죄송합니다. 더 이상 지원되지 않는 웹 브라우저입니다.

설계에 구현된 로봇 시스템 안전

PDF 다운로드

- 안전과 보안이 단지 장식이 아니고 필수적 구성요소인 이유

글/Clemens Muller, Director Business Development Robotics, 인피니언 테크놀로지스

20세기에 들어서면서 헨리 포드는 곡물 창고에서 사용되던 컨베이어 벨트에 영감을 받아 자동차 생산에 혁명을 일으켰다. 컨베이어 벨트 방식을 다른 조립 라인 생산의 효율과 결합시키자 12시간 이상 걸리던 자동차 한 대당 생산 시간이 거의 90분으로 줄어들었다. 오늘날 대부분의 제품은 인간과 기계의 협력의 산물이다. 인간은 보호문과 라이트 배리어, 인터록 장치를 통해 기계의 잠재적 위험으로부터 보호받는다. 하지만 잠재적 효율로부터 더 많은 것을 얻으려면 우리는 단순한 협력에서 협동으로 전환할 필요가 있다. 인더스트리 4.0이 추진되면서 로봇은 더 지능적이 되고 센서를 통해 보다 다양한 기능으로 주변 환경과 상호작용할 수 있게 되었다. 그러나 여전히 한 가지 중요한 질문이 남는다. 이러한 혁명이 안전하게 전개될 것인가? 하는 것이다.

안전에 초점을 맞추다

컨베이어 벨트 개념은 기계의 속도와 힘을 활용할 수 있게 해주지만, 동시에 이 개념은 제품을 생산하는 방식을 제한한다. 생산되는 제품이 모두 똑같은 한 아무 문제가 없다. 하지만 오늘날 소비자들은 다양한 선택과 커스터마이제이션, 독특함을 찾는다. 이러한 경향은 선형적인 생산 흐름과 맞지 않는다.
인더스트리 4.0이 가져오는 혁신은 생산을 선형적인 단계별 공정에 제한하는 것이 아니라 생산 공정을 구현하는 다른 방식을 고려할 수 있게 한다. 한 가지 방법은 생산 공정을 섬처럼 하나의 단위로 묶어 각각의 섬이 생산 공정의 한 요소를 완료하는 개념을 적용하는 것이다. 생산되는 제품은 하나의 스테이션에서 다른 스테이션으로 옮겨지며, 각 스테이션마다 해당 작업을 완료한다.
이러한 방식은 차별화된 제품을 공급할 수 있는 기회를 제공한다. 기본적인 제품 모델은 주요 생산 스테이션만 거치면 되는 반면, 프리미엄 모델은 별도의 생산 단계를 위한 추가적인 스테이션이 요구된다.
일부 경우 이러한 생산 단계는 인간의 상호작용을 필요로 할 수 있다. 인간과 기계의 상호작용 지점이 안전하게 발생하도록 하려면 시스템 개발 시작부터 안전에 대한 개념을 정의해야 할 필요가 있다. 이는 자동차와 같은 다른 산업에서는 시스템 개발에서 일반적이다.
자동차 산업에서 탑승자는 많은 주요 시스템의 제어를 유지하는 데 전자장치에 의존한다. 전자장치들이 잘못되거나 완벽하게 작동하지 않을 경우 행인과 차량 탑승자 모두에게 영향을 미칠 수 있다. 안티록 제동 시스템, 전자식 주차 브레이크, 전동 스티어링 시스템은 모두 이러한 범주에 들어간다. 이와 같은 제품을 정의하고 제어 시스템을 선택할 때는 모든 단계에서 기능 안전의 구현을 고려해야 한다.
AURIX™ 32비트 마이크로컨트롤러 제품군과 같은 디바이스는 높은 수준의 안전 무결성을 요구하는 애플리케이션을 위해 특별히 설계되었다. 이들 제품군은 자동차 산업에서 가장 엄격한 ISO26262 안전 요구사항을 만족하므로, IEC 61508을 이행할 수 있는 시스템에서 안전 매뉴얼과 전용 안전 소프트웨어 루틴과 함께 사용할 수 있다. 이 중 IEC 61513은 기계를 대상으로 한 부분이며, IEC 61511은 공정 산업을 대상으로 한다.
시스템의 프로세싱 요소에서 발생하는 고장이 검출되도록 보장하기 위해 많은 기능 안전 시스템은 서로 다른 두 개의 마이크로컨트롤러를 사용한다. 첫 번째 마이크로컨트롤러는 애플리케이션을 실행하고, 두 번째 마이크로컨트롤러는 첫 번째 마이크로컨트롤러를 모니터링한다(그림 1). 이 방법은 하나의 디바이스에서 발생하는 소프트웨어 버그나 고장이 두 번째 디바이스에 복제되지 않도록 하기 때문에 제어 시스템 전반에 걸쳐 다양성을 보장한다.

[그림 1] 안전에 핵심적인 애플리케이션에서 충분한 다양성을 달성하기 위해 종종 두 개의 다른 마이크로컨트롤러가 느슨하게 동기화되는 듀얼 프로세서 아키텍처에 사용된다.

AURIX 아키텍처는 다른 록스텝 CPU를 통해 디바이스 내부에 이러한 동일한 안전 기능을 보유한다. 록스텝 CPU는 메인 CPU와 동일한 32비트 TriCore™ 아키텍처를 사용한다. 하지만 유사점은 여기에서 끝난다.
록스텝 CPU는 메인 CPU와 물리적으로 절연되며, 회로의 레이아웃은 완전히 다르다(그림 2). 뿐만 아니라 명령어는 록스텝 코어에서 2클록 사이클 지연으로 실행되므로 메인 코어에서 명령의 실행을 방해할 수 있는 이벤트가 록스텝 코어에서 복제되지 못하도록 보호한다. 지연의 끝에서 메인 코어와 록스텝 코어의 명령어 실행 결과가 서로 비교되며, 결과가 일치하지 않으면 프로세서가 오류를 처리한다.

[그림 2] AURIX™ 32비트 마이크로컨트롤러 제품군은 다른 록스텝 CPU를 통해 안전이 중요한 시스템에 필요한 다양성을 달성한다.

파워온 시 내부 디바이스 로직에 대해 실행되는 BIST (Built-in self-test) 또한 애플리케이션 코드를 실행하기 전에 AURIX 디바이스가 정상적으로 작동하는지 검사한다. 메모리 BIST와 같은 추가적인 테스트를 애플리케이션 소프트웨어에 추가할 수 있다. 또한 인피니언은 임베디드 개발자의 설계를 지원하기 위해 PRO-SIL SafeTlib 및 SBST와 같은 소프트웨어 라이브러리를 제공한다.
다중 프로세서 코어가 서로의 주변장치를 제어하거나 할당된 메모리를 덮어쓸 수 없도록 보장하기 위해 메모리 보호 시스템이 제공된다. 뿐만 아니라 각 주변장치 및 공유 SRAM은 자체적인 로컬 액세스 보호 메커니즘을 갖는다. 하이퍼바이저와 결합하면 실시간 성능을 유지하면서 혼합 임계 소프트웨어를 실행하는 것도 가능하다.
기가비트 이더넷, 이더캣 지원 주변장치 및 다중 CAN 통신인터페이스를 탑재한(그림 3) 2세대 AURIX 제품군은 자율주행로봇(AGV)을 포함하여 산업용 로봇 애플리케이션을 위한 이상적인 플랫폼이다.

[그림 3] 산업용 로봇 컨트롤러 같은 안전이 중요한 애플리케이션은 2세대 AURIX™ 마이크로컨트롤러의 이상적인 애플리케이션이다.

현재와 미래의 안전을 제공한다

지금까지 산업용 로봇 팔은 이들이 사용하는 툴과 독립적으로 개발되었다. 보통 용접 툴을 위한 전원과 제어 시스템은 무거운 케이블 다발을 통해 로봇 팔의 측면에 부착된다. 부분적으로 이러한 분리는 안전과 연관돼 로봇 팔 제공업체는 어느 툴을 사용하는가와 관계 없이 안전을 인증 받은 장치에 대해 완벽한 제어를 유지할 수 있다. 하지만 만약 제공업체가 통신 버스와 전력 시스템을 써드파티 툴과 공유하려 한다면, 시스템의 안전을 제공하기 어렵다.
인더스트리 4.0에서는 모든 시스템과 센서를 네트워크로 연결해야 하기 때문에 기계는 서로 다른 기계와 인간 조작자와 정보를 교환하고 협력할 수 있어야 한다. 동시에 이러한 연결은 공격의 침투 지점이 될 수 있는 틈을 만들어 잠재적인 보안 위험을 제공한다.
더욱 우려스러운 점은 미래에 보안 구현이 적절히 테스트되지 않은 애드온이나 툴이 추가될 수 있다는 것이다. 이러한 검증 받지 않은 요소들은 네트워크 공격의 백도어가 될 수 있으며, 심지어 네트워크로 연결된 산업 장비와 로봇 자체를 재구성할 수 있다. 인간과 기계가 이와 같이 가까이 있을 때, 만약 로봇이 재프로그래밍되거나 훼손된 센서 데이터에 의존하게 된다면 생명을 위태롭게 할 수 있는 심각한 위험이 존재할 수 있다.
안전을 제공하고 미래의 공장에서 네트워크 보안을 유지하기 위해서는 신뢰할 수 있는 툴과 센서, 액세서리 및 예비 부품이 필수적이다. 그러나 빠르게 움직이는 생산 현장에서 신뢰할 수 있는 시스템 구현이 유지보수나 예비 부품의 교체를 방해하지 않도록 하는 것 역시 똑같이 중요하다. 이는 최종적으로 다운타임의 연장으로 이어지기 때문이다.
안전과 마찬가지로 보안은 나중에 추가하는 기능이 아니다. 보안은 처음부터 개발 프로세스 안에 구축되어야 한다. 그래야만 필요한 보호를 제공하는 동시에 직관적인 사용이 가능하다. 또한 안전과 보안은 더 이상 독립적인 주제가 아니다. 협업적인 자동화 시스템에서 적절한 보안 조치가 취해진 후에야 기능 안전을 실현할 수 있다. 앞에서 안전한 마이크로컨트롤러와 관련해 언급한 중복 구성 역시 만약 중요한 보정을 공인되지 않은 방식으로 조작한다면 안전하지 않은 행위에 노출될 수 있다. AURIX 마이크로컨트롤러는 이러한 문제를 임베디드 보안 모듈로 해결한다.
그러나 매우 흔한 일이지만, 모든 경우를 만족하는 하나의 솔루션은 존재하지 않는다. 소모적이고 단순한 저가형 솔루션의 경우 필요한 모든 것은 공급업체가 승인한 제품을 사용할지 여부를 결정하는 일이 될 수 있다. 반면 완전히 네트워크로 연결된 제어 서브시스템의 경우 트러스트 앵커로 자체 인증을 수행해야 미션 크리티컬 생산 시스템에 투입될 수 있다. 이러한 시스템은 로봇 머신과 제어 시스템의 상호 인증을 넘어 데이터 도난과 조작으로부터 보호하는 것이 필수적이다. 로봇 장치의 무결성은 보정 파일의 IP 보호, 부품 인증, 그리고 공격을 식별할 수 있게 도와주는 보안 로깅에 의해 가장 잘 유지될 수 있다.
스마트 로봇과 산업 네트워크에서 데이터, 인터페이스 및 통신 채널의 보안을 안전하게 지킬 수 있도록 인피니언은 손쉽게 통합할 수 있게 설계된 OPTIGA™ 임베디드 보안 솔루션을 제공한다.
인간과 기계가 더 가깝게 보다 긴밀하게 접촉하게 됨에 따라 협업의 성공은 많은 부분 신뢰에 의존하게 될 것이다. 이러한 신뢰는 기계와 함께 있을 때 우리가 안전하게 느낄 수 있을 때에야 형성될 수 있다. 안전은 초기 개념부터 구축되어야 하며 로봇, 협동 로봇 또는 AGV의 설계를 완성할 때까지 지속적으로 검토되어야 한다. 그러나 안전한 소프트웨어란 소프트웨어가 수정되지 않고 시스템, 모듈 및 센서의 신뢰할 수 있는 네트워크와 통신할 때에만 의존할 수 있다. 따라서 처음 단계부터 보안은 기본적인 요소로서 고도로 복잡한 로봇 시스템과 인간 조작자를 인증할 수 있게 하며, 이를 통해 산업 디바이스의 무결성을 유지함으로써 운영에서 모든 중요한 신뢰를 확립하고 유지할 수 있다.

[표 1] 인피니언은 다양한 목적에 부합하는 광범위한 OPTIGA™ 하드웨어 보안 컨트롤러 제품군을 제공하고 있다.