ISO26262 - Sensor 의 Failure Mode 정리 및 예시

 

1. Introduction

 

이번 포스팅에서는 자동차 E/E 시스템에서 핵심적인 역할을 하는 Sensor와, 그중에서도 특히 Transducer(변환기)의 Failure Mode를 정리해보겠습니다.
ISO 26262 표준에 따르면, 안전 요구사항(Functional/Technical Safety Requirement)을 만족하기 위해서는 센서의 내부 구성 요소—예를 들어 Transducer, Amplifier, Microcontroller 등의 모든 부분에서 어떤 고장이 일어날 수 있고, 그 고장이 시스템에 어떤 영향을 끼치는지를 파악해야 합니다.

이 글에서는 Transducer의 전기적 특징에 따른 Failure Mode에 집중하되, 아래 기술 할 Failure Mode는 어디까지나 “일반적으로 고려 가능한 사례”라는 점을 기억해 주시면 감사하겠습니다. 프로젝트 및 제품 별로 실제 요구사항에 따라 조정(추가/삭제)될 수 있습니다.

 

2. Sensor 개요

2.1 Sensor 의 기본 구조

 

일반적으로 센서는 다음과 같은 요소로 구성됩니다.

• Transducer(변환기): 외부 물리량(가속도, 압력, 온도 등)을 전기적 신호로 변환
• Supporting circuitry: Transducer가 출력하는 신호를 사용자가 필요로 하는 형식(아날로그, 디지털 등)으로 조절·보정·변환하는 전자회로
  • 예) DC bias, Filter, Amplifier, Offset 보상, A/D 컨버터, 마이크로컨트롤러 등

2.2 Sensor IC & 주변 요소

• 센서 IC 내부: Transducer 와 증폭기(아날로그), 디지털 신호 처리(Microcontroller, DSP 등)가 통합된 형태
• 외부 부품: 센서 동작에 필요한 저항(R), 커패시터(C) 등
• 커넥터: E/E 시스템과 물리적 인터페이스(배선 harness)

 

3. Transducer(변환기) Failure Mode

여기에서는 Transducer가 가진 전기적 특성과 관련된 대표적인 Failure Mode를 살펴보겠습니다.
(디지털/아날로그 회로에 대한 Failure Mode는 “E/E System Failure Mode” 범주로 커버 가능하며, 필요 시 별도의 참고 글을 확인하시면 됩니다.)

3.1 Technical Spec. : Offset

1. Offset outside of specified range
   • 설명: 센서가 입력 물리량이 ‘0’일 때, 이상적으로는 0V나 0단위(출력)여야 하지만 실제 측정값에 편차(오프셋)가 발생
   • 예시: 압력 센서에서 대기압(0게이지)을 측정해도 0점이 아니고 ±값으로 편차가 크게 나타남
2. Offset error over temperature
   • 설명: 온도 변화에 따라 오프셋이 사양 범위를 벗어나서 변화
   • 예시: 혹한(-40℃) 또는 혹서(+85℃) 환경에서 센서 출력의 영점(Offset)이 크게 달라짐 → 차량의 실제 압력이 잘못 판단될 수 있음
3. Offset Drift (시간 경과)
   • 설명: 장시간 운용(수천 시간 이상) 시 센서 영점이 조금씩 변화
   • 예시: 서서히 오프셋이 증가하여, 주행 중 오랜 시간 뒤에는 측정값이 실제값과 크게 차이

 

3.2 Technical Spec. : Dynamic Range

1. Out of range
   • 설명: 변환기가 지정된 최대·최소 범위를 벗어난 출력을 내거나, 정해진 범위 안에서 응답하지 못함
   • 예시: 가속도 센서가 ±2g 범위여야 하는데, 더 큰 진동(±5g 등)이 들어오면 출력이 포화(Saturation)되어 제대로 측정 불가능

 

3.3 Technical Spec. : Sensitivity (Gain)

1. Stuck at
   • 설명: 기계적·전기적 고장(예: 물리적 파편, 내부 단락 등)으로 인해 감도가 완전히 0이 되거나 고정됨
   • 예시: 압력 센서에서 디아프램(진동판)이 고정되어 더 이상 움직이지 않아 항상 같은 값만 출력
2. Nonparametric sensitivity
   • 설명: 센서 출력이 이론적/사양상 기대되는 선형 관계에서 벗어나며, 비연속적 또는 클리핑(출력 제한) 등의 현상이 발생
   • 예시: 특정 범위에서는 정상 측정, 특정 지점부터는 전혀 다른 값을 불연속적으로 출력(그래프가 꺾여 나감)
3. Noise, poor repeatability
   • 설명: 내부 잡음이나 주변 EMI/EMC 환경 등으로 인해 측정값이 계속 흔들리거나 반복성이 떨어짐
   • 예시: 울퉁불퉁한 도로 주행 시, 휠 속도 센서 신호에 불필요한 노이즈가 첨가되어 ABS/ESC 제어 로직이 혼동
4. Sensitivity error over temperature
   • 설명: 온도 변화에 따라 출력 스케일(게인)이 지정된 한계를 벗어남
   • 예시: 실내(25℃)에서 정상적으로 1.0 mV/g 이었던 가속도 센서의 출력 게인이 고온(125℃) 환경에서는 0.85 mV/g로 낮아져 측정값이 과소평가

 

4. 시스템 레벨에서 고려해야 할 영향

Transducer 자체의 Failure Mode가 실제 시스템에서는 어떠한 문제로 이어질까요? 예시를 들어보겠습니다.

• 부정확한 스위칭 임계값 변화
  • 예) ABS 센서가 일정 속도(오프셋 기준)에서 휠 스피드를 감지해야 하는데, Offset 또는 Sensitivity 이상으로 인해 실제 임계값과 달라짐.
• 온도에 따른 스위칭 임계값·위상·Duty cycle 변동
  • 예) 열악한 환경(엔진룸 근처)에 장착된 센서에서 온도변화로 인해 출력 펄스 형태가 달라지고, ECU가 이를 잘못 해석.
• 기능 손실
  • 예) 가속도 센서가 완전히 Stuck-at 상태가 되어, 에어백 ECU가 충돌 신호를 제대로 받지 못해 Airbag 전개 시점 지연/오작동 가능.
• 장시간 사용에 따른 Drift
  • 예) 차량의 주행거리가 누적될수록 Transducer Offset Drift가 커져, 제동 거리·조향 각 센서 정보가 오차 누적으로 잘못된 판단.

이러한 영향들은 시스템 전체의 안전 목표(예: ASIL B, C, D 등)에 위배될 수 있으므로, 설계 단계에서부터 센서 고장 대응 방안(Fault Tolerance Mechanism) 및 진단(Diagnostics)을 반드시 고려해야 합니다.

 

5. 마무리

• 지금까지 Sensor Transducer(변환기)의 Failure Mode를 중심으로 살펴보았습니다.
• 앞서 말씀드린 것처럼, 위 Failure Mode는 “일반적으로 고려할 수 있는 목록”이며, 프로젝트별로 안전 요구사항이나 하드웨어 아키텍처에 따라 다르게 적용·추가·삭제됩니다.
• 만약 어떤 Failure Mode를 “안전과 무관하다”며 제외하려면, 그 근거(예: FMEA/FMEDA 결과, 고객 합의 등)를 제시해야 하는 경우가 많으니 주의가 필요합니다.