| ISO 26262, 자동차 전자 시스템 테스트 및 검증
| ASIL, 도로 위 운전자들에 미치는 위험성에 초점
| 車 반도체, IATF 16949, AEC-Q100 취득해야

삼성전자가 차량용 반도체 기능안전 국제표준인 ISO 26262 기능안전관리(Functional Safety Management; FSM)’ 인증을 취득했다고 13일 밝힌 바 있다. 이는 삼성전자의 차량용 반도체 개발과 관리 프로세스가 ISO 26262의 요구사항을 충족한다는 의미다.

삼성전자 외에도 차량용 반도체 국체표준 인증을 취득을 알리는 전자 업체들이 많다. 자일링스, LG전자, 래티스, ams, 로옴 등 많은 전자 업체들의 ISO 26262 인증 취득 열기는 꾸준하다.


왜 뜨겁나?
단순하다. 자동차가 바퀴달린 전자 제품이 되어가고 있기 때문이다. 반도체 제조사인 마이크로칩은 산업 분야 다음으로 자동차 분야에서 높은 매출을 기록하고 있으며 그 비중엔 17%에 달한다.

마이크로칩은 9일, 기자간담회에서 자동차 반도체 시장의 4대 요인을 선정했다. 4대 요인은 자동차 반도체 시장이 왜 성장할지, 또 자동차가 얼마나 전자 제품화가 되는 지를 보여준다.

첫 번째는 전기화다. 환경 규제가 날로 강화되며 전기차에 대한 투자도 강화되고 있다. 전기차와 하이브리드 전기차에는 전기 모터, AC/DC 컨버터, 회생 제동 시스템 등 수많은 전기 애플리케이션이 탑재되고 있다.

두 번째는 HMI와 차량용 인포테인먼트의 활성화다. 사용자 편의성과 운전 안전성 향상을 도모하는 차량용 인포테인먼트 시장의 성장률은 두 자릿수로, 완성차 시장의 한 자릿수 성장률보다 가파르다.

세 번째는 ADAS와 자율주행차량 기술의 본격화다. 맥킨지는 2030년에 제조되는 차량의 15%가 완전 자율주행차량일 것으로 내다보고 있다. 이를 위해서는 고성능 컴퓨팅이 필수가 됐다. 지금은 아니더라도 언젠가 모든 자동차가 고성능 컴퓨팅을 수행할 것이다.

네 번째는 오토모티브 사이버 보안 필요성의 증가다. 자율주행차량 기술의 성숙과 커넥티드 카의 보편화로 보안 인증에 대한 수요가 증가하고 있다. 2019년부터 2026년까지 오토모티브 보안 엔드포인트 시장은 연간 12% 성장률을 보일 것으로 예측된다.

반도체는 이처럼 자동차 곳곳에 들어가고 있으며 또 들어갈 예정이다. 전자 업체 역시 자동자 표준에 주목하는 이유다. 이어서 각종 자동차 국제표준에 대해서 알아보자.


ISO 26262이 등장하게 된 이유
자동차 산업이 복잡해지면서 안전 향상을 위한 관련 규약들이 늘어나고 있다. 현재 자동차들은 스로틀바이와이어(throttle-by-wire)와 같은 바이와이어(by-wire) 시스템을 사용한다.

이 시스템에서 자동차를 운전하는 운전자가 액셀을 밟으면, 페달의 센서가 ECU(Electronic Control Unit)에 신호를 전송하고, 이 신호를 전달받은 ECU는 엔진 속도, 자동차 속도, 페달 위치 등 여러 요소들을 분석하고 스로틀바디에 명령을 전달한다.

바이와이어 시스템 채택이 증가하면서 자동차 업계에선 스로틀바이와이어, 심지어 브레이크바이와이어(brake-by-wire)와 같은 전자 시스템을 테스트하고 검증하는 절차가 필요하게 됐다.

ISO 26262의 목적은 모든 자동차 E/E(Electric/Electronic) 시스템의 안전관련 규약들을 표준화하는 것에 있다. ISO 26262의 국제표준안(Draft International Standard; DIS)은 2009년 6월에 발표되었다.

ISO 26262를 따르게 되면 공인된 표준을 활용하여 시스템을 사용할 때 얼마나 안전한지를 판단할 수 있게 된다. 또 이러한 표준은 공통된 용어를 제공하기 때문에 자사의 시스템의 특정 부분을 공통된 용어로 표현할 수도 있다.

즉, 공인된 이 ISO 26262은 시스템이 얼마나 안전한지 판단할 수 있는 방법을 제공한다.


ISO 26262의 구성 요소
ISO 26262는 시스템의 기능적 안전을 관리하기 위해 여러 단계로 구성되며, 시스템, 하드웨어, 소프트웨어 레벨의 제품 개발 규약을 명시한다.

ISO 26262 표준은 개발부터 폐기까지 전반적인 제품 개발 프로세스에 관한 규제 사항과 권고사항을 제공한다. 시스템 또는 컴포넌트에 수용 가능한 위험 수준을 할당하는 방법과 전체 테스트 프로세스의 문서화를 상세히 기술한다.

일반적으로 ISO 26262는 ▲자동차 안전 수명관리(관리, 개발, 생산, 운영, 서비스, 폐기)를 제공하고 라이프사이클 주기의 각 단계에 따른 필요한 활동의 조정을 지원한다. ▲자동차의 위험 등급(Automotive Safety Integrity Level; ASIL)을 결정하기 위해 자동차에 특화된 위험 기반 접근 방식도 제공한다. ▲ASIL을 사용하여 수용 가능한 추가적인 위험을 수용하기 위한 컴포넌트의 필요한 안전 요구사항도 제공한다. 마지막으로 ▲충분하고 수용 가능한 안전 수준을 보장하기 위한 검증 및 확인 방식에 요구사항을 제공한다.

ISO 26262는 총 10개의 파트로 구성됐는데, 이는 자동차의 개발 과정에 맞게 디자인 되어 있으며, 자동차에 특화된 파트를 포함하고 있다. 가령 ISO 26262의 7번째 파트는 생산, 운영, 서비스 및 폐기에 대한 특정 안전 요구사항을 제공한다.

ISO 26262 자동차 안전 라이프사이클은 전체 생산 라이프사이클을 기술한다. ISO 26262에는 안전 관리자에 대한 필요성, 안전 계획의 개발 및 확인 척도의 정의(안전 확인, 검사, 평가 포함)가 포함된다. 이 요구사항들은 E/E 시스템과 요소들의 개발에 사용하기 위해 제작되었다.


자동차 안전 무결성 기준, ASIL
앞서 언급한 ASIL에 대해 알아보자. ASIL은 ISO 26262 준수를 위한 핵심 사항이다.

ASIL은 개발 프로세스가 시작될 때 결정된다. 시스템의 각 기능은 일어날 수 있는 위험에 따라 분석된다. 위험 노출 확률, 운전자가 수행 가능한 제어력, 심각한 문제가 발생할 경우 일어날 수 있는 결과의 심각성들이 조합된 내용을 기초로 위험성 평가가 ASIL로 이어진다.

ASIL은 시스템에서 사용되는 기술들을 다루지 않는다. ASIL은 운전자와 도로 위의 다른 운전자들에게 미치는 위험성에만 초점을 맞추고 있다.

각 안전 요구사항은 ASIL의 A, B, C 또는 D등급으로 나뉘는데, 여기서 D등급이 안전이 중요한 프로세스와 엄격한 테스트 규제를 가지는 등급이다.

ISO 26262 표준은 컴포넌트의 ASIL의 구성요소를 기반으로 하여 최소한의 테스트 요구사항을 상세히 파악한다. ASIL이 결정되고 나면, 시스템에 대한 안전 목표가 형성된다. 이로써 안전을 보장하기 위해 필요한 시스템 동작이 정의된다.

윈드실드 와이퍼 시스템을 예로 들면, 와이퍼 기능이 오작동할 경우 운전자의 시야에 끼칠 영향을 안전 분석이 결정한다. ASIL은 특정 레벨의 제품 무결성에 도달에 적합한 방식을 결정하기 위한 가이드를 제공한다. 가이드는 현재의 안전 방식을 보완하기 위해 제작되었다.


IATF 16949와 AEC-Q100
삼성전자는 ISO 26262 외에도 자동차 품질 경영시스템 IATF 16949와 자동차용 반도체 신뢰성 평가 규격인 AEC-Q100을 만족하는 제품을 생산한다고 13일 밝혔다.

자동차 제조사들은 제품의 품질을 보장하기 위해 부품 공급기업들에게 IATF 16949(ISO/TS 16949) 인증을 취득할 것을 요구하고 있다.

IATF 16949(ISO/TS 16949) 인증은 고객의 특정 요구사항을 충족하는 시스템을 수립하고 지속적으로 개선하여 기업의 경쟁력을 높이기 위한 필수적인 인증이다.

국제자동차전담기구인 IATF와 ISO/TC 176은 기존의 개별적인 자동차 품질경영시스템 표준을 통합하여 전 세계적으로 자동차 산업 공급사슬 내 모든 기업의 품질시스템에 적용할 수 있는 ISO/TS 16949 표준을 제정했다.

자동차 산업의 공급기업 및 협력기업은 ISO/TS 16949 인증 획득을 통해 지속적 개선, 결함 예방 및 산포와 낭비 감소를 위한 품질경영시스템을 갖추고 있음을 증명할 수 있다.

2016년 10월부터 개정판인 IATF 16949:2016으로 변경되었는데, 주요 변경 요구사항으로는 조직상황을 경영시스템에 반영하여 리스크 관리와 최고경영자 리더십을 강조한 것이 첫 번째다.

그 외에 안전과 관련된 부품 및 프로세스에 대한 요구사항 강조, 공급자 관리와 개발 요구사항의 명확화, 최신 법·규제 변화에 대응하기 위한 제품 추적성 요구사항 강화, 내장 소프트웨어가 포함된 제품에 대한 요구사항(ASPICE) 추가, NTF(no trouble found)와의 연계성 및 자동차 산업 지침의 사용을 포함하는 보증관리 프로세스 추가, 기업 책임 요구사항 추가 등이 있다.

AEC-Q100은 반도체의 신뢰성 평가 규격이다. AEC(Automotive Electronics Council)에서 제정했다. 그 외에도 AEC-Q101, AEC-Q102, AEC-Q104, AEC-Q200 등이 있다.

대부분의 자동차 반도체는 AEC-Q100 인증을 획득해야 한다. AEC-Q100은 주요 불량 메커니즘을 고려하여 가속 시험(Acceleration Test)을 개발했기 때문에 자동차 반도체의 수명과 신뢰성을 예측할 수 있을 뿐만 아니라 설계상, 제조상의 문제도 쉽게 찾아낼 수 있도록 개발되었다.

AEC-Q100은 사용 가능한 온도 범위별로 4가지 등급을 규정하고 있으며, 대부분의 자동차 반도체는 사용 목적에 적합한 단계에서 AEC-Q100 인증을 획득해야 한다.


표준의 핵심, 안전
결론적으로, 국제표준이 가장 신경 쓰는 점은 바로 안전이다. 기술의 발전으로 운전 경험이 날로 편리해지고 있으나 안전이라는 토대가 갖춰지지 않으면 사상누각에 지나지 않을 것이다. 자동차는 안전해야 한다. 안전이 가장 중요하다. 인간의 생명과 직결되어 있기 때문이다. 전자업계에서 차량용 국제표준들을 주목하는 이유는 당연하다. 이제 표준을 준수하는 것은 가장 기본이다.