어떤 전문가는 “좁은 관점에서 본다면 소프트웨어는 투자 대비 결과가 명확히 드러나지만 아쉽게도 아직까지 하드웨어는 과거에 있다”고 말한다. 국내 관련 업계의 ISO 26262 대응 방향을 보면 하드웨어보다 소프트웨어 레벨에 집중하는 경향이 보인다. 그러나 오히려 가장 높은 잠재적 리스크를 지닌 부분은 하드웨어다.

기능안전성의 시대 

지난 2011년 독일의 ADAC(Allgemeiner Deutscher Automobil-Club)은 총 4,300명의 회원을 대상으로 설문조사를 벌였다.

일반적으로 신차 구매 시 우선 고려조건은 차량 가격이나 연비, 디자인, 출력 등이 될 것인데, 이 조사에서는 신뢰성이나 품질, 안전 점수가 더 높게 나왔다. 운전자, 동승자 및 보행자의 생명과 직결되는 차량 품질과 신뢰성이 100점 만점 중 71.1점으로 가장 높은 점수를 받았고, 안전과 안전 관련 장치가 55.9점으로 2위에 올랐다.

기능안전성 국제표준인 ISO 26262가 정식 확정된 지 약 2년 6개월이 지났다. 독일과 일본의 주도로 표준 제정이 이뤄졌기 때문에 우리나라 업체들은 상대적으로 ISO 26262에 대응하기 위한 준비기간이 부족했다 할 수 있다. 그러나 기술이나 시대 흐름은 기능안전성 대응을 필수로 요구하고 있어 지역에 관계 없이 OEM과 부품사들 중심의 기능안전성 확보 노력은 갈수록 심화되고 있다. 


차량에 탑재되는 ECU의 양적 증가와 더불어 운전자 편의장치, 다양한 운전자 지원 시스템의 개발이 가속화되면서 ISO 26262에 대응하기 위한 포괄적이고 통합적인 활동도 필연적으로 동반되고 있다. 비록 ISO 26262가 법적 효력을 가진, 강제성을 지닌 국제표준은 아니지만 ISO 26262에 대응하지 않는다면 국제시장에서 기술 생존, 수출 경쟁력이 현저히 떨어질 것이라는 것이 업계의 중론이기 때문이다. 부품, 시스템 나아가 전체 차량에 대한 ISO 26262 인증이 매우 강조되고 있다.

각각의 하위 시스템이나 전체 시스템에 대한 Safety Goal의 도출과 각 수행 주체(OEM, 티어1 등)에서 제시하고 결정하는 Safety Culture와의 부합 여부, 각 단계에서 이뤄지는 Safety Activity와 Safety Management를 통해 구축하고자 하는 공통의 목표는 결국 차량의 주행(정차 및 주차 상태 포함) 프로세스 상에서의 안전상태(Safety State)의 확보다.

하드웨어의 중요성

어떤 전문가는 “좁은 관점에서 본다면 소프트웨어는 투자 대비 결과가 명확히 드러나지만 아쉽게도 아직까지 하드웨어는 과거에 있다”고 말하기도 했다. 


국내 관련 업체의 ISO 26262 대응 트렌드를 보면 하드웨어보다 소프트웨어 레벨에 집중하는 경향이 나타난다. 그러나 오히려 가장 높은 잠재적 리스크를 지닌 부분은 하드웨어 레벨이라고도 할 수 있다. 물론 소프트웨어에 대한 대응도 반드시 필요한 요소임이 분명하지만 소프트웨어에 대한 정량적 신뢰성 평가기법은 현재까지 정형화돼 있지 않다. 그리고 이것이 ISO 26262에 대응하는데 가장 큰 장애가 되고 있다.

하드웨어의 경우에는 FMEA나 FTA와 같은 대표적인 신뢰성 평가 기법이 이미 수십년 전부터 다양한 산업 분야에서 적용돼  왔다. 또 Markov Process나 Hardware-in-the-Loop Test 역시 많은 업체에서 다양한 조건을 기반으로 분석하고 있다.

독일의 한 OEM은 ISO 26262나 IEC 61508이 존재하기 이전인 약 40년 전부터 자사에서 사용하는 혹은 부품사로부터 공급받아 사용한 부품, 시스템에 대한 방대한 Reliability Database를 구축해 운영하고 있고, 이를 통해 신제품의 기계적 고장(소프트웨어 Failure로 인한 고장 제외)이나 수명예측을 오차 범위 ±3% 내에서 도출해왔다.

또 Proven-in-Use를 통해 보다 높은 신뢰 수준에서 수명을 예측한다(이들 부품 및 시스템의 현재 사용 여부는 알려지지 않았음). 물론 하드웨어 레벨에서도 HARA, FMEA, FTA, Markov 등 ISO 26262에서 제시하는 수많은 신뢰성 평가를 수행해야하고 상당한 어려움도 있다. 장기간에 걸친 데이터, 수많은 관련 전문가, 그리고 비용이 필요하다.



품질은 자연히 달성된다

ISO 26262는 모든 OEM, 부품 업체가 반드시 인증 받아야하는 강제적인 표준은 아니다. 제3의 기관을 통해 인증 절차를 진행할 필요도 없다(물론 기업의 마케팅 및 제품의 판매나 수출의 측면에서 본다면 객관적인 인증기관으로부터의 인증이 필요할 수 있다). 

현재 국내 기업들의 ISO 26262 대응 단계, 수준은 ISO 26262 표준 개념 단계에서부터 지속적으로 참여해 온 몇몇 선두 업체들과 절대적 비교 자체가 불가능할지 모르지만, 독일에서는 주로 OEM과 부품 공급업체 간 공동 프로젝트를 통해 부품업체가 자사의 제품을 OEM이 요구하는 ISO 26262 수준으로 충분히 대응해 공급할 수 있도록 협업 시스템을 구축하고 공통의 관심사에 대한 논의와 커뮤니케이션을 통한 Validation을 수행하고 있다.

ISO 26262는 품질 측면에서의 접근방식이 아니다. 많은 사람들은 ISO 26262의 대응을 차량 자체나 대상 시스템의 충분한 품질 확보에 있다고 생각하기도 한다. 그러나 품질은 그림에서와 같이 가장 낮은 수준에 있다. 즉 바꾸어 말하면 품질 측면에서의 접근이 올바른 것이 아니라 안전성, 신뢰성 측면에서 대응해 나간다면 품질 목표는 자연히 달성되는 것 정도로 인식하는 것이 맞다.

여러 형태와 기능을 수행하는 ECU의 개발이 나날이 짧아지고, 부품 수준에서부터 이미 복잡성이 가시적으로도 증가하고 있다. 이에 따라 각 ECU가 처리해야 하는 기능 역시 다양해지고 있다. 아이러니하게도 ECU 기술의 발전은 품질이나 신뢰성, 안전성을 다루는 전문가들에게는 넘어야 할 해결과제가 되고 있다.

일반적으로 하드웨어의 발전 속도는 소프트웨어의 발전 속도보다 빠르지만 소프트웨어의 발전 속도를 무시한 하드웨어 역시 의미를 두기 힘들다. 감성적인 표현일 수 있으나 ISO 26262 대응을 비롯해 안전성의 확보, 그리고 제품에 대한 책임과 고객요구에 대한 충분한 대응은 향후 기술적 발전에 큰 밑바탕이 될 것이다(실제로도 독일 OEM들은 기술 실무 고객 전담 부서를 설치해 성공적으로 운영하고 있다). 

AEM_Automotive Electronics Magazine