펠리세이드(LX3)와 기능안전

최근에 현대자동차에서 이슈가 한 건 있었습니다.

2세 유아 사망 참변…현대차 신형 팰리세이드 글로벌 판매 중단 < 자동차 < 산업 < 기사본문 - 일간투데이

2세 유아 사망 참변…현대차 신형 팰리세이드 글로벌 판매 중단 - 일간투데이

 

펠리세이드 (LX3)의 유아 사망사고에 대한 이슈였죠

오늘은 이 사고에 대해 조금 자세히 들어가보려고 합니다.

 

문제가 되었던 기능은 아래와 같습니다.

버튼을 누르면 2열과 3열이 자동으로 폴딩됩니다.

 

유저가 버튼을 누르면 2열과 3열을 자동으로 폴딩해주는 기능입니다.

폴딩을 하는 중에 유아가 타고 있었고 모터는 이를 감지하지 못하고

시트가 지속적으로 작동했고, 결국 유아는 사망하고 말았습니다.

 

전장제어기가 들어가기 전이였고 버튼을 누르고 사람이 앞으로 밀어야 폴딩이 되는 방식이였다면

기능안전적인 귀책이 누구한테 있는가? 라고 하면 유저에게도 어느정도 잘못이 있을 수 있습니다.

 

다만, 지금의 경우에는 유저가 버튼을 눌렀고, 시트는 자동으로 2열과 3열을 폴딩해주는 동작을 완료합니다.

이는 사람의 귀책으로 볼 수 없을 겁니다.

 

 

기능안전적으로 볼 때, 만약 우리가 시트 제어기의 개발자라고 한다면 어떤 활동부터 진행을 했을까요

첫번째는 HARA분석입니다. Hazard Analysis and Risk Assessment로 위험을 분석하고 리스크를 평가하는 활동입니다.

시나리오를 작성하고 이에 대한 심각도(S), 노출도 (E), Controllability (C)를 도출합니다.

 

아마 해당 상황에서 시나리오는 아래와 같은게 있었을 겁니다.

유저가 시트 폴딩과정에서 끼인다.

이에 대한 평가가 되었을 것이고, ASIL 등급이 결정되었을 겁니다.

 

HARA 분석을 통해 시나리오가 도출이 되었다면 Safety Goal이 도출됩니다.

아마 Safety Goal은  "폴딩과정에서 유저가 끼이는 사고를 방지해야한다." 이거 였을 겁니다.

 

 

사실 저는 시트 제어기가 얼마나 복잡할지 아는게 없지만 아래 구성처럼 되어 있을 것이라 생각되는데요.

(전압 및 통신 관련 제외)

 

결국 물체가 끼이는걸 방지하기 위해서는 ChatGPT에 의하면 Motor의 전류를 모니터링하는 방식이 있다고 합니다.

다만 뉴스 기사로는 센서가 들어갔다고 하니 센서도 추가합시다.

 

그러면 아래 그림처럼

센서의 입력을 받거나, 모터의 전류를 모니터링하는 방식으로 설계가 보완될 겁니다.

 

그러면 FSR은 아래와 같이 만들어 집니다.
(간략하게 쓰겠습니다)
FSR1 : Motor의 동작을 보장해야한다.
FSR2 : Sensor의 동작을 보장해야한다.

 

여기까지 만들어지면, 기능안전적인 설계 준비는 대부분 완료가 되었습니다.

 

간략하게 소개를 하면 시스템단에서의 기능안전 설계를 통해 TSR(Technical Safety Requirement)을 도출하게되고

안전분석 (FMEA, FTA, DFA 등)을 통해 Safety Mechanism을 도출하게됩니다.

 

이를 소프트웨어단에서는 Safety Mechanism과 안전분석을 통해 SSR (Software Safety Requirement)를 도출하고

하드웨어단에서는 Safety Mechanism과 안전분석을 통해 HSR (Hardware Safety Requirement)를 도출합니다.

 

이러한 엔지니어링 영역 외에도

Confirmation, Audit, Assessment 활동과 Safety Case 작성 등을 통해서 기능안전적으로 안전함을 증명하게 되고

결론적으로 OEM의 승인을 받고 양산개발에 들어가게됩니다.

 

 

기능안전적인 간략한 접근은 여기까지하고

이제 그냥 제 개인적인 의견으로 

어떤 일이 앞으로 기다리고 있는가? 이걸 한 번 알아보도록 하겠습니다.

 

사실 별거 없습니다

법원에 가게될 확률이 높습니다.

기능안전적으로 문제가 없음을 확인하고 양산을 승인한 현대차 시트 제어기를 납품한 1차 협력사 

위 두 회사가 법원에 가게 되겠죠

 

주위에서 들은 이야기로는 

법원에서 설계 산출물(HARA, TSR, FSR, SSR, HSR, FMEA, FTA, DFA 등)을 모두 들여다보게 됩니다.

설계상 미처 고려하지 못한게 맞는지?

알고도 은폐하려 했는지? 여부를 모두 확인하게됩니다.

 

사실 기능안전과 품질은 서로 의견 충돌이 발생하는데요

예를 들어 모터의 전류로 모니터링하는 방식의 경우 원리를 설명하자면

제어기는 모터에 전압을 인가해 동작 시킵니다.

 

전류를 모니터링 하는 이유는 

우리가 손으로 무언가를 밀때 가벼운 물건은 쉽게 밀리지만

무거운 물건은 쉽게 밀리지 않습니다.

 

모터도 마찬가지로 외압으로인해 작동을 하지 못하는 경우

더 큰 힘을 내기 위해 전류가 높아지게 됩니다.

 

그러면 기능안전적인 입장으로 보면

속도를 줄인다 -> 장애물을 감지가 용이해진다 -> 사고 발생률이 내려간다.

하지만 품질관점으로 보면

속도를 줄인다 -> 유저의 불만이 증가한다. 

결국 둘은 계속 의견이 충돌할 수 밖에 없다는걸 그냥 TMI 삼아 해봤습니다.

 

100% 안전한 제품을 만들기란 쉽지 않습니다.

ISO 26262는 100% 안전을 만드는 것이 아니라, 위험을 허용 가능한 수준까지 낮추고

그 안전성이 확보되었음을 체계적으로 입증하는 활동입니다.