[ISO26262] Hazard Analysis and Risk Assessment(HARA) 란?

출처: Hazard Analysis and Risk Assessment acc. to ISO 26262 (kuglermaag.com)

Hazard Analysis and Risk Assessment acc. to ISO 26262

 

위험 분석 및 위험 평가(Hazard Analysis and Risk Assessment, HARA)는 ISO 26262에서 도로 차량의 전자장치로 인한 위험을 추정하고 평가하는 방법을 정의하는 중요한 단계입니다. 특히 전기, 전자 및 소프트웨어 시스템의 오작동 위험에 관한 내용을 다룹니다. HARA를 수행할 때 고려해야 할 가장 중요한 8가지 측면에 대해 알아보겠습니다.

 

차량의 전기 및 전자 시스템은 안전해야 합니다. 예를 들어 안전한 소프트웨어와 하드웨어를 개발하려면 먼저 소프트웨어나 하드웨어가 고장 나면 어떤 일이 발생할 수 있는지 자문해야 합니다. 전통적인 위험 관리에서는 특정 위험이 발생할 확률과 그 결과의 심각성을 평가합니다. 이를 통해 위험 평가와 위험에 대처하는 접근 방식을 도출하고 그에 따라 등급을 매깁니다.

위험 관리에 대한 이러한 고전적인 접근 방식은 도로용 차량의 전자 장치라는 맥락에서 해석하고 구현하기가 쉽지 않다는 것이 밝혀졌습니다. 대신 절차를 조정하고 재해석할 수 있는 특별한 접근 방식이 필요합니다. 이것이 바로 도로 차량의 기능 안전에 대한 표준인 ISO 26262에 설명된 내용입니다.

 

0. 개요

위험 분석 및 위험 평가라는 용어는 특히 자동차 부문에 대한 ISO 26262에 정의된 절차를 의미합니다. HARA로 약칭하며 다음과 같이 정의됩니다: "불합리한 위험을 피하기 위해 품목의 위험 이벤트를 식별 및 분류하고 관련 위험의 예방 또는 완화와 관련된 안전 목표 및 ASIL을 지정하는 방법."

 

우선, 위험(Hazard) 이라는 용어에 대한 설명: 이는 신체적 상해 또는 사람의 건강에 손상을 줄 수 있는 위험만을 의미합니다. 자동차 제조업체 및 공급업체의 평판 손상이나 비용은 이 분석에 포함되지 않습니다.

 

꽤 복잡한 정의입니다. 여기에는 많은 특수 용어가 사용됩니다. 이 백서에서 그 용어들을 살펴보겠습니다. 자동차 부문에서는 규정된 절차를 정확하게 설명하기 때문에 항상 이 HARA 용어와 이 명칭을 정확히 사용합니다. 예를 들어, 널리 사용되는 '위험 및 위험 분석'이라는 용어를 사용했다면 다른 사람들은 자동차 산업에 국한되지 않는 IEC 61508에 포함된 요구 사항을 의미한다고 생각할 수 있습니다.

 

이 정의는 HARA가 적용되는 항목을 나타냅니다. 즉, 차량 레벨의 기능 및 이러한 기능을 구현하는 시스템에 HARA가 적용된다는 의미입니다. 예: 스티어링, 제동, 자동 크루즈 컨트롤, 주행등. 차량에는 이러한 항목이 많기 때문에 동일한 수의 HARA가 수행되어야 합니다. 항목을 서로 분리하는 것이 쉽지 않고 이로 인해 많은 작업이 발생한다는 것을 상상할 수 있습니다. 자동차 제조업체는 차량의 품목 목록을 작성하고 품목이 서로 어떻게 연관되어 있는지 파악해야 합니다. 따라서 공급업체가 아닌 자동차 제조업체(OEM)가 HARA를 이행할 책임이 있습니다.

 

HARA의 정의는 불합리한 위험을 피하는 것을 의미하기도 합니다. 여기서 불합리한 위험은 유효한 사회적 도덕 개념에 따라 특정 맥락에서 사회가 도덕적으로 용납할 수 없다고 판단하는 위험으로 해석해야 합니다. 이 분야에서는 객관적인 평가와 같은 것이 존재하지 않거나 벤치마크로 사용할 수 있는 방법이 없기 때문에 현재로서는 어렵습니다. 앞으로 살펴볼 것처럼 ISO 26262에는 구체적인 기준이 포함되어 있지만 HARA의 경우 자동차 제조업체가 해석해야 하므로 상황에 따라 달라질 수 있습니다. 예를 들어 차량의 용도, 대상 지역 또는 평균 운전자의 기술에 따라 기준이 달라질 수 있는 등 HARA와는 다른 결과가 나올 수 있습니다. ISO 26262는 자동차, 트럭, 버스, 오토바이에 대한 특별 해석 표를 포함함으로써 이를 어느 정도 고려하고 있습니다. 그러나 궁극적으로 HARA는 특별히 규정된 방법에도 불구하고 이를 수행하는 사람에 따라 달라집니다. 오해와 부정행위를 방지하기 위해 ISO는 독립적인 기관의 HARA 검토와 확인을 요구합니다.

이러한 위험 분석 및 위험 평가는 실제로 어떻게 이루어질까요? 이를 설명하기 위해 HARA를 7가지 논리적 단계로 나누어 설명합니다.

 

Step 1. Identify all relevant operational situations and operating modes

첫 번째 단계는 기존 항목 정의를 기반으로 시작할 수 있습니다. 첫 번째 단계에서는 관련 운행 상황과 운행 모드를 결정합니다. 운행 상황은 예를 들어 시내, 시골길 또는 고속도로에서의 주행이 될 수 있습니다. 작동 모드는 예를 들어 전진, 후진 또는 엔진이 작동 중인 작업장에서의 차량 잭업 등이 될 수 있습니다. 어떤 하위 범주의 운전 상황 또는 모드를 고려해야 하는지는 각 항목에 따라 크게 달라집니다.

Step 2. Systematically identify hazards of the item

두 번째 단계는 생명과 신체에 대한 위험을 상상하는 것입니다. 품목의 결함이나 운전자의 합리적으로 예측 가능한 오용으로 인해 발생할 수 있는 모든 위험을 적어야 합니다. 승객과 다른 도로 사용자에 대한 위험은 차량 수준에서 결정해야 합니다. 어댑티브 크루즈 컨트롤로 인한 위험의 한 가지 예는 의도하지 않은 가속입니다. 주행등이 의도치 않게 꺼지면 위험할 수 있습니다. 해당 품목의 설계 또는 제작 방식은 관련이 없습니다. 그러나 한 항목의 결함이 다른 항목의 고장으로 이어지는 경우 관련된 위험을 고려해야 합니다.

Step 3. Perform a classification of the hazardous events using severity, exposure, and controllability

이제 특정 운행 상황에서 발생하는 특정 위험을 위험 이벤트라고 합니다. 예를 들어 구불구불한 시골길에서 어둠 속에서 운전 중 전등이 꺼지면 위험 이벤트에 해당합니다. 세 번째 단계에서는 이러한 위험 이벤트를 세 가지 기준에 따라 개별적으로 평가합니다. 다음과 같습니다:

- 잠재적 부상의 심각성 (Severity)
- 운영상 상황이 얼마나 자주 발생하는지, 즉 노출 빈도 (Exposure)
- 부상을 피하기 위해 상황을 관리할 수 있는지 여부 - 통제 가능성(Controllability)
 

부상의 심각성(Severity)은 S0에서 S3까지 4단계로 평가됩니다.

 

ISO 26262는 약식 부상 척도 또는 AIS 분류를 참조하여 수준을 정의합니다. ISO 26262에는 AIS의 정의가 포함되어 있습니다. 또한 사고의 예와 그로 인해 발생할 수 있는 부상의 심각성도 포함되어 있습니다.

 

노출 정도는 E0부터 E4까지 5단계로 정의되어 있습니다. 이를 평가하는 방법에는 두 가지가 있습니다.

 

작동 상황 발생 빈도라는 한 가지 분류는 특정 상황에서 발생할 수 있는 오류에 적합한 옵션입니다. 예를 들어 충돌 시 에어백이 작동하지 않을 수 있습니다. 일반적인 주행 상황에서는 에어백이 작동하지 않는 것을 눈치채지 못할 것입니다. 

지속 시간에 따른 분류는 결함이 즉각적인 영향을 미치는 경우 항상 유용합니다. 예를 들어 야간 주행 중 라이트가 꺼지는 경우가 이에 해당합니다. 이러한 경우 전체 차량 운행 시간 대비 야간 차량 운행 시간의 일반적인 비율을 추정할 수 있습니다. 승용차의 경우 연간 운행 시간을 400시간으로 가정하는 경우가 많습니다. 하지만 각 개별 사례에서 차량에 대해 이를 추정해야 합니다. 고장이 발생할 수 있는 요소가 제어 장치이고 영구적으로 사용되는 경우 차량 작동 시간을 백분율 추정의 기준으로 삼지 않습니다. 노출은 고장이 발생할 수 있는 빈도를 추정하는 것이 아니라는 점을 이해하는 것이 중요합니다. 이는 오류가 영향을 미칠 수 있는 상황에 직면할 가능성을 추정하는 것입니다.

 

제어 가능성(Controllability)은 오작동 시 제때 대응하여 위험에 처한 사람이 부상을 피할 수 있는 정도를 평가하는 것입니다. ISO 26262에 따르면 제어 가능성은 C0부터 C3까지 네 가지 레벨로 구분됩니다. 항상 그렇지는 않지만 일반적으로 운전자가 반응할 것으로 예상되는 경우가 많다는 점에 유의하세요. 예를 들어, 보행자가 차량에 치이지 않기 위해 길 밖으로 뛰어나올 수 있습니다. 제어 가능성의 정의를 살펴보면 평균적인 운전자의 능력에 대해 이야기하고 있습니다. 구체적으로 말하자면, 평균적인 운전자의 능력을 평가하려면 실제로 평균적인 운전자를 정의해야 한다는 뜻입니다.

 

 

Step 4. Determine the Automotive Safety Integrity Level(ASIL)

이제 HARA의 네 번째 단계에 도달했습니다. 이 단계에서는 각 위험 이벤트에 대한 자동차 안전 무결성 수준(ASIL)을 결정합니다. 이 표를 보면 S, E, C의 세 가지 예상 값과 ASIL이 표시되어 있어 아주 간단하게 이 작업을 수행할 수 있습니다. 최악의 시나리오는 치명적인 부상을 초래할 수 있는 위험 이벤트가 S3인 경우입니다. 차량은 종종 이러한 상황이 발생할 수 있는 운행 상황에 처해 있으며(E4), 90% 미만의 경우에서 부상을 피할 수 있습니다(C3). 이러한 이벤트는 ASIL D를 받게 되며, 이는 이벤트 발생을 방지하기 위해 가장 엄격한 ISO 26262 요구 사항을 적용해야 함을 의미합니다.

Image. Automotive Safety Integrity Level(ASIL) determination

이 표는 세 가지 기준 중 하나에 한 단계 낮은 등급이 부여되면 전체 ASIL이 한 단계 낮아진다는 중요한 원칙을 강조합니다. 예를 들어, 특정 방식으로 대응하면 더 많은 사람이 부상을 피할 수 있다고 가정하면, 이는 C3가 아닌 C2로 평가되므로 위험한 상황은 ASIL C만 받게 됩니다. 표에 표시된 QM 분류를 사용하면 ISO 26262 없이도 자동차 품질 관리 표준에만 기반하여 항목을 계속 개발할 수 있습니다.
 
오토바이 개발의 경우 결과를 오토바이 안전 무결성 수준 또는 MSIL이라고 부르는 것을 제외하고는 동일한 절차를 적용합니다. 그러나 ISO 26262의 모든 부분은 모든 조치가 ASIL과 관련되어야 한다고 명시하고 있으므로 그림 오른쪽의 표를 사용하여 MSIL을 ASIL로 변환해야 합니다. 또한 이렇게 하면 한 번에 한 단계씩 감소하는 것을 알 수 있습니다. 따라서 오토바이의 경우 기껏해야 ASIL C를 사용하여 개발됩니다. ISO 26262는 오토바이 운전자는 헬멧을 착용하고, 비포장 도로에서 오토바이를 고속으로 주행하지 않으며, 특수 운전 면허증이 필요하다는 몇 가지 징후를 제공합니다. 일부 사람들이 오토바이를 탄다는 사실 자체가 이미 더 높은 위험을 감수할 의향이 있다는 것을 나타냅니다.

ASIL determination for motorcycles via an MSIL

 

Step 5. Determine a safety goal for each hazardous event

위험 이벤트에 대한 ASIL을 수립했다면 다음 단계는 이른바 안전 목표를 수립하는 것입니다. 이는 기능적 목표 또는 최상위 안전 요구 사항으로, 위험한 이벤트를 예방하거나 완화하는 데 적합해야 합니다. 안전 목표의 예: "차량이 움직이는 동안 전자식 스티어링 휠 잠금 시스템이 활성화되지 않도록 하기". 대부분의 경우 여러 가지 위험 이벤트에 대한 개별 안전 목표를 수립할 수 있습니다. 그러면 한 자릿수의 안전 목표가 설정됩니다. 각 안전 목표에는 해당 위험 이벤트의 가장 높은 ASIL이 부여됩니다.
HARA의 기본 결과물은 해당 ASIL이 있는 안전 목표 집합입니다. 이는 기능 안전 개념을 개발하기 위한 출발점이 됩니다.

 

Step 6. Verify the HARA

HARA를 수행하고 문서화했다면 ISO 26262 파트 8의 규칙에 따라 검증을 받아야 합니다. 예를 들어 검토팀은 충분하고 합리적인 위험 사건이 고려되었는지, 안전 목표가 이에 부합하는지, HARA 절차가 올바르게 적용되었는지 등을 확인해야 합니다.

 

Step 7. confirm the HARA

일곱 번째이자 마지막 단계는 개발 외부 전문가에게 각 HARA를 평가받는 것입니다. 올바른 ASIL을 설정했는지, HARA에 대한 ISO 26262 기준을 충족했는지 확인하기 위해 독립적인 확인이 필요합니다.

Hints. Recommendations

지금까지 모든 단계를 안내해 드렸습니다. 이제 무엇을 해야 하는지, 그리고 이 모든 것이 어떻게 조화를 이루는지 알게 되었습니다. 이제 경험이 없는 팀이 HARA를 처음 진행하는 데 얼마나 많은 작업이 필요한지 알 수 있을 것입니다. 일부 주제에 대해서는 다양한 사람들의 의견이 필요하다는 점을 명심해야 합니다. 누가 관련 운영 상황의 목록을 제공할 수 있나요? 다양한 속도에서 다양한 유형의 사고와 관련된 부상의 심각성을 추정하는 데 도움을 줄 수 있는 사람은 누구인가요? 이를 위해 어떤 통계가 필요한가요? 특정 차량 고장에 대한 반응을 파악하기 위해 더 많은 사람들을 대상으로 테스트를 수행해야 하나요? 회사에서 처음으로 HARA를 실시하는 경우 매우 복잡한 작업이 될 수 있습니다. 하지만 기능이나 제품 유형에 대해 한 번 수행한 후에는 가파른 학습 곡선을 거쳤을 것이므로 다음 번에는 훨씬 적은 노력이 필요할 것으로 예상할 수 있습니다.

서두에서 자동차 제조업체는 반드시 HARA를 수행해야 한다고 말씀드렸습니다. 하지만 전자 솔루션 공급업체의 경우에도 제품 개발 과정에서 직접 HARA를 수행하는 것이 매우 유용할 수 있습니다. 여기에는 부품이 사용될 품목에 대한 가정이 포함됩니다. 그런 다음 HARA는 안전 목표와 ASIL을 제공하며, 이를 통해 의미 있는 기능 안전 요구 사항을 ASIL로 도출하여 필요한 개발 범위에 대한 강력한 출발점을 제공할 수 있습니다. 또한 특정 고객을 정의하지 않고도 제품을 개발할 수 있습니다. 그리고 나중에 자동차 제조업체와 협상할 때 훨씬 더 유리한 위치에 설 수 있습니다. 또한 자동차 제조업체가 안전 요구 사항에 대해 너무 늦게 알려주는 경우가 종종 발생하는 문제도 어느 정도 해결됩니다.

 

결론

지금까지 논의한 내용을 바탕으로 8가지 핵심 내용을 요약해 보겠습니다.

 

1. 도로 차량의 전기 및 전자 장치의 결함 및 오작동으로 인해 발생하는 도로 사용자의 생명 및 신체 상해 위험만 고려합니다.
2. 이러한 위험은 지정된 위험 분석 및 위험 평가 (HARA) 방법에 따라 식별하고 평가해야 합니다.
3. HARA는 일반적으로 자동차 제조업체가 차량 수준의 항목에 대해 수행합니다.
4. 관련 위험 이벤트는 피해의 심각도(S), 노출(E) 및 제어 가능성(C)을 포함하여 식별되고 평가됩니다.
5. 자동차 안전 무결성 수준(ASIL)은 이 세 가지 매개변수(S, E 및 C)를 기반으로 결정됩니다.
6. 각 위험 이벤트에 대해 적절한 안전 목표가 ASIL과 함께 설정됩니다.
7. ASIL A ~ D는 개발 단계 및 안전 메커니즘이 얼마나 엄격해야 하는지를 결정합니다.
8. HARA의 최초 구현은 복잡하며 여러 사람의 의견이 필요합니다.

이제 ISO 26262에 따라 도로 차량에 대한 위험 분석 및 위험 평가를 수행하는 것이 어떤 것인지, 왜 필요한지, 왜 간단한 프로세스가 아닌지 알게 되었습니다.