자동차 시스템에서 가장 중요한 이슈는 안전이다. 요즘 자동차에는 안전성능 향상을 위해 전자식 자세제어 시스템(ESP), 전자제어 주차 브레이크(EPB), 충돌회피 시스템, 에어백 등 다양한 예방안전 시스템이 도입되고 있다. 이러한 시스템이 기능을 제대로 발휘하지 못하게 되면 사고를 유발할 수 있다. 이를 테면 ESP가 직진 주행 시 한쪽 바퀴만 제동을 건다든지, EPB가 주행 중 브레이크를 작동하는 일이 일어날 수 있다. 또 충돌회피 시스템이 혼잡한 도로에서 제동 대신 가속을 적용하거나 에어백 팽창이 지연돼 탑승자를 위험에 빠트릴 수도 있다.
벡터컨설팅서비스의 디터 레더러(Dieter Lederer) 매니징 디렉터에 의하면, 자동 해치백이 의도하지 않게 닫힌다든지, 에어백 ECU 소프트웨어에 오류가 발생한다든지, 전자제어 오류로 인해 브레이크 압력이 낮아진다든지, 조수석 에어백 작동 시 안전벨트 조임장치(Seatbelt Tensioner)가 작동하지 않는다든지, 전자제어 오류로 주행 중 연료펌프 작동이 정지하는 등의 사례가 증가하고 있다. 다행히 대부분 경미한 수준에서 문제가 마무리되고 있지만, 자칫 심각한 상황을 초래할 수도 있다.
복잡해지는 자동차 시스템
자동차의 전기·전자 시스템이 갈수록 복잡해지고 있다. 예컨대 기능의 개수와 복잡성, 차량 제어에 대한 권한, 시스템 간 상호작용, 인증에 관한 요구사항 등이 증가하고 있다(그림 1). 반면, 복잡성 증가에 비해 역량은 매우 느리게 상승하고 있다. 시스템은 지나치게 많아지고 변화의 속도는 빨라지고 있다. 프로세스와 툴은 최적화돼 있지 않아 부적절하고 숙련된 분야별 전문가는 이공계 기피현상으로 날로 부족한 실정이다.
디터 매니징 디렉터는 “안전우선(safety-critical) 시스템이 제 기능을 수행하지 못하면 물리적으로 해를 입힐 수 있다. 고장의 원인은 랜덤하게 발생하는 단락과 같은 하드웨어 결함일 수도 있고, 소프트웨어 버그와 같은 시스템 디자인 오류일 수도 있다. 그러나 고장이 날 가능성을 최소화하고 불가피한 고장으로 초래되는 결과를 제한한다면 시스템과 관련된 위험을 줄일 수 있을 것”이라고 말했다.
ISO 26262 표준
ISO 26262는 일반 안전 규격인 IEC 61508을 기반으로 한 자동차 업계에 특화된 안전 규격으로, 안전우선 시스템 개발에 대한 가이드라인 제시를 목표로 한다. 디터 매니징 디렉터는 “표준은 개발돼야 할 시스템과 관련한 위험요소를 토대로 위험 기반 접근방식으로 구성되며, 시스템은 물론 개발과정에 적용되는 엔지니어링 프로세스에 대해서도 일정한 기준을 요구한다”며 “실제적인 방법으로 적용하기 위해 매우 뛰어난 기술적 판단이 요구될 것”이라고 말했다.
ISO 26262는 지난해 7월 국제표준 초안(Draft International Standard, DIS)이 공표되었으며 2011년 중반에 국제표준(IS)으로 공표될 예정이다. 유럽 상황을 보면, DIS 공표 이후 기능 안전성에 대한 인식이 크게 높아진 상태다. OEM과 서플라이어들은 2011년 중반을 대비해 이미 ISO 26262를 이행하기 위한 프로그램을 연구하거나 해당 프로그램을 시작하고 있다.
디터 매니징 디렉터는 “제조물책임(PL)을 고려해 바로 실행에 옮기는 것이 중요하다”며 “ISO 규격은 상당한 수준의 프로세스 성숙도를 요구하며 ISO 26262의 대응은 기업별 개발 프로세스 성숙도에 따라 강도가 다르게 느껴질 것”이라고 말했다. 예를 들면, SPICE 레벨 3, CMMI ML 3를 보유한 기업은 이행이 상대적으로 용이할 수 있다는 얘기다.
OEM과 서플라이어가 배상 책임 위험을 피하려면, 최신 개발방식이 적용된 것을 입증할 수 있어야 한다. ISO 26262는 공표 시 최신 업무관행으로 적용될 예정이다. CMMI이나 SPICE 등과 같은 성숙도 모델 또한 최신 업무 관행으로 일정한 프로세스 성숙도가 요구될 수 있다(그림 2, 3).
안전 표준의 원리는 리스크에 기반하고 있다(그림 4). 위험 레벨(Automotive Safety Integrity Level, ASIL)은 A~D 단계로 나뉘는데, 예를 들면 ECU는 레벨 B, 전자 스티어링 휠은 D로 분류된다. ASIL은 제품평가와 개발과정으로 나뉜다. 제품평가에는 무작위로 발생하는 하드웨어 결함에 대한 기술적 평가, 하드웨어 및 소프트웨어 시스템 관련 결함에 대한 기술적 평가가 있다. 개발과정에서는 안전 준수 여부를 확인하기 위해 디자인 방식, 분석기법, 테스트 방식, 안전 사례, 형상 관리 등 방법론적 평가를 시행한다. 이 원리는 고장방지와 불가피한 고장 발생 시 안전유지를 최대한 확보하는 것을 목표로 하고 있다.
ISO 26262와 관련된 개발활동(관리 사이클)은 안전 표준과 모든 프로세스 과정, 즉 요구사항 분석, 시스템 디자인, 부품 디자인, 부품 구현, 부품 테스트, 시스템 통합, 시스템 테스트 등의 엔지니어링 활동과 프로젝트 관리, 형상관리, 요구사항 관리, 공급업체 관리, 품질관리 등 모든 관리활동과 관련이 된다.
<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>