ISO 26262 기반 자동차 SW 안전성 인증

자동차 기능 안전성 국제 표준의 이해와 인증 전략

▶개요

자동차 산업은 빠르게 전동화·자율화되고 있으며, 차량 내 전기전자 (E/E) 시스템의 비중이 급격히 증가하고 있습니다. 현대 자동차 한 대에는 1,000 만~2,000 만 라인에 달하는 소프트웨어가 탑재되어 있으며, 이러한 복잡한 시스템의 오작동은 곧 운전자와 보행자의 생명과 직결될 수 있습니다.

이러한 위험에 체계적으로 대응하기 위해 국제표준화기구(ISO)는 자동차 기능 안전성 국제 표준인 ISO 26262 를 제정하였습니다. 이 표준은 차량의 전기전자장치에 대한 소프트웨어 안전성 인증 획득을 위한 ISO 26262 기반의 프로세스를 구축하고, 실질적인 안전 목표를 달성하기 위한 체계적인 방법론을 제시합니다.

▶ISO 26262란 무엇인가?

ISO 26262는 3.5톤 미만의 승용차 내 안전 관련 전기/전자 장치에 적용되는 기능 안전성 (Functional Safety) 국제 표준입니다. 기능 안전성 범용 표준인 IEC 61508을 자동차 전기 /전자 시스템에 맞게 특화·발전시킨 것으로, 10개국 27개 완성차업체 및 부품사가 참여하여 2011 년에 최초 제정되었고, 2018년에 2판으로 개정되었습니다.

이 표준은 총 12개의 파트(Part)로 구성되어 있으며, 58개의 요건을 규정하고 있습니다. 자동차 전자제어장치의 오작동으로 인한 사고 및 인명 손실을 최소화하는 것을 목표로, 개발 초기부터 생산·폐기에 이르는 전체 생명주기에서의 안전 관련 요구사항을 수렴합니다.

▶ISO 26262 인증이 중요한 이유

• 국내외 OEM(현대, 기아, 쌍용 등)이 협력 부품사에 ISO 26262 준수를 요구하고 있습니다.

• 제품 리콜 및 브랜드 손상 위험을 사전에 방지할 수 있습니다.

• PL(제조물 책임)법 소송에 대한 법적 근거를 확보할 수 있습니다.

• 글로벌 시장 진출 시 기술 신뢰도와 경쟁력을 제고합니다.

• 향후 강제 법규로 전환될 가능성에 선제적으로 대응할 수 있습니다.

▶ISO 26262 표준의 전체 구성

ISO 26262 소프트웨어 규정 준수 표준 전체는 10개 부분으로 구성되어 있습니다. 3~7 부는 ISO 26262 안전 수명주기(Safety Lifecycle)를 개념 단계 (Concept Phase), 제품 개발(Product Development), 양산 이후(After SOP)의 3단계로 나눕니다.

Part 1. 용어 (Vocabulary)

표준 전체에서 사용되는 용어와 정의를 규정합니다. 안전 목표, ASIL, 기능 안전 등 핵심 개념의 통일된 정의를 제공합니다.

Part 2. 개념 단계 (Concept Phase)

개념 단계는 제품 개발에 앞서 안전 관련 요구사항을 정의하는 단계로, 다음 네 가지 활동으로 구성됩니다.

• 3.5 아이템 정의 (Item Definition) : 개발 대상 시스템 (아이템)의 경계, 기능, 인터페이스를 명확히 정의합니다.

• 3.6 안전 수명주기 착수 (Initiation of Safety Lifecycle) : 안전 관련 활동의 범위와 계획을 수립합니다.

• 3.7 위험 분석 및 위험 평가 (Hazard Analysis and Risk Assessment) : 각 위험 상황의 심각도, 노출도, 제어 가능성을 분석하여 ASIL 을 결정합니다.

• 3.8 기능 안전 개념 (Functional Safety Concept) : 안전 목표를 달성하기 위한 기능 안전 요구사항을 도출합니다.

Part 3. 시스템 수준의 제품 개발 (Product Development: System Level)

시스템 수준에서 제품을 개발하고 검증하는 단계입니다.

•4.5 시스템 수준 제품 개발 착수 (Initiation of Product Development at the System Level)

•4.6 기술적 안전 요구사항 규격화 (Specification at the Technical Safety Requirements)

•4.7 시스템 설계 (System Design)

•4.8 아이템 통합 및 테스트 (Item Integration and Testing)

•4.9 안전성 검증 (Safety Validation)

•4.10 기능 안전성 평가 (Functional Safety Assessment)

•4.11 생산을 위한 출도 (Release for Production)

Part 4. 하드웨어 수준의 제품 개발 (Product Development: Hardware Level)

하드웨어 설계 및 검증 활동을 포함합니다.

•5.5 하드웨어 수준 제품 개발 착수 (Initiating of Product Development at the HW Level)

•5.6 하드웨어 안전 요구사항 규격화 (Specification of HW Safety Requirements)

•5.7 하드웨어 설계 (HW Design)

•5.8 하드웨어 아키텍처 지표 (HW Architectural Metrics)

•5.9 임의 하드웨어 고장으로 인한 안전 목표 위반 평가 (Evaluation of Violation of the Safety Goal Due to Random HW Failures)

•5.10 하드웨어 통합 및 테스트 (HW Integration and Testing)

Part 5. 소프트웨어 수준의 제품 개발 (Product Development: Software Level)

소프트웨어 설계부터 검증까지의 활동을 다룹니다.

•6.5 소프트웨어 수준 제품 개발 착수 (Initiating of Product Development at the SW Level)

•6.6 소프트웨어 안전 요구사항 규격화 (Specification of SW Safety Requirements)

•6.7 소프트웨어 아키텍처 설계 (SW Architectural Design)

•6.8 소프트웨어 단위 설계 및 구현 (SW Unit Design and Implementation)

•6.9 소프트웨어 단위 테스트 (SW Unit Testing)

•6.10 소프트웨어 통합 및 테스트 (SW Integration and Testing)

•6.11 소프트웨어 안전 요구사항 검증 (Verification of SW Safety Requirements)

Part 6. 생산 및 운영 (Production and Operation)

•7.5 생산 (Production) : 안전 요구사항이 제품 생산 단계에서도 유지될 수 있도록 관리합니다.

•7.6 운영, 서비스 및 폐기 (Operation, Service and Decommissioning) : 제품의 운영 중 안전 요구사항 유지와 수명 종료 시 처리 방법을 규정합니다.

Part 7. 지원 프로세스 (Supporting Process)

개발 전반을 지원하는 프로세스로 다음 항목을 포함합니다.

•8.5 분산 개발 인터페이스 관리 (Interfaces with Distributed Developments)

•8.6 안전 요구사항의 규격화 및 관리 (Specification and Management of Safety Requirements)

•8.7 형상 관리 (Configuration Management)

•8.8 변경 관리 (Change Management)

•8.9 검증 (Verification)

•8.10 문서화 (Documentation)

•8.11 소프트웨어 툴 검증 (Qualification of Software Tools)

•8.12 소프트웨어 컴포넌트 검증 (Qualification of Software Components)

•8.13 하드웨어 컴포넌트 검증 (Qualification of Hardware Components)

•8.14 사용 실적 기반 논증 (Proven in Use Argument)

Part 8. ASIL 및 안전 기반 분석 (ASIL-Oriented and Safety-Oriented Analysis)

•9.5 ASIL 조정을 위한 요구사항 분해 (Requirement Decomposition with Respect to ASIL Tailoring)

•9.6 요소 공존 기준 (Criteria for Coexistence of Elements)

•9.7 개발 장애 분석 (Analysis of Development Failures)

•9.8 안전 분석 (Safety Analysis)

Part 9. ISO 26262 에 대한 지침 (Guideline on ISO 26262)

표준의 올바른 해석과 적용을 위한 가이드라인을 제공합니다. 실무자들이 표준을 효과적으로 이행할 수 있도록 구체적인 지침을 담고 있습니다.

▶ISO 26262 안전 수명주기 (Safety Lifecycle)

ISO 26262 소프트웨어 규정 준수 표준 전체는 10개 부분으로 구성되어 있습니다. 3~7부는 ISO 26262 안전 수명주기(Safety Lifecycle)를 개념 단계 (Concept Phase), 제품 개발(Product Development), 양산 이후(After SOP)의 3단계로 나눕니다.

1단계 : 개념 단계 (Concept Phase)

개념 단계는 아이템 정의 (Item Definition)로부터 시작되며, 안전 수명주기 착수, 위험 분석 및 위험 평가(Hazard Analysis & Risk Assessment), 기능 안전 개념 (Functional Safety Concept)의 네 가지 활동으로 구성됩니다. 이 단계에서 ASIL 등급이 결정되며, 이후 개발 전 단계에 걸쳐 안전 활동의 방향성이 설정됩니다.

2 단계 : 제품 개발 (Product Development)

제품 개발 단계는 시스템 수준 (Part 4), 하드웨어 수준(Part 5), 소프트웨어 수준(Part 6)의 세 가지 레벨로 이루어집니다. 각 레벨에서 안전 요구사항의 규격화, 설계, 구현, 통합 및 테스트가 진행됩니다. 또한 타 기술 (Other Technologies), 제어 가능성(Controllability), 외부 조치(External Measures) 와의 연계를 통해 안전 목표 달성을 지원합니다. 생산 계획(Planning)과 생산(7.5 Production), 운영 (7.6 Operation)으로 이어지는 흐름도 이 단계에서 수립됩니다.

제품 개발 단계의 핵심 활동은 다음과 같습니다.

•4.9 안전성 검증 (Safety Validation) : 정의된 안전 목표가 실제로 달성되었는지 확인합니다.

•4.10 기능 안전성 평가 (Functional Safety Assessment) : 독립적인 평가를 통해 안전 요구사항 이행 여부를 평가합니다.

•4.11 생산을 위한 출도 (Release for Production) : 모든 안전 활동이 완료되었음을 공식적으로 확인하고 생산을 승인합니다.

3 단계: 양산 이후 (After SOP)

양산 시작(Start of Production, SOP) 이후에도 안전 활동은 계속됩니다. 생산(Production) 단계에서 안전 요구사항이 양산 과정에서도 유지되도록 관리하며, 운영·서비스 및 폐기 (Operation, Service and Decommissioning) 단계에서는 제품의 현장 운용과 유지보수, 수명 종료 후 폐기까지 안전 요건을 지속적으로 관리합니다.

▶ASIL(Automotive Safety Integrity Level) 이해

ASIL 은 ISO 26262 에서 정의한 자동차 안전 무결성 등급으로, 위험 상황의 심각도, 노출도, 제어 가능성에 따라 네 가지 등급(A, B, C, D)으로 분류됩니다. ASIL D 가 가장 높은 안전 요구 수준을 의미합니다.

▶ASIL 등급별 특징

•ASIL A : 가장 낮은 안전 무결성 요구 수준. 경미한 부상 가능성이 있는 기능에 적용됩니다.

•ASIL B : 중간 수준의 안전 무결성 요구. 중간 정도의 부상 가능성이 있는 기능에 적용됩니다.

•ASIL C : 높은 안전 무결성 요구 . 생명을 위협할 수 있는 기능에 적용됩니다.

•ASIL D : 가장 높은 안전 무결성 요구. 심각한 부상 또는 사망 가능성이 있는 기능에 적용됩니다.

ASIL 등급은 위험 분석 및 위험 평가 (HARA) 단계에서 결정되며, 이 등급에 따라 개발 시 적용해야 하는 안전 수단 (Safety Measure)과 검증 방법이 달라집니다. ASIL 분해(ASIL Decomposition)를 통해 높은 등급의 요구사항을 낮은 등급의 두 독립 채널로 분할하는 방법도 허용됩니다.

▶ISO 26262 인증을 위한 컨설팅 수행 전략

핵심 전략 1 : 제품개발팀 역량 강화

•ISO 26262 표준 전반에 대한 심 층 교육 제공

•ASIL 결정 방법론 및 HARA 수행 능력 배양

•안전 계획서(Safety Plan) 및 필수 산출물 작성 역량 향상

•기능 안전 관리자 (Functional Safety Manager) 양성

핵심 전략 2 : 충분한 교육 및 이행 멘토링

•실제 프로 젝트 기반의 실습 교육 및 사례 연구

•개발 단계 별 산출물 작성 및 검토 멘토링

•안전 분석(FMEA, FTA, FMEDA 등) 수행 지원

•인증 기관과의 커뮤니케이션 및 심사 대응 지원

•프로세스 구축 이후 지속적인 개선 활동 지원

▶컨설팅 수행 프로세스

1. 현황 분석 : 현재 개발 프로세스와 ISO 26262 요구사항 간의 갭(Gap) 분석

2. 계획 수립 : 인증 취득 로드맵 및 안전 계획서(Safety Plan) 작성

3. 교육 실시 : 팀 전체 대상 ISO 26262 이론 및 실무 교육

4. 프로세스 구축 : ISO 26262 요구사항을 반영한 개발 프로세스 및 템플릿 개발

5. 이행 멘토링 : 실제 제품 개발에 적용하는 과정에서 현장 멘토링

6. 산출물 검토 : 각 단계별 필수 산출물 작성 및 검토

7. 인증 지원 : 인증 기관 심사 준비 및 대응 지원

• 목록