자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 방안 (하나)

하나. 서론 ADAS(능동형 운전자 보조시스템, 어드밴스드 디버 시스템)가 나쁘지 않기 때문에 자율주행자동차 기술의 등장 등 전기전자 사업과 정보통신 산업이 발달함에 따라 자동차 산업이 고도화되어 있다. 이에 따라 차량에 탑재되는 전기/전자 시스템의 수와 시스템의 복잡도가 점차 증가하고 있으며, 주행 중 운전자 및 탑승자의 나쁘지 않으므로 보행자에 대한 안전 속에서 산업의 패러다임이 변화하고 있다. 안전공학 측면에서 보면, 전기/전자시스템의 오작동에 의한 문제를 방지하는 것이 중요 과제이며, 이를 충족시키기 위해 20하나년 하나하나 월 자동차기능안전국제표준인 ISO262:20 하나하나가 제정되고 20하나8년 하나8 하나판이 폐지되어 2판이 발행되었다. 개정된 ISO 262:20 하나8은 아래의 테이블 하나와 같이 총 1개의 Part로 구성되어 있으며 개발 초기단계부터 생산 및 운영, 폐기단계까지 준수해야 할 안전에 관한 요구사항을 제시하고 있다.​

Table 1.ISO 262:2018의 구성, 특히 최근 차량 자체를 차량 스스로가 제어하는 자율주행자동차의 개발이 확대되어 자율주행자동차에 대한 ISO 262 기능 안전대응이 관련 산업의 쟁점이 되고 있다. 미쿡 자동차기술학회(SAE, Society of Automotive Engineers)인 미쿡 도로교통안전국(NHTSA, National Highway Traffic Safety Administration)에서는 자율주행자동차의 등급을 아래 Table 2)과 함께 명시하고 있다.​

Table 2. 미국 자동차기술학회(SAE)에 기초한 자율주행자동차의 등급 분류기준 2. 위험원 분석 및 리스크평가 ISO 262:2018에 따르면 차량에 탑재되는 안전과 관련된 시스템을 개발하기 위해서는 ISO 262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하려는 아이템을 정의한 앞으로 해당 아이템이 차량에 탑재됐다는 소가족으로 리스크를 식별하고 위험원 분석과 위험에 대한 평가(Hazard Analysis and Risk Assessment, ISO 262-3:2018 Clause 7)를 갖고 최종적으로 자동차 안전 무결성 수준(ASIL, Automotive Safety Integrity Level)을 결정한다.이러한 Hazard Analysisand Risk Assessment(HARA)의 수행을 통해 OEM에서는 최상위 안전요구사항인 안전목표(Safety Goal)를 도출하게 되며 협력기업은 안전목표 달성을 위한 기술안전요구사항, Hardware 안전요구사항 및 Software 안전요구사항을 도출하여 제품을 개발하게 된다.

>

HARA는 개발 대상을 명세한 Item Definition 상의 기능을 바탕으로 오작동(Malfunction)을 도출하여 도출된 오작동이 다양한 차량의 주행 상황에서 스토리가 될 수 있는 위험(Hazard)을 식별합니다. 다음 각 운용상황에 대한 위험 이벤트(Hazardous Event)를 파악하고 여기에 각각 심각도(S:Severity), 생성빈도(E:Exposure), 제어전망(C:Controlability)을 부여하여 부여된 S, E, C를 기반으로 다음과 같은 Fig.2에 명시된 Matrix를 활용하여 ASIL 등급을 결정하게 된다.ASIL은 A에서 D로 구분되어 ASILD가 가장 높은 안전수준을 요구하는 등급이며, QM(Quality Management)은 ISO 262 대응에 대한 강제성이 없는 등급으로 자동차 분야의 품질표준인 ISOTS 하나 6949를 충족하는 수준을 의미합니다. Fig.2에서 볼 수 있듯이 ASIL과 심각도(S), 생성빈도(E) 및 제어전망(C) 사이에는 다소리와 같은 관계가 성립합니다.S+E+C의 합이 7 이하인 경우 + MS + E + C의 합이 7인 경우 ASIL AS + E+ C의 합이 8인 경우 ASIL BS + E+ C의 합이 9인 경우 ASIL CS + E+C의 합이 1개 0일 경우 ASILD

>

기능의 오작동을 도출하기 위해 가장 합리적인 분석기법인 HAQOP(Hazard and Operability)를 주로 사용하고(Fig.3 참조), 파악되지 않은 오작동을 도출하기 위해 정성적인 수준의 FMEA(Failure Mode and Effect Analysis) 혹은 FTA(Fault Tree Analysis)를 활용하기도 한다. FMEA를 통해 오작동으로 인한 위험을 파악하고 FTA를 통해 도출된 위험에 대해 누락되었던 본인의 FMEA 수행 중 식별할 수 없었던 오작동을 도출한다.

>

오작동 식별이 완료되면 차량 주행 귀취에서 오작동으로 인해 발발할 위험을 파악한다. 이때 운영 귀취 분석(Operational Situation Analysis)이 필요하며 운영 귀취 분석은 조합 가능한 모든 차량의 주행 귀취뿐만 아니라 생산된 차량이 수출될 경우에는 해당 국가의 도로 귀취, 기후 환경, 운전 관습 등이 충분히 고려되어야 할 것이다. 통상적인 운영환경 분석에서 고려되는 인제는 속도, 장애물 상태, 운용 상태 등을 포함한 운용 귀취인제와 운용지, 운용지 상태, 기상/기후 등의 요소를 포함하는 환경영향 인제(in제) 이들을 모두 조합하여 운영 귀취 시에 본인 리오를 도출한다(그림4 참조).

>

운영(기추)귀추(나쁘지않다) 아리오는 운영귀추이제와 환경영향제의 개수에 따라 조합되어 고려된이제 수가 많을수록 운영귀추나 나쁘지는 않다. 알리오의 절대치는 많아진다(그림5 참조). 고려하는 차량의 수준에 따라 다르지만, 이하의 Fig. "5"의 지금을 모두 고려했을 때, 1억개 이상의 운영귀추나 다름없이 알리오가 발발한다.

>

개발되는 아이템을 대상으로 HAYOP, FMEA, FTA 등을 적용해 도출된 기능 오작동과 운영상황 시나리오를 조합함으로써 상황에 따른 오작동이 생성되고, 이로 인해 오작동에 의한 결코 나쁘지 않으며, 리스크가 발생하게 된다(그림6 참조).

>

기능의 오동작에 의한 리스크, 운영 정세와의 조합에 의해 얻어진 결과를 리스크 이벤트(Hazardous Event)로 명명하고 각각의 리스크 이벤트에 ISO 262에서 명시한 심각도(S: Severity), 발생빈도(E: Exposure), 제어 전망(C: Controlability)의 등급을 실시하여 최종적으로 ASIL을 결정하게 된다.​

한컴MDS medinianalyzel SES사업부 SES 하나팀 E. medini@hancommds.com 제품문의: medinianalyze 소개페이지