ISO 26262의 Proven in Use: 의미, 목적 및 필요성

 

ISO 26262는 자동차 기능 안전 표준으로, 차량 개발 과정에서 발생할 수 있는 위험을 최소화하기 위해 체계적 접근 방식을 제공합니다. 이 표준은 특정 안전 요건을 충족하기 위한 다양한 방법론을 제시하는데, 그중 하나가 Proven in Use입니다.

 

1. Proven in Use의 의미 

ISO 26262에서 정의하고 있는 Proven In Use의 의미는 다음과 같습니다. 참고로 추가적인 용어 정의는 별도로 작성한 포스팅을 참고하시면 됩니다. (참고: 2024.09.16 - ISO 26262: Vocabulary (Part 1), 기능안전 표준 용어 정리 (2018) - O ~ Q) 

3.115 사용 입증 논거(Proven in Use Argument)
사용 입증 논거는 후보(candidate, 3.16) 사용으로부터 얻은 필드 데이터(field data, 3.62) 분석에 기반하여, 해당 후보의 어떠한 고장(failure, 3.50)도 아이템(item, 3.84)의 안전 목표(safety goal, 3.139)를 저해할 가능성이 적용 가능한 ASIL(3.6) 요구사항을 충족함을 입증하는 증거를 의미합니다.

 

정리하면, Proven in Use는 시스템, 하드웨어, 또는 소프트웨어 컴포넌트가 과거의 운용 기록(operational history)을 통해 신뢰성과 안전성이 검증되었음을 입증하는 방법론입니다. ISO 26262에서는 이전 프로젝트나 실제 환경에서 충분히 사용된 경험을 바탕으로, 해당 컴포넌트가 현재의 안전 목표를 만족한다고 판단할 수 있는 근거로 사용합니다. Proven In Use는 이미 출시 되어 운영중인 제품과 매우 높은 수준의 공통성을 가지는 모든 유형의 제품에 적용할 수 있습니다.

 

2. Proven in Use의 목적과 필요성 

Proven in Use는 새로 개발하지 않고도 기존 컴포넌트를 안전하게 재활용(reuse)함으로써 개발 시간을 단축하고, 비용을 절감하며, 품질과 신뢰성을 확보하는 데 그 목적이 있습니다. 가령 신규로 시스템을 개발해야 하는 경우, 시간과 비용이 많이 들 뿐 아니라, 신규 개발된 시스템의 신뢰성을 검증하기 위한 추가적인 시험이 요구됩니다.

따라서 Proven in Use의 필요성은 다음과 같이 정리 해 볼 수 있습니다:

• 시간 단축: 개발 초기 단계에서 검증을 생략 가능.
• 비용 절감: 추가적인 테스트나 검증 절차 감소.
• 위험 관리: 과거 데이터에 기반한 안정성을 보장.

Proven in Use는 다음과 같은 상황에서 적용됩니다:

1. 기존 시스템이나 부품을 재사용할 때: 기존 제품이 유사한 기능과 환경에서 사용되었고, 그 운용 데이터가 충분히 확보된 경우.
2. 새로운 안전 요건이 기존 요건과 유사하거나 더 낮은 수준일 때: 예를 들어, 기존에 ASIL B를 충족했던 시스템이 동일한 요건을 요구하는 환경에서 재사용되는 경우.
3. 개발 리소스가 제한적인 경우: 신속한 출시가 요구되는 프로젝트에서 기존 검증된 부품 사용.

 

3. Proven in Use의 적용 방식

Proven in Use의 구체적인 적용 대상은 다음과 같습니다.

1. 이미 양산되어 실제 사용 중인 자동차 애플리케이션: 일부 또는 전체를 다른 타겟 시스템으로 이전할 의도가 있는 경우.
2. 이미 양산되어 운영 중인 전자 제어 장치(ECU): 추가 기능을 구현하려는 의도가 있는 경우.
3. ISO 26262 표준이 발표되기 이전부터 현장에서 사용된 아이템.
4. 다른 안전 관련 산업에서 사용된 아이템.
5. 자동차 응용 분야를 반드시 의도하지는 않은, 널리 사용되는 상용 제품(COTS).

그러나 위와 같은 대상에 해당한다고 모두 Proven In Use를 사용할 수 있는 것은 아닙니다. 따라서 위 대상들이 Proven In Use를 적용하기 위해서는 다음 몇가지 기준들을 충족해야 합니다.

• 변경되지 않은 명세(specification): 수집된 현장 데이터는 동일한 명세(specs)에서 발생한 데이터여야 함.
• 안전 무결성 수준(Safety Integrity Level, SIL)에 따라 요구되는 작동 시간을 충족해야 함.

또한 Proven In Use를 적용하기 위해서는 시스템 레벨, 하드웨어 레벨, 소프트웨어 레벨에서 조금씩 다른 데이터 수집과 확인을 필요로 합니다.

3-1. 시스템 레벨에서의 적용

• 운용 데이터 수집: 시스템이 실제 환경에서 사용된 데이터를 분석하여 오류 발생 빈도, 장애 기록, MTBF(평균 고장 간격) 등을 평가합니다. 즉, 다음 표에서 보는 바와 같이 ASIL에 따라 운용 데이터 수집에 대해 최소한의 운용기간이 확보되어야 합니다.

• 환경 조건 일치: 과거의 운용 환경과 현재 목표 시스템 환경이 유사해야 합니다.
• 안전 목표 확인: 기존 시스템의 안전 목표가 현재 요구되는 안전 목표를 충족하거나 초과했는지 검토합니다.

3-2. 하드웨어 레벨에서의 적용

• 부품의 신뢰성 데이터 활용: IC(집적회로), 센서 등 하드웨어 부품의 운용 데이터를 통해 고장률(FIT rate), 온도 및 전압 스트레스 데이터를 분석합니다. 즉, 다음 표에서 보는 바와 같이 ASIL에 따라 부품별 고장율을 만족시킬 수 있어야 합니다.

• 제조 이력 확인: 동일 제조 프로세스에서 생산된 부품이어야 합니다. 제조 변경이 있었다면 Proven in Use를 적용할 수 없습니다.
• 검증된 사용 시간: 하드웨어가 충분히 오랜 시간 동안 다양한 조건에서 사용되었는지 확인합니다.

3-3. 소프트웨어 레벨에서의 적용

• 소스 코드 분석: 과거 사용된 소프트웨어의 버그 발생 기록, 커버리지 데이터를 기반으로 신뢰성을 평가합니다.
• 버전 관리 이력: 기존 소프트웨어의 변경 이력이 잘 기록되어 있고, 과거 문제점이 수정되었는지 확인합니다.
• 테스트 결과 활용: 과거에 수행된 정적 분석, 동적 분석, 단위 테스트 결과를 활용해 적합성을 증명합니다.

 

4. Proven in Use 적용 시 유의 사항

• 데이터의 품질: Proven in Use의 신뢰도는 과거 데이터의 품질에 달려 있습니다. 데이터가 불충분하거나 신뢰할 수 없다면 적용할 수 없습니다.
• 운용 환경의 차이: 과거와 현재 시스템의 운용 환경이 크게 다르다면 Proven in Use를 적용해서는 안 됩니다.
• 컴포넌트 변경 여부: 하드웨어나 소프트웨어의 설계 변경이 이루어졌다면 새로운 검증이 필요합니다.
• 법적 요구사항 충족: Proven in Use가 법적 요구사항을 대체할 수는 없습니다. 예를 들어, 새로운 법규가 추가되었을 경우 기존 데이터만으로는 충분하지 않을 수 있습니다.
• 기록의 명확성: 데이터는 명확하고 투명하게 기록되어 있어야 하며, 이해관계자가 데이터를 신뢰할 수 있어야 합니다.

 

---

마치며...

Proven in Use는 기존 데이터와 검증된 경험을 활용해 개발 비용과 시간을 절감하는 효과적인 방법입니다. 하지만 적용 시 운용 데이터의 신뢰성과 환경 적합성을 철저히 검토해야 하며, 과거 데이터만으로 모든 안전 문제를 해결할 수 없다는 점을 명심해야 합니다. ISO 26262의 요구사항을 충족하는 동시에 적절한 검증 전략을 병행하여 적용한다면, 효율적이고 신뢰성 높은 시스템 개발에 기여할 수 있습니다.