하기 용어는 주로 ISO26262 part 1에 있는 내용을 인용했다. 용어 중에서 중요하다 생각되는 것을 다시 정리하고, 각 항목에 대한 설명을 조금 더 덧붙였다.
아이템, 시스템, 엘리먼트 (item, system, element): 기능안전 (ISO26262)이 적용되는 자동차 수준에서 기능을 수행하는 시스템 또는 시스템들의 배열을 아이템이라고 한다. 기능안전을 필요로하는 어느 한 제품의 전체 범위를 지칭한다. 시스템은 센서, 컨트롤러, 엑추에이터 간에 서로 연결된 엘리먼트의 집합으로 아이템 자체가 되거나, 아이템의 하위 개념이다 (한가지 이상의 시스템이 모여 아이템으로 정의가 될 수 있음). 좀 더 범위를 확장하자면, 시스템을 구성하는 엘리먼트는 그 자체가 또 다른 시스템으로 정의될 수 도 있다. 엘리먼트는 컴포넌트, 하드웨어, 소프트웨어, 하드웨어 소자, 소프트웨어 단위를 포함한 시스템 또는 시스템의 일부로 정의될 수 있다.
임베디드 소프트웨어 (embedded software): 프로세싱 엘리먼트에서 수행되는 완전히 통합된 소프트웨어. 프로세싱 엘리먼트는 일반적으로 마이크로컨트롤러, FPGA (Field Programmable Gate Array)나 ASIC (Application Specific Integrated Circuit) 이지만 이보다 좀 더 복잡한 컴포넌트나 하위시스템이 될 수도 있다. VHDL로 설계되는 FPGA상의 state machine의 경우에는 소프트웨어로 보지 않고 하드웨어의 일부로 구분되는 경우가 더 많다.
위해 (harm), 위험 (risk): 개인 (사람)의 건강에 미치는 물리적인 상해나 손상을 위해 (harm) 라고 정의한다. 이러한 위해의 발생빈도와 위해가 발생했을 때의 심각도의 조합을 위험 (risk)라고 정의하고 있다.
위험원 (hazard), 위험원 분석 및 리스크 평가 (HARA, Hazard Analysis and Risk Assessment): 아이템의 오작동 행위로 인해 야기되는 위해(harm)에 대한 잠재 근원을 위험원 (hazard)라고 하며, 기능안전에서는 아이템의 위험 사건을 도출, 식별 및 분류하고 이에 대한 안전 목표를 명시하는 절차를 진행하게 되는 데, 이 절차가 위험원 분석 및 리스크 평가 (HARA, Hazard Analysis and Risk Assessment) 이다. 이것은 아이템 또는 시스템 레벨에서 안전 목표 및 ASIL Level을 명시하는 방법이 된다.
심각도 (severity): 발생 가능한 위험원 상황에서, 한 명 이상에게 끼칠 수 있는 위해 정도를 추정한 것. 위험원 분석 및 리스크 평가 과정에서 파라미터 S는 위해의 잠재적인 심각도를 나타낸다.
안전 (safety): 비합리적인 위험이 없는 것. 여기서 비합리적인 리스크란, 유효한 사회 도덕적 개념에 따라 일정한 맥락에서 수용될 수 없다고 판단되는 위험을 의미한다. 동원 가능한 모든 수단을 사용하여 안전한 제품을 제공해야 할 의무가 제조자에게 있다. 기능안전 프로세스란, 결국, 시스템설계 / 하드웨어 설계 / 소프트웨어 설계 과정에서 고려해야 할 모든 안전요소를 제품 개발 프로세스 측면과 및 기술적인 설계 내용 측면에서 검토하고 문서화 하여, 안전하지 않을 수 있는 상태를 안전한 상태로 만들기 위한 모든 노력이라고 볼 수 있다. 안전하지 않은 상태를 얼마나 안전한 상태로 만들 수 있는 가에 따라 ASIL Level이 결정된다.
자동차 안전 무결성 수준 (ASIL, Automotive Safety Integrity Level): 기능안전 (ISO26262)의 아이템이나 엘리먼트에 필요한 요구사항을 명시하는 네 가지 수준 중 하나로, 지나친 (unreasonable) 잔존 리스크를 방지하기 위해 적용되는 안전 수단이다. 엄격함의 정도에 따라 4가지로 구분하고, 가장 높을 경우 D, 가장 낮을 경우 A가 된다. 기능안전을 적용하지 않고, 기본적인 품질관리 프로세스 (eg. IATF16949)로 충분한 경우 QM 레벨이 된다. QM < ASIL A < ASIL B < ASIL C < ASIL D.
ASIL 분해 (ASIL decomposition): 안전 요구사항을 충분히 독립적인 엘리먼트에 중복하여 분배함으로써 해당 엘리먼트에 할당된 중복된 안전 요구사항의 ASIL을 감소시키는 목적을 가진다. 주로 redundancy개념으로 이해되며, ASIL레벨이 낮은 제품들을 결합하여 ASIL레벨을 높일 수 있는 방법을 제시하고 있다. 예를 들면, ASIL B(D) + ASIL B(D) = ASIL D. 여기서 ASIL B(D)는 이 해당 제품 (또는 특정 기능, 역할)이 ASIL B에 해당하나 전체 제품 수준으로 통합되면 ASIL D가 될 수 있는 조건을 표기한 것이다.
결함 (fault) 및 고장 (failure): 엘리먼트 또는 아이템에 고장을 일으킬 수 있는 비정상적인 상태를 결함이라고 하며, 이 결함에 의해 요구된 대로 기능을 수행할 수 있는 능력이 종료되는 상태를 고장이라고 한다. 결함이 고장을 야기시키는 것이며, 이 둘 간에서는 일정 시간이 소요된다. 기능안전에서는 결함이라는 용어와 고장이라는 용어를 명확히 구분하여 사용하고 있다. 결함을 동작 중에 발견하여, 최종적으로 고장인 발생하여 위해를 끼치기 전에 조치를 취하도록 하는 것이 기능안전의 주요 목표 중 하나이다.
고장률 (failure rate): 하드웨어 엘리먼트에 대한 고장을 생존 확률로 나눈 확률 밀도를 의미하며, 기호 λ로 표시한다. 고장률에 대한 정의 및 사용은 기능안전에서 중요한 부분 중 하나이며, 주로 part 5 (hareware)에서 빈번하게 사용되는 개념이다.
연계 고장 (cascading failure): 같은 아이템에 존재하는 엘리먼트나 또 다른 엘리먼트의 고장에 의해서 아이템의 엘리먼트에 발생하는 고장. 연계 고장은 종속 고장에 포함되는 개념이고, 종속 고장은 공통원인 고장과 연계 고장을 포함하는 개념이다.
공통원인 고장 (common cause failure): 하나의 특정 사건이나 근본원인 (root cause)으로 인하여 하나의 아이템에 존재하는 두 개 이상의 엘리먼트를 고장에 이르게 하는 고장. 공통원인 고장 역시 종속 고장에 포함되는 개념이고, 종속 고장은 공통원인 고장과 연계 고장을 포함하는 개념이다.
종속 고장 (dependent failures): 공통원인 고장(common cause failure)과 연계 고장(cacading failure)을 포함하는 상위 개념이다. 종속 고장을 분석하는 것은 기능안전에서 중요한 일이다. 동시에 발생하거나 또는 연속하여 발생할 확률을 가진 고장은 각각의 무조건 (unconditional) 확률의 산출물로 단순 계산할 수 없다. 예를 들어, P_A 가 고장 A의 확률, P_B가 고장 B의 확률, P_AB가 고장 A와 고장 B가 동시에 발생할 확률이라면, P_A x P_B가 P_AB가 되는 것을 보장하지는 않는다.
종속 고장 분석 (DFA, Dependent Failure Analysis): DFMEA, FTA 기법 등을 통해 분석된 고장 모드 (Failure Mode)에 기반하여 시스템 또는 아이템에 존재할 수 있는 모든 종속 고장을 조사하고 분석하는 과정.
영구 결함 (permanent fault): 제거 또는 수리되기 전까지 발생하여 존재하는 결함.
순간 결함 (transient fault): 한 번 생성되고 이후 사라지는 결함.
시스템적 결함 (systematic fault): 프로세스나 설계 수단을 적용하여야만 방지할 수 있는 결함으로, 해당 결함에 대한 고장은 일정한 방식으로 발현된다.
시스템적 고장 (systematic failure): 설계 변경, 제조 프로세스, 작동절차, 문서, 기타 관련인자들을 변경하면 제거할 수 있는 고장으로, 어떤 원인에 대해 결정적 방식 (deterministic way)으로 발현된다. 주로 하드웨어 우발 고장과 대비 되는 개념이다. 시스템적 고장은 설계 및 제조 과정에서 관리 및 예방이 될 수 있는 것이고, 하드웨어 우발 고장은 정상적으로 생산되었던 제품이 필드에서 동작 중에 부품의 열화 등으로 고장을 일으키는 경우라고 이해할 수 있다.
안전 상태 (safe state): 아이템 또는 시스템의 작동 모드에 대한 리스크가 비합리적인 수준이 아닌 상태. 고장이 발생했을 때, 승객의 보호를 위하여 제한된 시간내에 조치를 취하여 안전한 상태가 되도록 한 경우를 말한다. 예를 들면, 의도된 작동 모드, 기능 저하된 작동 모드, 스위치 정지 모드.
하드웨어 우발 고장 (randome hardware failure): 하드웨어 엘리먼트의 수명 내에서 예측 불가능하게 발생하는 고장으로서, 확률 분포를 따른다. 이러한 하드웨어 우발 공장률은 합리적인 정확성을 가지고 예측할 수 있으며, 그 대상이 어떤 부품인가에 따라 참조할 만한 모델이 있다. FIT와 밀접한 관련이 있으며, 좀 더 자세한 내용은 IEC62380, Mil handbook 217F 또는 SN29500 등에서 참조할 수 있다. 아이템의 동작 중, 하드웨어 우발 고장을 안전 메커니즘에 의해 얼마나 많이 검출해 낼 수 있는 가 하는 것이 ASIL 레벨을 결정하는 데 중요한 척도가 된다.
하기 도표는 하드웨어 우발 결함 (random hardware faults)에 해당 되는 6가지 유형을 나타낸다. 녹색은 안전한 결함으로 분류된다. 그러나 적색 및 분홍색은 안전에 심각한 결과를 가져다 줄 수 있는 결함이며, 기능안전에서 중요하게 고려되어야 하는 부분이다. 각 결함에 대한 정의를 도표 아래에 정리해 두었다.
안전측 결함 (safe fault): 결함이 발생하더라도 안전 목표 (safety goal)을 크게 해칠 가능성이 없는 결함이다. 안전 목표와 관련 없는 결함이거나, 안전 목표의 위반을 야기할 수 있지만, 안전 메커니즘에 의해 보호를 받을 수 있는 결함이 해당된다. 지수가 2차 (order 2)를 초과하는 다중점 결함도 안전측 결함으로 간주할 수 있다. 이유는 3가지 이상의 결함이 겹쳐서 발생하여 고장을 일으킬 수 있는 확률이 상대적으로 매우 낮기 때문이다.
단일점 결함 (single-point fault), 단일점 고장 (single-point failure): 안전 메커니즘으로 보호되지 않으며, 안전 목표 (safety goal)의 위반을 직접 야기하는 엘리먼트의 결함을 단일점 결함 (single-point fault)라고 한다. 이러한 단일점 결함에 의해 실제로 시스템에 고장이 발생한 경우가 단일점 고장 (single-point failure) 이다. 단일점 결함은 안전 메커니즘에 의해 진단이 되지 않아 아이템 또는 시스템에서 해당 결함에 대해 안전 조치를 취할 방법이 없는 결함이며, 진단 커버리지가 0%인 잔존 결함 (residual fault)과 같은 개념이다. 하드웨어 파트에서 단일점 결함은 ASIL Level을 결정하는 중요한 인자 중 하나이며, 기능 안전 프로세스의 목표는 이러한 단일점 결함, 단일점 고장을 최소한으로 하는 것이다.
잔존 결함 (residual fault), 잔존 고장 (residual failure): 안전 메카니즘에 의해 보호되지 않으며, 안전 목표 (safety goal)의 위반을 직접 야기하는 엘리먼트의 결함이 잔존 결함 (residual fault) 이라는 점에서는 단일점 결함 (single-point fault)와 같다. 이에 의한 고장이 잔존 고장 (residual failure) 이다. 차이점은, 잔존 결함의 경우 관련한 안전 메카니즘이 존재하나, 그것이 해당 결함을 기술적으로 모두 검출해 내지 못하고 일정한 부분만 검출할 수 있을 때, 나머지 검출되지 않는 (residual) 부분의 결함 및 이에 의한 고장을 고려하기 위한 것이다. 단일점 결함, 잔존 결함 모두, 아이템 또는 시스템 동작 중, 실제로 발생하였을 때, 그 부분이 안전 메커니즘으로 보호되지 않으며 안전 목표(safety goal)의 위반을 직접 야기한다는 점에서 중요하게 고려되어야 한다.
잠재 결함 (latent fault): 다중점 결함 중의 한 가지에 해당하며, 다중점 결함 검출 간격 이내에 결함 발생 유무가 안전 메커니즘에 의해 감지되지 않고, 운전자에 의해서도 인식되지 않는 결함을 의미한다. 다중점 결함이라는 것이 두 개 이상의 결함이 발생 했을 때 그 결과로 아이템, 시스템에 고장이 나는 경우인데, 이 때 두 개 이상의 조건 중, 한 가지가 이미 고장이 나 있더라도 나머지 한 개에 결함이 추가로 발생하지 않는 경우, 이 고장은 인지를 못하는 경우가 생긴다. 이 조건이 잠재(latent) 조건이 되며, 이에 의한 결함이 잠재 결함 (latent fault) 이다. 잠재 결함은 기 발생하였다 하더라도 사전에 인지가 곤란하며, 발생 시 single-point fault, residual fault와 마찬가지로 안전 목표 (safety goal)의 위반을 직접 야기한다는 점에서 중요하게 고려되어야 한다.
다중점 결함 (multiple-point fault), 다중점 고장 (multiple-point failure): 다른 독립 결함과 결합하여 다중점 고장을 이끄는 개별 결함을 다중점 결함이라고 한다. 이에 의한 고장이 다중점 고장이다. 개발 프로세스에서 다중점 고장을 먼저 식별해야 다중점 결함을 유추해 낼 수 있다. 안전 목표를 직접 위반하는 다중점 고장의 경우, 이를 구성하는 모든 결함은 서로 독립 결함이어야 한다. 두 가지 이상의 결함이 동시에 발생해야 하므로 안전 목표 (safety goal)의 위반을 야기할 가능성이 적다. 따라서 FMEDA 분석에서 single-point, residual, latent fault보다 중요성은 떨어진다.
검출된 결함 (detected fault): 잠재중인 결함을 막는 안전 메커니즘에 의해 정의된 시간 내에 그 존재가 검출되는 결함. 안점 메커니즘에 의해 검출된 결함은 안전한 결함으로 분류 된다.
검출된 다중점 결함 (detected multiple point fault): 잠재중인 결함을 막는 안전 메커니즘(safety mechanism)에 의해 정의된 시간 내에 그 존재가 검출되는 다중점 결함. 안전 메커니즘에 의해 검출된 결함은 안전한 결함으로 분류 된다.
인지된 다중점 결함 (perceived multiple point fault): 미리 정해진 시간 내에 운전자가 발생유무를 추정할 수 있는 결함. 결함은 행위나 성능을 명확하게 제한하면, 직접 인식할 수 있다. 인지된 결함은 안전한 결함으로 분류 된다.
Baumkuchen Fault Model: 원의 중심으로 부터 지수 1인 원 내에 single-point fault, residual fault가 배치되며, 이는 단일 결함이 바로 안전 목표를 위배할 수 있음을 의미한다. latent multiple point fault, perceived multiple point fault, detected multiple point는 지수가 2 이거나 이 보다 큰 수 이다. 지수가 2차를 초과하는 결함은 안전측 결함 (safe fault)로 간주 할 수 있으므로, 이 중간 원에 속한 3가지 결함은 주로 이중 결함 (다중 결함 중 지수가 2인 경우)를 의미 한다.
결함 반응시간 (fault reaction time): 결함을 감지하여 안전한 상태에 이르는 데 소요되는 시간.
결함 허용 시간간격 (FTTI, Fault Tolerant Time Interval): 한 개의 결함 또는 여러 결함들이 위험한 사건이 발생하기 전에 시스템에 존재할 수 있는 시간. 최초 발생한 결함이 안전 메커니즘에 의해 감지되고 조치되어, 최종적으로 안전 상태 (safe state)에 도달하는 데 까지 걸리는 시간은 위험원 (hazard) 이 발생하기 전에 마무리 되어야 한다.
진단 시험 간격 (DTI, Diagnostic Time Interval): 아이템 또는 시스템의 운용 중에 주기적으로 (또는 이벤트 발생 시) 실행되는 안전 메커니즘의 시간 간격.
안전 상태 (safe state): 아이템 또는 시스템의 작동 모드에 대한 리스크가 비 합리적인 수준이 아닌 상태. 예를 들어, 고장이 발생했을 때, 그 상황을 감지하고 승객의 안전을 위하여 의도된 작동 모드, 기능 저하된 작동 모드, 스위치 정지 모드 등으로 되어 있는 경우.
상기 4가지 용어, fault reaction time, fault tolerant time interval, DTI, safe state를 다음과 같이 도표로 정리한다.
간섭에 대한 자유성 (freedom from interference): 안전 요구사항 (safety goal)을 위반할 수 있는 둘 이상의 엘리먼트 간에 연계 고장 (cascade failure)이 없는 상태. 즉, 엘리먼트 2의 고장이 엘리먼트 1의 고장을 발생시키지 않느다면, 엘리먼트 1은 엘리먼트 2에 대해 간섭에 대한 자유성을 갖는다.
독립성 (independence): 안전 요구사항 (safety goal)을 위반할 수 있는 두 개 이상의 엘리먼트간에 종속 고장 (dependant failures; 이것은 cascaded failure의 경우와 common cause failure의 경우를 모두 포함하는 개념이다) 이 없는 것, 또는 행위를 수행하는 대상을 구조적으로 분리하는 것. 이것은 ASIL분해 (ASIL Decomposition)에서 중요한 개념이다. 안전 요구사항을 충분히 독립적인 엘리먼트에 중복하여 분해 함으로써, 해당 엘리먼트에 할당된 개별 안전 요구사항의 ASIL을 감소시킬 수 있다 (redundancy 개념).
독립 고장 (independent failures): 종속 고장의 관계에 있지 않는 두 개 이상의 엘리먼트의 고장. 서로 독립적이라면, 그 고장은 동시에 발생하거나 연속적으로 발생할 확률을 각각의 무조건 확률 (unconditional probabilities)의 단순한 곱하기 형태로 나타낼 수 있다.
안전 메커니즘 (safety mechanism): 결함 (fault)를 검출하거나 고장 (failure)를 제어함으로써, 안전한 상태 (safe state)에 도달하거나 유지하기 위하여 전기/전자장치 기능이나 엘리먼트 또는 기타 기술로 구현된 기술적 해결책. 안전메커니즘은 단일고장 (single-point failure)을 야기하는 결함을 방지하거나 결함이 잠재화되는 것 (latent failure)을 방지하기 위하여 아이템 또는 시스템 내에 구현된다. 안전 메커니즘은 다음 두 가지중 하나로 동작한다. 어떠한 결함(fault)을 정해진 시간 내에 (FTTI) 안전 상태로 전이 또는 유지 시키거나, 운전자가 고장(failure)의 영향을 제어할 수 있도록 운전자에게 경보를 제공하는 것.
안전 계획 (safety plan): 일정, 마일스톤, 업무, 산출물, 책임 및 자원을 포함하여 프로젝트의 안전활동 수행에 대해 관리하고 이끌어 가는 계획.
안전 관리자 (safety manager): 아이템 또는 시스템을 개발하는 동안 기능안전 관리를 담당하는 인원. ISO26262 각 Part별로 기능 안전 관련한 관리적 업무를 수행하고 기술관련한 업무를 각각의 하드웨어 개발자, 소프트웨어 개발자 등과 협업/지원해야 한다.
안전 목표 (safety goal): HARA (Hazard Analysis and Risk Assessment)의 결과로 도출된 최상위 안전 요구사항. 한 가지 안전 목표가 여러 위험원(Hazard)과 관련될 수 있으며, 여러 가지 안전 목표가 단일 위험원과 관련될 수 있다.
안전관련 기능 (safety-related function): 안전 목표 (safety goal)을 위반할 수 있는 잠재성을 가진 엘리먼트를 의미한다.
안전 관련 특별특성 (safety-related special characteristic): 특별특성은 TS16949에 정의된 용어이며, 어떠한 아이템/엘리먼트의 설계부터 생산 프로세스까지 연계되고 관리되는 (각종 도면, Control Plan, Work Instrunction 등) 것이다. 안전 관련 특별특성은 해당 항목이 기능 안전에 영향을 미치거나 기여하거나 감소시킬 수 있을 때 사용한다. 안전 관련 특별 특성은 ASIL에 대한 정보를 포함할 수 있다.
기능안전 요구사항 (FSR, Functional Safety Requirement): 안전관련 특별특성을 포함하여 구현 독립적 안정성 행위에 대한 명세 또는 구현 독립적 안전성 수단에 대한 명세. 위험 사건을 고려하여, 아이템을 안전한 상태로 전이시키거나 유지하기 위하여, 기능안전 요구사항은 안전관련 전기/전자 시스템이나 기타 기술로 된 안전관련 시스템으로 구현된 안전 요구사항이 될 수 있다.
기능안전 개념 (FSC, Functional Safety Concept): 관련된 정보, 그 정보들을 아키텍처를 구성하는 엘리먼트에 할당 및 안전 목표를 달성하는 데 필요한 엘리먼트 간 상호작용을 포함하는 기능 안전 요구사항 명세.
기술안전 요구사항 (TSR, Technical Safety Requirement): 관련된 기능안전 요구사항의 구현을 위해 파생된 요구사항.
기술안전 개념 (TSC, Technical Safety Concept): 기술안전 요구사항과 해당 요구사항들을 시스템 설계에 따라 구현하기 위해서 시스템이나 엘리먼트에 할당 한 것.