여러 회사가 공동으로 개발한 컨트롤 유닛의 기능안전성은 ‘체계적인 조직화’ 여부에 달려있다. 개발조직은 여러 개발 팀의 방법론적 노하우를 종합하고 검증된 개발 툴을 사용하며 여러 기술적 전문성을 하나의 엄격한 프로세스로 통합해야 한다.

ECU(Electronic Control Unit), 즉 ECU 소프트웨어에 의해 작동되는 자동차 기능이 보다 다양해지고 있다. 또한 다수 ECU에 연결된 소프트웨어 기능의 수도 증가하고 있다. 일부 하이엔드 모델의 경우 데이터버스로 연결된 100여 개 이상의 ECU가 자동차 여기저기에 장착된 센서와 통신하기도 한다. 자동차 간 연결 및 자동차와 주변환경간 연결도 빠르게 확대되고 있어 이제 자동차는 복잡한 커넥티드 모빌리티 세상의 네트워크 노드로 변모하고 있다.

연결성이 확대되면서 보다 안전하고 효율적인 주행이 가능해졌지만 그에 따른 리스크 또한 발생한다. 이런 이유 중 하나는 여러 지역에 분포한 팀이 함께 개발하는 등 커넥티드 ECU 개발 프로세스가 점차 복잡해지고 있다는 점이다. ECU 소프트웨어 개발 및 선행 캘리브레이션(pre-calibration)에는 ECU 제조업체의 개발자 및 캘리브레이션 엔지니어 뿐 아니라 공급업체, 그리고 자동차 제조업체의 개발자도 관여된다.

즉 다양한 팀이 엔진 ECU와 관련한 연료 분사, 공기 공급, 점화 및 수많은 매개변수 문제에 관여하는 것이다. 심지어 전체 개발 프로세스가 여러 번 수행되는 경우도 있다. 물론 소비자는 차이를 느끼지 못하겠지만, 자동차 제조업체는 ECU를 제대로 확보하기 위해 종종 여러 공급업체에 동일한 ECU를 주문한다. 이러한 상황에서 우리는 생산이나 공급업체를 막론하고 최종 ECU와 소프트웨어의 기능안전성과 안정성을 보장해야 한다.

공동개발 프로세스의 안전성 확보

소프트웨어의 각 기능이 여러 ECU에서 개별적으로 작동하는 경우, 이 소프트웨어의 일부만을 교체해야 한다면 어떻게 해야 기능안전성을 성공적으로 달성할 수 있을까?

성공의 핵심 열쇠는 가상화와 같은 혁신적인 방법 및 툴에 있다. 가상화를 통해 개발 초기부터 실제와 같은 플랜트, 환경 및 운전자 모델에서 소프트웨어를 검증할 수 있다. 이타스의 ISOLAR-EVE 소프트웨어를 PC 시뮬레이션에서 사용하면 개발자는 실제 ECU가 개발되기 훨씬 이전부터 테스트를 수행할 수 있다. 오류나 에러에 의한 피해가 발생하기 이전에 이를 발견할 수 있다.

또한 개발자들은 가상 환경에서 경계영역을 안전하게 측정할 수 있기 때문에 안전이 핵심적인 시스템을 설계할 때 특히 유용하다.
그러나 가상화는 하나의 완벽한 아키텍처를 구성하기 위한 일부분일 뿐이다.

전체 개발 프로세스는 사전에 구성돼야 하고(그림 2), 소프트웨어 아키텍처 및 각 개발팀의 업무는 명확히 정해져 있어야 한다. 더 나아가 프로세스에 대한 면밀한 모니터링이 이뤄져야 한다. 개발팀들이 기존에 합의한 안전 원칙을 내재화했는지, 모든 참여자가 같은 내용을 이해했는지를 정기적으로 평가 및 검사해야 한다. 평가 및 검사의 기초로 ISO 26262와 같은 표준을 사용할 수도 있다.

소프트웨어 및 개발 프로세스에 적용할 규칙의 확립

소프트웨어 개발의 첫 준비 단계는 개발 대상 항목의 범주를 정의하는 것이다.
Top-Down 접근방식을 진행하기 위해 전체시스템 및 콘텍스트를 고려하고, 인터페이스 및 기타 시스템과의 상호작용에 기능적 범주 한계를 설정한다. Top-Down 접근방식을 완료한 이후에는 구조적으로 위험 및 리스크를 분석한다. 분석을 통해 에러의 발생 가능성 및 제어 가능성을 예상 피해 정도와 비교한다. 분석 작업의 최종 목적은 개발과정의 지침 원칙이 될 구속력 있는 안전성 목표를 설립하는 것이다. 이 때 무엇보다도 목표 원칙을 개발팀 별 세부 업무 패키지로 구분하는 것이 중요하다.

성공적인 프로그래밍을 위해서는 규칙을 명확히 설정, 우수사례 같은 검증된 방법을 사용하고, 스타일 가이드를 준수하며 체계적인 문서화를 실시해 정기 검토 및 코드 분석을 충실히 수행해야 한다. 테스트 계획도 미리 수립해야 한다. 소프트웨어를 언제 어떻게 그리고 어떠한 콘텍스트에서 테스트할지를 정의하는 것이다. 한편 의도적으로 에러를 유도한 후 소프트웨어의 반응을 확인하는 고의적인 오류 테스트도 필수적이다. 이러한 테스트를 수행하기 위해 개발자는 이타스 EHOOKS 같은 바이패스 훅 툴을 통해 오류 데이터를 삽입한다.

ISOLAR-EVE에 기초한 앞선 테스트와는 달리 고의적인 오류 테스트는 실제 하드웨어에서 수행된다(그림 1). 테스트 엔지니어는 ECU를 조작하기 위해 ECU 내부 신호를 EHOOKS를 통해 삽입된 에러 및 오류 데이터로 대체한다. 이 때 ECU의 캘리브레이션 및 진단 인터페이스를 통해 측정, 캘리브레이션 및 진단 소프트웨어인 이타스 INCA에 오류 데이터가 발생된다.

AUTOSAR를 통한 안전한 기능 제한

개발자는 이러한 예외적인 상황을 조성함으로써 안전성 목표 및 콘셉트가 실제로 작동하는지를 확인할 수 있다. 견고한 소프트웨어는 오류를 인식한 후 ECU의 작동상태를 유지하거나 안전한 상태로 전환시킨다. 에러 확대를 막기 위한 예방조치를 취할 수도 있을 것이다. 이 때 메모리 보호 메커니즘이 포함된 AUTOSAR 표준이 유용하게 활용된다. 개발자들은 하드웨어 지원을 통해 소프트웨어가 다른 소프트웨어 기능에 접근하지 못하게 할 수 있다. 그 결과 에러 확대를 막고 안전성 관련 소프트웨어 애플리케이션을 위험으로부터 차단할 수 있다.

그러나 AUTOSAR 메모리 보호 및 타이밍 보호 메커니즘을 적용하려면 모든 프로젝트 담당자들이 담당 소프트웨어 컴포넌트의 소스나 객체 코드를 공개해야 한다. 그러나 실제로는 이러한 수준의 투명성을 담보하기가 불가능하거나 바람직하지 않다.

이타스는 이러한 문제를 해결하기 위해 RTA HVR 하이퍼바이저를 개발했다. RTA HVR 하이퍼바이저는 ECU를 완전히 별개의 가상 ECU들로 나눠 안전성 관련 기능이 서로 영향을 주고 받지 못하게 한다. 인터페이스 및 규칙을 미리 정의하면 나누어진 각 ECU 부분은 마치 여러 ECU가 통신하는 것과 마찬가지의 방식으로 통신을 진행한다.

기술적이고 구조적인 파티셔닝

파티셔닝은 또 다른 큰 이점을 가져온다. 다수의 회사 개발팀이 개별적으로 소프트웨어를 개발할 수 있다는 점이다. 이러한 독립적인 소프트웨어는 각자의 개별적으로 보호된 파티셔닝에서 작동하게 된다. 즉 소프트웨어 개발 초기에 각 개발자들이 서로의 코드에 접근할 필요가 없어진다. 그럼에도 불구하고 병렬 개발을 위해서는 ECU 제조업체가 개발 과정을 조율 및 가이드해야 한다.

모든 참여 팀은 이기적인 태도에서 벗어나 동일한 안전성 목표 및 정해진 스케줄에 따라야 한다. 스케줄에서는 개발 파트너들이 기능안전성에 대한 증명을 언제 어떠한 형태로 제시해야 하는지를 대략적으로 정한다. 여전히 ECU 제조업체는 통합 책임하에 공급업체가 제공한 검증된 소프트웨어 컴포넌트 및 문서를 통합하고 ECU 안전성에 대한 완벽한 증명을 제공해야 한다.

신중한 프로젝트 관리

프로젝트 관리를 위해서는 끊임없이 검증 및 입증을 실시하고 필요한 경우 가정을 수정해야 한다. 개발 파트너에게는 최신 진행 상황을 업데이트해야 한다 .

그렇지만 프로젝트 관리 노력에는 그만한 보상이 따른다. 공동의 안전성 원칙을 통해 개발 과정을 가이드한다면 테스트에 드는 수고를 줄일 수 있을 뿐만 아니라, 최종 개발 단계에서 고비용의 수고스러운 수정 절차를 거치지 않아도 된다. 반면 프로젝트 관리가 느슨하면 여러 문제가 발생한다.

검사 및 평가를 실시하더라도 안전성 원칙, 가정 및 규범을 조금씩 상이하게 해석하게 된다. 이를 해결하기 위한 집중적인 조치가 없는 경우 에러가 연쇄적으로 확대되어 더 많은 비용을 지불해야 한다. 그렇기 때문에 보통 검사 및 평가는 ISO 26262 표준을 엄격히 따른다.
복잡한 공동 개발 프로세스에서도 ECU 소프트웨어의 기능안전성을 달성할 수 있다.

단, 단순히 ECU 개발 전문성을 확보한 것만으로는 부족하다. 개발 프로세스를 세심하게 통제하고 여기에 가상 환경에서의 검증 절차 등 현대적인 표준 개발 방법을 적용해야 한다. 이타스의 툴, 서비스 및 컨설팅은 모든 프로젝트 단계별로 적합한 솔루션을 제공한다.  

AEM_Automotive Electronics Magazine