29. DO-178과 System Safety (3)

 

이번 절에서부터 본격적으로 ARP4761에서 설명하는 세부 내용들을 확인해 보자.

 

(1)   ARP4761의 세부 내용

 

앞서 아래와 같이 항공기 시스템 개발과 안전성 평가가 함께 연결된 그림을 제시한 바가 있다.

 

※ 출처) 항공기 인증을 위한 시스템 안전성 평가 / 유승우, 진영권 / 항공우주연구원

 

여기서 다시 ARP4761의 목차를 보자. 아래의 붉은색으로 표시된 것들이 바로 위의 그림에 포함되어 있는 것을 확인할 수 있다. ARP4761이 무엇에 대해서 가이드하고 있는지를 보여준다.

 

3.     SAFETY ASSESSMENT PROCESS 3.1                Safety Assessment Overview 3.2                Functional Hazard Assessment (FHA) 3.3                Preliminary System Safety Assessment (PSSA) 3.4                System Safety Assessment (SSA) 3.5                Validation Means Used for Aircraft Certification 4.     SAFETY ASSESSMENT ANALYSIS METHODS 4.1                Fault Tree Analysis/Dependence Diagram/Markov Analysis (FTA/DD/MA) 4.2                Failure Modes and Effects Analysis (FMEA) 4.3                Failure Modes and Effects Summary (FMES) 4.4                Common Cause Analysis (CCA)

 

이번 주제를 시작하면서 잠시 언급한 부분이지만 다시 한 번 말하자면 필자의 개인적인 의견으로는 DO-178 인증을 준비하는 상황이라면 지금까지 설명한 개념 정도를 이해하는 것으로도 충분하지 않을까 싶다. 본인이 항공기 시스템 레벨에서의 실무를 담당하고 관련된 업무를 하지 않는 상황에서 ARP4754A와 ARP4761의 세부적인 내용까지 이해하려고 하는 것은 DO-178의 영역을 넘어서는 것이라는 생각이다.

 

하지만 문제는 DO-178 인증에서 소프트웨어 상위레벨인 시스템의 안전성 평가에 대한 결과를 요구한다는 것이다. 지금까지 설명한 것들로 보자면 그것은 상위레벨 시스템, 즉 체계를 개발하는 업체를 통해서 할당되는 것이므로 DO-178 인증을 준비하는 업체에서는 관련된 자료를 체계업체로부터 수령하면 된다고 할 수 있다. 그런데……과연 그것이 가능할까? 물론 상황에 따라서는 그것이 가능할 수도 있겠지만 DO-178 준용 위주로 진행되는 국내 실정에서 아마도 대부분의 경우 불가능할 것이다. 그리고 그것이 불가능하다는 현실적인 문제에 부딪히면 그 책임은 오롯이 DO-178을 준비하는 업체에게 전가될 수밖에 없다. 즉, 어떤 식으로든 그 문제를 알아서(?) 해결해야 하는 것이다.

 

결론적으로 이에 대한 해결책을 말하자면 결국은 인증당국과 협의해서 어떻게 처리해야 할 지를 결정해야 한다. 소위 내 마음대로 결정할 수 없다는 뜻이다. 그리고 여기서 인증당국마저도 여의치 않은 경우에는 DER과 협의해서 해결점을 찾아야 한다. 현실적으로는 이것이 최선이지 않을까 싶다. 다만 이 경우에 해결방법은 DER에 따라서 전혀 다른 방식으로 전개될 수 있다는 점을 염두에 두어야 한다.

 

필자가 여기서 ARP4754와 ARP4761을 설명하는 것은 바로 그런 상황에서 DER과 함께 해결방법을 찾고자 할 때 그래도 어느 정도의 개념을 가지고 논의를 하기 위함이다. 실제 어느 수준까지 알고 있어야 할 지 명확한 기준을 제시하기는 어렵지만 가능하다면 여기서 설명하는 내용을 이해하고 받아들일 수 있는 정도라면 DER과 관련된 협의를 하는 것이 크게 어렵지는 않을 것이라고 믿는다.

 

지금까지의 설명도 그랬지만 ARP4761에 대한 앞으로의 내용도 그런 관점에서 개념적인 설명 위주로 진행될 것이다.

 

①     FHA (Functional Hazard Assessment) – 기능 위험 평가

 

가장 먼저 나오는 것은 FHA이다. 서두의 그림에서는 ‘항공기 기능 위험 평가’ 그리고 ‘시스템 기능 위험 평가’라고 표기된 부분이다. 바로 ‘항공기 FHA’와 ‘시스템 FHA’이다. 항공기에 대한 개발 프로세스가 시작되면 안전성에 대한 프로세스 중 FHA가 가장 먼저 수행된다.

 

참고로 아래는 필자가 FHA, PSSA, SSA 과정을 단순화해서 표현한 그림이다. 앞으로 나올 각각의 내용이 상당히 많고 복잡하지만 일단 아래와 같은 큰 그림을 가지고 진행하도록 하자.

 

 

다시 FHA로 돌아와서 시스템 안전성 평가의 시작으로 항공기 FHA, 시스템 FHA가 수행된다고 설명하였다. 그렇다면 이러한 과정을 통해서 나오는 결과가 무엇인지를 보면 그 과정에서 어떤 일들이 일어나는지를 대략적으로 짐작할 수 있지 않을까? 아래는 항공기 FHA를 통해서 나오는 결과의 예시이다.

 

기능 고장 ID	기능 (Function)	단계 (Phase)	고장 조건 (Failure Condition)	고장 영향 (Failure Effect)	분류 (Classification)
1.1.1	지상에서 항공기의 감속	착륙/ RTO	지상에서 감속 능력의 상실	승무원은 활주로에서 항공기를 멈출 수 없음	Catastrophic
1.1.2	지상에서 항공기의 감속	이륙	모든 자동 멈춤 기능의 탐지지지 않은 상실	승무원은 항공기를 멈추기 위한 수동 절차를 사용해야 함	Major

표 4 항공기 FHA 예시

※ 출처) Guidelines for Development of Civil Aircraft and Systems – Introduction to ARP4754A, Esterline (한글로 번역)

 

그리고 시스템 FHA를 통해서 작성된 결과의 예시는 다음과 같다.

 

기능 고장 ID	기능 (Function)	단계 (Phase)	고장 조건 (Failure Condition)	고장 영향 (Failure Effect)	분류 (Classification)
36-401.1	휠 제동	착륙, RTO	모든 휠 제동 상실	활주로에 있는 항공기를 멈추게 하는 승무원의 능력이 크게 감소됨	Hazardous
36-401.2	자동 제동	착륙, RTO	자동 제동의 탐지되지 않은 상실	승무원은 항공기를 멈추기 위한 수동 절차를 사용해야 함	Major

표 5 시스템 FHA 예시

※ 출처) Guidelines for Development of Civil Aircraft and Systems – Introduction to ARP4754A, Esterline (한글로 번역)

 

항공기 FHA와 시스템 FHA의 결과표에 작성된 내용을 보면 대체적으로 각각의 기능에서 어떤 고장이 발생하고 그 영향이 무엇인지를 정리하고 있다는 것을 보여준다. 특히 ‘고장 조건(Failure Condition)’이 가장 핵심인데 우선 이와 같이 ‘고장 조건’이라고 하는 안전성 평가를 수행할 목표를 찾아냄으로써 이후 PSSA를 통해서 안전성에 대한 요구사항을 도출할 수 있게 된다. (참고로 필자가 인용한 자료 중에서는 항공기 FHA를 통해서 일반적으로 약 70 ~ 100여가지의 고장 조건이 도출되는 것으로 설명하고 있다)

 

위와 같은 결과를 얻기 위해서 FHA 과정에서 이루어 지는 활동들을 모두 정리하면 다음과 같다.

 

-       시스템 정의

-       운영시나리오 정의

-       외부 인터페이스에 대한 정의

-       운영환경 수집: 시스템 성능, 공역, 교통특성, 인접센터의 장비성능, 공항 인프라, 기상, 장애물, 소음 등

-       관련 규정 분석: ICAO, RTCA, FAA, Eurocontrol 등

 

항공기 시스템 제작의 시작단계에서부터 이미 공역, 공항 인프라, 기상, 소음, 관련 규정과 같은 항공기 외적인 부분까지도 안전성 평가의 검토 대상이 되고 있다는 것을 확인할 수 있다.

 

항공기 FHA의 결과는 시스템 FHA의 입력이 되어 시스템 FHA가 수행되고 그 결과는 최종적으로 아래와 같은 ‘고장 조건 리스트’가 된다. 참고로 이렇게 만들어진 ‘고장 조건 리스트’가 바로 다음 절에서 설명할 PSSA의 입력이 된다.

 

Failure Condition ID	Failure Condition Description	Risk Source / Rational	Classification & Allowed Risk Probability
ATT-01	Loss of Display of Attitude on Front MFD’s, HUD, and BFI	FAR 23.1309, para b(2)(i), “The occurrence of any failure condition that would prevent the continued safe flight and landing of the airplane must be extremely improbable”	Catastrophic (<10e-7)
ATT-02	HMI (Hazardous and Misleading Information) on Attitude on Front MFD’s, HUD, and BFI	FAR 23.1309, para b(2)(i), “The occurrence of any failure condition that would prevent the continued safe flight and landing of the airplane must be extremely improbable”	Catastrophic (<10e-7)
ATT-03	HMI (Hazardous and Misleading Information) on Attitude on Front MFD’s	Derived Risk, redundant displays available	Major (<10e-5)

표 6 고장 조건(Failure Condition) 리스트의 예시

 

②     PSSA (Preliminary System Safety Assessment) – 예비 시스템 안전성 평가

 

필자는 앞에서 시스템 안전성 평가의 세 가지 프로세스를 아래와 같이 그림으로 단순화해서 제시한 바가 있다. 이번 절은 FHA의 다음 단계인 PSSA에 대한 설명이다.

 

 

PSSA라는 용어에 대한 해석을 보면 ‘예비 시스템 안전성 평가’라고 되어 있다. 일반적으로 개발 과정에서 ‘Preliminary’라는 단어가 쓰이는 경우에 인식되는 분위기는 공식적인 진행이 아닌 임시, 혹은 사전 단계의 의미를 가지는 경우가 많다. 여기서도 결국 시스템 안전성 평가를 임시로, 예비 단계로 수행하는 것을 말한다. 따라서 공식적인 수행을 위한 사전 점검의 의미가 담겨 있다고 할 수 있다.

 

실제로 PSSA는 전체 개발 프로세스 중 설계과정을 통해서 결정되는 시스템 구조가 공식적으로 확정되기 전에 후보군으로 제시되는 시스템 구조를 기준으로 안전성을 평가하는 작업이다. 사전 검토를 통해서 설계에 반영되어야 할 안전성 요구사항이 정해지고 결국 이러한 요구사항이 반영된 최종 시스템 구조가 최종 설계 결과로 확정되는 것이다. PSSA의 수행 시점을 좀 더 자세하게 정리하면 다음과 같다. 가장 최상위 단계에서부터 최하위 단계라고 할 수 있는 하드웨어와 소프트웨어에 이르기까지 각각의 단계별로 모두 수행된다는 것을 알 수 있다.

 

-       시스템 설계 단계

-       아이템 설계 단계

-       하드웨어 설계 단계

-       소프트웨어 설계 단계

 

참고로 PSSA를 통해서 정해지는 안전성 요구사항은 단순히 해당하는 장비에 대한 것뿐만 아니라 장비와 관련된 운영절차 그리고 장비의 운영과 관련된 사람에 이르기까지 포괄적인 안전성 요구사항들을 도출하게 된다. 앞에서 아래와 같은 그림을 제시한 바가 있는데 바로 이것이 FHA을 통해서 선정된 안전성 목표가 사람, 운영절차, 장비 등으로 할당되어 시스템 구조로 설계된다는 것을 보여주고 있다.

그림 31 안전성 목표 할당의 개념

※ 출처) 안전성 평가기법(SAM) 고찰 / 김서원 / 한국항공우주연구원

 

PSSA에서는 안전성 평가에 대한 분석을 위해서 다양한 방법들이 사용된다. 앞서 ARP4761의 목차에서 다음과 같이 시스템 안전성 평가에서 사용될 수 있는 기법들을 확인한 바가 있다. (붉은색 표시)

 

3.     SAFETY ASSESSMENT PROCESS 3.1                Safety Assessment Overview 3.2                Functional Hazard Assessment (FHA) 3.3                Preliminary System Safety Assessment (PSSA) 3.4                System Safety Assessment (SSA) 3.5                Validation Means Used for Aircraft Certification 4.     SAFETY ASSESSMENT ANALYSIS METHODS 4.1                Fault Tree Analysis/Dependence Diagram/Markov Analysis (FTA/DD/MA) 4.2                Failure Modes and Effects Analysis (FMEA) 4.3                Failure Modes and Effects Summary (FMES) 4.4                Common Cause Analysis (CCA)

 

이 중 PSSA에서는 ‘4.1 Fault Tree Analysis/Dependence Diagram/Markov Analysis (FTA/DD/MA)’라는 분석 기법과 ‘4.4 Common Cause Analysis (CCA)’가 주로 사용된다. 참고로 우리말로는 ‘결함 트리 분석/종속다이어그램/마르코브 분석’ 그리고 ‘공통원인분석’이라고 번역할 수 있다. 각각의 결과물에 대한 예시를 통해서 PSSA에서 실제 진행되는 부분을 확인해 보자.

 

n  PSSA 단계에서 FTA의 수행 예시

 

앞서 FHA를 통해서 아래와 같은 결과를 도출한 예를 보았었다.

 

기능 고장 ID	기능 (Function)	단계 (Phase)	고장 조건 (Failure Condition)	고장 영향 (Failure Effect)	분류 (Classification)
1.1.1	지상에서 항공기의 감속	착륙/ RTO	지상에서 감속 능력의 상실	승무원은 활주로에서 항공기를 멈출 수 없음	Catastrophic
1.1.2	지상에서 항공기의 감속	이륙	모든 자동 멈춤 기능의 탐지지지 않은 상실	승무원은 항공기를 멈추기 위한 수동 절차를 사용해야 함	Major

표 7 항공기 FHA 예시

 

기능 고장 ID	기능 (Function)	단계 (Phase)	고장 조건 (Failure Condition)	고장 영향 (Failure Effect)	분류 (Classification)
36-401.1	휠 제동	착륙, RTO	모든 휠 제동 상실	활주로에 있는 항공기를 멈추게 하는 승무원의 능력이 크게 감소됨	Hazardous
36-401.2	자동 제동	착륙, RTO	자동 제동의 탐지되지 않은 상실	승무원은 항공기를 멈추기 위한 수동 절차를 사용해야 함	Major

표 8 시스템 FHA 예시

※ 출처) Guidelines for Development of Civil Aircraft and Systems – Introduction to ARP4754A, Esterline (한글로 번역)

 

FTA는 위와 같이 도출된 고장 조건의 발생 원인과 영향을 찾기 위한 Top-down 방식의 분석 기법이다. 위의 항목 중 붉은색으로 표시된 부분에 대한 FTA 결과는 다음과 같이 표현될 수 있다.

 

그림 32 항공기 FTA 수행 결과의 예시

 

그림 33 시스템 FTA 수행 결과의 예시

※ 출처) Guidelines for Development of Civil Aircraft and Systems – Introduction to ARP4754A, Esterline (한글로 번역)

 

참고로 FTA는 위와 같이 단순한 형태뿐만 아니라 아래와 같은 복잡한 형태가 만들어지기도 한다. 항공기의 복잡도를 생각하면 이 보다 훨씬 더 복잡한 결과가 될 수도 있다는 것을 예상할 수 있을 것이다.

 

그림 34 방파제, 갯바위에서의 해상추락에 대한 결함 나무(Fault Tree)

※ 출처) 결함 나무 분석 기법을 이용한 해상추락사고 분석 / 임남형, 배현웅, 성익현, 이규세 / 한국방재학회논문집

 

위의 결과를 얻기 위한 기술적인 내용을 여기서 설명하지는 않는다. 이렇게 트리형태의 그림으로 고장에 대한 원인을 보다 세밀히 분석하고 표현하는 방법이 사용된다는 정도로만 이해를 하고 넘어가자.

 

아래의 표는 PSSA의 최종 결과 중 하나가 될 수 있는 FTA의 정량적 분석 결과 예시이다. 앞서 보았던 고장 확률에 대한 예상 수치와 요구되는 수치가 정리된 것을 확인할 수 있다.

 

Fault Tree ID	Failure Condition	Classification of Failure	Condition Estimated Probability	Required Probability
ATT-01	Loss of Display of Attitude on Front MFD’s, HUD and BFI	Catastrophic	1.01 e-08	<1.0 e-07
ATT-02	Attitude on Front MFD’s, HUD, and BFI Contains HMI (Hazardous and Misleading Information)	Catastrophic	7.61 e-11	<1.0 e-07
AIR-01	Loss of Display of Airspeed on Front MFD’s, HUD and BFI	Catastrophic	1.11 e-08	<1.0 e-07

표 9 Summary of Quantitative FTA Results

 

n  PSSA 단계에서 CCA의 수행 예시

 

CCA는 치명적인 고장 조건을 일으키는 원인을 찾기 위한 분석 기법이다. CCA에는 다음과 같은 세 가지 방법(ZSA, PRA, CMA)이 포함되어 있다.

 

-       Zonal Safety Analysis (ZSA)

-       Particular Risks Analysis (PRA)

-       Common Mode Analysis (CMA)

 

아래는 그 중 ZSA(Zonal Safety Analysis)라는 방법의 예시이다. 항공기 전체를 특정 영역(Zone)으로 분리하고 있는 모습이 상당히 이색적이다. 이에 대한 설명 역시 생략한다. 안전성 평가를 위해서 이처럼 다양한 방법의 분석이 수행될 수 있다는 것만 기억해도 현재로서는 충분할 것이다.

 

※ 출처) Guidelines for Development of Civil Aircraft and Systems – Introduction to ARP4754A, Esterline

 

 

③     SSA (System Safety Assessment) – 시스템 안전성 평가

 

 

드디어 시스템 안전성 평가에서 마지막 단계이다. 앞서 PSSA가 설계 과정에서 시스템 구조를 확정하기 위한 단계였다면 SSA는 그렇게 구현된 시스템이 제대로 구현되었는지를 평가하는 단계라고 할 수 있다.

 

n  SSA의 수행 시점 및 검증 방법 예시

 

※ 출처) 항공기 인증을 위한 시스템 안전성 평가 / 유승우, 진영권 / 항공우주연구원

 

다시 앞에서 보았던 시스템 개발 단계와의 연결을 보면 진행 시점이 짐작이 갈 것이다. 그런데 좀 더 구체적으로는 다음과 같이 수행 시점을 구분할 수 있다.

 

-       최종 설계 단계

-       시스템 통합 단계

-       운영 전환 단계

-       운용/유지보수 단계

-       시스템 철거 시

 

시스템 개발 단계뿐만 아니라 운영단계, 심지어 유지 보수 및 철거 단계에까지도 SSA가 수행되고 있다. 사실 항공기가 만들어진 이후에도 문제가 발견될 수 있고 그에 따른 여러 가지 활동들이 이루어진다는 것을 생각해 본다면 어쩌면 이는 당연한 것이라고 할 수 있을 것이다.

 

SSA에서는 구현된 시스템 요소(장비, 운영절차, 사람)들이 FHA를 통해 도출된 안전성 목표와 PSSA를 통해서 도출된 안전성 요구사항을 충족하는지, 그리고 위험이 수용 가능한지를 검증하게 된다. 앞서 보았던 각 수행 시점을 기준으로 다음과 같은 검증이 이루어 진다.

 

수행 시점	검증 내역
운영전환 단계	•           운영 예정인 시스템 요소(장비, 운영절차, 사람)들이 안전성 요구사항과 안전 목표를 충족하는지, 위험은 수용 가능한지를 증명함
운용/유지보수 과정	•           안전관련 성능 데이터를 수집 •           모니터링 활동을 지속적으로 수행 •           유지보수 활동 과정에서 시스템의 안전성에 대한 평가
시스템 변경 또는 개조 과정	•           시스템 또는 시스템 요소들(장비, 운영절차, 사람)에 대한 변경이 발생하는 경우 전체적인 안전성 평가(FHA, PSSA, SSA)를 수행
시스템 철거 시	•           시스템 철거로 인한 항행 서비스 제공에 영향 여부에 대한 안전성 평가를 사전에 수행

※ 출처) 안전성 평가기법(SAM) 고찰 / 김서원 / 한국항공우주연구원 (일부 편집)

 

n  SSA 단계에서 FMES의 수행

 

PSSA에서는 FTA, DD, MA, CCA와 같은 기법들이 사용된다고 했었는데 SSA에서는 이에 더해서 FMES (Failure Modes and Effect Summary)라는 기법이 추가로 사용된다. FMES는 FMEA (Failure Mode and Effects Analysis)라는 분석방법을 바탕으로 한 요약 결과물로써 결국 중요한 것은 FMEA를 정확하게 수행하는 것이다. FMEA는 그 용어만큼이나 어렵고 복잡한 내용을 담고 있다. 이 부분도 설명은 생략하고 구글링을 통해서 찾은 FMEA 방법을 소개하는 그림으로 마무리한다.

 

그림 35 FMEA 방법

※ 출처) FMEA 개념과 방법론 – 고장유형 및 영향분석 - / 곽미정 / 고려대학교안암병원 적정진료관리팀

 

이 모든 과정을 거친 후 최종적으로 SSA의 결과가 항공기, 시스템 FHA의 내용에 적합한 경우 안전성 평가를 종료하게 된다.

 

④     안전성 평가 결과의 설계 반영

 

지금까지 설명된 과정을 통해서 수 많은 분석이 이루어 지면 그 과정에서 도출되는 문제점들은 반드시 해결되어야 한다. 그렇다면 그 해결은 어떤 식으로 이루어 져야 할까? 아마도 다양한 방법이 고려될 수 있을 것이다. 예를 들면 다음과 같다.

 

-       고장율을 낮춘 부품 사용하기

-       실패를 탐지할 수 있는 Built-in-Test를 개선하기

-       여분의 장치를 추가해서 시스템의 Redundancy를 높이기

 

위의 방법 중 어떤 것을 선택하더라도 이에 대한 근거가 개발 과정에 남아 있을 것이다. 보다 구체적으로는 다음과 같은 항목에 반영된다.

 

-       설계 변경 (고장발생 확률 및 영향 감소)

-       정비 지침서 또는 정비 주기 설정

-       승무원 경보 및 고장 지시 시스템

-       비행 절차서

-       표준 최소 장비 목록 (MMEL, Master Minimum Equipment List)

-       인증 요건 및 기능 체크리스트

-       적합성 입증서

 

단순히 설계를 변경하는 것으로 끝이 아니라 관련된 모든 항목들이 변경된다는 것을 알 수 있다.

 

이상으로 시스템 안전성 평가와 관련된 설명을 마친다. 지금까지 설명한 내용을 전체적으로 정리하자면 다음 그림과 같이 나타낼 수 있다. 개발 사이클과 안전성 평가의 상관관계를 보여주고 있다.

 

그림 36 시스템 개발 프로세스와 안전성 평가 프로세스의 연계

※ 출처) http://docplayer.net/9070304-Certification-and-design-challenges-for-autonomous-systems.html

 

당장은 위의 그림이 눈에 들어오지 않더라도 지금까지 설명한 내용들을 참고하고 구글링이나 주변의 관련 자료들을 찾아보면서 반복 학습을 한다면 빠른 시간 내에 시스템 안전성 평가에 대한 개념을 잡을 수 있을 것이라고 믿는다.