오늘날 자동차는 터치 인터페이스, 배터리 관리 시스템 등 다양한 애플리케이션을 통해 적게는 수백 개 많게는 수천 개에 달하는 반도체와 여러 가지 부품을 사용하고 있다.

ISO(International Organization for Standardization)26262는 이처럼 갈수록 복잡하고 정교해지는 애플리케이션이 안전하게 작동하도록 엄격하게 보장하는 역할을 하고 있다.

그러나 이 기능 안전성 국제 표준에 부합하는 디자인을 개발하고 인증을 획득하는 과정에는 상당한 시간과 비용이 소요된다.

이 문제를 해결하기 위해 반도체 업계는 자동차 OEM과 부품 공급업체에게 이러한 인증 프로세스를 완료하는 데 필요한 비용, 리스크 및 개발 시간을 최소화할 수 있는 완벽한 기능 안전성 에코시스템을 제공하고 있으며 이에 따라 복잡한 절차가 완화되고 있는 추세이다.

■ ISO 26262에 대한 이해

2011년 제정된 ISO 26262는 도로주행용 양산차(스쿠터 제외)에 설치된 전기·전자, 전기 또는 전자 시스템의 기능 안전성에 대한 국제 표준이다.

2018년 개정 작업을 통해 반도체 분야 섹션이 추가됐으며 규격에서부터 프로덕션 릴리즈에 이르기까지 전체 개발 프로세스에서 이를 준수해야 한다.

자동차 OEM 및 부품 공급업체는 기능 안전성이 필요한 도로 차량 내부에서 작동하는 디바이스를 검증할 때 이 프로세스를 준수해야 하며, 문서화 작업을 통해 입증해야 한다.

시스템 인증은 ISO 26262의 요구사항을 준수한다는 독립된 심사원의 확인을 통해 이루어진다.

자동차 내부의 애플리케이션은 안전 중요도 레벨에 따라 다양한 자동차 안전 무결성 수준(ASIL: Automotive Safety Integrity Levels)으로 ‘분류’된다.

이는 애플리케이션별로 시스템이 오작동을 일으킬 경우 기본적으로 내재된 안전성 리스크가 더 높기 때문이다.

따라서 A부터 D등급까지, 잠재적 부상의 심각도 및 발생 가능성과 이에 대한 제어 가능한 범위를 토대로, 기본 구성요소에 대한 안전성 요건이 있다.

에어백, 잠김 방지 브레이크 및 파워 스티어링처럼 애플리케이션의 위험 요소 등급이 가장 높은 경우 자동차 안전 무결성 수준 D 등급으로 분류되고, 후미등 같은 구성요소는 자동차 안전 무결성 수준 A등급으로 분류된다.

전조등 및 브레이크 등은 대체로 자동차 안전 무결성 수준 B등급으로 분류된다.

크루즈 컨트롤과 같은 시스템은 C등급으로 분류된다. 대체로, ASIL 등급이 높을수록, 하드웨어 이중화에 대한 요구사항이 더 많은 편이다.

구성요소 공급업체는 다양한 방법으로 안전성 관련 애플리케이션의 디자인과 해당 애플리케이션의 ISO 26262 인증을 빠르게 진행할 수 있다.

이러한 기능 안정성 리소스는 표 1에 정리되어 있다.

첫째, 영향 및 진단 분석(FMEDA: Failure Mode Effect and Diagnostics Analysis) 보고서와 안전 매뉴얼 등과 같은 필요한 기능 안정성 리소스를 포함하도록 디바이스를 신중하게 선택해야 한다.

또한 디바이스는 안전 필수 애플리케이션을 만들 수 있는 자격을 갖춘 개발 에코시스템의 지원을 받아야 한다.
 
■ 기능 안전성을 위한 만반의 준비

오늘날 자동차에는 다양한 집적회로(IC)가 사용되고 있으며, 특히 마이크로컨트롤러(MCU : Microcontrollers)는 다양한 형태로 널리 사용되고 있다.

모든 전자제어장치(ECU : electronic control units)에 사용되거나 자율주행 및 기타 다양한 첨단 편의 기능을 위해 차량 전반적인 면에서 사용되고 있다.

마이크로컨트롤러(MCU)는 하드웨어 기반 터치 인터페이스를 추가하고 성능과 전력 효율성 및 실시간 컨트롤용으로 최적화된 8비트 MCU부터, 멀티스레드 애플리케이션 실행이 가능하고 그래픽, 커넥티비티 및 보안 기능을 갖춘 32비트 MCU까지 다양하다.

이외에도 MCU와 DSP 코어를 결합해 센서, 모터 또는 전력 변환을 위해 빠르고 강력한 결정론적 성능을 제공하는 디지털 신호 컨트롤러(DSC : Digital Signal Controllers)도 있다.

이러한 집적회로는 모두 차량용 전자 부품 협회(AEC : Automotive Electronics Council)에서 제정한 제조 및 성능 인증 기준을 충족해야 한다.

AEC-Q100 표준에는 전체 온도 등급별로 고장 메커니즘 기반의 스트레스 테스트 인증 프로세스가 명시되어 있다.

애플리케이션에 따라 MCU는 AEC-Q100 등급 2, 등급 1 또는 등급 0을 충족해야 한다. 등급 0은 섭씨 150도, 등급 1은 125도, 등급 2는 105도이다.

AEC 인증 외에도, 기능 안전성 인증에 대한 추가 요건은 디바이스 및 애플리케이션에 따라 다르게 적용된다.

예를 들면 8비트 MCU는 차량용 인터페이스 및 스마트 센서 네트워크용 CAN FD를 포함하는 경우가 많으며 일반적으로는 실내 공간, 스티어링 휠, 센터 콘솔의 기계적 혹은 정전용량식 버튼 UI 컨트롤러로 사용되거나 혹은 키리스 엔트리 시스템(keyless entry system : 키가 필요 없는 차량 탑승 시스템)의 일부로 사용된다.

이러한 MCU에 필요한 통합 하드웨어 안전성 기능은 대체로 메모리, 시스템 재설정, 세이프코드 실행, 안전 커뮤니케이션 및 범용 입/출력(GPIO) 보호에 적용된다.

이 기능들은 운영상의 안전성과 신뢰성을 향상시키기 위해 코어 독립형 주변장치와 파워온 리셋(POR : Power-On Reset), 브라운아웃-리셋(BOR : Brown-Out Reset), 윈도우 워치독 타이머(WWDT : Windowed Watchdog Timer) 및 순환 중복 검사(CRC : Cyclic Redundancy Check) 및 기타 기능을 통합하는 방식으로 추가된다(표 2 참고).
 
한 단계 위로 올라가 기능 안전성을 갖춘 16비트 DSC를 살펴보면, 오류 감지 및 정정 가능 메모리, 메모리 내장 자체 시험(MBIST), 클럭 모니터링 및 중복 오실레이터 등으로, 고장 감지, 자가진단 및 시스템 진단 기능, 고장 완화 등의 하드웨어 안전 기능이 요구된다.

이러한 기능 안전성을 갖춘 디바이스는 안전에 필수적인 고성능 임베디드, 센서 인터페이싱, 디지털 파워 및 모터 컨트롤 애플리케이션의 설계를 가능하게 해준다.

대표적인 애플리케이션으로는 DC/DC 시스템, 온보드 차저(OBC: On-Board Chargers), 액추에이터 및 센서(위치, 압력), ASIL B등급 또는 ASIL C등급 준수를 목표로 하는 터치 및 기타 컨트롤 장치 등이 있다.

표 3은 기능 안전성을 갖춘 DSC가 어떻게 기능하는 지를 보여준다.
 
모든 기능 안전성을 갖춘 MCU처럼, 32비트 MCU도 오류 코드 수정(ECC: Error Correction Code) 기능이 포함된 메모리와 MBIST(Memory-Built-In Self-Test), 백업 오실레이터 및 클럭 고장 감지 등이 포함된 클럭 시스템, 정전 방전(ESD) 방지 범용 입/출력 보호 등의 하드웨어 기능들이 필요하다(표 4 참고). 이외에도 POR, BOR, WDT 및 하드웨어 CRC 기능 등 시스템 모니터와 메모리 보호 장치 등도 중요한 부분으로, 이렇게 32비트 MCU는 실내 공간 내 시스템부터 기능 안전성을 위한 첨단 운전자 보조 시스템(ADAS: Advanced Driver-Assistance Systems) 등 다양한 애플리케이션에 사용된다.
 
기본 MCU 또는 DSC에 보조로 하나 더 결합하거나 안전성 코프로세서를 결합하는 방식으로 표준 MCU 및 DSC를 ASIL C등급/D등급으로 도달시킬 수 있다.

ASIL B등급을 준수하는 두 개의 서브시스템을 결합하면 ASIL C등급/D등급에 도달할 수 있다는 ASIL 분해(decomposition) 원리를 활용하면 달성 가능하다.

ASIL C = ASIL B (C) + ASIL A (C)
ASIL D = ASIL B (D) + ASIL B (D) = ASIL C (D) + ASIL A (D)

분해는 실제 디바이스와 안전성 요건을 분할하면 된다.

■ 개발 도구와 인증 지원

전체 개발 에코시스템의 일부로 기능 안전성 인증을 받은 디자인 툴 패키지를 활용하면 ISO 26262에 명시된 검증 및 검증 요구사항을 보다 수월하게 충족할 수 있다.

특히 MCU 및 DSC 기반 설계에서 더욱 유용하다.

툴 공급업체는 서드파티 독립 평가 및 인증기관과 협력해 기능 안전성 컴파일러를 인증한다.

이때 인증서, 기능 안전 매뉴얼, 컴파일러용 안전 계획 및 도구 분류 인증 보고서, 통합개발환경(IDE: Integrated Development Environment), 디버거 및 프로그래머 등 추가적인 자료들도 함께 제공된다.

이러한 기능 안전성 설명서 패키지는 해당 툴의 인증과 최종 애플리케이션의 인증을 간소화할 수 있다.

이상적으로는 디자인 프로세스에서 코드 커버리지 툴이 사용되어야 코드가 제대로 검사되었는지를 측정하고 소프트웨어의 어느 부분이 실행되었는지 아니면 실행되지 않았는지를 판가름할 수 있다.

이 코드 커버리지 툴은 분류 및 인증 보고서에도 포함되어야 한다.

코드를 블록으로 쪼개거나 하드웨어를 수정하고, 비싼 소프트웨어를 동원하고 대규모 데이터 파일에서 관련 정보를  검색하는 데 상당한 노력을 들일 필요 없이 단일 경로로 테스트를 할 수 있는 툴을 찾기란 불가능에 가깝기 때문이다.

애플리케이션을 인증하려면 코드 테스트용 데이터가 필요하므로, 단일 경로 코드 커버리지 툴은 이러한 프로세스를 간소화하고 출시 기간을 단축하는 데 중요한 역할을 한다.

ISO 26262를 준수하는 차량용 애플리케이션을 개발하려면, 개발 엔지니어는 반도체 공급업체로부터 디바이스 자료 표 외 추가적인 리소스를 받아야 한다.

기능 안전성 패키지를 구입할 경우, 자동차 OEM업체 및 부품 공급업체는 평가 및 설계 주기의 다양한 단계에서 필요한 것들을 제공받을 수 있다.

이러한 패키지에는 인증 안전성 매뉴얼, 영향 및 진단 분석(FMEDA) 보고서, 그리고 경우에 따라서는 관련 ASIL에 대한 인증된 자체 테스트 라이브러리 같은 진단 소프트웨어가 포함되어야 한다.

영향 및 진단 분석(FMEDA) 보고서는 해당 디바이스의 고장 모드, 고장률(FIT: Failure-In-Time) 분포 및 검출 방법을 정량화 하여 커버리지 플랜의 작성을 용이하게 한다.

또 다른 중요한 리소스는 안전 매뉴얼(SM: Safety Manual)로, 영향 및 진단 분석(FMEDA) 보고서에 명시된 고장 진단 방법에 대한 세부 정보를 제공하고 가장 안전한 작동을 위해 해당 디바이스를 어떻게 사용해야 하는지에 대한 권장사항을 담고 있다.

또한 종속적인 장애와 시스템 적인 장애를 감지하는데 필요한 하드웨어 기능에 대해 자세히 기술하고 있어, 진단 라이브러리 개발을 위해 사용될 수 있다.

기능 안전성 진단 라이브러리는 고장 상태에서 시스템의 작동 상태를 평가하고, 시스템 고장을 감지하며 기능 안전성 목표를 달성하는 데 도움이 된다.

서드파티 인증 영향 및 진단 분석(FMEDA) 보고서 및 안전 매뉴얼(SM)에 진단 라이브러리가 더해진 디바이스를 선택하면 안전 필수적인 애플리케이션의 인증 작업을 간소화할 수 있다.

안전 필수적인 애플리케이션의 개발은 달성하려는 안전성 목표와 목표 안전성 등급을 정의하는 것에서부터 시작한다.

기능 안전성 기본 패키지는 영향 및 진단 분석(FMEDA), 안전 매뉴얼(SM) 및 인증과 같은 기본 리소스를 제공하여 목표 기능 안전성 등급에 대한 평가 작업과 안전 필수적인 자동차 애플리케이션의 설계 작업을 시작하는 데 도움이 된다.

MCU 기반 설계를 위한 기능 안전성 스타터 패키지에는 ASIL B등급 인증 영향 및 진단 분석(FMEDA) 보고서와 안전 매뉴얼(SM), 개발자가 ISO 26262 개발 프로세스 및 준수에 필요한 보고서를 이해할 수 있도록 돕는 ASIL B/C등급 준수 진단 라이브러리와 함께, 안전 필수적인 애플리케이션을 개발하기 위해 리소스를 어떻게 사용할 수 있는지 파악할 수 있는 레퍼런스 애플리케이션을 포함하는 것이 이상적이다.

스타터 패키지는 디자인 주기를 가속화하고 ASIL B등급 또는 C등급을 준수하는 애플리케이션을 개발하는데 도움이 된다.

기능 안전성 풀 패키지는 기본 제공품에 ASIL B/C등급까지 디자인할 수 있도록 소스코드를 포함한 인증된 진단 라이브러리와 관련 안전 분석 보고서가 포함된다.

대다수의 최종 고객들이 안전 필수적인 애플리케이션의 인증을 요청한다는 점에서, 풀 패키지는 인증 프로세스의 속도를 높여준다.

자동차는 갈수록 정교해지고 있으며, 이에 적용되는 전자제품들의 수준은 점점 높아지고 있다.

자동차 애플리케이션을 위한 기능 안전성에 중점을 둔 요즘 제품들이 ISO 26262 요건을 충족하기 위해 인증된 기능 안전성 리소스를 제공하는 개발 에코시스템을 지원하는 것이 점점 더 중요해지고 있다.

집적회로(IC) 공급업체는 자동차 업체 고객들을 위해 이처럼 철저한 개발 및 인증 프로세스에 대한 장기 투자를 보호할 수 있도록 지원할 수도 있다.

일례로 고객이 주문을 원하는 기간 동안에는 인증 시스템에 사용된 부품을 계속해서 공급해주는 것을 보장, 부품이 예기치 않게 단종(EOL)되어 강제로 재설계해야 하는 리스크를 제거하는 것이다.

이는 고객들에게 인증이 쉽고 빠르게 완료되는 것은 물론이고, 한 번만 받으면 된다는 확신을 높여준다.

※ 저자
제이콥 룬 라센(Jacob Lunn Lassen), 마이크로칩 테크놀로지 기능 안정성 테크니컬 스탭 엔지니어