SW 안전성 - 분석

안전성 분석기법

 

귀연상하(귀납,연역,상향,하향)

 

[개념] 시스템이 만족해야 하는 안전성에 대해 확인하는 활동으로 Mission Critical한 시스템 개발시 반드시 수행해야 하는 활동

[종류]

1.귀납 - 주어진 데이터 활용해 결론도출(FMEA, HAZOP)

2.연역,상향,하향 - 전체,낮높 상향, 높낮 하향 로부터 결론 도출(FTA)

3.컴포넌트 - 컴포넌트, 상호작용,시스템 위협

[유형]1)예측관점:FMEA, FTA, HAZOP 2)컴포넌트: SWSA, STAMP, STPA

2)대응관점:Fuzzing, Mutation, Blackbox

3)보안관점:침투, White Hacker

 

IEEE Std 603 - 원자력 발전소 표준

IEEE Std 7-4.3.2 - 원자력발전소 디지털컴퓨터 시스템

MIL-STD-882B - 국방분야표준(13가지 활동수행지시)

ISO 26262 - 자동차분야안전표준(HAZOP, Checklist, FMEA, FTA등 가능)

DO-178(B), ©

[확장] CHASSIS(안전,보안), HiP-HOPS(시스템 계층모델)

[효과적 테스트]특성고려 테스트케이스/시나리오, 입/출력값 정의, 테스트전략, 테스터역할, 결함지표

 

 

 

 

 

 

 

 

 

 

 

 

(https://spri.kr/posts/view/22220?code=inderstry_trend

주요 분야의 시스템 안전 관련 국제 표준 동향 - SPRi

SWSA(Software Safety Assessment)

 

워크시트, 정성적표현

 

[개념] 위협 식별과 원인, 영향 등을 밝혀낼 수 있는 분석기법. 위험과 원인 제거

[장점] 체계적 수행가능, 분석전문가/개발자 이해용이

 

1)FMEA :고장모드,영향분석

2)FTA:결함트리분석

3)HAZOP:위험,운영 가능성 분석, 위해요소 발견

4)PHA:예비위험분석

 

---

STAMP(System Theoretic Accident Model and Processes)

 

컴포넌트간 상호작용

제약사항 중심

 

[개념] 컴포넌트 고장, 컴포넌트간 상호작용 포함 고장 원인분석 기법

[Approach] 사고원인:사람,환경,사회

[범위] 전자기적, 기계적 특성 컴포넌트

 

---

STPA(System Theoretic Process Analysis)

 

결함 원인 인자

 

[개념] 시스템의 각 요소가 이상없이 동작하더라도 요소간의 상호작용이 시스템의 안전성 위협가능성 분석기법

[범위] 컴포넌트,설계 오류, SW결함,컴포넌트 상호작용기반 사고, 관리요소

[특징] 사고 시나리오, 가이드워드, 설계전 효과적

[단계] 시스템 제어구조도>USA(Unsafe Control Action) 식별, 안전 제약사항정의, Casual Factor 도출

 

4가지 위험상황(컨트롤의 부재, 부적절한 컨트롤, 컨트롤 타이밍, 컨트롤 지속시간 의미), Control Structure 모델링

[사례] ISO 26262 기반 안전분석-시스템,SW대상

기능,아키텍처>동작흐름>안전위협,안전제약정의>Safety 분석>안전 요구사항 정리

1단계: UseCase + STPA 2단계: FEMA/FTA,STPA 2단계

 

---

FHA (Functional Hazard Assessment)

 

고장모드 및 영향분석,

안전성 목표

Failure, Function, 개발초기단계

하향식, 브레인스토밍

 

[개념] 실패를 유발하는 기능을 찾아내는 기법으로 개발초기 또는 시스템을 정의하는 단계에서 적용가능한 안전성 분석기법

[목적] 위험정의, 위험의 영향, 영향의 심각정 정의

[기법] 하향식 (Top-down)으로 분석을  반복. 브레인스토밍을 통해 기능과 관련된  위험을 정의하고 위험이 미칠 영향, 영향의 심각성 등을 정의

 

[Approach] 시스템의 안전을 위한 필요조건 정의

[Output] 테이블(함수, 실패조건, Hazard Description, 실패조건 영향도, 분류, 지원모델 레퍼런스, 검증)

 

---

PHA(Preliminary hazard analysis)

 

예비위험 분석

체크리스트, 전문가,

브레인스토밍

설계단계 또는 요구분석 늦은단계

 

[개념] 체크리스트를 사용하여 설계단계에서 브레인스토밍을 사용하여 시스템의 이해도가 높은 전문가를 통해  안전성 분석기법

[목적] 예비위험분석 [기법] 브레인스토밍, 체크리스트

[단계] (1)위험 내포 시스템 요소, 이벤트 식별 (2) 사고 발생 가능 이벤트 시퀀스 고려 (3) 사고 결과, 수정방법 고려

 

[체크리스트 항목] 완전성, 일관성, 정확성

[Output] 테이블(함수, 실패조건, 영향도, 구분, 검증)

[유사기법] 1)SHA:시스템 위험분석

2)SSHA: 컴포넌트 동작 조합, 고장모드 영향분석

3)OSHA: 사람, 기계간 I/F 위험조사

 

---

FMEA(Failure Mode and Effect Analysis)

 

고장확인하기 좋음

RPN(심각도,발생도,검출도)

1-10등급 1,4,7,10 4레벨 구성

워크시트 작성, 역방향분석

컴포넌트 상호작용 명확하게 설명불가

-> FSD보완

 

[개념] 잠재적인 고장, 문제, 오류를 도출하고, 이를 정량화하여 우선순위 등급별 대응방법을 수행하는 안전성 분석기법 (찾고, 정의하고, 제거하는 분석기법)

[유형] 시스템,설계,공정

[사례] 차량 안전성 보장 등급 ASIL 적용

[프로세스] 고장모드 예측 -> 정량분석 (심발검) -> 위험우선순위 (RPN) -> 문제항목조치

 

 

[우선순위 도출방법]

심각도(Severity) : 설계상 문제

발생가능성(Occurrence) : 공정상의 문제

검출도(Detection) : 관리 문제

 

[고장우선 순위 Risk Priority Number] RPN = S x O x D

RPN = 1 : 현재 기술로 대응가능 -> 조직구성,대응

RPN = 5 : 현재기술에 추가요건 필요 -> 추가연구

RPN = 10 : 현재 대응 불가능 -> 아웃소싱

 

 

[Output] 테이블(컴포넌트,고장가능성,고장모드,모드별고장,고장효과)

ECU, AutoSAR연계

 

 - 적용시기 및 기대효과

 1) 적용시기 : 신규 제품/프로세스 개발 중, 수준 낮아 수정 필요시.

                   신규 설비 도입으로 프로세스 변경, 개선사항 인한 잠재위험

 2) 기대효과 : 잠재결함 및 고장모드 사전제거로 고장발생 확률 적은 설계안

                   Critical item list 선정 및 신뢰성 시험항목 결정

                   문제해결 매뉴얼 개발하는 기초자료 제공

                   고장진단 및 시스템 성능 감시 위한 기초

                   유사시트메설계시고장예방 노하우 추적

 

 

 

 

 

---

FSD(Failure Sequence Diagram)

FMEA보완, 컴포넌트 상호작용

Sequence Diagram

Hazard Actor

 

[개념] FMEA조사 단계 이후 컴포넌트간의 상호작용을 보여주기 위해 시퀀스 다이어그램 사용하여 현재의 제어상태와 참조 행동 기술 통한 안전성 분석기법

[기법] Seq Diagram 활용 현재 제어상태, 참조 행동(Action) 기술

 

---

HAZOP(Hazard and operability analysis)

 

위험,운영 가능성 분석, 위해요소 발견

설계, 운영상 편차로 발생

워크시트 작성,

정성적 가이드 워드(변수의 질이나 양을 표현하는 간단한 용어)

브레인 스토밍

 

[개념] 설계 완료시점에 기능,요건, HAZOP 가이드워드 조합 통해 예상치 못한 행위 도출 및 영향을 통해  안전성 분석기법

[적용시기] 설계가 거의 완성된 시점, 기존공정

[절차] 목적,범위결정->팀구성->검토준비->토론 및 검토->후속조치->결과기록

[기법] 브레인스토밍, 팀장의 체계적진행, Study Node, Guide Words, 공정변수의 순차적 적용을 통하여 가이드워드 조합, 이탈의 전개, 이탈에 대한 원인파악, 결과 예측안전조치의 강구, 위험등급을 산정

 

[특징] 평가대상 및 위험요소의 누락가능성 최소

비교적 객관화된 평가서 작성

많은 인력 및 시간소요

설계와 현장 불일치시 검토오휴 발생

 

[가이드워드] 편차요소 밝히기 위한 파라메터(온도,압력)

No, Less, More, Reverse, Also, Other, Function, Early, Late, Before/After, etc

[Output] 테이블(가이드워드, 가능 조건, 가능 발생)

 

---

FTA(Fault Tree Analysis)

 

결함 트리 분석, 도해적 분석

AND,OR 논리게이트

고장 최상위 배치

Top-Down 도출

초기 기능 FMEA, 설계말 FTA로 연계

시간에 따른 조건 판별 불가

 

[개념] 위험으로부터 위험의 원인을 트리 다이어그램을 통해 Top Down 방식, 논리게이트 활용하여 연역적으로 결함을 찾는 안전성 분석기법

[기호] 사상기호, 게이트 기호

 

 

 

[절차]

1)정성적 단계:Top-Event설정->대상특성파악->FT작성

2)정량화 단계: FT구조해석->FT정량화->평가

 

 

[용어]

1)정상사상(Top Event): 고장

2)기본사상(Basic Event): 기본적 사고원인

3)중간사상 (Intermediate event)

4)결함수 (Fault tree)기호: 결함원인 기호표현

[Minimal Cut Set] 정상사상을 발생시키는 기본사항의 집합

[Minimal Path Set] 정상사상을 발생시키는 기본사상의 최소집합

 

[프로세스]

3) FT 작성(Basic Event 까지 분석)

4) FT 구조 분석(부울대수 이용 간소화, MCS, MPS 도출)

5) FT 정량화(발생확률계산, 과거와 오차 큰 경우 FT 재수행)

 

 - 평가방법

 1) 정성 평가

  ① 컷셋(cut set) 결정 : 분석대상시스템의 FT 작성 후 고장 유발시키는 기본

     고장 집합으로 구성된 컷셋결정

  ② 최소 컷셋 결정 : 고장유발의 필요 불가결한 기본 고장 집합, 합집합표시

 2) 정량평가

  ① 신뢰도 정보 : 기본고장/최소 컷셋/시스템 고장 신뢰성 정보량 산출

 

※ 최소컷셋

 - Fault Tree 속 포함된 모든 기본사건이 일어났을 때 정상사건을 일으키는 기본사건들의 집합, Fault Tree의 정상사건을 일으키는 사건들의 필요 최소한의 조합

 

[장점] 사고원인규명 간편화,사고원인분석 일반화 및 정량화,노력 및 시간절감,시스템 결함 진단

[단점] 숙련된 전문가 필요,고장률 확보 전제,발생가능 최악 시나리오만 가정,AND 사용유의

 

---

TFT(Temporal Fault Tree)

 

 

[개념] 시간변화별 조건율 표시 통해 결함,이벤트간 임시적 의존성을 Temporal Gate 를 통해 표현하는 안전성 분석기법

[구성] PREV Gate, p 시간

 

---

 

 

• 소프트웨어 품질에 의한 피해 방지를 위하여 소프트웨어 안전성 기준 확보 및 보증 프로세스 구축, 분석기법의 적용 등을 통해 체계적인 소프트웨어 안전성 확보 필요
• 기능 안전성에 대한 제품의 요구사항을 분석하는 데에는 Hazard 분석 기법이 가장 효율적으로 알려져 있음
• 소프트웨어 단독이 아닌 산업제품과의 결합된 소프트웨어 이므로 단순히 품질로써 접근할 것이 아니라 안전성 중심으로 산업특성을 고려