실시간 뉴스



[정구민] 도요타 급발진은 왜 일어났나 ?


도요타 급발진 사례로 보는 차량용 플랫폼 변혁

2009년부터 4~5년을 끌어온 도요타 급발진 사태는 차량 전장 시스템 설계에도 많은 변화를 가져 왔다.

미국 법원이 인정한 도요타 급발진 사태의 핵심은 1비트의 메모리 에러 (Single Bit Flip That Killed)에 있다. 매우 드문 경우이기는 하지만 비정상적으로 메모리 값이 순간적으로 1에서 0으로 바뀌거나, 0에서 1로 바뀌는 경우에 전체 시스템의 안정성에 영향을 미칠 수 있다는 분석이다.

도요타에 맞서 운전자 편에서 소송을 이끌어 온 바(Barr) 그룹은 이러한 1비트의 값 변화가 급발진의 원인이 될 수 있음을 보였고, 미국 법원은 이를 받아들였다.

바그룹의 분석에 따르면 도요타 소프트웨어에서는 특정 메모리 값이 바뀌게 될 경우 가속 페달을 관리하는 소프트웨어가 비정상적으로 종료될 수 있다. 이러한 상황에서 엔진에 연료를 분사하는 연료 분사 밸브(쓰로틀 밸브)의 이상 동작을 유발해 급발진이 일어나게 된다.

◆도요타 급발진 차량에는 없었거나 부족한 기능들

차량용 메모리에는 ECC (Error Correction Code) 회로를 통해 메모리 에러를 감지할 필요가 있다. 메모리 에러가 일어났을 경우에 만약 ECC 회로가 있었다면, 에러를 복구하거나 에러를 검출하는 것이 가능하다. 하지만 바그룹은 도요타 차량의 경우에 이러한 회로가 없었다는 것을 밝혀냈다.

또한 자동차 소프트웨어에서는 주요 소프트웨어의 동작에 대한 감시 기능이 중요하다. 따라서 가속 페달 관리 소프트웨어의 비정상 종료 시에는 감시 기능을 통해서 이상을 감지해 낼 수 있어야 한다.

하지만 도요타 소프트웨어에서는 가속 페달 관리 소프트웨어의 동작 여부를 진단해야 하는 감시 소프트웨어가 제대로 설계되지 않아서, 정상적으로 동작하지 않는다는 것도 바그룹이 밝힌 중요한 원인이다.

◆최신 개발 방법론에서의 에러 최소화

현재 적용되는 최신 차량 제어 시스템 개발 방법론에서는 이러한 에러를 최소화하고 감시 기능을 강화하여 에러의 발생 확률을 줄이고 있다.

차량용 마이크로컨트롤러에 대해서 ISO 26262는 메모리에 ECC 회로를 장착하는 것을 권장하고 있다. 또한 주프로세서에는 보조프로세서가 달려 있어서 결과 값을 한 번 더 체크하여 에러 발생 확률을 줄이게 된다.

대표적인 예로 ISO 26262와 오토사를 지원하는 대표적인 마이컴인 인피니언의 오릭스 칩셋은 모든 메모리에 ECC 회로를 장착하고 있으며, 주프로세서의 동작은 보조프로세서가 한번 더 체크하도록 되어있다.

이외에도 센서 데이터 값은 삼중 투표 방식을 도입하고 있다. 센서 데이터의 에러를 고려해 3개의 센서 값 중에서 2개 이상이 같았을 때 그 값을 선택하는 방식이다.

소프트웨어 면에서는 메모리 영역의 보호와 감시 기능이 대폭 강화되어 있다. 오토사의 메모리 보호 기능에서는 각 소프트웨어 간의 메모리 영역을 별도로 설정하고, 각 소프트웨어 간의 간섭을 없애도록 하고 있다. 각 소프트웨어에 대한 감시(Watchdog) 기능도 대폭 강화되어, 각 소프트웨어의 동작 여부뿐만 아니라 정해진 순서대로 소프트웨어가 정상 동작했는지 까지 체크할 수 있다. 대부분의 소프트웨어는 자동생성 되기 때문에 소프트웨어 작성 시에 일어날 수 있는 문제점도 최소화하고 있다.

또한 ISO 26262의 기능 안전성 면에서는 FMEA(Failure Mode Effects Analysis, 고장 형태 영향 분석)을 통해 발생 가능한 에러를 개발 단계에서 체크하고, 발생확률을 최소화하도록 하고 있다.

이와 같이 최신 차량용 마이크로 컨트롤러-차량 제어용 소프트웨어 플랫폼 오토사-기능 안전성 ISO 26262 표준을 모두 적용하게 되면, 이상 동작의 확률을 최소화할 수 있다.

◆차량용 플랫폼 변혁과 미래에 대한 대비

도요타 급발진 사례에서 제기된 문제점들은 대부분 오토사와 ISO 26262로 최소화 될 수 있다. 도요타 사태는 전세계적으로 오토사와 ISO 26262가 확산되는 데에 큰 공헌을 했다고 평가된다.

주요 자동차사와 부품사를 중심으로 오토사와 ISO 26262가 가져 올 차량용 플랫폼 변혁이 시작되고 있다. 우리나라 관련 업체에서도 오토사 플랫폼과 ISO 26262에 대한 대비가 시급히 요구되는 상황이다.

모쪼록 관련 부처-업계-학계-연구 기관의 개발 협력과 인력 양성을 통해서, 미래 자동차 플랫폼 변화에 대비할 수 있기를 기대한다.

정구민

정구민 국민대 전자공학부 교수(http://smart.kookmin.ac.kr)는 솔루션 전문기업 네오엠텔 기반기술팀, SK텔레콤 터미널 개발팀 등에서 근무하면서 업계와 학계를 두루 거친 전문가다. 현재 한국자동차공학회 이사, 한국멀티미디어 학회 이사, 대한전기학회 정보 및 제어부문회 이사, 한국정보전자통신기술학회 이사를 맡고있다.







alert

댓글 쓰기 제목 [정구민] 도요타 급발진은 왜 일어났나 ?

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스