자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 계획 (하나) 이야…

서론 ADAS(능동형 운전자 보조시스템, Advanced Driver Assist System)와 자율주행자동차 기술의 등장 등 전기전자 사업과 정적 신산업이 발달함에 따라 자동차 산업이 고도화되고 있다. 이로 인해 차량에 탑재되는 전기/전자 시스템의 수와 시스템의 복잡도가 점차 증가하고 있으며, 주행 중 운전자와 탑승자, 나아가 보행자에 대한 안전을 위한 산업 패러다임입니다.이변이 일어나고 있다. 안전 공학 측면에서 보면 전기/전자 시스템의 오작동에 의한 사건을 방지할 핵심 현안으로 부각되고 이를 충족시키기 위해서 20의 하나하나 해 하나하나 달 자동차의 기능 안전 국제 좋지 않는 ISO 26262:20하나가 제정됐으며 20하나 8년 하나 2월 하나 8일 하나판이 폐지되고 2판이 발행되었다. 개정된 ISO 26262:20하나 8은 아래의 Table하나그와 함께 총 하나 2개의 Part으로 구성됐으며 개발 초기 단계부터 생산 및 운영, 폐기 단계까지 준수해야 하는 안전 관련 요구 사항을 제시하고 있다.​

Table 1.ISO 26262:2018의 구성 ​ 특히 요즈음 차량 자체를 차량 스스로 제어하는 자율 주행 자동차에 대한 개발이 확대됨으로써 자율 주행 자동차에 대한 ISO 26262기능 안전 대응이 관련 산업의 쟁점 사항이다. 미국 자동차 기술 학회(SAE, Society of Automotive Engineers)나, 미국 도로 교통 안전국(NHTSA, National Highway Traffic Safety Administration)에서는 자율 주행 자동차의 등급을 밑의 Table 2)과 같이 명시하고 있다.​

Table 2. 아메 리카 자동차 기술 학회(SAE)에 의한 자율 주행 자동차 등급 분류 기준 ​ 2. 위험원 분석 및 리스크 평가 ​ ISO 26262:20최초 8에 따르면 차량에 탑재된 안전과 관련된 시스템을 개발하려면 ISO 26262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하려는 Item에 대한 정의를 수행한 향후, 해당 Item이 차량에 탑재되 슴니다은 소가족으로 리스크를 식별하고 위험원에 대한 분석과 위험에 대한 평가(Hazard Analysis and Risk Assessment, ISO 26262-3:20최초 8 Clause 7)을 추진하고 최종적으로 자동차 안전, 완전성(ASIL, Automotive Safety Integrity Level)을 자결한다.이러한 Hazard Analysis and Risk Assessment(HARA)의 수행을 통해 OEM에서는 최상위 안전요구사항의 안전목표(Safety Goal)를 도출하고 협력기업은 안전목표 달성을 위한 기술안전요구사항, Hardware 안전요구사항 및 Software 안전요구사항을 도출하여 제품을 개발하게 된다.

>

HARA는 개발 대상을 명세한 아이템 Definition 상의 기능을 기반으로 오작동(Malfunction)을 도출하여 도출된 오작동이 다양한 차량의 주행 귀취로부터 스토리할 수 있는 위험(Hazard)을 식별합니다. 이후 각각의 운영 그이츄이에 대한 위험 이벤트(Hazardous Event)을 파악하고, 이쪽에 각각 심각성(S:Severity), 발생 빈도(E:Exposure), 제어의 실현성(C:Controllability)을 부여하고 부여된 S, E, C를 기반으로 이하 Fig.2에 명시된 Matrix를 활용하고 ASIL수준을 결정하게 된다.ASIL는 A에서 D로 구분되며, ASIL D가 가장 높은 안전 수준을 요구하는 수준으로, QM(Quality Management)는 ISO 26262대응에 대한 강제력이 없는 등급에서 자동차 분야 품질 표준인 ISO TS 16949를 만족하는 수준을 우이우이합니다. Fig.2에서 보듯이 ASIL과 심각성(S)발생 빈도(E)및 제어의 실현성(C)사이에는 챠후그와 같은 관계가 성립합니다. ​ S+E+C의 합계가 7이하의 경우 QMS+E+C의 합계가 7등의 경우 ASIL AS+E+C의 합계가 8등의 경우 ASIL BS+E+C의 합계가 9등의 경우 ASIL CS+E+C의 합계가 10등의 경우 ASIL D​

>

기능의 오작동을 도출하기 위한 가장 합리적인 분석 방법인 HAZOP(Hazard and Operability)을 주로 사용하고(Fig.3참조)파악할 수 없는 오작동을 찾기 위해서 정성적 수준의 FMEA(Failure Mode and Effect Analysis)혹은 FTA(Fault Tree Analysis)을 활용합니다. FMEA를 통해 오작동으로 인한 위험성을 파악하고, FTA로 인해 도출된 위험성에 대해 누출되며, 본인의 FMEA 수행 중 식별되지 않는 오작동을 도출합니다.

>

오작동의 식별이 완료되면 차량의 주행상황에서 오작동에 의해 발생될 수 있는 위험..을 파악할 것이다. 이 때 오퍼레이션 분석(Operational Situation Analysis)이 필요하며, 오퍼레이션 분석은 조합 가능한 모든 차량의 주행상황뿐만 아니라 생산된 차량이 수출될 경우에는 그 나라의 도로상황, 기후환경, 운전관습 등이 충분히 고려되어야 한다. 통상의 운영 환경 분석에서 고려되는 인제는 속도, 장애 기물의 상태, 운영 상태 등을 포함한 운용 상황인제와 운용지, 운용지 상태, 기상/기후 등의 요소를 포함한 환경 영향, 인제로 이들을 전체 조합시고 운영 상황 휘장 와잉리오을 도출하는 것이다(그림 4참조). ​

>

운영 그이츄이시나리오은 운영 그이츄이 이제 와서 환경 영향 이지에우이 개정에 따른 조합에 의해서 결정되며 고려한 이지에우이 수가 많을수록 운영 그이츄이시나리오의 절대치는 많아진다(그림 5참조). 고려하는 차량의 레벨에 따라 다르지만, 이하의 Fig. 5이를 전체 고려한 경우 하나 옥개 이상의 운영 그이츄이시나리오이 생성된다.

>

개발되는 Item 대상으로 HAZOP, FMEA, FTA 등을 적용하여 도출된 기능의 오작동과 운영 귀추시 나쁘지 않고 리오를 조합하면 귀추로 인한 오작동이 발생되며, 이를 통해 오작동으로 인한 결나쁘지 않고, 푸지 않음 위험을 도출하게 된다(그림 6참조).

>

기능의 오작동에 의한 위 햄, 운영 그이츄이그와의 조합을 통해서 나온 결과를 위 함 이벤트(Hazardous Event)으로 명명하면서 각각 위 햄 행사에 ISO 26262에서 명시하고 있는 심각성(S:Severity), 발생 빈도(E:Exposure), 제어의 실현성(C:Controllability)등급을 부여하고 최종적으로 ASIL을 판정하게 된다.​

한컴 MDS medini analyze l SES사업부 SES한 팀 E.medini@hancommds.com제품 문의 medini analyze의 소개 페이지