전자시대로의 진입

최근 몇 년 간 자동차 산업에서는 커다란 지각변동이 있었다. 지난 2008년 세계 경제위기 당시 미국의 GM은 Chapter 11 파산보호 신청을 했다. 2009년 토요타는 가속 페달과 제동 시스템 결함으로 대규모 리콜사태를 겪으며 브랜드 신뢰도에 치명타를 입었다.
GM의 파산과 토요타 사태의 많은 부문은 ‘자동차의 전장화(電裝化) 현상’과 연결되기도 한다. GM은 전자화 혁신 등을 적극 활용해 경량, 고효율 등의 트렌드를 쫓는데 안일했고, 토요타는 전자화를 통한 고부가가치 추구 과정에서 무리가 생긴 것이라고 할 수 있다. 고효율의 성능개선, 친환경, 사용자 편의 및 안전 시스템 향상 등을 위한 전장화는 갈수록 강력해지고 있다. 기계 중심의 발전에서 점차 전기, 전자 기술이나 정보통신 기술 등 여러 분야가 접목된 멀티 메카트로닉스로 급격히 전환돼 발전하고 있다(그림 1).




한편, 독일의 유명 OEM들은 가까운 시일 내에 개발될 차세대 대형 승용차에 200여개의 전자 제어장치(ECU)가 장착될 것이라고 말했다. 물론, 이는 산술적인 측면만을 고려한 ECU의 절대치다. 실제 부착되는 ECU는 주어진 기능을 수행하기 위해 반드시 구동되거나 주어진 기능 수행 시 외부 감시(필요한 경우 제어 기능) 기능을 수행하는 전자제어장치를 포함할 때 대략 100~120개를 넘지 않을 것이다. 그림 1과 같이 ECU 장착의 절대적인 수치는 크게 증가하지 않는 반면, 한 개의 ECU가 제어해야 하는 기능의 수는 시간이 지날수록 크게 증가될 것이다. 이는 실제로 Dual-Core나 Quad-Core CPU 및 연산속도의 증가로 인해 보다 빠르게 진행될 전망이다.

추적성을 요구하는 안전

전자제어장치에 대한 기능 요구사항(Functional Requirement)과 기술 요구사항(Technical Requirement)이 높아지고 있고 시스템의 복잡도가 크게 증가하고 있다. 이에 따라 반도체나 E/E 시스템의 신뢰성 및 안전성에 더욱 높은 초점이 맞춰지게 될 것이다.
최근 한 시장조사업체의 발표에 따르면, 올해 차량용 반도체 시장은 지난해보다 약 8% 정도 성장한 200억 달러가 될 전망이다. 차량 한 대당 탑재되는 반도체 가격 총액 역시 약 8.5% 상승한 대당 380달러가 될 것이다. 바꿔 말하면 탑재되는 반도체의 수가 많아질수록 복잡도는 높아지고 그림 1에서와 같이 많은 기능이 요구될 것이다.
이들 분야와 관련된 국제 표준으로는 IEC 61508이 있었다. 그러나 IEC 61508은 대체로 공정산업에 대한 표준이었기 때문에, 자동차 분야에 특화된 표준이 필요했다. 때문에 2004년경부터 새로운 표준 제정 활동이 시작됐고, 마침내 지난 2011년 11월 15일 자동차 분야의 기능안전성 표준인 ISO 26262: Road Vehicle-Functional Safety 규격이 최종 공표됐다. 이는 잘 알려진 것처럼 IEC 61508을 기반으로 3.5톤 이하 승용차량에 탑재된 E/E 시스템을 대상으로 한다.
매우 높은 수준의 ASIL(Automotive Safety Integrity Level) Class나 전반적인 안전성 확보에 대한 태초의 정의는 산업공학 분야 등에서 흔히 사용되는 신뢰성(Reliability) 정의에 기반을 둔다. 신뢰성이란 “기계, 기기 또는 부품이 주어진 조건 하에서 의도하는 기간에, 요구된 기능을 적정하게 수행할 확률”을 의미한다. 또한 주어진 요구사항을 만족시키는 능력을 갖춘 “품질(Quality)” 정의에 비해 상대적으로 좁은 의미를 가진다고 볼 수 있다. 그러나 안전(Safety)이라는 카테고리 상에서는 품질보다 높은 수준의 일반적, 기술적 요구사항을 충족시킬 수 있어야 한다.
ISO 26262 대응을 위한 핵심 개념은 확률론 기반의 신뢰성 공학이다. ISO 26262의 핵심이라고 할 수 있는 ASIL도 마찬가지로 확률론을 기초로 한 다양한 정성 및 정량 분석을 통해 얻어낸 최종 결과를 가지고 판단한다. ISO 26262는 모태가 되었던 IEC 61508과 같이 전기/전자 시스템의 전체 수명주기에 대한 체계적이고 구체적으로 확인 가능한 신뢰성 및 안전성 관리를 위한 것이라고 할 수 있다.
특히 ISO 26262에서는 ASIL Class 결정, 부품, 시스템/모듈, ECU의 S/W와 H/W 위험 및 리스크 분석(Hazard Analysis and Risk Assessment) 요소, FT 상 최하위 Event로부터 Top-Event 상의 모든 Event(RBD 상 모든 Event 역시 포함), FMEA 분석을 통해 도출된 모든 Failure Mode 등에 대해 추적성(Traceability)을 가질 것을 권장하고 있다. 중형급 이상 차량의 소프트웨어 프로그래밍에 필요한 코드가 대략 1억 라인(line)이 넘어가는 것을 고려하고, X-by-Wire, Battery Management System 등 시스템화, 모듈화된 하드웨어의 디자인 단계에서 수행된 D-FMEA의 Failure Mode 수가 수백 장에 달하는 것을 감안하면 앞서 언급한 “추적성”이라는 개념이 개발 단계에서는 물론, 향후 신제품의 개발이나 기존 제품의 변형에 있어 어떠한 긍정적인 영향을 미칠 것인지는 복잡하게 생각하지 않아도 알 수 있다.

신뢰성 확보 이상의 목표 
 
ASIL Class A~D 수준 결정에 필요한 심각도(Severity), 발생도(Exposure) 및 통제성(Controllability) 중 심각도와 발생도는 정성적 안전성 평가 기법의 기본이 되고 있는 FMEA를 통해 일부 변환해 사용이 가능하지만, 통제성은 이들과는 다르게 Watchdog나 External FPGA와 같이 Error, Fault, Failure 시 짧은 시간 내에 사용자나 S/W 및 H/W에 의해 정상 상태(Safety State)로 천이(Transfer)가 가능하게 하는 수준으로 표현이 된다.
ISO 26262: Road Vehicles - Functional Safety는 450여장이 넘는 방대한 표준이다. 관련 연구기관이나 기업체에서는 팀을 구성해 대응하고 있을 정도로 까다롭고 복잡하다. 또한 ASIL Class나 품질관리(QM)를 위해 다양한 안전 분석 방법론 및 준수, 확인 조치나 Validation, Verification 활동 등에 대해 방향성을 제시하고 있다. 그러나 ISO 26262의 핵심과 원론적인 목적은 위와 같은 단순한 신뢰성 확보에 관한 기업의 적절한 대응과 이를 통한 기술력의 확보가 전부라고는 할 수 없다.
ISO 26262나 IEC 61508과 같이 Functional Safety와 관련된 표준에서 SIL, ASIL Class 등으로 인해 경시되고 있는 경향이 있지만, 이들 표준에 대응하기 위한 최종 목적은 사회가 허용할 수 있는 Risk 수준(As Low As Reasonable Practicable, ALARP)을 달성하는 것이다.
ISO 26262나 IEC 61508 대응 전략은 ECU 기능의 중복이나 상호 간 Redundancy System으로서의 활용 방안 등을 통해 좁게는 ASIL Class(또는 SIL Class)나 그 이상의 신뢰성 확보, 넓게는 불필요하게 높은 사양이 탑재된 E/E-System을 요구 기능에 최적화 시키는 활동이다. 또 궁극적으로는 Risk-Cost와의 적절한 포인트를 찾는 것에 있다고 할 수 있다.