자동차 기능 안전성 국제 표준인 ISO26262의 세컨드 에디션이 2018년 2월 정식 발효된다. 글로벌 표준 초안(Draft)이 완성돼 지난달 국가별 전문가 그룹에 전달됐다. 2018년 2월까지 큰 이견이 없으면 각국 표준기관의 투표 과정을 거쳐 표준으로 굳어질 전망이다. 국내 업계 빠른 대응이 시급하다.
ISO26262는 자동차에 탑재되는 전자장치의 오류로 발생하는 사고를 방지하기 위해 2011년 11월 11일 제정됐다. 현재 ISO26262에는 파트1부터 파트10까지 전장 부품과 소프트웨어에 관련된 안전 요구, 권고 사항 43가지가 포함돼 있다. 세컨드 에디션에는 반도체 설계 분야가 새롭게 추가됐다. 파트11에서 그 내용이 다뤄진다.
크게 보면 세 가지다. △내가 설계한 반도체가 어떻게, 얼마만큼 고장이 발생할 것인지 예측 가능해야 하고 △그 고장률을 최소한으로 줄이며 △만에 하나 고장이 났을 시 이를 곧바로 확인할 수 있도록 특수 설계 블록이 들어가야 한다. 차에 탑재될 수 있는 모든 종류의 반도체에 이 같은 새로운 설계 기법이 가미돼야 한다.
미국 법원은 토요타 급발진 사고가 엔진 제어 소프트웨어, 반도체에서 비트 오류를 일으켰기 때문이라고 판단했다. 0과 1이 계산에 따라 변동해야 하는데 0 혹은 1 상태에서 멈춰버려 연료량을 조절하는 스로틀밸브가 전부 열린 상태가 됐다는 것이다. 스로틀밸브가 전부 열린 상태로 유지되면 공기와 연료가 한꺼번에 들어가 차량 출력을 급상승시킨다. 예기치 않은 급발진을 유발하는 이유가 될 수 있다.
반도체는 비트 오류가 잘 일어나지 않을 것 같지만 주변 온도가 칩이 허용한 한계치를 넘거나 노이즈가 많이 발생하는 등 외부 요인으로 종종 오류를 내기도 한다. 칩에 다양한 기능을 심을수록, 속도가 빠를수록(게이트 숫자가 많을수록) 오류 숫자는 비례해서 올라간다. ISO26262 세컨드 에디션에는 이러한 안전 관련 반도체 설계 방법론이 권고돼 있다.
문제는 국내 반도체 업체 대다수가 이러한 사안에 대해 정보가 부족하고 관심이 떨어진다는 점이다. ISO26262 표준화 작업은 ISO 산하 TC22(기술위원회)/SC32(자동차 분야)/WC8(기능안전 워킹그룹)에서 다룬다. WC8에는 14개 국가에서 각 5명씩 총 70명의 전문가가 참여하고 있다. 국내에선 한국전자통신연구원(ETRI), 현대자동차, 현대모비스, 실리콘웍스, 한국산업기술시험원(KTL)에서 각각 한 명씩 국가 전문가 자격으로 WC8에 참여하고 있다. 이 자격은 국가기술표준원이 줬다. 표준원 아래에 비공식 모임인 ISO26262 연구회가 있으나 아직 정식 표준으로 정해지지 않아 연구회 외부로 관련 내용이 공표되는 것을 금하고 있다.
이미 인텔, 엔비디아, NXP, 인피니언, ARM, 자일링스, 온세미컨덕터 등 유수의 해외 기업 실무진은 ISO26262 WC9에 참여해 표준화가 어떤 식으로 굳어지는지 상황을 잘 알고 있다. 독일 인피니언이나 일본 르네사스가 벌써부터 ISO26262에 대응하는 엔진 제어용 마이크로컨트롤러(MCU)를 내놓고 있는 이유도 이 때문이다.
업계 관계자는 “표준이 발표되고 나서 대응하려면 이미 늦다”면서 “국내 반도체 업계는 이제라도 관심을 갖고 다양한 방면으로 관련 내용을 들여다봐야 한다”고 말했다.
한주엽 반도체 전문기자 powerusr@etnews.com