'MDS테크놀로지'에 해당되는 글 1

  1. 2012/01/06 교통수단인가 컴퓨터인가? 자동차가 지켜야할 표준
사용자 삽입 이미지
“요즘 자동차는 자동차가 아니라 컴퓨터야. 우린 더 이상 고치기도 힘들어.”

자동차 정비 사업을 하시는 어떤 지인의 말씀입니다.
 
실제로 최근에 출시되는 자동차에는 안전거리 감지, 주행 중 졸음 방지 기능, 텔레매틱스 등 운전자의 안전성을 높이고 사용의 편의를 돕기 위한 새로운 기술들이 많이 포함돼 있습니다. 자동차는 점점 더 ‘기계’가 아니라 ‘컴퓨터’에 더 가까워 지고 있는 듯 보입니다.

이러한 다양하고 복잡한 기능은 차량에 내장되는 전자장치와 임베디드 소프트웨어에 의해 구현됩니다. 자동차 내의 전자장치와 소프트웨어가 차지하는 원가의 비중이 차량 전체 원가의 절반 이상을 차지하고 있습니다.

문제는 소프트웨어 기반의 전자장치는 오류가 발생할 가능성이 높다는 점입니다. 버그(bug)가 전혀 없는 100% 소프트웨어를 만드는 것은 불가능합니다.
 
아무리 뛰어난 소프트웨어라도 알려지지 않은 버그를 내재하고 있습니다. 하지만 자동차의 경우 소프트웨어 작은 오류가 사람의 목숨과 연결될 수 있기 때문에 소프트웨어 품질이 매우 중요합니다.

그래서 ISO 26262라는 국제 표준이 등장했습니다. ISO 26262는 기능안전규격으로, 자동차내에 포함된 소프트웨어가 지켜야 할 의무사항을 담고 있으며 지난 해 11월 15일 국제표준으로 발표됐습니다.

◆ ISO 26262란?

ISO 26262는 자동차에 탑재되는 소프트웨어의 오류로 인한 사고 및 인명손실을 최소화하기 위해 제정한 기능안전규격입니다. 세계 10개국 27개 자동차 제조사 및 부품 공급사가 개발에 참여했습니다.

ISO 26262가 발표되기 이전에 자동차 업계는 IEC 61508라는 표준을 따랐습니다. 이는 일반 전기전자 장치의 안전에 관한 포괄적 규격으로, 화학공장과 같이 주로 공정 산업을 대상으로 적용되던 것입니다.

때문에 IEC 61508가 자동차와 맞지 않다는 지적이 많이 있었습니다.예를 들어 IEC 61508은 제어 시스템과 안전 메커니즘을 별개로 고려하는데 반해, 차량은 기본적으로 이동성을 전제로 하는 시스템으로, 제어 시스템과 안전 메커니즘이 통합 돼야 한다고 합니다. 또 IEC 61508은 완성차 업체와 부품공급 업체간의 전문화, 분업화된 생산방식 등에 적합하지 않다고 합니다.

특히 IEC 61508이 제품의 사용자 입장에서의 안전이 아닌 공급자 중심의 제품 안전에 초점을 맞추고 있다는 점이 큰 문제점으로 지적돼 왔습니다.

IEC 61508을 통해 그 동안 자동차 소프트웨어의 개발이 완료되는 시점에 이루어지는 테스트를 통해 오류를 검출했다면, ISO 26262를 통해서는 제품의 개발단계 전체에 걸쳐 문제가 발생되지 않도록 개발을 하는 방식으로 변경됐습니다.

◆ISO 26262 세부 내용

ISO 26262는 기능 안전성 관리, 구상 단계, 제품 개발 (시스템 레벨, 하드웨어 레벨, 소프트웨어 레벨), 생산 및 운영, 지원 프로세스 등 총 10개의 파트로 구성돼 있으며 총43개의 요구사항 및 권고 사항 등이 총 400페이지에 담겨 있습니다.

하드웨어와 소프트웨어 모두 V모델 개발 프로세스를 따르고 시스템을 설계한 후 하드웨어와 소프트웨어 개발이 병행되어 개발되지만 전적으로 독립이지는 않다고 합니다.

ISO 26262에서는 프로세스, 위험 평가(risk assessment), 방법론(method) 등 3가지를 규정고 있으며, 그 중에서도 기능안전 활동은 프로세스 개선 활동이라고 불릴 정도로 프로세스가 중요시 됩니다.

또 ISO 26262에서는 안전성보전등급을 위험에 노출 가능성(probability of exposure), 위험의 잠재적 심각도(potential severity), 통제 가능성(controllability)에 따라 차량 안전성 보전등급을 결정합니다.

이것은 자동차 제품의 특성을 반영한 것으로 ISO 26262의 차량 안전성 보전 등급인 ASIL(Automotive Safety Integrity Level)은 위험도에 따라 A~D단계로 분류하는데, 유럽의 안전성에 관한 선행 연구 개발 (EASIS) 보고서에 의하면 CMMI 레벨 4 정도의 조직이 ASIL C 정도를 만족할 수 있다고 하니 ISO 26262 기준요건 충족이 쉽지는 않아 보입니다.

◆ ISO 26262가 미칠 영향

과거에는 급발진과 같은 사고가 발생했을 때 자동차의 기술적 결함을 소비자가 직접 증명했습니다.
 
그러나 앞으로는 자동차 제조사가 이러한 국제 표준을 준수해 안전한 차량을 개발하기 위해 충분한 노력을 기울였다는 증거를 제시해야 합니다. 특히 제조사는 전체 개발 단계에서 ISO 26262 표준을 준수하였음을 문서로 증명해야 합니다.

또 자동차 부품 업체들도 향후 각 단계별로 개발 체제 및 방식 등을 확립할 필요가 있습니다.
 
선진국의 경우 자동차 업계에서는 ISO 26262 준수를 위해 시스템 성숙도 모델인 CMMI 혹은 Automotive SPICE 등의 소프트웨어 엔지니어링 프로세스를 준수하고 있다고 합니다. (도움 : MDS테크놀로지)
2012/01/06 10:26 2012/01/06 10:26