HARA의 단계적 접근을 통한 초기 불확실성 해소와 ASIL 재조정 - 기능안전 달성에 따른 문제점 및 해결방안

HARA 단계적 접근 필요성

 

ISO 26262에서는 Hazard Analysis and Risk Assessment 및 ASIL(Automotive Safety Integrity Level) Determination에 대한 기본적인 원칙과 접근 방식을 설명합니다. 여기에서는 시스템이 직면할 수 있는 위험한 상황을 체계적으로 분석하고, 이에 따른 안전 목표(Safety Goal)를 설정하기 위한 기반을 제공합니다.

 

 

 

Hazard Analysis and Risk Assessment (HARA) 관련 글

• ISO 26262 HARA (Hazard Analysis and Risk Assessment) for Heavy Truck
• ChatGPT를 이용한 ISO26262 Hazard Analysis and Risk Assessment (HARA)

 

1. Hazard Analysis and Risk Assessment(HARA), and ASIL Determination 개요

HARA(Hazard Analysis and Risk Assessment)는 시스템(또는 아이템)이 초래할 수 있는 잠재적 위험 사건(Hazardous Events)을 식별하고, 해당 사건의 심각도(Severity), 노출 확률(Exposure), 그리고 제어 가능성(Controllability)을 평가하여 안전 목표와 이를 달성하기 위한 무결성 수준(ASIL)을 결정하는 것을 목표로 합니다.

 

1-1. HARA의 주요 목적

• 잠재적 위험 식별: 시스템의 기능적 행동과 관련된 위험한 상황 파악.
• 위험 평가: 각 위험 요소의 심각도(Severity), 노출 확률(Probability of Exposure), 제어 가능성(Controllability)을 체계적으로 평가.
• 안전 목표 설정: 분석 결과를 바탕으로 안전 목표를 수립하고, 이에 따른 ASIL 할당.
  
  

1-2. HARA의 주요 활동

■ Hazardous Events 식별

시스템의 기능적 행동을 기반으로 위험 요소를 식별합니다. 이 단계에서는 시스템 설계의 세부 사항이 필요하지 않습니다. 대신, 아이템이 작동 중 초래할 수 있는 잠재적 위험 상황에 초점을 맞춥니다.

• 시스템의 작동 방식과 관련된 기능적 행동.
• 시스템이 환경 또는 사용자의 잘못된 입력으로 인해 위험한 상태에 도달할 가능성.
• 환경적 또는 작동 조건(예: 온도, 습도, 하중 등).

■ 위험 평가 요소

• Severity(심각도): 위험 사건이 발생했을 때의 결과의 심각성을 나타냅니다. 심각도는 주로 인명 피해, 시스템 손상, 환경적 영향을 기준으로 평가됩니다.
• Probability of Exposure(노출 확률): 시스템이 위험한 상황에 노출될 가능성을 나타냅니다. 이는 운영 조건과 사용 시나리오를 기반으로 추정됩니다.
• Controllability(제어 가능성): 운전자가 위험한 상황에서 시스템을 제어할 수 있는 가능성을 나타냅니다. 이는 운전자의 반응 시간, 차량의 제어 시스템, 그리고 사고를 방지하기 위한 추가적인 기능 등을 포함합니다.

 

 

2. HARA: 위험(Risk) 식별의 추상화 - 설계 세부 사항의 비의존성

ISO 26262는 위험 분석 및 ASIL 결정이 아이템의 기능적 행동을 기반으로 수행되어야 한다고 명시합니다. 이 접근 방식은 설계 세부 사항이 아직 정의되지 않은 초기 개발 단계에서도 HARA를 수행하여 안전 목표를 수립할 수 있도록 지원합니다.

 

■ 위험 식별 추상화의 장점:

• 유연성: 설계 단계 이전에 설계 세부 사항에 대해 정확한 정보가 없더라도 안전 목표 설정 가능.
• 효율성: 기능적 요구사항 정의와 안전 목표 도출 간의 병렬 작업 가능.
• 포괄성: 설계 세부 사항에 의존하지 않고, 모든 잠재적 위험 상황을 포괄적으로 평가 가능.

이러한 장점에도 불구하고 HARA가 갖는 설계 세부 사항의 비의존성은 다음과 같은 문제점을 내재하고 있습니다.

 

2-1. 문제점 #1: 위험 식별의 한계

HARA는 설계 세부 사항 없이 기능적 행동만으로 잠재적 위험을 식별하기 때문에, 설계 세부 사항에서 발생할 수 있는 잠재적 위험을 간과할 가능성이 있습니다.

• 하드웨어 및 소프트웨어 구성 요소 간의 상호작용에서 발생할 수 있는 위험을 평가하지 못할 수 있음.
• 특정 설계 구현에서만 발생하는 특이한 위험(예: 센서 융합 오류, 특정 알고리즘의 한계)을 고려하지 못함.

□ 예시:

• 자율주행 시스템에서의 센서 고장은 설계에 따라 위험 발생 확률과 제어 가능성이 크게 달라질 수 있음.
• 하지만 HARA 수행 시 설계 세부 사항이 없으면 이러한 고유한 위험을 식별하기 어렵다.
  
  

2-2. 문제점 #2: 보수적 또는 비현실적 ASIL 할당 가능성

설계 세부 사항에 의존하지 않으면 HARA는 위험에 대해 보수적 접근을 취하게 되어, 실제 설계 구현보다 높은 ASIL이 할당될 가능성이 있습니다.

• 과도하게 높은 ASIL 할당은 불필요한 개발 비용과 시간 증가로 이어질 수 있음.
• 반대로, 설계 세부 사항 없이 평가한 결과가 지나치게 낮은 ASIL로 이어질 경우 실제 위험을 충분히 관리하지 못할 위험이 있음.

□ 예시:

• 차량 제동 시스템의 경우, 설계 세부 사항(예: 중복 회로 설계, 고장 감지 메커니즘)이 추가된다면 ASIL 등급이 낮아질 수 있음.
• 그러나 설계 세부 사항이 없으면 해당 개선점을 반영하지 못하여 불필요하게 높은 ASIL이 할당될 수 있음.
  
  

2-3. 문제점 #3: 설계 단계에서의 위험 관리 부담

설계 세부 사항을 고려하지 않으면 HARA에서 정의된 안전 목표와 ASIL 할당이 설계 단계에서 재평가되어야 하는 경우가 많습니다.

• 설계 완료 후 HARA 결과를 재검토해야 하는 추가 작업이 발생.
• 설계 세부 사항이 초기 안전 목표와 충돌하거나, 기존 HARA 결과를 수정해야 할 경우 개발 일정에 지연을 초래할 수 있음.

□ 예시:

• 특정 센서 시스템에 대한 설계 세부 사항이 후속 단계에서 추가되면, 기존 HARA 결과가 부적합해져 재수행이 필요.
  
  

2-4. 문제점 #4: 복잡한 시스템에서의 적합성 부족

현대 차량 시스템은 소프트웨어, 하드웨어, 네트워크가 복잡하게 얽혀 있어, 설계 세부 사항 없이 모든 위험 요소를 포괄적으로 평가하기 어렵습니다.

• 설계 세부 사항이 없는 상태에서 복잡한 시스템의 상호작용과 에러 체인을 정확히 모델링하기 어려움.
• 시스템 레벨의 HARA가 세부 설계 단계에서 누락되거나 과소평가된 위험을 반영하지 못할 가능성이 있음.

□ 예시:

• 차량 간 통신 시스템(V2X)의 경우, 네트워크 보안 취약점은 설계 구현에서 발생할 가능성이 큼.
• 설계 세부 사항이 없으면 이와 관련된 위험 요소가 간과될 수 있음.
  
  

2-5. 문제점 #5: 설계 최적화 기회의 상실

HARA가 설계 세부 사항을 고려하지 않으면, 설계를 통해 위험을 줄이거나 완화할 수 있는 최적화 기회를 놓칠 가능성이 있습니다.

• 설계 세부 사항을 조기에 반영하지 못하면, 안전 목표를 달성하기 위해 과도하게 제한적인 설계를 강요할 수 있음.
• 설계 최적화 기회가 줄어들어 시스템 효율성과 비용 효율성이 떨어질 수 있음.

□ 예시:

• 설계 단계에서 중복 설계, 결함 격리 메커니즘 등의 개선이 가능하더라도, 초기 HARA에서 이를 고려하지 않으면 이러한 설계 변경의 필요성을 충분히 반영하지 못할 수 있음.
  
  

2-6. 문제점 #6: HARA와 설계 간의 피드백 루프 부족

설계 세부 사항의 비의존성은 HARA와 설계 간의 상호 피드백을 제한하여, 위험 관리의 일관성과 유연성을 저하시킬 수 있습니다.

• 설계 단계에서 발견된 새로운 위험 요소가 초기 HARA 결과와 충돌할 수 있음.
• HARA에서 도출된 안전 목표와 설계 구현 간의 불일치 가능성 증가.

□ 예시:

• 특정 설계 세부 사항(예: 센서 배치 변경)이 시스템의 동작 특성을 바꿔, 기존 HARA 결과와 모순되는 상황이 발생할 수 있음.

 

 

3. HARA 단계적 접근법: 기능적 행동에서 설계 세부 사항으로

HARA(Hazard Analysis and Risk Assessment)는 ISO 26262에서 자동차 시스템의 안전 목표(Safety Goals)와 이에 대응하는 ASIL(Automotive Safety Integrity Level)을 결정하기 위해 핵심적으로 수행되는 활동입니다. 단계적 접근법은 HARA를 초기 단계에서는 시스템의 기능적 행동만을 기반으로 수행하고, 설계 세부 사항이 확정되면 이를 반영해 위험 분석과 ASIL 평가를 업데이트하는 방법론입니다. 이는 ISO 26262의 체계적이고 반복적인 위험 평가 원칙에 부합하며, 개발 프로세스 전반에서 유연성과 정밀도를 제공합니다.

 

3-1. 단계적 접근법의 필요성

ISO 26262에서는 HARA가 시스템의 기능적 행동을 기반으로 수행될 것을 강조하지만, 설계 세부 사항이 확정되면 해당 정보를 추가로 반영하여 기존 평가를 재검토해야 합니다. 단계적 접근법이 필요한 이유는 다음과 같습니다:

 

(1) 초기 개발 단계에서의 한계

• 초기 단계에서는 설계 세부 사항이 확정되지 않아 위험 분석을 시스템의 기능적 설명에 의존해야 함.
• 이 시점에서는 잠재적 위험을 완전히 파악하기 어렵고, 안전 목표와 ASIL을 과도하게 보수적으로 설정할 가능성이 있음.

(2) 설계 세부 사항 반영의 중요성

• 설계가 확정되면 하드웨어, 소프트웨어, 및 시스템 간 상호작용에 의해 새로운 위험이 발생하거나 기존 위험의 특성이 달라질 수 있음.
• 설계의 구체적인 구현을 고려하면 더 현실적이고 최적화된 안전 목표와 ASIL을 설정할 수 있음.
  
  

3-2. 단계적 접근법의 주요 단계

(1) 초기 단계: 기능적 행동 기반 HARA 수행

ISO 26262의 지침에 따라, 초기 HARA는 시스템이 수행할 기능적 행동(functional behavior)과 이를 기반으로 하는 잠재적 위험 상황을 식별하는 데 초점을 맞춥니다.

• 기능 정의: 시스템이 수행할 주요 기능을 정의.
  예: 차량 제동 시스템의 경우 “제동 요청 시 차량을 감속”이라는 기능 정의.
• 잠재적 위험 식별: 기능적 실패가 초래할 수 있는 위험 상황을 분석.
  예: 제동 기능이 실패할 경우 “차량이 정지하지 못함”이라는 위험 발생.
• ASIL 할당: ISO 26262에서 정의한 Severity(심각도), Exposure(노출 확률), Controllability(제어 가능성)을 평가해 초기 ASIL 할당.

※ 제한사항: 설계 세부 사항이 없으므로, 특정 기술적 구현이나 구성 요소에 의존한 분석은 수행되지 않으며, 이에 따라 위험 분석이 보수적일 가능성이 있습니다.

 

(2) 설계 단계: 설계 세부 사항 반영 및 HARA 갱신

설계가 구체화되면, 초기 HARA 결과를 재평가하고 설계 세부 사항을 통합합니다. 이 단계는 ISO 26262의 변경 관리(Change Management) 원칙에 따라 수행됩니다.

• 설계 세부 사항 분석: 하드웨어 및 소프트웨어 구현, 시스템 인터페이스, 통신 프로토콜 등의 세부 설계 정보 수집.
  예: 제동 시스템의 경우 센서 유형, 제어 알고리즘, 신호 전달 메커니즘 등.
• 잠재적 위험 갱신: 설계 정보에 따라 새로운 위험 요소 추가 및 기존 위험 수정.
  예: 센서 고장이나 데이터 통신 실패로 인해 제동 시스템이 오작동할 가능성.
• ASIL 재평가: 설계 세부 사항이 위험 발생 확률(Exposure), 제어 가능성(Controllability)에 미치는 영향을 반영.
  예: 센서 중복 설계로 인해 제동 실패의 제어 가능성이 높아져 ASIL이 낮아질 수 있음.
• 안전 목표 및 요구사항 갱신: 변경된 위험 분석 결과를 바탕으로 안전 목표와 시스템 요구사항을 업데이트.

※ 추가 고려사항: 설계 단계에서 발생하는 변경사항을 주기적으로 반영하여 HARA를 갱신해야 하며, 설계 세부 사항의 변경이 HARA 결과에 미치는 영향을 지속적으로 평가해야 합니다.

 

 

4.HARA 단계적 접근법에 따른 ASIL 재조정 (ASIL Refinement)

HARA(Hazard Analysis and Risk Assessment)의 단계적 접근법은 초기에는 설계 세부 사항 없이 기능적 행동만으로 ASIL(Automotive Safety Integrity Level)을 결정하고, 설계 세부 사항이 구체화되면 이를 반영하여 ASIL을 재조정(Refinement)하는 프로세스를 말합니다. 

 

4-1. HARA 단계적 접근법에서 ASIL 재조정의 필요성

ASIL 재조정은 다음과 같은 상황에서 필요합니다:

• 설계 세부 사항이 확정되었을 때: 초기 HARA에서 반영하지 못한 설계적 특성과 기술적 제한 사항을 반영하기 위해.
• 설계 변경 또는 추가 요구사항 도입: 설계 수정이나 새로운 환경에서 시스템이 작동할 경우, 기존 ASIL이 부적합할 수 있음.
• 위험 요소 및 평가 조건의 변화: HARA 초기 단계에서 가정했던 조건이 설계에서 변경되거나 구체화되었을 때.
  
  

4-2. 단계적 접근법에 따른 ASIL 결정과 재조정 절차

(1) 초기 HARA 단계: 기능적 행동 기반 ASIL 결정

ISO 26262 Part 3, Clause 6.2에 따라, 초기 HARA는 설계 세부 사항 없이 시스템의 기능적 행동만으로 ASIL을 결정합니다.

• 위험 사건(Hazardous Event) 식별: 시스템 기능의 실패가 초래할 수 있는 위험 상황을 정의.
• 위험 평가 요소 분석:
  • Severity(심각도): 잠재적 사고의 심각성 평가.
  • Exposure(노출 확률): 시스템이 위험 상황에 노출될 확률.
  • Controllability(제어 가능성): 운전자 또는 시스템이 위험을 제어할 가능성.
• ASIL 초기 결정: 각 위험 사건의 평가 결과를 조합하여 초기 ASIL 할당.
  
  

(2) 설계 세부 사항 반영: ASIL 재조정

ISO 26262의 반복적 접근법에 따라, 설계 세부 사항이 구체화되면 기존 ASIL을 재평가하고 조정합니다.

• 설계 세부 사항 분석: 하드웨어/소프트웨어 아키텍처, 센서 구성, 제어 메커니즘 등 설계 특성을 분석.
• 위험 평가 갱신:
  • 설계 세부 사항이 기존 위험 사건에 미치는 영향을 평가.
  • 노출 확률(Exposure) 및 제어 가능성(Controllability)이 변경될 수 있음.
• ASIL 재조정:
  • 설계 개선 사항(예: 중복 설계, 결함 감지 메커니즘)이 기존 위험 사건의 ASIL을 낮출 수 있음.
  • 반대로, 새로운 설계적 결함이 발견되면 ASIL이 높아질 수 있음.

 

(3) ASIL 분해(ASIL Decomposition) 활용

ISO 26262-9:2018, Clause 5에 따라, 복잡한 시스템에서는 ASIL 분해를 통해 안전 요구사항을 독립적 요소로 나누고, 각 요소의 ASIL을 조정할 수 있습니다.

• ASIL 분해: 안전 목표를 독립된 하위 요구사항으로 분리하여 각 요소에 적절한 ASIL을 할당.
• ASIL 조정: 시스템 내 중복성이나 독립 경로를 활용하여 개별 요소의 ASIL을 낮춤(ASIL Tailoring).
• 예시: 자율주행 차량의 제동 시스템에서, 메인 제어 유닛은 ASIL D, 보조 유닛은 ASIL B로 할당.

 

 

5. ASIL 재조정 상황별 예상 시나리오

사례 1: 제동 시스템 설계 변경

초기 HARA 결과: (위험 사건) 제동 기능 실패로 인해 차량이 멈추지 못함. (초기 ASIL: ASIL D)

설계 반영 후:

• 새로운 설계에서 제동 시스템에 센서 중복성과 결함 감지 메커니즘이 추가됨.
• 제어 가능성이 향상되어 ASIL이 ASIL C로 조정.
  
  

사례 2: 환경 변화로 인한 노출 확률 변경

초기 HARA 결과: (위험 사건) 전방 충돌 방지 시스템의 고장 (초기 ASIL: ASIL C)

설계 반영 후:

• 차량이 주로 저속 운행 지역에서 사용되도록 환경이 변경됨.
• 노출 확률이 낮아져 ASIL이 ASIL B로 재조정.
  
  

사례 3: ASIL 분해를 통한 조정

초기 HARA 결과: 차량 스티어링 시스템 전체에 ASIL D가 할당.

설계 반영 후:

• 스티어링 시스템의 메커니즘을 전자 제어 유닛(ASIL D)과 기계식 백업(ASIL B)으로 분리.
• ASIL 분해를 통해 복잡성과 개발 비용 감소.

 

---

마치며...

초기 HARA(Hazard Analysis and Risk Assessment)는 설계 세부 사항 없이 시스템의 기능적 행동만을 기반으로 수행되므로, 위험 평가와 ASIL(Automotive Safety Integrity Level) 결정 과정에서 불확실성이 존재할 수밖에 없습니다. 이러한 불확실성은 시스템 설계와 환경 조건의 구체화에 따라 점차 해소될 수 있습니다. ISO 26262가 제시하는 HARA의 단계적 접근법은 초기 불확실성을 체계적으로 관리하고, 설계 세부 사항이 반영됨에 따라 위험 분석 결과를 갱신하는 강력한 프레임워크를 제공합니다.

 

단계적 접근법은 단순히 ASIL을 재조정하는 것에 그치지 않고, 시스템의 안전성을 현실적이고 효율적으로 확보하는 데 기여합니다. 이를 통해 불필요하게 높은 ASIL로 인한 개발 비용과 시간을 절감하면서도, 모든 잠재적 위험 요소를 충분히 관리할 수 있습니다. 결과적으로, HARA의 단계적 접근법은 기능 안전 확보를 위한 필수적인 도구임을 보여줍니다.