자동차 안전통신 시스템과 결론
고신뢰성 전자장치 설계 기술 동향 Ⅳ
  자료출처 : 한국과학기술정보연구원  
국내의 자동차 제어기의 안전 시스템 개발의 현주소를 파악하고, 국외 자동차 산업의 동향을 살펴봄으로서 이론 적인 접근보다는 구체적인 고 신뢰성 제어기 개발에 대한 예를 들어 조사하였다.

국내의 자동차 제어기의 안전 시스템 개발의 현주소를 파악하고, 국외 자동차 산업의 동향을 살펴봄으로서 이론 적인 접근보다는 구체적인 고 신뢰성 제어기 개발에 대한 예를 들어 조사하였다. 본 고의 조사를 통해서 유럽의 자동차 제조사와 부품 공급 업체의 기능안전 시스템의 개발의 동향을 파악함으로서 국내 업체에서도 연구 및 시제품에 안전 대책을 수립하고 적용하는 것에 그치지 않고 적극적으로 양산 적용에 들어갈 수 있게 보다 도전적인 접근을 통해서 국내 메이커에서 생산되는 차량뿐만 아니라 국외의 자동차 제조사에게 자동차 부품 업체로서의 품질 보증 수준을 뛰어 넘어 그들이 규제하는 높은 수준의 안전 등급을 만족하는 부품을 공급하기를 기대한다.


안전 통신 (Safe Communication)  

1) E2E Protection           
자동차 소프트웨어 애플리케이션은 여러 전자 제어 장치에 분산되어 구현되어 있으며 임베디드 네트워크를 통해 ECU간 통신을 통해 데이터를 주고받는다. ECU간에 교환 된 데이터가 중요한데(예를 들어, 차량 속도 또는 조향각), 부정확 한 데이터는 운전자와 자동차 모두에게 위험상황에 빠뜨릴 수 있다. 따라서 특별한 메커니즘이 이러한 잘못된 데이터의 프로세싱을 방지하기 위해 도입될 필요가 있었다. 그들 중 하나가 AUTOSAR에서 표준화 된 E2E (End-to-End) Protection 라이브러리이다.



대부분의 자동차 네트워크는 체크섬을 사용하여 데이터를 보호할 수 있다. 이러한 메커니즘은 ECU 내의 게이트웨이 혹은 소프트웨어 계층에서 오류가 이전에 상기 데이터가 네트워크를 통해 전송된 후에 데이터를 파괴할 수 있기 때문에 애플리케이션 데이터 보호를 위해 적합하다.
End-to-End Protection은 이 경로를 다룬다. E2Elib는 애플리케이션에 직접 허위 누락 된 데이터를 검출하기 위해 추가 체크섬 시퀀스 카운터를 사용한다.

여기서 E2Elib는 AUTOSAR 표준 라이브러리이며, AUTOSAR 소프트웨어 콤포넌트(SW-C)간의 E2E 통신 보호를 구현할 수 있게 해준다. E2E Protection 메커니즘을 사용함으로서 통신 링크간의 오류가 검출될 수 있으며 런타임에서 애플리케이션에 의한 적절한 조치를 취할 수 있다. E2E protection 메커니즘은 ASIL D 등급까지의 통신 요구사항에 적합한 보호 메커니즘이다. E2Elib는 AUTOSAR의 E2E 통신 Protection 아키텍쳐의 하나의 block일 뿐이며, E2Elib는 E2E Protection Wrapper에 의해서 호출이 된다. E2E Protection Wrapper는 콘셉트적으로 SW-C에 속해있으며, E2Elib에 의해서 사용된 데이터 구조를 초기화하거나 통신 상태정보를 가지고 있거나, 또는 통신을 통해 데이터 송·수신을 한다. 또한 E2Elib에 의해서 검출된 에러를 처리하는 기능을 가지고 있다.

2) Automotive Ethernet            
차량 내에서 Ethernet 솔루션의 중요성이 지속적으로 증가하고 있다. 시스템이 차량 네트워크에 속할수록, 더 복잡한 통신 프로세스가 ECU 간에 이루어지게 되고 현재의 차량 내 네트워크는 그 한계에 도달하고 있다. 또한 도메인별로 LIN, CAN, FlexRay 그리고 MOST 등 아주 다양한 자동차 통신 기술들이 차량에 내장되어 있다. 하지만 시스템 복잡도가 점점 더 증가함에 따라 서로 다른 도메인의 네트워크를 넘어 정보를 전송하기 위해 게이트웨이가 등장하게 되어 통신에서도 복잡도가 가중되어 통신 토폴로지를 결정하는 것이 어렵고 결과적으로 개발비와 복잡성을 피할 수 없는 것이 사실이다. 하지만 아직 다행스럽게도 국내 자동차 업계에서는 유럽에 비해 이러한 통신에 대한 복잡도가 높지는 않다. FlexRay는 국내에 도입이 되지 않은 채 사장될 기술이 될 가능성이 높으며, 현재 주로 CAN, LIN 부분적으로 카메라를 이용하는 애플리케이션에 AVB를 사용하기 때문이다. 하지만 CAN의 의존도가 높다보니 대역폭의 문제가 생겨 이를 해결할 당장의 기술은 CAN-FD를 통해 극복하고자 하려는 움직임이 있다. 하지만 미래의 차량용 통신을 예측해본다면 차량 통신 시스템의 이종성을 줄이고 여러 가지 매력적인 특성을 고려한다면 가장 적합한 미래의 차량 통신 프로토콜은 이더넷이라고 할 수 있다.
Ethernet은 기존의 차량 통신 프로토콜의 용량 부족을 극복하고 적어도 CAN 버스보다 백배는 더 빠른 전송 속도를 가진 통신 기술이다. 증가하는 대역폭에 대한 요구사항, 네트워크 제어 시스템의 신뢰성에 대한 측면 그리고 운전자 보조 시스템 혹은 앞으로 다가올 무인자동차와 같은 fail-safe와 fail-operation을 요구하는 애플리케이션에 활용이 가능하다. 이러한 최근 혹은 근미래에 올 Ethernet 요구사항을 만족하기 위해서 Automotive Ethernet은 다음의 3가지 트래픽 클래스가 하나의 네트워크에 통합되어 스펙이 발표되었다. 즉, 하나의 네트워크에 critical 애플리케이션과 non-critical 애플리케이션이 공존해서 사용될 수 있다는 의미이다.

가) Best-Effort/background traffic (IEEE 802.3) 
최선형 네트워크. 최대 노력 서비스 혹은 최선형 서비스라고도 하며, 현재 인터넷은 Dummy network이라 하여 망측은 단순한 구조이며 단말측이 지능적인 역할을 함에 따라 망측에서 IP가 데이터그램의 전송을 위해서 최대의 노력은 하지만, 확실한 전송의 보장은 하지 않는다. 즉, 데이터의 흐름이 많거나 적거나 간에 시간지연이 없도록 하는 등의 신뢰성을 보증하지 않는다. 이와 같이 양단간 사용자에게 네트워크 측에서 보장은 못하지만 최선의 서비스를 제공을 하려는 서비스 모델을 최선 노력 서비스(Best Effort Service) 모델이라고 하는데, 실시간 멀티미디어 서비스 등을 이용하는 사용자에게는 최대 노력형 서비스 모델로는 원하는 고품질 서비스를 줄 수 없다. 따라서 이 클래스는 차량에서 진단 및 ECU 프로그램 다운로드 용도로 사용이 예상된다.

나) Streaming traffic (AVB 1.0/ IEEE 802.1Q) 
Streaming traffic 통신은 rate-constrained 통신이라고도 하며, 네트워크에 미리 정의된 대역폭으로 전송되는 것을 보장한다. 만약, 특정 시점에 time-triggered 통신이 예약돼 있지 않았다면, rate-constrained 통신이 그 곳에 대체될 수 있다. 여기에 할당된 데이터는 보통 특정 시점에 주기적으로 전송되지 않고 필요할 때만 전송된다. 이 트래픽 타입은 이더넷에서 음성과 멀티미디어 전송이 필요한 인포테인먼트와 카메라 애플리케이션에 적합하다. 즉, 약간의 지연시간이 허용되는 오디오와 비디오와 같은 비교적 덜 엄격한 요구 조건의 응용분야에 rate-constrained 통신을 사용할 수 있다.

다) Synchronous traffic (TSN/IEEE802.1Qbv and SAE AS6802)   
SAE 6802 표준에 따라 작동한다. 데이터는 전체 네트워크를 통해 Time-Triggered 방식으로 전송된다. 송신기, 수신기 그리고 모든 콤포넌트들은 미리 정의된 스케줄에 따라 언제 어디로 데이터가 전송되는지 미리 알고 있다. 모두가 동일한 스케줄을 가지고 있기 때문에 송수신 확인은 필요하지 않다. 대역폭이 최적으로 사용된다. 이러한 방식으로, 데이터의 누락을 인식하고, 시스템은 안전한 방식으로 반응 할 수 있다.
이 통신은 일반적으로 장애 시(fail-operational)에도 계속 작동해야 하는 안전 관련 시스템에 사용될 수 있다. ADAS 시스템과 자율주행 차량과 같은 고 가용성, 고 신뢰성을 요구하는 제어 시스템은 반드시 동기 통신을 기반으로 해야 한다.



Ethernet을 자동차 산업에 적용하려는 움직임을 본다면, BMW가 OEM으로서 시장 적용에 가장 적극적이다. BMW는 모든 ECU 공급업체에게 Ethernet 통신 테스트 표준을 정의해서 공급하고 2018년도 이후에 생산되는 차량 모델에 적용할 것이라고 밝혔다.

라) Automotive Ethernet Switch   

Automotive Ethernet 스펙에 따르면 반드시 네트워크 토폴로지가 스위치를 통해 구성되어야 한다. 따라서 반드시 하나의 스위치를 별도로 구성하거나 적어도 하나의 ECU는 스위치 기능을 내장해야만 한다. 현재 차량용 이더넷 스위치는 FPGA를 통해 구현되어 있으나 앞으로 자동차 산업에 양산을 목표로 한다면 차량용 스위치 칩이 개발되어야 한다.
NXP 반도체와 TTTech Automotive는 공동으로 OPEN 얼라이언스 BroadR-ReachⓇ 이더넷 PHY 기술을 지원하는 자동차 이더넷 스위치 솔루션을 개발 중에 있다. 이 스위치 칩은 특히 자동차 시장을 위해 설계되고 뿐만 아니라 각종 산업의 까다로운 실시간 애플리케이션에 적합하게 설계될 예정이다.

마) 물리 계층  
지난 10년 동안, 자동차에 전자 장치의 수가 극적으로 증가함에 따라 In-car 네트워크도 인포테인먼트, 운전자 보조 시스템, 안전 시스템, 종종 높은 대역폭의 사회 기반 교통 및 통신망에 연결하기 위한 준비를 하고 있다. 그리고 차량에 접속하려는 소비자의 요구가 점차 증가함에 따라 자동차 제조사들은 여전히 경쟁력 있고 혁신적이며, 비용을 최소화하기 위한 방안을 모색하고 있다.
자동차의 데이터 통신 효율, 보안 및 높은 대역폭뿐만 아니라 성능대비 가격에 대한 이점을 주기 위해서 2020년까지 15개 혹은 20개 이상의 Automotive Ethernet 포트들이 폭발적으로 증가할 것이라고 보고 있다. 이러한 이유로 OPEN(One-Pair EtherNet) Allicance SIG(Special Interest Group)가 비영리 단체로서 Ethernet 기반 자동차의 커넥티드를 실현하기 위해 설립이 되었고, 커넥티드 카를 위한 커넥티비티 기술로서 single pair Ethernet을 Automotive Ethernet 스펙에 포함시키는 작업을 해왔다. 사실 꾸준하게 오래 전부터 Ethernet을 자동차 산업에 사용하려는 움직임이 있었다. 하지만 Ethernet의 자동차 산업 진입에 가장 큰 걸림돌은 ‘Ethernet의 물리계층을 어떻게 해결할 것인가’이었다.  그 결과 가격과 케이블 문제를 해결할 수 있는 BroadR-ReachⓇ Ethernet 기술이 상용화되었으며 이 기술은 한 쌍의 꼬임쌍선을 이용해서 인포테인먼트 시스템, 온보드 진단, ADAS의 정보에 접근을 가능하게 해준다. 복잡하고 다루기 힘든 차폐 케이블을 제거함으로서 자동차 제조사들은 연결 비용과 케이블 무게를 줄일 수 있게 된다. 그리고 자동차 반도체 시장의 엄격한 요구사항을 충족하도록 설계된 이 기술은 포트당 100Mbps의 고성능 대역폭을 제공할 수 있다.
표 1과 같이 OPEN Allicance에 따르면 One-pair twisted cable은 카메라 등 영상 정보 송수신을 위해 사용되는 LVDS 케이블에 비해서 약 80%까지 비용감소 효과가 있으며 약 30%의 케이블 무게 감소 효과가 있다고 한다.

이 기술을 사용하기 위해서는 그림 5와 같이 기존에 사용하고 있던 MAC 인터페이스는 그대로 두고 PHY만 교체하면 100 Mbps의 Ethernet을 자동차 요구사항에 적합하도록 설계가 가능하다.

앞으로 이 기술을 적용할 수 있는 자동차 내 도메인은 Body control 뿐만 아니라 인포테인먼트는 물론이며 운전자 보조시스템 및 자율주행 차량 등의 실시간 통신프로토콜을 위한 물리 계층이 될 것이다.


개발 플랫폼 

 자율주행 차량과 상호 작동을 해야 하는 운전자 보조 시스템은 기본적으로 굉장히 복잡한 소프트웨어 기술과 개발 프로세스들을 기반으로 한다. 이러한 프로세스들을 개발, 테스트 그리고 검증하는 것은 자율주행차량과 같이 안전에 민감한 시스템을 개발하는데 굉장히 중요한 부분이며, 신뢰성, 유연성, 그리고 얼마나 비용 효율적인 솔루션을 사용하는 지도 중요하다.

ADTF           
ADTF(Automotive Data and Time Triggered Framework)는 Audi가 개발한 ADAS(Advanced Driver Assistance System)의 디자인 설계 및 검증을 하기 위한 프레임워크이다. 시스템 설계자는 이 플랫폼을 이용해서 애플리케이션의 프로토타입을 설계하고 개발 결과를 이 프레임워크를 이용해 미리 검증할 수 있다.
PC 기반에서 설계하고 검증한 애플리케이션을 자동차 ECU를 위해 별도의 포팅 작업을 거치지 않고 바로 쓸 수 있다는 것이 가장 큰 장점이다.

1) EB Assist ADTF  
EB Assist ADTF는 운전자 보조 시스템을 개발, 검증, 시각화 등을 위한 툴이다. 주요 기능은 다음과 같다.
▶ 유연하고, 확장 가능한 프레임워크
▶ 중복 혹은 다른 센서 소스로부터 데이터 캡처와 동기화
▶ 실시간 데이터 플레이백, 데이터 처리, 프로세싱, 랩기반        혹은 시험 차량에서 시각화
▶ 프로토타입에서부터 양산까지 지원
▶ OEM과 부품 공급업체의 쉬운 데이터 교환

2) ilosys Label Editor    
ElektroBit의 ADTF 툴과 마찬가지로 ADTF를 사용하기 위한 소프트웨어이다. Philosys社는 수년간 운전자 보조시스템을 개발하는 부품 공급업체에 ADTF 툴을 개발하기 위한 지원을 해왔고, 앞으로도 자동차 제조사 및 부품 공급업체의 ADTF 툴 사용이 증가함에 따라 ADTF 핵심 콤포넌트를 개발하고 LINUX에 ADTF를 포팅하는 작업도 하고 있다.
Philosys Lable Editor는 ADTF 기반의 비디오 스트림 상에서 물체에 태깅을 추가하고 처리하기 위한 소프트웨어이다.

결론

 중요한 것은 이번 조사를 통해서 해외에서만 사용했고 국내에서는 사용이 전무한 전혀 새로운 개념으로 안전 대책을 세우고 있지는 않다는 것이다. 조사했던 기술들을 살펴보면 국내 여러 분야에서 이미 사용하고 있는 하드웨어 및 소프트웨어 메커니즘들이며, 이러한 기술들의 통합을 통해 실제 구현 적용한다는 점이다. 자동차 산업 특성 상 새로운 최첨단 센서가 바로 적용되기는 힘들며, 새로운 신기술도 오랜 기간을 통해 검증되지 않으면 적용되기 어렵다. 또한 아무리 뛰어난 센서 기술, 그리고 높은 오류 검출 능력 및 외란 회피 기술이 있다고 해도 가격적인 측면에서 유리하지 않으면 적용되기 힘든 것이 자동차 시장이다. 따라서 기존의 저렴하면서도 검증된 기술이 적용되는 것이다.
현재 자동차 시장은 항공우주 시장과는 달리 주로 시스템에 fail-safe를 위한 오류 검출 수준에 이르고 있다. 하지만 향후 자율 주행 자동차 시장이 열리게 된다면 fail-safe 수준으로는 부족하며 fail-operation이 반드시 적용되어야 한다. 그렇다면 특정 센서의 경우 3중화를 통해 majority voter에 의해서 어떠한 경우라도 정확한 센서 값이 수신될 필요가 있으며, 센서 등 부품 가격도 중복화로 인해서 상승할 것으로 보인다.

국내 자동차 OEM   
가. 기능 안전      
국내 자동차 업계는 ISO26262를 도입하고 내제화하기 위해서 많은 교육과 컨설팅을 국내외 업체를 통해서 해왔다. 하지만 대부분 이론을 바탕으로 실체를 경험하지 못하고 있는 것이 지금의 실정이다. 전기 전자 콤포넌트 개발 및 적용 생산 폐기까지 다루는 기능안전 표준을 담당하는 기능 안전을 국내 자동차 메이커는 적극적으로 표준 적용에 대한 전략을 수립하고 부품 업체에게 부품 아이템 별로 정의할 수 있는 ASIL 등급을 내부적인 기준에 따라 정의할 수 있어야 하며, 데이터베이스화해서 등급 평가에 대한 객관적인 자료로 제시할 수 있어야한다. 또한 가능한 모든 발생할 수 있는 failure mode를 정의하여 적절한 safety mechanism 전략을 수립해야하며, 경험이 없거나 안전 메커니즘에 대한 충분한 전략이 없는 부품업체를 위하여 안전 가이드라인을 제공할 수 있는 수준까지 올라가야 한다. 특히, 본 동향 조사를 통하여 해외 OEM과 부품업체는 하드웨어와 소프트웨어의 위험 분석 평가를 통해서 ASIL 등급을 나누고 실제적으로 하드웨어와 소프트웨어의 안전 전략은 어떻게 세워서 구체적으로 구현하는가에 대해서 조사하였다. 이 조사의 결과를 통하여 보다 안전한 전기전자 시스템을 자동차에 적용할 수 있기를 기대한다.

나. 자율주행 차량 
본 고를 통해서 고신뢰성 제어기를 설계하기 위한 배경을 소개하는 과정에서 자율주행 차량에 대한 동향을 소개했다. 미래의 자율주행 차량의 도래는 피할 수 없는 과정이다. 독일 자동차 업계가 최근 가장 적극적으로 공격적인 행보를 보이고 있다. 중요한 것은 각 업체에는 CES 가전쇼나 자동차 국제 박람회를 통해서 밝힌바와 같이 그들만의 자율 주행차량에 대한 비전이 있다는 것이다.
국내 OEM의 자율주행 차량에 대한 미래의 비전은 크게 드러나지 않았다. AUDI의 2020년, Mercedes-Benz의 2030년까지의 계획을 수립하고, 그 첫 단계가 운전자 보조 시스템(ADAS) 을 통합하고 시스템을 자율주행 기능으로 확대하는 방향으로 가고 있으며, 더불어 관련 법 개정에도 적극적인 모습을 보이고 있다. 하지만 국내 업체의 접근은 항상 더디기만 하다. 이러한 자율주행에 대한 경향이 반드시 장밋빛이라고는 보지 않는다. 일부에서는 회의적인 시각으로 보는 곳도 있다. 하지만 이러한 도전은 자동차 그 자체의 안전을 향상시킬 수 있을 뿐만 아니라 궁극적으로 운전자와 보행자 모두의 안전을 위하는 길이라는 점에서 국내 업체도 자동차 메이커뿐만 아니라 부품 공급업체도 국내외 관련 연구기관이나 대학 그리고 해외 전문 업체와 연계해서 보다 안전한 자동차를 만들 수 있는 기반을 마련하는 것이 시급하고, 미래에 다가올 자동차에 대한 비전을 제시할 수 있어야 하겠다.

국내 자동차 부품 업계      
본 동향 조사를 통하여 국내 자동차 부품 업계는 국외 자동차 부품회사와 협력을 통하여 기술을 도입하거나 부품을 그대로 들여와 공급하는 수준을 벗어나 자생 능력을 키울 수 있는 기반이 될 수 있을 것이다.
자동차 제조사가 기능 안전에 대한 평가와 인증을 주도해야한다면, 자동차 부품 업계는 실제 생산해야하는 아이템에 대한 구체적인 리스크 분석 및 안전 대책을 세워야만 한다. 국외 OEM은 이미 이에 대한 규제를 시작하였고 국내 OEM도 더욱 더 안전에 대한 규제를 점점 더 강화할 것으로 보인다.                      
 
<저작권자(c)SG미디어. 무단전재-재배포금지>