만도헬라, 국내 최초 ISO 26262 인증

기술력 자신감, 사업기회 확대 기대

2012년 05월호 지면기사  / 



<만도헬라일렉트로닉스 김 완 일 연구소장>
INTERVIEWEE:
김 완 일 소장은 포항공대 전자전기공학을 전공하고 2000년 자동제어 공학박사 학위를 취득했다. 2008년까지 만도의 섀시 컨트롤, 현가 시스템 팀 등에 근무하며 ABS, ESC, EPS 등 섀시 제어 ECU, 전자제어 에어서스펜션, 전자제어 가변 댐퍼 등을 개발했다. 2009년 만도헬라일렉트로닉스의 일원이 됐고, 2010년 10월부터 연구소장을 맡아 섀시 및 DAS 제품개발을 총괄하고 있다.   
co-INTERVIEWER:
오토모티브 일렉트로닉스의 ISO 26262 부문 채승엽 자문위원은 현재 인포뱅크 융합기술사업부 팀장으로 근무하며 AUTOSAR 및 ISO 26262 컨설팅 및 엔지니어링 서비스를 담당하고 있다. 또 임베디드 SW 기술포럼에서 임베디드 SW 기능 안전성 SIG장을 맡고
있다.
진행│채 승 엽 위원, 한 상 민 기자      
정리│한 상 민 기자
사진│유 준 환


지난 2008년 말에 설립된 신생회사 만도헬라일렉트로닉스가 지난해부터 국내 최초 ISO 26262 인증을 받아 제품을 양산하고 있다. ISO 26262 인증 노력을 통해 회사는 전장전문 회사로 국제적 기술력, 특히 기능 안전성과 관련해 어떤 기업에도 뒤지지 않는 이해와 기술력을 확보했다는 데에 확신을 갖게 됐고, 향후 늘어날 사업기회를 기대할 수 있게 됐다. 국내 ISO 26262 전문가인 채승엽 위원과 함께 만도헬라의 기능 안전성 대응을 진두지휘하고 있는 김완일 연구소장을 만나봤다.
 
적극적 지원, 열정과 패기
Q. ISO 26262 도입 계기는. 인증기관 선정은.
A. 만도헬라일렉트로닉스(MHE)는 2008년 말 설립 당시 제품군을 검토, 개발 계획을 수립하는 과정에서 ISO 26262 기능 안전성 표준에 대해 높은 관심을 가질 수밖에 없었습니다.  북미지역에서는 토요타 리콜 사태가 이슈였고, 시스템을 개발하는 모회사인 만도와 센서를 만드는 헬라가 북미 및 유럽 OEM들과의 수주 기술 상담에서 ISO 26262에 대한 질문을 받고 있었습니다. 기능 안전성에 대한 관심도가 유럽 및 미국 시장 등을 중심으로 점차 높아지고 있었고, FTA로 인해 관세 장벽이 기술 장벽으로 옮겨가는 것 아니냐는 의견이 나오는 상황에서 MHE 경영진은 ISO 26262의 빠른 대응이 필요함을 인지했습니다. 경영진은 ISO 26262가 기업의 위기가 될 수도 있겠지만 기회로 삼아 중요한 전환점이 될 것이라 판단하고 국내 최초 ISO 26262 인증을 받는 업체가 될 것을 목표로 삼았습니다. 또한 MHE 경영진은 ISO 26262에서 기업문화로 안전문화(safety culture)를 구축하기로 했습니다.
이번에 인증받은 제품은 전동파워 스티어링(EPS)용 토크 센서인데, 모회사인 헬라가 2006년경부터 ISO 26262에 대한 준비를 하고 있었기 때문에, MHE는 더욱 빠른 시일 내에 대응할 수 있었습니다.
우리는 목표를 설정한 이후 안전 관리자(safety manager) 선정 및 교육 파견 등의 계획을 수립하고 함께 인증을 시도할 기관을 선정했습니다. 인증기관은 헬라의 추천을 받아 독일 업체이면서 한국에 나와 있는 TUV SUD를 후보로 했고 전문성, 접근성, 지원 가능성 등을 종합적으로 판단해 최종적으로 결정하게 됐습니다.
기능 안전성 감사(functional safety audit)는 설계 부문의 경우 헬라에서 소싱한 제 3자의 감사관이, 제품과 프로세스 부문은 외부 컨설팅 업체의 관계자가 나서 2차 리뷰 후에 최종 인증했습니다.
제품과 프로세스를 만도헬라가 받았고, 개발 부문은 헬라가 받은 것입니다. MHE의 경우 기능 안전성 평가(functional safety assessment)를 일부 포함한 개념이었습니다. 



Q. ISO 26262 인증을 받은 제품의 양산은 보쉬가 유일했는데, 인증을 위해 얼마나 걸렸나.
A. 저희가 인증 받은 제품은 약어로 TOS/TAS라고 합니다. 풀 네임은 Torque Only Sensor, Torque and Angle Sensor입니다. 해당 센서는 모터 구동방식의 조향장치에 사용되는 토크와 앵글 신호를 제공하는 센서입니다. 제품은 지난해 4월부터 프라이드, 모닝, 스파크 등의 모델 적용을 위해 양산이 개시됐고, 올핸 GM의 일부 모델과 싼타페 SUV 등에 적용됩니다. 원천 설계는 헬라가 했고 MHE는 국산화하고 애플리케이션, 커스터마이징을 했습니다.
ISO 26262 인증을 위한 본격적인 활동은 2010년 8월 경 황건열 대리(現 과장)가 독일 헬라에 파견되면서부터입니다. 2011년 4월 경 TUV SUD와의 Gap 분석(gap analysis) 및 7월 최종감사를 거쳐 공식적인 ISO 26262 인증서를 8월에 받았습니다. ISO 26262 인증을 받기 위해서 총 1년 6개월 정도 걸렸습니다. 잘 아시다시피 당시 국내에서는 ISO 26262 관련 충분한 이해력을 지닌 사람이 부재한 상황이었고, 이에 해당하는 표준을 충분히 이해하고 적용할 수 있는 능력을 지닌 안전 관리자의 선임, 안전 관리자를 양성 교육할 수 있는 적절한 교육기관을 찾는 것이 급선무였습니다.
MHE는 자동차 분야에서 하드웨어 엔지니어링 경험이 있는, MHE의 QMS(Quality Management System, ISO/TS-16949) 담당의 핵심 멤버였던 황건열 과장을 안전 관리자로 선임하고 기능 안전성에 많은 경험과 지식을 보유하고 있는 헬라에 교육지원을 요청함으로써 인력에 대한 고민을 조금씩 덜게 됐습니다. 또 한국의 모회사 만도에서도 기능 안정성 확보를 위한 팀 구성 및 교육 프로그램이 개설되면서 다른 직원들도 교육에 참석하게 됐고, MHE 제품이 포함된 시스템 레벨의 각종 워크숍에 참석하면서 점차 실력을 쌓게 됐습니다. 그러나 사업계획에 따라 인력 투입이 정해져 있는 상황에서 ISO 26262만을 위한 단독적인 인력 투입은 회사 입장에서 쉬운 결정이 아니었습니다. 함께 근무하는 엔지니어들의 이해심이 부족했다면 불가능했을 것입니다.
인력 및 비용적인 측면 이외에도 ISO 26262라는 새로운 규격이 요구하는 사항들이 기존의 규격과 비교할 때 새로운 점들이 많아 해당 내역을 습득하고 회사에 전파하는 것이 쉽지 않았습니다. 모두가 현업에 종사하는 엔지니어들이다 보니, 시간적 여유가 없었으며 규격에서 요구하는 사항들이 단기간에 이해할 수 없는 것들이였기에 여러 가지 어려움이 있었습니다. MHE가 신생회사인 만큼 젊은 엔지니어들의 열정과 패기, 그리고 경영진의 적극적인 지원으로 무사히 인증을 마칠 수 있었다고 생각합니다.


최초 인증, 비용 삭감
Q. ISO 26262가 공식 발효되기 이전이었는데.
A. 제품의 ISO 26262 인증을 시도했을 때에는 ISO 26262가 DIS 버전(draft version)으로 아직 공식적으로 릴리스(release) 되기 이전이었습니다. 이에 MHE는 ISO 26262보다는 당시 공식 버전이 존재하던 IEC 61508을 중심으로 개발을 진행했고, 따라서 제품 설계와 관련해서는 ISO 26262의 전 요구사항 및 업무 플로를 만족시키지는 못했습니다. 그러나 제품 설계 관련 모든 작업 산출물(work products)의 결과는 제 3자의 감사관에 의해 리뷰가 완료돼 그 실효성 입증을 완료했습니다. 헬라의 안전 관리자와 협의한 결과, 프로세스와 제품에 초점을 맞춘 ISO 26262의 인증을 추진했으며 그 결실을 보게 됐습니다. 인증은 직접 생산하는 센서 제품에 대한 것이고, 시스템 레벨로 가야 하는 것인데, OEM이나 Tier 1이 저희 EPS용 센서를 이용하게 된다면 ASIL D 등급까지의 인증 달성이 가능합니다.
Q. 비용 상승이 이슈인데.
A. 개발비용은 종전보다 대략 20~30% 더 들어간다고 봅니다. 물론 체제가 성숙된다면 이보다 적게 들 것입니다. 예를 들어, 인력 부문에서 안전 관리자 육성을 위해 다양한 지원과 비용이 요구되고, 또 사내의 다른 인력들에 대한 교육을 위해 많은 작업이 진행돼야만 합니다. 제품 가격 측면에서는 기존 제품에 ISO 26262 관점에서의 기능 안전성이 어느 정도 고려돼 있다면 비용 상승폭이 높지 않겠지만, 그렇지 않다면 새로운 부품, 설계, 공정 등이 추가되면서 단가가 상승할 수 있습니다. 그렇다고 OEM이 부품 단가나 개발기간 상승을 인정해주는 것은 아닙니다.       
MHE의 제품이 대략 10가지이고 설계를 절반 정도 직접하고 있는데, 연구소장 직속의 안전 관리자를 향후 황 과장 외에도 2~3명 정도 더 육성할 계획입니다. 또 개발조직에서 ISO 26262에 대한 교육을 강화해 관련자 모두가 전문가가 될 수 있도록 할 방침입니다. 안전 관리자는 요구사항만 전달하고, 구현은 하드웨어, 소프트웨어, 시스템 엔지니어링, 시험, 영업, 구매 부문의 연구원, 엔지니어, 담당자들이 할 수 있도록 할 방침이다. 이는 안전 문화와도 관련됩니다. 우리는 이같은 교육활동을 올해 이미 2회 시행했고, 9월까지 집중적으로 해나갈 방침입니다.   
Q. 센서의 안전 목표와 ASIL 등급은.
A. 신호는 조향장치에 있어 가장 중요한 신호 중 하나입니다. MHE는 시스템 레벨에서의 안전 목표(safety goal) 및 기능 안전성 컨셉(functional safety concept)을 바탕으로 센서 단품 레벨에서의 안전 목표를 설정했습니다.
TOS의 경우는 “detection 되지 않는 wrong torque signal을 피하자”라는 것이었고, TAS는 “detection 되지 않는 wrong angle signal을 피하자”는 것이었습니다. ASIL의 경우에는 토크는 ASIL D를, 앵글은 decomposition을 적용해 ASIL B 레벨로 설계 및 검증했습니다. 물론 앵글은 시스템 레벨에서 ASIL D가 만족돼야 합니다만, 이는 저희 스코프(scope)가 아닌 시스템 스코프로 잡았습니다. 센서 단품 레벨에서 ASIL D를 맞추게 되면 원가상승이 과도해 경제성이 떨어지는 것으로 판단한 것입니다.
EPS란 제품이 OEM마다 다르지만 대부분 센서는 비슷할 것이라는 가정 하에 센서가 어떤 역할을 해야 할 것인가를 반영했고, 또 이것이 우리만의 생각일 수 있기 때문에 OEM에 부합하는가를 판단하기 위해 OEM과 리뷰를 수차례 진행했습니다.
DIA(Development Interface Agreement)는 개발의 경우 헬라가 진행했고, 고객 부문은 2009년 당시 해외 OEM도 ISO 26262에 대한 컨셉이 명확치 않아 진행되지 않았습니다. 그러나  향후 서플라이어 체인을 타고 내려가면서 이뤄져야 한다는 것이 MHE 입장에서도 안심하고 스코프를 정의할 수 있다는 생각입니다. 새로운 프로젝트의 경우엔 인피니언, ADI 등과 DIA를 체결하려 하고 있습니다.


독자적 프로세스
 
Q. 리뷰 시 OEM의 주 관심사는.
A. 워낙 기술적 내용이 많다 보니 질문도 많습니다. 주요 검증활동이 적절히 이뤄졌고, 충분한 기술적 내용을 포함하고 있는지, 추적 가능한지가 주요 질문이었습니다. 소자 레벨의 동작까지 포괄해 시스템에 어떻게 전달되고 차량에 어떤 영향을 주는지에 대한 기술적 리뷰를 했습니다. 예를 들면, 조향이 잘못돼 사고가 발생한다면 원인을 따라 내려가고, 센서에서 어떻게 됐을 때 고장이 날 수 있는지, 센서의 설계는 어떠한지, 들어가는 구성품들의 고장 및 대책, 개발 활동 등을 일일이 모두 리뷰를 합니다. 해외 OEM의 경우 안전, 품질 담당 또는 고용된 컨설턴트가 개발 단계, 진행 단계, 양산 단계에서 두세 차례 방문해 하루 종일 리뷰를 하고 갑니다.      
Q. 만도헬라에서 자부하는 기능 안전성 기능은.
A. ISO 26262 규격에서 생각하는 결함(fault)은 회사의 프로세스 등으로 인한 시스템 결함(systematic fault)과 디자인으로 인한 하드웨어 랜덤 결함(hardware random fault)이 있습니다. 저희는 시스템 결함을 방지하기 위해 회사 내부에 기능 안전성에 부합되는 독자적인 프로세스를 구축했으며, 내부의 기존 서포팅 프로세스(supporting process)를 ISO 26262의 요구사항에 맞게 수정 및 적용 완료했습니다.
디자인 관련 하드웨어 랜덤 결함을 방지하기 위해서는 안전 목표를 설정하고, 해당 목표를 만족하기 위한 동기화 체크(synchronicity check) 등과 같은 안전성 메커니즘(safety mechanisms) 등을 설정했습니다. 이에 따라 제품은 설정된 안전성 메커니즘에 의해 조향 시스템의 아이템 레벨의 위험(hazard)에 기인할 수 있는 결함을 ASIL이 요구하는 수준으로 검지할 수 있도록 설계했습니다. 따라서 저희가 자부하는 기능 안전성에는 강건한 프로세스로부터 기인하는 시스템적 안전, 역시 강건한 디자인으로부터 기인하는 디자인적 안전이 있습니다.
Q. Hardware design specification을 만들 때 하드웨어 팀의 도움이 중요한데.
A. 사실 기능 안전성의 요구사항에 맞는 제품을 설계 및 생산하기 위해서는 하드웨어 팀뿐 아니라, 모든 팀의 유기적인 협조가 필수 불가결했습니다. 언급하신 하드웨어 디자인 명세서(hardware design specification)에 관해서는 안전 관리자가 도출되어진 기능 안전성 컨셉 및 기술적 안전성 컨셉(technical safety concept)을 바탕으로 하드웨어 및 소프트웨어 요구사항을 작성했으며, 해당 요구사항을 바탕으로 하드웨어 엔지니어가 하드웨어 디자인 명세서를 작성했습니다. 안전 목표가 기존에 설정한 컨셉대로 제품에 적용되기 위해서는 해당 컨셉 및 요구사항에 대한 담당 하드웨어 엔지니어의 정확한 이해가 필수입니다.
차기 프로젝트 순항
Q.  S/W 개발 툴과 검증 툴이 필요한데.
A. 이번 제품의 경우 제품 내부에 H/W만이 존재하며 S/W는 별도로 존재하지 않았습니다. 이유인즉 ASIL D를 만족하기 위한 컨셉을 구상하는 과정에서 제품의 단가 경쟁력을 고려하지 않을 수 없었기 때문입니다. 즉 ASIL D의 신호를 제공하기 위해 센서 제품 내에 신호 검지 및 프로세싱을 수행하는 하드웨어 컴포넌트를 모두 리던던트(redundant)하게 적용한다면, 해당 제품의 단가 경쟁력이 없다는 결론에 도달했습니다. 그러나 아이템 레벨에서 안전 목표를 만족시킬 수 있도록 알고리즘 및 세이프티 안전 총괄책임(safety supervisor) 등의 관련 컨셉을 수립해 시스템 업체에 기술을 지원했고, 해당 컨셉의 유효성을 증명하기 위해 오류 입력 테스트(fault injection test) 등의 시험을 진행 완료했습니다.
안전성 메커니즘이 적용된 전장 부품을 테스트하기 위해서 시그널 모니터링 등의 기능이 포함되어 있는 테스트 장비는 MHE가 직접 개발했습니다.  이같은 테스트 전용 장비는 기업의 노하우가 반영돼 있으므로, 외부 기관의 테스트 장비에서 실시하기는 어렵습니다. 
Q. 모델 기반 개발이 이슈인데 적용 계획은.
A. 인증 제품은 SW를 내장하고 있지 않기에 모델 기반 개발에는 해당 사항이 없었지만 SW 개발에 있어 ISO 26262의 요구사항을 만족하기 위해서는 동적 언어의 적용을 통한 모델 기반 개발이 필수적이라는 것을 잘 알고 있기에,  현재 진행하고 있는 새로운 프로젝트에 동적 언어의 SW 툴을 적용해 개발할 예정입니다.
Q. 검증 리뷰 방식은.
A. 검증(verification) 방안의 일환으로 저희는 주로 해당 work product output의 리뷰를 주방법으로 채택했습니다.
즉, 모든 안전성 작업 산출물에 대해 체크 리스트를 별도로 작성해 해당 체크리스트를 제 3자에 의해 리뷰 및 피드백하는 방식으로 검증을 진행했습니다. 중요한 것은 walk-through나 inspection의 어떤 방법을 선택하느냐가 아니고, 본 제품과 관련해 이해당사자, 즉 고객, HW, SW, 테스트, 품질, 생산, 안전 관리자들이 리뷰에 모두 참석해 각자가 지닌 전문지식을 가지고 점검한다는 점입니다.
Q. 제동부문은 어떤가. 
A. 현재 제동 시스템에 적용되고 있는 Yaw & G 센서를 ISO 26262를 준수해 개발하고 있습니다. 기능 안전성 컨셉 및 기술적 안전성 컨셉을 바탕으로 HW, SW의 안전성 요구사항을 모두 도출 완료했습니다. 약 1~2년 내에 최종 인증을 목표로 추진하고 있으며 무난히 목표 달성이 가능할 것으로 예상합니다.

Q. ISO 26262 인증 후 MHE가 얻은 것은.
A. 첫 번째로 말씀 드릴 수 있는 것이 자신감입니다. 신생회사로서 개발경험 등 많은 것이 부족한 것이 사실이지만 전 세계적으로 주목 받고 있는 해당 규격의 인증을 취득했다는 것만으로도 위기를 기회로 전환할 수 있다는 자신감을 얻었다고 생각합니다. 덧붙여 해당 ISO 26262의 준수를 위해 기능 안전성만을 위한 프로세스를 정립하고 기존의 프로세스 및 방법론(methodology)들을 보완함으로써 엔지니어링적으로도 성숙도가 크게 높아졌다고 생각합니다. 향후 보완할 점이 많긴 하지만 나아가야 할 확실한 방향을 제시 받았다는 것 또한 큰 성과 중 하나일 것입니다. 이와 더불어 글로벌 OEM들과 여러 차례에 걸친 기능 안전성 감사를 통해 자동차 전장전문 회사로서 국제적인 기술 동향, 특히 기능 안전성 관련 선진 회사에 뒤지지 않는 이해와 기술력을 확보했다는 것을 인정받음으로써 회사의 인지도 상승과 사업기회 확대에 큰 기대를 하게 됐습니다. 기능 안전성을 위해 투입한 비용, 원가상승 요인은 더 많은 사업기회 확보로 상쇄될 것입니다.
Q. 끝으로 오토모티브 독자에게 한 말씀.
A. ISO 26262는 제가 경험해 본 많은 규격 중 가장 실질적이고 강력한 규격이라고 생각합니다. 해당 규격은 기존의 개발 패러다임에 대해 많은 부분을 수정할 것을 요구하고 있으며, 해당 기업의 문화에서부터 제품의 개발 및 생산, 그리고 SOP 이후의 모든 라이프사이클 동안의 기능 안전성의 강화를 요구하고 있기에 프로세스의 단편적인 수정이나 기능 안전성 관련 몇몇 산출물의 추가로는 만족할 수 없습니다. 
ISO 26262 인증 획득을 위해 해당 규격을 올바르게 이해하고 시스템적이고 전략적으로 접근하라고 조언드리고 싶습니다.

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>


  • 100자평 쓰기
  • 로그인


TOP