[ISO 26262 4강(실무)] 하드웨어 안전 아키텍처 설계

---

Title: ISO 26262 중급 강좌 4강 – 하드웨어 안전 아키텍처 설계
Description: ISO 26262 중급 강좌 4강에서는 하드웨어 안전 아키텍처 설계를 중심으로 고장 모드와 고장 전파(Failure Propagation)를 이해하고, Redundancy·Fault Tolerance·Safe State를 실무적으로 설계하는 방법을 다룹니다.
Keywords: ISO 26262, 하드웨어 안전 아키텍처, Failure Propagation, Redundancy, Fault Tolerance, Safe State

---

🧩 ISO 26262 중급 강좌 4강

하드웨어 안전 아키텍처 설계

기능 안전에서 하드웨어 아키텍처 설계는 단순한 회로 구성 문제가 아니라,
고장이 어떻게 발생하고 어디까지 전파되는지를 예측하고 제어하는 과정입니다.
이번 강의에서는 ISO 26262:2018 기준으로 고장 전파(Failure Propagation) 개념을 이해하고,
Redundancy, Fault Tolerance, Safe State를 실제 설계 관점에서 적용하는 방법을 살펴봅니다. ⚙️

---

1. 고장 모드와 고장 전파(Failure Propagation) 이해 🔍

하드웨어 고장은 단일 부품에서 끝나지 않고 시스템 전체로 전파될 수 있습니다.
이를 Failure Propagation이라고 하며, 안전 아키텍처 설계의 핵심 고려 요소입니다.

예를 들어 전원 IC 고장이 발생하면,

• MCU 리셋 → 제어 로직 중단
• 센서 전원 차단 → 잘못된 입력 값 발생
• 액추에이터 오동작 → 위험 상황 유발

과 같은 연쇄 반응이 발생할 수 있습니다.
따라서 하드웨어 설계 단계에서 고장 경로(Failure Path)를 명확히 정의해야 합니다.

 

👉 핵심 포인트: 고장은 “발생 원인”보다 “전파 경로”를 기준으로 분석해야 합니다.
      (출처: ISO 26262-5:2018, Clause 6 – Hardware architectural design)

---

2. 하드웨어 안전 아키텍처의 기본 구성 🧱

ISO 26262에서는 하드웨어 아키텍처 설계 시 다음 요소를 중점적으로 다룹니다.

• 단일 고장(Single Point Fault) 제거 여부
• 잠재 고장(Latent Fault) 검출 가능성
• 고장 발생 시 안전 상태(Safe State)로의 전환

이를 위해 설계자는 ECU를 단순 회로가 아닌 안전 구조물로 바라봐야 합니다.

일반적인 안전 아키텍처 예시는 다음과 같습니다.

• 전원 이중화 (Main + Backup)
• 듀얼 센서 입력 구조
• 독립된 모니터 MCU 또는 Watchdog

📌 실무 팁: ASIL C/D 시스템에서는 “정상 동작”보다
                   “고장 시 어떻게 멈출 것인가”가 더 중요합니다.

---

3. Redundancy와 Fault Tolerance 설계 ⚡

Redundancy(이중화)는 동일 기능을 수행하는 하드웨어를 복수로 구성하여
단일 고장으로 인한 위험을 방지하는 기법입니다.

대표적인 방식은 다음과 같습니다.

• Hot Redundancy: 두 채널이 동시에 동작
• Cold Redundancy: 고장 발생 시 대기 채널 활성화

Fault Tolerance는 고장이 발생하더라도
시스템이 일정 수준의 기능을 유지하도록 하는 개념입니다.

예:
브레이크 ECU에서 하나의 센서 고장 발생 → 잔여 센서 기반으로 제동력 50% 유지

 

👉 중요: Redundancy는 비용과 복잡도를 증가시키므로,
               ASIL 수준에 따라 필요 최소 수준으로 설계해야 합니다.

---

4. Safe State 설계 개념 🛑

Safe State란 고장 발생 시 시스템이 진입해야 할 안전한 상태를 의미합니다.
모든 시스템이 “완전 정지”를 의미하는 것은 아닙니다.

• 브레이크 시스템: 잔여 제동력 유지 상태
• 조향 시스템: 조향 보조 해제 + 운전자 직접 제어
• 파워트레인: 출력 제한 모드(Limp Home)

Safe State는 반드시 Safety Goal 및 TSR과 연결되어야 하며,
하드웨어적으로 이를 구현할 수 있어야 합니다.

 

📚 출처: ISO 26262-4/5:2018 – Safe State 정의

---

5. 실습 예제 🧑‍💻

하드웨어 아키텍처 모델링 실습

목표: ECU 블록 다이어그램을 작성하고
Redundancy / Fail-safe 설계 포인트를 표시합니다.

 

실습 단계:

1. ECU 주요 블록 식별 (Power, MCU, Sensor IF, Actuator IF)
2. 고장 발생 가능한 부품 표시
3. 고장 전파 경로 화살표로 표현
4. Redundancy 및 Safe State 포인트 표시

체크리스트:

• 전원 및 클럭 단일 고장 제거 여부
• 센서/액추에이터 고장 전파 차단 여부
• Safe State 진입 조건 명확화
• ASIL 수준과 아키텍처 복잡도 정합성

👉 추천 도구: PREEvision, Enterprise Architect, Draw.io

---

6. OEM / Tier1 / Tier2 관점 정리 📊

• OEM: 차량 전체 관점에서 하드웨어 아키텍처 안전 개념 승인
• Tier1: ECU 단위 아키텍처 설계 및 고장 전파 분석 주도
• Tier2: 반도체·전원 IC·센서 단위 고장 정보(FMEDA 입력) 제공

👉 정리: OEM은 방향을 정의하고,
               Tier1은 구조를 설계하며,
               Tier2는 신뢰성 데이터를 책임집니다.

---

핵심 정리 📝

• 하드웨어 안전 아키텍처는 고장 전파(Failure Propagation) 관점에서 설계해야 합니다.
• Redundancy, Fault Tolerance, Safe State는 ASIL 수준에 맞게 적용해야 합니다.
• 단일 고장 제거와 잠재 고장 검출은 ISO 26262 하드웨어 설계의 핵심입니다.
• OEM / Tier1 / Tier2 간 역할 분담이 명확할수록 안전 설계 품질이 향상됩니다.

---

👉 다음 강의 예고: 소프트웨어 안전 아키텍처 설계