03. 기능안전(Functional Safety)의 개념

'기능안전'은 누군가는 지겹도록 많이 듣는 용어일 수도 있겠지만, 대다수에겐 낯선 개념일 수 있다.

 

​

산업이 발전하면서, 우리가 잘 알고있는 '안전(Safety)'이라는 개념이 생겼다.

그리고 산업분야에서 이 개념을 좀 더 구체적으로 적용하기위해,

ISO(국제표준기구)와 IEC(국제전기기술위원회)에서 '안전규격'이란 걸 만들기 시작했다.

​

'기능안전(Functional Safety)'의 근원은 이 ISO/IEC 안전규격에서 부터 시작된다.

​

 

1990년대, 산업에는 소프트웨어가 탑재된 전기전자 제품이 쏟아지기 시작한다.

그리고 기존의 안전규격으로는 전기전자 시스템 및 제품 관리에 한계를 느끼게되었다.

이에 이전과는 다른 새로운 개념의 안전규격 즉 '기능안전'이 탄생하게 되고,

이를 규격화 시킨것이 IEC 61508 이다.

​

포괄적 성격의 IEC 61508을 기반으로 각 산업에 맞도록 여러 상세 규격들 또한 파생되었는데,

자동차 업계에서는 ISO 26262라는 기능안전규격이 탄생했다.

​

​

 

오늘은 자동차 업계에서 다루는 기능안전의 개념, 즉 ISO26262에 대해 알아보고자 한다.

​

 

자동차가 더이상 기계공학만의 영역이 아닌 여러개의 컴퓨터들이 모여 통신을 하는 하나의 큰 네트워크 개념으로 변모되면서,

2007년 자동차 업계는 자동차 개발에 국한된 기능안전 규격의 필요성을 느끼고 논의를 시작한다.

그리고 2011년, 드디어 IEC 61508을 자동차의 전기전자 시스템에 적용한 기능안전 표준이 발표되는데 이것이 바로 iso26262이다.

​

​

그렇다면,

기능안전은 일반적인 안전의 개념과는 무엇이 다른걸까?

​

 

전기자동차 충전제어설계를 예로 두 차이점을 짚어보자.

우선 전기자동차 충전은 어떻게 제어하는가.

충전기가 꽂히면 충전을 시작하고, 그리고 그냥 전류를 무작정 계속 유입시키면 되는걸까?

​

아니다. 전력이 충전되는 배터리팩에는 허용전압이란 것이 존재한다.

​

예를들어,

최대허용전압이 500V인 배터리팩을 무작정 600V, 700V, 그 이상이 되도록 충전하게되면

배터리팩이 이를 견디지 못하고 발화될 수 있는 '안전'상의 문제가 발생한다.

이는 우리가 사용하는 휴대폰의 배터리도 마찬가지다.

 

따라서, 충전중 배터리팩이 최대전압인 500V에 인접하게되면

전류가 유입되는 길목에 존재하는 Switch(Relay라고 부름)를 OFF시켜 전류유입을 막는 제어 설계가 필요하다.

​

이것이 '안전' 설계의 개념이다.

​

​

그렇다면 '기능안전' 설계는 무엇을 고려하는 걸까?

조금전에 충전중 배터리팩이 500V에 인접하면 Relay를 OFF시킨다고 했다.

그런데 Relay가 OFF되야하는 시점이 되었음에도 이 녀석이 정신을 못차리고 계속 ON상태를 유지한다면 어떻게 될까?

이렇게 설계의도와 다르게 펼쳐지는 '기능상의 문제' 때문에 배터리팩 발화등의 안전문제가 다시금 발생할 수 있겠다.

​

이와같이 설계한 기능이 정확히(정상적으로) 동작하지 않는 경우를 고려하는 것이 '기능안전' 이다.

그리고, 이런상황에 대비하여 추가적인 설계를 하는것이 기능안전설계라고 할 수 있겠다.

​

 

조금전의 상황을 차량의 기능안전 측면에서 대비한다면 어떤 설계가 가능할까?

 

Relay가 정확한 시점에 OFF되지않고 ON에서 Stuck되어버리는 경우를 대비하여,

전기적으로 같은 Path상에 Relay를 추가로 달아 control하는것도 하나의 방법이 되겠다.

그래서 기존 Relay동작에 문제가 생기더라도 추가로 배치한 Relay를 OFF시켜 충전을 차단할 수 있다.

 

실제로 전기자동차 설계시,

배터리팩내에 Main Relay를 배치함과 동시에 완속충전 Path 및 급속충전 path에도 추가 Relay를 배치한다.

​

이렇게 동일한 기능을 중복되게 설계하는 것(Redundant Design)은 기능안전설계에 Key point가 되는 개념이다.

그러나!

무작정 중복설계를 할 경우 제품의 Volume및 Cost가 상승하게 되니,

이는 전략적으로 잘 고민해봐야 한다.

​

​

그럼 기능안전설계를 마친후에는 iso26262 인증을 받아야 하는걸까?

많은 사람들이 헷갈려하는 개념인데, iso26262는 별도 인증제도가 없다.

​

유럽의 인증기관(TUV, SGS, DNV등)에서는 자체적인 iso26262 인증서(Certificate)를 발행하는 경우가 있다.

이런 인증서를 받는것이 iso26262 요구사항을 이행하고 만족했다는 하나의 좋은 지표가 될 수는 있겠지만,

인증서를 받는것이 절대로 강제사항은 아니다.

​

추가로,

iso26262 요구사항을 준수하는 과정에서 발생하는 '산출물'들은 이후 혹시 제품결함으로 안전사고가 발생할 경우

제조물책임법(Product Liability)의 면책을 위한 아주 중요한 근거가 된다.

이 때문에 자동차제조사(OEM)들은 부품 공급업체에 iso26262 준수를 요구하며,

공급사는 이에 해당하는 기능안전 산출물(Report & Evidence)을 제출해야 한다.

​

 

다음 포스팅에서는 구체적인 기능안전 요구사항 수행과정에 대해 살펴보고자 한다.