이 글은 ams가 최신 자동차용 비접촉식 위치 센서에 ISO 26262 요건을 어떻게 구현하는지를 설명한다. 또 자동차, 산업용 및 의료용 애플리케이션을 더욱 안전하고 미래에 적합한 제품으로 만들기 위해 위치 센서에서 일반적인 안전 기능을 구현하는 ams만의 기법도 소개한다.

전자기기가 갈수록 복잡해지면서 기능적인 면에서 장애가 발생할 수 있는 가능성도 점점 증대되고 있다. 무엇보다 안전의 중요성이 강조되는 자동차, 산업용 및 의료용 애플리케이션에서는 최악의 경우 기능 장애로 인해 사용자의 부상이나 심지어 사망으로 이어질 수 있다.

새로운 자동차 기능안전성 표준인 ISO 26262는 최대 중량 3.5 t에 해당되는 모든 차량에 탑재되는 전기/전자 시스템에 적용된다. 이 표준은 자동차 OEM 뿐만 아니라 부품 공급업체에도 적용된다.

ISO 26262 요구사항

그림 1은 ISO 26262에서 규정하는 안전 수명주기로, 10개의 포인트가 정의돼 있다. 이 수명주기는 자동차 개발 및 생산 단계와 정확히 일치한다.

보통 모든 새로운 애플리케이션에는 ASIL(자동차 안전 무결성 등급) A부터 D까지 매겨진다. ASIL은 애플리케이션을 통해 거리에서 사용자가 노출될 수 있는 안전 위험성을 반영한다. ASIL 등급이 D(고위험)로 평가된 애플리케이션은 ASIL A 애플리케이션보다 안전 요건이 훨씬 까다롭다.

애플리케이션에 적용되는 등급은 ISO 26262에서 정한 프로세스(그림 2)에 따라 철저한 위험 분석과 진단을 거쳐 결정된다.

ASIL 등급에 따른 안전 요건 책정 방법

기능안전성 요건은 애플리케이션의 특성을 기준으로 결정된다. 예를 들어, 제동 시스템의 기능안전성 요건은 운전자의 발에서 브레이크 페달로 전달되는 압력에 항상 반응해야 한다는 것이다.

기술 안전 요건은 기능안전성 요건에서 파생된다. 기술 안전 요건에서는 기능안전성 개념을 구현하는 방법을 설명한다. 이러한 기술의 특성은 ISO 26262 part 4-6에 정의돼 있다. 예를 들어, 제동 시스템의 기술 안전 개념에서는 운전자의 발에서 페달에 가해지는 압력이 브레이크를 작동시키는 방법을 설명한다. 이러한 기술 안전 개념에서 다시 하드웨어 및 소프트웨어 안전 요건이 파생될 수 있다.

그림 3에서 보듯이, 일반적으로 OEM이 기능안전성 개념을 만들면 공급업체가 최적의 설계로 그러한 개념을 구현한다.

지금까지 간단하게 ISO 26262를 소개한 내용을 종합해 보면, 각 애플리케이션별로 완전히 새로운 안전 프로세스 흐름을 만들어야 할 필요성이 명확해진다. 즉 단일 애플리케이션에만 사용되는 부품이 있다면, 해당 부품 공급업체에서는 프로세스 흐름을 하나만 구현하면 된다.

그런데 ams에서 생산하는 표준 센서와 같이 여러 애플리케이션에 사용할 수 있는 전자부품의 경우에는 문제가 훨씬 복잡해진다. 센서가 사용될 수 있는 각 애플리케이션별로 별도의 프로세스 흐름이 필요하기 때문이다.

표준 ams 센서의 ISO 26262 요건 이행 방식

ams에서 공급하는 모든 새로운 표준 센서는 현재 ISO 26262에서 정한 프로세스에 따라 개발되고 있다. 또한 ams는 모든 부품이 고객이 해당 부품을 사용할 수 있는 모든 애플리케이션에서 목표 ASIL 등급을 획득하도록 하는 것을 목표로 하고 있다. 이를 위해 ams는 각각의 잠재적인 애플리케이션마다 애플리케이션의 고객이 제시한 ASIL 등급을 사용해 별도의 안전 분석을 실시하고 있다.

ISO 26262 개발 흐름의 일환으로 ams는 장치가 사용될 수 있는 각 애플리케이션에 대해 FMEDA(고장 모드, 영향 및 진단 분석)을 실시하고 있다(그림 4). FMEDA는 장치의 중대한 고장 모드를 규정하는 이전의 고장 모드 및 영향 분석 개념을 확대한 것이다.

각 애플리케이션에 대해 고객이 정한 안전 요건은 FMEDA의 결과에 영향을 미친다. 따라서 이 FMEDA는 각 위치 센서마다 센서가 사용될 수 있는 모든 애플리케이션별로 실시된다.



그림 4에는 ams FMEDA의 결과가 나와 있다. 각 애플리케이션마다 ams는 단일 고장 지표, 잠재 고장 지표 및 FIT(Failure In Time) 비율을 계산한다.

FMEDA 외에 안전 트리(safety tree)도 분석 도구로 사용된다. 안전 트리는 시스템에서 발생할 수 있는 모든 오류와 그러한 오류의 원인을 보여준다. 고객에게 중요한 개념인 이 안전 트리는 정확하게 안전 분석을 수행하고 ASIL 등급을 계산하는 데 도움을 준다. 그림 5에는 FTA(Failure Tree Analysis)의 개념이 나와 있다.

ams 센서의 안전 성능을 분석하는 프로세스는 이것으로 끝이 아니다. ams는 고객에게 각 센서의 FIT 비율 계산 결과도 제공한다. FIT 비율은 109(114,000년)의 작동 시간 동안 장치에서 발생하는 평균 고장 횟수를 측정한 수치다. 109시간 동안 오류가 1회 발생할 경우 1 FIT에 해당한다. 이 계산 결과는 장치의 작동 온도 변화에 따라 달라진다.

안전한 작동을 위한 하드웨어 장치 설계

자동차 부품업계가 ISO 26262의 엄격한 규칙을 따르기 전인 수년 전부터 ams는 이미 모든 자기 센서의 안전한 작동을 보장하기 위해 고유한 기법을 적용하고 있었다. 이러한 기법은 자동차, 산업용 및 의료용 완제품에 사용되는 안전이 특히 중요한 애플리케이션에 매우 효과적이다.

고객의 ASIL 요건에 따라, ams는 싱글 다이 장치 또는 이중화(듀얼 다이) 패키지를 공급할 수 있다.
ams의 차세대 홀 효과 위치 센서에는 새로운 ‘3D’ 기술도 적용됐다. 이 센서는 x, y 및 z 축에서의 위치 오차를 측정할 수 있다. ISO 26262를 준수해야 하는 OEM에 특히 유용한 기술이다. ams의 3D 센서는 애플리케이션과 고객의 안전 요건에 따라 싱글 다이로 ASIL B 또는 ASIL C까지 구현 가능하기 때문이다.




이러한 3D 장치의 내부 안전 트리는 시작할 때마다 장치에서 발생 가능한 모든 내부 오류를 검사한다. 듀얼 다이를 사용해야 하는 경쟁업체의 비접촉식 위치 센서에 비해, ams의 싱글 다이 장치는 막대한 비용 및 시스템 설계상의 이점을 제공한다.

페달과 같이 안전이 특히 중요한 애플리케이션에는 듀얼 다이 솔루션이 필수다. 2개의 센서와 2개의 전원공급장치가 병렬로 작동하고 마이크로컨트롤러가 2개의 결과를 비교한다. 두 결과가 서로 일치하지 않으면 마이크로컨트롤러에서 오류가 감지된다.

ams는 이러한 요건을 충족하기 위해 독립된 센서 2개를 포개어 단일 패키지로 만든 적층형 다이 기술을 개발했다. 이러한 기술은 두 개의 독립된 다이가 각각 동일한 자기장 위치에 있으면서 정상 작동 시 서로 동일한 측정 결과를 생성하도록 보장한다.

가장 중요한 오류 및 감지 방법

표유자계에 대한 내성
자기 위치 센서의 위치가 외부 자기장원에 가까운 경우, 자기장이 센서의 결과에 영향을 미칠 수 있다. 일례로 브러시리스형 DC 모터에서는 강한 자기장이 발생한다.

ams에서 생산하는 비접촉식 홀 효과 위치 센서는 이렇게 매우 강한 외부 자기장이 발생하는 경우에도 사용하는데 문제가 없다. ams의 특허 기술 덕분에 최고 25,000 A/m의 자기장에서도 외부 차폐 없이 센서가 정상 동작한다(그림 7).

시스템 오류 검사
자동차용 애플리케이션에 사용되는 ECU(전자제어장치)의 경우 반드시 센서에서 모든 오류를 감지해 내야 한다. 손상된 GND 또는 VDD 신호가 있는 경우 센서에서 ECU로 알려진 상수 값을 보내는 것이 중요하다.

ams가 공급하는 모든 새로운 위치 센서에는 손상된 GND 및 VDD 신호를 자동으로 감지하는 기능이 내장돼 있다. 애플리케이션의 전원 또는 GND가 손상된 경우에 센서는 자동으로 안전 모드로 전환된다. 이 모드에서는 ECU가 센서 애플리케이션의 오류를 감지해 적절한 안전 절차를 트리거할 수 있다.

이러한 감지 기능은 싱글 다이 및 적층형 다이 패키지를 막론하고 모든 애플리케이션과 -40 ~ 150 ℃의 온도에서 동작한다. 또한 듀얼 다이 장치에서나 가능한 특수 4선 구성으로 작동하면서 싱글 다이 장치에서 요구되는 완전 이중화된 6선 구성을 대체한다.

누락된 자석 감지
자석이 손상되거나 누락되면 당연히 애플리케이션의 자기 위치 센서가 제대로 작동하지 않는다. 따라서 이러한 오류를 감지하는 기능은 안전상 필수적이다. ams 센서에서는 장치의 자동 게인 컨트롤 기능을 사용해 자석의 위치를 읽는 방식으로 이 오류를 감지한다. 이 값이 너무 높으면 센서가 오류를 감지해 안전 모드로 전환한다.

오작동 장치 감지
센서가 오작동하면 잘못된 위치를 나타내는 신호를 보내게 될 수 있으므로, 그러한 센서를 감지하는 것도 중요하다. 모든 ams 센서가 병렬로 제공하는 다양한 확장 신호의 상관관계를 분석해 일관성을 검사할 수 있다. 이러한 신호를 스위칭해 센서의 버스를 테스트하고 센서의 작동 상태에 대한 정보를 얻을 수 있다. 그리고 마이크로컨트롤러에서 센서의 작동 상태에 대한 정보를 읽어서 문제가 있는지 여부를 차량의 제어 시스템에 알린다.

안전은 이미 오래 전부터 ams의 회사 철학에서 기본이 되는 중요한 요소 중 하나였다. 따라서 ams는 ISO 26262의 요건을 수용해 추가 생산 프로세스 흐름과 FMEDA를 자동차용 위치 센서의 개발 및 생산에 도입했다. 그 결과 자동차 부문의 모든 고객이 모든 위치 센서를 모든 애플리케이션에 사용해 ASIL 등급을 실현하는 동시에 필요한 안전 기능을 갖추도록 지원할 수 있게 됐다. 
 

AEM_Automotive Electronics Magazine