자동차부품연구원 / www.katech.re.kr
기술 개요(방열 솔루션)
자동차 기능안전 또는 ISO26262는 이제 더 이상 생소한 단어가 아니다. 하지만, 그 실체를 정확히 파악하는 것은 여전히 쉽지 않다. 전문 분야에서 일하는 엔지니어가 볼 때 ISO26262는 너무 방대하고 그 실체가 명확하지 않은 대상일 수밖에 없으며 자동차 시스템, 전기전자 및 소프트웨어에 대한 전반적인 이해가 없이는 표준에 대한 명확한 이해는 힘들다.
ISO26262가 무엇이냐고 묻는다면, "자동차의 안전을 확보하기 위한 전기전자부품 및 시스템 개발 절차"라고 하고 싶다. 이는 기존의 생산과정을 중심으로 한 품질관리와 부품개발 과정에 안전을 확보하기 위한 전체적인 개발 단계와 절차가 더해져서 부품개발이 이루어져야함을 뜻하며 개발 단계에서 사용 환경을 철저히 고려하고 분석하여 발생 가능한 위험을 요구수준 이하로 관리함을 목적으로 한다. 보는 시각에 따라 무역장벽이나, 또 하나의 인증 대상으로 보는 경우도 적지 않다.
하지만 강제 규정이나 인증 대상이 아니므로 아직은 부정적인 시각보다는 필요성에 주목할 필요가 있다. 유럽, 일본, 미국의 주요 OEM은 ISO26262의 적극적인 도입을 추진 중이며, 이는 향후 기능안전을 확보한 품질이 좋은 부품을 생산하는 협력업체가 글로벌시장에서 생존가능하며 대응이 늦을 경우 시장에서 도태될 수 있음을 뜻한다. 대상 부품은 초기에는 차량 안전에 민감한 제동, 조향 등의 샤시 부품과 안전 부품이 주 대상이 될 것이며 전기자동차 부품과 지능형자동차 부품에 대한 부분까지 확대적용은 시간문제일 것이다.
ISO26262 자체는 강제 규정이 되기는 힘들 것으로 일반적으로 예측되고 있다. 이유는 OEM이 최종 수행에 대한 인증 책임을 지고 수행해야 하는 개발 프로세스로 보고 있기 때문이다. 하지만, 안전 규제 등을 통한 의무장착 대상 부품에 대해서는 UNECE 규정을 참고할 때 그 적용이 필수라는 의견이 지배적이다. 또한 그 적용 범위에 대한 시각도 많은 차이가 있는데, 최종 수행에 대한 검증은 시스템 수준에서 수행되지만 개발에 대한 적용은 시스템, 하드웨어, 소프트웨어, 하드웨어 컴포넌트, 소프트웨어 컴포넌트를 포함하는 방대한 영역을 요구한다.
ISO26262는 또한 PL의 대응 논리로 거론 되고 있다. 하지만, 독일의 법률가는 기능안전은 PL을 면하기 위한 최소한의 요구사항이며, 상황에 따라 법적인 책임이 따를 것이라고 말한다. 사고의 조사에서 안전 결함으로 밝혀지고 원인이 명확할 경우 DIA(Development Interface Agreement)를 통해 계약된 내용을 기반으로 OEM과 부품업체 사이의 책임성을 따지며 추가적으로 공공법과 형사법상의 위배 여부도 조사가 이루어질 것으로 분석된다.
자동차 기능 안전의 국외 대응 현황
국제 표준을 주도한 유럽의 OEM과 주요 Tier1 그룹은 ISO26262 프로세스를 적용한 개발이 활발히 진행 중이다. BMW, AUDI, Volvo 등의 주요 OEM은 운영 조직 신설을 바탕으로 각 분야별 아이템 정의, HARA, ASIL 및 세이프티 골(safety goal)을 설정하는 역할을 담당하며 활발히 수행 중이다. 협력업체에 서브시스템(subsystem) 단위의 세이프티 골을 제공하거나 FSC(Functional Safety Concept)을 제공하여 협력업체가 TSR(Technical Safety Requirements)을 작성하도록 요구하며 TSR의 최종 인증은 OEM이 수행하는 시스템으로 협력체계를 운영 중이다.
OEM의 가상 큰 이슈는 차량, 시스템, HW, SW, component 레벨의 모든 수준에 대한 세이프티 케이스(Safety Case)를 확보하는 것이라고 한다. 주요 협력업체를 살펴보면, 우선 BOSCH Engineering은 자동차뿐만 아니라 모바일 머시너리(mobile machinery) 대응을 위한 시스템 개발 프로세스를 정립하고 농기계나 중장비 등 관련 산업에 확대 적용을 추진하고 있다. 이러한 확대된 기능안전의 적용을 위해 이동성 기능안전을 위한 제어시스템의 일반적인 안전 컨셉(Safety Concept)을 도입하였다.
모바일 머시너리를 위한 제어시스템의 컨셉은 3단계로 구성이 되는데, 1단계는 기존 제어시스템기반의 기능 구현 단계이며 2단계는 I/O를 함께 공유하여 1단계 로직이 정상작동하지 않을 경우 간순화된 기능으로 안전을 확보하기 위한 기능 단계이며 3단계는 하드웨어에 대한 모니터링을 수반하며 CCF(Common Cause Failures)에 대한 조치를 수행하는 것이다. Continental AG는 최근 발표에서 자사의 'model based safety analysis'를 위해 개발한 SAFE라는 통합
프레임워크(framework)을 소개하였다. SAFE는 시스템, SW, HW에 대한 메타 모델을 기반으로 개발 전 과정에 대한 분석이 가능하도록 구성하여 빠르게 'Failure' 분석과 'Error modeling' 수행으로 부품 개발의 완성도를 높이고 있다.
표준의 이해 및 특징
ISO26262는 조직관리, 협업, 개발 절차, 생산, 도구 등 폭넓고 방대한 분야를 다룬다. 이 장에서는 이 방대한 표준에 대한 전체적 이해를 위해서 파트별 특징을 간단히 알아보기로 한다. 개발자들에게는 중요하지 않지만, 기능안전을 도입하고 운영 및 관리를 수행하는 부서에서는 2장 기능안전 관리는 가장 중요한 부분이다.
이 장에서는 ISO26262 적용에 따른 조직의 변화 및 요구되는 생산 품질 규정을 거론하며 추가적으로 기능안전을 수행하는데 따른 개발 도구 및 운영 도구들에 대한 준비를 명시하고 있다. 또한 ISO26262 수행에서 요구되는 확인 과정(confirmation measure)을 ASIL 수준에 따라 명시하고 있다. I3는 독립된 조직 혹은 외부기관을 통해 수행해야 하는 부분인데 H&R(Hazard analysis and Risk assessment)을 제외하고는 ASIL D 등급에 대해서만 일부 'I3'가 해당된다. 이는 ASIL D 등급의 제품을 생산하지 않을 경우 대부분의 과정을 수행기업 내부적으로 진행할 수 있음을 뜻한다.
3장은 컨셉 단계로 개발 대상품에 대한 정의와 사용 환경 및 작동 환경을 고려하여 위험 상황을 도출하고 그 상황별 위험도, 발생빈도 및 제어가능성에 따라 ASIL 등급을 산정하고 안전 목표(Safety Goal)을 설정한다. 이 설정된 안전 목표를 달성하기 위해서 안전 메카니즘(Safety Mechanism)이 포함된 안전 컨셉과 FSR(Functional Safety Requirements)을 도출한다. 시스템 개발 단계에서 가장 많은 시간이 소요되고 차량의 안전을 확보하기 위해 OEM과 협력업체가 함께 참여하여 철저한 분석과 많은 회의를 통해 수행되어야 하며 적절하지 않은 ASIL등급 산정은 이후 단계의 수행을 의미 없게 만들 수 있으므로 신중하게 진행되어야 한다.
4장은 시스템 개발로 3장에서 도출된 FSR에 근거하여 시스템 구성과 HW 및 SW의 기능 구성을 수행하며, 그에 따른 TSR(Technical Safety Requirements)를 도출한다. 필요할 경우 2개의 시스템으로 FSR을 나누어 다른 ASIL을 할당하여 개발을 진행하기도 한다. 이 ASIL 분할은 요구 ASIL 수준을 낮추어 개발이 가능하도록 구성할 수 있어 개발 비용 절감 효과를 만들 수 있다. 또한 HW와 SW의 개발이 완료된 후에 HW-SW 통합, 시스템 통합, 차량 통합 과정을 통해 최초 설정된 안전 목표를 만족하는지 차량 수준의 검증을 수행한다.
5장은 HW 개발로 4장에서 도출된 TSR을 기반으로 안전 요구사항을 도출하며 설계단계에서 'random hardware failure' 수준을 파악하여 해당 ASIL 등급에 요구되는 수준을 달성하여야하며, Safety Goal을 위배할 수준도 함께 관리되어야 한다. 이를 위해서는 사용하는 주요 부품에 대한 신뢰성있는 고장율 데이터가 확보되어야 한다.
6장은 SW 개발을 다루며 TSR을 기반으로 SW 안전 요구사항을 도출하며 단계에 대한 참조 모델은 그림 4와 같이 V-Cycle을 따르고 있다. SW 개발은 전체 아키텍처를 구성하여 SW의 구성 레벨과 구성 컴포넌트를 설계하고 요구되는 도구와 가이드라인을 통해 개발을 수행한다. SW 개발에 대한 참조 모델인 CMMI나 A-SPICE 인증을 확보하고 있을 경우 빠른 ISO26262 SW 개발 프로세스를 확보할 수 있으나, ISO26262를 위해 필수 요구사항은 아니며 표준에 나와있는 절차를 수행할 경우 별도로 진행이 가능하다. 하지만, 별도로 SW 개발을 위한 프로젝트 수행 모델을 구축하여야 하며 그 위에 안전을 확보하기 위한 ISO26262 프로세스를 추가하여 진행하여야 한다.
ASIL 등급 C, D의 경우는 요구되는 단계별 수준을 맞추기 위해 'Model based design'을 통해 개발하기를 추천하고 있으며 ASIL A, B의 경우 hand-coding도 가능한 것으로 보고 있다. 응용 SW 수준의 SWC 개발 툴은 기존에도 많이 개발에 활용이 되었으나, SW 플랫폼의 경우는 추가로 개발이 되어야 하는 부분이 많다. 분산 제어와 동기화된 제어 명령을 수행하기 위해서는 AUTOSAR의 도입이 요구되고 있으며 그에 따른 디바이스 드라이버(device driver) 등에 대한 개발과 전체 플랫폼의 ASIL 해당 등급 만족이 요구된다.
분산 제어 또는 SWC 기능에 따라 분리할 경우 분리된 SWC 간 간섭이 없도록 구성하고 검증되어야 한다. 구성된 SW unit은 요구사항과 인터페이스를 기본으로 시험을 수행하며 등급에 따라 'Fault injection test'나 'Back-to-back test'를 수행한다. SW 시험은 개발 요구사항뿐만 아니라 차량의 작동 환경과 상황에 따른 Test cases의 현실적인 도출과 HIL, MIL, PIL 등 다양한 검증방법이 요구된다.
7장은 생산과 운영 단계로서 개발된 문서와 결과물에 대한 생산 준비 단계와 생산 과정에서 안전을 해칠 수 있는 경우에 대한 대책을 고안하도록 되어 있다. 또한 운영 중 시스템의 고장이나 fault에 대한 모니터링이 가능하도록 하여야함을 명시하고 있어, 개발 단계에서 이를 고려한 SW 개발이 요구된다.
8장은 지원 프로세스들로 구성이 되어있으며 DIA 작성, 요구사항 관리, 변경 관리, 산출물 관리, 검증 수행 방안, 문서 관리, 사용 SW 도구 인증 등을 포함하고 있으며 SW 컴포넌트 혹은 HW 컴포넌트에 대한 자격검증과 사용된 요소의 재사용과 관련한 부분을 기술한다.
9장은 하나의 시스템을 다른 ASIL 등급을 갖는 2개의 시스템으로 분리하여 개발하는 ASIL decomposition방안과 failure 및 안전 분석을 수행하는 방안에 대해서 기술한다.
10장은 ISO26262 전체에 대한 가이드라인이며 기존 IEC61508을 근간으로 했던 다른 기능안전과의 차별점 자동차 전기전자부품만의 독특한 개발 환경 및 생산시스템 등을 기술한다. 특기할만한 부분은 SEOOC(Safety Element out of Context)로 시스템, HW, SW 모두에 대해 일반적인 기능을 하는 부품으로 개발을 하는데 있어 기능안전의 적용 방안에 대해서 기술한다.
부품이 사용될 환경과 시스템을 가정하여 'tailoring'을 수행하여 필요한 개발 단계만을 진행하도록 하고 있다. 공용부품으로 사용이 가능한 부품을 개발하는 Tier2 혹은 Tier3의 경우 이 부분을 참고하여 진행해야 한다. 또한 전 과정을 수행하면서 도출된 산출물이 어떻게 안전 목표와 안전 요구사항을 만족하고 충족하는지 안전 확보를 위한 논리 전개(Safety Arguments)를 통한 전개 과정을 보여주는 세이프티 케이스의 작성 방법과 중요성을 말하고 있다.
제어시스템 개발 방향
자동차의 주요 경쟁 포인트는 안전과 그린이다.
운전자의 안전을 확보하는데 그치지 않고 전방 차량과 보행자의 안전을 확보하기 위한 능동안전 시스템이 개발되고 있으며 EU는 관련 시스템에 대한 NCAP 지정을 통해 지속적으로 시스템 적용을 요구할 것이다. 이러한 능동안전시스템은 교통과 차량 수준의 신뢰도 높은 시뮬레이션 환경을 요구하며 또한 그에 맞는 검증 환경을 요구한다.
안전에 밀접한 능동안전시스템은 ASIL C, D에 해당이 되며 시스템 시뮬레이션을 통한 설계 및 로직 검증을 통해 개발되어야 하며 시뮬레이션을 위한 정교한 시스템 모델이 요구된다. 'Model based design'은 로직 개발과 시스템 모델의 수정 과정을 반복하여 정교한 시뮬레이션을 수행하도록 하며, 개발된 모델을 통해 시뮬레이션기반 검증을 수행한다.
능동안전시스템은 주변 차량을 포함한 교통 환경에 대한 시뮬레이션을 요구하며, 이러한 환경을 고려한 시뮬레이션은 Driving Simulator와 연계되어 운영된다면 더욱 효과적일 것이다. 그림 5는 Driving simulator와 HIL simulator 및 VTHIL(Vehicle Traffic Hardware-In-the-Loop)의 연계를 통해 ISO26262에 대응하기 위한 운전자지원시스템의 개발 환경을 보여준다. 교통 환경, 도로정보, 센서모델 및 차량 모델을 포함하는 통합시뮬레이션 환경을 통해 컨셉 단계의 위험 상황을 분석하여 사고 위험을 판단하며 이상적인 센서 모델을 기반으로 로직 프로토타입핑을 통해 시스템 로직을 개발한다.
시스템모델을 포함한 HIL simulator를 활용하여 개발된 ECU를 검증하며 운영 시나리오는 Driving simulator를 통해 생성한다. ECU의 차량 탑재 후 기본 성능검증은 VTHIL을 통해 실차 수준에서 시뮬레이션 환경과 연계하여 수행이 가능하다. 그린카의 핵심이 되는 전기구동계 부품 및 제어시스템의 개발도 전체적인 시스템을 포함한 통합 시뮬레이션 환경에서 개발이 된다면 빠르고 체계적인 개발이 가능하다.
전기구동계 부품(MCU, DC-DC 컨버터, BMS 등)은 차량의 안전과 밀접한 관련을 갖는 중요 시스템으로 ISO26262의 적용이 필요하며 그에 따른 시스템 모델과 시뮬레이션 기반 제어 로직 개발이 요구된다. 그림 6은 그린카의 주요 부품에 대한 세부 모델을 구성하고 이를 통해 제어로직 개발 및 부품에 대한 성능 검증을 수행하기 위한 E-Drive HIL Simulator를 나타낸다.
그린카 E-Drive 시스템은 고속 PWM 제어방식을 적용하고 있으며 이에 대응하기 위해 동적 상세모델을 실시간으로 구현할 수 있는 FPGA I/O 보드를 활용하고 있으며 최근에 전기 구동계 모델을 실제수준에 근접한 HIL 시뮬레이션 기술이 개발되었다.
이러한 HIL 시뮬레이션 기술을 바탕으로 신호레벨에서 전기 구동계 제어기의 고장환경을 모사하고 그에 따른 로직의 정상적인 구현여부를 평가하는 FIT(Fault Injection Test)시험평가 사례가 늘어나고 있으며 FIT 시험을 통한 제어기 검증은 제품의 기능적 신뢰성 확보에 중요한 방법으로 떠오르고 있다. 또한, 제어대상 부품의 시뮬레이션 모델과 HIL Simulator를 연계한 시험평가 뿐 만 아니라 다이나모를 연계하여 부품에서 실차까지 시험이 가능하며 시뮬레이션과 연계한 시스템 모델과 다양한 시험 시나리오를 통해 검증이 가능하다.
다이나모 및 시뮬레이션 연계 시험 환경은 정량적인 시험조건과 재현성이 있다는 부분에서 장점이 있으며 제어로직의 기능적 검증평가에서부터 차량적용까지 일괄적인 개발프로세스로써 개발 기간 단축이 가능할 것이다.
대응 방안
ISO26262는 더 이상 선택의 문제가 아닌 필수라는 생각이 든다.
인증을 받아 그 규격을 준수했다는 것을 증명하는 것이 아니라 기업의 안전 관련 부품에 대한 개발에 있어 안전 문화(Safety Culture)를 구축해야 하는 취지에서다. Volvo의 기능안전 전문가는 기업에서 기능안전을 수행하는 것은 애벌레에서 나비로 진화하는 것과 같다고 표현한다.
이는 많은 개발 기술과 기업 경영의 관점을 포함하는 개발 문화를 바꾸는 것을 의미하며 이것은 한순간에 되는 것이 아니며 꾸준한 노력이 요구되고 많은 시간이 요구되는 과정으로 보아야 할 것이다. 특히, ISO26262를 주도하는 것은 OEM만이 가능하다고 할 정도로 완성차의 역할이 중요하다.
OEM과 Tier1의 전략적인 대응이 요구되며 개발과정의 명확하지 않은 사양에 대한 많은 협의와 연구가 수반되어야 할 것이다. 선진국에 비해 기능안전에 대한 기초 연구 수행이 미비한 국내에서는 빠른 기간에 유럽의 선진 부품업계를 따라가기 위해서는 기업과 학계 및 연구소를 포괄하는 국내 기능안전 대응 체계를 구축하여 효과적으로 국내 기술 정착을 진행해야 할 것이다.
또한 이를 통해 기능안전의 도입이 어려운 중소기업에 대한 지원시스템으로 기능안전 수행 전문가를 위한 교육과정과 연구개발 인프라 및 솔루션 및 시험검증 인프라 및 솔루션에 대한 체계적인 지원이 가능하도록 정부의 현실적인 정책 마련과 지원이 절실히 요구된다.
회원가입 후 이용바랍니다.
개의 댓글
댓글 정렬
BEST댓글
BEST 댓글
답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
내 댓글 모음