자율주행이 가속화될수록 무엇보다 중요한 것이 안전성과 신뢰성이다. 안전에 관련된 중요한 전자 시스템이 결함 발생에 상관없이 계속해서 작동되도록 하기 위해서는 중복성(redundancy)과 안전성(safety)이 요구된다. ECU 내의 핵심 부품인 마이크로컨트롤러(MCU)를 사용해 이러한 요구를 충족할 수 있다.

ADAS(Advanced Driver Assistance System)가 계속해서 발전하고 자율주행이 가속화됨에 따라 관련 자동차 시스템의 견고성, 가용성, 기능 안전성에 대한 새로운 요구를 제시하고 있다. 오늘날 자동차 시스템은 결함 발생 시 “페일 세이프(fail-safe)” 또는 “페일 사일런트(fail-silent)” 동작이 가능하도록 설계된다. 하지만 고도로 자동화된 또는 완전 자동화된 운전을 위해서는 매우 높은 수준의 신뢰성과 가용성이 요구된다. 다시 말해 결함이 발생하더라도 전자 시스템이 계속해서 작동할 수 있어야 한다.

이것을 전문 용어로 “페일 오퍼레이셔널(fail-operational)”이라고 한다. 이를 위해서는 특정한 정도의 중복성을 요구하며, 마이크로컨트롤러의 부담이 높아진다. 인피니언의 새로운 세대 AURIX 마이크로컨트롤러는 향상된 아키텍처를 도입함으로써 더 소형화된 패키지로 더 높은 성능, 더 많은 독립적 CPU 코어와 메모리, 더 빠른 통신 인터페이스를 제공한다. 따라서 이러한 중복성 시스템에 적합하다.



오늘날 자동차 전자 시스템은 일반적으로 “페일 사일런트”로 동작한다. 다시 말해 결함이 발생해도 운전자가 개입해서 자동차를 통제해야 한다. 하지만 고도의 자율주행 자동차가 도입되면 결함 발생 시 운전자 개입이 필요하지 않거나 불가능할 것이다. 운전자는 주행 시에 다른 활동에 전념할 수 있다. 이것이 바로 SAE/VDI에서 정의하고 있는 레벨 3 및 레벨 4의 자율주행 레벨이다. 레벨 5는 운전자가 필요하지 않은 완전 무인 운전을 말한다. 그렇게 되기 위해서는 완벽하게 중복적인 제어 아키텍처가 필요할 것이며 해당되는 안전성 표준들을 충족해야 할 것이다.

안전성 표준과 “페일 오퍼레이셔널”시스템

ISO 26262는 업계에서 현재 사용하고 있는 자동차 전자 시스템 관련 안전성 표준이다. 반도체 회사인 인피니언은 AURIX 마이크로컨트롤러, 안전성 센서, 안전성 전원장치, 인버터 드라이버 같은 안전성 관련 제품들이 이 표준을 충족하도록 설계하고 있다. 2011년 ISO 26262가 처음 도입될 당시에는 높은 가용성을 달성하는 “페일 사일런트” 시스템에 중점을 두었다. 하지만 도입 예정인 새로운 개정판(ISO 26262 edition 2)에서는 자동차 업계의 새로운 요구들을 충족하기 위해서 완벽한 “페일 오퍼레이셔널” 시스템을 정의할 것이다.

“페일 오퍼레이셔널” 기능을 위해서 자동차에 필요한 시스템 수는 자율주행 정도와 해당 오류를 처리하는 방식에 따라서 좌우될 것이다. 오늘날 가장 빈번한 오류 대응은 “10초 이내, 최대 30초 이내에 비상 정지”이다. 이를 위해서는 제동이나 스티어링 같은 액추에이터가 관련되며 자동차를 구동 엔진이나 모터로부터 차단시켜야 한다. 조명이나 HMI 같은 추가적인 지원 장치들도 고려할 수 있으나 절대적인 것은 아니다.

중복성 개념

“페일 오퍼레이셔널” 시스템을 위해서는 TMR(Triple Modular Redundancy: 3중복성)이라고 하는 것이 잘 알려진 기법이다. 이것을 전문적으로 “2-out-3(2oo3)”라고 한다. 이것은 기본적으로 3개의 동일한 사례(instance)로 동일한 알고리즘을 실행하는 것이다. 그리고 이들 출력을 서로 비교하고 다수결로 판결한다(그림 1). 이 기법은 하드웨어와 소프트웨어 모두에 적용될 수 있으며, 항공 분야에서는 표준적으로 사용되고 있다. 이 기법의 어려운 점은, 다수결의 복잡성과 확실성이다.



ECU(Electronic Control Unit) 같은 실시간 시스템의 경우에 이 기법을 구현하려면 수반되는 하드웨어의 복잡성이 크게 가중되며, 결국은 비용에 영향을 미친다. 이러한 이유에서 현재 자동차 업계에서는 “이중-이중 중복성(dual-dual redundancy)”을 사용한 아키텍처가 기준으로 자리잡고 있다.

이중-이중 중복성 아키텍처는 2개의 독립적인 프로세싱 채널로 이루어지며, 각기 채널이 “페일 사일런트” 채널이다(그림 2). 페일 사일런트 채널은 통상적으로 1oo1D 아키텍처(진단 기능을 포함하는 단일 채널)를 기반으로 한다. 이중-이중 아키텍처(“2oo2DFS”)는 대칭 또는 비대칭 중복성을 사용해서 구현할 수 있다. 이러한 2oo2DFS 아키텍처는 전자제어장치에 잘 맞는다.

제동 시스템이나 스티어링 같은 애플리케이션은 다음과 같은 두 가지 기능을 한다:
- 안전성 기능(safety-critical functions)
- 편의성 기능(comfort functions)

“페일 오퍼레이셔널” 시스템에 있어서 중요한 것은 안전성 기능이므로, 2oo2DFS 아키텍처의 유연성을 활용해서 비대칭적 아키텍처가 가능하며, 그러므로 필요한 요소들만을 최적화할 수 있다. 다시 말해 한 채널로는 더 복잡하고 강력한 MCU를 사용하고 두 번째 채널로는 더 작고 경제적인 MCU를 사용할 수 있는 것이다. 첫 번째 채널의 강력한 MCU는 편의성 기능과 안전성 기능을 모두 처리할 수 있다. 두 번째 채널의 더 작은 MCU로는 안전성에 관련된 “페일 오퍼레이셔널” 요구만 처리하도록 할 수 있다.

“페일 오퍼레이셔널” 시스템으로 높은 가용성 달성

“페일 오퍼레이셔널” 시스템에서 중요한 것은 높은 가용성을 달성하는 것이다. 특히 위에서 언급한 것처럼 안전성 기능과 편의성 기능이 병존하는 혼합 시스템에서는 더 그렇다. 이중-이중 아키텍처는 결함 발생 시에 되도록 편의성 기능을 유지하도록 설계된다. 이러한 요구를 충족하도록 인피니언은 마이크로컨트롤러와 안전성 지원 디바이스를 결합해서 더 높은 시스템 가용성을 달성하는 칩셋 아키텍처를 개발하고 특허를 받았다.





오늘날 “페일 사일런트” 시스템에서는, 안전성 마이크로컨트롤러가 중대한 오류를 감지하면 오류 핀으로 오류 조건을 보고한다. 그러면 외부의 지원 안전성 모듈이 이 오류 핀을 확인하고 오류 조건으로 판명되면 시스템을 셧다운시킨다. 그림 3은 어떻게 시스템이 오류 조건에 안전하게 대응하는지 보여준다. 이 프로세스는 오류 조건을 외부의 모니터링 모듈로 보고한다는 점에서 안전하다. 그러므로 시스템 가용성을 높일 수 있으며, 또 한편으로 마이크로컨트롤러의 오류 응답을 개별적으로 구성할 수 있다.

인피니언이 제안한 이 기법을 사용함으로써 AURIX의 SMU(Safety Management Unit)를 유용하게 활용할 수 있다. SMU를 사용함으로써 각기 오류 요인(인터럽트, NMI, CPU 코어 리셋, CPU 코어 휴지, SoC 리셋)에 따른 대응을 개별적으로 구성할 수 있다. 그림 4는 AURIX 마이크로컨트롤러와 TLF35584 안전성 지원 모듈을 결합해서 높은 가용성을 달성하는 “페일 사일런트” EPS 설계를 보여준다.

“페일 오퍼레이셔널” 시스템 구현

“페일 오퍼레이셔널” 시스템을 구현하기 위해서는 특정한 정도의 중복성을 필요로 하며 공간, 전력 소모, 비용 측면의 과제들을 해결해야 한다.

새로운 세대의 AURIX 제품인 TC3xx는 12 mm×12 mm(BGA-196) 및 14 mm×14 mm(TQFP-100) 패키지로 제공된다. 그러므로 2개 BGA-196 패키지는 2개 TQFP-100보다 약 3.6배 더 작다. 그러므로 2개 TQFP-100을 사용하는 것보다 27% 더 적은 보드 공간을 차지한다. 또한 AURIX 제품은 전압 레귤레이터를 통합함으로써 스위치 CAP DC/DC 토폴로지가 가능하다. 그러므로 최대 2개 외부 MOSFET 및 인덕터만큼의 공간과 비용을 절약할 수 있다. 또한 이 토폴로지를 사용함으로써 동작 전력 소모를 절반으로 줄일 수 있다.



또한 앞서 언급했듯이 한쪽은 더 큰 마이크로컨트롤러와 또 한쪽은 더 작고 경제적인 마이크로컨트롤러를 사용한 비대칭 아키텍처를 사용함으로써 “페일 오퍼레이셔널" 시스템의 비용을 낮출 수 있다. AURIX 제품군은 다양한 제품들 간에 호환이 가능하므로 동일한 디자인으로 하이엔드 제품과 로우엔드 제품을 함께 사용할 수 있다(그림 5). 그러므로 안전성 기능, 지연시간, 여타 설계 파라미터들이 동일하므로 설계를 간소화할 수 있다. 뿐만 아니라 한 회사의 제품을 사용함으로써 부품 조달을 간소화하고, 개발비를 절감하고, 소프트웨어 개발 툴 비용을 절약할 수 있다.

또한 AURIX 마이크로컨트롤러를 사용함으로써 “페일 오퍼레이셔널” 시스템의 가용성을 높일 수 있다. 모든 AURIX 마이크로컨트롤러는 동일한 안전성 기능들을 제공하며 록스텝, ECC(Error Correction Code) 보호 메모리, SMU(Safety Management Unit) 같은 첨단 보호 메커니즘을 포함한다.

AURIX 제품은 아키텍처 최적화를 통해서 코어들 사이의 독립성을 높임으로써 가용성을 추가적으로 더 향상시킨다. 코어들을 개별적으로 리셋, 전송, 휴지 모드로 할 수 있기 때문이다. 다시 말해 한 코어에 결함이 발생하면 그 코어만 리셋을 하고 다른 코어들은 계속해서 정상적으로 작동할 수 있다. 또한 코어들이 각자 자원을 직접적으로 액세스할 수 있다. 그러므로 “페일 오퍼레이셔널” 시스템(L3/L4)으로뿐만 아니라 부분 중복성만을 필요로 하는 L2 레벨로도 가용성을 높일 수 있다.

안전성을 극대화하도록 최적화

AURIX 제품군은 고성능 아키텍처와 최대 6개 코어에 인터페이스와 보안 및 안전성 기능을 결합함으로써 자동차 및 산업용 분야의 다양한 애플리케이션에 사용하기에 적합하다. 이 새로운 아키텍처는 하이브리드 드라이브 및 인버터, 배터리 관리, 전압 레귤레이터에 사용하기에 특히 유용하다. 또한 AURIX TC3xx 마이크로컨트롤러는 에어백부터 제동 및 파워 스티어링 애플리케이션과 레이더나 카메라 기술을 사용한 센서 시스템에 이르는 다양한 안전성 애플리케이션에 이상적이다. 또한 고도의 자동화된 자율주행과 관련해서 도메인 제어와 데이터 융합 같은 애플리케이션에도 사용할 수 있다.

TC3xx 제품군은 1 MB~16 MB의 플래시 용량과 150 KB~6 MB의 RAM 메모리를 통합한 다양한 구성의 제품들로 이루어졌다(그림 6). 또한 현행 세대인 AURIX TC2xx 마이크로컨트롤러가 최대 3개의 코어를 제공하는 데 비해, TC3xx 멀티코어 아키텍처는 최대 6개의 TriCore CPU를 제공하며 각각의 CPU가 300 MHz의 최대 클록 주파수로 실행된다.



자율주행을 위해서는 중앙 주행 컴퓨터와 스티어링 또는 제동 시스템 같이 주요 제어장치들 사이에 더 빠르면서 더 보안적인 커넥티비티를 필요로 한다. 이러한 요구를 충족하기 위해서 이들 새로운 AURIX 제품은 통신 및 보안 기능을 추가적으로 향상시켰다. 그 결과 이들 새로운 마이크로컨트롤러 제품은 CAN FD, FlexRay, 그리고 선택적으로 기가비트 이더넷용 인터페이스를 제공한다. 또한 EVITA 하드웨어 보안 모듈(HSM)을 통합함으로써 ECC256 및 SHA256에 따른 비대칭 암호화, 각기 다른 ECU 사이의 메시지 인증, 멀웨어로부터 보호하기 위한 보안 부트를 지원한다.

ASIL-D 충족

TC3xx 마이크로컨트롤러는 자동화/자율주행과 e-모빌리티 구현을 지원한다. 이를 위해서 필요로 하는 컴퓨팅 속도, 안전성, 보안 기능들을 모두 제공한다. 최대 4개 록스텝(lockstep) 코어를 포함하는 최대 6개 코어가 지극히 높은 컴퓨팅 성능을 제공하므로 ISO 26262에 따른 안전성 기능들을 구현할 수 있다. 또한 최대 2400 DMIPS가 가능하므로 ASIL D를 요구하는 애플리케이션을 충족할 수 있다. 이와 비교해서 이전 세대 제품들은 740 DMIPS가 가능하다.

AURIX TC3xx 시리즈는 TC2xx 시리즈와 역호환이 가능하다. 이 시리즈의 첫 번째 제품으로서 300 MHz, 16 MB 플래시 메모리, 6.9 MB SRAM을 특징으로 하는 TC39x 제품을 BGA-516 및 BGA-292 패키지로 조만간 샘플 공급할 예정이다.
 

AEM_Automotive Electronics Magazine