자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 예정 (하나) 이야~~

1. 서론 ​ ADAS(능동형 운전자 보조 시스템, Advanced Driver Assist System)이과인 자율 주행 자동차 기술의 등장 등 전기 전자 사업과 쵸은그냐은싱 산업이 발달하면서 자동차 산업이 고도화되고 있다. 이에 따라 차량에 탑재되는 전기/전자 시스템의 수와 시스템의 복잡도가 점차 증가하고 있으며 주행 한가운데서 운전자와 탑승자, 과인아가 보행자에 대한 안전의 한복판에 이르기까지 산업의 패러다임이 변화하고 있습니다. 안전 공학 측면에서 보면 전기/전자 시스템의 오작동에 의한 문재를 방지할 핵심 현안으로 부각되고 이를 충족시키기 위해서 2011년 11월 자동차의 기능 안전 국제 좋지 않는 ISO 26262:2011이 제정됐으며 2018년 12월 181 1판이 폐지되고 2판이 발행되었다. 개정된 ISO 26262:2018은 아래의 Table 1과 함께 총 12개의 Part으로 구성됐으며 개발 초기 단계부터 생산 및 운영, 폐기 단계까지 준수해야 하는 안전 관련 요구 사항을 제시하고 있다.​

Table 하나. ISO 26262:20하나 8의 구성 ​ 특히 요즈음 차량 자체를 차량 스스로 제어하는 자율 주행 자동차에 대한 개발이 확대됨으로써 자율 주행 자동차에 대한 ISO 26262기능 안전 대응이 관련 산업의 쟁점 사항이다. 미국 자동차 기술 학회(SAE, Society of Automotive Engineers)나 미국 도로 교통 안전국(NHTSA, National Highway Traffic Safety Administration)에서는 자율 주행 자동차의 등급을 밑의 Table 2)와 함께 명시하고 있다.​

Table 2. 미쿠 구 자동차 기술 학회(SAE)에 의한 자율 주행 자동차 등급 분류 기준 ​ 2. 위험원 분석 및 리스크 평가 ​ ISO 26262:20하나 8에 따르면 차량에 탑재된 안전과 관련된 시스템을 개발하려면 ISO 26262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하려는 Item에 대한 정의를 수행한 향후, 해당 Item이 차량에 탑재됐다는 가정 하에서 리스크를 식별하고 위험원에 대한 분석과 위험에 대한 평가(Hazard Analysis and Risk Assessment, ISO 26262-3:20하나 8 Clause 7)을 추진하고 최종적으로 자동차 안전, 완전성(ASIL, Automotive Safety Integrity Level)을 판정하는 것입니다.이러한 Hazard Analysis and Risk Assessment(HARA)의 수행을 통해 OEM에서는 최상위 안전요구사항의 안전목표(Safety Goal)를 도출하고 협력기업은 안전목표 달성을 위한 기술안전요구사항, Hardware 안전요구사항 및 Software 안전요구사항을 도출하여 제품을 개발하게 된다.

>

HARA는 개발 대상을 명세한 아이템 Definition 상의 기능을 바탕으로 오작동(Malfunction)을 도출하여 도출된 오작동이 다양한 차량의 주행 귀추로 말할 수 있는 위험. (Hazard)을 식별합니다. 이후, 각각의 오퍼레이션 귀추에 붙은 상 햄.이벤트(Hazardous Event)을 파악하고, 이쪽에 각각 심각성(S:Severity)발발, 빈도(E:Exposure), 제어 가능(C:Controllability)을 부여하고 부여된 S, E, C를 기반으로 이하 Fig.2에 명시된 Matrix를 활용하고 ASIL반을 자결이다.ASIL는 A에서 D로 구분되며, ASIL D가 가장 높은 안전 수준을 요구하는 수준으로, QM(Quality Management)는 ISO 26262대응에 대한 강제력이 없는 등급에서 자동차 분야품 질소 있었다 ISO TS 16949를 만족하는 수준을 의미합니다. Fig.2에서 보듯이 ASIL과 심각성(S)발발, 빈도(E)및 제어 가능(C)사이에는 이후그와 같은 관계가 성립합니다. ​ S+E+C의 합계가 7이하의 경우 QMS+E+C의 합계가 7등의 경우 ASIL AS+E+C의 합계가 8등의 경우 ASIL BS+E+C의 합계가 9등의 경우 ASIL CS+E+C의 합계가 10등의 경우 ASIL D​

>

기능의 오작동을 도출하기 위한 가장 합리적인 분석 방법인 HAZOP(Hazard and Operability)을 주로 사용하고(Fig.3참조)파악할 수 없는 오작동을 찾기 위해서 정성적 수준의 FMEA(Failure Mode and Effect Analysis)예는 FTA(Fault Tree Analysis)을 활용하기도 할 것이다. FMEA를 통해 오작동으로 인한 위험을 파악하고 FTA를 통해 도출된 위험에 대해 누락이 있는 FMEA 수행 중 식별되지 않는 오작동을 도출한다.

>

오작동 식별이 완료되면 차량 주행 상황에서 오작동에 의해 발발할 수 있는 위험성을 파악한다. 이때 운영상황 분석(Operational Situation Analysis)이 필요하며 운영상황의 분석은 조합 가능한 모든 차량의 주행상황뿐만 아니라 생산된 차량이 수출될 경우에는 해당 정부의 도로상황, 기후환경, 운전관습 등이 충분히 고려되어야 한다. 통상의 운영 환경 분석에서 고려되는 인제는 속도, 장애물의 상태, 운영 상태 등을 포함한 운용 상황인제와 운용과 운용 지면의 상태, 기상/기후 등의 요소를 포함한 환경 영향, 인제로 이들을 전체 조합시고 운영 상황의 시나리오를 도출(그림 4참조). ​

>

운영 상황 시 연봉인 리오는 운영 상황인제와 환경 영향, 인제의 개정에 따른 조합에 의해서 결정되며 고려한 지금의 수가 많을수록 운영 상황 시 연봉인 리오의 절대치는 많아진다(그림 5참조). 고려하는 차량의 레벨에 따라 다르지만, 이하의 Fig. 5의 인제의 전체 고려한 경우 하나 옥개 이상의 운영 상황 시 연봉인 리오가 생성된다.

>

개발되는 Item을 대상으로 HAZOP, FMEA, FTA 등을 적용하여 도출된 기능의 오작동과 운영상황 시그인리오를 조합하면 상황에 따른 오작동이 생성되며, 이를 통해 오작동에 의한 결구ヮ임프지안이여 위 햄을 도출하게 된다(그림 6참조).

>

기능의 오작동에 따른 위험, 운영 상황과 조합을 통해서 나온 결과를 위험 이벤트(Hazardous Event)라고 명명하며 각각의 리스크 행사에 ISO 26262에서 명시하고 있는 심각성(S:Severity), 발생 빈도(E:Exposure), 제어 가능성(C:Controllability)등급을 부여하고 최종적으로 ASIL을 처리하는 것이다.​

한컴 MDS medini analyze l SES사업부 SES한개 팀 E.medini@hancommds.com제품 문의 medini analyze의 소개 페이지