ASPICE, ISO 26262의 audit 부분 통합

ASPICE, ISO 26262, 사이버 보안 모두 audit활동을 한다. (※ audit에 대한 정의는

'ASPICE 기본 이론' 카테고리에 정의를 해 놓았으니 참고하길 바란다.)

 

그러나 오늘 설명할 것은 사이버 보안은 제외한다.(아직 사이버보안은 심도있게

공부하지 못했기 때문)

 

ASPICE에선 audit활동에 대하여 SUP.1 프로세스에서 요구를 하고 있다.

보통 ASPICE에서 audit활동을 한다고 하면 프로세스 측면과 산출물 측면에서

audit을 하게 되는데. 여기서 audit(감독)하는 것은 이미 기존에 정의한 계획 및

약속대로 올바르게 이행을 했는지 혹은 작성을 했는지 그 준수 여부를 따지는 것

이다. 그래서 준수하지 않은 것을 보통 부적합사항이라고 부르곤 한다. 영어로는

Non-conformance 

 

한편

ISO 26262에선 audit활동에 대하여 Confirmation measure라는 개념으로 시작하여

소개하게 된다. (※ confirmation measure에 대해서는 '기능안전_기본 이론' 카테고

리에 작성했으니 참고하기를 바란다.)

 

아무튼 Confirmation measure에서 confirmation review와 assessment는 audit은

ASPICE의 audit과 결이 다르기 때문에 동시에 통합하여 활동할 수 없다. 하지만

ISO 26262의 audit은 안전 관련하여 인적 물적 인프라, 조직 관리, 정의한 절차를

준수했는지 안했는지를 묻는 것이기 때문에 충분히 ASPICE audit활동과 통합하여

이루어질 수 있다. 물론 여기서 통합하여 활용한다는 것을 구체적으로 설명하자면

ASPICE의 audit활동을 위한 프로세스 및 산출물 체크리스트라는 템플릿이 있고

ISO 26262의 audit활동을 위한 템플릿이 있을 때 이 두 개의 템플릿을 하나의

템플릿으로 엮어 같은 시기에 동시에 점검한다는 것이 가능한다는 것이지 그 두

가지를 막 짬뽕해서 마치 빨간 물감과 파란 물감이 합쳐져 검은색 비슷한 색으로

되게하는 그런 질문으로 만들라는 것이 아니다.(즉 하나의 프로젝트에 대하여

audit활동을 같은 시기에 한 번에 점검을 용이하게 하기 위하여 ASPICE용으로

만들어진 프로세스 및 산출물 체크리스트의 템플릿과, ISO 26262용으로 audit

템플릿의 체크리스트 내용을 합친다는 것 뿐이다)

그래서 만약 Audit을 실시했는데 ASPICE용 체크리스트에서 프로세스 부분에서

부적합 한 개 ISO26262용 audit체크리스트에서 부적합 한 개가 나왔다면 이 둘을

시정조치 및 관리하기 위한 상태 관리는 동시에 이루어질 수 있지만 그 둘의 내용은

일반 프로젝트용과 기능안전용으로 개별적으로 관리가 되어야 한다는 것