MISRA C에서 동적 메모리 할당과 재귀 호출을 제한해 코드 예측 가능성을 높이는 구조

자동차 임베디드 SW 입문: MISRA C부터 AUTOSAR, MBD까지

작성자:

자동차 임베디드 SW를 처음 보면 용어부터 너무 복잡합니다. MISRA C, ISO 26262, ASPICE, AUTOSAR, MBD. 채용공고에는 계속 보이는데, 막상 하나씩 찾아보면 서로 다른 얘기처럼 보입니다.

그런데 이 키워드들은 따로 외우면 잘 안 잡힙니다. 특히 양산과 안전이 얽힌 자동차 소프트웨어에서는 안전하게 만들고, 같은 품질로 다시 만들 수 있게 하고, 만든 과정을 증명하는 것이 중요해집니다. MISRA C는 코드 쪽, ISO 26262는 기능안전 쪽, ASPICE는 프로세스 쪽, AUTOSAR는 아키텍처 쪽, MBD와 V-Model은 설계와 검증 흐름 쪽에 가깝습니다.

영상 제목은 일부러 조금 세게 잡았습니다. “그냥 코딩하면 1조 원 날아갑니다.” 모든 코드 문제가 그런 비용으로 이어진다는 뜻은 아닙니다. 다만 자동차 SW에서는 작은 코드 문제도 리콜, 재검증, 양산 지연, 공급사 평가 문제로 번질 수 있습니다. 그래서 그냥 돌아가는 코드만으로는 부족합니다.

다만 MISRA C, ISO 26262, ASPICE, AUTOSAR, MBD가 모든 자동차 SW에 같은 깊이로 적용되는 것은 아닙니다. OEM, 프로그램, 부품의 안전 관련성, 공급 범위에 따라 적용 범위와 산출물이 달라질 수 있습니다.

유튜브 영상으로 먼저 보기

MISRA C, ISO 26262, ASPICE, AUTOSAR가 왜 같이 나오는지 영상으로 정리했습니다.

글은 검색하면서 다시 보기 좋게 풀어 쓴 버전이고, 큰 흐름은 영상으로 보면 더 빨리 잡힙니다. 자동차 임베디드 SW 용어가 처음이라면 영상부터 보고 아래 글을 읽어도 좋습니다.

유튜브에서 영상 보기

30초 요약: 자동차 임베디드 SW 표준을 이렇게 보면 됩니다

  • MISRA C: C언어를 안전이 중요한 시스템에서 덜 위험하게 쓰기 위한 규칙
  • ISO 26262: 고장이 났을 때 위험을 줄이기 위한 기능안전 프레임워크
  • Automotive SPICE: 요구사항, 설계, 코드, 테스트가 이어지는지 보는 프로세스 역량 모델
  • AUTOSAR: ECU 소프트웨어를 계층화하고 인터페이스를 표준화하려는 구조
  • MBD / V-Model: 모델, 코드, 검증을 끊기지 않게 연결하려는 개발 흐름

임베디드 개발 전체 로드맵이 먼저 필요하다면 임베디드 개발자 로드맵을 먼저 보고 오는 편이 좋습니다. 이 글은 그중에서도 자동차 임베디드 SW 쪽에서 자주 부딪히는 표준과 프로세스 용어를 다룹니다.

자동차 임베디드 SW 입문자가 먼저 알아야 할 것

  • 자동차 임베디드 SW 취업을 준비하는 분
  • 채용공고에서 MISRA C, ISO 26262, ASPICE, AUTOSAR를 보고 막힌 분
  • 펌웨어는 공부했는데 자동차 쪽 개발 프로세스가 낯선 분
  • 면접에서 “자동차 SW는 일반 임베디드와 뭐가 다르냐”는 질문에 답을 만들고 싶은 분

MISRA C, ISO 26262, ASPICE, AUTOSAR, MBD는 어떻게 연결될까?

많은 자동차 양산 프로젝트에서는 요구사항부터 설계, 코드, 테스트, 검증까지 이어지는 흐름을 추적 가능하게 남기는 것이 중요합니다. 이때 각 키워드가 맡는 역할이 조금씩 다릅니다. 펌웨어, 제어, 검증, 자동차 SW 분야가 어떻게 나뉘는지는 임베디드 SW 분야 5가지 글에서 따로 정리했습니다.

키워드주로 다루는 영역처음 잡아야 할 포인트
MISRA C코딩 규칙C언어를 안전하게 쓰기 위한 제한
ISO 26262기능안전고장이 나도 위험을 관리하는 설계
ASPICE개발 프로세스 역량요구사항부터 테스트까지 추적 가능한가
AUTOSARECU SW 아키텍처소프트웨어를 계층으로 나누고 인터페이스를 표준화
MBD / V-Model설계와 검증 흐름모델, 코드, 테스트를 연결하는 방식

여기서 중요한 건 용어를 다 외우는 게 아닙니다. “왜 이런 것들이 자동차 업계에서 계속 나오는지”를 이해하는 게 먼저입니다.

MISRA C: 자동차 C 코드에서 위험한 패턴을 줄이는 규칙

자동차 임베디드에서 C언어를 정말 많이 사용합니다. 문제는 C언어가 자유도가 너무 높다는 점입니다. 포인터도 강력하고, 메모리도 직접 다룰 수 있고, 잘 쓰면 빠르고 가볍습니다. 반대로 말하면 이상하게 써도 컴파일은 되는 경우가 많습니다.

MISRA C를 한마디로 줄이면, C언어의 위험한 자유도를 프로젝트가 감당 가능한 수준으로 묶어두는 규칙입니다. 동적 메모리 할당을 보수적으로 다루고, 재귀 호출처럼 최악 조건에서 스택 사용량을 예측하기 어려운 구조를 제한합니다. “예쁘게 코딩하자”보다 “위험한 패턴을 줄이자”에 더 가깝습니다.

AUTOSAR에서 Application Software, RTE, Basic Software가 계층으로 나뉘는 대표 구조
AUTOSAR는 ECU 소프트웨어를 계층화해 하드웨어 의존성을 줄이고, 인터페이스와 재사용성을 관리하려는 대표적인 구조입니다.

취준생 입장에서 MISRA C 룰을 전부 외울 필요는 없습니다. 동적 메모리, 재귀, 애매한 형변환, 부작용이 있는 표현을 왜 자동차 코드에서 조심하는지 이해하는 쪽이 먼저입니다. 실무에서는 정적 분석 도구, 코드 리뷰, 프로젝트 코딩 룰과 함께 운영됩니다. 대신 왜 이런 룰이 필요한지 정도는 말할 수 있어야 합니다. “자동차 SW는 예측 가능성이 중요해서 C언어의 위험한 사용 패턴을 줄인다.” 이 정도로 잡으면 시작은 됩니다.

ISO 26262: 기능안전은 코드보다 시스템 관점에서 시작됩니다

코드가 MISRA C에 맞게 잘 작성됐다고 해서 시스템이 자동으로 안전해지는 건 아닙니다. 설계 자체가 잘못됐다면, 코드는 그 잘못된 설계를 아주 충실하게 수행할 수도 있습니다.

ISO 26262는 코드 스타일 표준이 아니라, 자동차 전기전자 시스템의 오동작이 위험 상황으로 이어질 수 있을 때 그 위험을 어떻게 분석하고 줄일지 다루는 기능안전 표준입니다. 여기서는 어떤 기능이 고장났을 때 얼마나 위험한지, 운전자가 회피할 수 있는지, 그 상황에 얼마나 노출되는지 같은 것을 따져봅니다. 그 결과에 따라 안전 활동의 깊이도 달라집니다.

ISO 26262 기능안전에서 심각도 노출도 제어 가능성으로 ASIL 등급을 판단하는 구조
ISO 26262에서는 item 정의와 위험 분석을 바탕으로 기능안전 활동의 깊이가 달라집니다. ASIL은 그냥 외우는 등급표가 아닙니다.

여기서 조심해야 할 점이 있습니다. ISO 26262가 모든 자동차 코드에 똑같이 적용된다고 말하면 부정확합니다. 기능안전 관련 item인지, 위험 분석 결과가 어떤지, 고객 요구사항이 무엇인지에 따라 범위가 달라집니다. ASIL도 그냥 “A보다 D가 높다” 정도로만 보면 안 되고, item 정의와 HARA 결과에서 출발합니다.

ASPICE: 요구사항부터 테스트까지 추적 가능한 개발 프로세스

ASPICE는 처음 들으면 되게 딱딱합니다. 그런데 아주 거칠게 비유하면 식당 운영에 가깝습니다. 한 번 맛있는 음식이 나왔다고 해서 그 식당이 체계적인 건 아닙니다. 다음에도 같은 맛을 낼 수 있는지, 다른 사람이 해도 같은 품질이 나오는지, 문제가 생겼을 때 원인을 추적할 수 있는지가 중요합니다.

Automotive SPICE 프로세스 역량을 식당과 프랜차이즈 비유로 설명한 이미지
ASPICE는 한 번 결과물을 냈느냐보다, 다음 프로젝트에서도 같은 품질을 낼 수 있는 개발 체계가 있는지를 봅니다.

자동차 SW에서도 비슷합니다. 고객 요구사항이 있었고, 그 요구사항이 시스템 설계와 소프트웨어 설계로 내려갔고, 코드로 구현됐고, 테스트로 확인됐다는 연결고리가 있어야 합니다. 이걸 추적성이라고 부릅니다.

일부 OEM이나 프로그램에서는 공급사 평가 기준으로 Automotive SPICE 역량 수준을 요구하기도 합니다. 다만 모든 회사, 모든 프로젝트가 같은 방식으로 움직인다고 단정하면 안 됩니다. 실제 적용 범위와 깊이는 고객사, 제품, 조직 프로세스에 따라 달라집니다.

AUTOSAR: ECU 소프트웨어 아키텍처와 인터페이스 표준화

과거에는 부품사마다 소프트웨어 구조가 제각각인 경우가 많았습니다. 그러면 하드웨어가 바뀌거나 공급사가 바뀔 때 소프트웨어 재사용이 어려워집니다. 자동차처럼 ECU가 많고, 여러 회사가 같이 개발하는 환경에서는 이 문제가 커집니다.

AUTOSAR는 ECU 소프트웨어를 계층화하고, 인터페이스를 표준화하려는 흐름입니다. Application Software, RTE, Basic Software 같은 계층으로 나누면서 제어 로직과 하드웨어 의존적인 부분을 분리하려고 합니다.

AUTOSAR에서 Application Software RTE Basic Software가 계층으로 나뉘는 구조
AUTOSAR는 ECU 소프트웨어를 계층화해 하드웨어 의존성을 줄이고, 인터페이스와 재사용성을 관리하려는 표준 구조입니다.

물론 AUTOSAR를 쓰면 모든 게 자동으로 해결되는 건 아닙니다. 설정도 복잡하고, 도구 체인도 필요하고, 조직이 그 방식에 익숙해야 합니다. 그래서 취준생 입장에서는 “AUTOSAR는 자동차 OS다” 정도로 끝내기보다, ECU SW를 계층화하고 인터페이스를 관리하는 구조라고 이해하는 편이 낫습니다.

MBD와 V-Model: 요구사항, 코드, 테스트를 끊기지 않게 연결하기

자동차 개발 프로세스에서 V-Model 이야기도 자주 나옵니다. 왼쪽은 요구사항과 설계가 점점 내려가는 과정이고, 오른쪽은 유닛 테스트, 통합 테스트, 시스템 테스트처럼 다시 검증해 올라오는 과정입니다.

핵심은 왼쪽 산출물과 오른쪽 검증 활동이 서로 대응되어야 한다는 점입니다. 요구사항이 있으면 그 요구사항을 만족하는 설계가 있어야 하고, 그 설계를 구현한 코드가 있어야 하며, 그 코드가 맞는지 확인한 테스트가 있어야 합니다.

MBD 모델 기반 개발에서 텍스트 기반 코딩에서 시각 모델링과 시뮬레이션으로 넘어가는 흐름
MBD는 코딩이 사라진다는 뜻이 아니라, 모델을 중심으로 설계와 시뮬레이션, 코드 생성, 검증을 연결하는 접근입니다.

MBD는 이 흐름을 모델 중심으로 돌리는 접근입니다. 모델이라고 해서 검증이 느슨해지는 것은 아닙니다. MATLAB/Simulink 같은 도구로 제어 로직을 모델링하고, 시뮬레이션으로 먼저 확인하고, 필요하면 코드 생성과 SIL, PIL, HIL 같은 검증 흐름으로 이어갑니다. 단, MBD가 “그냥 모델 그리면 양산 코드가 자동으로 나온다”는 뜻은 아닙니다. 모델링 규칙, 코드 생성 설정, 검증 체계가 같이 있어야 합니다.

자동차 임베디드 SW 취업 준비는 무엇부터 보면 좋을까?

처음부터 모든 표준 문서를 깊게 파려고 하면 금방 지칩니다. 제 생각에는 순서를 조금 나눠서 보는 게 좋습니다. 시장 흐름까지 같이 보고 싶다면 2026 임베디드 개발자 전망 글도 같이 보면 방향을 잡기 쉽습니다.

  1. 먼저 자동차 임베디드 SW가 왜 안전과 품질을 중요하게 보는지 이해합니다.
  2. MISRA C로 코드 품질과 정적 분석의 감을 잡습니다.
  3. ISO 26262로 기능안전이 “코드 문제가 아니라 시스템 문제”라는 걸 봅니다.
  4. ASPICE로 요구사항, 설계, 코드, 테스트가 왜 연결되어야 하는지 봅니다.
  5. AUTOSAR와 MBD는 실제 프로젝트에서 구조와 도구가 어떻게 붙는지 보는 식으로 접근합니다.

면접에서도 비슷합니다. “MISRA C는 몇 번째 룰이 뭐고…”보다, 왜 자동차에서는 위험한 C 문법을 제한하는지, 왜 요구사항과 테스트의 추적성이 중요한지, 왜 아키텍처를 표준화하려고 하는지 설명하는 쪽이 더 자연스럽습니다.

MISRA C, ISO 26262, ASPICE, AUTOSAR, MBD 차이 정리

  • MISRA C는 인증서라기보다 C언어 사용 규칙에 가깝습니다.
  • ISO 26262는 모든 코드를 똑같이 보는 게 아니라 기능안전 관련 범위에서 다룹니다.
  • ASPICE는 결과물이 아니라 개발 프로세스 역량을 보는 모델입니다.
  • AUTOSAR는 단순히 OS라고 부르기보다 ECU SW 아키텍처와 인터페이스 표준화 관점으로 보는 게 낫습니다.
  • MBD는 코딩을 없애는 자동으로 끝나는 일이 아니라 모델, 코드, 검증을 연결하는 개발 접근입니다.

자주 묻는 질문

자동차 임베디드 SW를 공부할 때 MISRA C부터 봐야 하나요?

처음부터 MISRA C 규칙 전체를 외우려고 하면 금방 지칩니다. 먼저 자동차 C 코드에서 왜 예측 가능성, 정적 분석, 코드 리뷰가 중요한지 잡는 편이 좋습니다. 룰 암기는 그다음입니다.

MISRA C를 지키면 자동차 SW가 안전해지나요?

그렇게 단순하게 보면 위험합니다. MISRA C는 코드 레벨의 리스크를 줄이는 데 도움이 됩니다. 하지만 시스템 안전은 요구사항, 아키텍처, 고장 분석, 검증까지 같이 봐야 합니다. 코드가 깨끗해도 설계가 잘못되면 안전하다고 말하기 어렵습니다.

ISO 26262는 모든 자동차 소프트웨어에 적용되나요?

기능안전 관련 item인지, 위험 분석 결과가 어떤지, 고객 요구사항이 무엇인지에 따라 범위가 달라집니다. 모든 코드를 똑같은 강도로 다룬다고 보면 안 됩니다.

ASPICE는 코딩 실력과 상관없는 문서 작업인가요?

문서만 만드는 일로 보면 본질을 놓칩니다. ASPICE에서 중요한 건 요구사항, 설계, 코드, 테스트가 연결되어 있는지입니다. 실무에서는 내 코드가 어떤 요구사항에서 나왔고 어떤 테스트로 확인됐는지 설명할 수 있어야 합니다.

AUTOSAR를 처음 공부할 때 어디부터 보면 좋나요?

처음부터 설정 파일이나 툴 사용법으로 들어가면 힘듭니다. 먼저 ASW, RTE, BSW가 왜 나뉘는지, 제어 로직과 하드웨어 의존성을 왜 분리하려는지부터 보는 게 좋습니다.

MBD를 쓰면 코딩을 안 해도 되나요?

그렇지 않습니다. MBD는 모델, 시뮬레이션, 코드 생성, 검증을 연결하는 접근입니다. 모델도 코드처럼 검증 대상이고, 모델링 규칙과 SIL/PIL/HIL 같은 검증 결과가 같이 남아야 실무 흐름에 올라탈 수 있습니다.

마무리

자동차 임베디드 SW에서 “코딩 잘한다”는 말은 예전보다 범위가 넓어졌습니다. 코드를 짜는 것도 중요하지만, 그 코드가 어떤 요구사항에서 나왔는지, 어떤 설계에 속하는지, 어떤 테스트로 검증됐는지까지 같이 설명할 수 있어야 합니다.

이 글에서는 전체 지도를 먼저 잡았습니다. 다음에는 MISRA C, ISO 26262, ASPICE, AUTOSAR, MBD를 각각 조금 더 실무 관점으로 쪼개서 정리해보겠습니다.

공식 문서와 참고 링크

표준은 회사나 프로젝트마다 적용 범위가 달라질 수 있습니다. 아래는 용어를 더 확인할 때 참고할 만한 공식 또는 1차 출처입니다.

같이 보면 좋은 글

원래 네이버 블로그에 올렸던 영상 요약 글은 아래 링크에서 확인할 수 있습니다. 워드프레스 버전은 영상 대본을 바탕으로 문장과 구조를 다시 정리했습니다.

네이버 블로그 원문 보기 · 유튜브 영상 보기

댓글 남기기