ASIL 정의/의미 올바로 이해하기, ASIL A와 ASIL C는 어떻게 다른가?

The GSEG (Global Safety Experts Group)입니다.

The GESG에서는 개발 프로젝트에 몸 담고 계신 분들의 문의를 접수해 본 결과 (특히 아시아권), ASIL의 정의 및 의미를 정확히 이해하지 못하고 계신 분들이 많다는 결론에 도달하게 되었으며 이에 'ASIL의 정의'와 'ASIL이 의미하는 바'를 보다 명확히 알려 드리고자 아래와 같이 관련 설명을 드립니다.

ASIL 정의, ASIL 의미

ISO 26262를 접해보신 분들은 이미 알고 계시듯이 ASIL은 Automotive Safety Integrity Level의 약자로, 각 요구 사항에 주어지는 일종의 속성 값이며 'ASIL X의 정의 및 내포한 의미'는 다음과 같은 생각의 흐름에 의해 재해석/설명 되어질 수 있습니다.

1. 관련 시스템이 최상위 요구 사항의 'ASIL X'를 만족한다는 것은, 최상위 요구 사항을 비롯한 하위 레벨의 요구 사항을 구현/실현하는 각 레벨의 개발 결과물이 ISO 26262의 각 part에서 제시하는 'ASIL X'에 해당하는 요구 사항을 만족한다는 것을 의미한다.
(예: ASIL X 요구 사항을 구현하는 SW 컴포넌트의 경우, part 6의 ASIL X에 부여된 요구 사항을 만족).

ISO 26262 Part의 전반적인 구성이 궁금하신 분은 아래 포스팅을 참조 바랍니다.

2020/05/24 - [ISO 26262 engineering] - ISO 26262의 등장과 목적, 그리고 전반적인 구성

ISO 26262의 등장과 목적, 그리고 전반적인 구성

  

 

ISO26262 실무 적용에 어려움이 있으신가요?

The GSEG가 실무적인 고민을 함께 하고 관련 산출물을 직접 작성해 드립니다.
관련 실제 프로젝트의 예제를 받아보시기를 원하시거나 진행하고 계신 프로젝트의 산출물 작성을 요청하실 분은 아래의 포스팅을 참고해 주시기 바랍니다.

참고로, 관련 비용은 요청하신 분의 만족도에 따라 요청하신 분께서 직접 산정하는 방식을 취함을 알려드립니다.

2022.09.28 - [ISO 26262 engineering (한글)] - ISO 26262 / Functional Safety 산출물 만들어 드립니다.

ISO 26262 / Functional Safety 산출물 만들어 드립니다.

 

2. ISO 26262의 요구 사항은 크게 Systematic Failure를 완화시키기 위한 것과 Random Hardware Failure를 컨트롤/모니터링하기 위한 것으로 분류할 수 있으며, 'ASIL X'에 따라 요구 사항의 수와 난이도 및 복잡도가 상이하다.

3. ISO 26262의 관점에서, 시스템 기능의 오동작의 주요 원인은 크게 시스템 기능을 가능케 하는 디자인의 Systematic Failure와 Random Hardware Failure 2가지로 정의하며 'ASIL X'에 따라 시스템 오동작 발생 확률에 대한 기대치가 상이하다.

4. 'ASIL X'에 따른 시스템 오동작 발생 확률의 기대치는 정량적인 목표와 정성적인 목표 2가지로 나뉘며, 정량적인 목표는 Random Hardware Failure와 정성적인 목표는 Systematic Failure와 연관이 되어 있고, ISO 26262에서는 아래와 같은 방법으로 'ASIL X'에 따른 기대치를 달성할 수 있다고 보고 있다.

1) Systematic Failure: 시스템 또는 구성품 개발/생산의 모든 활동을 보다 다양한 각도에서, 보다 다양한 관점 및 방법을 거침으로써 시스템 기능이 잠재적으로 내포한 Systematic Failure를 완화 또는 낮출 수 있다고 판단.

 

2) Random Hardware Failure: 시스템 기능을 구현하는 Random Hardware Failure는 기능 구현에 사용되는 HW 부품에 따라 최대 불량 확률은 확정되어 있으며, 이를 기술적 방안 (E/E)으로 모니터링하고 컨트롤 함으로써 시스템 기능이 잠재적으로 보유한 감지 되어지지 않는 Random Hardware Failure를 낮출 수 있다고 판단.

5. 따라서, 특정 레벨에 할당된 요구사항이 'ASIL X'를 만족한다는 것은 해당 요구 사항을 구현하는 기능 개발에 있어,

1) 관련 ISO 26262 part의 'ASIL X'에 할당된 개발 절차 및 분석/검증 방법들을 따름으로써, 개발 결과물의 Systematic Failure가 'ASIL X'의 정성적 기대치에 맞게 완화되었다고 추정;

2) 기술적 방안 (safety mechanisms)을 추가하여 기능을 구현하는 HW 부품의 Random Hardware Failure를 모니터링 / 감지함으로써, 감지되지 않는 Random Hardware Failure의 확률이 관련 Safety Goal (또는 상위 레벨 Safety 요구사항)의 'ASIL X'의 정량적 기대치를 만족한다는 것을 최종 의미한다.
(※ 개발하는 대상에 따라 위의 1) 또는 2)만이 적용될 수 있다).

 

 

결론적으로, 특정 요구 사항에 대해 'ASIL X'가 의미하는 것은 관련 요구 사항을 구현하는 기능의 오동작 확률이 ISO 26262가 정한 적정 레벨로 낮추어져 있으며 이를 뒷받침하기 위한 증거가 정성적 추정과 정량적 분석을 통해 확보되어 있거나 또는 그러해야 한다는 것을 의미합니다.

따라서 각 요구사항에 ASIL C 또는 ASIL A가 할당되어 있을 경우, 그 자체가 내포하는 의미를 파악할 수 있어야 합니다.

아래 그림은 이해를 돕기 위해 각 ASIL에 따른 요구 사항의 수와 그에 따른 난이도/복잡도를 요약적으로 나타낸 사항입니다.

그림에서 처럼 ASIL에 따라 각 part별 요구 사항의 수가 상이 (part 3 제외) 함을 알 수 있으며, 만족해야 하는 요구 사항의 수는 ASIL A 대비 ASIL D가 더 많고, 요구 사항의 난이도/복잡도 또한 높음을 확인할 수 있습니다.

더욱이 ASIL 별 요구 사항의 수의 차이는 대부분 safety analysis 또는 검증과 관련된 요구사항에서 비롯되며, ISO 26262에서 바라보는 Systematic Failure 완화 방안과 일치한다고 할 수 있습니다.

Random Hardware Failure에 대한 정량적 목표는 part 5에 HW 요구사항으로써 기술되어 있으며, ASIL D가 할당된 요구사항일수록 정량적 목표에 대한 요구사항의 난이도가 ASIL A 대비 높음을 알 수 있습니다.

ASIL 정의, ASIL 의미

 

 

Systematic Failure 및 Random Hardware Failure의 실무적 정의가 궁금하신 분은 아래 포스팅을 참조하시기 바랍니다.

2020/06/14 - [ISO 26262 engineering (한글)] - Random Hardware Failure, Systematic Failure 어떻게 다를까요?

Random Hardware Failure, Systematic Failure 어떻게 다를까요?

 

특정 질문이 있으신 분은 'tofusiexpertask@gmail.com' 또는 아래의 카카오 오픈 채널을 통해 문의 주시기 바랍니다.
https://open.kakao.com/o/gexclpze

The GSEG는 질문 주신 분의 지적 재산권 보호 관련 내역에는 책임이 없음을 밝히며, 또한 답변드린 내역은 GSEG 구성원들의 현재 가용한 지식 및 경험을 바탕으로 가이드드린 내역으로 최종 방향의 선택과 결정은 절대적으로 질문 주신 분께 있음을 알려 드립니다.