ISO26262 - 차량 전기/전자 시스템의 Failure Mode 정리
1. Introduction
이번 포스팅에서는 자동차 E/E 시스템에서 흔히 볼 수 있는 하드웨어 구성 요소들을 간단히 살펴보고, 각 요소별로 일반적으로 고려할 수 있는 Failure Mode를 정리해보려 합니다. (해당 내용은 ISO26262 Part5 - Annex D 있는 내용입니다.)
ISO 26262 프로젝트를 진행하다 보면, 하드웨어 레벨에서 잠재적인 고장 모드와 그 영향을 파악(FMEA 등)이 필수적입니다. 오늘은 Relay, Harness, Sensor, Actuator, Power Supply, Clock, Digital/Analogue I/O, Bus Interface, Processing Unit, RAM & ROM, Signal Processing Accelerator 같은 요소들의 대표 Failure Mode를 간단히 훑어보겠습니다.
2. E/E 시스템 하드웨어 구성 요소
위 그림(예시)처럼 차량 E/E 시스템은 기본적으로 다음과 같은 요소를 포함합니다:
- 센서(Sensor): 주변 물리량(예: 온도, 압력, 위치 등)을 전기신호로 변환
- 하네스(Harness): 센서, 액추에이터 등과 ECU(전자제어유닛) 간 신호·전원을 전달하는 배선 및 커넥터
- 입출력(I/O) 모듈: Digital/Analogue 신호를 받아 처리하거나 출력
- 파워 서플라이(Power Supply): 시스템 구동에 필요한 전원을 생성·분배
- 프로세싱 유닛(Processing Unit): MCU·CPU·DSP 등, 시스템 제어 로직 수행
- 버스 인터페이스(Bus Interface): CAN, LIN, FlexRay 등 통신 인터페이스
- 메모리(RAM & ROM): 소프트웨어 코드 저장, 데이터 임시 보관
- 클록(Clock): MCU 등 시스템 구성 요소에 동기화된 클록 신호 제공
- 신호처리 가속기(Signal Processing Accelerator): GPU, DSP 등 대규모·고속 연산을 하드웨어적으로 수행
각 요소는 차량이 안전하게 운행하기 위해 핵심적인 역할을 담당하지만, 동시에 다양한 Failure Mode가 발생할 가능성도 내포하고 있습니다.
3. 하드웨어 구성 요소별 Failure Mode
| 구성 요소 | Failure Mode | 예시 |
| Relay | Does not energize / de-energize | 릴레이가 구동되지 않아, 모터나 램프가 동작 안 함 |
| Individual contacts welded | 과전류 상황에서 접점이 붙어버려, 릴레이가 항상 ON 상태로 고착 | |
| Harness | Open circuit | 커넥터 단선이나 핀 빠짐으로 센서 신호가 읽히지 않음 |
| Contact resistance (증가 | 접촉 부위 산화로 인해 저항이 높아져, 신호 왜곡·전압 강하 | |
| Short circuit to Ground / Vbat / between neighbouring pins | 전선이 찢어져 인접선과 합선되어 예기치 않은 신호나 과전류 발생 | |
| Resistive drift | 케이블 노후화·부식으로 저항값이 점차 증가하여 신호 품질 저하 | |
| Sensor | Out of range | 가속도 센서가 ±2g 범위를 벗어난 입력을 받으면 포화 |
| Offsets | 온도 변화나 진동으로 인해 ‘0점’이 계속 드리프트 | |
| Stuck in range | 센서가 항상 동일한 값만 출력해, ECU가 변화 감지 불능 | |
| Oscillations | 센서 출력이 정상적이지 않게 고주파로 흔들려 노이즈 증가 | |
| Actucator (모터, 램프, 버저, 디스플레이 등) | Out of range | 모터가 원하는 위치/회전수까지 못 가거나 초과 구동 |
| Offsets | 조향 액추에이터의 중심점이 어긋나서 alignment 불량 | |
| Stuck in range | 램프가 계속 켜지거나 꺼져서 변하지 않음 | |
| Oscillations | 액추에이터 제어 신호가 불안정하여 진동·잡음 발생 | |
| Power Supply | Drift / Oscillation | 레귤레이터(전압 조정기)가 불안정하여 출력전압이 흔들림 |
| Under voltage / Over voltage | 시동 시 저전압, 알터네이터 이상으로 고전압 발생 | |
| Power spikes | 크랭킹이나 ESD/EFT와 같은 순간 스파이크가 ECU 손상을 일으킬 수 있음 | |
| Clock | Incorrect frequency | 오실레이터가 실제 원하는 16MHz 대신 14MHz나 18MHz 등 오차 발생 |
| Jitter | 클록 주기가 미세하게 불규칙하여, 시간 민감한 제어 로직이 오류 발생 | |
| Digital I/O | Incorrect Input / Output | GPIO 핀이 High여야 할 때 Low, 혹은 반응이 지연되어 타이밍 미스 |
| Analogue I/O | Incorrect Input / Output | ADC가 잘못된 값을 읽어들여 센서 신호가 실제보다 크거나 작게 인식 |
| Bus Interface (데이터 전송) | Loss of communication peer | CAN 통신에서 상대 노드(ECU)가 사라져 통신 불능 |
| Message corruption | 잡음으로 인해 프레임 일부가 깨짐 | |
| Message unacceptable delay / loss / repetition | 네트워크 혼잡이나 HW 고장으로 특정 메세지가 늦게 도착, 또는 재전송 과다 | |
| Incorrect sequencing / insertion / masquerading | ECU가 다른 노드인 척 잘못된 메시지를 전송해 시스템 혼란 초래 | |
| Incorrect addressing | 필터링 설정이 잘못되어 다른 ID를 수신 | |
| Processing Unit | Incorrect Input / Output | MPU 내부 계산 에러나 ALU 고장, 레지스터 오류 등으로 잘못된 결과 생성 |
| Signal Processing Accelerator | Processing stalled | 연산 중단 |
| No or constant output | 결과가 0 혹은 일정 값으로 고정 | |
| Unrequested output / Unrequested Interrupt | 예기치 않은 시점에 출력 발생 | |
| Output structurally broken (corrupt frames) or erronesous data |
출력 ㅡㅍ레임이 깨지거나 데이터가 틀림 |
참고) Signal Processing Accelerator 의 경우, 내부에도 다양한 하위 모듈(RAM, CPU 코어 등)이 있으므로, 위와 동일하게 각 요소별 Failure Mode를 참조하면 됨
4. 마무리
- 위에서 살펴본 Failure Mode들은 “일반적인” 하드웨어 고장 모음입니다.
- 실무에서 FMEA(Failure Mode and Effects Analysis)나 FMEDA를 진행할 때, 프로젝트 특성에 맞춰 추가·제거를 하거나, 더 세밀하게 구분해 사용하는 것이 중요합니다.
- 특히, Relay·Harness·Sensor·Actuator처럼 장치 특성에 따라 고유한 추가 Failure Mode가 존재할 수 있으므로, 제품 사양·데이터시트·운영환경 등을 면밀히 검토해야 합니다.
Tip
“이 Failure Mode는 우리 시스템에 영향이 없어요!”라고 판단해 제외하려면, 근거 자료(예: 안전 분석, 고객 합의, 테스트 결과 등)를 분명히 제시해야 합니다.