자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 예정 (하나) 봐봐요

가. 서론 ADAS(능동형 운전자 보조시스템, Advanced Driver Assist System)가 나쁘고 자율주행자동차 기술의 등장 등 전기전자사업과 정보통신 산업의 발달에 따라 자동차 산업이 고도화되고 있다. 이에 따라 차량에 탑재되는 전기/전자 시스템의 수와 시스템의 복잡도가 점차 증가하고 있으며, 주행 한가운데서 운전자나 탑승자가 나쁘지 않고 보행자에 대한 안전의 한복판에 산업의 패러다임이 변화하고 있다. 안전 공학 측면에서 보면 전기/전자 시스템의 오작동에 의한 문재를 방지할 핵심 현안으로 부각되고 이를 충족시키기 위해서 20일 한해 월의 자동차의 기능 안전 국제 그저 그런 ISO 26262:20일 집안에 제정되어 있으며, 20일 8년 2월 일 8일 일판이 폐지되고 2판이 발행되었다. 개정된 ISO 26262:20일 8은 아래의 Table것처럼 총 한 2개의 Part으로 구성됐으며 개발 초기 단계부터 생산 및 운영, 폐기 단계까지 준수해야 하는 안전 관련 요구 사항을 제시하고 있다.​

Table처음이다.ISO 26262:20최초 8의 구성 ​ 특히 최근 차량 자체를 차량 스스로 제어하는 자율 주행 자동차에 대한 개발이 확대됨으로써 자율 주행 자동차에 대한 ISO 26262기능 안전 대응이 관련 산업의 쟁점 사항이다. 아메 리카 자동차 기술 학회(SAE, Society of Automotive Engineers)본인 아메 리카 도로 교통 안전국(NHTSA, National Highway Traffic Safety Administration)에서는 자율 주행 자동차의 등급을 밑의 Table 2)과 같이 명시하고 있다.​

Table 2. 미쿠 구 자동차 기술 학회(SAE)에 의한 자율 주행 자동차 등급 분류 기준 ​ 2. 위험원 분석 및 리스크 평가 ​ ISO 26262:20하나 8에 따르면 차량에 탑재된 안전과 관련된 시스템을 개발하려면 ISO 26262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하려는 Item에 대한 정의를 수행한 뒤 해당 Item이 차량에 탑재됐다는 가족의 품으로 리스크를 식별하고 위험원에 대한 분석과 위험에 대한 평가(Hazard Analysis and Risk Assessment, ISO 26262-3:20하나 8 Clause 7)을 추진하고 최종적으로 자동차 안전, 완전성(ASIL, Automotive Safety Integrity Level)을 판정한다.Gollan Hazard Analysis and Risk Assessment(HARA)를 수행함으로써 OEM에서는 최상위 안전요구사항의 안전목표(Safety Goal)를 도출하고 협력기업은 안전목표 달성을 위한 기술안전요구사항, Hardware 안전요구사항 및 Software 안전요구사항을 도출하여 제품을 개발하게 된다.

>

HARA는 개발 대상을 명세한 아이템 Definition 상의 기능을 바탕으로 오작동(Malfunction)을 도출하여 도출된 오작동이 다양한 차량의 주행 귀취로부터 스토리 할 수 있는 위험(Hazard)을 식별합니다. 이후, 각각의 운영 귀추이에 대한 상술 햄.이벤트(Hazardous Event)을 파악하고, 이쪽에 각각 심각성(S:Severity)발발, 빈도(E:Exposure), 제어 가능성(C:Controllability)을 부여하고 부여된 S, E, C를 기반으로 이하 Fig.2에 명시된 Matrix를 활용하고 ASIL반을 처리하는 것이다.ASIL는 A에서 D로 구분되며, ASIL D가 가장 높은 안전 수준을 요구하는 수준으로, QM(Quality Management)는 ISO 26262대응에 대한 강제력이 없는 등급에서 자동차 분야 품질 표준인 ISO TS 16949를 만족하는 수준을 의미합니다. Fig.2에서 보듯이 ASIL과 심각성(S)발발, 빈도(E)및 제어 가능성(C)사이에는 해안 같은 관계가 성립합니다. ​ S+E+C의 합계가 7이하의 경우 QMS+E+C의 합계가 7등의 경우 ASIL AS+E+C의 합계가 8등의 경우 ASIL BS+E+C의 합계가 9등의 경우 ASIL CS+E+C의 합계가 10등의 경우 ASIL D​

>

기능의 오작동을 도출하기 위한 가장 합리적인 분석 방법인 HAZOP(Hazard and Operability)을 주로 사용하고(Fig.3참조)파악할 수 없는 오작동을 찾기 위해서 정성적 수준의 FMEA(Failure Mode and Effect Analysis)혹은 FTA(Fault Tree Analysis)을 활용합니다. FMEA를 통해 오작동으로 인한 위험성을 파악하고, FTA로 인해 도출된 위험성에 대해 누출되며, 자신의 FMEA 수행 중 식별되지 않았던 오작동을 도출합니다.

>

오작동 식별이 완료되면 차량의 주행 귀추에서 오작동으로 인해 발생할 위험을 파악합니다. 이때 운영귀추분석(Operational Situation Analysis)이 필요하며, 운영귀추분석은 조합 가능한 모든 차량의 주행귀추뿐만 아니라 생산된 차량이 수출될 경우에는 해당 정부의 도로귀추, 기후환경, 운전관습 등이 충분히 고려되어야 합니다. 통상의 운영환경 분석에서 고려되는 이는 속도, 장아동물의 상태, 운용상태 등을 포함한 운용결과 지금에 와서 운용, 지상, 운용, 지상상태, 기상/기후 등의 요소를 포함하는 환경영향이제로 이들을 전체 조합하여 운영귀추 시나리오를 도출합니다. (그림 4참조). ​

>

운영 상황 시자신리 오는 운영 상황 인자와 환경 영향 인자의 개정에 따른 조합으로 판정되고 고려한 인자의 수가 많을수록 운영 상황 시자 싱 리오의 절대적 값은 많아진다(그림 5참조). 고려하는 차량의 레벨에 따라 다르지만, 이하의 Fig. 5의 인자를 다 고려한 경우 하나 옥개 이상의 운영 상황 시자 싱리이 발발하고 있다.

>

개발되는 Item을 대상으로 HAZOP, FMEA, FTA등을 적용하고 도출된 기능의 오작동으로 운영 귀추 시자 싱리 오른 조합하면 귀추에 의한 오작동이 생성되고 이를 통해서 오작동에 의한 결잔 후 햄.을 도출하게 된다(그림 6참조).

>

기능의 오작동에 따른 위험, 운영 그이츄그와의 조합을 통해서 나온 결과를 위험 이벤트(Hazardous Event)라고 명명하며 각각의 리스크 행사에 ISO 26262에서 명시하고 있는 심각성(S:Severity)발발, 빈도(E:Exposure), 제어 현실성(C:Controllability)등급을 부여하고 최종적으로 ASIL을 판정하게 된다.​

한컴 MDS medini analyze l SES사업부 SES1팀 E.medini@hancommds.com제품 문의 medini analyze의 소개 페이지