[영상] 차량 반도체의 안전성 기준은? ISO 26262 세컨드에디션 간략 해설
[영상] 차량 반도체의 안전성 기준은? ISO 26262 세컨드에디션 간략 해설
  • 장현민 PD
  • 승인 2021.03.30 09:15
  • 댓글 0
이 기사를 공유합니다

<자막원문>

한: 오늘 한양대학교 미래자동차공학과 김병철 교수님 모시고 자동차 반도체 얘기를 한번 해보도록 하겠습니다. 안녕하십니까.

김: 안녕하세요.

한: 이 책이 교수님이 쓰신 책인데요. 이게 작년 6월에 나온 책이라고 합니다. 책값이 2만4천원이고 ‘ISO 26262 자동차의 기능안전실행 가이드’ 이 안에 여러 가지 얘기들이 나와 있는데. 사실은 저는 이런 책이 나와 있는지 몰랐는데. 이런 내용에 지식을 우리가 습득하려면 기업 내에서 굉장한 많은 시간과 돈이 필요할 것 같은데. 이 책을 하나 사보면, 제가 읽어보진 않았지만, 쭉 이렇게 보니까 굉장히 많은 정보들을 담고 있는데. 오늘 이것에 대해서 얘기를 해보려고 모셨습니다. ISO 26262이 저희가 자동차 반도체를 한다고 하면 이런 용어에 대해서 들어는 봤을 텐데. 이게 무엇을 의미하는 겁니까?

김: 기능안전은 어떤 의미를 하냐면 영어로는 ‘Functional safety’라고 합니다. 번역을 우리나라 말로 ‘기능안전’이라고 하다 보니까. “기능이 안전? 이게 무슨 내용이지?”라고 할 수가 있습니다. 정확하게 한국말로 전달하려고 하면 기능상의 안전으로 번역하면 가장 정확하게 번역이 되는 거고요. 그러면 ‘Functional safety’가 의미하는 것은 전기전자 시스템의 의해서 어떤 기능이 작동하게 됩니다. 그게 안전한 기능이 있을 수 있고 안전하고 관계없는 기능이 있을 수 있는데. 안전하고 관계된 그런 기능을 하실 때 그 기능이 오작동이나 고장을 일으켜서 사고로 이어지면 인명사고나 재산, 환경적 피해가 올 수 있습니다. 그것을 막기 위해서 어떻게 해야 된다는 지를 언급한 게 바로 기능안전입니다. 안정성을 확보하는 거죠.

한: 이게 표준인 거죠?

김: 표준입니다.

한: 어디에 의해서 제정된 표준입니까?

김: ISO(국제표준화기구)에서 나왔고요. ISO 26262는 자동차는 ISO(국제표준화기구)에서 나왔고요. 나머지 전기전자 시스템은 IEC(국제전기기술위원회) 표준으로 나와 있고요. 각 산업별로 표준들이 나와 있습니다.

한: 예를 들어서 몇 년 전에, 몇 년도인지 정확하게 기억은 나지 않는데. 도요타 자동차 급발진사고가 일어났잖아요? 근데 이제 그 결과에 대해서는 무슨 엔진에, 엔진 작동도 전자기기가 개입이 되어 있으니까 뭐가 열려있으면 안 되는데 계속 열려있었다. 정확하게 제가 기억이 나진 않지만 그런 것도 기능안전사고에 굉장히 중대한 사고 아닙니까?

김: 도요타 급발진 사태가 기능안전을 하게 된 하나의 시발점이라고도 얘기를 많이 하는데요. 조금 구체적으로 설명해 드리면 도요타에 나중에 조사를 해서 여러 가지 문제점이 있었지만 소프트웨어에 대해서 소스코드를 받아서 미국 정부에서 검증을 했습니다. 전문가 바(BARR) 그룹이라는 곳에서 검증을 했는데. 안전하고 관계된 건 기능안전에서 ISO 26262에서 요구하고 있는 건 글로벌 변수를 사용하면 안 된다고 되어 있습니다.

한: 어떤 변수요?

김: 글로벌 변수. 글로벌 변수라는 것은 A가 작동을 하고 있으면 B, C, D라는 제품이 신호가 있다고 그러면 B, C, D를 부르는 게 동시에 부르는 거예요. 글로벌로 쓰는 게, 전 세계가 동시에 쓰듯이 글로벌 변수는 A,B,C,D 동시에 부르는 거예요. 작동을 하고 있는데. 그러면 우리가 브레이크 시스템이 작동하고 있으면 자동차는 오버 라이드 시스템이 있어서 브레이크 시스템이 먼저 작동을 하게 되어 있는데. 그거 없이 가속 패달이 작동했기 때문에 급발진 사고가 일어난 거거든요. 그러면 A라는 신호가 있는데 B, C가 끼어들어서 사용하는 것을 글로벌 변수라고 그럽니다. 기능안전에서 제일 중요한 건 안정성을 확보하기 위해서 안정성이 확보되는 A만 있으면 B, C, D가 아무리 부르더라도 작동하지 않도록 되어 있어요.

한: 잘못하면 급발진이 날 수 있으니까.

김: 그렇죠. 그 소스코드가 여러 가지 문제점이 많은데. 도요타의 소스코드에는 글로벌 변수를 사용하는 게 나왔습니다. 기능안전에서 얘기하고 있는, 하지 말라는 것을 해버린 거예요. 그럼 안정성이 확보가 안된 거죠. 그다음에 두 번째는 책임소재가 이루어집니다. 여러분 ‘State of the art’라고 얘기를 하는데. ‘State of the art’는 과학기술 수준을 얘기하고 있습니다. 그러면 지금 최신으로 나와 있는 과학기술을 적용했을 경우에는 우리가 ‘PL법(제조물책임법)’을 보면 면책에 대상이 되는데. ISO 26262 표준은 2011년도에 나왔는데 이러한 사건들이 그 이후에 나왔다고 하면 ‘State of the art’ 과학기술 수준을 적용하지 않았기 때문에 집단소송죄와 징벌적 책임에서 면책이 되지 않는다는 겁니다. 그러면 자율주행으로 갔을 때 제조사의 책임이냐, 앞으로 운전자의 책임이냐, 도로관리자의 책임이냐 여러 가지가 나오는데. 이런 것들을 적용하지 않은 제조사나 도로관리자나 통신사가 있다고 하면 이제 책임은 어디로 가냐 하면 ‘State of the art’를 적용하지 않았으니까 당연히 그쪽으로 가는 거죠.

한: 아니 그러니까 그러면 이걸 그런 안정성에 대해서 쉽게 얘기해서 ISO 26262에 뭔가 하지 말라고 되어 있는 것들은 하지 말아야 되고. 이런 규정을 준수해야 된다는 건 그에 맞춰서 차근차근해야 된다는 말인가요?

김: 그렇죠.

한: 지금 ISO 26262이 2011년도에 나왔다고 했는데. 몇 년 전에 제2판(2nd edition)이 나왔잖아요?

김: 2018년 12월에 제2판(2nd edition)이 나왔습니다.

한: 제2판 안에는 반도체 설계에 대한 내용도 새로 들어갔다고 그래요. 근데 제가 예전에 취재할 때 기사를 썼던 것은 반도체에서 고장률이 어느 정도나 날 것인지에 대한 것 그리고 그 고장률을 얼마나 최소로 줄일 것인지에 대한 것. 만약에 고장이 났을 때 이걸 바로 확인할 수 있는 이런 설계가 들어가야 된다고 제가 취재를 했던 기억이 있는데 맞습니까?

김: 맞습니다. 그래서 고장이 일어나면 그 고장을 회피하거나 감지하거나 발견해서 안전한 상태로 못 돌아가더라도 비상사태로 들어가서 사고가 일어나지 않도록 안전 메커니즘이 들어가야 됩니다. 안전 메커니즘의 기술과 실제적으로 반도체에서 갖고 있는 고장률 지수 이런 것들을 계산을 해서 전체 고장률이 얼마만큼이고 우리는 얼마만큼 신뢰성을 보장한다고 완성차라든지 아니면 티어1이나 티어2에 제공되어야 합니다. 그 정보가.

한: 고장률이 그럼 지금 예를 들어서 저 같은 경우는 뭘 쓰다가 틀리는 경우가 열 번에 한 번이다라고 하면 10% 정도 고장이 나는 거잖아요? 근데 반도체는 그러면 안 되잖아요?

김: 당연하죠.

한: 몇만분의 1 정도를 해야 됩니까?

김: 우리가 일반적으로 기계 가공이나 정밀 가공 이런 걸 쓰면 99.99%라고 하면 아주 정밀하다고 얘기를 합니다. 그러면 10의 4승을 얘기합니다. 0이 4개가 붙으니까. 근데 ISO 26262나 IEC 61508에서는 리스크 등급이 있습니다. SIL 등급이 1~4등급이 있고요. 자동차는 ISO 26262에는 ABCD라는 등급이 있습니다. 리스크 등급에 따라서 고장률이 다른데요. D로 되든 4로 되든 리스크가 높으면 올라갑니다. 만약에 4등급이나 D등급일 경우에는 10의 -8승 이하로 고장이 나야 됩니다.

한: 10의 -8승.

김: 그러면 제가 다시 전체 퍼센트로 말씀을 드리면 99.999999%라는 겁니다. 소수점 이하로 6개 퍼센트 이하로 고장이 나야 된다라고.

한: 거의 고장이 안 나야 된다는.

김: 그렇죠. 그렇게 해야만 안정성이 보장된다는 거죠.

한: 그럼 그건 예를 들어서 D등급 같은 건 그렇고. 그 위로 갈수록 조금씩 낮아지는 겁니까?

김: C등급은 10의 -7승 이하로 고장 나야 된다.

한: 그럼 이제 우리가 사람 목숨과 굉장히 밀접한, 중요한 안전장치라고 하면 그렇게 굉장히 가장 높은 10의 -8승을 해야 되는 거고. 그게 아니라 음악을 듣고 이런 것들은?

김: 음악도 듣고 라디오 시스템만 있다고 하면 리스크 분석 평가를 하면 보통 QM(Quality Management)이 나옵니다. QM(Quality Management)은 ABCD 등급에 해당되지 않기 때문에 ISO 26262에 적용대상이 아니고요. 일반적으로 자동차에 납품하려고 그러면 ‘IATF 16949’라는 자동차 품질경영시스템이 있습니다. 그것만 잘 준수해도 충분히 커버링이 되는데. ABCD등급에 해당되는 순간에 ISO 26262에 따라서 할 일이 많다.

한: 그러면 99.999999%, 10의 -8승이 된다고 그러면 그 측정은 어떻게 합니까? 만약에 제가 뭔가 칩을 설계를 했다. 이 제품이 10의 -8승의 에러율을 갖고 있다고 내부에서 테스트는 어떻게 해야 돼요?

김: 내부에서 테스팅도 해야 되지만 우리가 반도체를 만들 게 되면 일반적으로 안전 메커니즘, 대부분 ECC 코드를 많이 넣습니다. ‘ECC(Error Correct Code)’라는 코드가 잘못 왔을 때 정정해주는 이런 프로그램을 코딩을 해서 잡아내는 그런 기술을 반도체에 넣을 수 있습니다. 메모리에도 넣고 비메모리에도 넣을 수 있는데. 그걸 안전 메커니즘이라고 그럽니다. 그러면 안전 메커니즘이 과연 몇 프로짜리인지도 검증을 해야 됩니다. ECC 코드를 넣었는데 우리가 100개에 고장이 일어난 코드가 잘못됐는데 100개를 다 검증하는 ECC 코드 프로그램이 있을 수도 있고요. 90개만 검출해내는 코드 프로그램 있습니다. 아니면 80개만 검증해내는 ECC 코드가 있다고 하면 기존에 반도체가 갖고 있는 고유 고장률과 ‘DFA’라는 게 있습니다. DFA (Dependent Failure Analysis). 반도체는 수백만 개의 저항이라든지 이런 것들이 합쳐져서 만들어지기 때문에 같은 종류의 저항들이 이렇게 있다 보니까, 100만 개씩. 하나가 같은 고장을 일으키면 동시에 고장을 일으키는 공통 원인 고장(Common Cause Failure)이라는 게 있습니다. 대표적인 게 EMI가 들어오면 EMI는 전자파죠. 전자파가 들어오면 그 전자파에 약한 저항이 있다고 하면 동시에 고장이 나는 거예요. 그런 걸 공통원인고장(Common Cause Failure)로 분석을 해서 고유의 고장률이 나옵니다. 그러면 고유의 고장률이 내가 10의 -7승이라고 가정을 했습니다. 그러면 D등급을 맞추려면 10의 -8승이 되어야 되잖아요? 그러면 안전 메커니즘 아까 그런 ECC 코드를 여러 개를 아니면 감시장치(Watchdog)을 넣든지 해서 고장률을 낮추고요. 더불어 안전 메커니즘에 해당하는 커버리지 이런 것들을 계산해서 고장률을 산출을 합니다.

한: 산출을 해서 해야 되고. 고장이 났을 때 이것을 바로 확인할 수 있는 설계 블록도 그런 것도.

김: 그건 시뮬레이션이나 미리 사전에 제품을 출하하기 전에 시험이나 검증, 계획을 수립해서 진행을 해야 됩니다. 검증실험계획을 수립해야 된다는 것은 기능안전에서 필히 요구하는 사항들입니다. 그런 걸 누락시키면 위배를 하는 거죠.

한: 근데 그러면 그런 것들을 다 맞춰서 하려면 자동차 반도체 하기 되게 쉽지 않겠네요. 지금 스마트폰에 들어가는 반도체 칩에는 그런 것들이 일부 ECC 같은 건 있는 칩들도 있지만 대부분 그런 거 신경 안 쓰고 집어넣지 않습니까? 성능만 보고.

김: 그렇죠.

한: 다운되면 껐다 켜면 되니까. 근데 자동차 반도체는 그렇게 하면 안 된다는 얘기인 거죠?

김: 큰일 나죠. 왜냐하면 이게 사람의 생명을 좌지우지하기 때문에요. 최근에 얼마 전에 우리 웹 뷰가 버그가 나서 문제가 있었습니다. 카카오톡이나. 그건 껐다 켰거나 아니면 불편하고 말든지 프로그램을 재부팅 하면 되지만 자동차는 100킬로미터씩 달리는 물체입니다. 그것도 최소 2~3톤이 그러면 쌍방향이 부딪치든 양방향이 부딪치든 한 쪽으로 부딪치든 간에 2~3톤이 부딪치면 여러분들이 잘 아시겠지만, 중력가속도라는 것은 속도 x 무게입니다. 그 충격이 어마어마하다는 거죠. 그러면 사람의 목숨이 위험하다는 겁니다.

한: 사람의 목숨이 위험하니까 이런 것을 해야 되는데. 근데 지금 말씀하신 걸 들어서 제가 어떤 칩을 만드는 회사인데. 자동차 반도체를 하기 위해서 이런 여러 가지 프로세스를 도입해서 설계를 넣고 하려면 비용도 엄청나게 올라갈 것 같은데요.

김: 안 하던 일을 하려고 하면 당연히 올라가겠죠.

한: 그 비용이 올라가는 만큼을 상쇄할 수 있을 정도로 뭔가 그래도 그쪽 시장이 유망하니까 그래도 기업들이 준비를 하는 거겠죠?

김: 제가 볼 때는 유망합니다. 앞으로 모든 게 자동화와 자율화로 될 예정입니다. 드론도 마찬가지고 비행기도 철도 차량도 원자력, 모든 게 자동화가 되어야만 편안하고 안전하고 생산성 높게 관리가 됩니다. 왜 자동차 반도체를 점령해야 되냐고 말씀드리면 지금 가장 쉽게 접근하고 가장 열악한 환경이 자동차입니다. 자동차는 열충격, 진동 충격, 온도와 습도. 여러 가지 복잡다단한 이런 변수들이 있습니다. 그것을 견뎌낸다고 하면 이게 굴삭기에도 들어갈 수 있고요. 철도 차량에도 들어갈 수 있고 비행기는 약간 다르지만, 비행기에도 들어갈 수 있는 반도체 그리고 최근에 자율주행 선박이 나오고 있습니다. 그 자율주행이 선박에도 들어갈 수 있는 반도체가 되기 때문에요. 이건 필히 해야 됩니다. 그리고 장기적으로 투자를 해야 됩니다. 당장 이렇게 한다고 하면 또 모래성을 짓는 겁니다.

한: 자동차 업체에서 반도체를 팔러온 어떤 회사 사람들에게 “ISO 26262 세컨드 에디션에 부합하게 설계가 되었습니까?” 이렇게 물어볼 수 있겠네요.

김: 물어보죠.

한: 근데 “그게 뭡니까?” 이렇게 물어보면 못 파는 거고. “됩니다”라고 하면 충족됐는지 그들도 그걸 확인하는 거죠?

김: 당연히 확인하죠.

한: 근데 그 인증제도에 대해서도 여쭤보고 싶은 게 이게 어떤 자동차 반도체를 만드는 기업들, 해외의 어떤 유수한 인증기관으로부터 ISO 26262에 대해서 인증을 받았다라고 하는 건데. 그런 것을 자동차 업체들이 요구하지 않죠?

김: 방금 말씀하신 것처럼 요구는 하지 않습니다. 않는데. 저는 유럽 회사에 오래 근무하다 보니까 유럽인증제도를 조금 설명해 드리면. 유럽인증제도는 ‘DOC, COC, AOC’라는 3개의 제도가 있습니다. 그 3개의 인증제도를 받아도 인증으로 통용되는 겁니다. 근데 우리나라 사람들은 거의 대부분 AOC만 강조를 하는 거예요. 누가 공정된, 공평한, 승인된 기관에서 서티피케이트를 준 것처럼 이렇게 착각을 하고 있는데요. 유럽은 3가지 인증서는 DOC는 Declaration of Conformity(적합성 선언서)입니다. Declaration이라는 건 내가 자기 적합성 선언을 해도 서티피케이트로 인정을 한다는 거예요. 그다음에 두 번째는 내가 혼자 DOC를 하기에는 역량이 부족하니까 누구라도 못 믿어줄 수 있죠. 처음 이 사업에 뛰어들면 그래서 인증기관을 끼고 인증기관으로부터 인증서를 받는 겁니다. 그러면 지금 반도체 회사 인증을 받았다는 것은 이 인증제도가 없는데도 이 사업에 뛰어들었으니까 자기가 독자적으로 DOC를 하면 되는데도 그게 혹시 고객이 못 믿어하니까 COC(Certificate of Conformity, 적합성 인증서)를 해서 제출하는 거예요. 그리고 마지막으로 있는 AOC는 인증제도화에서 인증서를 주는 겁니다. 그 인증제도화가 있으면 인증기관이 있고 명확한 제도하에 움직이다 보니까 이건 아까 우리가 말하는, 우리 한국인이 생각하는 AOC에 해당되는데. AOC는 15%밖에 안 되고요. 85%는 대부분 DOC나 COC로 하는데. COC가 60%입니다. 유럽에. 서로 믿는 사이니까 우리나라는 못 믿는 사이니까 이렇다고 말씀드리겠습니다.

한: 지금 국내 반도체 업체들도 ISO 26262 제2판(2nd edition) 관련해서 대응을 하고 있죠?

김: 많이 준비하고 있습니다.

한: 이걸 하려면 준비를 하지 않으면 안된다는 얘기.

김: 그렇죠. 대표적으로 삼성전자도 하고 있고요. SK하이닉스, 실리콘웍스, 텔레칩스 이런 업체들이 하고 있는 걸로 알고 있습니다.

한: 알겠습니다. 오늘 여기까지 하겠습니다. 교수님 고맙습니다.

김: 감사합니다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 강남구 논현로 515 (아승빌딩) 4F
  • 대표전화 : 02-2658-4707
  • 팩스 : 02-2659-4707
  • 청소년보호책임자 : 이수환
  • 법인명 : 주식회사 디일렉
  • 대표자 : 한주엽
  • 제호 : 디일렉
  • 등록번호 : 서울, 아05435
  • 사업자등록번호 : 327-86-01136
  • 등록일 : 2018-10-15
  • 발행일 : 2018-10-15
  • 발행인 : 한주엽
  • 편집인 : 이도윤
  • 전자부품 전문 미디어 디일렉 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 전자부품 전문 미디어 디일렉. All rights reserved. mail to thelec@thelec.kr
ND소프트