기능안전 설계

기술의 완성도가 아니라 사람의 생명과 신뢰를 지키는 약속

자동차 한 대가 출발할 때, 그 안에서는 수백 개의 전자 제어 장치(ECU)가 쉼 없이 작동합니다. 엔진을 제어하고, 브레이크를 잡으며, 내비게이션 화면을 띄우는 수많은 기능들이 각자의 역할을 수행하죠.

그런데 요즘 자동차는 조금 다릅니다.

과거처럼 기능별로 ECU를 따로 두지 않고, 하나의 강력한 컴퓨터(고성능 컴퓨팅 시스템, HPC) 위에서 여러 기능을 통합적으로 수행하는 구조로 진화하고 있다고 지난번 글에서 말씀드렸습니다.

겉으로 보기에는 훨씬 효율적이고 세련된 구조처럼 보입니다. 하지만 이 변화 속에서 가장 먼저 떠올려야 할 단어는 ‘성능’이 아니라 ‘안전’입니다.

---

<하나의 시스템 안에 모든 기능이 담긴다면, 만약 한 부분이 고장 나면?>

이 질문이 바로 기능 안전(Function Safety)의 출발점입니다. 요즘 자동차는 더 이상 ‘기계 덩어리’가 아닙니다. 움직이는 슈퍼컴퓨터이자, 거대한 소프트웨어 플랫폼이죠. 엔진 제어, 조향, 조명, 인포테인먼트, 심지어 운전자의 표정 인식까지 모두 데이터로 연결되어 있습니다.

그런데 하나의 칩(SoC) 안에 이런 다양한 기능이 함께 동작할 경우, 한 기능의 오류가 다른 기능에 영향을 미칠 위험이 존재합니다. 예를 들어 인포테인먼트 시스템이 일시적으로 다운되면서 주행보조 시스템(ADAS)의 판단이 지연된다면, 단순한 시스템 에러가 곧 안전사고로 이어질 수 있습니다. 그래서 차량 내 통합 컴퓨팅 환경에서는 ‘기능 간 간섭(Interference)’이 없도록 설계해야 합니다.

이를 보장하는 개념이 바로 FFI(Free From Interference), 즉 ‘간섭으로부터 자유로움’입니다.

---

<기능 안전이란, 기술보다 ‘사람’을 위한 시스템>

기능 안전(Function Safety)은 단순히 ‘고장을 막는 기술’ 보다는 고장이 나더라도 사람이 다치지 않게 하는 기술입니다. 국제 표준인 ISO 26262에서는 차량의 위험도를 ‘ASIL(Automotive Safety Integrity Level)’이라는 단계로 정의합니다. 가벼운 시스템 오류는 ‘QM(Quality Management)’ 수준에서 관리하지만, 제동이나 조향처럼 인명에 직결되는 영역은 ASIL D 수준으로 관리됩니다. 이 표준은 결국 하나의 목표를 향해 있습니다.

“예기치 못한 상황에서도 차량이 안전하게 대응할 수 있도록 만들자.”

즉, 기능 안전은 기술의 완성도가 아니라

사람의 생명과 신뢰를 지키는 약속인 셈입니다.

---

<기능 안전의 작동 원리 – ‘예방’, ‘감지’, 그리고 ‘복구’>

기능 안전은 세 가지 단계로 작동합니다.

첫째는 예방(Prevention)입니다.

문제가 일어나기 전에 구조적으로 위험 요소를 줄이는 단계죠. 하드웨어적으로는 전원 분리, 메모리 보호, 이중화 설계 등이 여기에 속합니다.

둘째는 감지(Detection)입니다.

시스템이 오작동을 스스로 감지해야만 신속히 대응할 수 있습니다. 이 과정에서는 Lockstep CPU(두 개의 코어가 동시에 계산을 수행해 서로 비교하는 구조)나

CRC 체크처럼 데이터 무결성을 확인하는 기법이 활용됩니다.

셋째는 복구(Recovery) 단계입니다.

문제가 생기더라도 차량이 안전한 상태로 전환될 수 있어야 합니다. 예를 들어 제동 시스템이 고장 나면, 비상 제어 모드로 전환되어 차량을 서서히 멈추는 식이죠. 이처럼 기능 안전은 단일 기술이 아니라, “문제를 피하고, 감지하고, 안전하게 수습하는 전 과정의 시스템”입니다.

---

<기능 안전을 가능하게 하는 세부 기술들>

기술적으로 살펴보면, 차량에서 기능 안전을 보장하기 위해서는 하드웨어와 소프트웨어가 유기적으로 맞물려야 합니다.

하드웨어 측면에서는 Lockstep CPU, Dual Core Architecture, Safety Island 같은 기술이 대표적입니다. 이들은 서로 다른 코어에서 동일한 명령을 동시에 실행해 결과를 비교하고, 조금이라도 불일치가 발생하면 즉시 오류를 탐지합니다.

소프트웨어 측면에서는 Safety OS(예: QNX, SafeRTOS)가 핵심입니다. 이 운영체제는 안전 관련 기능과 비안전 기능을 물리적으로 분리해 한쪽의 오류가 다른 영역에 영향을 주지 않도록 설계되어 있습니다. 또한, 차량 내부 통신에서는 TSN(Time Sensitive Networking) 기술이 중요합니다.

데이터 전송의 지연을 최소화하고, 긴급한 안전 신호를 최우선으로 처리할 수 있도록 네트워크 우선순위를 제어합니다.

이 외에도 HILS/SILS(시뮬레이션 기반 검증), FMEA(고장모드 영향분석) 등 다양한 검증 프로세스가 기능 안전을 실질적으로 보완합니다.

---

<산업별 대응 전략 – ‘안전을 누가 책임지는가’>

기능 안전은 단일 기업이 완성할 수 있는 영역이 아닙니다. OEM(완성차), Tier 1(부품사), 전문 소프트웨어 업체, 그리고 SoC 공급사까지 모두가 역할을 분담하고 협력해야만 완전한 안전이 실현됩니다.

OEM(완성차)

현대차, BMW, GM 같은 완성차 기업은 이제 기능 안전을 단순한 ‘요구사항’이 아니라 ‘조직문화’로 관리하고 있습니다. ‘Safety Manager’라는 전담 직책을 두고, 개발 초기부터 협력업체와 함께 안전 목표를 수립합니다.

Tier 1(부품업체)

Tier 1은 integration역할이니 사실상 기능 안전 구현의 중심에 있습니다. HPC나 도메인 통합 환경에서 각 기능이 간섭하지 않도록 FFI 구조를 설계하고 검증합니다. ISO 26262 기반의 프로세스를 체계화하고, QM부터 ASIL-D까지 대응 가능한 설계·검증 역량을 확보하는 것이 필수입니다.

이 역량이 확보되면 고객사(OEM)는 해당 부품사를 ‘신뢰 파트너’로 인정하게 됩니다.. 결국 기능 안전은 거래의 조건이자 장기적 동행의 기반이 되는 셈이죠.

전문업체 및 SoC 공급사

Vector, ETAS 같은 전문업체는 Safety Toolchain과 시뮬레이션 검증 솔루션을 제공합니다. Qualcomm, Renesas, NXP 같은 SoC 업체는‘Safety Island’ 기능이 포함된 칩셋을 통해 하드웨어 단계에서부터 안전성을 확보합니다. 이들은 Tier 1과 협력하여 Safety SDK, Safety IP를 제공하며 안전 설계를 위한 기반 기술을 제공합니다.

---

<Tier 1이 가져야 할 핵심 성공요인 (KSF)>

특히 차량 integration을 하는 tier 1은 안전은 단순히 기술력이 아니라, 조직이 얼마나 프로세스를 내재화했는가의 문제입니다. Tier 1 기업이 기능 안전 분야에서 경쟁력을 갖기 위해서는 다음 세 가지가 중요합니다.

1) Safety Mechanism 내재화

→ Lockstep, FFI 설계, Safety OS 통합 등 기술을 사내에서 직접 구현할 수 있어야 함.

2) ISO 26262 기반 프로세스 체계화

→ 개발, 검증, 인증의 일관된 프로세스를 구축해야 함.

3) 파트너십과 신뢰 확보

→ SoC 및 Tool 업체와 긴밀히 협력하고, 고객사 Audit에 대응 가능한 체계를 유지해야 함.

기능 안전은 단일 기술로 완성되지 않습니다. 조직문화, 프로세스, 협업 네트워크가 유기적으로 작동해야만 합니다. 제가 다니는 곳도 전문업체와 협업을 통해 기능안전 완성도를 높이고 있죠.

---

<기능 안전, 결국은 ‘브랜드 신뢰’의 문제>

자동차는 이동수단이지만, 동시에 ‘사람의 생명을 지키는 공간’입니다. 따라서 기능 안전은 기술의 문제가 아니라 신뢰의 문제입니다.

하드웨어가 아무리 강력해도,

소프트웨어가 아무리 똑똑해도,

‘안전이 담보되지 않는 기술’은 결코 시장에서 인정받지 못합니다. 기능 안전은 자동차 산업의 품질경영을 넘어 브랜드의 신뢰를 대표하는 지표가 되고 있습니다.

오늘 공유드린 내용을 세 가지로 요약해 봅니다.

1) 통합이 늘어날수록 간섭 위험은 커진다.

→ HPC 시대의 핵심은 ‘FFI(Free From Interference)’ 설계다.

2) 기능 안전은 제품이 아니라 프로세스다.

→ 예방, 감지, 복구의 전체 주기 관점에서 접근해야 한다.

3) 기능 안전 역량은 Tier 1의 지속 성장 동력이다.

→ 안전 설계 능력이 곧 고객과의 신뢰, 즉 시장 진입의 열쇠다.

“차량업계서 근무한다면, 여러분의 조직은 기능 안전을 단순한 기술 요건으로만 보고 있지 않나요?”“안전을 설계하는 체계, 검증하는 문화, 그리고 협력하는 네트워크가 충분히 구축되어 있나요?” 기능 안전은 한 번의 인증으로 끝나는 과제가 아닙니다. 지속적인 관리와 학습, 그리고 ‘사람 중심의 사고방식’이 동반되어야 합니다.

이제 차량의 안전성이 확보되었다면,

다음 단계는 ‘고성능(Performance)’입니다. 수많은 연산을 처리하는 SoC(반도체)가 어떻게 안전성과 성능을 동시에 만족하는지, 또한 Tier 1과 SoC 업체들은 어떤 전략으로 협업하고 있는지 다음 글에서 다뤄보고자 합니다.