16. DO-178과 인증 프로세스 (Section 10.0)

DO-178 가이드라인에서 설명하는 인증 프로세스(Certification Process)는 다른 프로세스와 달리 단순한 참고를 위해서 정리해 놓은 부분이다. 따라서 프로세스와 관련되어 실제로 수행해야 할 활동은 없다.

 

본 내용에 들어가기 앞서 한 가지 짚고 넘어갈 부분이 있다. 사실 우리가 이야기하고 있는 DO-178 인증은 우리나라의 인증이 아니라 미국의 인증이다. 따라서 그 안에 사용되는 모든 용어와 설명은 영어이며 비록 우리나라에서 그것을 사용한다고 하더라도 기본적으로는 영어로 된 DO-178 가이드라인을 기준으로 삼아야 한다. 하지만 그렇게 하기가 어렵다 보니 지금 이곳에서 필자가 하는 것처럼 한글로 번역해서 참고하는 경우도 생기게 된다. 이럴 경우 영어를 직접 보는 것 보다는 가이드라인을 보기가 쉬울 수는 있지만 영어로 된 단어나 문장이 한글로 번역되면서 자칫 잘못된 번역이 될 가능성이 높은 것도 사실이다. 필자가 지금까지 설명하면서 중간 중간 DO-178 가이드라인의 원문을 인용하고 그것에 대응하는 해석을 보여주는 것도 그런 오류의 가능성을 최소화하기 위함이다.

 

서론이 길었는데 DO-178 가이드라인의 인증 프로세스에 대한 설명을 보면 단순한 번역만으로 미처 다 설명할 수 없는 아래와 같은 내용이 나온다.

 

해석을 보자.

 

항공 업계와 인증당국은 관련된 장비를 가지고 비행하는 것에 대한 항공기 승인과 관련해서 여러가지 용어들을 사용한다. 그 용어로는 “certification”, “approval”을, 그리고 툴에 대해서는 “qualification”을 사용한다.

 

위의 설명에 나오는 “certification”, “approval”, “qualification”은 모두 한글로 번역할 경우 “인증”이라는 동일한 단어로 해석될 수 있다. 그럴 경우 한글로는 영어가 담고 있는 뉘앙스의 차이를 전혀 나타낼 수 없다. 하지만 영어로는 단어 자체를 구분해서 사용함으로써 사용된 단어만으로 의미가 구분될 수 있다.

 

위의 설명에 이어지는 내용을 보자.

 

해석을 보자.

 

“Certification”은 항공기, 엔진, 혹은 프로펠러에, 그리고 일부 인증당국에 따라서 보조 전원 유닛에 적용한다. 인증당국은 소프트웨어를 인증된 제품에 설치된 항공 시스템 혹은 장비의 일부로 간주한다. 즉, 인증당국은 소프트웨어를 하나의 유일한, 독립된 제품으로 인증하지 않는다.   임베디드 소프트웨어를 포함해서 시스템과 장비는 인증의 일부로써 받아들여 지기 위해 “approved”되어야 한다. 인증당국에 의한 승인은 소프트웨어 라이프 사이클의 제품에 대한 성공적인 시연 혹은 리뷰에 의존한다. 그러한 어떤 승인이든 현재는 오직 특정한 인증의 상황안에서만 의미를 가진다.   툴”qualification”은 section 12.2에서 논의된다.

 

위의 설명에서 중요한 것은 소프트웨어는 단독으로 인증되는 것이 아니라는 점이다. 항공기, 엔진, 프로펠러에 포함되는 수많은 시스템 혹은 장비들의 일부로써 소프트웨어는 의미를 가진다는 점을 분명하게 인식해야 한다. 따라서 소프트웨어 인증은 시스템을 떼어놓고는 생각할 수 없다. DO-178 인증에 대한 설명에서 시스템이 자주 언급되고 중요하게 다루어 지는 것은 바로 그러한 배경 때문이다.

 

원문을 보지않고 해석본을 보게 되면 위와 같은 단어의 차이를 명확하게 이해할 수 없게 되므로 필자의 개인적인 의견으로는 DO-178 가이드라인에 대해서는 영어로 된 원서를 보기를 권하고 싶다. 하지만 처음부터 그렇게 접근하기에는 너무 어렵고 힘들어 질 수도 있으므로 일종의 차선책으로 지금 이렇게 해설 자료를 정리하고 공유하는 것이기도 하다.

 

그 외에 인증 프로세스에 대해서 이해하기 위해 알아야 할 개념들은 다음과 같다.

 

(1)    인증 기준(Certification Basis) (Section 10.1)

 

우리가 DO-178 인증을 받을 때 인증 기준은 무엇일까? 당연히 지금 계속해서 이야기하고 있는 DO-178 가이드라인이다. 그런데 과연 DO-178 가이드라인은 모든 소프트웨어에 대해서 절대적인 기준이 되는 것일까? 결론적으로 그렇지 않다. 즉, DO-178 가이드라인을 모든 소프트웨어에 대해서 항상 동일하게 적용할 수는 없다는 뜻이다.

 

사실 DO-178 가이드라인 자체가 이미 그런 배경을 반영해서 작성되어 있다. 좋게 말하자면 일반화되어 있는 것이고 나쁘게 말하자면 모호하게 되어 있는 것이다. 그런 의미에서 어떤 소프트웨어든 DO-178 인증을 받으려고 하는 경우에는 가장 먼저 PSAC 문서를 작성하고 그것을 인증당국과 협의하게 되는 것이다. 여기서 협의라는 것은 다른 의미로는 ‘인증 기준’을 세우는 것이다.

 

아래 문장이 그것에 대한 설명이다.

 

해석을 보자.

 

인증당국은 지원자와 협의하여 인증을 받아야 할 제품에 대한 인증 기준을 세운다. 인증 기준은 공표된 규칙을 넘어서서 적용되어야 할 어떤 특별한 조건들과 함께 특정한 규칙을 정의한다.

 

DO-178 가이드라인이 유일한 기준이라면 굳이 위와 같이 지원자와 인증당국이 협의할 필요가 없을 것이다. 뭔가 다른 특별한 조건, 규칙이 필요할 수 있기 때문에 그렇게 하는 것이다. 참고로 이는 이미 인증을 받은 제품이 변경되는 경우에도 해당된다. 인증을 받은 것은 이미 과거의 일이고 현재 변경된 부분은 실제로 해당 제품에 어떤 영향을 미쳤을 지 아무도 장담을 못한다. 이런 상태에서 과거의 인증 기준을 그대로 적용하는 것은 변경된 부분뿐만 아니라 제품 자체의 안전성을 전혀 담보할 수 없게 된다. DO-178 가이드라인에서는 아래와 같이 설명하고 있다.

 

해석을 보자.

 

인증받은 제품이 수정되면 인증당국은 그 수정이 원래의 인증 기준에 미친 충격을 고려한다. 어떤 경우에는 수정에 대한 인증 기준이 원래의 인증 기준으로부터 변경되지 않을지 모른다. 하지만 원래의 준수 방법이 그 변경이 인증 기준을 따르는 것을 보여주지 못할 수도 있으며 변경될 필요가 있을 수도 있다.

 

결론적으로 DO-178 가이드라인을 기준으로 삼고 개발하고자 하는 소프트웨어에 맞는 인증기준을 인증당국과 세운 후에 공식적인 개발과 인증이 진행될 수 있다는 점을 명심하자.

 

(2)    인증당국의 평가 방법

 

인증 기준이 세워졌다는 것은 PSAC 문서가 인증당국의 합의를 받아서 작성이 완료되었다는 것을 의미한다. 이제 다음 단계는 인증 기준을 제대로 따르는 지를 평가하는 것이다. 그리고 그것은 당연히 인증당국과 합의한 PSAC 문서가 기준이 된다. 즉, PSAC에 작성된 것과 일치하는지 그리고 그 결과가 완전한지를 평가하는 것이다. 물론 그 과정에서 잘못된 부분은 인증당국에 의해서 이슈로 처리되고 이는 최종 인증을 받기 전에 반드시 처리가 완료되어야 한다.

 

한편 인증당국의 평가에서 놓치지 말아야 할 부분이 바로 시스템 안전성 평가에 대한 부분이다. 실전에서 보면 자칫 소프트웨어 자체에만 매달려서 진행하게 되는 경우가 많은데 소프트웨어 개발 과정에서의 이슈나 변경이 있을 수 있지만 시스템 차원에서도 여러가지 변수가 생길 수 있기 때문에 그런 부분을 놓치지 않도록 항상 유의해야 한다.

 

(3)    인증의 최종 결정

 

인증당국이 최종적으로 인증을 결정하는 것에 대해서 DO-178 가이드라인은 다음과 같이 설명하고 있다.

 

해석을 보자.

 

인증에 앞서 인증당국은 인증기준을 따르는 시스템 혹은 장비의 소프트웨어 특성을 포함해서 인증받을 제품을 결정한다. 소프트웨어에 대해서는 SAS(Software Accomplishment Summary)와 준수에 대한 증거를 리뷰함으로써 완수하게 된다. 인증당국은 인증에 대한 소프트웨어 특성에 대한 개요로써 SAS를 사용한다.

 

결국 인증은 인증당국이 앞에서 설명한 인증기준에 따라서 SAS와 증빙을 리뷰하는 것으로 완수되는 것이다. 여기서 무엇보다도 SAS(Software Accomplishment Summary)가 핵심이라는 것을 알 수 있다. 추후 SAS에대해서 자세히 설명하겠지만 DO-178 인증의 마무리는 SAS를 제대로 작성하는 것이라는 점을 기억하자.