27. DO-178과 System Safety (1)

 

※ 출처) https://www.slideshare.net/avinashkonkani/ergonomics-in-medical-device-design

 

혹시 위와 같은 그림을 본적이 있는가? 처음 본 분이라면 위의 그림이 무엇을 설명하는 것인지 한 번 생각해보자.

 

위의 그림은 필자가 처음 ‘시스템 안전성(System Safety)’이라는 것을 접하면서 본 그림이었다. 결론적으로 위의 그림은 초기의 항공기 개발이 그림에서처럼 실제 비행을 해보고 혹시 추락을 하거나 문제가 확인되면 수정을 한 후에 다시 비행을 했다는, 지금 생각하면 그야말로 무식하기 그지없는 방법으로 진행되었다는 것을 보여주는 것이다. 지금이라면 전혀 상상할 수 없는 방법이지만 실제로 ‘Fly-Fix-Fly Methodology’라는 용어로 공식적으로 사용된 방법론의 하나였다. 다른 말로는 ‘Try-and-Error’라고도 불리기도 했다.

 

이번 절에서는 위의 방식과는 비교할 수 없을 정도로 발전한 시스템 안전성과 관련된 내용을 설명한다. 본격적인 설명에 앞서 잠시 필자의 개인적인 의견을 먼저 언급을 하고 가는 것이 우선일 것 같다. 사실 필자는 항공기와 관련된 시스템 차원의 실무 경험이 없다. 그래서 이 부분을 필자가 개인적으로 학습한, 일부는 DO-178 인증과정에서 간접적으로 접한 내용으로 설명하는 것이 여러분들에게 도움이 될 지에 대해서 고민되는 부분이 있다.

 

한편으로는 DO-178 인증과 관련해서 참고자료를 소개하는 것에 있어서도 수 많은 자료들을 이곳에 모두 담을 수는 없다는 현실적인 한계도 있어서 비록 단 두 개라고는 하지만 과연 필자가 경험하지도 못하고 잘 알지도 못하는 ARP4754와 ARP4761에 대해서 소개하는 것이 얼마나 의미가 있을까라는 생각도 드는 것이 사실이다.

 

필자가 지금까지 설명해 온 DO-178에는 시스템과 관련된 부분이 반드시 포함되어야 하는 이슈가 있다. 이는 DO-178 인증을 받으려고 하는 사람이라면 누구나 시스템 안전성 평가(System Safety Assessment)에 대해서 알아야 한다는 의미이다. 그래야 인증을 진행할 수 있고 DER을 상대할 수 있다. 최소한 DER에게 질문이라도 할 수 있다.

 

여기에 ARP4754과 ARP4761을 소개하는 것은 바로 그것을 가능하도록 하기 위해 이 글들이 조금이라도 도움이 되었으면 하는 의도를 담고 있다. 혹시 실제로 DO-178을 준비하는 분이라면 필자의 설명이 충분하지 않을 수도 있을 것이다. 그렇다고 그냥 넘어가지 말고 관련된 자료들을 직접 찾아보거나, 가능하다면 DER에게 문의를 하자. 그렇게 해서라도 인증 초기에서부터 이 부분을 놓치지 말고 꼭 챙기기를 바란다. 어차피 실제 진행과정에서 DER로부터 지적을 받고 준비하게 될 부분이기 때문이다.

 

사설이 길었는데 이제 본격적으로 시작해 보자.

 

 

(1)   DO-178과 System Safety의 관계

 

DO-178 가이드라인에는 아래와 같이 시스템과 관련해서 설명하는 부분이 있다.

 

중간에 붉은색으로 표시된 부분을 보면 시스템 안전성 평가, 즉 System Safety Assessment라는 문구를 확인할 수 있다. 이번 절부터 이야기하게 될 내용이 바로 이것이라고 할 수 있다. 참고로 위의 전체적인 내용에 대해서는 필자가 포스팅한 다른 글을 참고하기 바란다.

 

그렇다면 시스템 안전성 평가란 무엇일까? 단어만으로도 대충 짐작이 가겠지만 DO-178에서 말하는 개념을 정확하게 확인하기 위해서 우선 DO-178 가이드라인에서의 정의를 보자.

해석을 보자.

 

시스템 안전성 평가 프로세스 – 안전성과 관련된 요구사항을 만족한다는 것을 보여주기 위해 제안된 시스템에 대한 지속적이고 체계적이며 포괄적인 평가. 이 프로세스내에 주요 활동으로는 다음을 포함한다: Functional Hazard Assessment, Preliminary System Safety Assessment, 그리고 System Safety Assessment. 활동의 엄격성은 위험도, 복잡도, 혁신성, 그리고 우려되는 시스템의 관련 서비스 경험에 의지할 것이다.

 

참고로 여기에서 말하는 ‘시스템’이라는 것은 항공기 자체를 말하는 것으로 볼 수도 있고 항공기 내부의 각각의 시스템을 말하는 것으로도 볼 수 있다. 설명에 따라서 그 범위가 조금씩 차이가 있을 수 있지만 일단 우리가 관심을 가지고 있는 DO-178의 대상이 되는 소프트웨어의 상위레벨이라는 관점으로 이해를 하자.

 

위의 설명에서 키워드를 뽑아 보면 아래와 같다.

 

-       Safety-related requirements (안전성과 관련된 요구사항)

-       Functional Hazard Assessment (FHA)

-       Preliminary System Safety Assessment (PSSA)

-       System Safety Assessment. (SSA)

 

우선 ‘안전성과 관련된 요구사항(Safety-related requirements)’이 나오는 데 이것은 우리가 일반적으로 생각하는 ‘기능(Function)과 관련된 요구사항’과는 또 다른 요구사항을 말한다. 즉, 안전성과 관련된 요구사항이 별도로 존재하는 것이다. 물론 요구사항을 정의하면서 안전성이 반영된 기능적인 요구사항이 정의될 수 있겠지만 여기서 중요한 것은 안전성에 대한 요구사항을 별도로 고려한다는 점이다.

 

그 다음으로 나오는 FHA, PSSA, SSA는 시스템 안전성 평가를 하는 핵심 활동들을 말한다. 즉, FHA, PSSA, SSA라는 핵심 활동들을 통해서 안전성 평가가 이루어지는 것이다. 참고로 위에서 나오는 SSA는 이번 절의 주제라고 할 수 있는 시스템 안전성 평가 프로세스(System Safety Assessment Process) 내에서 수행되는 활동 중 하나를 지칭하는 것이다. FHA, PSSA, SSA를 모두 포함해서 포괄적으로 시스템 안전성 평가 프로세스(System Safety Assessment Process)라고 부르고 있다.

 

아래는 시스템 안전성과 관련된 지침이라고 할 수 있는 ARP4754A라는 문서에서 설명하는 항공전자시스템에 대한 전체적인 개발과정을 V모델로 보여주는 그림이다. 세부 내용은 추후 다시 살펴보기로 하고 중간중간 체크표시된 항목들이 위에서 제시되었던 활동들이라는 것을 확인할 수 있다. 보다시피 그 외에도 다양한 활동들이 존재한다.

 

 

그림 23 ARP4754A에서 설명하는 항공전자시스템 개발에 대한 V모델

※ 출처) https://www.researchgate.net/figure/Avionics-V-Model-extract-from-the-ARP4754A-12_fig1_310776068

 

이번 절에 대한 설명을 위해서 배경설명이 길었는데 다시 한 번 말하자면 우리가 앞으로 살펴볼 내용은 DO-178의 근본이 되는 시스템 안전성 평가(System Safety Assessment)에 대한 내용이다. 지금까지 약 60건이 넘는 포스팅을 통해서 DO-178 가이드라인과 여러가지 응용에 대해서 전반적으로 살펴보았지만 시스템 안전성에 대한 부분은 그보다 훨씬 더 복잡하고 많은 내용을 담고 있다. 당장 위의 V모델에서 가장 하단의 한 부분만이 소프트웨어 개발, 즉 DO-178의 영역이라고 본다면 그 차이가 느껴질 것이다.

 

(2)   System Safety의 탄생 배경

 

필자가 본 자료를 조사하면서 상당히 의외라고 느낀 부분은 바로 System Safety에 대한 개념이 DO-178B가 나온 이후에 등장하였다는 점이었다. 당연히 상위개념이라고 할 수 있는 시스템 안전에 대한 지침이 먼저 나왔을 것이라고 생각했는데 실제 히스토리를 살펴보면 DO-178A(1985년)도 아닌 DO-178B(1989년)가 나오고도 7년여가 지난 1996년이 되어서야 ARP4754가 발표된 것을 확인할 수 있었다.

 

다음을 보자.

※ 출처) Guidelines for Development of Civil Aircraft and Systems – Introduction to ARP4754A, Esterline

 

위의 그림은 항공전자 시스템의 전반적인 발전 흐름과 함께 특정 지침(Guideline)이 언제 발표되었는지를 보여주는 그림이다. 전체적인 내용을 간략하게 해설하면 다음과 같다.

 

초창기 기계적인 장비들을 위주로 만들어졌던 항공전자 시스템은 점차 기술이 발전해 가면서 갈수록 복잡하고 통합된, 전자적인 장비로 변모하게 된다. 이러한 발전은 과거의 제작 방식이나 기준을 그대로 따를 수 없게 만들었고 여러 가지 배경하에 항공산업계에서 공통으로 적용할 수 있는 많은 지침(Guideline)들이 만들어 지게 된다. 그 중 대표적으로 항공기에 탑재되는 소프트웨어에 대한 지침인 DO-178, 하드웨어에 대한 지침인 DO-254, 그리고 항공기의 안전과 관련된 ARP4754와 ARP4761을 들 수 있다. 이들은 위의 그림에서 보듯이 DO-178 à ARP4754 à ARP4761 à DO-254 à ARP4754A의 순서로 발표되었다. (참고로 마지막에 나오는 ARP4754A는 기존 ARP4754의 한계로 인해서 업그레이드된 버전이다)

 

위 그림의 출처가 된 문서에도 나오는 내용이지만 결국 DO-178이 만들어진 이후에 실제 지침을 적용하는 과정에서 시스템에 대한 고려가 필요하다는 점을 인식하고 ARP4754와 ARP4761이 만들어진 것이다. ARP4754와 ARP4761이 DO-178과 밀접한 관계를 가지고 있음을 이해할 수 있을 것이다.

 

참고로 시스템 안전성 평가 프로세스와 관련해서 항공 산업계와 정부에서 발표한 주요 지침서를 정리하면 다음과 같다. (미국 기준)

 

※ 출처) AIRCRAFT SYSTEM SAFETY ASSESSMENT – whitepaper from Consunova

 

(3)   System Safety와 ARP4754A

 

System Safety와 관련해서 가장 먼저 나온 ARP4754에 대해서 알아보자. 그런데 앞에서 ARP4754의 업그레이드 버전인 ARP4754A가 발행되었다고 설명한 바가 있다. 기본적으로 ARP4754A는 ARP4754를 기준으로 만들어졌지만 이후 변경된 부분들이 모두 포함되었으므로 여기에서는 ARP4754A를 중심으로 알아보도록 하자. 참고로 문서명도 아래와 같이 변경되었다.

 

-       ARP4754: Certification Considerations for Highly-Integrated Or Complex Aircraft Systems

-       ARP4754A: Guidelines for Development of Civil Aircraft and Systems

 

①     ARP4754A에 대한 이해

 

우선 ARP4754A 문서가 어떻게 생겼는지부터 한 번 보자.

※ 출처) https://www.sae.org/standards/content/arp4754a/

 

공식적으로 ARP4754A를 발행하는 SAE International이라는 곳에서 위의 문서를 구매할 수 있다. 참고로 SAE라는 단체는 과거 Society of Automobile Engineers의 약자로 사용된, 자동차 위주의 단체였으나 이후 항공우주 등의 분야가 합쳐지면서 지금의 SAE International로 변경되었다. (구체적인 연혁에 대해서 궁금한 분은 한글로 소개하고 있는 다음 링크를 참조하자. (https://web.archive.org/web/20170915003446/http://kr.sae.org/about/history)

 

이 문서 내부의 구체적인 내용에 대해서는 추후 알아보기로 하고 우선 ARP4754A가 항공전자 시스템 개발에서 어떠한 위치를 차지하고 있는지를 확인해 보자.

 

ARP4754A에 대한 소개에서 대표적으로 나오는 다음과 같은 그림이 있다. 참고로 구글링을 해보면 약간씩 다르긴 하지만 아래 그림과 유사한 형태의 많은 그림들을 확인할 수 있다. 그 중 필자가 설명하고자 하는 의도를 가장 잘 드러내고 있는 것으로 보이는 그림을 가져왔다.

 

그림 24 시스템 개발프로세스에서 ARP4754A의 위치

※ 출처) https://kr.mathworks.com/solutions/aerospace-defense/standards/arp-4754.html

 

일단 우리가 관심을 가지고 있는 DO-178을 확인할 수 있고 ARP4754A에 대해서 ‘SYSTEM DEVELOPMENT PROCESS’라고 표기되어 있다. 바로 위의 그림이 앞서 잠시 언급한 DO-178과 ARP4754A의 밀접한 관계를 실질적으로 보여주고 있다. 추가적으로 ARP4754A로 연결된 안전성 요구사항(Safety Requirements)이 보이고 ARP4761이 ARP4754A, DO-178C, DO-254 모두와 연결되어 있는 것도 볼 수 있다.

 

사실 ARP4754A에 대해서 알아야 할 개념적인 핵심은 바로 위의 그림에서처럼 소프트웨어와 하드웨어를 포함하는 항공전자 시스템의 개발에 있어서 가장 중심에 위치한다는 점이다. 여기에 안전성과 관련된 부분(Safety Requirements, ARP4761)이 연계되어 있는 것이다.

 

조금 더 해설해 보자면 ARP4754A가 개발 프로세스인 만큼 당연히 기능적인 요구사항(Functional Requirements)이 연결되고 앞서 설명한 대로 안전성에 대한 고려(Safety Requirements)가 반영되어 소프트웨어(Software Item) 및 하드웨어(Hardware Item)로 요구사항이 할당되는 것을 볼 수 있다. 마지막으로 이렇게 할당된 요구사항이 구현되면 최종적으로 통합(Integration)절차를 거치게 되는데 이를 다시 시스템 차원의 요구사항(Functional Requirements)으로 시험하는 것이다.

 

여기에서 다시 한 번 앞에서 보았던 V모델을 보자.

 

그림 25 ARP4754A에서 설명하는 항공전자시스템 개발에 대한 V모델

※ 출처) https://www.researchgate.net/figure/Avionics-V-Model-extract-from-the-ARP4754A-12_fig1_310776068

 

앞의 그림이 반영된 전체적인 개발 프로세스가 좀 더 상세하게 표현된 것이 위의 그림이라고 할 수 있다. 당장은 위의 그림이 눈에 들어오지 않더라도 일단 이런 형태로 전체 개발 프로세스와 연계되어 있다는 점을 인식하고 학습을 반복하다 보면 연관성을 이해하게 될 것이다.

 

②     ARP4754A의 구성

 

앞서 본 ARP4754A의 문서에는 다음과 같은 목차들이 나열되어 있다. 대표 섹션의 타이틀만 정리해보자.

 

1.     DEVELOPMENT PLANNING 3.1                Planning Process 3.2                Transition Criteria 3.3                Deviations from Plans 4.     AIRCRAFT AND SYSTEM DEVELOPMENT PROCESS 4.1                Conceptual Aircraft/System Development Process 4.2                Aircraft Function Development 4.3                Allocation of Aircraft Functions to Systems 4.4                Development of System Architecture 4.5                Allocation of System Requirements to Items 4.6                System Implementation 5.     INTEGRAL PROCESS 5.1                Safety Assessment 5.2                Development Assurance Level Assignment 5.3                Requirements Capture 5.4                Requirements Validation 5.5                Implementation Verification 5.6                Configuration Management 5.7                Process Assurance 5.8                Certification and Regulatory Authority Coordination

 

계획, 개발, 필수 프로세스가 나오는데 필자가 포스팅한 자료에서 아래 그림을 본 적이 있을 것이다. 목차 기준으로만 보면 전체적으로는 우리가 알고 있는 개발 프로세스와 크게 다르지 않다는 것을 알 수 있다.

 

그림 26 DO-178 인증 지침서에서 보는 세 가지 핵심 프로세스와 관계

※ 출처: Avionics Certification: A Complete Guide to DO-178 (software), DO-254 (hardware) / Vance Hilderman, Tony Baghi

 

위에서 본 목차를 그림으로 표현하면 다음과 같이 나타낼 수 있다.

 

 

※ 출처) Guidelines for Development of Civil Aircraft and Systems – Introduction to ARP4754A, Esterline

 

기본적인 개발과정(4장)이 진행되면서 안전성 평가를 비롯한 필수과정(5장)들이 개발 과정 전반에 걸쳐서 수행되는 것을 표현하고 있다. 여기서 각각의 세부적인 내용을 소개하지는 않는다. 현재 상태에서는 이런 정도의 큰 그림을 가지고 DO-178 인증의 관점에서 ARP4754A를 어떻게 이해하고 바라봐야 할 지를 파악하는 정도로 넘어가자.

 

다음으로 이어지는 내용은 ARP4754A를 언급할 때 반드시 함께 설명되어야 하는 ARP4761에 대한 것이다. 이에 대해서는 다음 절에서 설명한다.