2009년 전 세계를 떠들썩하게 했던 도요타 사태는 자동차 업계나 일반 사람에게 기능 안전이란 화두를 떠올리게 했다. 이 사건을 계기로 대다수의 사람은 운전 부주의로 인한 사고만을 자동차 사고라고 여기지 않는다. ISO 26262는 자동차에 탑재되는 소프트웨어의 오류로 인한 사고방지를 위해 ISO에서 제정한 자동차 기능안전 국제 표준이다.

2011년 11월, 차재 전자 시스템의 기능안전 표준 ‘ISO 26262’가 정식 발효됐다. 기능안전 표준 ISO 26262가 발효되기 전, 이미 유럽 완성차 업체는 부품 업체에 정식으로 대응을 요구했다. 하지만 완성차 업체와 부품 업체는 기능안전 표준이 쉽지 않아 대응 방법을 찾고 있다. 유럽 완성차 업체는 2013년 생산되는 신형 차 일부의 차재 전자 시스템에 ISO 26262 대응을 시작했고, 일본 완성차 업체도 2014년 이후 생산되는 신규 전자 시스템부터 적용하기로 했다. 일본 완성차 업체는 이미 2007년부터 전사 프로젝트로 대응하기 위해 공통 기초를 구축하는 활동을 추진했다.

기능안전으로 발전
기능안전이란 본질안전과 대비되는 단어로 우리에게 익숙지 않은 것이 사실이다. 본질안전은 기계나 장치가 인간과 환경에 위해를 미치는 원인을 줄이거나 제거하는 것을 의미한다. 기능안전은 본질안전에 대한 원인 그 자체를 제거하는 것이 아닌 안전을 확보하는 기능을 도입해 위해를 허용할 수 있는 레벨까지 내리는 것을 말한다. 기존 일본 완성차 업체와 부품 업체는 위험을 줄이는 것이 중점이었다면, 기능안전은 허용할 수 있는 레벨의 안전을 확보하기 위해 노력한다. 또한 시스템의 설계 사상과 근거, 검증 결과 등의 기록을 추적해 상세한 문서로 허용할 수 있는 레벨의 안전성을 설명할 필요가 있다. ISO 26262는 전기/전자 시스템의 센서, 전자제어유닛(ECU, electronic control unit), 모터 등의 시스템에 포함되는 하드웨어/소프트웨어다. 단, 기계적인 부분은 대상에서 제외된다. 예를 들면 모터는 ‘전기가 흐르는 스테이터 코일까지는 대상이 되지만 그에 따라 회전하는 로터는 대상 외이다.

대규모 리콜이 ISO 26262 확산시켜
ISO 26262는 전체 10장으로 구성돼 제품의 콘셉트 페이즈부터 시스템, 소프트웨어, 하드웨어, 개발을 지원하는 프로세서까지 개발 프로세서 모두를 포괄적으로 다루고 있다. 지금까지 많은 완성차 업체나 부품 업체가 안전을 경시한 것은 아니지만, 유럽에서 탄생한 이 표준에 커다란 반응을 보인 이유는 2009년 미국에서 발생한 도요타 자동차의 대규모 리콜사태가 결정적인 계기다 됐다. 당시 운전자가 의도하지 않은 급발진이 발생해 NASA(미 항공 우주국)가 조사할 만큼 큰 논란을 일으켰다. 도요타는 일관되게 전자 제어 스로틀 시스템에 결함이 없다고 주장했지만, 설득력 있는 설명을 하지 못했다. 결국 NASA에서 결함은 발견되지 않았다는 조사 결과가 나오기까지 논란은 가라앉지 않았다. 당시에 전자 제어 스로틀 시스템이 ISO 26262를 적용했다면, 외부에서 제어 소프트웨어가 허용할 수 있는 레벨의 안전성을 확보했다는 사실을 설득시켰을 것이다. 도요타의 리콜 비용은 약 1,000억 엔이 이른 것으로 알려졌다. 따라서 도요타와 완성차 업체는 제품의 안전성을 외부에 설명할 수 있는 근거를 마련하기 위해 ISO 26262에 발 빠르게 대응한 것으로 추측된다.

허용할 수 있는 위험 요소란
ISO 26262는 허용할 수 있는 레벨까지 위험 요소가 절감된 상태를 안전이라고 생각한다. 그렇다면 허용할 수 있는 레벨의 위험 요소는 어느 정도일까. ISO 26262의 컨설팅을 맡는 비즈니스 큐브 & 파트너즈 팬 마누엘 사장은 “ISO 26262 표준을 정한 영국의 자연재해 희생자는 연간 100만 명에 한 명 비율로 이 확률을 1시간당으로 고친 10-10이라는 숫자를 수용 가능한 위험 요소의 기준”이라고 말했다. ISO 26262의 바탕이 된 IEC 61508에서는 SIL(Safety Integrity Level)이라는 한정 레벨을 정해 레벨에 따라 필요한 기술 대책을 담는다. ISO 26262는 자동차 분야의 SIL로써 달성해야 하는 안전 레벨을 ASIL(Automotive SIL)이라고 부르고 있다. ISO 26262는 ASIL의 대상인 차재 전기/전자 시스템 각각에 대한 요구 레벨에 맞게 A부터 가장 엄격한 D까지의 4단계로 나누고 있다. 어느 시스템/기능에 어느 정도의 ASIL을 적용할지는 완성차 업체가 판단하고 결정한다. 또한 차량이 위험에 노출될 가능성이 있는 위험한 상태, 위험한 사상 등을 ‘해저드’라고 하며, 해저드 때마다 ASIL을 결정한다. 결정된 해저드는 ‘Severity(심각함)’, ‘Exposure(발생빈도)’,‘Controllability(회피 가능성)’의 세 가지 요소로 나뉜다.

Severity는 장해의 심각성에 따라 S0부터 S3의 4단계, Exposure는 E0부터 E4의 5단계, Controllability도 C0부터 C3의 4단계로 분류한다. 예를 들면 S2, E3, C3이라면 ASIL B라고 볼 수 있다.



Virtual ECU의 활용
ISO 26262는 다양한 검증 방법을 개발 프로세서에 도입해 소프트웨어의 안전성을 담보하고 있다. 예를 들면 ECU 시뮬레이션 기술로 평가하는 HILS(Hardware in the Loop Simulation)는 ISO 26262에서 강력히 추천되는 검증 방법이다. 히타치 오토모티브는 HILS 검증을 효율적으로 하기 위한 새로운 시뮬레이션 기술로 Virtual ECU Simulator 활용을 검토하고 있다. HILS는 시작 ECU가 작동하지 않으면 평가할 수가 없다. 이에 Virtual ECU Simulator는 가상의 ECU를 컴퓨터 내에 구축하고, 소프트웨어를 작동시켜 CPU 부하율이나 개입 시의 타이밍 검증 등을 실증하는 것이다. 반면 ISO2 6262에서 추천하는 방법은 실제 어디까지 도입할지 아직 통일된 견해는 없다. 예를 들면 개발 중인 소프트웨어가 모듈 단계, C코드 단계, 오브젝트 코드의 단계 각각에서 모두 입력에 대한 출력이 일치하고 있는지를 검증하는 테스트에서는 소프트웨어 테스트의 망라성의 대표적인 지표인 MC/DC(Modified condition decision coverage) 100%의 조건을 충족할 것을 강력히 추진하고 있다.

자동차 전자화의 진전은 자동차의 발전을 지원하는 중요한 기반이 되고 있다. 초기 ECU는 엔진 제어에 주로 사용됐으나 현재는 고급 자동차는 50개 이상의 ECU를 탑재하고 있다. 사실상 ECU를 이용한 자동차 시스템을 발전시키기 위해서는 좀 더 복잡한 전자 시스템이 필요하다. 자동차의 핵심부품인 ECU는 두뇌에 해당하는 MCU에 대해 더욱 높은 처리 성능을 요구하며, 안전 기능을 구현하기 위한 임베디드 소프트웨어의 규모가 ECU 개발에 큰 비중을 차지한다. 또한 자동차 안의 여러 ECU와 연계해 제공되는 기능의 복잡성이 기하급수적으로 증가하고 있다.  ES