자동차 기능안정 ISO 26262의 오해와 진실
2011년 08월호 지면기사  / 글│채 승 엽 CTO, sychae@popcornsar.com, 팝콘사(PopcornSAR),



반드시 외부 인증기관을 통해 인증받아야 하나?

결론부터 말하면, 2011년 ISO/FDIS 26262 명세서에는 인증(Certification)이란 단어가 없으며, 외부 인증기관에서 인증을 받는 것은 필수가 아닌 회사 마케팅을 위한 선택이란 것이다. 표 1 ‘Confirmation measures’ I3(ISO 26262에서는 Part 2의 Table 1에서는 I0~I3까지 분류가 됨)에 해당 되는 것을 중심으로 일부 항목들은 회사 내부의 다른 부서, 다른 회사나 기관의 실시가 필요하다.
 


[표 1] ISO/FDS 26262 Part 2 Table 1 I3 기준에 대한 요약


실제 닛산 자동차는 I3에 대해 회사 내부에서 전체 부품업체까지 모두 관리하는 것이 어려워 초기에는 공존할 수 있는, 활용 가능한 외부 회사 리소스가 필요하다고 봤다(그림 1). 여기서 외부 리소스란 인증기관, 컨설팅 및 교육업체, ‘Functional Safety Assessment’와 ‘Functional Safety Audit’을 수행할 수 있는 회사를 말한다.

 

[그림 1] 닛산의 I3에 대한 생각(2010년 12월 13일 닛산 전자신뢰성 기술개발부 발표)


그러나 외부 리소스 없이 자체 수행해야 할 일들이 있다. “integration and testing plan”, “validation plan”, “software tool qualification report” 등으며, 또 ASIL C레벨 이하(ASIL D레벨만 제외한)의 경우 “Hazard analysis & Risk assessment”를 제외한 나머지들은 ISO 26262를 진행하는 회사 자체에서 모두 진행해야 한다.

개인적으로는 유럽이나 일본의 경우에 5년 후면 OEM이나 규모가 큰 서플라이어들이 모든 ASIL 레벨에 대해 외부 리소스 없이 자체적으로 진행할 것이라고 예상한다. BMW의 경우 올 6월 독립된 부서로 Functional Safety Manager를 20명에서 200명까지 확대하겠다고 발표했고, 보쉬의 경우도 ISO 26262 독립사업부를 만들어 100명까지 확대하겠다고 했다. 즉, 자동차 전장부품을 양산할 때 사회가 용인할 수 있는 수준의 리스크 절감을 위해 조직이 구성되는 안전문화(Safety Culture) 구축이 필요한 것이다.

그럼 왜 반드시 인증을 받아야 한다는 오해가 생겼을까? 2007년 5월 작성된 ISO/WD 26262의 Part 1에 “3.22 Certification”이라는 용어 정의가 있었고, Part 8의 13.4.7에서 인증기관(Accredited Body)에서 인증을 받으라고 명시됐었다. 그러나 2009년 12월에 작성된 ISO/DIS 26262부터 Certification 관련 내용이 삭제됐다. 과거 자료에 참조해 나온 오해다.

ISO 26262 관련 외국 컨설팅 회사들은 대개 10명 미만의 직원을 두고 있다. 이들은 대기업과 직접 계약을 맺기 힘들기 때문에 해외 인증기관을 통해 대기업과 계약을 맺고 컨설팅 업무를 위탁받는다. 컨설팅 회사들은 해외 인증기관의 영업 활동을 유도하기 위해 기업들이 반드시 인증기관을 통해 인증을 받아야 한다고 홍보한다. 필자도 이렇게 해왔다. 
 
ISO 26262를 달성하려면 신뢰성 확보가 중요한가?

결론은 ISO 26262의 일부 내용이 신뢰성(Reliability)이고 가장 중요한 것은 안전성(Safety)이란 것이다. 안전성을 확보하지 못하면 ISO 26262 기능안전성을 달성할 수 없다. 신뢰성의 목표는 제품이 특정 기간 내(5년, 10년 등)에 제품 고장률을 낮춰 오랫동안 사용할 수 있는 제품을 만드는 데 있다. 안전성은 제품에 문제가 발생했을 때 인명 피해를 최소화(Risk Reduction)하는게 목표다. 이처럼 신뢰성과 안전성은 지향점이 다르다. 공통된 부분은 “제품고장”이라 할 수 있다(그림 2, 3).
 

[그림 2] 신뢰성과 안전성은 다르다.



[그림 3] 제품의 신뢰성과 안전성 문제의 차이(출처: "최신 신뢰성 수법의 기본: 2009")


안전성의 중요성은 ISO 26262와 직결되는 PL(제조물책임)법을 봐도 잘 드러난다. PL법은 제품에 결함이 있고 그 결함 때문에 소비자가 피해를 입은 경우 제조업자에 과실이 없다고 하더라도 소비자에게 지나친 피해를 끼친 제품은 손해배상 청구 대상이 된다. 예를 들어, 1985년 미국 오레곤주에서는 혼다의 ATV를 소유한 운전자가 운전 미숙으로 언덕길에서 굴러 떨어져 크게 다친 사건이 있었다. 피해자는 “안전성이 좋다고 광고, 선전하던 차가 언덕길에서 구른 것은 제조업자의 설계에 결함이 있었기 때문”이라며 오레곤 법원에 혼다를 상대로 PL법 소송을 제기했다. 법원은 치료비 2만 달러와 부상에 따른 육제적 고통에 대한 위자료 90만 달러를 지불하라고 판결하고, 징벌적 손해배상(punitive damages)으로 500만 달러를 배상하라고 했다.

징벌적 손해배상이란 말 그대로 “혼내주는” 것을 말한다. 제조업자가 만든 “물건”에 위험이 있는 것을 알면서도 비용 절감을 위해 조치하지 않아 큰 피해가 발생한 경우, 그 나라에서 획득한 이익(시장점유율)에 따른 배상 책임을 져야 한다는 것이다. 징벌적 손해배상 판결은 혼다가 책임을 피해자의 과실로 돌리는 행위(bad faith), 또 “혼다가 미국에 와 막대한 이익을 올리면서 동포를 다치게 했다”는 의식이 배심원들을 자극했기 때문이다. 

미국 PL법 관련 소송에서는 변호사에 대한 성공보수(contingency fee)가 통상적으로 승소할 경우 획득한 배상액의 40%, 화해할 경우 30%다. 2010년 토요타의 사례도 1985년의 혼다와 유사했다. 이에 따라 6월 현재 미국에서 토요타보다 더 많은 자동차를 팔고 있는 현대자동차가 미국 변호사들의 집중 공략대상이 될 가능성이 높다. 변호사들은 “이기기 전엔 한 푼의 비용도 부담시키지 않습니다(No Charge to you before Win)”라는 구문을 쓰며 광고하고 있다.

인증기관에서 ISO 26262 인증만 받으면 해외로 수출할 수 있나?

외부 인증기관은 기업의 마케팅을 위한 선택이며, 인증을 받을 경우 믿을만한 인증기관인지 면밀한 검토가 필요하다. 2011년 5월 17일부터 지식경제부 기술표준원은 ISO 경영시스템 부실인증 신고센터를 개소해 운영하고 있다. 귀국해 2011년부터 ISO 26262 관련 업무를 수행하면서 ISO 부실 인증 사례가 꽤 많은 데 대해 놀랐다. 

다음은 2009년 11월 15일 “ISO 인증 무더기 부정 발급”이란 제목의 매일경제신문의 뉴스다.

『세계적인 품질경영 인증체계인 ISO 인증이 1,000여건이나 부정 발급돼서 국내 인증에 대한 국가 신뢰도에 막대한 타격을 주게 됐다. 서울중앙지검 특수3부(양남부 부장검사)는 심사서류를 위조해 ISO 인증서를 부정 발급한 외국계 인증기관 대표 안 모씨 등 5명과 인증심사원 직원 1명을 적발하고 이 중 4명을 사무서 위조 등의 혐의로 구속 기소, 2명을 불구속 기소했다. 검찰에 따르면 안 씨는 2007년 5월 인증심사원 정 모씨의 보고서를 위조해 경기도 소재 반도체 기업 A사에 ISO 9001 품질인증서를 발급하는 등 올해까지 심사보고서 436건을 위조해 인증서를 부정 발급해주는 대가로 7억 4,000만 원 상당의 부당이득을 챙긴 혐의를 받고 있다. 인증서를 발급하려면 전기, 기계, 가스, 자동차 등 해당 분야의 심사 자격을 보유한 심사원이 문서 및 현장 실사 후 심사 보고서와 인증 추천서 등 관련 서류를 작성 제출해야 하지만, 안 씨 등은 이같은 절차 없이 필요한 문서를 위조한 것으로 검찰은 보고 있다.

적발된 인증업체들은 심사를 하지 않은 심사원의 명의를 도용해 심사 보고서를 작성하거나 인증 추천서 등 심사 관련 서류를 위조한 다음 이를 근거로 인증서를 발급해주고 기업체로부터 70만~180만 원 정도의 심사료를 챙겨왔다는 것이 검찰의 설명이다.
적발된 5개 인증기관으로부터 인증서를 부정 발급 받은 기업은 1,062사에 달한다. ISO 인증을 받게 되면 국가가 발주하는 건설사업이나 계약에 입찰할 수 있는 자격을 부여받을 수 있고 능력 평가 시 가점이 부과되거나 심사를 면제받는 혜택이 주어진다. 금융기관으로부터 환경경영체제 인증(ISO 14001)을 받을 경우 일부 금융기관으로부터 우대금리를 적용받는 등 금융기관의 지원도 있다. 많은 중소기업들이 소비자의 신뢰를 얻기 위해 인증 발급 사실을 대대적으로 홍보하기도 한다.

 

[그림 4] 국내 ISO 인증제도 운영체계

국내에 영업 중인 인증업체 104개 가운데 2/3 가량이 외국계다. 검찰은 국내 인증업체는 부실 심사를 할 경우 영업정지나 자격 취소 등 행정조치를 할 수 있지만 외국계 인증업체는 국내에서 제제할 수 있는 권한이 없어 불법이 만연했을 가능성이 높은 것으로 보고 추가 수사를 벌이고 있다. 검찰 관계자는 “국제 표준에 미달하는 업체에 인증서가 발급되면 기업과 국가 신인도 하락으로 이어질 우려가 있다”며 “이들에 대한 형사 처벌 규정을 신설하고 외국계 인증원도 한국계와 마찬가지로 실질적인 감독이 가능하도록 제도를 정비할 필요가 있다”고 말했다.』

ASIL QM(Quality Management)은 ISO 26262를 준수하지 않아도 되나?

결론은 그렇지 않다. ISO 26262 Part 2 Annex D의 Verification reviews를 보면 Part 3-7의 Hazard and & Risk assessment 단계나 ASIL (Automotive Safety Integrity Level) 분할에서 해당 부분이 QM임을 증명을 해야 한다.
 

[그림 5] 운전 중 미끄러질 때 STS (Self aligning torque, 복원 토크) 기능 상실 일 때 ASIL 계산

자동차 안전성 레벨 ASIL은 Safety Case Report에서 제품 개발에서 사회가 허용할 수 있는 정도(Acceptable Risk)로 리스크 절감을 했다고 증명할 수 있는 하나의 척도이다. Safety Case Report는 자동차 사고에 대한 PL법 소송에서 OEM이 제출할 서류로 설명 책임(Accountability)에 대한 법적 증거 자료다. 2010년 화두가 된 토요타 사건에서도 NASA의 조사 결과 전자제어 스로틀에 대한 안전성 책임 문제가 없다는 결론이 내려졌지만, 책임 설명(Accountability)주)이 부족해 재판에서 이길 수 없었다.

ISO 26262 준수를 위해 제품에 대한 최종 보고서만 있으면 되는가?

그렇지 않다. ISO 26262는 OEM 입장에서는 PL법에 대한 책임 설명을 위한 중요한 증거인 Safety Case Report에서 Safety Plan, Hazard analysis & Risk assessment, Safety Requirement, Verification results, 테스트 결과 등 약 30개 항목의 문서가 들어간다. 특히 Safety Requirement가 트레이서빌리티(Traceability)로 관리 되고 있음을 증명해야 한다. 트레이서빌리티를 쉽게 설명하면, 보고서를 작성할 때 수정, 삭제, 추가된 내용들이 남아 있어야 한다는 것이다. 즉, 사회에 허용할 수 있는 정도로 리스크 절감을 위해 거짓 없이 노력했다는 증명이 되는 것이다. 만약 트레이서빌리티를 하지 않으면 기능향상을 위한 SW업데이트가 자동차 SW의 결함을 해결하기 위한 SW업데이트로 소비자가 오해할 수 있다.
 

[표 2] ASIL 레벨을 결정하기 위한 3가지 요소


[표 3] 독일 교통안전연구소 "ASIL 방법론"의 박사 논문에서 인용

 

Safety Analysis의 FTA는 제품 개발단계에서만 하면 되나?

아니다. FTA에는 제품고장에서 부품 고장뿐만 아니라, Human error를 다루고 있으며, 제품을 판매한 후 사고 발생 시 원인 분석을 위해 Human error를 중심으로 FTA를 실시한다. Human error는 사람이 제품을 사용할 때 실수나 잘못에 의해 발생되는 고장이다. 예를 들어서 리모컨에 건전지를 넣을 때 사용자가 건전지의 +와 -표기한 데로 넣지 않고 반대 방향으로 넣을 수 있기 때문에 리모컨에 건전지 넣는 부분에 +와 -를 표기하고 있다. 특히 의료 사고의 경우 의사나 간호사의 Human error가 발생하는 경우가 많다. 예를 들어 응급환자를 위해 사용되는 산소 호흡기에 산소통과 질소통을 잘못 구분해 사망사고가 발생하기도 한다.
 

[그림 6] FMEA와 FTA의 차이 

이처럼, Human error는 제품 개발 과정에서 예측이 어려운 경우가 많으므로, 제품 판매 후에도 사고 사례를 모니터링 해 제품의 기능안전성을 위해 적용시켜야 한다.

ISO 26262를 준수해 만든 제품은 제품 기능을 업데이트할 필요가 있는가?

업데이트할 필요가 있다. 소비자의 안전에 대한 요구는 시간이 지날수록 높아져 간다. 즉 State of the art란 용어로써, 현재 동종업계 엔지니어가 봤을 때 사회에서 허용할 수 있는 수준으로 리스크 절감을 했다는 것으로, 과학이 발달함으로써 허용할 있는 수준(Acceptable Risk)이 높아진다는 것이다. 대표적인 예로 KBS 1TV 금요일 10시에 방송하는 소비자 고발에서는 KC마크를 취득한 자전거에 대한 안전문제를 다뤘는데, KC마크를 취득한 자전거임에 불구하고 내리막길에서 자전거의 중심부가 절단되는 사고가 있었다. 자전거 제조자에게 문의한 결과, 10년 전에 제작한 모델이고 당시에 KC마크 기준에는 통과했지만, 2011년 KC마크 기준으로는 불합격 제품이었다. 10년 전 KC마크에서는 자전거 중심부의 충격 테스트가 없었다. 2011년에서는 충격 테스트가 포함돼 통과하지 못했었다.

ISO 26262는 유럽에서 법제화되나?

아직은 알 수 없다. 이것은 미래에 대한 것이며, 맞을 수도 틀릴 수도 있다. 한 가지 확실한 것은 유럽, 미국, 일본 OEM들이 국내 기업들에게 ISO 26262를 준수해 제품을 납품하도록 요구했다는 것이다.
또 유럽 대학교들의 법과에서는 ISO 26262에 대한 Start of the art를 중심으로 PL법에 대해 연구하고 있다. 예를 들어 보쉬는 ISO 26262를 위해서 PL법 전문 변호사를 직원으로 고용하고 있다. 법제화가 된다고 공식적으로 주장하는 업체로는 일본의 NEC, 도시바 등이 있다.

ISO 26262 대응을 위해 가장 필요한 것은 무엇인가?

ISO 26262에서 현재 사회에서 허용할 수 있는 수준으로 리스크 절감을 달성하기 위해서는 근본적으로 고급 임베디드 개발자 다수가 필요하다. 왜냐하면 리스크 절감을 위해서는 기술 요소로 Safety Mechanism을 구현해야 하는데, 이것은 고급 임베디드 기술이고 신입사원들이 개발하기가 어렵다. 유럽의 자동차 관련 회사의 SW 인력 비중은 50% 정도다. 콘티내셔널의 경우 SW 개발자가 1만 2,000명이라고 한다.

ISO 26262에 대응하기 위해서 가장 필요한 것은 고급 임베디드 개발자다. ‘ISO 26262에 대한 오해와 진실’이란 제하에 글을 작성했지만 중요한 몇 가지, ASIL 할당과 분할에 대한 오해, ASIL 레벨에 따른 +, ++ 선정의 오해 등은 넣지 못했다. 글로 설명하기엔 한계가 있기 때문이다.
 
 

채승엽 CTO, 팝콘사



<저작권자 © AEM. 무단전재 및 재배포, AI학습 이용 금지>


  • 100자평 쓰기
  • 로그인


  • 세미나/교육/전시

TOP