Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
시스템 소프트웨어 개발
[medini analyze] 자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 방안 (1)
2026년 01월 16일

자율 주행 자동차를 대상으로 한 위험 분석 및 Risk 평가 방안 (1)

서론

ADAS (능동형 운전자 보조 시스템, Advanced Driver Assist System)이나 자율 주행 자동차 기술의 등장 등 전기 전자 사업과 정보통신 산업이 발달함에 따라 자동차 산업이 고도화되고 있다. 이에 따라 차량에 탑재되는 전기/전자 시스템의 수와 시스템의 복잡도가 점차 증가하고 있으며, 주행 중심에서 운전자 및 탑승자 나아가 보행자에 대한 안전 중심으로 산업의 패러다임이 변화하고 있다. 안전 공학 측면에서 본다면 전기/전자 시스템의 오작동으로 인한 사고를 방지하는 것이 중요 이슈로 부각되었고, 이를 충족하기 위해 2011년 11월 자동차 기능안전 국제 표준인 ISO 26262:2011가 제정되었으며 2018년 12월 18일 1판이 폐지되고 2판이 발행되었다. 개정된 ISO 26262:2018은 아래의 Table 1과 같이 총 12개의 Part로 구성되어 있으며, 개발 초기단계부터 생산 및 운영, 폐기단계까지 준수해야 할 안전 관련 요구사항을 제시하고 있다.

구분

내용

제 1부 (Part 1)

용어

제 2부 (Part 2)

기능 안전 관리

제 3부 (Part 3)

개념 단계

제 4부 (Part 4)

시스템 수준에서의 제품 개발

제 5부 (Part 5)

하드웨어 수준에서의 제품 개발

제 6부 (Part 6)

소프트웨어 수준에서의 제품 개발

제 7부 (Part 7)

생산, 운영 및 폐기

제 8부 (Part 8)

지원 프로세스

제 9부 (Part 9)

자동차 안전 무결성 등급 및 안전 기반 분석

제 10부 (Part 10)

ISO 26262에 대한 가이드라인

제 11부 (Part 11)

반도체 개발에 따른 가이드라인

제 12부 (Part 12)

Motorcycle에 대한 ISO 26262 적용

<표 1> ISO 26262:2018의 구성

특히 최근 차량 자체를 차량 스스로가 제어하는 자율 주행 자동차에 대한 개발이 확대됨에 따라 자율 주행 자동차에 대한 ISO 26262 기능 안전 대응이 관련 산업의 쟁점 사항이 되고 있다. 미국 자동차 기술 학회 (SAE, Society of Automotive Engineers)나 미국 도로교통안전국 (NHTSA, National Highway Traffic Safety Administration)에서는 자율 주행 자동차의 등급을 아래의 Table 2)과 같이 명시하고 있다.

등급

정의

조향/

가속/

감속

주행

환경

감시

주행

모드

Fall-

back

주행

모드

차량의 모든 제어권은 운전자에게 있음

Level 0:

자동화

없음

- 인간 운전자에 의한 주행

- 운전자에 의한 위험 상황 제어

H

H

H

없음

Level 1:

일부 지원

- 주변 환경 판단 및 조향/가속/감속 지원

- 운전자의 조작 이후 기능 수행

H /

S

H

H

주행

모드

Level 2:

부분

자율화

- 주행 상황에 따라 1개 이상의 조향/

가속/감속 기능이 스스로 수행

S

H

H

주행

모드

자율 주행 시스템이 주행 환경을 모니터링

Level 3:

조건부

자율화

- 차량 제어권을 운전자가 차량에게 또는

차량이 운전자에게 인도 가능

S

S

H

주행

모드

Level 4:

높은 자율화

- 모든 상황을 차량이 제어하여 주행

- 운전자의 개입이 없어도 주행

S

S

S

주행

모드

Level 5:

완전 자율화

- 상시 자율 주행

- 환경 조건에 따라 운전자가 주행 모드

변경 가능

S

S

S

완전

자율

범례:

H (Human)

S (System)

<표 2> 미국 자동차 기술 학회(SAE)에 따른 자동차 등급 분류 기준

위험원 분석 및 리스크 평가

ISO 26262:2018에서 따르면 차량에 탑재되는 안전과 관련된 시스템을 개발하기 위해서는 ISO 26262 Part 3에 명시된 Item Definition을 권고하고 있다. 개발하고자 하는 Item에 대한 정의를 수행한 이후, 해당 Item이 차량에 탑재 되었다는 가정 하에 위험을 식별하고 위험원에 대한 분석과 리스크에 대한 평가 (Hazard Analysis and Risk Assessment, ISO 26262-3:2018 Clause 7)를 진행하며 최종적으로 자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level)을 결정한다.

이러한 Hazard Analysis and Risk Assessment (HARA) 수행을 통해 OEM에서는 최상위 안전 요구사항인 안전 목표 (Safety Goal)을 도출하게 되며, 협력 업체들은 안전 목표 달성을 위한 기술 안전 요구사항, Hardware 안전 요구사항 및 Software 안전 요구사항을 도출하여 제품을 개발하게 된다.

<그림 1> ISO 26262를 준수하는 안전 요구사항의 흐름

HARA는 개발 대상을 명세한 Item Definition 상의 기능을 토대로 오작동 (Malfunction)을 도출하고, 도출된 오작동이 다양한 차량의 주행 상황에서 야기할 수 있는 위험 (Hazard)을 식별한다. 이후 각각의 운영 상황에 대한 위험 이벤트 (Hazardous Event)를 파악하고, 여기에 각각 심각도 (S:Severity), 발생 빈도 (E:Exposure), 제어 가능성 (C: Controllability)을 부여하며, 부여된 S, E, C를 기반으로 아래 Fig. 2에 명시된 Matrix를 활용해 ASIL 등급을 결정하게 된다.

ASIL은 A부터 D로 구분되며, ASIL D가 가장 높은 안전 수준을 요구하는 등급이며, QM (Quality Management)은 ISO 26262 대응에 대한 강제성이 없는 등급으로 자동차 분야 품질표준인 ISO TS 16949를 만족하는 수준을 의미한다. Fig. 2에서 보는 바와 같이 ASIL과 심각도 (S), 발생 빈도 (E) 및 제어 가능성 (C) 사이에는 다음과 같은 관계가 성립한다.

S + E + C의 합이 7 이하인 경우 QM

S + E + C의 합이 7 인 경우 ASIL A

S + E + C의 합이 8 인 경우 ASIL B

S + E + C의 합이 9 인 경우 ASIL C

S + E + C의 합이 10 인 경우 ASIL D

<그림 2> ASIL 결정 Matrix

기능의 오작동을 도출하기 위해서 가장 합리적인 분석 기법인 HAZOP (Hazard and Operability)를 주로 사용하며 (그림 3 참조), 미처 파악하지 못한 오작동 도출을 위해 정성적인 수준에서의 FMEA (Failure Mode and Effect Analysis) 혹은 FTA (Fault Tree Analysis)를 활용하기도 한다. FMEA를 통해 오작동으로 인한 위험을 파악하고, FTA를 통해 도출된 위험에 대해 누락되거나 FMEA 수행 중 식별되지 못한 오작동을 도출한다.

<그림 3> HAZOP을 활용한 오작동 (Malfuction) 도출

오작동의 식별이 완료되면 차량의 주행 상황에서 오작동으로 인해 발생할 수 있는 위험을 파악한다. 이 때 운영 상황 분석 (Operational Situation Analysis)이 필요하며, 운영 상황 분석은 조합 가능한 모든 차량의 주행 상황뿐만 아니라 생산된 차량이 수출되는 경우에는 해당 국가의 도로 상황, 기후 환경, 운전 관습 등이 충분히 고려되어야 한다. 통상적인 운영 환경 분석에서 고려되는 인자는 속도, 장애물의 상태, 운용 상태 등을 포함하는 운용 상황 인자와 운용 지역, 운용 지역의 상태, 기상/기후 등의 요소를 포함하는 환경 영향 인자로 이들을 모두 조합하여 운영 상황 시나리오를 도출한다 (그림 4 참조).

<그림 4> 잠재적인 차량 운영 상황의 예

운영 상황 시나리오는 운영 상황 인자와 환경 영향 인자의 개수에 의해 조합에 의해 결정되며, 고려한 인자의 수가 많을수록 운영 상황 시나리오의 절대치는 많아지게 된다 (그림 5 참조). 고려하는 차량의 수준에 따라 다르지만 아래 그림 5의 인자를 모두 고려한 경우 1억 개 이상의 운영 상황 시나리오가 생성된다.

<그림 5> 운용 시나리오에 필요한 요소와 세부 인자 예시

개발되는 Item을 대상으로 HAZOP, FMEA, FTA등을 적용하여 도출된 기능 오작동과 운영 상황 시나리오를 조합하면 상황에 따른 오작동이 생성되며 이를 통해 오작동으로 인한 결과인 위험을 도출하게 된다 (그림 6 참조).

<그림 6> 운영 상황 시나리오와 개발 대상 Item의 오동작과 위험의 관계 (Hazardous Event)

기능의 오동작으로 인한 위험, 운영 상황과의 조합을 통해 얻어낸 결과를 위험 이벤트 (Hazardous Event)라고 명명하여, 각각의 위험 이벤트에 ISO 26262에서 명시하고 있는 심각도 (S: Severity), 발생 빈도 (E: Exposure), 제어 가능성 (C: Controllability) 등급을 부여하여 최종적으로 ASIL을 결정하게 된다.




MDS 인텔리전스

통합 기능 안전 / 사이버 보안 엔지니어링 솔루션, medini analyze

E. medini@mdsit.co.kr