기술·시장 자료

ISO 26262:2018 2nd 개정판

ISO 26262:2018 2nd 개정판

ISO26262 주요 개정내용

자동차에 장착되는 전기/전자시스템의 오동작으로 인하여 발생하는 위험원을 감소/회피하기 위해 2011년 제정된 ISO 26262(자동차 기능안전 표준)가 2018년 12월 말 개정 발행되었다. 주요 개정내용은 아래와 같다.

o requirements for trucks, buses, trailers and semi-trailers; (버스, 트럭을 포함한 3,500 Kg이상의 상용차도 ISO 26262 적용 대상으로 범위 확대)
o extension of the vocabulary; (반도체, 상용차 적용범위 확대로 인한 용어정의 증가)
o more detailed objectives; (각 Part 마다 Clause의 목적을 명확히 함)
o objective oriented confirmation measures; (확인대책을 목적에 맞게 수행)
o management of safety anomalies; (안전에 이상이 발견될 경우에 대한 관리)
o references to cyber-security; (기능안전과 사이버보안을 상호 고려하여 설계)
o updated target values for hardware architecture metrics; (하드웨어 아키텍처 메트릭 평가 방법 개선)
o guidance on model based development and software safety analysis; (소프트웨어의 안전 분석과 MBD(모델 베이스 설계) 가이드 제시)
o evaluation of hardware elements; (하드웨어 엘러먼트의 평가로 Clause명 변경과 반도체, 센서의 요구사항을 포함)
o additional guidance on dependent failure analysis; (종속결함 분석의 가이드 제시)
o guidance on fault tolerance, safety related special characteristics and software tools; (소프트웨어 툴, 안전관련 특별특성, fault tolerance 가이드 제시)
o guidance for semiconductors; (차량용 반도체에 대한 가이드)
o requirements for motorcycles; and (모터사이클에 대한 적용범위 확대)
o general restructuring of all parts for improved clarity. (각 Part 별 Clause 배열 재조정 및 명확화)

ISO 26262 part11:차량용 반도체 및 센서분야

ISO26262 2nd의 가장 큰 이슈는 차량용 반도체 및 센서가 ISO 26262 Part 11에 반영되었다는 것이다. 국제표준화기구(ISO) TC 22(자동차 기술 분과)에서는 안전과 직결되는 차량용 반도체의 중요성을 인식하고 ISO 26262 요구사항을 충족할 수 있는 차량용 반도체 표준 ISO/PAS 19451을 2016년 7월 국제표준으로 제정 하였으며, 2018년 12월 차량용 반도체의 요구사항인 ISO/PAS 19451이 ISO 26262:2018 2nd Edition 에 Part 11로 변경 반영되었다.

ISO 26262:2018 2nd Edition Part 11은 기능안전 관련하여 차량용 반도체 및 센서에 구체적인 사항을 국제표준 처음으로 적용하였으며, 안전성이 중요한 드론, 우주항공, 로봇, 철도, 의료기기, 원자력, 국방, 관제시스템, 오일/가스, 플랜트 등의 산업으로 확산될 전망이다.

기존의 ISO/PAS 19451는 Part 1과 Part 2로 구분되어 있었다, Part 1은 반도체의 기능안전 적용 방법에 대한 가이드, Part 2차량용 반도체가 왜 자격인정(Qualification)을 받아야 되는지를 설명하고 있었으나, Part 1부분은 ISO 26262:2018 2판 Part 11로 변경 개정되었으며, Part 2를 대체하는 기존의 ISO 26262 Part 8-13 Qualification of hardware components의 Clause 이름을 Evaluation of hardware elements로 변경하고, 반도체 및 단순 센서, 스마트센서에 맞게 내용을 대폭적으로 개정하면서 Part 2는 폐기하였다.

아래 <그림 1>은 기존의 ISO/PAS 19451과 ISO 26262:2018 2판에 반영된 Part 11과 비교 분석한 것으로 파란색 글자가 기존의 ISO/PAS 19451에서 Part 11로 개정되면서 추가


<그림1: 기존의 ISO/PAS 19451 대비 ISO 26262:2018 Part 11 추가 내용 비교>


Part 11의 주요 내용으로는 반도체 수준에서 결함, 에러, 고장의 구분과 정의, 안전분석, 기본 고장률(BFR: Base Failure Rate) 예측, IP 설계, 종속고장분석(DFA: Dependent Failure Analysis) 방법과 절차, 결함주입시험의 개념 및 방법 등을 소개하고 있으며, 반도체공정(Fab)에 대한 안전 적용대상 및 기준, DIA(Development Interface Agreement, 협력 개발), 확인대책과 기능안전 심사, 하드웨어 통합 및 시험 방법, 메모리, digital/analogue/mixed signal component, multi-core component, sensor/transducer에 대한 결함 모델, 고장 모드, 안전 분석 시 고려사항, 각 품목별 일반적인 안전 메커니즘 예 등을 포함하고 있다.

센서와 트랜스듀스에 대한 요구사항

트랜스듀서(Transducer)란 에너지를 한 형태에서 다른 형태로 변형하는 하드웨어 파트로서 ISO 26262 자동차 안전 기능에 대해서 critical 엘리먼트이다.

센서(Sensor)는 최소한 한개의 트랜스듀서와 E/E 시스템에 사용하기 위해 트랜스듀서 출력을 지원, 조절 또는 처리하는 하드웨어 엘리먼트를 포함하는 엘리먼트. <그림 2>에 트랜스듀서와 센서와의 관계를 나타내었다.


<그림 2. General relationship between sensor and transducer>


다른 E/E(전기/전자) 엘리먼트와 같이 결합되어 있는 센서는 파트와 서브파트로 나누어지며 복잡도도 다양한며, <그림 3>에 복잡한 센서 혹은 스마트 센서 구성의 예를 나타내었다.




<그림 3. Example of a complex hierarchical sensor>


① 센서와 트랜스듀서 고장 모드 (Sensors and transducers failure modes) 식별 및 파악
트랜스듀서는 에너지 변환이 일어나는데 입력이 어떤 형태이던지 출력은 전기적 신호로 변환되므로 트랜스듀서의 고장 모드는 원인에 관계없이 전기적 고장으로 고려하여야 한다. 트랜스듀서에서 시작한 신호 패스(path)에서 엘리먼트의 결함은 센서 출력에 영향을 줄 수 있다. 트랜스듀서의 고장 모드는 하드웨어 고장 모드에서 식별, 파악, 도출할 수 있어야 한다. 센서 신호 패스(path)에 포함된 디지털 또는 아날로그 지원 회로의 고장 모드는 반도체 고장과 같이 관리되어야 한다. 시스템 출력에 대한 트랜스듀서 고장 모드의 영향은 센서 고장을 방지하기 위해 할당된 안전 요구 사항에 따라 다르게 관리되어야 한다.

a) 생산 프로세스와 고장 모드(Production processes and failure modes)
반도체 기반의 센서와 트랜스듀서 생산은 웨이퍼 그라인딩/thinning, pick and place, die attach, wire bond, die stacking, and encapsulation과 같은 기계적 공정을 포함하는 여러공정이 포함된 프로세스이다. 기계적 공정은 기계적 스트레스에 의해 소자 파라미터의 변동을 야기하는 재료 속성에 영향을 준다. 따라서 기계적 생산 프로세스 전에 특정 고장 모드를 나타내지 않는 센서나 트랜스듀서라도 프로세스 후에 고장 모드가 없다고 보증할 수는 없으므로, 생산 및 공정에서 센서의 고장 모드를 야기할 수 있는 기계적 스트레스 또는 다른 환경적 요인을 설명하여야  한다. 공정에는 표면 실장, 클램핑, pick and place, reflow와 등가 코팅 프로세스 등이 있으며, 가능하면 공급자의 생산 흐름 마지막 단계 후에 표준대로 기능을 검증하여야 한다. 조립 프로세스에서 발생될 수 있는 센서/트랜스듀서의 고장 모드를 고려하여야 한다. 공정에 의해 유도되는 센서 성능의 편차를 감지하는 능력과, 편차를 완화 능력은 적절한 견고성을 확보하기 위해서는 제품 및 공정 설계 단계부터 고려되어야 한다.



② 센서와 트랜스듀서에 대한 안전 분석 (Safety analysis for sensors and transducers)
트랜스듀서는 에너지 변환이 일어나는데 입력이 어떤 형태이던지 출력은 전기적 신호로 변환되므로 트랜스듀서의 고장 모드는 원인에 관계없이 전기적 고장으로 고려하여야 한다. 트랜스듀서에서 시작한 신호 패스(path)에서 엘리먼트의 결함은 센서 출력에 영향을 줄 수 있다. 트랜스듀서의 고장 모드는 하드웨어 고장 모드에서 식별, 파악, 도출할 수 있어야 한다. 센서 신호 패스(path)에 포함된 디지털 또는 아날로그 지원 회로의 고장 모드는 반도체 고장과 같이 관리되어야 한다. 시스템 출력에 대한 트랜스듀서 고장 모드의 영향은 센서 고장을 방지하기 위해 할당된 안전 요구 사항에 따라 다르게 관리되어야 한다.

결론

센서와 트랜스듀서에 대한 안전대책의 예
센서는 넓은 의미로 지원 회로를 포함할 수 있으며, ISO 26262:2018 Part 11에서 제시된 안전 메커니즘은 디지털 회로의 안전 메커니즘, 아날로그 회로의 안전 메커니즘, PLD 회로의 안전 메커니즘 등을 포함하여 센서/트랜스듀서에서 공통적으로 사용되는 안전 메커니즘의 예를 가이드로 제공되고 있다.

센서와 트랜스듀서에 대한 시스템적 결함의 회피에 대하여
센서와 트랜스듀서의 시스템적 결함을 회피하기 위해서는 디지털 및 아날로그 회로에서 언급한 방법 그 외에도 ISO 26262:2018 Part 11에 기술한 대책과 ISO 26262:2018 Part 5 하드웨어 개발시 고려해야 할 사항들을 반영하여야 한다.

센서와 트랜스듀서에 대한 안전 문서의 예
센서와 트랜스듀서가 안전하다는 것을 보장하기 위해서는 최소한 아래의 내용을 포함하여 반도체와 메모리(아날로그 컴포넌트와 디지털 컴포넌트)에서 요구하는 안전문서를 작성하여야 한다.

- 가정이나 논리적 근거를 포함한 추정 계산된 BFR(기본 고장율)
- 최종적인 영향과 고장 모드 분포를 포함한 트랜스튜서 고장 모드 목록
- 다음 사항을 강조한 안전 매뉴얼 또는 Safety case와 같은 사용자 정보
- 디바이스에 통합된 안전 메커니즘과 가용성
- 디바이스의 안전 특성에 영향을 미칠 수 있는 구성 또는 Parameter
- 기능 안전에 영향을 미치는 생산/공정 관련 지침서