Understanding for ASIL concept

Good morning

즐거운 금요일입니다. 금요일이라서 기쁘고, 여름 휴가를 앞두고 있어서 더 기쁩니다. 

ASIL (Automotive Safety Integrity Level)은 결국 Vehicle level에서 가지는 시스템/기능이 오동작할 경우의 Hazardous Risk를 ASIL A부터 D까지의 등급을 가지고서 구분해 놓은 지표 입니다.

ASIL A, B, C, D에 따라 각 다른 요구사항과 방법을 통해서 시스템(프로세스)적인 고장을 방지하고, 기술적인 고장을 예방할 수 있는 개발을 해야 하는 것입니다.

여기서 한 가지 오해를 하실 수 있는 부분이 있을 것 같아서 이를 재 언급하고 넘어가고자 합니다.

1. 제품에 ASIL이 부여될 수 있다? 우리의 제품은 ASIL D를 만족하는 좋은 제품이다?

답은 Wrong 입니다. 물론 상황을 놓고 얘기해야겠지만, 위와 같이 단정하는 것은 잘 못된 판단입니다.

ISO 26262는 Functional Safety 입니다.

E/E에 들어가는 E/E에서 수행하는 Function이 가지는 Risk를 고려해야 합니다.

Function을 수행하는 것이 최종적으로 단일 제품일수도, 아닐수도 있습니다. 

예를 들면, Sensor를 가지고서 ASIL C로 개발해야 한다.!! 라고 할 수 있을까요?

물론 할 수 있습니다. 그러면 ASIL C의 요구사항을 수행하는 센서여야 합니다. 그냥 ASIL C를 가지고서 센서의 개발 목표로 잡는 것은 접근이 잘못되었다고 할 수 있습니다.

The ASIL refer to a function or property, not to a device!! 

다음으로 ASIL이 높으면 좋은 센서일까요?

질문을 하는 것을 보면 아니겠죠? 네, 아닙니다.

위에서 Function, property에 따라 달라진다고 하였습니다. ASIL이 높다는 것은 그만큼 가지고 있는 Risk도 높을 수 있습니다.

이렇게 질문하시는 분들이 있을 것 같습니다. 높은 Hazardous Risk까지 대응이 가능하다고 하니, 좋은 것 아니냐? 네 이렇게 생각하신다면 그럴수도 있습니다.

제가 말씀 드리고 싶은 것은 단일 제품을 놓고, ASIL을 가지고서 좋다, 아니다. 를 판단하지 말자는 것입니다. 이를 말씀 드리기 위해서 자문 자답형식으로 글을 적어 보았습니다.

2. ASIL은 제품의 Performance와 관련있다? ASIL이 높은 제품은 Performance가 좋다?

다음의 질문에 대한 저의 답은 Wrong입니다.

우리가 제품의 performance를 따지는 지표를 먼저 생각해보면 좋을 것 같습니다. 센서를 예로 든다면, Range, Accuracy, FoV (Field of View), Angle resolution, detection rate 등이 있을 것입니다.

여기서 Accuracy를 예로 들어보죠.

Accuracy와 ASIL의 상관관계를 생각해봅시다. 어떤 관계가 있을까요?

Accuracy를 대표적으로 생각해본다면 (저의 전공이 통계니까 deviation으로 말해보겠습니다) deviation 0.5, 1.0, 2.0 3가지를 놓고 보면 0.5가 낮기 때문에 가장 높은 Accuracy를 가집니다. 

(여기서 deviation은 정규분포로 환산된 표준 편차라고 가정해주시기 바랍니다.)

ASIL은 A, B, C, D로 구분하는 첫 번째가 무엇일까요? HARA라는 분석을 통해서 ASIL이 부여됩니다.

HARA에서는 통계치가 고려되나요? 전~~혀 고려되지 않습니다.

응? 그러면 뭐지? ASIL이 좋은 제품이 Performance도 좋았었는데, 이 작자가 무슨 말을 하는 거지? 라고 생각하시기 전에!!!

ASIL 은 기본적으로 QM이 바탕이 되어야 합니다. QM은 기본적으로 수행하되, ASIL, ISO 26262와 관련된 내용까지 고려해서 제품을 개발해야 하는 것이지요.

그런데 QM입장을 잊어버리고, ASIL만 중요하게 생각한다면, 다음과 같은 그림도 그려질 수 있다는 것입니다.

출처: Automated Driving - Safe Design must complement Safety Testing. September 19, 2017, Kempinski, Berlin. Dr.-ing. Bernhard Kaiser (Assytem Germany GmbH)

자 그러면 마지막으로 위와 관련하여 요구사항은 어떻게 적혀질 수 있을까요? 같은 Sensor를 통해서 같은 output signal을 출력하는 경우를 놓고 예기합니다. (센서의 출력값은 speed 값으로 가정)

A. With ASIL C

It is assured that the sensor does not report a speed value > 10 km/h if the true speed is < 5km/h

B. With QM

it is assured that the error between measured value and true speed value is in 99.7% of all cases in the range between ± 5km/h

감이 오시나요?

ASIL이 있는 경우에는 환경 조건에서 받아온 값이 True, False를 놓고서 이를 Application (logic)에 전달하는 것이지요. 반면에 QM으로 요구사항이 기술되는 경우에는 환경 조건에서 받아오는 값의 정확도를 놓고 따져보게끔 하고 있습니다.

위 두 경우는 엄연히 다르므로 제품의 Performance는 ASIL와 다르다!. 또는 다를 수 있다!. 라고 명심해주시기 바랍니다.

이상. 읽어주셔서 감사합니다.