ISO 26262 차량 기능안전 HARA분석 및 Safety Goal 정의

Hazard에서 Safety Goal까지: Medini 기반 기능안전 분석 접근

Introduction

기능안전(Functional Safety)은 차량 시스템의 오동작으로 인해 발생할 수 있는 위험을 분석하고 이를 허용 가능한 수준으로 관리하기 위한 개발 접근 방식이다. 최근 차량은 자율주행 및 소프트웨어 중심 구조로 빠르게 변화하고 있으며, 이에 따라 시스템 오류가 실제 안전 문제로 이어질 가능성 또한 증가하고 있다.

이러한 이유로 자동차 산업에서는 차량 전기·전자(E/E) 시스템의 안전성을 체계적으로 개발하고 검증하기 위한 기준으로 ISO 26262를 폭넓게 적용하고 있다. 특히 HARA(Hazard Analysis and Risk Assessment)는 차량 기능의 오동작으로 인해 발생할 수 있는 위험 상황을 분석하고, 위험 수준에 따라 필요한 안전 목표와 ASIL을 결정하는 단계로 활용된다. 이를 통해 시스템 수준에서 고려해야 하는 안전 요구사항을 정의하고 이후 개발 단계와 연결할 수 있다.

최근 기능안전 개발에서는 요구사항과 안전 분석 결과를 연계하여 관리하는 모델 기반(Model-Based) 접근 방식이 확대되고 있다. Ansys Medini는 이러한 모델 기반 접근 방식을 지원하는 플랫폼으로 HARA, FMEA, FTA 및 시스템 아키텍처 간의 연결 관계를 관리하는 데 활용되고 있다.

[그림 1] Ansys Safety Workshop

HARA(Hazard Analysis and Risk Assessment) 개요

HARA(Hazard Analysis and Risk Assessment)는 차량 시스템(Item)에서 발생할 수 있는 위험상황(Hazardous Event)을 분석하고, 이에 필요한 Safety Goal과 ASIL을 결정하기 위한 기능안전 분석 절차이다. 일반적으로 시스템 오동작(Malfunctioning Behavior)으로 인해 어떤 위험이 발생할 수 있는지를 확인하고, 해당 위험 수준에 따라 필요한 안전 요구사항을 정의하는 과정으로 활용된다.ISO 26262에서는 위험 사건 평가를 위해 Severity(심각도), Exposure(노출도), Controllability(제어 가능성)의 세 가지 요소를 사용하며, 이를 기반으로 시스템에 필요한 안전 수준을 결정하도록 구성되어 있다.

• Severity(S): 잠재적 사고로 인한 부상 정도를 평가
• Exposure(E): 해당 상황이 발생할 가능성 또는 노출 빈도
• Controllability(C): 운전자 또는 주변 사람이 위험 상황을 제어할 가능성

이 세 가지 요소를 기반으로 ASIL이 결정되며, 해당 위험을 완화하기 위한 Safety Goal이 정의된다. 일반적으로 ASIL은 QM(Quality Management), ASIL A, B, C, D 단계로 구분되며, ASIL D가 가장 높은 수준의 안전 요구사항을 의미한다.

[그림 2] ISO 26262 Part 3 Annex B의 Exposure 평가기준 예시

[그림 3] HARA 위험도평가 및 ASIL 결정 기준

Hazard 식별과 운영 상황 정의

Hazard는 하나의 원인만으로 발생하기보다는 다양한 시스템 오동작과 운용 상황이 결합되면서 발생할 수 있다. 즉 차량 기능이 정상 상태와 다르게 동작하거나, 필요한 기능이 수행되지 않을 경우 실제 위험 상황으로 이어질 가능성이 존재한다.

예를 들어 차량의 조향, 제동 또는 잠금 기능에서는 다음과 같은 오동작 상황을 고려할 수 있다.

• 필요한 시점에 잠금 기능이 동작하지 않음
• 잠금 상태가 의도치 않게 해제됨
• 잠금이 완전히 수행되지 않음

이러한 오동작은 특정 운용 상황(Operational Situation)과 결합되었을 때 실제 Hazardous Event로 이어질 수 있다. 예를 들어 고속 주행 중 조향 또는 잠금 기능 이상이 발생할 경우, 운전자는 차량을 정상적으로 조작하기 어려워질 수 있으며 사고 위험 또한 증가할 수 있다.

운영 상황은 차량이 실제 사용되는 환경 조건을 의미하며, 일반적으로 다음과 같은 요소들을 포함한다.

• 도로 유형(Road Type)
• 차량 속도(Vehicle Speed)
• 기상 조건(Weather Condition)
• 노면 상태(Road Surface)
• 교통 환경(Traffic Environment)

HARA에서는 이러한 운영 상황과 오동작을 조합하여 Hazardous Event를 정의하고, 각 상황별 위험도를 평가하게 된다.

[그림 4] Ansys Safety – 기능안전·SOTIF·사이버보안 관점의 Hazard 개념

Guideword 기반 오동작 분석

HARA 수행 과정에서는 시스템 기능의 오동작을 보다 효율적으로 도출하기 위해 HAZOP(Hazard and Operability Study) 기반의 Guideword 분석 방식을 활용할 수 있다. 일반적으로 기능(Function)에 대해 “동작하지 않음(No Function)”, “의도하지 않은 동작(Unintended Function)”, “기능 손실(Loss Function)”과 같은 Guideword를 적용하여 발생 가능한 오동작 상황을 분석하게 된다.

Medini에서는 Guideword Template을 기반으로 분석 항목을 생성할 수 있으며, 기능 모델(Function Model)에 정의된 시스템 기능과 연계하여 오동작 시나리오를 구성할 수 있다. 이를 통해 분석자는 단순 경험에 의존하기보다 일정한 기준에 따라 잠재적인 Hazard를 도출할 수 있으며, 기존 프로젝트의 고장 사례나 Hazard Collection 정보 또한 함께 활용 가능하다.

[그림 5] Medini 기반 Guideword Analysis 생성 및 Template 구성 예시

Risk Assessment와 ASIL 도출

Risk Assessment 단계에서는 각 Hazardous Event에 대해 Severity(S), Exposure(E), Controllability(C)를 기반으로 위험 수준을 평가하게 된다. 평가 결과에 따라 ASIL이 결정되며, 이후 시스템 수준의 Safety Goal 정의 단계로 연결된다.

예를 들어 고속 주행 중 조향 기능 이상이 발생하는 상황은 Severity, Exposure, Controllability 항목 모두 높은 수준으로 평가될 가능성이 있으며, 높은 ASIL 등급으로 이어질 수 있다.

Medini에서는 이러한 HARA 평가 항목을 Table 형태로 관리할 수 있으며, ISO 26262 Part 3 Annex B에서 제시하는 평가 기준 기반의 HARA 분석 환경을 지원한다. 또한 도출된 결과는 이후 Functional Safety Requirement(FSR), Technical Safety Requirement(TSR) 및 기타 안전 분석 결과와 연계하여 관리할 수 있다.

[그림 6] ISO 26262 Part 3 Annex B 기반 HARA 분석 예시 및 Medini 화면

Safety Goal과 모델 기반 기능안전 접근

Safety Goal은 HARA 수행 결과를 기반으로 정의되는 차량 수준의 최상위 안전 요구사항이다. 일반적으로 시스템 오동작으로 인해 발생 가능한 위험 상황을 방지하거나 완화하는 방향으로 정의되며, 이후 기능안전 개발 과정의 기준으로 활용된다.

최근 기능안전 개발에서는 HARA 분석 결과와 Safety Goal, 요구사항 및 시스템 구조 간의 연결 관계를 함께 관리하는 모델 기반(Model-Based) 접근 방식이 확대되고 있다. 특히 Medini에서는 Hazardous Event와 Safety Goal 간의 연계 관계를 Matrix 형태로 관리할 수 있으며, 분석 결과 변경 시 관련 항목을 함께 확인할 수 있다. 또한 도출된 Safety Goal은 이후 FSR(Function Safety Requirement), TSR(Technical Safety Requirement) 및 시스템 아키텍처와 연계되어 기능안전 개발 과정 전반에 활용될 수 있다.

[그림 7] Medini 기반 HARA Matrix 및 Safety Goal 연계 예시

맺음말

HARA는 차량 시스템의 오동작으로 인해 발생 가능한 위험 상황을 분석하고, 이를 기반으로 Safety Goal과 ASIL을 정의하기 위한 기능안전 분석 과정이다. 최근 차량이 소프트웨어 중심 구조로 빠르게 변화하면서 기능안전 분석의 중요성 또한 지속적으로 확대되고 있다.

특히 모델 기반 기능안전 접근 방식은 HARA 분석 결과와 요구사항, 시스템 구조 간의 연결 관계를 보다 효과적으로 관리할 수 있어 실제 개발 환경에서도 활용 범위가 점차 확대되고 있다. 향후 전동화 및 자율주행 기술이 더욱 발전함에 따라, 체계적인 기능안전 분석과 모델 기반 안전 개발 환경의 중요성은 더욱 커질 것으로 예상된다.

참고자료

• [TAE SUNG S&E TECH SUMMIT 2026] TSTS2026 자동차/모빌리티 트랙 발표자료 - 자동차 기능안전 안전분석을 위한 Medini를 활용 사례