Category Archives: DO-278A

(Paper Review) Effective Management of Functional Safety for ISO 26262 Standard

I recommend this paper for a person in a management level who want to find a functional safety manager, or a person who want to be a functional safety manager.

If you read this paper, you will understand why functional safety compliance is very hard to achieve. Role of functional safety manager is not a safety engineering, but it seems to be common for most untrained persons or persons who has little knowledge for a functional safety have in mind that safety engineering is not related to themselves and it should be covered by a functional safety manager.

If a top level manager also has a similar concept, it would be a big deal to comply a functional safety standard.

In the paper, an author suggests that functional safety manager should be able to have roles in the below

  1. Project/Safety manager – To plan and control. Manage PDCA cycle
  2. Requirement Manager – To manage/establish a scheme that have much convincing.
  3. Configuration Manager

I agree also, and these activities are not engineer’s interest and if nobody takes these kinds of role, then it is not easy to defense against customer audit.

Anyway, it is well written paper. Highly recommended.



(Paper) Functional Safety Extensions to ASPICE According to ISO 26262

과거에 있던 회사에서 자동차 분야에서 functional safety관련된 인증 체계를 구축하기 위한 연구 자료이다.

요약. 자동차 산업은 현재 안전한 개발에 집중하고 있다. 이런 feature의 구현은 전자 하드웨어뿐만 아니라 소프트웨어에서의 복잡성 및 기능 통합을 증가시킨다. 복잡하고 통합된 환경에서 안전을 유지하기 위해서 ISO26262 기능 안전 표준이 이를 지원할 것이다. 자동차 제조사들은 ISO26262도입을 통해 이득을 얻을 것이다. ISO26262의 요구사항 중의 하나는 표준에 부합하도록 사용되는 개발 프로세스 역량(capability)을 평가하는 것이다. 기능 안전 확장은 Automotive SPICE와 함께 사용될 수 있다.

ISO26262 프로세스와 A-SPICE는 굉장히 유사하다. overlap되는 부분이 많다. ISO26262와 A-SPICE에 대한 harmonized integrated process에 대해서는 이 당시 study했던 때와는 많이 생각이 다르다. 과거보다 훨씬 깊이있고 radical하게 변화했다고 생각한다. 그런 idea를 언제쯤 공유하게 될지는 모르겠으나, 일단 여기서는 그 얘기는 하지 않고 논문 이야기만 한다.


  • ISO26262
  • Automotive SPICE
  • +SAFE(CMMI계열이다)
  • ISO/IEC 15504-10 – Safety Extension

Assessment Framework

결국 이것이 인증 체계의 골격이라고 할 수 있을 것이다.  이 논문에서 생각해 낸 것은 3가지이다.

  • Use the Automotive SPICE framework
  • Develop custom framework based on ISO 26262
  • Use framework from other domains


1) Use the Automotive SPICE framework

이 방법은 인증 체계를 SPICE체계의 표준에 align시키는 방법이다. 개인적으로 이 방법을 가장 선호한다. 다양한 분석이 가능하고, 궁극적인 목적인 supplier의 weak point 식별 및 OEM으로서 어떻게 supplier를 이끌어 갈 것인지에 대한 계획을 수립할 수 있다. 그렇게 하려면 ISO 26262를 SPICE스타일로 변환시키는 과정이 필요하다. 이것은 일반 OEM회사에서는 접근하기가 쉽지는 않다. 그러한 평가 모델을 만든다는 것이 말처럼 간단한 것은 아닐 것이다. SPICE는 Plug-in play방식같이 새로운 것을 끼워 넣는 것이 유연해서 가능한 방식이라고 생각된다. 적어도 인증 기관에서 운영을 한다면 이 정도의 품위는 있어줘야 하는게 아닐까 생각을 하기도한다.

2) Develop custom framework based on ISO 26262

26262를 분석해서 checklist를 만들어서 rating하는 방식이다. 만들기는 아주 간단하다. 그러나 평가기관의 품위가 없고 굉장히 평가 점수가 의미하는 바는 너무 단순하다. all or nothing이다. 50점과 70점의 점수의 차이가 굉장히 정성적인 느낌이다. 어차피 안된건 마찬가지다. 그런데 어느 부분에 개선이 필요할까? 이런 부분에 대한 답을 주지 못한다. 그냥 못한거다. 또한 A-SMGCS의 프로젝트에서 TTA가 감사원의 세력을 등에 업고 지적질을 하면서 A-SMGCS 프로젝트를 drop을 시킬 때 이런 방법을 썼었다.

Continue reading (Paper) Functional Safety Extensions to ASPICE According to ISO 26262

Safety Analysis depends on what you contain in the Architecture. So…

Assuming that FMEA and FTA can be generated from Architecture(Sys/EE/SW), quality and depth of safety analysis depends on what you decide to cover in the architecture.

If your architecture is too detailed contents, then it would be labor intensive work. In the SW safety analysis, detailed SW safety analysis is not recommended. For example, ISO 26262 does not require that variable level fault mode has to be considered. If you refer to some papers, you can see such approaches. They always tell us that such task is time consuming work.

In the sense, granularity of architecture is so important. Because FMEA and FTA are different shapes of the diagram for chosen architecture view point, it is so important what kinds of view point has to be necessary.

If you refer to these safety analysis results to specify safety requirements, it will be clear why this requirement is safety related requirements.

While system in the automotive and aircraft vehicle focus on engineering methods to control vehicle, but socio-technical systems such as CNS/ATM system additionally requires related operation process. In this case, FTA and FMEA can enlarge to the operation process scope.

If you understand the principle, it can be applied to different domains.

Thus, important thing is how to determine what contents have to be contained, and how deep it has to be specified. It sounds like boring, but if you do not consider very carefully, you will have poor results even though you spend too much time.

In general, this consideration is functional safety manager’s role. On the contrary, functional safety engineer who knows deep knowledge about product would be hard these determination. Such person is apt to cover contents that does not have to be covered in the safety analysis.

So such policy is necessary. and it has to be determined by functional safety manager and agreed by related functional safety engineers. If there is no policy, you will face overlapped specification among system, SW and EE level.