5. DO-178 준용의 기준

DO-178 ‘준용’의 가장 흔한 사례는 현재 우리나라에서 수행하고 있는 DO-178 ‘인증’이라고 할 수 있다. ‘인증’과 ‘준용’이 구분없이 사용되면서 막연하게 DO-178 인증을 받는 것이라고 오해하는 경우가 많지만 정확하게 말하면 그것은 모두 ‘인증’이 아니고 ‘준용’이다.

 

DO-178 준용에 대해서 미국과 우리나라 군용항공기에 적용하는 부분을 각각 살펴보면서 다시 한 번 ‘인증’과 ‘준용’의 차이를 확인해 보자.

 

(1)    미국 군용항공기의 DO-178 준용

 

미국 군용항공기에 대한 준용을 확인하기 위한 관련자료들을 살펴보자. 먼저 아래는 앞서 예시로 언급되었던 지침서 원문 중의 일부이다.

 

앞 절에서 길게 이야기했던 ‘Compliance’가 나오고 거기에 대응하는 ‘Certification’을 대비해서 설명하고 있다. 해석을 보자.

 

Compliance 대 Certification   약간의 예외는 있지만 FAA는 군프로젝트에는 관여하지 않기 때문에 공식적인 인증은 필요하지 않다. 대신 군당국은 일반적으로 “Compliance”라는 용어하에 자체인증을 한다. 그들은 인증(certification)이 아닌 DO-178B/DO-254로의 준용(compliance)이 필요하며 FAA는 관여하지 않는다. DER은 필요하지 않으며(비록 조언은 하더라도) 안전성 분석, 코드 강건성, 소스와 바이너리 상관관계 그리고 모든 인스턴스에 대한 엄격한 MCDC 증명을 포함한 어떤 요구사항들은 완화된다.

 

사실 위의 설명에 미국 군용항공기의 준용에 대한 핵심적인 설명이 모두 담겨있다. 여기에 담겨있는 핵심적인 내용을 중심으로 미국의 군용항공기에 대한 준용 기준을 정리해 보자.

 

①     미국의 군용항공기에 DO-178/DO-254 인증을 ‘준용’하는 이유

 

지금까지 설명으로 보자면 민간항공기와 달리 군용항공기는 FAA의 인증을 받을 필요가 없다. 그렇다면 굳이 DO-178/DO-254에 대해서 신경 쓰지 않아도 항공기에 탑재되는 데에는 전혀 문제될 것이 없다는 뜻이다. 그럼에도 굳이 민간의 인증을 ‘준용’하는 것은 결국 DO-178/DO-254 인증이 그 만큼 항공기의 안전성 확보에 적합하다는 것을 군에서 인정하고 있다는 것을 의미한다.

 

그런데 그런 ‘인정’이 처음부터 있었던 것은 아니다. 군에서는 애초에 군용항공기와 민간항공기가 많이 다르다는 인식을 가지고 있었다. 사실 항공기의 발전이 1, 2차 세계대전과 같은 대규모의 전쟁을 통해서 급속도로 발전한 배경에서 보자면 민간과는 비교할 수 없는 시장과 기술력을 보유하고 있었던 군으로서는 민간과 비교해서 월등한 우월감(?)을 가지고 있지 않았나 싶다. 필자가 번역한 지침서에 보면 아래와 같은 설명이 나온다.

※ 출처: Avionics Certification: A Complete Guide to DO-178 (software), DO-254 (hardware) / Vance Hilderman, Tony Baghi

 

해석을 보자.

 

군 프로젝트는 민간 프로젝트보다 더 복잡하다 임무 완수가 항상 가장 요구되는 목표이다 군 프로젝트는 민간 프로젝트보다 더 높은 품질이 필요하다 군 프로젝트는 관리할 수많은 공급자들이 있다 군 프로젝트는 복잡한 통합 사이클이 필요하다 군 프로젝트는 장기간의 항공기 수명이 필요하다

 

위의 글에서 당시 군이 민간에 대해 가지고 있었던 우월감을 짐작할 수 있다. 실제로도 당시 항공산업은 전쟁을 거치면서 급속도로 발전한 것이 사실이다. 하지만 전쟁이 거의 사라지고 전세계를 비행하는 민간항공기의 급격한 증가는 다음과 같은 인식의 변화를 가져오게 되었다.

※ 출처: Avionics Certification: A Complete Guide to DO-178 (software), DO-254 (hardware) / Vance Hilderman, Tony Baghi

 

해석을 보자.

 

둘 다 높은 복잡도와 복잡한 통합을 이용한다 둘 다 장기간의 프로젝트 기간과 함께 많은 공급자에 의지한다 둘 다 첨단 상업용 기술이 필요하다 둘 다 재사용성, 품질 그리고 비용 효율성에 대한 관심이 증가하고 있다 군용 항공기로 상업용 항공기를 사용하는 사례가 증가하고 있고 비행 경로나 시간을 제약하기를 원하지 않는다 공급자들이 군과 상업용 분야를 모두 커버하고 있고 생산라인을 합치고 있다

 

한 마디로 과거의 우월감은 사라지고 동급 혹은 오히려 민간에 더 방점을 두는 쪽(상업용 항공기를 사용하는 사례)으로 인식이 바뀐 것을 확인할 수 있다. 전쟁이 줄어들면서 어느덧 항공산업의 주류가 민간으로 옮겨졌고 그러한 과정을 거치면서 민간을 통해서 안정화된 기술과 제도가 군에 영향을 미치게 된 것이다.

 

물론 아직까지 군에서의 DO-178/DO-254 준용이 민간수준만큼 자리를 잡은 것은 아니지만 점점 그 사례가 늘어나고 있는 것은 사실이다. 이는 우리나라 군용항공기에 대해서도 인증당국의 DO-178 준용 요구사항이 늘어나는 것에서도 간접적으로 확인되는 부분이다.

 

②     FAA는 관여하지 않고 미군 인증당국이 자체인증을 한다.

 

FAA는 미국의 민간항공기에 대한 인증을 한다고 했다. 그 말은 민간이외의 군 혹은 정부기관 등의 인증에는 관여하지 않는다는 뜻이다. 군용항공기는 군인증당국이 따로 있다. 군인증당국에 대한 자세한 내용은 추후 기회가 되면 소개하기로 하고 일단 군용항공기는 FAA가 인증하는 것이 아니라 군인증당국이 인증하는 것이라는 점은 분명하게 알고 가자. 따라서 군용항공기에 탑재되는 소프트웨어에 대한 DO-178 인증 역시 군인증당국이 수행한다. 이는 다음에 설명하는 DER과도 연관되는 부분이다.

 

③     DER이 필요 없지만 컨설팅은 가능하다.

 

민간항공기의 DO-178 인증에는 FAA가 직접 관여하지 못하는 경우 위임을 받은 DER이 대신하게 된다. 그럼 군용항공기는 어떨까? 앞서 설명한 것처럼 군용항공기에 대해서는 FAA가 관여하지 않으므로 DER 역시 관여하지 않는다. 그래서 군용항공기의 경우에는 군인증당국과의 협의를 통해서 구체적인 인증방법을 결정하게 된다.

 

사실 이런 점은 군에서 DO-178 인증을 적용하는데 있어서 지금까지 계속되고 있는 고민거리라고 할 수 있다. 군용항공기에 대해서 DO-178을 인증할 수 있는 전문가가 민간에 비해서는 많이 부족하기 때문이다. 그래서 현장에서는 DER의 도움을 받는 경우가 많다. 쉽게 말해서 컨설팅을 받는 것이다. 비록 민간에서처럼 FAA를 대신해서 공식적인 인증활동을 하는 것은 아니지만 컨설팅을 통해서 민간수준의 DO-178 인증을 ‘준용’하는 것에 대한 도움을 받을 수 있다.

 

④     인증 조건이 완화될 수 있다.

 

민간항공기와 군용항공기의 DO-178을 적용하는 과정 자체에도 여러 가지 차이점들이 있다. 즉, 민간항공기에서의 기준과 방법을 군용항공기에 대해서도 동일하게 그대로 적용할 수 없는 경우가 많다는 뜻이다. 이로 인해서 인증 조건이 민간에 비해서 달라지거나 특히 완화되는 경우가 많다. 현실적인 한계를 반영하는 것이다. 인증 조건의 완화가 될 수 있는 사례로 다음과 같은 것들이 있다. 주로 민간과 비교해서 군 특성상 확보하기 어려운 혹은 상대적으로 필요성이 낮은 항목들이라고 할 수 있다.

 

-       안전성 분석

-       코드 강건성

-       소스와 바이너리 상관관계

-       모든 인스턴스에 대한 엄격한 MCDC 증명

 

물론 이런 항목들의 인증 조건을 완화하는 것은 인증당국과 협의가 되어야 한다. 만약 인증당국이 받아들이지 않을 경우에는 위의 항목들 중 하나라고 하더라도 ‘준용’을 위해서도 반드시 완전하게 수행되어야 한다.

 

(2)    우리나라 군용항공기의 DO-178 준용

 

앞서 미국 군용항공기에 DO-178 인증을 ‘준용’한 기준을 확인했는데 FAA가 관여하지 않는 ‘준용’의 관점에서 보면 우리나라 군용항공기에도 동일하게 적용되는 내용들이다. 앞서 ‘미국’으로 된 부분을 ‘우리나라’로 바꾸기만 하면 된다.

 

①     우리나라의 군용항공기에 DO-178/DO-254 인증을 ‘준용’하는 이유

 

항공선진국인 미국의 역사적 배경을 우리나라와 직접 비교하는 것은 애초에 불가능하다. 따라서 우리나라 군용항공기에 DO-178 인증을 ‘준용’하는 이유를 미국의 경우와 비교하는 것은 별로 의미가 없다. 차라리 미국과의 우방관계로 연결되어 있는 역사적 배경과 현실에서 보자면 거의 무조건적으로 미국의 기술과 제도를 그대로 받아들이는 경향이 있다는 점이 DO-178 ‘준용’에도 그대로 이어진 것이라고 보는 것이 더 타당할 수 있다. (물론 이는 필자의 주관적인 판단일 뿐이지만)

 

사실 우리 군에서 DO-178 인증을 준용하기 시작한 것이 최근에 들어서라고 할 수 있는데 이는 우리 군에서도 그 만큼 항공기에 탑재되는 소프트웨어의 안전성에 대해서 상당한 관심을 가지기 시작했다는 것을 보여준다.

 

②     FAA는 관여하지 않고 우리나라 군인증당국이 자체인증을 한다.

 

다른 절에서 설명한 것처럼 FAA는 우리나라 항공기에 대해서는 군용뿐만 아니라 민간에 대해서도 전혀 신경 쓰지 않는다. 미국의 군용항공기에 대해서 FAA가 관여하지 않는 것과 동일하다. 그리고 미군의 인증당국이 자신들의 군용항공기에 대해서 인증을 하는 것처럼 우리나라 군인증당국에서도 우리나라 군용항공기에 대해서 민간과 별개로 인증을 하고 있다.

 

③     DER이 필요 없지만 컨설팅은 가능하다.

 

미군 군용항공기에서 설명한 내용과 동일하다. FAA가 관여하지 않으므로 역시 DER도 관여할 필요가 없다. 그리고 군인증당국과의 협의를 통해서 구체적인 인증방법을 결정한다. DER을 통해서 컨설팅을 받는 부분은 인증을 받고자 하는 업체나 기관의 선택의 문제일 뿐이다. 실제로 우리나라의 군인증당국에서는 최근 들어 소프트웨어에 대한 DO-178 ‘준용’을 요구하는 사례가 자주 나타나고 있고 그로 인해서 컨설팅을 위한 목적으로 DER을 초빙하는 경우가 늘어나고 있다. 참고로 DO-178 ‘준용’이기 때문에 극단적으로 보자면 인증을 지원하는 쪽에서 DER 없이 자체적으로 수행할 수도 있다. 하지만 그렇게 진행하는 경우 결과에 대한 공신력을 확보하기가 어렵기 때문에 DER을 활용하는 것은 컨설팅을 받는 것뿐만 아니라 공신력을 확보하고자 하는 의도도 큰 것이 사실이다. (군인증당국에서도 DER을 통한 결과확인을 선호한다)

 

④     인증 조건이 완화될 수 있다.

 

미군 군용항공기에서 설명했던 아래 항목들이 동일하게 해당된다.

 

-       안전성 분석

-       코드 강건성

-       소스와 바이너리 상관관계

-       모든 인스턴스에 대한 엄격한 MCDC 증명

 

그리고 마찬가지로 완화할 항목들에 대해서 우리나라 군인증당국과 협의를 거쳐서 최종 결정하게 된다.

 

지금까지 정리한 내용들을 통해서 어떤 것을 DO-178 ‘인증’이라고 하고 어떤 것을 DO-178 ‘준용’이라고 하는지를 이해할 수 있을 것이다. 이상의 내용들에 준해서 본다면 민간이 아닌 정부의 특정 부서에서 사용하는 항공기에 대해서도 DO-178 ‘준용’이 적용될 수 있다는 것을 알 수 있다. 그 외 다른 여러가지 형태의 DO-178 ‘인증’과 ‘준용’을 구분할 수 있을 것이다.

 

참고) 지금까지 설명한 ‘준용’에 대한 내용은 사실 상당히 단순화시킨 것이며 기본적인 개념차원으로 정리한 것이다. 이것을 절대적인 ‘진리’로만 받아들이지 않도록 유의하자. 실제로 군용항공기 한 대가 감항인증을 받는다는 것은 우리가 미처 몰랐던 수없이 많은 변수들이 있을 수 있다. 예를 들어보자. 만약 민간항공기로 사용되던 것을 군용항공기로 전용해서 사용하기로 했다면 그 항공기에 대한 인증은 어떻게 되는 것일까? 민간과 군의 개념이 혼재될 수밖에 없는 상황이 발생하게 된다. 아래는 그러한 경우에 FAA가 미군용항공기의 감항인증에 참여하는 범위를 보여주는 예시이다. 자세한 설명은 생략하지만 지금까지 설명했던 내용과 전혀 다른 형태의 케이스도 있다는 것을 보여주기 위해서 예를 들었다.

 

출처: 항공기 개발 경험으로 쓴 감항인증 실무 / 윤희권, 김성진, 김영태, 이승현