현대차 엔지니어 시청역 역주행 "급발진 없다"

시청역 역주행 사고에 대해 급발진 논란이 뜨겁습니다.

이 가운데 현대자동차에서 근무중인 엔지니어가 급발진을 믿지 않는다는 글을 올렸습니다. 본인의 경험과 논리를 토대로 장문의 글을 작성했는데요 한번 읽어보시고 나름의 판단을 해보시면 좋을것같습니다.

아래입니다.

블라인드를 보면 급발진에 대해 갑론을박이 많은것 같아.

한x철 영상을 비롯하여 대중들의 감성을 자극하는 급발진처럼 보이는 영상을 많이 접하다보니 유독 우리나라에 급발진에 대한 두려움이 큰것 같아.

먼저 차량 엔지니어로서 내 입장을 밝히자면, 난 급발진을 믿지 않아.
정확하게 얘기하면, 급발진확률 보다 하늘에서 떨어진 운석에 맞고 죽을 확률이 높다고 믿어.
그럼 급발진이 없다고 믿는 이유를 말해볼게. 어려운 내용이 많아서 뺄거 빼고 핵심적인 내용만 적어볼게 (장문주의)

몇가지 전제를 둘게
1) 여기서 말하는 급발진이란 차량이 사용자 의지와 상관없이 가속되고, 브레이크 또한 동작되지 않는 상태야
2) 기구적 결함이 아닌 전자전기 아이템의 오동작에 의한 급발진이라고 하자.
- 기구적 결함이라면 급발진 이후에도 고장나있을테지만, 이슈된 내용들은 사고 이후에 정상작동하니까 기구적 결함은 제외하자.
- 기구적 결함을 제외하면 전자전기적 요소만 남음 (전자소자 고장 또는 S/W 오류)

1) 브레이크와 엔진은 물리적으로 별도의 시스템이다.
- 이건 차량을 조금만 알면 누구나 아는 사실이야. 엔진과 브레이크는 물리적으로 분리되어 있어. 즉 엔진과 브레이크를 동시에 고장낼수 있는 요소가 없다는 얘기야.
- 기본적으로 악셀로 인한 가속력은 브레이크로 인한 제동력을 이길수 없게 설계되어있어. 그리고 요즘차는 애초에 두가지 인풋이 동시에 존재하면 엑셀 신호를 무시하게 되어있어.

2) 브레이크 제어기가 고장날 확률은 10FIT 보다 적다. (10억 시간동안 10회 미만 고장발생)
- 제어기의 오동작을 발생시키는 원인은 쉽게 구분하자면 2가지로 분류할수 있어. H/W 고장(Random H/W fault) 과 Systemetic fault(S/W 오류 등) 이야. 전자는 랜덤하게 발생하는 H/W 부품 고유의 특성으로 발생자체를 막을순 없지만, 안전메커니즘을 구현해서 고장을 검출하고 관리하지 (경고등도 그 일환이야). 후자는 체계적인 관리법(설계기법, 동료검토, 테스트)또는 안전메커니즘을 통해 방지할수 있어.  
- 이 2가지 고장을 관리하는 ISO26262 (기능안전) 라는 표준이 있어. 차량의 각 기능을 수행하는 아이템(제어기) 의 위험도(Risk) 를 평가하고 위험도가 높은 아이템을수록 엄격하게 개발하도록 되어있어.
- 현차포함 대다수의 OEM 들이 브레이크 제어기(ESC, IEB) 와 조향제어기(MDPS) 는 ASIL D 등급으로 가장 높은 등급으로 평가해. (QM, A,B,C,D 등급이 있음)
- ASIL 등급에 따라 수많은 요구사항이 있지만, 하나만 얘기하면 ASIL D 등급은 item(제어기) 의 H/W 고장률을 10 FIT 아래로 관리하도록 요구하고 있어. 즉 10억 시간동안 위험한 고장은 10회 이하로 발생한다는 말이야. 통계에 의하면 운석충돌로 인한 사먕률은 0.6 FIT 이고 비행기 충돌 사망률은 20000 FIT 야.
- ASIL D 등급 item 의 S/W 관리는 어떨까? 해본 사람은 알겠지만 이렇게 까지 해야하나 싶을정도로 요구하는게 많아. 코드 한줄 바꾸려고 해도 개발 프로세스에 따라 엄격하게 관리해야해 (요구사항 변경, 아키텍처 변경, 유닛 설계, 안전분석, 정적검증, 동적검증, 제품 테스트, 독립적인 3자 검증)
- 이렇게 개발 자체가 빡세기 때문에 제동제어기를 설계할수 있는 국내 티어 1은 만도, 모비스밖에 없어. 국제적으로 봐도 보쉬, 콘티, ZF 등 몇개 되지 않지. 특히나 안전에 미친 독일 OEM 이 빡빡하게 요구하기 때문에 티어1은 ISO26262에 맞게 설계 할수밖에 없어.
- 정리하면 안전관련 S/W 오류는 미친듯이 엄격하게 관리하고 있고, 안전에 위협을 미치는 H/W 고장은 10 FIT  보다 적어.

3) 엔진 제어기가 고장날 확률은 100 FIT 아래이다. (10억 시간동안 100회 미만 고장발생)
- 엔진제어기는 ASIL B 이상이야. OEM 마다 조금씩 다르지만 상대적으로 제동제어기랑 조향 제어기보단 적게 평가돼.
- 가장 낮은 등급인 ASIL B 로 가정한다고 해도 H/W 고장율은 100 FIT 이야. S/W 개발의 엄격함 수준도 ASIL B 만큼 요구되지. 기본적인 내용은 위에서 설명한것과 같아.

4) 엔진 제어기와 브레이크 제어기가 동시에 고장날 확률은 없다고 보면 된다
- 앞서 얘기한것처럼, 엔진 제어기와 브레이크 제어기는 물리적으로 분리되어 있기 때문에 각각이 고장나는 케이스는 독립사건이야. 동시에 고장날 확률을 거칠게 계산해보면 1000 * 10^-9 FIT 야. 운석에 맞고 죽을 확률보다 약 1666666 배 적어

ISO26262 이외에도 제품의 품질을 높이기 위한 수많은 표준과 활동을 수행하고 있어 (A-SPICE, 사이버시큐리티, FMEA, 신뢰성테스트, 내구테스트, 실차 윈터테스트) 각각의 표준들을 준수하는데 정말 많은 공수가 투입되고 협력사들이 영혼을 갈아넣어서 개발하고 있어.

이렇게까지 관리하니까 소송의 나라 미국, 안전에 미친 유럽에서도 자동차 급발진이슈가 없는거야.
딱 한건 2007년 도요타 급발진 사례가 인정된 민사 소송이 있는데, 마이클 바 교수가 코드분석을 통해 도요타의 S/W 아키텍처 약점을 발견했고 이게 급발진으로 인정된거야. 하지만 실제 급발진이 해당 약점으로 인해 발생한것은 아무도 몰라. 무엇보다 ISO26262 가 2011 년에 배포되고 이를 준수하면서 개발하기 시작하면서 그 이후로 급발진이 인정된 사례를 들어본적이 없어.

나도 급발진 관련 여러 영상을 보면서 의아한 생각이 드는 영상도 있지만, 엔지니어로서 데이터로 증명되지 않으면 믿을수 없어.
사제 페달 블박다는 사람도 많아지고 시간도 많이 지났는데, 여전히 급발진 증거로 페달 블박 영상을 내지 못하더라.

개인적으로 장사꾼 한X철, 가짜 명장 박X일, 대림대 김X수 교수 나와서 말같지도 않은 내용으로 선동하는 얘기 들으면 엔지니어로서 기가차고 화가나.

내가 해주고 싶은 말은, 일반인들이 생각하는 것보다 훨씬 안전하고 빡세게 만들고 있으니 급발진 걱정은 하지 않았으면 좋겠다.