34. 대체방법(Alternative Methods) (Section 12.3)

우리는 현재 DO-178 가이드라인에 대해서 이야기하고 있다. 생각보다는 적은 분량인 100페이지가 조금 넘는 양의 지침서이지만 지금까지 우리가 살펴본 것처럼 그 속에 담겨있는 내용을 이해하고 그 모든 것들을 실제로 적용하는 것은 결코 쉬운 일이 아니다. 아마 처음 이 내용들을 접하는 분들은 여기까지 읽기도 벅찰 정도로 어렵고 방대한 내용이었을 것이다. 엄청난 비용과 리소스, 그리고 소요되는 시간은 가이드라인에서는 언급하지 않는 또 다른 어려운 문제이다.

 

그런데 여기서 끝이 아니다. 마지막 고비라고 할 수 있는 하나가 더 남아 있다. 바로 지금까지 사용해 보지 못한 새로운 기술이나 방법에 대한 부분이다. 생각해 보자. 과학과 기술은 나날이 발전하고 있다. 그러한 발전은 항공산업이라고 예외가 될 수 없다. 비록 안전성이라는 중요한 이슈로 인해서 최신 기술을 쉽게 받아들이지 못하는 어려움은 있지만 최신기술이 꾸준히 하나씩 적용되고 있다. 예를 들면 일반인들에게는 스마트폰을 통해서 이미 자연스럽게 받아들여진 화면 터치 기술은 최근에야 민간항공기에서부터 점차 확대 적용되고 있는 기술이다.

 

DO-178 가이드라인에서는 이와 관련되는 아래와 같은 설명이 있다.

 

해석을 보자.

 

이 문서가 작성된 당시에는 부족한 성숙도 혹은 항공기 소프트웨어에는 제한적인 적용 가능성때문에 이 문서의 이전 섹션에서는 일부 방법은 논의되지 않았다.

 

우리가 지금 살펴보고 있는 이 가이드라인은 필자가 이 글을 작성하고 있는 시점(2018년) 기준으로도 6년 전인 2012년에 릴리즈된 버전이다. 위의 설명대로라면 2012년 즈음에 나온 방법에 대해서는 반영하지 않았다는 것이고 그 이후에 나온 방법들은 두 말할 필요도 없다. 여기서 다시 이어지는 설명을 보자.

 

해석을 보자.

 

이 문서의 의도는 현재 혹은 미래의 방법들에 대한 구현을 제한하는 것이 아니다.

 

DO-178 가이드라인은 DO-178 인증에 대한 절대적인 수준의 지침을 제공하는 문서이지만 한편으로는 새로운 방법에 대해서 상당히 오픈 마인드(?)를 가지고 있다는 것을 확인할 수 있다. 이번 절에서는 이렇게 가이드라인에서는 설명하지 않거나 못하고 있는 새로운 방법들을 DO-178 인증을 받는 과정에서 어떻게 적용할 수 있는지를 설명하게 된다. 가이드라인에서는 이를 ‘대체방법(Alternative Methods)’으로 부르고 있다.

 

(1)    대체방법이 반드시 고려해야 할 사항

 

DO-178 가이드라인에서 제시하지 않는 방법이나 프로세스를 적용하는 경우라고 하더라도 반드시 따라야 하는 기본적인 지침에 대해서 가이드라인에서는 다음과 같이 기술하고 있다.

 

a.      대체방법이 가이드라인 혹은 적용가능한 보조재(Supplement)의 목표를 만족한다는 것을 보여야만 함

b.     지원자는 PSAC에 대체방법을 구체적으로 작성해야 하며 다음에 대해서 인증당국의 승인을 얻어야 함

1.     소프트웨어 개발 프로세스에 미치는 제안된 방법의 영향

2.     소프트웨어 라이프 사이클 데이터에 미치는 제안된 방법의 영향

3.     시스템 안전성 목표를 만족한다는 것을 보여주는 대체방법을 사용하는 것에 대한 타당성. 대체방법을 사용하는 것에 대한 타당성을 표현하기 위한 하나의 기법은 보장 케이스(Assurance Case)로써 논거들이 시스템 안전성 목표를 준수한다는 주장에 대한 증거로의 연결이 명시적으로 주어짐

 

c.      타당성이 소프트웨어 계획, 프로세스, 예상되는 결과, 그리고 해당 방법의 사용에 대한 증거로 구체화되어야 함

 

가이드라인의 내용을 그대로 번역하다 보니 설명이 어렵게 되어 있는데 위의 내용을 정리하자면 결국 대체방법을 사용해서 시스템 안전성을 포함한 DO-178 가이드라인에서 제시하는 목표(Objective)를 만족할 수 있고 그 증거를 보여줄 수 있다면 그것이 어떤 방법이든 사용할 수 있다는 것을 말해주는 것이다. 물론 그에 대한 계획은 당연히 PSAC으로 작성되어 인증당국의 승인을 미리 받아야 한다.

 

참고로 필자는 위의 설명 중간에 나오는 ‘보장 케이스(Assurance Case)’라는 용어를 이 글을 쓰면서 처음 접했다. 그래서 이게 정확하게 무엇인지를 알아보려고 구글링을 해보니 다음과 같은 설명을 찾을 수 있었다.

 

“… a security assurance case should provide evidence that the practices, tools, or techniques being used to improve security were actually applied to the currently released version of the software (or that the results were invariant to any of the code changes that subsequently occurred).

 

A security assurance case uses a structured set of arguments and a corresponding body of evidence to demonstrate that a system satisfies specific claims with respect to its security properties.”

※     출처:

https://www.us-cert.gov/bsi/articles/knowledge/assurance-cases/assurance-cases-overview

 

필자가 이 부분을 자세히 설명하기에는 무리가 있다. 그리고 지금 필요한 것은 이런 세부적인 방법론을 이해하는 것이 아니라 대체방법을 적용하기 위해서는 ‘보장 케이스’뿐만 아니라 다른 어떤 방법을 사용하든 위에서 설명한 방식으로 시스템 안전성을 만족할 수 있어야 한다는 사실이다. 이는 DO-178 인증을 받기 위해서 대체방법을 사용하기 위한 가장 기본적인 전제가 되는 부분이다.

 

또 하나 위의 설명에서 확인할 부분이 ‘적용가능한 보조재(Supplement)’에 대한 것이다. 일단 보조재가 무엇인지는 DO-178 가이드라인에서 다음과 같이 설명하고 있다.

 

해석을 보자.

 

e. 보조재: DO-178C는 새로운 소프트웨어 개발 기술이 새로운 이슈를 만들어 낼지 모른다는 것을 인식했다. 현재 소프트웨어 개발 기술에 대응하기 위해 텍스트를 늘리기 보다는 (그리고 미래의 기술을 대응하기 위해 또 한번 개정되기 보다는), DO-178C는 특정한 기술에 대한 지침을 수정하기 위해 하나 혹은 그 이상의 보조재가 DO-178C와 공동으로 사용될 수 있다는 것을 인식했다. Section 12는 계획된 보조재가 그러한 특정 기술을 더 완전하게 기술하기 때문에 영향을 받았다.

 

보조재(Supplement)는 결국 DO-178 가이드라인에 내용을 계속 추가해서 분량을 늘리는 방식이 아니라 별도의 문서를 만들어서 DO-178 가이드라인을 확장하는 일종의 전략적인 선택이라고 볼 수 있다. 예를 들면 툴인증에 대해서 DO-178B에서는 가이드라인 내에 모든 설명이 있었지만 DO-178C로 버전업이 되면서는 DO-330이라는 별도의 가이드라인으로 나오면서 이를 보조재(Supplement)라고 부르는 것이다. 이런 종류에는 툴인증에 대한 DO-330이외에도 다음과 같이 DO-331, DO-332, DO-333이 있다.

 

-       DO-330: Software Tool Qualification Considerations

-       DO-331: Model-Based Development and Verification Supplement to DO-178C and DO-278A

-       DO-332: Object-Oriented Technology and Related Techniques Supplement to DO-178C and DO-278A

-       DO-333: Formal Methods Supplement to DO-178C and DO-278A

 

위의 문서들은 실제로 DO-178C와 함께 나온 문서들이다. 각각에 대한 자세한 설명을 여기서 하는 것은 성격에 맞지 않으므로 일단 보조재가 이런 것이란 점만 기억하고 넘어가기로 하자.

 

(2)    DO-178 가이드라인에서 제시하는 대체방법의 종류

 

DO-178 가이드라인에서 제시하는 대체 방법의 종류에는 아래와 같은 4가지가 나온다.

 

-       철저한 입력 시험(Exhaustive Input Testing) (Section 12.3.1)

-       다중 버전 비유사성 소프트웨어 검증에 대한 고려사항(Considerations for Multiple-Version Dissimilar Software Verification) (Section 12.3.2)

-       소프트웨어 신뢰도 모델(Software Reliability Models) (Section 12.3.3)

-       제품 서비스 히스토리(Product Service History)

 

각각에 대한 구체적인 설명은 다음 절에서 확인해 보자.