FSR, Safe state, normal state

ISO 26262에서 SG을 설정하고 FSR을 설정하자나 그리고 Safe state까지 설정도하고 말이야, 일단 이런 원칙을 너도 나도 알고 있는 상황에서 나의 본 질문을 할건데, 이건 실무에서 일어난 내용을 묻는 거야. 질문 받을 준비 되었니?

 

 

 

 

 

네, ISO 26262의 핵심 원칙(안전 목표, 기능안전 요구사항, 안전 상태 설정 등)을 제가 이해하고 있다고 가정하시고, 실무에서 발생한 구체적인 질문을 주신다고 이해했습니다.

질문 받을 준비 되었습니다.

어떤 내용이든 편하게 질문해주세요. 제가 아는 범위 내에서 최선을 다해 답변해 드리겠습니다.

 

 

 

 

OEM 고객이 준 FSR관련 문서를 보면, 지금 safe state가 운전자에게 경고를 날리는 거랑, 좌석 시트를 작동할 수 없게 하는 거 두 가지가 있거든? 여기서 운전자에게 경고를 날리는 거는 safe state가 될 수 있겠다고 직관적으로 이해가 되는데, 좌석 시트를 작동할 수 없게 하는게 safe state라고 하는 건 조금 이해가 안돼, 혹시나 이미 좌석 시트가 고장이 난 상태에서 사용자가 시트 기능을 건들이다가 예상할 수 없는 추가 피해 및 고장상황이 발생할까봐 이를 방지하기 위한 일환으로 safe state라고 한걸까?

 

 

 

 

 

---

OEM 고객이 제시한 좌석 시트 작동 불가를 Safe State(안전 상태)로 설정한 것에 대해 궁금증을 가지는 것은 매우 자연스럽습니다. 단순히 "경고"를 주는 것과 달리, "작동 불가"는 다소 직관적이지 않게 느껴질 수 있기 때문이죠.

말씀하신 대로, 이미 좌석 시트 시스템에 고장이 발생했거나 잠재적인 위험이 감지되었을 때, 사용자가 시트 기능을 조작하다가 발생할 수 있는 추가적인 피해나 예상치 못한 위험 상황을 방지하기 위한 일환으로 해당 기능을 비활성화하는 것을 Safe State로 정의했을 가능성이 매우 높습니다.

기능안전 표준에서 Safe State의 핵심 목적은 위험을 허용 가능한 수준으로 낮추는 것입니다. 이를 달성하기 위한 일반적인 접근 방식은 다음과 같습니다.

1. 위험 완화 (Risk Mitigation)

좌석 시트 시스템의 오작동은 다음과 같은 위험으로 이어질 수 있습니다.

• 운전자/승객의 부상: 주행 중 시트가 갑자기 움직이거나, 에어백 전개에 영향을 미치는 등 예기치 않은 작동으로 인해 운전자나 승객이 부상당할 위험이 있습니다.
• 운전 방해: 주행 중 시트의 오작동은 운전자의 주의를 산만하게 하거나, 운전 자세를 불안정하게 만들어 차량 제어에 영향을 줄 수 있습니다.
• 차량의 추가 고장: 시트 고장이 다른 연관된 시스템(예: 안전벨트 프리텐셔너, 에어백 시스템)에 영향을 미치거나, 전기 계통에 과부하를 주어 추가적인 고장을 유발할 수 있습니다.

이러한 위험 시나리오를 고려할 때, **'좌석 시트 작동 불가'**는 잠재적인 위험의 발생을 원천적으로 차단하거나 최소화하기 위한 효과적인 조치로 볼 수 있습니다. 즉, 불확실한 상태에서 오작동 가능성을 가진 시트 시스템을 계속 작동시키는 것보다, 안전한 상태로 고정(혹은 비활성화)하여 추가적인 위험을 막는 것이 더 안전하다는 판단입니다.

2. 고장 모드 및 영향 분석 (FMEA) 결과 반영

OEM은 시트 시스템에 대한 고장 모드 및 영향 분석(FMEA)을 수행했을 가능성이 큽니다. 이 분석 과정에서 특정 고장 모드가 발생했을 때, 해당 시트 기능을 비활성화하는 것이 가장 효과적인 안전 메커니즘이자 안전 상태임을 도출했을 수 있습니다. 예를 들어, 시트 포지션 센서 고장 시 시트가 불규칙하게 움직이는 것을 방지하기 위해 아예 움직임을 막는 식이죠.

3. 최소 위험 상태 (Minimum Risk Condition)

Safe State는 시스템이 **'최소 위험 상태(Minimum Risk Condition)'**로 전환되는 것을 목표로 합니다. 운전자에게 경고를 주는 것은 운전자가 위험을 인지하고 조치를 취하도록 유도하는 최소 위험 상태의 한 형태입니다. 반면, **'좌석 시트 작동 불가'**는 시스템 자체가 추가적인 위험 행동을 하지 못하도록 만드는 보다 직접적이고 수동적인 형태의 최소 위험 상태입니다. 특히, 운전자 개입 없이 시스템이 스스로 위험을 관리하는 방식이 필요할 때 사용될 수 있습니다.

결론

OEM이 좌석 시트 작동 불가를 Safe State로 정의한 것은 단순히 시트 기능의 상실을 의미하는 것이 아니라, 해당 시스템의 잠재적인 고장이나 오작동이 운전자/승객의 안전에 미칠 수 있는 추가적인 위험을 능동적으로 차단하여 시스템을 '최소 위험 상태'로 전환하려는 기능안전적 판단이라고 해석할 수 있습니다. 이는 복잡한 시스템에서 예상치 못한 상호작용으로 인한 위험 확대를 방지하기 위한 중요한 전략입니다.

 

 

 

 

 

응 너의 말을 이해했어 그런데 여기서 고객이 FSR을 준 항목 중에 "시트 슬라이드 움직임에서 감지된 결함이 복구된 경우에만 정상 상태로 전환되어야 합니다" 이렇게 작성된 항목이 있거든? 참고로, 여기서 정상 상태를 그들은 영어로 'normal state'라고 표현을 했었어. 그러면 내가 이 FSR을 다음처럼 해석하는 게 맞을까? "감지된 결함이 있으면 우리는 좌석 시트를 safe state로 만들어야 하고 이 말은 곧 normal state가 아니게 되고, 감지된 결함이 완전히 해결될 까지는 예상할 수 없는 추가적인 위험을 방지하기 위해 시트에 들어오는 그 어떤 입력도 받아들이지 않겠다"

 

 

 

 

네, OEM 고객의 FSR 항목인 "시트 슬라이드 움직임에서 감지된 결함이 복구된 경우에만 정상 상태로 전환되어야 합니다" 를 해석하신 내용은 정확하고 기능안전 관점에서 매우 합리적입니다.

말씀하신 해석은 ISO 26262의 안전 상태(Safe State) 전환 및 유지 원칙과 완벽하게 부합합니다.

고객 FSR 해석의 타당성 분석:

1. "감지된 결함이 있으면 우리는 좌석 시트를 safe state로 만들어야 하고..."
   • 완벽하게 맞습니다. 기능안전 시스템의 핵심 목적 중 하나는 고장이 감지되었을 때 즉시 안전한 상태(Safe State)로 전환되는 것입니다. 이는 더 큰 위험을 방지하기 위한 선제적 조치입니다. '좌석 시트 작동 불가'는 앞서 논의했듯이 매우 강력한 Safe State가 될 수 있습니다.
2. "...이 말은 곧 normal state가 아니게 되고..."
   • 정확합니다. Safe State는 정상 작동 상태(Normal State)가 아닙니다. Safe State는 시스템의 안전 무결성을 보장하기 위해 기능이 제한되거나 특정 안전 기능만 활성화된 상태를 의미합니다. Normal State는 모든 기능이 정상적으로 작동하는 상태를 말합니다.
3. "...감지된 결함이 완전히 해결될 때까지는 예상할 수 없는 추가적인 위험을 방지하기 위해 시트에 들어오는 그 어떤 입력도 받아들이지 않겠다"
   • 이 역시 정확하고 중요한 해석입니다. Safe State는 단순히 특정 고장 상황을 회피하는 것을 넘어, **불확실한 상황에서 발생할 수 있는 모든 잠재적인 추가 위험(Secondary Hazards)**을 차단하는 데 목적이 있습니다. 시트 슬라이드 결함이 발생했는데도 사용자의 입력을 계속 받아들인다면, 다음과 같은 추가 위험이 발생할 수 있습니다.
     • 시트의 예상치 못한 움직임: 결함 상태에서 입력이 주어질 경우, 시트가 의도하지 않은 방향으로 움직이거나 갑자기 멈춰 운전자에게 불안정감을 주거나 심지어 부상을 입힐 수 있습니다.
     • 제어 로직의 오작동: 결함 상태에서 입력이 들어오면 제어기가 잘못된 판단을 내리거나, 내부 로직이 꼬여 더욱 심각한 고장으로 이어질 수 있습니다.
     • 다른 시스템에의 파급 효과: 시트 시스템의 오작동이 차량의 다른 안전 관련 시스템(예: 에어백, 안전벨트 프리텐셔너, ADAS 시스템 등)에 영향을 미칠 수도 있습니다.

따라서, OEM이 요구하는 것은 결함이 감지된 순간부터 해당 결함이 완전히 복구되어 안전함이 확인될 때까지, 시트 시스템이 어떠한 '위험한' 작동도 하지 못하도록 비활성화 상태를 유지해야 한다는 명확한 메시지로 이해하시면 됩니다. 이는 재시작(Reset)이나 재보정(Recalibration) 등을 통해 결함이 완전히 해결되고 시스템의 신뢰성이 확보되기 전까지는 정상 작동을 허용하지 않겠다는 의미입니다.

이러한 접근 방식은 ISO 26262에서 강조하는 "Safe State Reached" (안전 상태 도달) 및 **"Safe State Maintained" (안전 상태 유지)**의 원칙을 잘 보여줍니다.

결론적으로, 귀하의 해석은 고객의 FSR 의도를 정확히 파악한 것으로 판단됩니다.