목 차 >>> 1. 서 론
2. 전장부품의 리스크 절감을 위한 반도체 기술
3. 해외 반도체 회사의 ISO 26262 ASIL C, D에 대한 대비 4. 전장부품의 리스크 절감을 위해 반도체 회사가 고려해야 할 것들 5. 결 론
(그림 1) 차량용 반도체의 시장 전망과 전기전자부품의 비중(2011, Strategy Analytics)
1. 서 론
차량용 반도체는 자동차 내외부의 각종 정보(온 도 압력 속도 등)를 측정하는 센서와 ECU(Electronic Control Unit)로 불리어지는 엔진 트랜스미션 및 전자제어장치 등을 직접 구동하는 모터 등의 구 동장치 등에 사용되는 반도체를 말한다. 주로 custom IC, 범용 IC 등 monolithic IC, Hybrid IC, discrete device를 합쳐진 복합 IC, MCU, discrete 등이 있다.
자동차에는 메모리/비메모리 반도체, 센서, MCU
등 대략 200여개의 반도체가 사용되고 있고, 현 재 일반 자동차는 평균 40여개의 반도체 칩을 사 용하고 있다. 고급형 차종일수록 더 많은 수의 칩 을 내장하고 있는데, 도요타의 최고급 모델인 ‘렉 서스 LS 460’의 경우 충돌 방지용 센서와 레이더 등 첨단 기능을 구현하기 위해서 100여개의 반도 체를 탑재했다. 또한 친환경자동차로 가면서 전 기전자부품의 비중의 크게 증가할 것이라고 전망 한다(그림 1).
본고에서는 자동차에서 전장부품에서의 반도 체 기술, 그리고 ISO 26262를 준수한 반도체 기 술에 대해서 설명하며, 국내에서 해결해야 할 과 제들을 논의하고자 한다.
2. 전장부품의 리스크 절감을 위한 반도체 기술
2011년 11월 15일에 ISO 26262 정식판이 발표 되었다. ISO 26262는 차량용 기능안전 규격으로 채승엽 (인포뱅크(주)), 김원종 (한국전자통신연구원)
ISO 26262에 따른 차량용 ECU 소프트웨어와
SoC 대응 방안
(그림 2) 신뢰성(Reliability)과 안전성(Safety)의 해결 방법 차이
제1판에서는 3.5톤 이하의 양산 자동차에 SW가 탑재되는 전장부품을 대상으로 이 기준을 준수 할 것을 요구하고 있다. ISO 26262는 Part 3-7의 Hazard Analysis and Risk Assessment를 통한 ASIL(Automotive Safety Integrity Level)을 도출 하여 SW가 탑재된 전장부품의 기능안전에 대한 요구사항을 만족해야 한다[1]. 특히 ASIL C, D에 대해서는 전장부품의 결함으로 인해서 소비자에 게 중상이상의 피해를 줄 수 있는 제품으로 분류 하고 있다. 중상이상의 피해를 줄 수 있는 전장부 품들은 이미 ISO 26262가 발효되기 전부터 유럽 이나 미국에서 의무 장착이 법제화가 되어 있으며, 대표적으로 AirBag, ABS (Anti-lock Brake System), BAS(Brake Assist System), ESC (Electronic Stability Control) 등이 있다.
참고로 ISO 26262에서 ASIL이 QM(Quality Management)인 경우는 ISO 26262를 준수하여 제품을 개발할 필요는 없지만, ISO 26262 Part 3 의 Hazard Analysis and Risk Assessment를 실시 하여 QM이 되었다는 것을 증명해야 한다.
2.1 ISO 26262에서 신뢰성(Reliability)과 안전성(Safety)의 개념
신뢰성은 제품이 5년, 10년 등 특정 기간內에 제품 고장률(failure rate)을 낮춰서 오랫동안 쓸 수 있는 제품을 만드는 것이 목표이며, 안전성은 제품이 문제가 발생했을 때 사람에 대한 피해를 최대한으로 줄이는 것(Risk Reduction)이 목표이 다. 이처럼 신뢰성과 안전성은 목표가 다르며, 공 통부분은 “제품고장”이라고 할 수 있다.
신뢰성과 안전성에서 Fault, Error, Failure이 자 주 언급이 되는데, 국내에서는 한글로써 오역이 된 경우가 많아서 정확한 개념을 설명하도록 하 겠다.
- Fault : “Fault is a physical defect, imperfection or flaw that occurs in hardware or software.”
로 정의가 되며, Fault인 상황에서는 제품의 시스템에 영향을 주지 않으며, Fault가 발생 하여 Error에서 Failure 상태로 발전을 하게 되면 제품의 시스템에 영향을 주게 된다. 즉, Fault가 반드시 제품의 시스템에 영향을 주는 것은 아니다. ISO 26262에서는 제품의 시스 템에 영향을 주지 않는 Fault를 Safe Fault라 고 한다.
- Error : “Error is a deviation from correctness or accuracy.”로써 Fault로 보여지는 부분이 어떠한 입력으로 인해 실행된 상태의 Error를 말한다. 일반적으로 요구사항 명세서가 잘 못된 경우도 포함된다.
- Failure : “Failure is a non-performance of some action that is due or expected.”로 정의되며, Fault에 어떠한 입력이 들어와서 Error가 되어 시스템에 영향을 준 경우를 Failure라고 한다.
또한 제품의 시스템이 Failure가 발생하는 경우 는 SW와 HW의 Fault가 연계해서 Error가 발생되 어 시스템이 Failure가 되므로, SW와 HW를 둘 다 고려해야 한다.
신뢰성과 안전성은 기술적으로 보았을 때 크게
(그림 3) HW element에 대한 고장 모드의 분류 차이 나는 부분은 Fail-safe system으로 고장 시에 안전을 유지하도록 시스템 아키텍처를 설계하는 것으로 ISO 26262에서는 이러한 Fail-safe 기술을
‘Safety Mechanism’이라고 한다[2-4](그림 2).
2.2 ISO 26262 Part 5의 HW에 대한 고장률(failure rate)
ISO 26262 Part5의 HW에서는 고장 모드(failure mode)를 정의하고 있으며, 고장모드에서 안전 목 표(Safety Goal)를 달성할 수 없는 Fault에 대해서 Single point fault, Residual point fault, Latent multiple point fault로 규정하고 있으며, 이러한 Fault에 대한 고장률(failure rate)을 계산하여 수 용 가능한 목표 값(target value)을 기준으로 안전 하다는 것을 증거(evidence)로 기술하여 증명해야 한다. 이것은 안전성(Safety)에 관련된 신뢰성 (Reliability)에 데이터와 Safety Mechanism의 구 현에 대한 결과를 제공해야 한다[3].
<Failure mode에 대한 각 분류별 설명>
- Safe fault: fault 발생이 안전 목표에 대해서 그 고장률을 증가하게 하지 않는 fault로 안 전 목표를 위반하지 않음.
- Single point fault: Safety Mechanism이 적용 되지 않은 하나의 HW element의 fault로써 안
전 목표를 직접적으로 위반하는 fault (Safety Mechanism이 존재하지 않음)
- Residual fault: 하나의 HW element에서 발생 하는 fault로 안전 목표를 위반하며, 적용할 Safety Mechanism이 있으나 비용 및 기술적 인 문제로 적용하지 못함.
- Multiple point fault: 2개 이상의 fault가 조합 되며, 이러한 fault를 분류하면 Detected/
Perceived/ Latent multiple point로 나누어진 다. 참고로 2개의 Fault로 조합된 것을 Dual point Fault라고 한다. 3개 이상의 fault로 조 합된 Multiple point fault의 경우 Technical Safety Concept(시스템 설계 단계에서 이루 어지는 기술 안전 요구사항)에 고려되지 않 을 경우는 ISO 26262에서 제외된다.
- Detected multiple point fault: Safety Mechanism 이 적용 되어 multiple point fault가 안전 목표를 위반하지 않도록 감지하여 처리된 multiple point fault로써 안전한 Fault로 본다 (Fault Tolerant Time Interval 내에서 처리).
- Perceived multiple point fault: Safety Mechanism 이 적용되어 운전자에게 경고 등의 알림 메 시지로 회피성(Controllability)을 높여주어, multiple point fault가 안전 목표를 위반하지 않도록 처리된 Fault로 안전한 Fault로 본다 (Fault Tolerant Time Interval 내에서 처리).
- Latent multiple point fault: multiple point fault로써 Safety Mechanism이 있으나, Fault Tolerant Time Interval 내에서 fail safe를 처 리하지 못하여 안전 목표를 위반한 것을 말 한다.
일반적으로 ISO 26262 Part5 HW에서는 안전 목표에 관련된 1개의 부품에 대해서 single point fault, residual fault, latent multiple point fault인 3
(그림 4) Multiple point fault에서의 Fault tolerant time interval 개념도
가지의 고장률을 계산하여, 안전 목표에서 수용 이 가능한 계산 결과 값을 증거(evidence)로 기술 하여 증명해야 한다[3].
1개의 부품에 대해서 single point fault, residual fault, latent multiple point fault인 3가지의 고장률 을 계산하기 위한 방법으로는 대표적으로 3가지 가 있다.
a) 공인된 여러 산업계에서 인정받은 각종 핸 드북의 데이터를 근거로 HW의 고장률 데 이터를 계산 (빠르게 기술이 변하는 전장부 품에는 전혀 도움이 되지 않음.)
예로 IEC/TR 62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811, NPRD 95, EN 50129:
2003, Annex C, IEC 62061:2005, Annex D, RIAC FMD97 and MIL HDBK 338가 있음.
b) 실제 field test를 기반으로 한 적절한 신뢰수 준을 가지는 통계로 HW의 고장률을 파악 c) 정성적이고 정량적인 자료 및 통계 기반으
로 한 엔지니어적인 접근에서 발견되는 전 문가적인 판단
우리나라에서는 HW의 고장률에 대한 연구가 이루어지지 않았으며, 특히 차량용 첨단 전장부 품의 경우에는 실제 현장시험이나 엔지니어적인 접근을 통한 전문가적인 판단을 해야 하나, 해당
분야의 전문가가 부족한 상황이다. 마찬가지로 기능안전 분야에 해당하는 의료기기, 서비스 로 봇 등도 HW의 고장률에 대한 계산으로 안전하다 는 것을 증명해야 한다.
차량용 반도체의 경우도 HW의 element에 해 당되므로 IP확보뿐만 아니라 HW의 고장률을 안 전에 신뢰할 수 있도록 계산 값이 제시 되어야 하 며, 그렇지 않으면 ISO 26262를 준수한 전장부품 개발에 해당 차량용 반도체를 사용할 수 없다.
또한 Safety Mechanism이 적용되어 안전 목표 를 달성한 Detected multiple point fault와 Perceived multiple point fault의 경우는 HW와 SW가 연계 해서 Fault tolerant time interval 시간內에 처리하 지 않으면 Latent multiple point fault가 되므로 반 도체 회사에서 SW에 대한 지원도 필요하다.
2.3 ISO 26262 Part 5의 HW에 대한 Safety Mechanism
ISO 26262에서는 ASIL의 A~D 등급에 따라서 Fail-safe를 해결하기 위해서 Safety Mechanism을 구 현하도록 하고 있으며, ASIL 분할 (decomposition) 에서 구체적인 SW와 HW에 대한 Safety Mechanism의 기술적인 내용을 설명하고 있다(그 림 5). 그 중에서 ASIL D의 ASIL 분할을 중심으 로 Safety Mechanism을 설명하도록 하겠다[5].
ASIL 분할은 다음 단계에서 이루어진다.
- ISO 26262 Part 3-8 Functional Safety Concept - ISO 26262 Part 4-7 System Design
- ISO 26262 Part 5-7 HW Design - ISO 26262 Part 6-7 SW Design
ASIL 분할은 먼저 ISO 26262를 준수하지 않아 도 되는 부분인 안전에 관련이 없는 QM(Quality
(그림 5) ISO 26262에서의 ASIL 분할 (decomposition)의 패턴
Management)을 분리하고, Safety Mechanism의 적용 방식에 따라서 분할의 형태가 달라진다.
ASIL D의 분할은 C(D), A(D)와 B(D), B(D)의 분할 패턴으로 정해져 있다. C(D), A(D)의 경우 는 Safety Mechanism으로 Main MCU (ASIL A(D))와 Main MCU를 모니터링하고 비교하는 Sub MCU (ASIL C(D))로 구성되어 있다. B(D), B(D)의 경우는 Safety Mechanism으로 redundancy 된 Dual Core MCU나 동일한 MCU 2개가 각각 ASIL B(D)로 구현하여 1개의 Core 혹은 MCU가 오작동이 발생된 경우 백업이 되는 MCU가 대신 동작 해주는 시스템으로 구현되어 있다. 반도체 의 전문용어로 LockStep이라고 한다. 이와 관련 해서 2011년 11월에 차량용 반도체 회사인 인피 니언에서는 3개의 Core가 있는 TriCore MCU를 2013년에 양산하겠다고 발표하였다.
ASIL C, D의 Safety Mechanism은 ISO 26262 에서 HW의 기술 요구 사항에 대해서 언급이 되 어 있으며, 단순히 HW뿐만 아니라 Fault가 Failure가 되는 상황을 감시하는 진단 (diagnostic) SW를 필수로 하고 있다. 진단 SW의 경우는 ISO 26262와 상관없이 유럽, 일본, 미국의 완성차에 서 중요한 기술로 판단하여 자체 진단 SW를 완 성차가 직접 개발하여 사용하고 있다.
하드웨어에서 ISO 26262를 준수하는 차량 전
자 시스템을 개발하려면, 반도체 및 전자 부품에 대해서도 다양한 것이 요구된다. 특히 최고 수준 의 안전성을 요구하는 ASIL D를 달성하기 위해 서는 ECU의 핵심 MCU에 높은 안전성을 제공할 수 있는 구조를 포함시키는 것이 필요하다.
3. 해외 반도체 회사의 ISO 26262 ASIL C, D에 대한 대비
미국, 유럽, 일본의 자동차용 반도체 회사의 ISO 26262 ASIL C, D에 대한 대비 현황을 살펴 보면 다음과 같다.
미국의 반도체 회사인 Freescale에서는 HW의 Safety Mechanism으로 Redundancy (Dual Core) 와 Fail-Safe State Machine I/O 기술 개발을 완료 하였고, TI에서는 HW의 Safety Mechanism으로 Redundancy (Dual Core)와 lock-step 등 processing Function Protection 기술 개발을 완료하였다.
Freescale에서 55nm공정으로 만든 120Mhz e200z 의 Dual Core인 MPC5643L을 살펴보면 Fault Collection Unit의 기능으로 SW로 Error를 감지할 때 보조해주는 역할, Flash와 RAM의 ECC를 Check하는 기능, Clock Monitoring 기능, XBAR+
MPU 기능으로 Fail-Safe State Machine I/O를 처 리하여 Lockstep 기능 등을 지원한다. Freescale에 서는 MPC5643L에 대해서 조향장치에 적용한 사 례를 중심으로 Failsafe 입출력 신호들에 대한 FMEDA (Failure Modes, Effects and Diagnostics Analysis)/FTA (Fault Tree Analysis) Safety Manual 을 제공한다. 또한 ASIL을 만족하는 300 Mhz MCU를 2013년에 제공할 계획이다[6,7].
TI에서는 65nm공정으로 만든 160 Mhz ARM Cortex R4F의 Dual Core인 TMS570LS는 fail safe detection 기능이 있다. EPS(Electronic Power
Steering)의 조향장치에 적용한 사례를 중심으로 FMEA와 FTA에 대한 Safety Manual을 제공한다.
TI의 Safety MCU 로드맵에서는 자동차뿐만 아니 라, 철도, 항공 등의 시장도 보고 있다[8].
유럽의 반도체 회사인 Infineon에서는 HW의 Safety Mechanism으로 Redundancy(Dual Core)에 의한 System monitoring과 Self test, Powerful error 기술 개발을 완료하여 BMW와 AUDI의 양 산차에 적용하였다. 특히, 유럽 ARTEMIS에서는 차세대 자동차에 대한 기능안전 기술에 대해서 표준화가 진행 중이다. Infineon은 1999년에 dual core MCU를 선보였으며, 현재는 130nm 공정으 로 만든 40/66/100Mhz의 Dual Core인 TriCore와 추가적으로 모니터링 Chip인 CIC 61508를 보강 하여 향상된 안전성을 제공하고 있다. EPS에 적 용한 사례를 중심으로 FMEA(Failure Modes and Effects Analysis)와 FTA에 대한 Safety Manual을 제공한다. 또한 ASIL을 만족하는 300Mhz MCU 를 2012년에 제공할 예정이다. TriCore MCU는 BOSCH의 섀시 전장부품인 ASIL D를 만족하는 DCU(Domain Control Uint)에 채택되어 BMW나 AUDI의 양산차에 적용되었다. BOSCH에서는 DCU(Domain Control Uint)를 향후 AUTOSAR기 반으로 BMW와 AUDI에 제공할 예정이다[9].
일본의 반도체 회사인 도시바에서는 HW의 Safety Mechanism으로 Single Core 방식을 이용 한 Error 제어 기술을 개발 중이다, 르네사스에서 는 HW의 Safety Mechanism으로 Redundancy (Dual Core)와 Fault detection function 기술을 개 발 중이다. 2011년 7월에 도시바는 자동차의 기 능 안전 규격 “ISO26262”에 대응하는 전자제어 장치 (ECU)용 MCU로써 전동 파워 스티어링 제어용 “TMPM350FDTFG”와 하이브리드 자동 차 (HEV)/전기 자동차 (EV)의 모터 제어용
“TMPM354F10TFG”의 두 가지 제품을 발표하였
다. 두 제품 모두 2011년 9월부터 샘플 출하를 개 시하고, 2013년 4월부터 양산을 들어갈 예정이다.
도시바의 기능 안전 MCU는 기존 MCU 코어에 전용 모니터링 회로를 추가한 “싱글 코어 타입의 결합 방식”을 채용하고 있으며, 전용 모니터링 회 로의 도입으로 내부 상태의 고장을 즉시 감지하 고 고장 발생한 부분에 대해서 필터링이 가능하 기 때문에 최소한의 기능을 확보하면서 동작을 계속할 수 있도록 구현하였다. 도시바가 새롭게 만든 기술은 Daul Core 방식 보다 Single Core에 전용 모니터링 회로를 추가한 것이 SW복잡도가 50% 절감이 된다고 강조한다. 도시바는 2015년 도 기능 안전 규격에 대응한 MCU 매출을 100억 엔(1,000억원)을 목표로 하고 있다.
미국과 유럽의 차량용 반도체 회사의 특징을 살펴보면 dual Core MCU와 추가적인 모니터링 용 MCU로써 ISO 26262에 대응한 MCU를 공급 하고 있으며, 실제 전장부품회사와 연계한 사례 를 중심으로 FMEA와 FTA에 관한 Safety Manual 을 제공하고 있다. 국내 반도체 회사에서 차량용 MCU를 개발하기 위해서는 IP 확보도 중요하지 만, 전장부품회사와 연계한 Safety Manual 작업 이 필수이다.
4. 전장부품의 리스크 절감을 위해 반도체 회사가 고려해야 할 것들
ISO 26262의 ASIL C, D에 대해서 리스크 절 감을 위해서 반도체 회사 다음과 같은 두 2가지 사항에 대해서 전장부품 업체에게 자료를 제공하 여야 한다.
① 신뢰성에서 안전성에 영향을 주는 부분에 대한 반도체의 고장률을 제공해야 한다. 일 반적으로 Safety Manual로써 제공을 한다.
ASIL 등급 B C D 목표 고장률
(Random HW failure target values) /h /h /h
고장 검출율 (HW architectural metric)
SPFM ≥90% ≥97% ≥99%
LFM ≥60% ≥80% ≥90%
<표 1> ISO 26262 Part5 HW의 목표 고장률과 고장 검출율 기준 반도체 회사의 제공 자료에 대해서는 NDA
(Non-disclosure agreement)로 진행하는 경 우가 많다.
② 반도체에 대한 Safety Mechanism에 대한 구 현 방법과 기술적인 사항에 대한 SW 및 HW 자료를 제공해야 한다.
위의 ①에 대해서 ISO 26262 Part 5의 HW를 보충해서 설명하면, ISO 26262에서는 차량 전자 시스템의 하드웨어에서 발생하는 고장(failure)에 대해서, 정량적인 방법(Quantitative Analysis)에 의해 산출되는 고장 발생 빈도인 고장률을 이용 하여 ASIL 평가를 실시한다. 특히 ASIL D와 같 이 높은 안전 수준을 요구하는 전자 시스템의 하 드웨어는 <표 1>과 같은 목표 고장률을 만족해야 한다.
목표 고장률에서 ASIL D의 < /h라는 값 은 반도체 및 전자 부품 업체에서 널리 사용 되고 있는 FIT (Failure in Time, 1 FIT는 10억 시간당 1회 고장이 발생한다는 의미.≒ 114,000년)로 표 현하면 10 FIT로 10억 시간당 10회 이상의 고장 이 발생하면 안 된다는 것이다. 그러나 자동차 MCU의 고장률은 최고로 보장할 수 있는 값이 20 FIT이므로, 10억 시간당 20회 고장이 발생하므 로, ASIL D의 10 FIT를 만족하지 않는 전자 시스 템의 MCU는 자동차에 사용할 수가 없다. 즉, HW의 목표 고장률(ISO 26262 Part 5-9 Random HW failure target values 참고)의 ASIL 기준만을
적용하면, 차량 반도체 선정 기준에 타당하지 않 다는 것이다. 그래서 해결 방안으로 나온 것이 고 장 검출율(ISO 26262 Part 5-8 HW architectural metric 참고)에 따른 ASIL 레벨 결정 방법이다.
일정한 확률로 고장이 발생하는 것이 어쩔 수 없 더라도, 발생하는 고장을 감지하는 안전장치 (Safety Mechanism이 적용된 부품)를 포함해 두 면 최종적으로 실제 손해가 발생할 확률은 반도 체 및 전자 부품의 고장률보다 더 줄일 수 있다.
이러한 안전장치에 의해서 고장을 감지할 수 있 는 확률을 고장 검출율이라고 한다.
고장 검출율은 <표 1>과 같이 ASIL B~D에 대 해서 SPFM (Single Point Failure Metrics)와 LFM (Latent Failure Metrics)로 두 가지로 분류한다.
참고로 ASIL B의 경우는 완성차나 전장부품 회 사의 요구가 있을 경우에 실시한다. SPFM은 자 동차 전자 시스템의 안전에 직접 영향을 주는 Fault를 검출하는 안전장치가 갖추어야 하는 고 장 검출율 지표이며, LFM은 고장을 검출하기 위 한 안전장치에서 발생하는 고장을 검출하기 위한 고장 검출율 지표이다.
5. 결 론
ISO 26262를 만족하는 전장부품을 개발하기 위해서는 SW와 HW의 Safety Mechanism을 확보 하는 것이 중요하다. 국내에서는 ISO 26262 프로 세스만 다루고 있어 실제 필요한 기능안전 제어
기술인 SW 및 HW의 Safety Mechanism에 대한 연구가 이루어지고 있지 않다. 특히 유럽 및 미국 에서 의무 장착이 법제화된 Airbag, ABS, BAS (Brake Assist System), ESC (Electronics Stability Control) 등은ASIL C, D 레벨에 해당되어 Safety Mechanism을 2개 이상 요구한다. Safety Mechanism 을 확보하는 것은 ISO 26262에서 말하는 State of the Art를 만족하는 것을 말한다.
ISO 26262에 적절하게 대응하기 위해서는 다 음과 같은 두 가지 연구 추진 전략이 필요하다.
첫 번째, ISO 26262를 명확히 알고 있는 SW, HW, 전장부품, 완성차, 반도체 등의 각 분야 산 학연 전문가로 이루어진 연구그룹을 구성하여야 한다.
두 번째, Safety Mechanism을 분석하여 기능안 전 제어 기술을 확보하여 자동차 중심으로 시작 하여 향후에는 기능안전이 요구되는 로봇 및 의 료기기 산업에도 확산할 수 있도록 한다.
State of the Art를 만족하는 ASIL C, D 레벨을 위한 Safety Mechanism 기술이 확보되면 다음과 같은 파급효과를 기대할 수 있다.
산업경제적 측면에서 일본의 경제 산업성에서 는 기능안전 관련 기술의 국산화(반도체, 검증 툴, SW플랫폼 등)로 100조원 규모의 외화 절감 효과를 예상하며, 유럽에서는 기능안전 관련 기 술로 신흥국과의 기술 격차로 인한 기술 경쟁우 위로 유럽국가 예상 이익이 연간 60조원으로 추 정된다. 국내에서는 기능안전 제어기술의 확보로 전장부품의 경쟁력이 향상되면 연간 1조원의 외 화 절감과 연간 10조원의 전장부품 수출 증가가 이루어질 것으로 전망된다.
과학기술적 측면에서는 기능안전 제어 기술을 연구 개발하여 자동차뿐만 아니라, 로봇, 의료기 기, 국방 등의 기능안전이 요구되는 첨단 기술 분 야에 확장해서 응용이 가능하다. 일본에서는 특
히 로봇 분야에 확장을 고려하여 ISO 26262에 대 해서 2010년부터 4년간 400억엔을 지원하기 시 작했다. 차량 반도체에서 ISO 26262의 기술 확보 가 곧 국내 자동차의 전장부품의 경쟁력이라고 말할 수 있다.
참 고 문 헌
[ 1 ] ISO 26262 Part 3:Concept phase, 2011.
11.15.
[ 2 ] ISO 26262 Part 4:Product development at the system level, 2011.11.15.
[ 3 ] ISO 26262 Part 5:Product development at the hardware level, 2011.11.15.
[ 4 ] ISO 26262 Part 6:Product development at the software level. 2011.11.15.
[ 5 ] ISO 26262 Part 9:Automotive Safety Integrity Level(ASIL)-oriented and safety-oriented analyses, 2011.11.15.
[ 6 ] Freescale Technology Forum: Freescale Automotive Microcontroller Road Map, 2011.
08.24.
[ 7 ] Freescale Technology Forum: Functional Safety Design ASIL ECU with Freescale Silicon, 2011.08.24.
[ 8 ] Functional Safety Seminar : TMS570 Workshop, Texas Instruments, 2011.07.04.
[ 9 ] ISO 26262 China Workshop: Road to ASIL-x ECUs, Infineon Technologies, 2011.05.26.
저 자 약 력
채 승 엽
․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․
이메일 : [email protected]
∙ 2002년 영남대학교 컴퓨터공학과 (학사)
∙ 전 삼성전자 근무
∙ 전 일본 JASPAR 멤버
∙ 전 ㈜나비더스 대표
∙ 2012년-현재 인포뱅크(주) 융합기술사업부 부장
∙ 관심분야 : AUTOSAR, ISO 26262, OSEK OS/COM/NM, CAN 통신, Flexray 통신
김 원 종
․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․
이메일 : [email protected]
∙ 1989년 전남대학교 전자공학과 (학사)
∙ 1992년 한양대학교 전자공학과 (석사)
∙ 1999년 한양대학교 전자공학과 (박사)
∙ 2000년~현재 한국전자통신연구원 선임/책임 연구원/
팀장
∙ 관심분야 : VLSI CAD, SoC 설계, 자동차용 반도체, 반도 체 표준화
