RSS

오토모티브 IC 개발과 ISO26262

28 Feb

– 형식적 확인 절차가 아닌 더 안전한 부품들을 만들도록 유도하는 인증

자동차 제조업체들은 1980년대부터 안전 장치들을 제어하는 IC를 이용하기 시작했다. 처음에는 안티록(anti-lock) 브레이크와 에어백에 전자 장치가 사용되었는데 이는 곧 차량 안전 제어에도 구현되다가 더 최근에는 능동 안전 시스템 같이 복잡한 기능에로 적용이 확대되었다.

반도체는 이제 충돌 효과를 줄이는 것뿐만 아니라 처음부터 충돌을 미연에 방지하는 데에도 IC에 의존하고 있다. 오늘날에는 전자 부품들이 모든 도로 사용자들의 안전에 절대적으로 중요하다고 말해도 과언이 아닐정도에 이르렀다.

이러한 전자 시스템들은 오늘날 도로에 서 운행되는 수 천만 대 이상의 자동차에 사용되고 있으며, 그 동안 안전 프로세스의 준수를 필요로 하는 공식적인 산업 표준이 없었음에도 놀랄만한 신뢰성을 가지고 동작해왔다.

일반적으로 IC 제조업체들은 FMEA (Failure Mode and Effect Analysis) 와 여러 기술적 판단을 적절히 이용해 왔는데 이는 곧 자동차 안전이라는 측면에서 볼때 매우 성공적이었다.

그러므로 자동차용 IC의 설계 및 제작을 통제하는 공식적인 안전 표준의 도입은 제품 개발 과정에 시간과 비용을 추가시키면서도 이미 놀라운 수준에 와 있는 안전 기록을 더 향상시키는 데 별 하는 일 없이 관료적인 부담이 될 것으로 보인다. 그런 표준들이 실제로 자동차 산업이나 도로 사용자들에게 도움이 될 것인가?

자동차 IC 제조업체들에 대한 새로운 규칙들
자동차 IC에서 안전에 대한 접근 방법을 표준화하려는 첫 번째 시도가 금세기 들어 있었는데, 이 때는 기존의 IEC61508 표준이 마이크로 전자 시스템에 적용되고 있었다.

원래 철도와 발전소 같은 산업 시스템 내 장치들을 위한 기능안전 표준이었던 IEC61508는 위험 분석 방식을 도입했고 이 후 SIL (Safety Integrity Level)과 ‘최대 고장률’ 컨셉 같은 안전 규격들이 뒤따랐다.

다음으로 개발된 규격이 FMEDA (Failure Mode Effect and Detection Analysis)라고 불리는 FMEA의 진보된 형태인데 이는 안전 IC 설계자가 이용하기 쉬운 표준이 되었다.

FMEDA는 IC 고장을 ‘안전한 것(safe)’ 또는 ‘안전하지 않은 것(unsafe)’으로 분류할 것을 요구한다. 그리고 설계자는 각 동작 실패가 일어나는 확률을 추정하는 적절한 프로세스를 구현하고 동작 실패를 탐지하는 진단 기법들을 사용해야 한다.

그 결과는 경험적 증거에서 나온 정량적 분석이다. FMEDA의 주요 출력인 안전한 동작실패 대비 안전하지 않은 동작 실패의 비율은 고장률과 함께 SIL이 달성될 수 있느냐 아니냐를 결정한다.

그런데 여기 설계 기술자들이 예전에 자신들의 제품의 안전을 보장하는데 의존해온 기술적 판단을 떠받쳐 주는 – 대체 하기까지 하는 – 한 가지 방법이 있다.

2000년 대 중반에 개발된 ISO26262 표준은 안전 설계 프로세스의 애플리케이션을 한 걸음 더 나아가게 했다. 여러 가지 측면에서 이 것은 IEC61508 표준을 따르지만 자동차 전자 및 소프트웨어에 특히 더 중점을 뒀다는 차이가 있다.

IEC 표준에서 적용된 안전한 동작 실패 비율은 같은 정량값에다 잠복한 동작 실패(즉, 직접적으로 일어나는 동작실패에 좌우되는 동작실패) 같은 것들을 추가적으로 고려하여 더 복잡한 측정 기준으로 대체되었다. 또한 안전 무결성 레벨 규격들은 ASIL(Automotive Safety Integrity Level)로 개명되었고 관련 세부 조항들이 약간 바뀌었다.

개발 과정에 관한 새로운 요건들도 도입되었다: 특히, 개발 중인 각 IC의 안전 관리자는 IC 설계의 바탕이 되는 안전 방법론을 생각해 내고 실증화해서 문서화까지 해야 한다.

ISO26262는 오늘날 어떻게 적용되고 있는가
지금 대부분의 경우 자동차 제조업체들이 정한 오토모티브 안전 IC 규격들은 ISO26262에 대한 레퍼런스를 포함하고 있다. 그러나 SIL은 종종 IC 자체보다는 (가속기 페달 또는 ECU 같이) IC를 부품으로 하는 전자 모듈에 대해 정의된다.

ISO 표준은 시스템 레벨에서 규격들을 정의하지만(예를 들어, ASIL B 등급을 갖는 두 여분의 시스템은 ASIL D와 동등하다) 모듈의 안전 규격에서 IC의 안전 목표를 유도해 내는 것은 여전히 어렵다.

게다가, 모듈 또는 시스템에 대한 ASIL에 더해 절연된 IC에까지 ASIL을 명시하면 안전이 더 향상되는 것도 아니면서 칩의 크기와 테스트 시간을 증가시켜 비용을 올리는 추가 진단 기능들을 만들게 된다.

이는 호스트 시스템의 진단 능력을 세심하게 고려하는 것이 중요하다는 것을 의미한다. 예를 들어, 다른 차를 탐지하는 데 레이저를 사용하는 충돌 방지 시스템에서 시스템 출력이 합당한지를 확인하기 위해 카메라가 병행 사용될 수 있는데. 이는 시스템 메인 IC의 ASIL 레벨을 낮춰 비용을 줄일 수 있게 해준다.

일반적으로 자동차 제조업체들은 사실 자신들의 차량에 있는 기능들의 안전 레벨을 향상시키기 위하여 부품 공급업체들에게 추가적인 비용을 지불하려고 하지 않을 것이다. 이는 부품업체들이 자신들의 부품 안전 요건들을 지능적으로 적당한 선에서 구현해야 한다는 것을 의미한다.

ISO26262 애플리케이션의 예
그러면 실제로 ISO26262를 구현하는 것이 오토모티브 IC의 설계와 동작에는 어떤 영향을 미치는가? 이것은 애플리케이션 예에 대한 레퍼런스가 가장 잘 설명하고 있다.

브레이크 시스템에서 전기 에너지를 복구시키는 하이브리드 차량의 확산으로 전자 기술은 브레이크 시스템으로 더욱 널리 적용되었다. 왕복 거리 내에서 브레이크 페달 위치를 정밀 측정하면 차를 멈추게 하는 데에 전기모터를 사용할 지 아니면 종래의 기계식 브레이크를 사용할 지 ECU가 결정할 수 있다.

이 애플리케이션을 위한 일반적인 안전 요건은 ASIL B이다. 브레이크 위치를 감지하는 병행하는 방법이 별도로 없기 때문에 이 IC는 ASIL B의 요건에 맞춰야 한다.

최신 세대의 하이브리드 차량은 브레이크 페달 메커니즘에 붙어있는 고리형 자석의 위치를 측정하기 위해 자기 홀효과 위치센서 ASIC을 사용한다. 첨단 위치센서들은 IC 평면과 IC에 수직인 방향에서 자기장을 측정하는3D 홀센서 어레이를 사용한다.

IC 중심이 위치한 자기장은 IC와 동일한 평면에서 가장 강한 반면 IC에 수직인 장은 거의 제로이다. 중심을 벗어난 위치에서는 상황이 역전된다. IC 평면의 장은 거의 제로가 되는 반면 IC에 수직인 장은 최대치에 도달한다.

그러므로 브레이크 페달과 자석을 왼쪽에서 오른쪽으로 옮기면 평면 장에서는 코사인(cosine)이고 수직 장에서는 사인(sine)이 된다. 이 신호들은 ARCTAN 함수를 이용하여 위치를 계산하는데 이용될 수 있다.

중심을 크게 벗어난 위치에서는 모든 장이 제로로 줄어들기 때문에 정확하게 측정되어야 할 바깥 쪽 위치들에서는 선형화가 필요하다. 선형화 데이터는 온칩 EEPROM에 저장된다.

일단 그러한 IC의 아키텍처와 핵심 기술 그리고 기능이 분명해지고 기능 블록들이 정의되면 FMEDA에 대한 작업이 시작될 수 있다.

ASIL B는 100FIT 이하의 고장률과 90%의 단일 지점 결함 측정기준을 필요로 한다. FIT(Failure in Time)는 신뢰성 측정 단위이다. 1FIT = 10억 시간의 동작에서 한 번의 동작실패를 나타낸다. FIT 비율은 사용된 웨이퍼 생산공정기술, IC 면적, 동작 온도의 함수이며 어떤 주어진 애플리케이션의 동작 조건에 대해 계산될 수 있다.

IC의 각 블록은 동작실패 모드와 실패 효과 측면에서 교대로 분석된다. 예를 들어, 아날로그 및 혼성신호 IC인 한 증폭기 내의 일반적인 기능 블록을 생각해보자. 엔지니어는 이득, 오프셋, 안정성 같은 증폭기의 성능을 결정하는 파라미터들을 고려해야 한다.

이득이 특정값 이하로 내려가면 증폭기가 완전히 동작에 실패할 수 있으며 특정값 이상으로 올라가면 측정 에러가 유도될 수 있다. 안정성, 오프셋, 그리고 다른 파라미터들이 서로 절충될 수 있는 비슷한 분석 방법들도 수행되어야 하며 (위에 기술된 FIT 비율 계산값을 기반으로) 동작 실패 가능성을 결정해야 한다.

그리고 모든 동작 실패 모드들이 (동작실패 모드 자체가 안전에 민감하든 그렇지 않든) 정해진 안전 수준에 미치는 영향도 평가되어야 한다.

어떤 동작 실패 모드에 대해서라도 하나 또는 그 이상의 기존 진단 기능들이 동작 실패를 탐지하고 시스템을 안전 상태로 가져갈 수 있는지 판단하기 위해 출력을 ‘신호 실패’ 대역으로 전환하는 것과 같은 확인이 이루어진다. 자석 위치센서의 표준 진단 기능에는 다음과 같은 것들이 포함된다.

● 내부 및 외부에서 생성된 공급 전압의 측정, 경고 플래그를 생성하며 미리 설정된 문턱값을 위반하면 리셋시킨다.

● 시동 시의 메모리 무결성 확인

● CRC 또는 패리티 비트에 의한 안정된 통신

이러한 분석은 조사 대상인 블록의 면적에 의해 가중치가 주어지고 정상 동작하는 동안 동작 실패가 어느 위치에서도 동일하게 일어날 것이라는 가정하에 진행된다. 그러므로 큰 블록들은 그에 비례하여 더 긴 검사를 필요로 한다.

어느 하나의 블록의 분석의 출력은 그 블록의 FIT 비율과 발견되지 않은 위험한 장애에 대한 나머지 FIT 비율의 비이다. 모든 블록에 걸친 분석을 요약하면 SFF(safe failure fraction)에 도달한다(ISO26262 는 ‘ 단일 지점 고장 측정기준’ 조건을 이용한다)

SFF = 안전한 장애/(안전한 장애 + DU 장애)
이 방법은 형식적으로 보이는데 따라서 왜 많은 엔지니어들이 이 접근방식을 따르기를 주저했는지를 설명해준다. 그러나 다른 한편으로 이 방법은 높은 고장률을 갖는 큰 블록들에 대한 관심에 비중을 둠으로써 결함 가능성을 고려한다.

이는 곧 순수한 기술적 판단으로 얻을 수 있는 것보다 분석의 질을 훨씬 높이 올려주는 일종의 순위를 제공한다. (하지만 이것은 기술적 판단 만으로 전체 FMEDA 프로세스의 근거가 되는 블록 분석에 정보를 준다).

그림 2에서 볼 수 있는 것처럼 ams에 의해 FMEDA가 위치센서 상에 구현되었을 때, 첫 번째 재설계 과정은 발견되지 않은 위험한 장애의 많은 부분이 다이에서 상대적으로 많은 면적을 차지하는 경로인 홀 센서에서 CORDIC프로세싱 유닛으로 가는 신호 경로와 EEPROM에서 기원하고 있음을 밝혀주었다.

게다가, 보호 장치가 되어있는 고전류 출력 드라이버의 장애는 진단될 수 없는데 이는 발견되지 않은 장애의 큰 부분을 차지한다.

따라서 다음과 같은 모니터링 및 진단 기능들이 새로이 구현되었는데 그 동안은 이 기능들이 추가되지 않아 ams가 FMEDA 프로세스를 수행할 수 없었다:

● CRC 계산과 기준 CRC와의 비교를 통한 연속 EEPROM 콘텐츠 체크

● 신호 처리망의 자기 셀프 테스트(magnetic self-test). 테스트 자기장을 발생시키기 위해 마이크로 코일이 채용되었다. 주요 측정 사이클에서 테스트 측정이 계획되어있다. 결과적인 출력은 저장된 값과 비교된다.

● 비교기를 이용하여 출력 드라이버의 상태를 다시 읽기.
장애가 탐지되면 출력은 동작 실패 대역(1-4% PWM 듀티 사이클)으로 전환된다.

이 특징들은 소자를 개발하는 동안 구현된 여러 다른 특징들과 함께 90%의 단일 지점 장애 측정기준을 자랑하는 성공적인 ASIC을 만들어냈으며 이렇게 해서 ASIL B에 적합하게 된다.

결 론
ISO26262를 따르는 개발 및 설계가 자동차 안전 장치용 IC의 표준 요건이 되어가고 있다. FMEDA의 사용은 엔지니어의 판단에 훨씬 더 의존하는 전통적인 안전 설계 방식과는 대조적으로 개발팀이 가장 높은 고장률과 가장 큰 칩 면적을 가진 IC 기능 블록들에 집중할 수 있도록 도와준다.

IC 동작을 지원하기 위해 칩 외부에서 진단 기능을 사용하는 것과 같이 IC 개발자와 사용자 간의 긴밀한 협력은 안전 기능들을 보다 비용 효율적으로 구현하게 한다. ©

http://www.ams.com

[박스]

저자

Thomas Mueller thomas.mueller@ams.com토마스 뮬러 (Thomas Mueller)는 ams의 자동차용 ASIC 제품 매니저이다.

오스트리아 운터프렘슈타텐에 주재하고 있는 저자는 주문형 IC를 책임지고 있다. 저자가 중점을 두고 있는 부문은 센서 인터페이스와 안전 및 전력 관리 애플리케이션이다.

아이씨엔 매거진 2013년 08월호

Advertisements
 
Leave a comment

Posted by on February 28, 2016 in Automation

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: