도입부
"이 항목은 ASIL-D니까 무조건 이중화로 가야 합니다."
처음 BMS(Battery Management System, 배터리관리시스템) 팀에 합류했을 때, 회의 중에 가장 자주 들었지만 가장 이해하기 어려웠던 말이 바로 이런 ISO 26262 관련 발언이었습니다. 분명 한국어인데 외계어처럼 들렸고, "ASIL이 뭔가요?"라고 묻는 것조차 부끄러웠던 기억이 납니다.
이번 글에서는 자동차 기능 안전의 표준인 ISO 26262, 그 핵심 개념인 ASIL 등급, 그리고 우리 BMS의 보호 기능에 어떻게 매핑되는지 — 즉 BMS 기능 안전의 입문 지식을 10년차 전장 엔지니어 관점에서 정리해 드리겠습니다. 주니어 엔지니어 분들이 처음 ISO 26262 문서를 펼쳤을 때 길을 잃지 않도록, 가장 먼저 알아야 할 4개의 ASIL 등급과 BMS 보호 기능별 매핑 방법을 다룹니다.
1. ISO 26262란 무엇인가요?
ISO 26262는 자동차 전기·전자 시스템(E/E System)의 기능 안전(Functional Safety)을 정의하는 국제 표준입니다. 2011년 1차 발행, 2018년 2판이 나왔고, 현재 양산 자동차 OEM(Original Equipment Manufacturer, 완성차 제조사)이라면 거의 예외 없이 이 표준을 따릅니다.
핵심 사상은 단순합니다. "고장이 나도 사람이 다치지 않도록 시스템을 설계하라"입니다. 부품은 언젠가 고장 납니다. 저항이 끊어지고, MCU(Microcontroller Unit, 마이크로컨트롤러)가 멈추고, 통신 라인에 노이즈가 낍니다. 이때 BMS가 "갑자기 컨택터를 잘못 닫아버린다"든지 "과충전을 감지 못 한다"든지 하면 화재나 폭발로 이어질 수 있습니다. ISO 26262는 이런 위험을 정량적으로 분석(HARA, Hazard Analysis and Risk Assessment)하고, 그에 맞는 안전 무결성 수준을 부여하라고 요구합니다.
이 표준은 Part 1부터 Part 12까지로 구성되는데, 현업에서 가장 자주 펼쳐보는 챕터는 Part 3(Concept Phase, 컨셉 단계)와 Part 4~6(System/Hardware/Software Development)입니다. ASIL 등급 산정은 Part 3에서 이루어집니다.
2. ASIL 등급의 4단계 — A, B, C, D
ASIL(Automotive Safety Integrity Level, 자동차 안전 무결성 수준)은 위험의 심각성에 따라 QM, A, B, C, D의 5개 등급으로 나뉩니다. QM은 "Quality Managed"의 약자로 일반 품질 관리만으로 충분한 항목, ASIL-D는 가장 엄격한 등급입니다.
ASIL은 세 가지 요소의 조합으로 결정됩니다.
- S (Severity, 심각도): 사고 발생 시 부상의 정도 (S0~S3)
- E (Exposure, 노출도): 위험 상황에 노출되는 빈도 (E0~E4)
- C (Controllability, 제어성): 운전자가 위험을 회피할 수 있는 능력 (C0~C3)
이 세 값을 ISO 26262 Part 3의 매트릭스에 대입해 ASIL을 산출합니다. 예를 들어 S3·E4·C3이면 ASIL-D가 나옵니다.
| ASIL 등급 | 의미 | 대표 예시 | 요구 강도 |
|---|---|---|---|
| QM | 품질 관리 수준 | 인포테인먼트 BGM | 일반 품질 |
| A | 경미한 부상 가능 | 후방 카메라 단순 표시 | 낮음 |
| B | 중대 부상 가능, 회피 가능 | 일부 조명 제어 | 중간 |
| C | 중대 부상, 회피 어려움 | 전동 파워스티어링 일부 | 높음 |
| D | 사망/중상 가능, 회피 불가 | EV 고전압 BMS, 에어백, 브레이크 | 최고 |
EV(Electric Vehicle, 전기차)의 고전압 BMS가 다루는 보호 기능 대부분은 ASIL-C 또는 D로 산정됩니다. 화재·감전 위험 때문입니다.
3. BMS 기능별 ASIL 매핑 — OVP, OCP, SOC
이제 본론입니다. 우리가 매일 다루는 BMS 보호 기능들은 어떤 ASIL을 받을까요? 회사·차량·셀 화학 조성에 따라 다소 차이가 있지만, 일반적인 전기차용 고전압 BMS 기준으로 정리하면 아래와 같습니다.
| BMS 기능 | 약칭 | 대표 ASIL | 사유 |
|---|---|---|---|
| 과전압 보호 | OVP (Over Voltage Protection) | ASIL-D | 과충전 시 열폭주 직결 |
| 저전압 보호 | UVP (Under Voltage Protection) | ASIL-B~C | 셀 손상·주행 중 정지 |
| 과전류 보호 | OCP (Over Current Protection) | ASIL-D | 단락 시 화재·아크 |
| 과온 보호 | OTP (Over Temperature Protection) | ASIL-C~D | 열폭주 트리거 |
| 절연 저항 감시 | IMD (Insulation Monitoring Device) | ASIL-C | 감전 위험 |
| 컨택터 제어 | HV Contactor | ASIL-D | 고전압 차단 실패 시 사고 |
| SOC 추정 | State of Charge | ASIL-B | 주행거리 표시·충방전 한계 |
| SOH 추정 | State of Health | ASIL-A~B | 수명 관리 |
| 셀 밸런싱 | Cell Balancing | QM~ASIL-A | 직접 안전 영향 낮음 |
| CAN 통신 | E2E Protection 포함 | ASIL-D 일부 | 안전 메시지 변조 방지 |
OVP/OCP가 ASIL-D인 것은 [17번 OVP/UVP 보호회로 설계 실전], [18번 OCP/OTP 보호기능 심화] 글에서 다뤘던 "보호 회로 이중화"의 근본 이유이기도 합니다. 단일 채널로 처리하면 ASIL-D 요구사항(특히 SPFM, Single Point Fault Metric — 단일 고장 진단 커버리지 99% 이상)을 만족시킬 수 없습니다.
반면 SOC 추정 같은 항목은 의외로 ASIL이 낮은데, 이는 "SOC가 틀려도 OVP·OCP가 백업으로 잡아주기 때문"입니다. 이렇게 상위 안전 기능이 하위 부정확성을 커버하는 구조를 ISO 26262에서는 ASIL Decomposition(분해)이라고 부릅니다.
4. 실무에서 ASIL-D 인증을 받는 흐름
ASIL-D를 받는 BMS를 개발한다는 건, 단순히 회로를 잘 설계하는 것 이상의 프로세스 작업입니다. 실제 현업 흐름을 간단히 공유드립니다.
첫째, 컨셉 단계에서 HARA를 수행합니다. 차량 레벨 위험 시나리오(예: "주차 중 충전기 연결 상태에서 셀 1개 과충전 발생")를 도출하고 S/E/C 값을 산정해 ASIL을 부여합니다. 이때 안전 목표(Safety Goal)가 정의됩니다. 예: "셀 전압이 4.25V를 초과하면 100ms 이내에 충전을 차단할 것."
둘째, 시스템 설계 단계에서 안전 요구사항(FSR, Functional Safety Requirements)으로 분해됩니다. 그리고 다시 TSR(Technical Safety Requirements)로 내려가면서 H/W·S/W에 할당됩니다. 이 모든 추적성(Traceability)을 DOORS, Polarion, Jama 같은 요구사항 관리 도구로 관리합니다.
셋째, 하드웨어는 FMEDA(Failure Modes, Effects and Diagnostic Analysis, 고장 모드·영향·진단 분석)와 FTA(Fault Tree Analysis, 결함 트리 분석)를 수행합니다. ASIL-D의 경우 SPFM ≥ 99%, LFM(Latent Fault Metric) ≥ 90%, PMHF(Probabilistic Metric for Hardware Failures) ≤ 10 FIT를 만족해야 합니다. 이 숫자를 맞추기 위해 진단 회로, 워치독, ECC(Error Correcting Code) 메모리가 들어갑니다.
넷째, 소프트웨어는 MISRA C 코딩 표준, 단위 시험 100% 커버리지, MC/DC 분기 커버리지를 충족하고, 모델 기반 개발(MBD)이라면 Polyspace·QAC 같은 정적 분석 도구를 거칩니다.
다섯째, DVP(Design Verification Plan) 단계에서 HiL(Hardware-in-the-Loop) 고장 주입 시험으로 안전 메커니즘이 의도대로 동작하는지 검증합니다. 이 부분은 [20번 HiL vs SiL] 글에서 다뤘던 HiL 활용의 가장 중요한 목적이기도 합니다.
마지막으로 TÜV, SGS 같은 인증 기관의 심사를 거쳐 ASIL-D 인증서가 발급됩니다. 보통 양산 적용까지 18~24개월이 걸립니다.
5. 보호 기능 설계 시 자주 빠지는 함정
마지막으로 주니어 엔지니어 분들이 자주 빠지는 3가지 함정을 정리해 드립니다.
첫째, "ASIL은 부품에 부여되는 것이 아니라 안전 목표에 부여된다"는 점입니다. "이 MCU는 ASIL-D 부품인가요?"라는 질문이 많은데, 정확하게는 "이 MCU가 ASIL-D 안전 목표를 달성하기에 충분한 기능 안전 기능을 제공하는가"가 맞는 표현입니다. Infineon AURIX, NXP S32K3 같은 자동차용 MCU는 SafeTlib, FCCU 같은 안전 메커니즘을 제공해 ASIL-D 시스템 구현을 돕습니다.
둘째, ASIL Decomposition을 잘못 적용하는 경우가 흔합니다. 두 채널이 진짜로 독립(Independent)이어야 분해가 성립하는데, 같은 전원·같은 클럭·같은 컴파일러를 쓰면 공통 원인 고장(CCF, Common Cause Failure) 때문에 분해가 무효가 됩니다. 분해 시에는 반드시 독립성 분석(DIA, Dependent Failure Analysis)이 따라와야 합니다.
셋째, FTTI(Fault Tolerant Time Interval, 고장 허용 시간)를 무시한 설계입니다. ASIL-D 보호 기능은 "고장 발생 후 안전 상태(Safe State)에 도달하기까지의 시간"이 명확히 정의되어 있어야 합니다. OVP의 경우 보통 100~200ms입니다. 이 시간을 못 맞추면 차단 회로가 멋있게 설계되어도 인증을 못 받습니다.
마무리 — 핵심 3줄 요약
ISO 26262는 "고장 나도 사람이 안 다치게"라는 한 문장의 표준입니다. ASIL은 위험 분석으로 부여되는 안전 무결성 수준이며, BMS의 OVP·OCP·HV 컨택터 제어는 거의 ASIL-D입니다. 이 등급에 맞는 이중화·진단 커버리지·FTTI를 못 맞추면 양산 자체가 불가능합니다.
주니어 엔지니어 여러분께 한 가지 팁을 드리면, ISO 26262 Part 3과 Part 5만이라도 한 번 정독해 보세요. 분량은 무겁지만 그 안에 우리가 매일 회의에서 듣는 용어 90%가 들어 있습니다. 처음 한 번이 어렵지, 두 번째부터는 회의 중 끄덕이는 횟수가 두 배는 늘어납니다.
다음 글 예고: 다음 포스팅에서는 "절연저항 IMD 원리와 고전압 안전 설계 — 감전을 막는 마지막 방어선"을 주제로 찾아뵙겠습니다. ASIL-C로 분류되는 IMD가 어떻게 동작하고, 어떻게 검증하는지 회로 레벨로 풀어보는 실전 편입니다.
댓글로 의견 남겨주세요: 여러분 회사에서는 BMS의 어떤 기능을 ASIL-D로 잡고 계신가요? 혹시 OEM별로 ASIL 부여 기준이 다르게 적용된 경험이 있으시다면 댓글로 공유해 주세요. 다음 글 소재로 적극 반영하겠습니다 :)
태그
#ISO26262 #ASIL #BMS기능안전 #자동차기능안전 #ASILD #배터리관리시스템 #자동차전장 #안전무결성수준 #FMEDA #DVP
'시험 검증 실무' 카테고리의 다른 글
| HiL vs SiL, 3분 만에 끝내는 차이점 총정리 (1) | 2026.04.25 |
|---|
