5. “Certified”가 무엇인가?

 

역주) 시작부터 한 마디 하고 가야 할 것 같다. 아시는 분은 아시겠지만 DO-178은 미국의 인증이다. 따라서 원칙적으로는 모든 산출물이 영어로 작성되어야 한다. 실제로 가이드라인 문서 자체도 미국에서 출간되었고 당연히 영문으로 되어있다. 이 말은 영어로 사용되는 용어를 우리가 이해할 수 있어야 한다는 것을 의미한다. 예를 들면 DO-178에서 사용되는 단어 중에 “Certified”라는 단어가 있다. 이를 우리말로 해석을 하게 되면 “인증”이라고 해석하게 된다. 그렇다면 “Certification”은 어떨까? 뒤에서도 나오겠지만 이 역시 우리말로는 ‘인증’으로 똑같이 번역할 수 밖에 없다. 하지만 영어 자체로는 단지 명사, 동사의 차이 뿐만 아니라 두 단어의 미묘한 차이가 있다. 이 부분을 우리말로 단순 해석하는 것으로는 표현하기가 상당히 어려운 것이 사실이다. 그런 관점에서 이후 설명에 영어가 그대로 나오는 부분은 미묘하다고 한 그 부분을 제대로 설명하기 위한 것이라는 점을 미리 말씀드린다.

 

FAA는 소프트웨어를 인증하지 않는다. 그들이 인증하는 것은 시스템이다. 그리고 여러 가지 방법으로 그것을 할 수 있다. TSO, Technical Standard Order Authorization(기술표준품 승인)과 STC, Supplemental Type Certificate(부가형식증명)이 있다. 새로운 항공기에 대해서는 TC, Type Certificate(형식 인증) 그리고 ATC, Amended Type Certificate(수정형식증명)이 있다.

역주) TSO, STC, ATC, TC와 같은 용어들은 항공기의 감항인증과 관련된 전문용어들이다. 민간 항공기와 군용 항공기에 따라서도 다른 부분이 있는데 이런 것들을 모두 설명하자면 이 책보다도 몇 배나 많은 내용이 필요하다. 우선 아래에 간략하게 소개되는 내용을 참고하고 일단 여기서는 소프트웨어 인증이 단독으로 이루어지는 것이 아니라 이와 같은 여러 형태의 항공기 감항인증 종류중 하나에 포함되어 이루어 진다고 이해하고 넘어가자. (참고 포스팅: 2. 감항인증에 대한 이해)

 

기술표준품(TSO) vs. 부가형식증명(STC)   TSOA: Technical Standard Order(기술표준품승인) – GPWS, Radio, Weather Radar와 같은 제품의 개발 서로 다른 항공기에서의 사용을 위한 항공기 “기기”를 승인 이중 설계와 제품 승인 부품 설치에 대한 승인은 아님   STC: Supplemental Type Certification(부가형식증명) – 새로운 형식 증명(TC)이 필요하지 않은 형식 설계 변경에 대한 승인 항공기의 주요 개조에 대한 것 TC를 보유하지 않은 혹은 TC를 보유한 사람 모두에게 유효 부품 설치를 포함

 

인증의 역할에 대한 관점에서 좀 더 자세하게 살펴보자. 현실에서는 누구도 세상의 모든 항공기 각각에 대한 특별한 무선통신장비를 만들지는 않는다. 예를 들면 최소한의 표준을 만족하는 항법 무선통신장비가 설계되고 그 이후 그런 제품 카테고리에 대해서 TSO 인증을 받게 된다. 하지만 그 제품이 당장 항공기에 탑재되어 비행할 수 있을까? 비행 컨트롤과 디스플레이와 같은 많은 경우에서 또 다른 인증 프로세스가 있다. 바로 STC, 즉 Supplemental Type Certificate(부가형식증명)이다. 이것은 그것이 만들어 지고 운영되는 상황에서 항공기에 추가되는 장비에 관한 것이다. 만약 당신이 원래의 항공기 제작자라면 그것이 항공기에 어떻게 설치되고 운용되는지에 대한 것으로 시스템을 인증 받는 것을 TC(형식증명)라고 한다.

 

운송용 항공기의 경우 Part 25.1301과 1309에 규정이 기술되어 있다. 소형 항공기에 대해서는 23.1301, 1309에 기술되어 있다. 헬리콥터에 대해서는 27과 29.1301, 1309에 기술되어 있다. 이들 규정은 시스템이 의도된 기능을 충족해야 한다고 말하고 있고 바로 그것이 DO-178과 DO-254의 근거가 된다. 산업계가 이를 잘 따를 수 있도록 FAA는 소프트웨어가 의도된 기능을 충족하고 규정을 준수한다는 것을 보이는 방법으로써 RTCA 문서인 DO-178B를 승인하고 Advisory Circular(AC)의 형태로 가이드를 개발했다.

역주) 설명 중간 중간 복잡한 숫자들이 많이 나온다. 항공기는 그 큰 덩치만큼이나 만드는 과정도 복잡하지만 실제 하늘을 날기 위해서 받아야 하는 각종 인증도 어마어마하게 많다. 그렇다면 그 어마어마한 양의 인증에 대한 기준이 있다는 것인데 바로 그런 기준이 각각 무엇인지를 가리키는 것이 바로 여기에 나오는 숫자들이다. 문서 한 두 가지로 해결될 수 있는 양이 아니다 보니 문서 가지수도 많고 만들어 내는 곳도 많고 형태도 제각각이어서 항공기를 만드는 것 이상으로 복잡하기 그지없다. 이런 배경이라는 정도만 이해하고 넘어가자.

 

용어   “Certified”: 전체 시스템이 인증을 받는 것으로 내부 구성품들은 각각 서로 다른 인증 레벨을 가질 수 있다. “Certifiable”: 시스템 내부의 하나의 구성품이 시스템에 포함되어 인증을 받기 전에 가장 높은 인증 상태를 획득하는 것 “Qualified”: 툴에 대한 인증으로 툴 자체가 항공기에 탑재되는 것이 아니므로 “certification”이 필요 없음 “Compliant”: FAA와는 다른 조직, 예를 들면 군이나 비 상업용 항공전자분야를 통한 인증

 

Integrity-178B와 같은 운영체제는 인증을 받을 수 있지만(Certifiable), 다른 컴포넌트, 예를 들면 BSP(Board Support Packages)와 같은 것들은 다른 소프트웨어 컴포넌트와 통합되었을 때에만 검증 받을 수 있기 때문에 인증을 받을 수 없다. DO-178B에 따르면 툴은 “qualified”이지 “certified”가 아니다.

역주) 말장난 같은 설명이 이어지고 있는데 결국은 인증을 받게 될 대상의 현재 상태에 따라서 같은 인증이라고 말하더라도 영어로는 구분된 단어를 사용하는 것이다. 소프트웨어는 “certifiable”한 것이고 툴은 “qualified”된다라는 식이다. 특히 툴인증에 대해서 말할 때는 항상 “Qualify”라는 단어를 쓰고 일반적으로 “Tool Qualification”이라고 말한다.

 

신호 생성기를 인증(qualify)하는가? 아마도 아닐 것이다. 개발 프로세스에 특정된 검증 및 설계툴을 인증(qualify)한다. 어떤 툴이 실험실에서 특정한 시험 패턴을 생성한다면 그것을 인증(qualify)할 필요는 없다. 형상관리툴을 인증(qualify)하지는 않는다 왜냐하면 그 출력은 이어지는 DO-178B 단계들을 통해서 검증되기 때문이다.

역주) 짧은 글 속에서 무심코 넘어가게 될 지 모르겠는데 마지막에 설명된 “그 출력은 이어지는 DO-178B 단계들을 통해서 검증되기 때문이다.”가 중요한 개념을 담고 있다. 우리가 툴을 사용하는 것은 무언가를 편하게, 정확하게 하고자 함이 그 목적이다. 즉 툴에서 나온 결과물을 그대로 사용함으로써 수작업을 할 부분을 편리하게 커버하는 것이다. DO-178의 관점에서 보자면 툴을 사용해서 나온 결과물의 안전성이 담보될 수 있다면 그것만큼 좋은 것은 없다. 하지만 툴에서 나온 결과물이 만약 잘못된 결과를 포함하고 있다면? 최악의 경우 항공기 운항 중에 문제를 일으켜서 사고가 나거나 사람의 목숨을 잃게 될 수도 있다. 그래서 DO-178에서는 그것을 담보할 수 있도록 툴인증(Tool Qualification)을 요구하는 것이다. 그런데 만약 툴에서 나온 결과물을 그냥 믿고 사용하지 않고 하나하나 검사한 후에 사용한다면 굳이 그 툴에 대해서 인증을 받을 필요가 없을 것이다. 위의 문장에는 그런 의미가 담겨 있다. 해당 문장을 조금 더 의역하자면 다음과 같다. “형상관리툴에서 나온 결과물은 DO-178B가 진행되는 과정에서 매번 결과물의 상태에 문제가 없는지 일일이 검증을 하기 때문에 형상관리툴에 대한 인증(Qualification)이 필요 없다.” (참고 포스팅: 33. 툴인증(Tool Qualification) (Section 12.2))

 

DOORS, Synergy 혹은 당신이 사용하는 어떤 것이든 실제 검증과 개발과 아무런 관련이 없고 또한 툴에서 나온 결과물들이 이어지는 DO-178B 단계들을 통해서 검증되기 때문에 인증(qualify)을 받을 필요가 없다.

 

“Compliant”는 특별히 군과 관련되는데 이제는 거의 매번 DO-178B(그리고 조만간 완전한 DO-254 까지도) 형태의 준수(Compliance)를 필요로 하게 된 이후로 생긴 새로운 종류의 용어이다. 군은 어떤 것도 인증을 받지 않으려고 하는 경향이 있다. 군에서 필요한 것을 진행하면서 면제를 받는 것이다. 하지만 “compliant”는 인증을 준수함을 보여줄 만큼 충분히 작업했기 때문에 기본적으로는 DO-178B의 가이드라인을 만족할 수 있다는 것을 의미한다. DER이 준수여부를 확인할 때 차이점이 무엇일까? 그것은 차이점이 전혀 없는 완전히 동일한 작업이며 단지 DER이 절대 8110-3과 같은 서류에 서명을 하지는 않을 것이다. 왜냐하면 그 서류는 오직 FAA와만 유효하기 때문이다. 대부분의 경우 DER 혹은 인증에 경험이 있는 누군가는 당신이 DO-178B 혹은 DO-254로의 준수를 보여줄 충분한 작업을 했다고 말할 것이다. 그러나 그것은 FAA 세계에서는 사용되지 않는다.

역주) 지금까지 관련 설명이 없었는데 DO-178은 원래 민간항공기 소프트웨어를 위한 인증이다. 그래서 FAA가 관여한다. 그 말은 군에서는 민간인증인 DO-178 인증을 공식적으로는 인정하지 않는다는 말이다. 대신 항공기의 안전과 관련해서 DO-178의 우수성을 인정하기 때문에 DO-178에 준해서 만든 소프트웨어에 대해서 인정하는 것도 사실이다. 이때 그 ‘준해서’라는 것을 ‘compliant’라고 하는 것이다. 우리말로는 ‘준용’이라고 해석할 수 있다. 참고로 ‘compliant’는 군 뿐만 아니라 민간항공기를 제외한 다른 어떤 분야에서든 그 분야에서  DO-178을 적용할 때 ‘certified’ 혹은 ‘certification’ 대신 사용하게 된다. (참고 포스팅: 4. DO-178 인증과 준용)