레벨3 자율주행, 차량당 반도체 2천 개 필요
자동차 산업계, ISO 26262 필수로 준수해야
차량용 반도체 제작 시 안전 검증 과정 추가돼


차량용 반도체 시장 규모가 계속 커지고 있다. 시장조사기관 IHS에 따르면 2018년 차량용 반도체 시장 규모는 총 323억 달러, 우리 돈으로 약 39조에 달했다. 이는 2017년의 272억 달러보다 약 18.5% 증가한 수치다.

2021년까지 5년간 차량용 반도체 시장은 연평균 12.5% 성장할 전망이며, 2023년에는 약 585억 달러의 시장 규모를 형성할 전망이다. 또한, 차량용 반도체 시장의 평균 성장률은 전체 반도체 시장 평균 성장률(6.1%)의 2배가 넘을 것으로 보인다.

한국산업기술평가관리원에 따르면, 레벨3 이상 자율주행차량이 본격적으로 상용화될 2022년에는 한 대의 차량에 약 2,000개의 반도체가 필요할 것으로 전망된다. 약 300개 정도였던 2010년보다 7배가량 늘어난 수치다.

차량용 반도체의 기능은 대부분 운행 및 안전과 연관되어 있다. 또한, 자동차 전장품의 완성도와 안전성은 운전자와 보행자의 안전에 직결된다. ISO 26262, 다른 말로 자동차 기능 안전성 국제 표준은 자동차에 탑재되는 전기적, 전자적 시스템의 오류로 인한 사고를 방지하기 위해 ISO에서 제정한 자동차 기능 안전 국제 규격이다.

ISO 26262는 프로세스 모델, 요구되는 활동, 유무형 증거물, 그리고 개발과 생산에 사용되는 방식을 정의하며, 반도체 업체뿐만 아니라 완성차 업체까지 모두가 따라야 할 표준이다. 완성차 업체들은 이를 준수하기 위해 자사의 차량에 탑재할 차량용 반도체가 특정 수준의 인증을 받길 요구하고 있다.

차량용 반도체 개발자는 이제 ‘기능 검증(Functional Verification)’ 외에 ‘안전 검증(Safety Verification)’이라는 추가적인 개발 과정을 거쳐야 한다. 멘토, 지멘스 비즈니스의 김재윤 부장을 만나 차량용 반도체 개발 시 숙지해야 할 안전 검증에 관해 물었다.


Q. 차량용 반도체를 제작하기 위해서는 ISO26262를 준수해야 합니다. 이 과정에서 차량용 반도체 제조사가 겪고 있는 어려움은 무엇입니까?
A. 차량용 반도체를 개발하는 업체에서 일하는 분들에게 기능 검증 분야는 매우 익숙합니다. 하지만 안전 검증 분야는 완전히 새로운 분야이기도 하고 기존 기능 검증과도 차이가 있습니다. 새로운 분야에 대한 생소함과 시장 출시 기간(Time to Market)을 달성하기 위한 시간적인 부분에서 큰 애로사항이 있습니다.


Q. 그렇다면 기능 검증과 구별되는 안전 검증의 특징은 무엇입니까?
A. 안전 검증, 또는 기능 안전(Functional safety)의 표준으로서 제정된 ISO 26262에서는 시스템에서 발생할 수 있는 페일(Fail)을 2가지 타입으로 구분하고 있습니다. 시스테매틱 폴트(Systematic fault)와 랜덤 폴트(Random fault)가 그것입니다.

시스테매틱 폴트는 설계를 구현하는 과정에 있어서 사양의 불완전함, 인풋의 부족함, 또는 실수로 인한 에러 등을 지칭합니다. 전통적인 방식의 기능 검증 단계에서는 이러한 페일들을 발견하여 기능적으로 완벽하게 설계를 구현하는 것이 목적입니다.

반면, 랜덤 폴트는 설계 외적인 요소, 예를 들어 EMI, 온도 등의 영향으로 인해 설계 내에 발생할 수 있는 결함을 의미합니다. 안전 검증 분야에서는 설계 외적인 요소에 의한 설계의 안전을 얼마만큼 확보할 수 있는가에 중점을 맞추고 있습니다.


Q. 차량용 반도체의 안전 등급은 어떻게 나눠집니까? 또, 안전 등급에 따른 기능 안전은 칩마다 독립적으로 제공해야 합니까?
A. 차량용 반도체는 ASIL이라는 등급이 매겨져 관리됩니다. ASIL은 ‘Automotive Safety Integration Level’의 약자로, A부터 D등급까지 있습니다. ASIL D는 가장 높은 수준의 안전성이 보장되어야 하는 칩에 요구되는 등급입니다. 등급이 높아질수록 설계를 구현할 때 드는 노력과 어려움이 배가됩니다.

ISO 26262에서는 특정 수준의 ASIL 등급을 달성하는 방법으로 ASIL 디컴포지션(Decomposition)이라는 방법론을 제시하고 있습니다. 특정 칩에 요구되는 등급이 ASIL D라도 안전에 치명적인 부분을 같은 안전 목표를 가진 다른 칩에 일종의 파티셔닝을 통해 분배하여 특정 칩에 요구되는 ASIL 등급을 낮춰서 빠르게 달성할 수 있도록 여지를 주는 것입니다.


Q. 차량용 반도체의 안전 매커니즘이 완전히 기능적으로 검증되면 무작위로 하드웨어 테스트를 수행합니다. 모든 결함을 테스트할 수는 없을 텐데 이에 대한 멘토의 아이디어는 어떻습니까?
A. 모든 가능한 폴트, 에러 등에 대한 전체적인 테스트는 불가능합니다.

설계 안정성 검증은 폴트 캠페인(Fault Campaign)이라는 형태로 진행됩니다. 이 폴트 캠페인은 외부 영향으로 인해 일어날 수 있는 페일이나 폴트들을 모델링하여 실제로 설계 내에서 그런 것들이 발생했을 때 어떠한 형태로 설계의 동작이 이뤄지는지를 검증하는 형태입니다.

일명 폴트 인젝션(Fault Injection)이라는 기법을 통해 폴트를 설계 내에 주입하고, 그에 대한 반응을 살피게 되는데요. 기본적으로 폴트 인젝션은 설계 내에서 가지고 있는 모든 넷과 포트에 대해서 이뤄집니다.

하지만 SoC 레벨의 칩 설계의 경우 수천 수억 개의 넷과 포트가 존재합니다. 이 모든 것에 폴트 캠페인을 진행한다는 것은 거의 불가능에 가깝습니다. 하지만 여기서 중요한 건 폴트 인젝션을 통하여 안전 검증을 진행해야 할 부분들이 안전에 직결되는 부분이라는 것입니다.

멘토는 안전과 연관된 폴트 리스트들에 대한 최적화 기법을 제공하고 있습니다. 정말로 안전에 영향을 미칠 수 있는 부분에 대한 폴트들을 최적화하고 최소화하여 원하는 시간 내에 납품기일을 지키실 수 있도록 많은 지원을 하고 있습니다.


Q. 차량용 반도체 기능 안전 검증을 가속하는 멘토만의 특징적인 방법론이 있습니까?
A. 멘토는 클로즈드 루프(Closed loop)라는 방법론을 제안하고 있습니다. 통상적으로 안전 검증은 ‘안전 분석 → 안전 설계 → 안전 검증’이라는 세 단계를 거치게 됩니다.

이중 가장 많은 시간과 노력이 소요되는 부분이 안전 검증입니다. 개발시간 대부분이 여기에 쓰인다고 해도 과언이 아닙니다. 혹시라도 안전 검증 과정에서 어떠한 설계 문제가 발생했을 때, 다시 안전 분석 단계로 돌아와서 처음부터 끝까지 루프를 또 한 번 돌아야 하는 일이 발생합니다.

역설적이게도 가장 마지막에 진행되는 안전 검증이 가장 많은 시간을 소모하기 때문에 시장 출시 기간이 기하급수적으로 늘어날 수밖에 없습니다. 멘토에서는 안전 분석 단계에서부터 설계에 기대하고 있는 안전 수준을 측정할 방법을 제공하고 있습니다.


Q. 멘토 세이프(Safe) IC는 어떠한 솔루션입니까? 그리고 어떤 역할의 엔지니어에게 특히 유용합니까?
A. 멘토 세이프 IC는 멘토가 가진 기능 안전에 사용할 수 있는 모든 솔루션을 모은 브랜드입니다. 기능 안전에 관심이 있고, 기획하시는 분들, 전체적으로 안전과 관련된 프로젝트를 총괄하는 안전 매니저분들, 실제로 설계에 대한 보강을 진행하는 설계자분들, 기능 검증 외에 안전 검증을 진행하시는 검증 엔지니어분들 모두에게 유익한 솔루션이라고 말씀드릴 수 있겠습니다.