2. DO-254에 대한 이해

일반적으로 DO-254는 DO-178과 유사한 부분이 많은 것으로 알려져 있다. 특히 DO-254가 만들어진 배경에 대한 일부 설명을 보면 마치 DO-254가 DO-178을 거의 그대로 가져온 것처럼 보이기도 한다. 그래서인지 필자는 DO-254를 DO-178에서 일부분만 수정한 문서라는 선입견을 가지고 있었던 것이 사실이다. 그리고 그것은 DO-254가 별 것 없다(?)는 근거없는 자신감을 가지게 하기도 했다.

 

하지만 DO-254 가이드라인에 대한 포스팅을 시작하는 지금은 완전히 다른 생각을 가지고 있다. 비록 외형적으로는DO-178과의 유사성을 가지고 있는 것이 사실이지만 그 안에 포함된 내용들은 철저하게 하드웨어에 기반해서 완전히 새롭게 작성되었다는 것이다. 사실 그것이 당연한 것이다. 만약 DO-178의 내용을 그대로 가져오는 부분이 있다면 아예 공식적으로 ‘DO-178을 참조하라’는 내용으로 작성되었을 것이기 때문이다. (실제로 툴인증과 관련된 섹션에서는 DO-178B를 참고하라고 설명하는 부분이 있다)

 

혹시라도 그런 분이 있다면 앞으로 나오게 될 DO-254에 대한 설명들은 앞서 설명한 선입견들을 완전히 버리고 받아들이도록 하자.

 

2.1. DO-254의 탄생

 

필자가 System Safety와 관련된 포스팅에서 아래와 같은 그림을 설명한 적이 있다.

 

 

위의 그림은 DO-178이 1980년대에 만들어 진데 반해서 DO-254는 그 보다 20여년이 지난 2000년대에 만들어 졌다는 것을 보여준다. 생각보다 상당히 늦게 만들어 진 것이다. 필자가 번역한 인증지침서에는 그 이유를 아래와 같이 소개하고 있다.

 

※ 출처: Avionics Certification: A Complete Guide to DO-178 (software), DO-254 (hardware) / Vance Hilderman, Tony Baghi

 

해석을 보자.

 

그것은 178B와 같은 설계 프로세스를 가지고 있다; 지원 프로세스, V&V, 검증, 형상관리, 품질 보증 (“프로세스 보증”이라는 용어로). 그것은 178B와 상당히 유사하게 보이는데 그 이유는 같은 사람들 상당수가 그것을 작성했기 때문이다. 그 위원회를 시작한 이유는 소프트웨어 사람들이 다음과 같이 말했기 때문이다. “기능을 펌웨어로 바꾸자. 그래서 만약 우리가 그것을 하드웨어 혹은 펌웨어로 부르면 178B를 따르지 않아도 된다.” FAA는 그것을 멈추게 하고 위원회를 시작했다. 우리는 VHDL, HDL 그리고 실리콘 기반 로직상에 배치하는 어떤 것이든 개발을 컨트롤하기 위해 178B와 유사하게 보이는 프로세스를 함께 두었다.

 

우선 문장의 앞부분에서 DO-254와 DO-178의 유사성을 설명하고 있다. 즉, DO-178과 같은 프로세스를 가져왔고 무엇보다도 DO-178을 만든 사람들 중 동일한 많은 사람들이 DO-254를 만들었기 때문에 유사한 점이 많다는 것이다. 그리고 이어지는 설명에서 당시 소프트웨어 개발자들이 DO-178 인증을 회피할 목적으로 자신들이 만드는 소프트웨어를 하드웨어 혹은 펌웨어(참고: 당시는 펌웨어를 하드웨어로 판단)라고 주장하였기 때문에 그것을 막기 위해서 DO-254가 만들어 졌다는 것을 설명하고 있다.

 

참고) 필자가 앞서 DO-254가 DO-178과 유사하며 그래서 DO-254를 쉽게(?) 생각한 이유가 바로 위의 설명이 큰 역할을 했다. 지금와서 다시 살펴보니 무조건 그렇게 받아들일 만한 설명은 아니었다는 것을 깨닫게 된다.

 

다소 어이가 없어 보이는 DO-254의 탄생 배경이 설명되고 있지만 근본적으로는 기술발전과 위험도의 증가에 따른 자연스런 결과였다고 봐야 할 것이다. 다만 당시에 먼저 만들어졌던 DO-178이 참고자료가 되었던 것뿐이고 실제 내용은 앞서 설명한 것처럼 하드웨어에 대해서 완전히 새롭게 작성되었다는 것을 명심하자.

 

2.2. DO-254 인증의 대상

 

DO-254는 기본적으로 항공기에 탑재되는 하드웨어에 대한 인증이라는 것은 이 글을 보시는 분들이라면 다들 알고 있을 것이다. 그런데 여기서 하드웨어라면 과연 어느 범위까지를 말하는 것일까? 우선 앞서 보았던 인증지침서의 내용 중에 그에 대한 설명이 나온다.

 

 

해석을 보자.

 

우리는 VHDL, HDL 그리고 실리콘 기반 로직상에 놓이는 어떤 것이든 개발을 컨트롤하기 위해 178B와 유사한 프로세스를 함께 두었다.

 

참고로 앞으로 설명에서 HDL, VHDL과 같은 하드웨어 관련 분야의 용어나 개념에 대한 설명까지는 하지 않겠다. 아마도 이 글을 보시는 분들이라면 최소한 필자보다는 그런 것들에 대한 지식이나 경험이 더 많을 것이다. 필자는 막연한 개념을 구글링과 관련 자료들을 참고해서 보완한 상태라고 할 수 있는데 일단 그 정도 수준에서도 DO-254에 대한 이해는 가능하다고 판단되어서 그런 배경으로 앞으로 설명을 해 나갈 것이다. 혹시라도 중간에 오류가 발견되면 언제든 지적해 주시기 바란다.

 

어쨌든 위의 문장이 말하는 것은 결론적으로 항공기에 탑재되는 하드웨어 설계를 위해 HDL(Hardware Description Language)을 사용하는 경우라면 DO-254 인증을 받아야 한다는 의미이다. 여기서 HDL을 사용한다는 것은 단순하게 보자면 그 만큼 제작할 하드웨어가 복잡하다는 것을 말한다. 만약 HDL를 사용하지 않고도 만들 수 있는 하드웨어라면 그 만큼 간단하다는 것이고 그런 경우에는 굳이 DO-254 인증을 받지 않아도 된다. 참고로 여기서 ‘간단하다’의 의미는 해당 하드웨어의 모든 적용가능한 케이스에 대한 시험을 수행할 수 있고 그 결과로 하드웨어의 안전성이 완벽하게 확인된다는 의미이다.

 

조금 더 인증 관점에서 이해를 하기 위해 다음 그림을 보자. 필자가 구글링으로 검색하다가 DO-254에 대해서 아주 잘 설명하고 있다고 판단되어 가져온 그림이다.

 

그림 2 항공기 인증 프로세스내의 DO-254 인증

※ 출처:

https://nepp.nasa.gov/mapld_2008/presentations/t/09%20-%20Lange_Michelle_mapld08_pres_1.pdf

 

사실 위의 그림은 DO-254를 포함한 항공 장비의 인증 과정에 대한 핵심을 제대로 보여주고 있다. 처음 보는 분들이라면 위의 그림에 대한 해석이 잘 안될 것 같은데 이해를 돕기 위해서 전체적인 흐름을 정리하자면 아래와 같다.

 

①     탑재될 항공기를 기준으로 시스템에 대한 안전성 평가를 수행 – System Safety Assessment

②     시스템에 포함되는 컴포넌트에 대한 위험레벨(DAL)을 선정 – DAL of Component

③     FPGA/ASIC을 DO-254 기준으로 제작 후 DER의 감사를 받음 – FPGA/ASIC

④     DER이 FPGA/ASIC에 대한 승인 결과를 FAA에 제출 – DO-254 Compliance

⑤     DO-254 인증을 받은 컴포넌트가 탑재된 시스템에 대해서 형식승인을 받음 – Type Certificate(ATC/TC/STC)

 

위의 과정을 보면 DO-254가 항공장비의 일부를 구성하는 컴포넌트 중 FPGA/ASIC으로 제작되는 것들을 대상으로 하며 그것을 제작하는 단계에 적용된다는 것을 확인할 수 있을 것이다.

 

참고로 위의 그림에서 FPGA/ASIC을 SOFTWARE로 바꾸면 소프트웨어에 대한 DO-178 인증을 설명하는 것으로 똑같이 적용할 수 있다. 여담이지만 DO-178 포스팅을 하면서 이런 형태로 설명을 하고 싶었는데 이제서야 적당한 것을 찾은 것 같다. 혹시 위의 내용 중 형식승인에 대한 부분이 궁금한 분은 구글링을 하거나 필자의 다른 포스팅을 참고하시기 바란다.

 

2.3. DO-254 인증과 준용

 

‘DO-178 인증과 준용’이라는 포스팅에서 아래와 같은 용어를 소개한 적이 있다.

 

그림  SEQ 그림 \* ARABIC 3 인증 관련 용어 구분

※ 출처: Avionics Certification: A Complete Guide to DO-178 (software), DO-254 (hardware) / Vance Hilderman, Tony Baghi

 

사실 그 포스팅에서 ‘DO-178’을 ‘DO-254’로, ‘소프트웨어’를 ‘하드웨어’로 바꾸게 되면 DO-254에도 동일하게 적용되는 내용이 된다. 따라서 같은 내용을 다시 설명할 필요는 없을 것 같으므로 세부 내용은 해당 포스팅을 참고하기 바라며 여기서는 혹시라도 헷갈려 하실 분들을 위해서 앞 절의 그림에서 ‘DO-254 Compliance’라고 설명한 부분을 잠시 짚고 넘어가려고 한다.

 

해당 부분을 다시 한 번 자세히 보자.

 

 

‘DO-254 Compliance’의 하단을 보면 ‘DER이 FAA로 ASIC/FPGA의 승인을 추천하는 8110-3 양식을 보낸다’고 설명하고 있다. 그것이 ‘DO-254 Compliance’라는 것인데 여기서 ‘Compliance’는 그림 3의 ‘Compliant’와는 다른 의미로 사용된 것이다. 그림 3의 ‘Compliant’는 FAA가 아닌 다른 인증당국(우리나라를 예를 들면 방사청, 공군 등)으로부터 인증을 받는 것을 말하며 그림 2의 ‘Compliance’는 ‘DO-254 인증 기준(Objectives)을 준수(Compliance)했다’라는 의미로 사용된 것이다. 우리말도 그렇지만 같은 단어라고 하더라도 문맥으로 이해해야 한다는 것을 보여주는 것이라고 할 수 있다. DO-254 가이드라인 원문을 보게 될 경우 이런 점을 염두에 둘 필요가 있다.

 

지금까지 DO-254를 이해하기 위한 배경을 설명했다. DO-254를 처음 접하시는 분들에게는 다소 부족할 수도 있을 것 같은데 사실 DO-254에 대한 배경설명은 어떻게 보면 DO-178에 대한 배경설명으로도 커버가 될 수 있는 부분이다. 중간 중간 제시한 관련 링크를 포함해서 DO-178의 아래 포스팅들을 살펴보는 것도 앞으로 나올 DO-254 가이드라인에 대한 이해에 도움이 될 것이다. 물론 DO-178을 이해하고 있는 분들이라면 곧바로 다음 절로 들어가도 전혀 문제가 없을 것이다.

 

 

타이틀	링크
2. 감항인증에 대한 이해	바로가기
3. DO-178과 감항인증	바로가기
4. DO-178 인증과 준용	바로가기
5. DO-178 준용의 기준	바로가기

 

 

이제 본격적으로 DO-254의 세계로 들어가 보자.