적인관점을취하면각각의부품및컨트롤러에 ASIL C 또는 D 를요구하지않는대신안전디자인에비용요인을할당한다음전체시스템비용을비교함으로써절충효과를얻기때문에커다란이점이실현된다. 이방식을취한 OEM 의경우전기및기계식이혼합된솔루션이동일한기능을완전히전기적으로만구현한경우보다수명주기관점에서훨씬저렴한것으로확인되었다. 안전을준수하는개발관행으로옮겨가는일은하나의문화로받아들여지고이행되어조직적인변화가수반되는경우에만성공을거두게된다. 하지만안전이가뜩이나장황한명세서에몇개의요구사항이추가되는기술적인문제로받아들여지는경우가너무많다. 따라서먼저안전문화가확립되어야한다. 그리고경영진과엔지니어링부서에서는안전문제를관리프로세스, 책임, 그리고엔지니어링방식에영향을주는다차원적인요구사항으로이해해야한다. 기능안전은숙련되고공식화된개발에대한모든결과와함께중요한제조물책임문제로이해해야한다. 엔지니어는시스템레벨의안전요구사항을파악하고, 엔지니어링방식을아키텍처에서기능및부품레벨에이르기까지추적가능한체계적인의사결정과정으로조정해야한다. 엔지니어링환경에안전문화도입을시작하는조직의경우, 점진적인통합형접근방식을통해안전표준을달성하는동시에기본프로세스역량을개선해나가는것이바람직하다. 그림 6 에서는결정론적마이그레이션에서완전한안전영역으로전단계에걸친접근방식을보여준다. 자동차시스템부문의체계적인안전엔지니어링을위해필요한개선노력은비용, 품질, 효율성과같은조직의다른목표와도조화롭게추진되어야한다. 반가운소식은엔지니어링및관리프로세스가 CMMI 완성도레벨 3 을준수한다면표준의요구사항을충족하기위한많은전제조건들이이미달성되었을것이라는것이다. A complete safety case is available for every safety-critical function Quantitative analysis is made on the probability of failures and effect of solutions Product design mitigates random and systematic failures on component and system level Safety requirements and activities are identified and executed on a system level 그림. 6 안전결정적개발로의이동 Increasing process capabilities 참고문헌 [1] IEC 61508: Functional safety of electrical / electronic / programmable electronic safety-related systems (E/E/PES), IEC, http://www.iec.ch, 1998. [2] ISO 26262: Automotive Functional Safety, ISO, http://www.iso.org, 2011. [3] Smith, D. J. and K.G.L. Simpson: Functional Safety: A Straightforward Guide to Applying IEC 61508 and Related Standards. Elsevier, New York, USA, 2004. [4] Pimentel, J.R., ed.: Safety-Critical Automotive Systems, Soc. of automotive engineers. SAE books international, Warrendale, USA, 2006.

10 / 11 [5] Bärwald, A.: IEC 61508 & MISRA C The Benefits of Utilising IEC 61508 and MISRA C for Automotive Applications. 1st IEE Automotive Electronics Conference, London, UK, 2005. [6] Chrissis, M.B., M. Konrad and S. Shrum: CMMI. Guidelines for Process Integration and Product Improvement, ed. 2. Addison-Wesley, Reading, USA, 2006. [7] ISO/IEC 15504:2004. Information technology Process assessment. ISO, http://www.iso.org, 2004. [8] Ebert, C. and R. Dumke: Software Measurement. Springer, Heidelberg, New York, 2007. [9] Leveson, N. G.: Safeware: System Safety and the Computer Age. Addison-Wesley. Reading, MA. 1995.

11 / 11 본자료배포시최종인쇄물을당사에보내주시면감사하겠습니다. 배포와관련하여문의사항이있으시면언제든지연락주시기바랍니다 : 벡터코리아편집자연락처 : 마케팅부양희영차장서울특별시용산구한남대로 11 길 12 고뫄스빌딩 5 층 Tel. 02-807-0600 Ext.5002, Fax. 02-807-0601 E-mail: Ronald.Yang@vector.com

2024 © docsplayer.org 개인정보보호 | 약관 | 지원