Part 2 Management of functional safety
- 안전 수명 주기(Safety life cycle)에 대한 설명
- 안전 문화에 대한 설명
- 인원의 적격성 및 자격인정 기준
- 프로젝트 관리자와 안전 관리자
- 안전 계획서
- 안전 활동 조정 ( 아이템 신규 개발, 개선 변경)
- Safety case
- Confirmation measure
- Verification review
- 양산 이후 안전 경영 ( Safety management)
Part 3 Concept phase
- item definition
- Initiation of the safety life cycle ( 신규 아이템 or 개선 아이템)
- 영향 분석
- Hazard analysis and risk assessment
- Functional Safety Concept
Part 4 Product development at the system level
- Initiation of product development at the system level
- Technical safety requirements
- System design : HSI 등
- item integration and testing
- safety validation : 안전 타당성 확인
- functional safety assessment
- release for production
Part 5 Product development at the hardware level
- Initiation of product development at the hardware level : 하드웨어 제품 개발 과정
- Specification of hardware safety requirement : 하드웨어 요구사항 도출 과정 및 고려 사항
- Hardware design : 하드웨어 아키텍처 설계시 고려 사항
- Evaluation of the hardware architectural metrics : 결함 계산 방법 및 평가 방법
- Evaluation of safety goal violation due to random hardware failures : 안전 목표 훼손 평가 방법
- Hardware integration and testing : 하드웨어 통합 및 테스트 방법
Part 6 Product development at the software level
- Initiation of product development at the software level : 소프트웨어 제품 개발 과정
- Specification of software safety requirement : 소프트웨어 안전 요구사항
- Software architectural design : 아키텍처 설계 시 고려사항
- Software unit design and implementation : 유닛 설계 구현시 고려사항
- Software unit testing : 유닛 테스팅 방법
- Software integration and testing : 소프트웨어 통합 및 시험에 관한 고려사항
- Verification of software safety requirements : 검증 시 고려 사항
- Software configuration : 소프트웨어 형상에 대한 고려사항
- Freedom from interference between software elements : 엘리멘트 간 상호 간섭 최소화에 대한 것
Part 7 Production and operation
- Production : 생산 기획, 생산 공정, 생산 계획, 선행 생산 등등
- Operation, service(maintenance and repair), and decommissioning : 운전, 서비스(보전 및 수리),폐기 계획
Part 8 Supporting processes
- interfaces within distributed developments :협력 개발 인터페이스 관련 사항, RFQ
- Specification and management of safety requirements : 안전 요구사항
- Configuration management : 형상 관리
- Change management : 변경 관리
- Verification : 검증( 각 단계에서의 검증에 대한 설명)
- Documentation : 문서화 목적, 문서화 범위
- Confidence in the use of software tools : 소프트웨어 사용 신뢰(TI , TD -> TCL 결정)
- Qualification of software component : 재개발을 피하기 위한 자격 인증 요구사항
- Qualification of hardware component : 재사용을 위한 요구사항
- Proven in use argument : 사용으로 입증된 주장 , candidate, 필드 데이터
Part 9 ASIL-oriented and safety-oriented analyses
- Requirements decomposition with respect to ASIL tailoring : ASIL decomposition,
- Criteria for coexistence of element : 간섭 부재 미증명시 가장 높은 ASIL 지정
- Analysis of dependent failures : 발생 가능성이 동시 혹은 연속의 경우에 대한 고장 분석 요구사항
- Safety analyses : 안전 분석의 목적 및 방법
PART 1 |
1-2 기능 안전성과 ASIL
1. 기능 안전성( Functional Safety)
- Absence of unreasonable risk due to hazards caused by mulfunctioning behaviour of E/E systems
- 전장 시스템 오작동으로 인한 위험원으로부터 비합리적인 리스크가 없는 상태
2. Hazard analysis and risk assessment (H&R)
- method to identify and categorize hazardous events of items and to specify safety goals and ASILs related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk
- item의 위험 사건을 식별하고 분류하는 방법 및 불합리한 리스크를 방지하기 위해 관련된 위험원의 예방 또는 완화와 관련하여 안전 목표와 ASILs을 명세하는 방법
3. Automotive Safety Intergrity Level(ASIL)
- one of four levels to specify the item's or element's necessary requirments of ISO-26262 and safety measures to apply for avoiding an unreasonable residual risk, with D representing the most stringent and A the least stringent level
- ASIL은 item 혹은 element에 요구되는 불합리한 잔류 위험을 피하기 위한 안전대책에 대한 등급으로서 ISO 26262에서는 4개의 등급이 있으며, A가 가장 낮고, D가 가장 높음
- Item 정의로부터 차량 수준의 위험원 분석 및 리스크 평가( H&R) 를 통해 Item의 작동 불량으로 인한 피해의 심각성(Severity), 발생 가능성(Exposure), 통제 가능성 ( Controllability)에 의거 등급을 결정하며, 이를 ASIL이라고 함
- ASIL 등급 결정 방법은 Part 3에 명시되어 있음
1-3 기능 안전성과 관련 표준
- IEC 61508 : 기능 안전의 모(母) 표준이며, 이를 근거로 산업별 기능 안전 표준으로 발전
<발췌 : ISO26262 기본 실무 가이드, 저자 김병철, 김성수, 조진희>
CMMI (Capability and Maturity Model Integration) : 프로세스 능력과 성숙도를 측정하고 개선하는 방법으로서 프로세스 개선 기반, 목표 중심의 프레임워크이며, L0부터 L5까지 능력 및 성숙도 수준이 있음
CMMI and ASPICE : 기본저으로 '조직'의 프로세스 성숙도를 측정하고 심사하는 모델로서 고품질의 제품을 공급하기 위해 필요한 지속적이고 체계적인 프로세스 개선을 이루기 위한 전반적인 틀을 제공
-ISO 26262는 자동차 분야 전기전자 시스템의 본래 기능 뿐 아니라 관련된 안전 요구사항을 충족하여 개발 및 공급될 수 있도록 하기 위한 체계적인 방법 및 절차에 대한 요구사항을 정의하고 있음
RAMS (Reliability, Availability, Maintainability, Safety) :
1-5 ISO 26262 추진 방안
1단계 : 계획 수립 - 표준 도입 목적 정의, 갭 분석, 조직 결성 및 활동 계획 수립, 경영층의 지원 확인 및 도입 프로젝트 착수
2단계 : 개선 단계 - 현 프로세스 개선, 템플릿 및 체크리스트 준비, 프로세스 요소 정의, 집중 교육/컨설팅, 전문가 양성, 절차-기준-규칙 준비, 중간 성취도 평가, 사내 품질경영시스템/안전경영시스템의 개선
3단계 : 전사 보급 단계 - 프로젝트에 개선 프로세스 도입, 안전 전문가 조직체계 구성, 점진적으로 적용, 적합성 평가
4단계 : 내재화 단계 - 프로세스 지속 개선을 위한 전문팀 보유, 사업 영역 변화 및 고객 요청에 대응하여 프로세스 개선, 정기적으로 성숙도 확인을 위한 평가 수행
1-6 ISO 26262 개요
ISO26262 적용 범위
1) 3,500Kg 이하의 승객용 차량에 설치되는 하나 이상의 E/E(전기 전자) 시스템을 포함하는 안전 관련 시스템
2) 직접적인 전기/전자 안전 관련 시스템의 작동 불량 원인이 되지 않는다면, 전기충격, 화재, 연기, 열, 방사능, 유독성, 가연성 화학적 반응, 부식, 에너지 유출 및 유사 잠재 위험에는 적용하지 않음
3) 전기/전자 시스템을 위한 기능 성능 표준이 있다 하여도 전기/전자 시스템의 명목상의 성능에는 적용하지 않음
4) 표준 발표 이전에 개발된 차량은 적용 제외, 하지만 ISO 26262 표준 제정후 개발된 차량은 적용 대상
ISO 26262 표준 공식 명칭 : Road vehicle - Functional Safety
<ISO 26262 전체 구성도>
Table에서 0, +, ++ 의미
1) 0 : 적용하지 않아도 됨
2) + : recommendation(추천) 의미지만, 권고 사항이 아닌 의무 사항으로 해석해야 함 (Should : 합리적인 방법론이 있다면 다르게 수행해도 됨)
3) ++ : High recommendation(적극 추천) 의미지만, 권고 사항이 아닌 의무 사항으로 해석해야 함 (Shall : 강제 요구사항(mandatory)
1-7 용어
1) system
- set of elements that relates at least a sensor, cotroller, and actuator with one other
- 적어도 하나 이상의 센서, 제어기, 엑추에이터가 연결된 element의 조합
- 센서와 엑추에이터는 시스템 내부 혹은 외부에 있어도 가능하며, 시스템의 요소가 다른 시스템이 될 수도 있음
- 시스템은 아이템에 포함됨
2) Item
- system or array of systems to implement a function at the vehicle level, to which ISO 26262 is applied
- ISO 26262 적용 대상으로 차량 레벨에서 기능이 수행되는 시스템 혹은 시스템 Array
3) Element
- system or part of a system including componets, hardware, software, hardware part, and software units
- 시스템 혹은, 컴포넌트, 하드웨어, 소프트웨어. 하드웨어 파트, 소프트웨어 유닛을 포함하는 시스템의 파트
4) Component
- non-system level element that is logically and technically separable and is comprised of more than one hardware part or one or more software units
- 논리적 및 기술적으로 분리된 시스템 레벨이 아닌 element이고 두개 이상의 하드웨어 파트 혹은 하나 이상의 소프트웨어 유닛으로 구성된다.
5) Hardware part
- hardware which cannot be subdivided
- 더 이상 나눌 수 없는 하드웨어
6) Software component
- one or more software units
- 하나 혹은 그 이상의 소프트웨어 유닛
7) software unit
- atomic level software component of the software architecture that can be subjected to standalone testing
- 독자적으로 테스팅이 가능하며, 더 이상 분류할 수 없는 소프트웨어 아키텍처의 소프트웨어 컴포넌트
8) Harm
- physical injury or damage to health of person
- 사람에게 발생한 물리적인 상해 혹은 피해
9) Hazard
- Potential source of harm caused by malfunctioning behavior of the item
- 아이템의 오작동으로 인해 위해의 잠재적 원인 제공원
10) Risk
- combination of the probability of occurrence of harm and the severity of that harm
- 위해의 심각성 및 발생 가능성(확률)의 조합
- harm의 정의에 의해 사람에게 발생할 수 있는 위해만 고려함
11) Fault
- abnormal condition that can cause an element or an item to fail
- element 혹은 item에 이상을 일으키는 비정상적인 조건
12) Error
- discrepancy between a computed, observed or measured value or condition, and the true, specified, or theoretically correct value or condition
- 계산된, 관찰된 혹은 측정된 값이나 조건과 실제, 규정된 혹은 이론적으로 정확한 값이나 조건 사이의 편차(차이)
13) Failure
- termination of the ability of an element, to perform a function as required
- 요구되는 기능을 수행하기 위한 element 능력의 종료
14) Phase
- the safety lifecycle that is specified in a distinct part of ISO 26262
15) Subphase
- subdivision of a stage in the safety lifecycle the is specified in a distinct clause of ISO 26262
16) Work product
- result of one or more associated requirements of ISO 26262
- ISO 26262의 하나 이상 관련된 요구사항의 결과
17) Safety activity
- activity performed in one or more subphases of the safety lifecycle
- 안전 수명 주기의 하나 이상의 subphase에서 수행된 활동
18) Safety culture
- policy and strategy used within an organization to support the development, production, and operation of safety-related systems
19) Safety manager
- role filled by the person responsible for the functional safety management during the item development
20) Safety plan
- plan to manage and guide the execution of the safety activities of a project including dates, milestones, tasks, deliverables, responsibilities and resources
- 날짜, 이정표, 과업, 상품, 책임 및 자원을 포함한 프로젝트의 안전 활동 실행을 관리하고 안내하기 위한 계획서
21) Safety Case
- argument that the safety requirements for an item are complete and satisfied by evidence compiled from work products of the safety activities during development
- 개발 중에 안전 활동의 산출물을 점진적으로 개발한 증거에 의해 아이템의 안전 요구사항이 완전하고 만족되었다는 주장
22) confirmation measure
- confirmation review, audit, or assessment concerning functional safety
23) Functional concept
- specification of the intended functions and their interactions necessary to achieve the desired behaviour
- 의도된 기능 및 희항하는 행위를 달성하기 위해 필요로하는 상호작용의 명세
24) functional safety concept
- specification of the functional safety requirements, with associated information, their allocation to architectural elements, and their interaction necessary to achieve the safety goal
- 관련된 정보, 아키텍처 엘리멘트에 할당 및 안전 목표 달성에 필요한 상호작용을 가진 기능 안전성 요구사항의 명세(시방)
25) functional safety requirement
- specification of implementation-independent safety behaviour, or implementation-independent safety measure, including its safety-related attributes
- 안전 관련 속성을 포함하여 독립적으로 실행되는 행위 혹은 독립적으로 실행되는 안전 대책의 명세
중요한 용어
Development interface agreement(DIA) : 협력 개발 협약서
Redundancy : 다중화
Safety case : 기능안전을 준수하며, 안전하게 설계했다는 요약본, 법원 제출용, 고객 제출용, 우주 항공의 경우 300~350페이지로 만듬
diversity : 다양하게 설계하라
diagnostic coverage : 진단 범위
candidate : 재사용을 위해 검증을 요청하는 아이템 또는 엘리멘트
proven in use : 필드 데이터를 기반으로 사용을 통한 입증
single point fault
FMEA(FMECA) : Failure modes effect critical analysis
FMEDA : Failure modes, Effects, and Diagnostic Analysis
FTA : Fault Tree Analysis
PMHA : Probabilistic Metric for random Hardware Failures
ETA : Event Tree Analysis
- Confirmation measure
- review
- audit
- assessment
PART 2 |
- I0 : Confirmation measure 수행되어야함. 그러나 만일 수행된다면, 다른 인원에 의해 수행되어야함
- I1 : 다른 인원에 의해 반드시 수행되어야 함
- I2 : 동일 팀 직접적인 상사에 보고되지 않는 다른 팀원에 의해 수행되어야 함
- I3 : 경영, 자원 및 양산의 권한 관련하여 고려된 산출물에 책임있는 부서와 독립된 다른 부서 혹은 다른 조직 인원에 의해 수행되어야 함
PART 3 |
- Item Definition
- 아이템과 환경 사이의 의존성뿐만 아니라 아이템의 기능 및 성능이나 시간 제약 등의 비기능 요구사항은 문서화 되어야하며, 아래 정보가 포함되어야 한다.
1) 운전 상태와 아이템의 동작상태를 포함한 목적과 기능성
2) 운전과 환경의 제약사항
3) 법적 요구사항(법과 규정), 알려진 경우 해당 국가 및 국제 표준
4) 유사 기능, 아이템 및 엘리멘트에 의해 달성된 행위
5) 아이템 정의 기술시 가정하는 사항들( 다른 아이템과의 연관성)
6) 과거 경험(알려진 고장 형태, 위험원 및 잠재적 결과)
- 기능적 요구사항 ( Functional requirements)
- 고객 요구사항에 수행될 기능과 관련되어 있는 입력과 출력 및 그들 사이의 처리 과정이나 목표로 하는 제품의 구현을 위해 시스템, 하드웨어, 소프트웨어 등이 가져야 하는 기능적 속성
- 비기능적 요구사항 ( non-Functional requirements)
- 제품의 품질 기준 등을 만족시키기 위해 시스템, 하드웨어, 소프트웨어 등이 가져야하는 성능(응답시간. 처리량 등) 사용의 용이성, 신뢰도, 보안성, 운용상의 제약, 안전성, 유지 보수성 등과 같은 행위적 특성
- Initiation of the safety lifecycle ( 안전 수명 주기의 착수)
1. 신규 개발 아이템의 경우, 위험원 분석 및 리스크 평가가 수행되고 ISO26262의 모든 활동이 적용됨
2. 기존 아이템 혹은 환경의 개선품인 경우, 적용할 수 있는 안전 수명 주기의 subphase와 활동이 Impact analysis and tailored safety lifecycle in the case of modification(개선 변경의 경우, 영향 분석과 조정된 안전 수명 주기)에 따라 결정됨
- Impact Analysis (영향 분석)
- 아이템 혹은 환경에 적용되는 의도된 개선 변경을 식별 및 설명하고 이러한 개선 변겨으이 영향을 평가하기 위해 수행
a) 조작 상황 및 운전 형태
b) 환경과의 인터페이스
c) 자동차, 자동차 구성 및 변형 내에서 위치 및 설치의 특성
d) 온도, 고도, 습도, 진동, 전자파 및 연료 등급과 같은 환경 조건 범위
- 개선 변경의 경우 수행되어야 할 사항
- 기능 안전성에 관한 개선 변경 영향 식별 및 설명
- 갱신이 필요한 관련된 산출물 식별 및 설명
- 안전 활동은 적용할 수 있는 수명 주기 단계에 따라 조정
- 조정은 영향 분석 결과를 기초로 해야함
- 조정의 결과는 안전계획서에 포함되어야함
- 관련된 산출물은 재작업
- Hazard Analysis and risk assessment
- 수행 시기
- 아이템이 정해지고, 고객으로부터 개발 협약서(DIA)와 계약이 완료된 이후에 신규 혹은 개선품인지 여부를 판별하여 신규개발품에 해당될 경우 개발 아이템을 명확히 정의한 후에 H&R를 실시
- 필요에 따라서 개발 중에 개발 아이템의 설계 변경 사항이 생기거나, 추가 보완 사항이 있을 시 마다 실시
- 상황 분석(Situation analysis)와 위험원 식별(Hazard identification)
- 내부에 안전 메카니즘이 없는 것으로 가정하고 아이템은 위험원 분석과 리스크 평가 중에 평가되어야 함
- 이미 수행된 안전 메카니즘은 위험원 분석과 리스크 평가에서 고려되어서는 안됨
- 올바른 조작 상황과 예측 가능한 올바르지 않는 조작상황 모두 포함
- 위험원은 적절한 기법을 사용하여 시스템적으로 결정되어야 함
- 위험은 자동차 레벨에서 관찰 되어질 수 있는 조건 및 행위의 용어로 정의되어야 함
- 위험스러운 사건은 조작 상황과 위험원의 적절한 조합을 위해 결정되어야 함
- 위험스러운 사건의 결과는 식별되어야 함
'IT Technology' 카테고리의 다른 글
ISO 26262 교육( 2일차 ) (0) | 2015.07.28 |
---|---|
ISO 26262 교육( 1일차 ) (0) | 2015.07.28 |
애플iOS로 작동되는 드론 등장 (0) | 2015.05.15 |
ADAS AVM Dynamic Calibration (0) | 2015.04.14 |
DSM 자료 (0) | 2015.04.06 |