FS_Audit, Asssessment시 안전분석으로 도출된 SM적절성 판단

FMEDA에 각 part의 고장모드 별 안전목표 위배 가능성이 있는 고장모드에 대해서 안전 메커니즘을 연결해준걸 봤어 적절한 안전 메커니즘이 연결되었는지를 funcional safety audit & assessment 관점에서 검토하는 방법이 뭘까? 어쨌든 part의 고장은 하드웨어 엘리먼트의 내부고장으로 봐야할 것 같아서 위 하드웨어 엘리먼트와 연결된 엘리먼트에 할당된 하드웨어 상세 설계와 안전 메커니즘이 연결되었는지 봐야할까? 아니면 직관적으로 빠르게 판단할 수 있는 방법이 있어?

 

매우 좋은 질문이에요. 👏
이건 Functional Safety Audit/Assessment 중에서도
가장 “핵심적이지만 검토 효율이 떨어지기 쉬운” 부분이에요.

즉,

“FMEDA에 기재된 part-level 고장모드와 연결된 안전 메커니즘(SM)이 실제로 적절한가?”
“이걸 어떻게 시스템 관점에서 빠르게 검증할 수 있을까?”

를 판단하는 과정이죠.

아래에서 정확한 원칙(ISO 26262 관점) 과 실무적으로 빠르게 검토하는 방법(Assessor 시각) 두 가지로 정리드릴게요.

---

⚙️ 1️⃣ 개념 정리 — FMEDA의 고장모드와 “적절한 SM”의 관계

• FMEDA의 part-level 고장모드는
  → “하드웨어 엘리먼트 내부에서 발생할 수 있는 물리적 고장(failure mode)”입니다.
• 따라서, 해당 part가 속한 하드웨어 엘리먼트(HW Element) 는
  → 그 내부고장을 감지하거나,
  → 상위 경로로 전파되기 전에 제어(보호)해야 합니다.

즉,
FMEDA의 “고장모드–SM 매핑”은
실제로는 “HW 엘리먼트–SM 매핑”으로 상위 설계 수준에 존재해야 합니다.

---

🧩 2️⃣ Audit/Assessment에서 검토 목적

Functional Safety Assessment의 목적은 “방법론의 적정성 검증”이에요.
즉,

“각 고장모드에 대해, 정의된 안전 메커니즘이 안전목표 위배를 충분히 방지·감지할 수 있음을
시스템 구조와 설계 근거로 설명할 수 있는가?”

이지,

“FMEDA의 각 행에 정말로 이 SM이 수학적으로 100% 맞는가?”
는 아닙니다.

따라서 검토 포인트는 논리적 연결성(Logical consistency) 입니다.

 

👉 이 6단계 중, Audit에서는 ①–③번까지만 빠르게 판단하면 충분합니다.
(④–⑥은 Safety Assessment에서만 정밀 검토)

 

⚡ 4️⃣ 실무적으로 “빠르게 직관적으로” 판단하는 방법

🔸 STEP 1: 고장모드 타입별 빠른 필터링

FMEDA에서 “안전목표 위배 가능”으로 표시된 고장모드를 타입별로 보세요.
아래 매핑표로 대부분 직관적 판별이 가능합니다.

즉,
FMEDA의 고장모드에 연결된 SM이 이 “일반적인 매칭 관계”에 해당하지 않으면,
우선 의심 대상으로 표시합니다.

---

🔸 STEP 2: 해당 SM이 물리적으로 커버 가능한 위치에 있는가

이건 아주 실무적인 직관 포인트예요 👇

• SM이 고장이 일어난 part와 같은 엘리먼트 내부 또는 직접 연결된 엘리먼트에 있어야 합니다.
• 만약 SM이 더 상위의 시스템 수준에서 동작한다면,
  → “검출 가능한 물리 신호가 전달되는지”를 근거로 인정.
• 반대로 SW만 존재하고 HW 물리신호 접근이 불가능하다면,
  → FMEDA에서 그 SM은 “논리적 연결만 존재, 실제 검출 불가” 로 의심해야 합니다.

예시 👇

• “ADC 채널 단락 → SW range check” → ✅ 가능 (ADC 값은 SW에서 접근 가능)
• “Voltage regulator short → SW plausibility” → ❌ 불가 (SW는 전원 레벨 읽지 못함, HW 전원감시 필요)

즉, “SM이 실제로 해당 물리량을 감지할 수 있는 위치에 있는가?”
이 한 줄 질문으로 대부분의 부적절 매핑을 걸러낼 수 있습니다.

---

🔸 STEP 3: 커버리지 누락·중복 패턴 확인

• 같은 SM이 너무 많은 고장모드에 복제되어 연결되어 있다면 → 진단 범위 과대 평가 가능성
• 반대로 SG 위배 가능 고장인데 연결된 SM이 하나도 없다면 → Residual Fault
  → 이 두 패턴은 Assessment에서 바로 “finding” 대상이 됩니다.

✅ 결론 요약

Functional Safety Audit/Assessment에서 FMEDA 내 SM 연결의 적절성을 검토할 때는
“FMEDA 행 단위로 정밀 검증”이 아니라,
“고장모드–SM 간 물리적 커버 가능성 + 엘리먼트 위치 논리성”으로 빠르게 판정합니다.

FMEDA의 각 part는 HW 엘리먼트의 내부고장이므로,
SM이 그 엘리먼트 혹은 직접 연결된 엘리먼트의 설계 내에 존재해야 적절한 매핑으로 인정됩니다.