지난 4월 본지는 서울대학교 IVIT 연구센터와 함께 호암교수회관에서 ‘2014 AUTOSAR/ISO 26262 Breakthrough’ 세미나를 개최했다. ISO 26262 대응 관련 국내 이슈와 표준 개발 동향에 대한 한국산업기술시험원(KTL) 고병각 박사의 강연을 전한다. 

품질에서 기능안전성으로 

자동차 E/E 역사와 관련된 표준을 보면 1985년 품질경영 차원에서 제품개발 프로세스에 대한 ISO 9000, TS 16949 표준이 제정됐다. 1990년대 중후반에는 자동차에 E/E 시스템, ECU 탑재가 크게 늘면서 소프트웨어 중요성이 커지며 일반적 제품 품질과 관계되는 소프트웨어의 개발 프로세스에 대한 CMMI, Automotive SPICE 표준 등이 적용되기 시작했다. 그리고 2000년대 유럽 OEM을 중심으로 품질, 효율 외에 전자장치의 오류에 의한 운전자, 탑승자, 보행자 안전 문제가 대두돼 이의 대응을 위해 IEC 61508이 적용됐다.

그러나 IEC 61508은 E/E 제어기에 적용하기엔 무리가 있었다. 주적용 부문이 화학산업의 밸브제어, PLC 등이었기 때문에 라이프사이클 등 여러 가지 측면에서 자동차에 그대로 옮겨오는데 문제가 있었다. 결국 폭스바겐, 보쉬, 콘티넨탈, TRW 등이 모여 자동차만의 기능안전성을 위한 표준을 만들기로 합의했고, 2011년 ISO 26262 표준이 탄생했다. 자동차 E/E 표준이 하드웨어, 소프트웨어에서 기능안전성으로 옮겨간 것이다.  

한편, 2005년부터 유럽자동차제조사협회는 E/E 제어기에 대한 부품개발에서 서플라이어들에게 Automotive SPICE를 적용하도록 강제하며 2007년부터 실제 평가를 시작했다. 심사원은 대상 부품회사에 대해 Automotive SPICE가 정의하는 15개의 프로세스에 제대로 대응하고 있는지의 역량을 평가해 OEM이 협력사를 선정할 때 참고할 수 있도록 했다. 그 결과 현재 유럽 등의 티어1들은 지난해까지 대부분 Automotive SPICE 대응체제 구축을 마무리한 상황이고, 티어2의 구축이 진행되고 있다.

즉, 유럽과 북미의 자동차 업계는 ISO 26262 대응 이전에 Automotive SPICE를 통해 개발 프로세스에 대한 표준화, 내제화를 완수했고, 여기에 ISO 26262 기능안전성을 추가하고 있는 상황이다. ISO 26262는 기술적 요구사항도 있지만 프로세스에 대한 요구사항이 많으며 백본 프로세스도 이 Automotive SPICE를 기반으로 한다.



우리 기업들은 ISO 26262 대응에서 이같은 상대적 차이를 극복해야만 하는 상황이다. ISO 26262의 기반이 되는 Automotive SPICE의 개발 프로세스의 안착, 운영, 모니터링 과정이 필요한 것이다. 그러나 우리는 시간이 없기 때문에 Automotive SPICE와 ISO 26262를 동시에 진행해야만 한다. 

협력사의 자격과 국내여건  

E/E 서플라이어들은 개발, 안전 프로세스의 표준화를 이뤄내야 한다. 이제부터 E/E 개발 프로젝트에서 OEM의 협력사들은 ISO 26262 등의 표준 개발 프로세스에 따라 제품을 개발해야만 하고, 제품 안전 측면에서 차량 수준의 잠재적 위험이 없다는 것을 보증할 수 있어야 한다.

서플라이어가 RFP를 제출하면 OEM은 이 업체의 능력, 개발역량을 검증하기 위해 TS 16949, Automotive SPICE 등에 대한 평가보고서 등을 요구한다. 또 부품의 기능안전성과 관련된 프로젝트면 ISO 26262 준수를 위해 OEM이 직접 제품을 분석해 ASIL 등급을 포함한 RFQ를 내 서플라이어는 이에 대한 답변을 제시해야만 한다. 이런 과정을 거쳐 ISO 26262의 프로세스에 따라 DIA(Development Interface Agreement)가 체결된다. 이 DIA 단계에서 협력사의 개발 라이프사이클이 정의된다.

ISO 26262는 협력사가 하드웨어와 소프트웨어를 적절히 개발하고 프로세스를 잘 수행하고 있는지를 OEM이 AUDIT하고, 제품에 대한 기술설계 측면에서 ASSESMENT 하도록 정의하고 있다. 이를 통해 OEM은 시스템이 안전 측면에서 문제없다는 것을 확보하게 되고, PL법 등 소송에 대비할 수 있게 된다.



OEM은 시스템을 정의하고, 위험분석을 하고, 각 부품에 대한 안전등급을 산출한다. 세이프티 콘셉트를 개발하고 이들 포함한 RFQ에 따라 서플라이어와 계약을 한다. 이후 사양개발, 시스템 설계, 하드웨어 소프트웨어 개발 후 시스템 레벨에서의 검증, 다양한 실차 테스트를 진행한다. 이처럼 ISO 26262는 안전에 관한 것이기 때문에 관리, 모니터링 요건이 매우 강조된다. 협력사가 개발하는 체계 내, 시스템이 나오기 전 단계에서 OEM은 AUDIT을 수행한다. 또 SOP 전에 제품 측면에서 기능안전성을 만족하는지 ASSESMENT를 한다. 프로세스는 Automotive SPICE와 관련이 깊다.

예를 들어, 유럽의 헬라는 소프트웨어, 하드웨어, 기능안전성 프로세스를 통합하고 있다. 고객의 요구사항을 수집하고, 시스템 요구사항을 분석하고, 아키텍처를 설계하는 단계가 있으며, 이런 단계들은 기능안전성이 요구하는 HAZARD 분석, ASIL 산출 분석 등이 모두 통합돼 있다. 또 이 방법들로는 시스템 FTA, FMEDA 등이 이용되고 있다. 하드웨어, 소프트웨어 디자인은 평행하게 진행된다. 헬라는 Automotive SPICE 등 기존의 자사 개발 프로세스에 ISO 26262를 확장 통합하고 있다. 이런 프로세스는 유럽의 거의 모든 서플라이어들의 대응 전략이다.


이같은 통합 프로세스를 기획, 모니터링하고 결정하는데에는 누군가의 역할이 필요하다. 이것들은 특정 프로젝트 기반의 개발 레이어에서 이뤄지는 것이 아니다. 프로젝트와 무관하게 구매, 마케팅, 품질과 같은 영역에서 이뤄지는 것이기 때문에 프로세스 매니지먼트가 요구된다. 프로세스 매니지먼트란 개발과 지원 프로세스의 정의, 벤치마킹 사례의 공유와 훈련, 지속적인 체계관리 등 조직적 기능의 안전성 문화를 구축하고 관리하는 것이다.

ISO 26262에는 인증이 없다. 표준대로 했는지를 확인하는 Confirmation Measures가 있을 뿐이다. 확인 방법은 3가지다. 프로세스를 제대로 이행했는지를 보는 기능안전성 심사, 제품이 제대로 설계됐는지를 보는 확인 검토, 기능안전성 평가 등이 있다. OEM은 프로젝트가 어떻게 진행되는지 직접 평가를 수행하고 싶어한다. 그러나 예를 들어, 유럽 OEM이 한국에 와서 AUDIT하는 것이 현실적으로 불가능하기 때문에 제3의 기관을 통해 하고 있고, 특정 기관을 지정해준다. 이런 측면에서 외부 3자 심사 모델은 더 활성화될 것이다. 현재 이런 기관은 명성에 기인한다. 그러나 한국산업기술시험원(KTL)과 같이 명성이 떨어지는 기관은 심사체계에 대한 객관적 역량 검증을 통해 공신력을 확보할 것이다.  

반도체가 포함되는 기능안전성 

ISO 26262 표준제정은 TC22 SC3 WG16에서 했다. 의장은 다임러의 유르겐 슈발츠(Jurgen Schwarz)다. 주요 OEM, 서플라이어와 반도체 회사들이 참여했다. 한국에서는 KTL과 현대모비스 등이 들어가 있다. 워킹그룹은 오는 5월 디트로이트 회의를 통해 2018년 2번째 에디션 발표를 목표로 잡을 예정이다.

주요 포함 내용으로는 반도체에 대한 ISO PAS 19451이 있다. 반도체에 대한 별도의 기능안전성 표준을 작업하는 것이다. 이는 2011년 이후 티어1, 2가 반도체 회사에 ISO 26262를 적용했는지를 묻기 시작했고, 무엇이 어떻게 적용됐는지 명확하지 않았던 점이 문제였기 때문이다. 물론 프리스케일, 인피니언 등의 기업은 자체 연구를 통해 고객에게 답을 제공하기 시작했지만 이것이 공통의 이해를 통해 나온 표준화된 것은 아니다.


결국 텍사스 인스트루먼트의 리더가 반도체 회사들을 소집해 반도체에 대한 ISO 26262 표준을 따로 만들자고 해 현재 9개 카테고리로 나눠 작업이 진행되고 있다. 이 PAS는  18~24개월 안에 개발을 완료 2015년 말에 발표하고 ISO 26262의 2번째 에디션이 나오는 2018년에 추가할 방침이다. ISO PAS 19451 SWG의 리더는 텍사스 인스트루먼트의 칼 그렙(Karl Greb)이고, OEM 외에 프리스케일, 인피니언, 르네사스, 알테라, ARM, Xilinx, 온 세미컨덕터, 멜렉시스 등 대부분 반도체 회사 멤버들이 참여하고 있다. 한국에서는 IA가 들어가 있다. 반도체 회사들 모두가 ISO 26262에 대한 공동 대응을 약속한 것이다.

세부 카테고리는 FPGA와 프로그래머블 컴포넌트, 아날로그 컴포넌트, MEMS와 센서 컴포넌트, IP 컴포넌트, 품질 요구사항, 분석방법 등의 가이드라인 9개 분야다. 이렇게 되면 이제 반도체 회사들은 예를 들어 종속고장(Dependent Failure Analysis)에 대해 어떻게 대처할 지, Failure rate를 구체적으로 어떻게 평가할 것인지를 명확히 해야만 한다.

트럭ㆍ버스ㆍ모터사이클

2018년에는 ISO PAS 19695도 추가된다. 현재 ISO 26262는 양산 승용차에만 적용되지만 이 PAS는 모터사이클의 E/E 제어기를 대상으로 한다. 일본이 제안해 유럽과 함께 작업 중이다. 타임라인은 내년 새로운 작업을 시작하고 2018년 이전에 PAS 작업을 완수해 ISO 26262 2번째 에디션에 집어넣는 것이다. 이슈는 TC22 SC22가 모터사이클을 담당하기 때문에 승용차와 함께 포함될 것인지가 결정되지 않은 점이다.

나머지 하나는 SWG T&B다. 이는 3.5톤 이상의 트럭과 버스에 대한 요구사항이다. SWG T&B의 리더는 볼보의 페르 요한슨(Per Johannessen)이다. 멤버는 만, 다임러, 와브코, 르노트럭, 히노, UD트럭, 미쓰비시 푸조, 이스즈, 토요타, 볼보, 스카니아, 인포티브, 델파이 MIRA, 나비스타 등이다. 한국은 없다. 지난해 8월까지 한국대표 선임 요청이 있었지만 다들 관심이 없었다.

트럭은 승용차와 비즈니스 모델이 완전히 다르다. 트랙터와 짐을 실는 트레일러로 구분되고 제조사도 다르다. 전자제동 시스템(EBS)을 예로 들면, 트랙터에서 신호를 보내 트레일러에도 제동을 걸어야하는데 기능적으로 분산돼 있다. 이같은 분산개발 형태의 프로세스를 어떻게 효율적으로 가져가야할 지를 정하는 것이 중요 과제 중 하나다. 트럭과 버스의 작업 분량은 승용차만큼 많고 그만큼 유럽과 일본 엔지니어들이 심혈을 기울이고 있다. 

AEM_Automotive Electronics Magazine