Automotive SPICE

Automotive SPICE 개요

Automotive SPICE 소개

ASPICE(Automotive Software Process Improvement Capability Determination)는 자동차 소프트웨어 개발 프로세스를 평가하기 위한 업계 표준 지침입니다. 2005년에 도입된 ASPICE는 자동차 공급업체가 모범 사례를 통합하여 개발 초기에 결함을 식별하고 OEM 요구 사항을 충족할 수 있도록 평가모델을 정의하였습니다.
ASPICE는 프로세스를 두 부분으로 나누는 시스템과 소프트웨어 개발 과정에서 V 모델을 활용합니다. 문자 V의 왼쪽은 설계 및 개발 단계를 나타내고 오른쪽은 테스트 단계를 나타냅니다. 이러한 방식으로 모든 개발 단계는 테스트 단계에 의해 반영됩니다. 문자 V는 확인 및 검증을 의미하기도 합니다.

Automotive SPICE 역사

ASPICE(Automotive SPICE)는 1990년대 후반 BMW, Bosch, Continental, DaimlerChrysler 및 Volkswagen을 포함한 독일 자동차 회사 그룹에 의해 처음 개발되었습니다. 자동차 산업에서 사용되는 소프트웨어 개발 프로세스를 평가하고 개선하기 위해 공통 프레임워크를 구축하고자 개발되었습니다.
ASPICE의 첫 번째 버전은 소프트웨어 개발을 위한 V-모델(VDA 6.3)로 2003년에 출시되었습니다. 이 버전은 소프트웨어 개발 전반에 걸쳐 테스트 및 검증의 중요성을 강조하는 소프트웨어 개발 모델인 V-모델을 기반으로 했습니다.
2005년에는 프로세스 평가 모델(PAM)을 도입한 ASPICE의 두 번째 버전이 출시되었습니다. PAM은 자동차 산업에서 소프트웨어 개발 프로세스의 효과성과 효율성을 평가하는데 사용되는 일련의 지침 및 기준입니다. 그 이후로 ASPICE는 여러 번 수정되고 업데이트되었습니다.
2017년 ASPICE 3.1버전이 출시된 이 후 국내외 자동차산업 전반에서 자동차부품 개발 프로세스 평가모델로 적용하고 있으며, 2024년 2Q에 ASPICE 4.0 버전 출시를 앞두고 있습니다.

오늘날 ASPICE는 자동차 산업에서 소프트웨어 개발 프로세스를 평가하고 개선하기 위한 프레임워크로 널리 사용되고 있습니다. 이 모델은 수많은 자동차 조직에서 지원되며 업계에서 소프트웨어 개발을 위한 중요한 표준으로 인식되고 있습니다.

Automotive SPICE 구성

Automotive SPICE는소프트웨어 개발에서 이행해야 할 프로세스를 나타내는 프로세스 참조 모델(PRM: Process Reference Model)과 공급업체(Supplier) 능력 판정을 위한 평가 프레임워크를 나타내는 프로세스 평가 모델(PAM: Process Assessment Model)로 구성됩니다.
프로세스 참조 모델(PRM)은 3개의 라이프사이클 카테고리(3 LifeCycle Category), 7개의 프로세스 군(7 Process Group), 31개의 프로세스(31 Process)로 구성됩니다.

프로세스 능력 지표의 능력 수준은 레벨 5를 최상위로 6단계로 구성됩니다.

Automotive SPICE 활용

Automotive SPICE를 프로젝트에 적용하려면, 완성차 업체가 공급업체(Supplier)에게 요구하는 능력 수준과 함께 Automotive SPICE에 대한 준수를 요청할 수 있습니다.
요청을 받은 공급업체(Supplier)는 요구된 능력 수준에 따라 자사의 프로세스를 정비하고 실제 개발 프로젝트에 적용합니다. 예를 들면, 완성차 업체가 레벨 3을 요청했다면, 전사 공통의 조직 표준 프로세스를 정의하고 각 프로젝트에 맞게 테일러링(Tailoring)하여 적용해야 합니다. 완성차 업체는 공급업체(Supplier)에 대해 평가를 실시하고, 요구하는 능력 수준을 달성하고 있는지 확인합니다.

Automotive SPICE 4.0 릴리즈

프랙티스 영역 추가 및 삭제

V3.1 모델에서 기존 10개의 프랙티스 영역이 사라집니다. ACQ.3, ACQ.11, ACQ.12, ACQ.13, ACQ.14, ACQ.15, SPL.1, SUP.2, SUP.4, SUP.7가 대상입니다.

V4.0 모델에 10개 신규 프랙티스 영역이 추가됩니다. HWE.1, HWE.2, HWE.3, HWE.4, MLE.1, MLE.2. MLE.3, MLE.4, VAL.1, SUP.11가 대상입니다.

BP1의 Strategy와 GP2.1.1 통합, GP2.1.3, GP2.1.4 통합

테스트 영역, 지원영역 BP1 Strategy가 삭제됩니다.
GP2.1.1 프로세스 속성에 Strategy가 추가되어 통합됩니다.
GP2.1.3프로세스 속성과 GP2.1.4 프로세스 속성이 통합됩니다.

GP3.1.2가 삭제되고 GP3.1.x과 GP3.2.x 간의 Consistency를 갖도록 변경됩니다.

Cyber Security영역과 Mechanic System Engineering 영역 Plug-in 모듈화

Cyber Security 영역은 별도의 PAM v1.0으로 릴리즈되어 운영됩니다.
Mechanic System Engineering 영역은 PAM v1.8로 릴리즈되어 운영됩니다.

“intacs® 교육” 워킹 그룹 현황

"intacs® 교육" 워킹 그룹은 현재 새로운 교육 자료와 일부 확장 모델의 검토하여 새로운 교육 아키텍처를 개발하여 배포를 준비하고 있습니다.

Cyber Security, Hardware, Mechanical, Agile, Data management, Organizational, Improvement 영역 Model을 추가할 계획입니다.
각 모델은 1~2일 정도로 제공되며, 선임심사원 교육과정에 포함되지 않습니다.

CMMI

CMMI(Capability Maturity Model Integration) 개요

SPID는 검증된 프로세스 개선 방법론과 다양한 업무 영역에서의 컨설팅 경험을 바탕으로 시행착오 없는 체계적이고 효과적인 컨설팅을 제공합니다.

CMMI(Capability Maturity Model Integration) 역사

미국 국방부가 소프트웨어 개발 업체의 품질과 기능을 평가하기 위해 카네기멜론대학의 소프트웨어공학연구소(SEI)를 통해 SW-CMM을 개발하였습니다.
30년 이상 모델이 발전하여 소프트웨어 개발 중심에서 모든 산업 분야에 적용이 가능한 통합된 CMMI 모델로 발전하였습니다.
SEI가 CMMI Institute로 이름이 바뀌었고, 현재는 ISACA의 일원이 되었습니다.

Maturity Level 정의

CMMI의 Maturity Level은 5단계까지 있습니다.
Level 4와 Level 5를 High Maturity라고 부릅니다.

High Maturity 개념

CMMI High Maturity 조직은 조직의 성과목표를 관리하기 위해 해당 프로세스의 성과기준을 설정하고, 미래의 성과를 예측하기 위한 프로세스 성과 모델을 개발해야 합니다.
성과기준 설정 및 성과모델 개발에는 통계 및 정량적 기법이 적용되어야 합니다.
실질적인 CMMI High Maturity 달성을 위해서는 CMMI Level 2, 3 수준의 개선 활동을 수행할 때부터 High Maturity에 대한 이해를 갖추어야 합니다.

CMMI 이행

CMMI V3.0 모델

CMMI V3.0은 적용 Domain이 8개로 확대되었습니다.
Development또는 Service Domain을 필수로 하고 다른 영역을 추가하여 심사를 할 수 있는 구조입니다.
Practice Area는 17개의 Core Practice에 심사 대상 Domain에 해당하는 세부 Practice Area를 적용해야 합니다.
개발 조직에서 CMMI V3.0 심사를 진행하려면 17개의 Core Practice 영역과 2개의 Development Practice 영역을 적용하여 총 19개의 Practice Area를 준비해야 합니다.
협력업체 관리영역까지 확대하여 선택하면 Suppliers Domain의 Practice 1개를 추가하여 총 20개의 Practice Area를 준비해야 합니다.

컨설팅 수행 방법론

CMMI 모델을 기반으로 현재 상태를 진단하여 개선 활동을 수행하고 조직 내에 프로세스가 내재화되도록 지속적인 점검 및 보완을 통해 성공적인 CMMI 인증 목표 달성이 되도록 컨설팅을 수행 합니다.
또한, 단계별로 필요한 교육, 사례 및 경험 정보를 제공하여 효과적으로 목표 달성을 할 수 있도록 도와 드립니다.

기능안전 (ISO26262/IEC61508)

자동차에 적용되는 전기/전자 시스템의 오작동 행위로 인하여 발생하는 위험원이 원인이 되는 비합리적인 리스크가 존재하지 않도록 하기 위한 기능안전 국제규격

ISO 26262 기능안전 국제규격

자동차 전자제어 시스템이 복잡해지고 친환경 이슈로 인하여 전자제어장치(ECU) 수가 증가함에 따라 자동차 기능 안전성에 대한 중요성과 기술 표준에 대한 필요성이 커지고 있습니다.

자동차 전자제어 시스템이 복잡해지고 친환경 이슈로 인하여 전자제어장치(ECU) 수가 증가함에 따라 자동차 기능 안전성에 대한 중요성과 기술 표준에 대한 필요성이 커지고 있습니다.

정의 및 표준 개요

ISO 26262란 무엇인가?

ISO 26262란 자동차 전자제어장치 오작동으로 인한 사고 및 인명손실을 최소화하기 위해 제정한 기능 안전성 규격으로 2011년 11월 15일 국제 표준으로 발표되었습니다. 자동차에 탑재되는 소프트웨어 오류로 인한 사고를 미연에 방지하기 위해, 차량용 부품을 설계하거나 제조할 때 기능안전성을 반영해야 한다는 개념이 도입된 새로운 기능안전(functional safety)규격입니다.
세계 10개국 27개 자동차 제조사 및 부품 공급사가 개발에 참여했으며, 지난달 15일(2011년 11월 15일) 공식 발표됐습니다.(BMW와 다임러, GM, 보쉬 등 글로벌 자동차 제조기업과 부품제조사는 표준 확정 이전부터 개발 프로세스에 적용을 준비해 왔다.)
IEC 61508이 일반 전기전자 장치 안전에 관한 포괄적 기능안전 규격인데 반해, 이를 대체하는 ISO 26262는 자동차업계에 특화된 기능안전 표준입니다. IEC 61508 표준이 화학공장과 같이 주로 공정 산업에 적용되던 표준이라 자동차에 적용하는데 한계가 있었기 때문입니다.

ISO 26262는 어떤 내용을 담고 있나요?

'ISO 26262'는 기능 안전성 관리, 구상 단계(개념설계), 제품 개발(시스템 레벨, 하드웨어 레벨, 소프트 웨어 레벨), 생산 및 운영, 지원 프로세스 등 총 10개 파트로 구성됐으며 총 43개의 요구사항 및 권고 사항으로 이루어져 있습니다. 자동차 전체 시스템이 적용대상이며 개발 초기부터 생산, 폐기에 이르는 전체 생명주기에서 안전 관련 요구사항을 포함하고 있습니다.

제조사는 전체 개발 단계에서 ISO 26262 표준을 준수하였음을 문서로 증명해야 하고 안전과 관련된 사항들이 설계, 개발, 생산에의 모든 단계에서 고려되어 적절하게 반영되었음을 증명해야 합니다. ISO 26262에서는 프로세스, 위험 평가, 방법론 등 세 가지를 규정해 기능안전을 표준화하고 있습니다. 위험 노출 가능성, 위험의 잠재적 심각도, 통제 가능성에 따라 차량 안전성 보전등급을 결정합니다. ISO 26262의 차량 안전성 보전 등급인 ASIL은 자동차 제품 특성을 반영한 것으로 위험도에 따라 A~D단계로 분류합니다.

최저 등급인 ASIL A부터 최고 등급인 ASIL D까지 총 4개 등급으로 구분되며 ASIL이 높다는 것은 개발 대상의 오류로 사고가 날 경우 상대적으로 피해가 클 수 있다는 의미입니다. 위험을 줄이려면 높은 수준의 안전 메커니즘이 필요하기 때문에 안전에 대한 요구사항은 더욱 높아집니다.

영향 분석

ISO 26262 국제 표준 제청에 따른 국내 자동차 업계에 미치는 영향은?

안정성 무결함 증거 제조사가 제시해야

자동차 제조사(OEM) 측면

자동차 제조사의 기술적 결함에 대한 부담은 더욱 커질 것입니다. 이제까지는 자동차 기능안전 관련 사고 발생 시 자동차 기술적 결함을 소비자가 직접 증명했지만, 앞으로는 자동차 제조사가 국제 표준에 따라 안전한 차량을 개발하기 위해 충분한 노력을 기울였다는 증거를 제시해야 합니다. 그렇지 않으면 징벌적 손해 배상 책임을 져야 할 수도 있기 때문입니다. 따라서 제조사는 전체 개발 단계에서 ISO 26262 표준을 준수했음을 문서로 증명해야 합니다.

자동차 부품 제조사 측면

OEM요구에 선제적 대응 필요. 또 자동차 제조사에 시스템을 공급하는 자동차 부품 업체들은 각 단계별로 개발 체제 및 방식 등을 확립할 필요가 있습니다. 선진국 자동차 업계에서는 ISO 26262 준수를 위해 시스템 성숙도 모델인 CMMI 혹은 Automotive SPICE 등 소프트웨어 엔지니어링 프로세스를 지키고 있습니다. ISO 26262 기능안전규격 도입은 향후 자동차 소프트웨어의 개발 패러다임에도 큰 영향을 끼칠 것으로 예상됩니다. 기능은 점점 다양해지고 복잡해지면서도 짧은 개발 주기를 가진 자동차 산업 특성상 전 제품의 라이프사이클에 안전성과 신뢰성을 높일 수 있는 개발 프로세스를 구축해야만 이 표준을 충족시킬 수 있기 때문입니다.

SPID는

SPID는 CMMI 기반 프로세스 개선컨설팅을 통해 자동차 업계에서 인정 받은 경험을 바탕으로 고객 여러분이 ISO 26262 규격을 보다 효과적이고 체계적으로 도입할 수 있도록 지원해 드리고 있으며, 또한 개발 제품에 대한 Functional Safety 인증 서비스를 제공해 드리고 있습니다.

ISO 26262 규격에 대한 교육(기본교육, 실무교육)
Hazard Analysis And Risk Assessment
FTA (Fault Tree Analysis) / FMEA (Failure Mode and Effects Analysis)
객관적인 ISO 26262 Compliance Level 평가 서비스 (Gap Analysis)
ISO 26262 Functional Safety 충족 지원을 위한 국내외 전문가를 통한 컨설팅 서비스
Functional Safety 충족을 확인하기 위한 Testing Service
ISO 26262 프로세스 인증 서비스

반도체 기능안전 (ISO 26262-11)

반도체 기능안전이란, 반도체의 오작동 행위로 인하여 발생하는 위험원(hazard)의 원인이 되는 비합리적인 리스크(unreasonable risk)를 제거하여 반도체의 안전성을 높이는 것입니다.

반도체 기능안전 개요

반도체 기능안전 활동은 아래와 같은 활동으로 요약할 수 있습니다.

반도체 레벨의 안전 요구사항 도출
반도체 오동작을 방지하기 위한 안전 메커니즘 설계
반도체 안전 분석(FMEA, FTA, DFA)
반도체 고장률 분석을 통한 안전목표 위배 평가 (FMEDA)
반도체 통합 및 시험

이를 위하여 ISO 26262-11에서는 아래 그림과 같이 반도체 내부 IP(Intellectual Property)를 중심으로 반도체 회로 종류 별로 Digital, Analog, PLD(Programmable Logic Device), Multi Core, Sensor & Transducer로 분류하여 고장을 분석합니다. 고장을 회피하여 안전 상태가 되도록 안전 메커니즘을 설계하고, 설계 및 공정 단계별 검증(Verification)을 실시하고 정량적 안전분석인 FMEDA, 정성적 안전 분석인 DFA를 수행합니다. 이러한 안전활동은 안전 매뉴얼(Safety Manual)로 정리합니다.

Dividing a semiconductor component in parts

반도체는 하나의 컴포넌트(component)이며, 반도체 내부적으로 여러 파트들 (parts)로 나눌 수 있으며, 파트(part)는 여러 서브 파트들(sub-parts)로, 서브 파트(sub-part)는 여러 기본 서브 파트들(Elementary sub-parts)로 구성되어 있습니다.

Intellectual property

반도체 내부 재사용되는 모듈로서 ‘반도체 지적 자산’이라고 하며, IP 공급 업체와 IP 통합 업체 간의 인터페이스와 책임 할당에 의해 위험한 고장을 줄여야 합니다.

Semiconductor FMEDA

반도체 내부 고장률 기반 안전분석인 FMEDA는 아래와 같이 수행됩니다.

Semiconductor DFA

반도체 내부 의존고장분석(DFA)는 아래와 같이 수행됩니다.

반도체 기능안전 산출물 List

반도체 기능안전 컨설팅 서비스

SPID는 반도체 기능안전 관련하여 아래와 같은 서비스를 제공해 드리고 있습니다.

ISO 26262-11 규격에 대한 교육
반도체 기능안전 엔지니어링 컨설팅
- 반도체 안전요구사항 도출
- 반도체 안전메카니즘 설계 코칭
- 반도체 안전분석(FMEA, FTA, DFA)
- 반도체 고장률 기반 안전목표 위배 평가(FMEDA : SPFM, LFM, PMHF)
- 반도체 통합 및 시험
반도체 기능안전 프로세스 컨설팅
- 기능안전 관리 프로세스
- 기능안전 지원 프로세스
반도체 기능안전 인증 서비스 (해외 인증 가능(Exida, TÜV…))
- 반도체 제품 인증
- 반도체 프로세스 인증

로봇, 제어시스템, 기계류 기능안전

로봇 시스템, 로봇 설치 라인, 일반제어시스템, 일반 기계시스템(기계시스템, 공압시스템, 유압시스템, 전기시스템), 일반 전기전자시스템(system, hardware, software, semiconductor)의 기능안전 컨설팅, 현장 안전 진단 및 가이드, 관련 교육을 제공하는 서비스입니다.

적용 대상 및 적용 Standard

적용대상

로봇, 로봇 제어시스템, 로봇 설치 라인, Smart factory
일반 제어시스템 (sensor, processor, actuator)
일반 기계시스템 (기계시스템, 공압시스템, 유압시스템, 전기시스템)
일반 전기 전자시스템 (system, hardware, software, semiconductor)

적용 Standard

ISO 10218-1 : 산업용 로봇 기능 안전
ISO 10218-2 : 산업용 로봇 시스템 및 통합, 로봇 설치 라인 안전
ISO 20218-1 : 산업용 로봇 시스템 말단장치(End effectors) 안전스템)
ISO 20218-2 : 산업용 로봇 시스템 수동 이적재대(Manual load/unlosd stations) 안전
ISO 13849-1 : 기계안전-제어시스템 안전관련 부품 설계 원칙
ISO 13849-2 : 기계안전-제어시스템 안전관련 부품 검증
ISO 12100 : 기계안전-위험성평가와 위험성 감소
IEC 61508 : 전기/전자/프로그램 전자 안전관련 시스템

로봇 시스템 안전

ref. https://www.worksafe.govt.nz/topic-and-industry/manufacturing/safe-use-of-machinery/, Figure 34

성능요구사항(PL:Performance Level)
비상정지 / 보호정지
감속제어 (TCP : 250 mm/s 이하)
협동운전 요구사항
위험원 인지와 위험도 평가
본질적인 안전설계 요구사항
보호수단 요구사항
안전 요구사항 및 보호 대책에 대한 확인 검증
사용정보에 대한 요구사항

주요 위험원

ref. https://www.worksafe.govt.nz/topic-and-industry/manufacturing/safe-use-of-machinery/, Figure 7

기계적 위험원
전기적 위험원
열에 의한 위험원
소음에 의한 위험원
진동에 의한 위험원
방사선에 의한 위험원
재료/물질에 의한 위험원
인체공학적인 위험원
기계가 사용되는 환경에 관한 위험원
여러 위험원의 결합

안전요구사항 및 대책의 확인 수단

A : 육안검사
B : 실제 시험
C : 측정
D : 운전 중 관찰
E : 응용별 구성도 및(또는) 회로도 및 설계 재료에 대한 검토
F : 작업기반 위험도 평가 검토
G : 사양 및 사용 정보에 대한 검토

위험성 감소 과정

반복적 3 단계 방법을 포함하는 위험성감소 과정의 도해

제어시스템의 안전관련 부품(SRP/CS)의 반복적인 설계절차

안전기능에 요구되는 PLr 결정을 위한 위험성 그래프

범주에 따른 지정된 architecture

범주B, 1

범주2

범주3, 4

Performance Level 결정

각 채널의 위험한 평균 고장시간 (MTTFd)

진단범위(DC)

SRP/CS에 의해 달성되는 PL을 결정/결과평가하기 위한 단순화된 절차

검증과정의 개요

분석에 의한 검증
시험에 의한 검증
안전기능의 안전요구사항 규격 검증
안전기능의 검증
성능수준 및 범주의 검증
환경 요구사항의 검증
유지관리 요구사항의 검증
기술문서 및 사용자 정보의 검증

기본 안전원칙
충분한 시험을 거친 안전원칙
결함과 결함 제외

로봇, 제어시스템, 기계류 기능안전 컨설팅 서비스

산업용 로봇 관련 컨설팅

산업용 로봇 시스템 현장 안전 진단 및 가이드
산업용 로봇 시스템 위험성 평가 컨설팅
산업용 로봇 시스템 안전 설계 컨설팅
산업용 로봇 시스템 검증 컨설팅
산업용 로봇 시스템 국제 인증 서비스
산업용 로봇 시스템 안전 교육

일반 기계 및 전기전자 시스템 관련 컨설팅

일반 기계 및 전기전자 시스템 현장 안전 진단 및 가이드
일반 기계 및 전기전자 시스템 위험성 평가 컨설팅
일반 기계 및 전기전자 시스템 안전 설계 컨설팅
일반 기계 및 전기전자 시스템 검증 컨설팅
일반 기계 및 전기전자 시스템 국제 인증 서비스
일반 기계 및 전기전자 시스템 안전 교육

선박 자율운항 기능안전

선박 자율 운항의 핵심 시스템인 선박 자율 운항 시스템의 기능안전 적용을 위한 컨설팅을 제공합니다.

IMO의 선박자율운항 단계 구분

ref. IMO MASS Autonomous Resulting from MSC100 3.1.6

선박 자율 운항 시스템의 일반적인 구성

ref. 그림 2.1, 자율운항선박 지침, 한국선급

선박 자율 운항 시스템의 주요 기능