ISO26262 - Power Supply 의 Failure Mode 정리

1. Introduction

오늘은 차량 E/E 시스템 하드웨어 구성 요소 중 “Power Supply”와 밀접하게 관련된 Failure Mode를 정리해보려 합니다.

 

자동차 기능안전 표준인 ISO 26262에서는 시스템 수준의 안정성과 안전 목표 달성을 위해 각 하드웨어 요소가 어떻게 동작하고, 또 어떤 고장(Failure Mode)이 발생할 수 있는지를 체계적으로 분석해야 합니다.
여기서는 MCU(마이크로컨트롤러)에 포함될 수 있는 전원공급(Power Supply) 요소를 중심으로, 일반적으로 고려할 수 있는 Failure Mode를 예시와 함께 개조식으로 설명드리겠습니다.

 

2. Overview - MCU Component

 

 

위의 그림(예시)과 같이 MCU에는 여러 인프라스트럭처 요소가 있습니다. 이 중 EVR(Embedded Voltage Regulator) 는 외부 전원(배터리, 차량 점화 전원 등)으로부터 들어오는 높은 전압이나 범용 전압을 MCU 내부에서 사용 가능한 특정 전압 수준으로 조절해 줍니다.

• EVR (Embedded Voltage Regulator)
  • 기능: MCU 내부 하드웨어 요소에 필요한 전압 공급
  • 상호작용 요소: “External Power Supply”와 직접 연결됨
  • 주요 관련 Failure Mode:
    • Over Voltage(OV)
    • Under Voltage(UV)
    • 스파이크(Spikes)에 의한 출력 전압 변동
    • 부정확하거나 불안정한 출력(Drift, Overshoot 등)

이 글에서 정리할 내용은 EVR과 함께, 일반적으로 ‘전원 공급(Power Supply)’으로 분류되는 다양한 하드웨어 파트를 대상으로 합니다.

 

3. Power Supply Failure Mode 목록

여기서는 주로 Regulators & Power stages, Generic 아날로그 요소 등으로 나누어 설명합니다. 실제로는 프로젝트마다 요구사항과 안전 분석 결과에 따라 다소 차이가 있지만, 아래 Failure Mode는 “일반적으로 고려할 수 있는 사항”으로 이해하시면 됩니다.

3.1 Regulators and Power stages

• H/W Part: Voltage regulators (선형, SMPS 등)
  • 기능: 전원 입력을 적절한 전압으로 변환하여 부하(또는 MCU 내부 요소)에서 허용할 수 있는 전압 범위 내로 유지
  • 대표적인 Failure Mode:
    1. 출력 전압이 규정 범위의 상한 이상 (Over Voltage, OV)
       • 예) 자동차 배터리 과충전이나(알터네이터 이상 등) 레귤레이터 내부 단락으로 인하여 5V가 넘어가 MCU나 주변 센서가 손상.
    2. 출력 전압이 규정 범위의 하한 이하 (Under Voltage, UV)
       • 예) 차량 시동 시 낮은 전압(Cold Crank) 상황에 레귤레이터가 적절히 상승하지 못해 ECU가 재부팅 또는 오동작.
    3. 출력 전압이 순간 스파이크(Spike)에 의해 영향을 받음
       • 예) 전원 공급선에 ESD/EFT 등이 유입되어 짧은 시간에 고전압 노이즈가 발생.
    4. 시동(Start-up) 시간이 사양 범위를 벗어남
       • 예) 레귤레이터가 너무 천천히 기동되어 MCU가 정상 구동 시점을 놓치거나, 반대로 너무 빨라 MCU 초기화가 불완전.
    5. 출력 전압 정밀도 부족(Drift, Offset 등)
       • 예) 온도 변화, 노화로 인해 5V가 4.8V나 5.2V처럼 계속 벗어나는 경우.
    6. 출력 전압이 범위 내에서 진동(Oscillation) 발생
       • 예) 부적절한 배선 레이아웃이나 레귤레이터 피드백 루프 안정성 문제.
    7. 출력 전압이 빠른 진동(Oscillation)이나 잡음(Noise)에 의해 영향을 받되, 평균값은 범위 내
       • 예) 고속 스위칭 전원의 스위칭 노이즈가 필터링 미흡으로 출력 전압에 혼합.
    8. 레귤레이터 내부에서 소모되는 정지전류(Quiescent Current)가 초과
       • 예) 차량 Key-Off 상태에서 배터리 방전 현상 심화.
• H/W Part: Charge pump, regulator boost
  • 기능: 스위칭과 에너지 스토리지를 통해 전압을 승압하거나 유지
  • 대표적인 Failure Mode:
    • Over Voltage, Under Voltage, 스파이크, Start-up 이상, 정지전류 초과 등
    • (Voltage regulator와 유사함)
• H/W Part: High-side/Low-side(HS/LS) driver
  • 기능: 단일 방향으로 부하에 전압 인가 (High-side → 부하, or Low-side → 부하)
  • 대표적인 Failure Mode:
    • 드라이버가 항상 ON/OFF에 걸림(Stuck)
      • 예) High-side가 항상 켜져서 모터나 램프가 계속 동작.
    • 드라이버가 오픈(Floating) 상태
      • 예) 커넥션 단선으로 인해 구동되지 않음.
    • 드라이버의 ON 저항이 너무 높거나, OFF 저항이 너무 낮음
      • 예) 스위칭이 완전하지 않아 발열·전압강하 증가.
    • 턴온/턴오프 속도가 규정보다 너무 빠르거나 느림
      • 예) 느린 스위칭은 효율 저하, 빠른 스위칭은 EMI 증가 가능성.
• H/W Part: Half-bridge 또는 Full-bridge(H-bridge) driver
  • 기능: 양방향 전압 인가 (예: 모터 구동)
  • 대표적인 Failure Mode:
    • HS/LS 드라이버의 Stuck, Floating, ON 저항/ OFF 저항 이상
    • ‘Dead time’이 너무 짧거나 길어 Shoot-through 혹은 제어 오차 유발

---

3.2 Generic 아날로그 요소(Operational Amplifier, Analog Switch 등)

Power Supply와 직접적으로 연결되진 않더라도, 전압·전류를 처리하기에 전원 조건이 제대로 안 맞으면 기능안전 측면에서 문제가 커질 수 있습니다.

• Operational amplifier(연산증폭기) & Buffer
  • 기능: 차등 입력, 단일 종단 출력
  • Failure Mode 예시:
    • 출력이 항상 HIGH/LOW로 Stuck, Floating
    • 이득(Gain), 오프셋(Offset) 오류 (예: 기준전압이 변해서 센서 출력을 잘못 앰프)
    • 출력 전압 다이나믹 범위 또는 입력 범위 이탈
    • 출력 전압이 드리프트, 스파이크, 진동 발생
• Analog Switch / Analog Multiplexer
  • 기능: 디지털 제어 신호로 아날로그 신호를 라우팅/스위칭
  • Failure Mode 예시:
    • 출력이 Stuck/Floating
    • 채널 선택 오류로 잘못된 신호가 출력
    • 스파이크나 누설전류(Crosstalk)에 의한 신호 간섭
    • 출력 신호의 감쇠/오프셋 등
• Voltage/Current comparator
  • 기능: 아날로그 신호와 임계값 비교, 디지털 출력
  • Failure Mode 예시:
    • 트리거가 안 걸려야 할 때 걸리거나, 걸려야 할 때 안 걸림
    • 출력이 Stuck/Floating
    • 출력 신호 진동(Oscillation)
• Sample & hold
  • 기능: 아날로그 신호를 일정 기간 그대로 유지
  • Failure Mode 예시:
    • 출력 Stuck/Floating
    • 샘플링 시간 부족으로 인한 이득/오프셋 에러
    • 출력 동적 범위 문제, 드리프트, 스파이크
• Voltage references
  • 기능: 외부 조건(온도, 압력, 습도 등)에 무관하게 일정한 기준전압 생성
  • Failure Mode 예시:
    • 출력이 Stuck/Floating
    • 기준전압이 범위를 벗어남 (오프셋, 드리프트)
    • 시작 시간(Start-up)이 사양을 벗어남
• Passive network(RC 필터 등)
  • 기능: 저역통과(Filtering) 등
  • Failure Mode 예시:
    • 출력 Stuck/Floating
    • 공차 문제(저항, 커패시터 값 오류)로 인한 필터 특성 변형
    • 예기치 않은 발진(Oscillation), 스파이크
• Current source(기준/바이어스 전류 발생 회로)
  • 기능: 전압과 관계없이 일정 전류를 공급 또는 흡수
  • Failure Mode 예시:
    • 출력 Stuck/Floating
    • 기준 전류 범위를 벗어남(드리프트, 스파이크)
    • 분기(branch) 전류 편차로 인해 다른 회로 동작 이상

 

4. 실제 예시와 고려사항

프로젝트 현장에서 가장 많이 겪는 예시를 두 가지 들어보겠습니다:

1. 엔진 컨트롤 유닛(ECU) 전원 강하(Under Voltage) 사례
   • 시동 직후(Cold Crank) 상황에서 전압이 크게 떨어져 레귤레이터가 정상 동작 범위를 벗어남.
   • MCU가 재부팅(loop reset)을 반복하거나 DMA가 오동작.
   • ISO 26262 관점에서는 운전자 제어 불능 상태가 될 수 있어, 추가적인 전원 보강(슈퍼 커패시터, 더 낮은 UV 임계점 등)이 고려됨.
2. ADAS 센서 모듈에서의 레귤레이터 노이즈(Spike) 사례
   • 카메라/레이더 센서용 레귤레이터가 차량 전장 노이즈(EMC 환경)로 인해 순간 스파이크를 출력.
   • 센서 출력이 오차가 누적되거나, 컴퍼레이터가 잘못 트리거되어 오경보 발생.
   • 대처방안: EMI 필터, 선형 레귤레이터 추가, 회로 레이아웃 최적화 등.

이처럼 시스템 레벨 안전 요구사항(예: ASIL B, C, D)에 따라 전원 레벨에서의 작은 이상도 최종 안전 목표를 위배할 수 있으므로, 전체 E/E 아키텍처와 연계하여 Failure Mode를 도출·분석해야 합니다.

 

5. 정리 및 마무리

• 위에서 정리한 Power Supply Failure Mode들은 ‘일반적으로’ 고려 가능한 목록입니다.
• 특정 프로젝트에서 실제로 이 목록을 활용할 때는, 프로젝트 기능·안전 요구사항이나 실제 회로 설계, 아키텍처 등을 반영하여 추가하거나 제거할 수 있습니다.
• 만약 제거해야 할 Failure Mode가 존재한다면, 왜 안전 관련 영향이 없다고 판단했는지를 안전 분석 결과(예: FMEA, FMEDA 등)로 입증해야 할 수 있습니다.

Tip: “어떤 Failure Mode가 실제 시스템에서 안전에 직접적인 영향을 미치지 않는지”에 대한 논리는, 고객(혹은 인증 기관)과의 소통에서 매우 중요합니다. 가능하다면 FTA(Fault Tree Analysis)나 FMEDA 등 공식적인 분석 기법을 통해 근거를 제시하는 것이 좋습니다.