FMEA에 기반한 ISO 26262 하드웨어 설계...

FMEA에 기반한 ISO 26262 하드웨어 설계 연구

* 인천대학교 공학대학원 전자공학과 석사과정 ([email protected])


A Study on ISO 26262 Hardware Design Based on FMEA

이상훈*

Sang Hun Lee*

ABSTRACT

In the development of the automobile industry, vehicles have been equipped with more and more electric/electronic devices, auto-makers, who could not neglect safety for this, begin to adapt safety concepts to electric/electronic devices in vehicles. In 2011, the automotive functional safety standard ISO(International Organization for Standardization) 26262 was enacted, and it was revised to the second edition in 2018. In this paper, standards and design methods are reviewed to understand the hardware design of ISO 26262:2018 2nd edition Part 5 revised in 2018. Also ISO 26262:2018 hardware design based on FMEA(Failure Mode and Effect Analysis), a safety analysis used in the hardware design stage is reviewed. As a result of deriving AP(Action Priority) by applying DFMEA(Design FMEA) to ISO 26262:2018 hardware design, it was confirmed that the safety analysis according to the severity, occurence, and detection level differs from the previous FMEA's RPN(Risk Priority Number) values,

which were analyzed with ambiguous numbers.

Key Words : ISO 26262, ASIL, FMEA, RPN, AP

1. 서론

자동차 산업에서 고객의 편의성을 높이는

개발이 지속적으로 이루어짐에 따라 자동차에

는 점점 많은 전기/전자 부품들이 장착되게

되었고, 고객의 편의성은 증대되었다. 하지만

그로인한 전기/전자 기기 작동 불량 및 오동

작에 대한 사고의 위험성 또한 증가하게 되었

다.

이를 간과할 수 없었던 자동차 업체들에

의해 세계적으로 자동차 전기/전자 시스템의

안전성 문제가 핵심쟁점으로 떠오르게 되었고


2011년 자동차 업체들과 자동차 부품 협력사

들이 참여하여 자동차 기능안전성 표준인 ISO

(International Organization for Standardi-

zation) 26262를 제정하게 된다(1).

그 후 ISO 26262는 2018년에 2판으로 개정

되었고, ISO 26262의 안전 분석에 활용되는

FMEA(Failure Mode and Effect Analysis)는

2019년에 AIAG(Automotive Industry Action

Group) FMEA 4판에서 AIAG-VDA(Verband der

Automobilindustrie) FMEA 1판으로 개정되게

되었다.

현재 ISO 26262 2판과 AIAG-VDA FMEA 1판

은 자동차 부품 개발 과정에 지속적으로 요구

되고 있다. ISO 26262는 유럽 자동차 메이커

를 중심으로 활발하게 적용되고 있으나 국내

에서는 적용 및 개발이 저조한 상황이다.

이에 본 연구에서는 ISO 26262:2018의

Part 5 하드웨어 설계에 맞게 설계연구를 진

행하며, 2019년 개정되었던 AIAG-VDA FMEA 1

판의 7-STEP 분석법을 활용하여 안전설계 연

구를 진행한다.

2. ISO 26262, FMEA 동향

2.1. ISO 26262의 개요

자동차 기능 안전표준인 ISO 26262의 공식

명칭은 'Road vehicle- Functional safety'이

며, 전기/전자 시스템, 하드웨어, 소프트웨어

로 구성된 전장부품(자동차에 쓰이는 전기/전

자 장치 시스템 따위를 설계, 제작하여 만든

부품)의 안전 관련 수명주기 동안 수행되는

모든 활동에 적용된다. ISO 26262는 차량 개

발 프로세스의 기획 단계에서부터 전기/전자

시스템의 적절한 안전 프로세스를 제공하여,

전장부품 리스크 방지를 위한 지침들을 다루

고 안전성을 확보하는데 그 목적이 있다(2)

.

2.1.1. ISO 26262 1판

ISO 26262는 총 10개의 Part와 43개의 요

구사항으로 구성되어 있다. Part 1은 '용어

정의', Part 2는 '기능 안전 경영시스템',

Part 3는 '개념 단계', Part 4는 '시스템 레

벨에서의 제품개발', Part 5는 '하드웨어 레

벨에서의 제품개발', Part 6는 '소프트웨어

레벨에서의 제품개발', Part 7은 '생산 및 운

영', Part 8은 '지원 프로세스', Part 9은

'ASIL 지향 및 안전성 분석', Part 10은 'ISO

26262 가이드라인'으로 구성되어 있다. Fig.

1은 ISO 26262의 1판 전체 구성도이다(3)

.

Fig. 1 Overall structure of the ISO 26262 1st

edition(4)

2.1.2. ISO 26262 2판

ISO 26262 표준은 2011년 제정된 이후 전

세계 자동차 개발에 적용되어 왔으며, 2018

년 12월에 2판이 개정되었다. 개정된 2판에

는 Part 11과 Part 12가 추가되었다. Part

11은 'ISO 26262를 반도체에 적용하기 위한

지침'이며 Part 12는 '모터사이클에 대한

ISO 26262 적용'이다.

또한 2판은 systematic failure와 random

hardware failure의 대응 설계를 위한 엔지

니어링 측면의 기술적인 요소들을 강화하는

방향으로 개정되었다. Fig. 2는 ISO 26262의

2판 전체 구성도이다(5)

.


Fig. 2 Overall structure of the ISO 26262 2nd edition(6)

2.2. ISO 26262 - ASIL등급

ASIL(Automotive Safety Integrity Level)

이란 자동차 안전 무결성 레벨로 자동차 시

스템 요소에서 고유한 안전 위험을 추상 분

류하는 것을 의미하며, 특정 위험을 피하기

위한 안전대책에 대한 등급이다. 안전 시스

템은 반드시 ASIL에 부합되어야 한다.

ISO 26262에서 개발아이템은 심각도(S:

severity), 노출 확률(E: probability of

exposure), 운전자, 타 운전자 혹은 보행자

등의 통제 및 가능성(C: controllability)

변수를 사용하여 ASIL등급을 결정한다.

Table 1 severity(S)

심각도(S) 등급

S0 S1 S2 S3

설명부상

없음

경상 및

가벼운

부상

심각하고

생명 위협

부상

생명 위협

부상,

치명적

부상

Table 2 exposure(E)

노출 확률(E) 등급

E0 E1 E2 E3 E4

설명 불가능

가능성

매우

낮음

가능성

낮음

가능성

중간

가능성

높음

Table 3 controllability(C)

제어 가능성(C) 등급

C0 C1 C2 C3

설명

일반적

제어

가능

간단한

제어

가능

정상적

제어

가능

제어

어려움

또는

불가능

Table 4 ASIL decision table

심각도

등급

노출

등급

제어 가능성 등급

C1 C2 C3

S1

E1 QM QM QM

E2 QM QM QM

E3 QM QM A

E4 QM A B

S2

E1 QM QM QM

E2 QM QM A

E3 QM A B

E4 A B C

S3

E1 QM QM A

E2 QM A B

E3 A B C

E4 B C D

ASIL은 Table 1의 심각도(S), Table 2의

노출 확률(E), Table 3의 제어 가능성(C)을

고려하여 Table 4에 따라 ASIL 등급을 결정

하게 된다. ASIL은 등급 결정표에 따라 A,

B, C, D 총 4등급으로 구분된다. ASIL에서 D

등급이 가장 리스크가 높은 등급이며, D등급

으로 갈수록 적용해야 하는 기법들이 더 강력

해진다. ASIL 등급이 QM(Quality Management)

일 경우에는 ISO 26262 요구사항이 없다(7)

.

2.3. FMEA 개요

FMEA는 신뢰성 방법론 분야에서 가장 흔

히 사용되고 잘 알려진 정성적, 귀납적인 고

장분석 기법이다. FMEA는 제품에 발생 가능

한 모든 잠재적 고장모드들을 선별하고 각

고장모드들이 상위 계층의 시스템에 미치는

영향과 원인을 분석한다. 그럼으로써 고장이

발생할 수 있는 가능성을 명시하고, 고장 발

생의 방지를 위해 설계 단계부터 위험요소를

추정하여 대책을 수립할 수 있도록 한다. 결


론적으로 문제 발생을 사전에 차단하기 위한

시스템 분석방법인 것이다(8)

.

2.3.1. AIAG FMEA 4판

개정 전인 AIAG FMEA 4판의 내용을 살펴

보고자 한다.

Fig. 3 AIAG FMEA 4th Design-FMEA form

Fig. 3는 기존 잠재적 고장 형태 및 영향

분석인 AIAG FMEA 4판 DFMEA(Design FMEA)양

식이다. 기존 FMEA의 분석 방법은 부품기능

과 요구사항, 고장모드를 확인하고 고장 영

향이 무엇인지, 어떠한 영향을 끼치는지 살

피고 원인을 도출한다. 그에 따라 심각도(S:

severity), 발생도(O: occurence), 검출도(D:

detection)를 도출하고, RPN(Risk Priority

Number)으로 순위를 메긴다. 그 후 예방과

대응이 어떻게 되는지 작성한다(9)

.

기존의 DFMEA는 고장 원인에 대한 예방활

동의 우선순위를 결정하기 위해 RPN을 사용

하였다. RPN은 3가지 위험요소인 심각도(S),

발생도(O), 검출도(D)의 곱으로 구한다.

그러나 기존 DFMEA의 RPN은 위험평가에

대하여 그다지 논리적이고 체계적인 척도로

인정받지 못하고 있다. 많은 전문가들이 RPN

의 단점 때문에 위험평가에 대한 RPN의 방법

론을 비판해 온 것이다. 예를 들어 RPN이 똑

같은 수치를 갖는다고 하더라도 전혀 다른

위험의 의미를 가질 수 있다는 점, 세 요소

의 평가 값을 곱하여 수치로 나타냄으로써

그 값이 절대적인 의미를 갖는 것으로 오해

를 불러일으킬 수 있다는 점 등의 의견을 내

세우며 비판의 목소리를 높여왔다(10)

.

2.3.2. AIAG-VDA FMEA 1판

AIAG-VDA FMEA 1판은 FMEA 매뉴얼에 대한

통합 필요성이 제기되어 미국과 독일의 협업

으로 개정되어져 2019년에 발표된 새로운

FMEA이다. AIAG FMEA 4판과 AIAG-VDA FMEA 1

판에서 DFMEA의 변경점을 알아보면 크게 3가

지로 정리할 수 있다.

첫 번째로 DFMEA의 분석법이 7-STEP으로

변경되었다. 기존에 차례대로 DFMEA 분석을

진행해왔던 AIAG FMEA 4판과 달리 AIAG-VDA

FMEA 1판은 DFMEA의 단계를 7-STEP으로 나누

어 분석을 최적화 했다.

다음으로 심각도(S), 발생도(O), 검출도

(D)의 기준이 변경되었다.

마지막으로 RPN이 삭제되며 새로운 우선

순위 기준인 AP(Action Priority)로 개정이

되었다. AP는 위험 우선순위가 아니고 행동

우선순위이며, 목표는 의도된 고장리스크를

줄이는 것이다. SOD의 계산 값의 수치로 표기

되었던 RPN과 달리 AP는 우선순위가 높으면

H(High), 우선순위가 중간이면 M(Medium), 우

선순위가 낮으면 L(Low)로 표기를 한다. Fig.

4는 AIAG-VDA FMEA 1판 설계 DFMEA의 새로운

양식이다(11)

.

Fig. 4 AIAG-VDA FMEA 1st Design-FMEA form


3. 하드웨어 개발

3.1. ISO 26262 하드웨어 개발

Fig. 5 Hardware level development reference phase model

Fig. 5는 ISO 26262에서 요구사항에 부합

하기 위한 하드웨어 레벨에서의 제품개발 프

로세스를 보여준다. 하드웨어 개발에 요구되

는 필요활동과 프로세스는 안전 요구사항에

일치하도록 계획되고 수행되어야 하며, 주어

진 참조 모델을 기반으로 하드웨어 제품개발

이 수행되어야 한다(12)

. 3장에서는 자동차용

카메라 하드웨어 설계 연구를 예시로 진행하

였으며, 5-7 ISO 26262 하드웨어 설계부분까

지 연구를 진행하였다.

3.1.1. 하드웨어 레벨에서의 제품개발

ISO 26262 하드웨어 레벨에서 제품개발

착수 시 고려해야 할 사항들을 체크하는 단

계이다. 이 단계에서는 하드웨어 개발의 개

별 하위단계 동안 기능안전 활동을 결정하고

계획하는 것이다. 또한 ISO 26262-8에 기술

된 필요한 지원 프로세스도 포함한다.

ISO 26262:2018 Part 5의 하드웨어 개발

의 경우는 자동차용 반도체 회사로부터 안전

자격이 인증된 반도체소자의 안전정보를 공

급받아 안전설계를 준수해가며 하드웨어 개

발을 진행하게 된다. 개발에 착수할 때 안전

등급과 기능에 맞는 차량용 반도체 수배를

진행하는 것이 선행으로 되어야 하는 것이

다.

3.1.2. 하드웨어 안전 요구사항 시방

하드웨어 안전 요구사항 시방 단계는 하

드웨어 안전 요구사항을 명시하는 것이다.

또한 기술 안전 요구사항으로부터 할당된 하

드웨어 안전 요구사항 HSR(Hardware Safety

Requirement)을 만족하여야 한다.

Fig. 6 Automotive camera hardware HSR example

Fig. 6는 ISO 26262 하드웨어 설계 진행

을 하기 위하여, 카메라 하드웨어 설계 전

필요한 하드웨어 안전 요구사항(HSR)을 작성

을 나타낸 도표이다.

3.2. ISO 26262 하드웨어 설계

하드웨어 설계에서는 하드웨어 아키텍처

설계와 하드웨어 상세 설계로 과정을 나눠서

다룬다. 하드웨어 아키텍처 설계에서 하드웨

어 상세 설계까지 하드웨어 안전 요구사항

시방을 기반한 내용으로 설계를 진행한다.

3.2.1. 하드웨어 아키텍처 설계

하드웨어 아키텍처 설계는 하드웨어 안전

요구사항 시방에서 정의한 안전 요구사항

(HSR)을 구현하여야 한다. 하드웨어 아키텍

처 설계는 하드웨어 상세 설계가 진행되기

전, 하드웨어 컴포넌트를 포함한 부품과의

상호 인터페이스로 구성하며 기능적 관점으


로 설계되어야 한다.

본 논문에서도 카메라 회로 상세 설계 전

입출력 인터페이스가 나타나도록 Fig. 7 아

키텍처 설계를 선행으로 진행하였다.

Fig. 7 Automotive camera architecture

3.2.2. 하드웨어 상세 설계

하드웨어 상세 설계는 전자회로 레벨에서

하드웨어 설계사항을 소자 간 연결로 나타낸

전기/전자 계통도라고 볼 수 있다.

Fig. 8은 아키텍처 설계를 바탕으로 한

카메라 상세 회로설계이며, 카메라 하드웨어

설계 중 이미지 센서 설계부분을 나타낸 것

이다. Fig. 8 회로도는 하드웨어 설계단계에

서 하드웨어 레벨에서의 제품개발을 위하여

ASIL 안전등급을 만족하는 자동차용 반도체

소자로 안전설계를 진행했으며, 하드웨어 안

전 요구사항 시방에서 작성된 하드웨어 안전

요구사항 HSR을 기반으로 하드웨어 설계를

진행한 것이다. 그리고 하드웨어 아키텍처

설계단계에서 진행한 아키텍처의 인터페이스

를 기반으로 설계한 회로도이다.

또한 하드웨어 상세 설계를 하며 중요하

게 생각할 것은 자동차의 동작 온도, 진동,

전자파 등 외부 환경 조건이다. 일반 전자제

품과는 달리 전장용 제품의 경우 동작 온도

범위가 매우 넓어 기구의 팽창, 반도체 동작

제한 등 기계적인 사항의 검토도 되어야 한

다(13)

.

Fig. 8 Automotive camera image sensor design

3.2.3. 안전 분석

안전 분석은 하드웨어 설계에서 고장의

원인과 결함의 영향을 파악하기 위해 수행하

며, 일반적으로 연역적 분석이나 귀납적 분

석을 사용한다. 할당된 ASIL 등급에 따라 요

구되는 분석방법은 표와 같다.

Table 5 Hardware design safety analysis

방법ASIL

A B C D

1 연역적 분석 O + ++ ++

2 귀납적 분석 ++ ++ ++ ++

연역적 방법으로는 FTA(Fault Tree Anal-

ysis)를 사용하며, 귀납적 분석으로는 FMEA

를 사용한다.

Table 5에서 “++”는 해당 방법이 식별

된 ASIL에 대해 매우 권장된다는 것을 나타

내고, “+”는 해당 방법이 식별된 ASIL에

대해 권장된다는 것을 나타낸다. “O”는 해

당 방법이 식별된 ASIL에 대해 권장사항이

없다는 것을 나타낸다(14)

.

3.3. DFMEA를 활용한 하드웨어 설계

하드웨어 설계 안전 분석은 연역적 분석

과 귀납적 분석으로 구성되어있다. 또한


Table 5를 보면 FMEA가 ASIL-A, B, C, D 모

든 등급 안전 분석에 필요한 요소라는 것을

알 수 있다.

따라서 FMEA 중 설계부분에 해당하는

DFMEA를 활용하여 하드웨어 설계를 진행하도

록 한다. 안전 분석에는 개정된 AIAG-VDA

FMEA 1판의 양식인 Fig. 4를 활용하여 7-STEP

의 단계로 하드웨어 설계 안전 분석을 진행

한다. 7-STEP은 STEP 1: 계획 및 준비 단계,

STEP 2: 구조분석 단계, STEP 3: 기능분석

단계, STEP 4: 고장분석 단계, STEP 5: 리스

크 분석 단계, STEP 6: 최적화 단계, STEP

7: 의사소통 단계로 구성되어 있다.

DFMEA 하드웨어 분석은 모든 소자에 대하

여 진행해야하며, 본 연구에서는 회로의 이

미지 센서와 Bead, Capacitor를 예시로

DFMEA STEP을 진행하였다.

3.3.1. STEP 1: 계획 및 준비

7-STEP 프로젝트 시작의 기초가 되는

STEP 1 계획 및 준비단계이다. STEP 1은

STEP 2의 기반을 조성하는 단계이다.

Fig. 9 Planning and preparation

Fig. 9은 STEP 1에 작성될 내용으로 DFMEA

의 계획 및 준비단계에 기본적으로 고려할

부분을 나타낸 단계이다.

3.3.2. STEP 2: 구조분석

STEP 2는 STEP 1에서 정의한 내용으로 구

조 분석하며 STEP 3의 기반을 조성하는 단계

이다. 기존 DFMEA의 품명만 나와 있던 형식

과 다르게 개정된 DFMEA에서는 인과관계를

명확히 파악하기 위해 상위 수준, 초점 요

소, 하위 수준으로 세분화 되었다.

Fig. 10 Structure analysis

Fig. 10은 자동차 카메라 설계를 활용한

DFMEA의 구조분석을 나타낸 부분이다. 이미

지 센서 회로설계를 예시로 DFMEA 구조분석

의 초점 요소에 이미지 센서 소자를 기준으

로 하여 작성하였다. 구조분석은 초점요소를

중점으로 구조분석 후, 하위 수준과 상위 수

준을 고려하여 분석한다. 예시의 하위단계

설계로 쓰인 R, L, C, Bead는 또 다른 초점

요소가 되어 구조분석이 이루어진다.

STEP 2 구조분석을 명확히 진행하기 위해

서는 BOM(Bill Of Materials) 레벨 구성도를

작성해 주는 것이 좋다. BOM 레벨 구성을 작

성하는 것은 상위 수준, 초점 요소, 하위 수

준의 범위 경계를 분명히 하고 구성 요소 간

의 관계를 명확히 파악할 수 있게 해주기 때

문이다.

Fig. 11은 구조분석을 명확히 하기 위해서

작성한 자동차 카메라 BOM 레벨 구성도이다.

Fig. 11 BOM level structure

3.3.3. STEP 3: 기능분석

STEP 3의 기능분석은 STEP 2에서 구조에

맞춰 분석을 진행한 결과로 제품/프로세스의


기능을 분석하는 단계이다.

Fig. 12 Function analysis

Fig. 12는 자동차 카메라 설계를 활용한

DFMEA의 기능분석을 나타낸 부분이다. 상위

수준과 하위 수준까지 초점 요소를 기준으로

기능분석을 진행한다는 점에서 기존 DFMEA와

차이가 있으며, 기능에 초점을 맞춰 분석을

진행하는 단계 특성상 제품 또는 하드웨어

소자에 대한 전문적인 이해가 중요한 단계이

다.

STEP 3의 기능분석을 체계적으로 진행하

기 위해서 제품 및 프로세스 기능들의 도식

화를 구성해주며 연관관계 분석과 Function

tree 분석을 이용한다.

Fig. 13 Relationship analysis

Fig. 14 Function tree analysis

Fig. 13은 자동차 카메라의 연관관계를

도식화 하여 분석한 것이며, Fig. 14은 자동

차 카메라를 활용한 Function tree 분석이

다. 기능분석을 원활히 할 수 있도록 도식화

를 진행한 것이다. 이를 활용하여 분석한

STEP 3의 기능분석은 STEP 4의 기반을 조성

해주는 단계이다.

3.3.4. STEP 4: 고장분석

STEP 4 고장분석 단계는 STEP 2 구조분

석, STEP 3 기능분석으로 확인된 초점 요소

와 상위 수준, 하위 수준을 매칭하는 단계이

다. STEP 4는 고장분석 3가지 항(상위 수준

요소 고장 영향(FE), 초점 요소의 고장 형태

(FM), 하위요소 고장 원인(FC))으로 이루어

져 있으며, 기존의 DFMEA와 큰 차이가 없고

오히려 특별특성 값이 사라지면서 간략화 되

었다.

Fig. 15 Failure analysis


DFMEA의 고장분석을 진행한 부분이며, 작성

된 심각도 점수는 하기 Table 6를 참고하여

구한다.

STEP 4 고장분석 단계가 정확히 분석이

되어야 DFMEA를 통한 개선이 이루어질 수 있

기 때문에 매우 중요하게 다뤄지는 단계이

며, STEP 5 및 양식에 고장들을 기록하는데

활용된다. Table 6는 STEP 4 고장분석에 사

용된 심각도(S)를 평가하는 기준이다.


Table 6 AIAG-VDA FMEA 1st severity evaluation standard

3.3.5. STEP 5: 리스크 분석

STEP 5의 리스크 분석은 예방관리와 검출

관리를 작성하고, 발생도(O)와 검출도(D)를

구한 후, 행동 우선순위(AP) 값을 도출하는

단계이다. STEP 5의 리스크 분석은 STEP 6

최적화의 기반을 조성하는 단계이다.

Fig. 16 Risk analysis


DFMEA의 리스크 분석을 작성한 부분이다.

STEP 5 리스크 분석에서 기존 DFMEA와 가장

큰 차이점은 RPN이 AP로 변경된 것이다. RPN

은 기존 DFMEA에서 많은 전문가들에게 '위험

평가에 대하여 논리적이지 못하고 체계적이

지 못하다'라는 비판을 받아 왔다. 그리하여

새롭게 개정된 DFMEA에서는 RPN 대신 AP 값

을 도출하는 것으로 개정되었으며, H, M, L

로 표시하여 조치 우선순위를 구별하게 되었

다. STEP 5에서는 앞서 STEP 4에서 진행해서

도출했던 심각도(S)의 값과 하기 Table 7과

Table 8을 기준으로 도출되는 발생도(O) 검

출도(D)를 구해서 Table 9의 표로 행동 우선

순위(AP)를 도출한다.

Table 7 AIAG-VDA FMEA 1st occurrence evaluation standard

Table 8 AIAG-VDA FMEA 1st detection evaluation standard


Table 9 AIAG-VDA FMEA 1st AP evaluation standard

3.3.6. STEP 6: 최적화

STEP 6의 최적화는 이전 STEP에서 진행한

DFMEA에서 분석한 내용을 최적화 하는 단계

이다. STEP 6 최적화 단계의 경우 리스크 경

감을 위한 필요 조치를 식별하며 실행 담당

자 및 기간을 설정한다. 개선 조치 실행과

문서화를 진행하며 실제 조치가 효과가 있는

지 검증하고, 조치 후 리스크를 재평가 하여

제품과 프로세서를 지속적으로 개선하는 단

계이다. 기존의 DFMEA와 개정된 DFMEA의 큰

차이점은 리스크가 발생했을 때 빨리 검출할

수 있는 체제를 마련하기 위하여 최적화의

양식을 바꿨다는 것이다.

Fig. 17 Optimization

Fig. 17은 자동차 카메라 설계를 활용하

여 DFMEA의 STEP 6 최적화 단계를 진행한 것

이다. 본 연구에서 진행한 카메라 하드웨어

설계의 이미지 센서 부분 최적화 안전 분석

결과 AP의 값을 LOW로 도출할 수 있었다. 그

결과로 ‘낮은 발생도와 낮은 검출도 등급을

가진 차량 필수 또는 편의 기능의 상실 저하

로 인해 낮은 우선순위’라는 것을 알 수 있

었다.

기존 DFMEA에서 애매한 수치로만 분석이

진행되었던 RPN의 수치와는 다르게 개정된

DFMEA STEP 6 최적화 단계의 AP 값은 심각도

와 발생도, 검출도에 따른 안전 분석이 달라

지는 경향을 보이는 것을 확인할 수 있었다.

또한 세부내용이 표시되는 AP로 인하여 상황

에 맞는 분석이 가능함을 확인하였다.

3.3.7. STEP 7: 의사소통

STEP 7에서는 DFMEA 완료 후 summary 형

태로 주요사항에 대해서 기록 관리를 하고

의사소통을 위한 단계이다. STEP 6까지 진행

한 부분에 대한 결과를 작성한 후 DFMEA의

내용을 의사소통하여, 팀과 함께 완성된 활

동의 개선점을 공유하는 단계이다(15)

.


4. 결 론

본 연구에서는 FMEA에 기반한 ISO 26262

하드웨어 설계에 대한 이해를 돕고자 표준

및 설계 방법에 대한 설명을 진행하였다. 자

동차 기능 안전표준인 ISO 26262 및 안전 분

석으로 사용되는 FMEA에 대한 동향을 파악했

고, 이를 활용하여 개정된 ISO 26262:2018

하드웨어 설계에 개정된 AIAG-VDA FMEA 1판

을 적용하여 하드웨어 설계 안전 분석을 진

행하였다. 자동차 카메라 하드웨어 설계를

예시로 ISO 26262: 2018 하드웨어 개발을 프

로세스에 맞게 진행 하였으며 개정된 FMEA

프로세스를 따라가며 개발 연구를 진행하였

다.

ISO 26262:2018 하드웨어 설계에 AIAG-VDA

FMEA 1판의 DFMEA STEP 7단계의 분석 단계를

밟으며 진행한 결과 설계뿐만 아니라 부품의

전체적인 흐름을 파악하기 용이했으며, 회로

설계의 심각도, 발생도, 검출도로부터 AP를

도출한 결과 ‘낮은 발생도와 낮은 검출도

등급을 가진 차량 필수 또는 편의 기능의 상

실 저하로 인해 낮은 우선순위’라는 결과를

도출할 수 있었다. 부정확한 불량률과 애매

하게 서류상의 형식상 수치로 분석이 진행되

었던 기존 DFMEA의 RPN 수치와는 다르게 개

정된 DFMEA의 AP 결과 값은 심각도와 발생

도, 검출도에 따른 안전 분석이 달라지는 경

향을 보이는 것을 확인할 수 있었다. 또한,

세부내용이 표시되는 AP로 인하여 상황에 맞

는 분석이 가능함을 확인하였다. 이로인해

안전 분석을 진행하는데 AP를 통한 안전 분

석 도출이 하드웨어 설계뿐만 아니라 제품

개발을 진행하는 데 도움이 될 수 있을 것이

라 생각한다.

하지만 전체적인 부품의 흐름을 따르는

DFMEA라서 가장 하위 개념인 하드웨어 수동

소자에 대한 DFMEA 분석은 부족한 부분이 있

었다. 또한 새로 개정된 AP 개념도 결국 심

각도, 발생도, 검출도의 조합으로 결정되는

사항으로 기존의 틀을 크게 벗어나지 못했다

는 것에 아쉬운 부분이 있었다. 앞으로 이에

대한 연구가 보완이 되어야 할 것으로 사료

된다.

ISO 26262가 개정된 후 많은 시간이 흘렀

으나, 국내 자동차 업계에는 기능 안전이라

는 개념이 아직 생소한 실정이다. 안전성보

다는 기능성과 가격에 초점을 두고 제품개발

을 해온 우리나라 업체들에게는 아직도 낯선

분야임이 분명하다. 또한, 2019년에 새로 개

정된 AIAG-VDA FMEA 1판은 ISO 26262:2018

2판이 나온 뒤에 새로 개정되다보니 현실적

으로 국내 자동차 업계에서 ISO 26262에 적

용이 힘든 실정이다.

앞으로 우리나라 자동차 시장에서도 ISO

26262를 적용한 제품을 지속적으로 요구할

것이며, 국내 자동차 업계가 더욱더 성장하

기 위해서는 ISO 26262의 가이드를 따르며

기능 안전에 대한 개발을 우선시해야 할 것

이다. ISO 26262 제품 개발 프로세스가 부족

한 우리나라 자동차 업계에서 개발되는 부품

의 하드웨어 개발에 본 연구가 도움이 되기

를 희망한다. 향후 ISO 26262 기능 안전 프

로세스가 타 분야, 타 아이템에 활용이 된다

면, 전기/전자 기기들의 오동작과 사고에 대

한 위험과 사고가 많이 줄어들 것이라 사료

된다.

참고문헌

1. 우경일, 석민진, "ISO 26262에서 요구하는

안전 활동 관리(Safety Activity Manage-

ment) 방안 연구", 전자공학회지, p. 449,

2013.

2. 김병철, 강성춘, 김동규, "자율주행 안전

성 확보를 위한 ISO 26262 자동차 기능 안

전 실행 가이드", (주)에이디에스스퀘어

출간, p. 40, 2020.

3. 김병철, "차량용 기능 안전 ISO 26262 표

준과 자동차산업의 대응", 전자공학회지


40(5), pp. 21-23, 2013.

4. ISO 26262-1:2011(en) Road vehicles - Functional safety - Part 1: Vocabulary, ISO web site,

https://www.iso.org/obp/ui/#iso:std:iso:26262:- 1:ed-1:v1:en5. ISO 26262 제2판 주요 개정 내용 및 의미,

automotive electronics magazine 사이

트, 2018년 01월호 지면기사,

http://www.autoelectronics.co.kr/article/article View.asp?idx=26546. ISO 26262-1:2018(en) Road vehicles - Functional

safety - Part 1:Vocabulary, ISO web site, https://www.iso.org/obp/ui/#iso:std:iso:26262:- 1:ed-2:v1:en7. 김병철, 강성춘, 김동규, "자율주행 안전



출간, pp. 72-73, 2020.

8. 이준혁, "해상탈출용 구명정 이탈장치의

FMEA 시스템 적용에 관한 연구", 석사학위

논문, 부경대학교 산업대학원, pp. 6-7,

2015.

9. 김재철, 정환진, "무기체계 설계품질 향상

을 위한 D-FMEA 적용방안", 한국경영과학

회 학술대회논문집, p. 5646, 2016.

10. 백명식, "자동차 안전무결성 수준(ASIL)

에 기초한 FMEA 위험평가에 대한 연구",

박사학위 논문, 부경대학교 대학원, pp.

1-2, 2016.

11. 정기승, "[고숙련] 신뢰성관리를 위한

VDA FMEA 개정 실무과정", 한국품질재단,

pp. 21-48, 2020.

12. 김병철, 김성수, 조진희, "ISO 26262 기

본 실무 가이드 - ISO 26262 FUNDMENTAL

TECHNICAL GUIDE", 한국품질재단, p. 163,

2012.

13. 김병철, 강성춘, 김동규, "자율주행 안전



출간, pp. 111-119, 2020.

14. 김병철, 김성수, 조진희, "ISO 26262 기

본 실무 가이드 - ISO 26262 FUNDMENTAL

TECHNICAL GUIDE", 한국품질재단, p. 173,

2012.

15. 정기승, "[고숙련] 신뢰성관리를 위한

VDA FMEA 개정 실무과정", 한국품질재단,

pp. 25-134, 2020.

Date post:	10-Mar-2021
Category:	Documents
Upload:	others
View:	14 times
Download:	0 times

FMEA에 기반한 ISO 26262 하드웨어 설계...

Documents