안전분석에 대한 Confirmation review진행은 어떻게?

그러면 안전분석 FMEA, FTA 등에 대해 Confirmation review를 하려고 할 때, 어떤 문제의식을 가지고 검토를 해야하는지 알려줘

 

 

 

 

---

안전 분석의 핵심인 FMEA (Failure Mode and Effects Analysis)와 FTA (Fault Tree Analysis)는 기능안전 개발에서 필수적인 활동입니다. 이 두 분석에 대한 Confirmation Review는 단순히 체크리스트를 확인하는 것을 넘어, 분석의 깊이, 정확성, 그리고 안전 목표 달성 기여도를 확인하는 데 중점을 두어야 합니다.

아래에서는 FMEA와 FTA 각각에 대해 Confirmation Review 시 가져야 할 문제의식을 상세히 설명해 드리겠습니다.

---

1. FMEA (Failure Mode and Effects Analysis) Confirmation Review 시 문제의식

FMEA는 잠재적 고장 모드를 식별하고 그 영향을 평가하여 시스템의 강건성을 높이는 데 활용됩니다.

---

1.1. 범위 및 깊이의 적절성

• "분석 범위가 기능안전 요구사항(FSR, TSR)과 ASIL에 비례하여 충분히 포괄적인가?"
  • 모든 안전 관련 기능 및 엘리먼트가 FMEA 범위에 포함되었는지, ASIL이 높은 부분은 더 깊이 있게 분석되었는지 확인해야 합니다.
  • 시스템, 소프트웨어, 하드웨어 각 수준에서 FMEA가 적절한 상세도로 수행되었는지 점검해야 합니다. 예를 들어, HW FMEA에서 모든 안전 관련 핀과 내부 블록이 고려되었는가?
• "분석 깊이가 불필요하게 깊거나 얕지는 않은가?"
  • 너무 상세하여 비효율적이거나, 너무 추상적이어서 고장 모드의 영향을 명확히 파악하기 어려운 경우는 없는지 확인해야 합니다.

1.2. 고장 모드의 정확성 및 포괄성

• "식별된 고장 모드들이 현실적이고 발생 가능한가?"
  • 모든 잠재적인 고장 모드(예: 기능 없음, 부분 기능, 의도치 않은 기능, 잘못된 값, 간헐적 동작 등)가 충분히 고려되었는지, 특히 안전에 치명적인 고장 모드가 누락되지 않았는지 확인해야 합니다.
  • 엘리먼트의 기능적 특성, 환경 조건, 사용 시나리오 등을 고려했을 때, 고장 모드의 정의가 타당한지 점검해야 합니다.
• "고장 모드의 분류(안전 고장, 위험 고장, 다중점 고장, 잔여 고장 등)가 ISO 26262 기준에 따라 정확하게 이루어졌는가?"
  • 특히 단일점 고장(SPF)과 잠재 고장(Latent Fault, LF)이 올바르게 식별되었는지 집중적으로 검토해야 합니다. 이들이 메트릭 계산의 핵심입니다.

1.3. 고장 영향 및 원인의 논리적 타당성

• "각 고장 모드의 영향이 상위 시스템 및 최종 안전 목표에 미치는 영향까지 명확하게 분석되었는가?"
  • 고장이 어떻게 전파되고, 궁극적으로 어떤 안전 목표를 위반할 수 있는지에 대한 논리적 흐름이 명확해야 합니다.
• "고장 모드의 잠재적 원인들이 충분히 식별되었는가? 가능한 모든 원인을 고려했는가?"

1.4. 안전 메커니즘의 효율성 및 검증 가능성

• "제시된 안전 메커니즘들이 식별된 고장 모드에 대해 충분한 감지(Detection) 및 제어(Control) 능력을 가지는가?"
  • 특히 진단 범위(Diagnostic Coverage)가 목표 ASIL에 적합한지, 그리고 그 진단 범위의 계산 근거가 타당한지 점검해야 합니다.
• "안전 메커니즘 자체의 고장은 고려되었는가?"
  • 안전 메커니즘의 고장이 시스템의 안전성을 저해할 가능성은 없는가?
• "각 안전 메커니즘이 의도대로 동작하는지 확인할 수 있는 진단 방법이 명확하게 정의되어 있는가?"
  • 고장 감지 여부를 어떻게 판단하고, 그 결과에 따라 시스템이 어떻게 반응(안전 상태 전환 또는 복구)할 것인지가 명확해야 합니다.

1.5. 메트릭 계산의 정확성 (HW FMEA의 경우)

• "SPFM, LFM, PMHF 계산에 사용된 고장률 데이터가 신뢰할 수 있는가?"
  • 데이터의 출처(예: SN 29500, FIDES, 고객 제공 데이터)와 적용 방법이 적절한지 확인해야 합니다.
• "계산 로직과 결과가 ASIL 목표를 만족하는가?"
  • 계산 과정에 오류는 없는지, 모든 관련 고장 모드가 올바르게 포함되었는지 검증해야 합니다.

---

2. FTA (Fault Tree Analysis) Confirmation Review 시 문제의식

FTA는 특정 최상위 사건(Top Event, 안전 목표 위반)이 발생하는 모든 가능한 하위 고장 조합을 논리 게이트를 통해 분석하는 연역적 분석 기법입니다.

---

2.1. 최상위 사건(Top Event)의 정의 적절성

• "최상위 사건이 분석 대상 시스템의 안전 목표 위반을 명확하고 포괄적으로 대표하는가?"
  • HARA에서 도출된 안전 목표와 직접적으로 연결되는가? (예: "의도치 않은 가속 발생", "안전 브레이크 작동 불가")
• "최상위 사건의 발생 조건이 명확하게 정의되어 있는가?"

2.2. 고장 논리 트리의 완전성 및 정확성

• "최상위 사건을 유발할 수 있는 모든 중간 사건 및 기본 사건(Basic Events)이 식별되었는가?"
  • 특히, AND 게이트나 OR 게이트 아래의 모든 필요한 입력이 누락되지 않았는지 확인해야 합니다.
• "논리 게이트(AND, OR)의 사용이 실제 고장 논리와 일치하는가?"
  • 고장 간의 관계(병렬/직렬)를 정확하게 모델링하고 있는가?
• "종속 고장(Dependent Failures)이 FTA에 적절하게 반영되었는가?"
  • 공통 원인 고장(CCF)이나 계단식 고장(Cascading Failures)을 모델링하기 위한 CCF 이벤트나 다른 게이트가 올바르게 사용되었는가? (DFA 결과가 FTA에 잘 통합되었는지 확인)
• "중복성을 통해 고장이 방지되는 부분이 FTA에 명확하게 표현되었는가?"

2.3. 기본 사건(Basic Events)의 정의 및 데이터의 신뢰성

• "각 기본 사건이 명확하게 정의되고, 더 이상 분해할 수 없는 가장 낮은 수준의 고장 단위인가?" (예: "센서 퓨전 모듈 고장"보다는 "센서 A 고장"과 "센서 B 고장"이 더 적절)
• "기본 사건에 할당된 고장률 데이터가 신뢰할 수 있는 출처(FMEA 결과, 필드 데이터, 표준 데이터베이스)에서 가져온 것인가?"
  • 고장률 데이터의 신뢰 구간, 온도/환경 보정 등이 적절히 이루어졌는지 확인해야 합니다.

2.4. 최소 컷셋(Minimal Cut Sets) 및 경로 분석

• "도출된 최소 컷셋들이 최상위 사건을 유발하는 모든 유일하고 최소한의 고장 조합들을 정확히 나타내는가?"
  • 안전 목표를 위반하는 '최악의 시나리오'들이 명확하게 식별되었는지 검토해야 합니다.
• "각 컷셋의 확률 계산이 정확하며, ASIL 목표를 만족하는가?" (PMHF 계산과 연관)
• "안전 메커니즘이 최소 컷셋의 발생 확률을 충분히 낮추는 데 기여하고 있는가?"

2.5. 문서화 및 추적성

• "FTA 다이어그램이 명확하고 쉽게 이해할 수 있는가?"
• "분석 보고서에 모든 가정, 데이터 출처, 계산 과정, 결과 및 결론이 명확하게 기술되어 있는가?"
• "FTA의 기본 사건들이 FMEA의 고장 모드 및 안전 메커니즘과 명확하게 연결되어 추적성이 확보되는가?"
  • 즉, FMEA의 결과가 FTA로 올바르게 입력되었는가?

---

두 분석에 대한 공통적인 문제의식

• 상호 보완성: FMEA와 FTA가 서로의 단점을 보완하며 시스템의 안전성을 포괄적으로 분석하고 있는가? (FMEA는 고장으로부터의 상향식, FTA는 위험으로부터의 하향식)
• 일관성: 두 분석 간에 사용된 용어, 가정, 고장률 데이터, 안전 메커니즘 정의 등이 일관성을 유지하고 있는가?
• ASIL과의 연관성: 모든 분석 결과가 할당된 ASIL 목표를 충족하는 데 충분한 근거를 제공하는가?

이러한 문제의식들을 가지고 FMEA 및 FTA 산출물을 검토한다면, 분석의 품질을 크게 향상시키고 시스템의 기능안전 무결성을 강화하는 데 기여할 수 있을 것입니다.