Safety mechanism (ISO 26262-4 partialy)

ISO 26262 자동차 기능안전 표준이 이제 곧 2nd version, 1차 개정판이 릴리즈 된다.

초기 계획과 달리 많이 연장되어서 현재에도 정확한 날짜가 맞는지 확인되지 않지만, 작년 12월까지만 해도 올해 6월? 정도로 예상해본다.

어떻게 많은 변화가 있을지는 뚜껑을 열어봐야 알 수 있다.

CD (Commercial Draft)에서 DIS (Draft International Standard) 그리고 최근에 발표된 FDIS (Final + DIS) 까지 매번 내용이 조금씩 바뀌고 있다. 공식적인 버전에서 어떻게 바뀔지는 장담할 수 없겠다.

일단 그렇고 잠도 안오고, 좀 끄적 거려보면 

ISO 26262 의 여러 중요한 요구사항 중 Safety Mechanism (안전 메커니즘)은 중요한 핵심이다. 거의 1~2위를 다룰만큼 중요한 내용이다.

결국 우리가 개발/고려하는 제품이 가지는 Hazard가 사람에게 미칠 수 있는 Risk를 안전 목표(Safety goal)와 A, B, C, D라는 레벨로 ASIL (Automotive Safety Integrity Level)로 정의하는 것이 첫 번째다. 

그리고서 시스템(System), 하드웨어(Hardware), 소프트웨어(Software)로 전개하면서 안전 목표와 ASIL를 만족할 수 있도록 여러 요구사항들을 충족할 수 있게끔 제품을 개발하는 것이다. 이 때에 반드시 고려해야 할 것 중에 하나가 Safety mechanism인 것이다.

이러한 Safety mechanism과 유사한 용어로 Safety measure가 있다.

Part 1 Vocabulary를 참고하면 둘다 비슷한 용어의 정의를 가지고 있지만, 조금 차이가 있다.

일단 아래 그림과 같이 Safety measure는 Safety mechanism를 포함한다.

다음으로 Safety mechanism은 Single point failure나 latent failure를 방지하기 위한 목적이 포함된다. 추가적으로 운전자에게 고장에 대한 정보를 주거나 안전 상태 (Safe state)로 전이시켜주게끔 만들어주는 것이 Safety mechanism인 것이다.

쉽게 말해서, 과거 ISO 26262와 같은 표준이 나오기 전에 활용되던 모든 기술/방법 들을 Safety measure라고 정의한다면, 그 중에서 전기/전자 측면에서 (이는 보다 확장될 수 있음으로 그냥 넘어가자) ISO 26262에 정의된 요구사항을 충족하기 위해 보다 중점적으로 고려되어야 할 내용들을 다루는 것이 Safety mechanism이라고 이해하면 될 것 같다.

그러한 Safety mechanism에 대한 종류 그리고 대상, 방법 등에 대해서는 Part 5 Hardware 에서 Annex D를 참고하면 된다. 

Question. 왜 System이 아닌 Hardware에 포함되어 있을까?... 그리고 여기서 말하는 다루는 방법들이 Hardware로 개발해야하는 것만이 아닌데 왜?... 

ISO 26262 Part 4 요구사항 중 6.4.4.4를 보면 다음과 같은 문구가 있다.

This requirement applies to ASILs (A), (B), C, and D, in accordance with 4.3: the development of safety mechanisms that prevent dual point faults from being latent shall comply with:

• a)  ASIL B for technical safety requirements assigned ASIL D;
• b)  ASIL A for technical safety requirements assigned ASIL B and ASIL C; and
• c)  engineering judgment for technical safety requirements assigned ASIL A.

일단 Single point falut가 아닌 dual point fault를 대상으로 할 때, Safety mechanism의 요구사항이라는 것을 알 수 있다. 그리고 ASIL C 또는 D의 경우 아래는 고려 대상이고, 다른 경우에는 선택 사항이다.

ASIL D에 대하여 dual point fault를 방지하기 위한 Safety mechanism은 ASIL B이면 충족된다는 것이다.

순차적으로 해석하면 되고, 그림으로 이해하면 아래와 같다.

안전 요구사항인데 정말 이래도 돼? 라고 생각하기 보다는 이 정도를 통해서 잠재적인 결함의 경우에는 어느정도 보호가 되는 구나.. 라고 이해하면 될 것 같다.

예를 들면, ASIL D 요구사항에서 잠재적인 결함을 고려하여 설계하는 Safety mechanism (참고로, Safety requirements, 모든 Safety mechanism은 Safety requirements이다.)이 ASIL D일 필요는 없다는 것이다.

만약에 그렇게 해야 한다면 그게 가능한가? 라고 생각해보면 된다. 주요 기능이 잘못되는 것을 고려해서 덧붙여지는 요구사항이 반드시 똑같은 가혹한(?) 레벨을 만족해야 한다는 것은 자칫 무한 루프를 생각해야할 수 있다.

잠도 안오고 잠깐 끄적여봤다. 같이 논의하고 싶으시다면 언제든지 방명록/댓글에 달아주기 바란다.

월요일도 힘내서 화이팅!!