오랜만에 연달아 글을 써본다.
항상 얘기하듯이, 해당 글의 해석은 블로그 주인장의 이해한 수준에서 적는 것이므로,
반박하는 글은 언제든 환영, 욕하는 글은 언제든 참아주시기 바란다.
ASIL decomposition
ASIL 분해
으흠... ASIL 은 뭐지?
ISO 26262 Part 1 vocabulary를 참고하면,
2.6
자동차 안전무결성 수준 (ASIL, Automotive Safety Integrity Level)
ISO 26262의 아이템이나 엘리먼트에 필요한 요구사항을 명시하는 네 가지 수준 중 하나로, 지나친 잔존 리스크를 방지하기 위해 적용되는 안전 수단이다. 엄격함의 정도가 가장 높을 경우 D로 표시하고, 가장 낮을 경우에는 A로 표시한다.
2.7
ASIL 분해 (ASIL decomposition)
안전 요구사항을 충분히 독립적인 엘리먼트에 중복하여 분배함으로써 해당 엘리먼트에 할당된 중복된 안전 요구사항의 ASIL을 감소시키는 목적을 가진다.
그렇다면 ASIL은 어떻게 나올 수 있는 것인가?
ISO 26262에서는 H&R 즉 HARA를 통해서 ASIL 을 결정하고 있다.
(분명히 규격에서는 Hazard analysis and Risk Assessment를 약어로 H&R로 표기하고 있지만, HARA로 쓰는 경우가 더 많다. 입에 촥촥 감겨서 그런가?;;)
초기 System boundary가 정의되면 위험원(Hazard)을 식별하고, 이벤트를 고려하여 Severity, Exposure, Controllability를 가지고서 등급을 분류한다.
S0부터 S3, E0부터 E4, C0부터 C3을 조합하여 다음과 같이 ASIL을 결정할 수 있다.
참고로 QM은 Quality Management의 약자이다.
QM일 경우 ISO 26262을 고려하지 않고 ISO/TS 16949와 같은 품질경영시스템을 준수하면 된다.
즉, 지금까지 설명한 대로 정리하면 다음과 같다.
그런데 ASIL decomposition을 하는 이유는 무엇일까?
해당 이유를 ISO 26262에서 말하고 있지 않지만, 조금만 생각해보면 이렇지 않을까 싶다.
개발하려는 Item의 ASIL 등급이 높아서 기간내에서 수행하기 어렵다거나,
기존에 개발한 부분을 통해서 신규 Item의 개발 시 활용이 가능하다거나,
기타 이유가 될 수 있지 않을까 생각된다.
ASI decomposition은 충분히 독립적으로 구분될 수 있어야 한다.
부분적으로나마 dependent하다면 초기 ASIL을 상속받는다.
여튼 잠깐 다른 곳으로 빠졌지만,
그렇다면 ASIL decomposition이 가능한 처음 단계는 어디일까?
FSR에서는 아키텍처가 없으므로 엘리먼트가 충분히 독립적인지 고려하기 어렵다.
FSC에서 아키텍처를 통해 첫 ASIL decomposition을 고려할 수 있다.
즉 ASIL이 가능한 단계를 생각해본다면,
1. Function safety concept
2. System design
3. Hardware design
4. Software design
각 해당 단계에서는 전달된 수집된 ASIL (또는 Requirements)에 대하여 decomposition을 고려할 수 있다.
그러기 위해서는 충분히 독립성을 가지고 있어야 한다. 종속고장과 관련되어서는 ASIL decomposition을 수행하기 어렵다. 또는 수행한다고 해도 무의미하다고 할 수 있다.
Functional redundancy를 위하여 수행하는 decomposition은
같은 Safety goal과 같은 Safe state를 가져야 한다.
ASIL decomposition은 필요 시 적용한다.
ASIL decomposition은 한번 이상 적용이 가능하다.
ASIL decomposition은 안전 목표의 ASIL을 괄호로 함께 표기해야 한다.
예를 들면 ASIL D 요구사항이 ASIL C와 A로 요구사항 분해가 된다면 ASIl C(D), ASIL A(D)로 표기해야 한다.
다음을 참고하여 적용한다.
ISO 26262는 기능을 기술로, 기술은 System으로, System에서는 HW, SW로 계층적으로 상세화 된다.
각 단계에서 개발 시 전달된/접수된 ASIL (또는 Requirements)에 대하여 decomposition이 고려될 수 있다.
즉, 개발을 위해서 독립적으로 분리할 수 있는 지 고려하여 요구사항을 맞추기 위한 활동이라고 이해한다.
아직까지 decomposition을 직접 수행해보지 못했으므로 여기까지만 적어본다.
이상. 끝
'기능안전(Functional Safety)' 카테고리의 다른 글
Failure mode classification of hardware element (2) | 2014.12.18 |
---|---|
Dependent failures (1) | 2014.12.10 |
Verification review와 Confirmation review (0) | 2014.12.09 |
ISO 26262 기술동향 - 2014년 자동차 SW 개발자 컨퍼런스 (0) | 2014.05.22 |
CMMI 적용의 어려운 이유 (1) | 2014.05.17 |