SPRi - 소프트웨어정책연구소

주요 분야의 시스템 안전 관련 국제 표준 동향

송지환SW기반정책·인재연구실 책임연구원

2018.07.31

24479

글자크기

- 기기, 제품, 서비스 등의 구조가 복잡해지고 기능이 많아짐에 따라 시스템 오류나 오동작 으로 인한 사고 발생 빈도가 예전보다 높아지고 있음
- 미국, 유럽 등 선진국에서는 자동차, 항공, 철도, 의료 등의 분야에서 시스템 안전을 위한 국제 표준 활동을 활발히 수행하고 있음
- HW 위주의 시스템 제어가 점점 SW로 옮겨감에 따라 SW안전 역시 중요해지고 있음
최근 자율주행차의 오동작으로 치명적인 사고가 잇따라 발생함
- 우버(Uber)의 자율주행차량(2017년형 볼보 XC90 개조)이 자전거를 끌고 길을 건너던 40대 여성을 치어 사망케 함
- 2018년 3월 18일 밤 9시 58분경, 미국 애리조나(Arizona)주 템피(Tempe)에서 자율주행 시범 운행 중이던 우버 차량이 자전거를 끌고 길을 건너던 엘레인 허츠버그(49세, Elaine Herzberg)를 43 mi/h(69 km/h) 속도로 치어 사망케 함에 따라 자율주행차로 인한 최초의 보행자 사망 사고로 기록됨
- 미국 연방교통안전위원회(NTSB)1는 사고 차량이 충돌 6초 전에 보행자를 인지하였으나, 비상 브레이크 시스템이 자동으로 작동하지 않아 보행자와 충돌하였다고 발표함
- 이후 언론에 발표된 기사2에 따르면, 당시 자율주행을 시험하던 운전자는 휴대전화로 TV 프로그램을 시청하느라 전방을 주시하지 않았고, 결국 충돌 전에 수동으로 비상 브레이크 작동을 못한 것으로 알려짐
- 그림 1 사고 직전 보행자(주황색) 위치와 사고차량(녹색) 위치(좌), 사고 직후 사고차량 상태(우)
  ※ 출처 : 美 연방교통안전위원회(NTSB) 예비보고서(HWY18MH010)
- 테슬라의 모델X 차량이 자율주행 중 고속도로 충격흡수장치를 들이받고 연이은 추돌 사고로 운전자가 사망함
- NTSB의 예비보고서3에 의하면, 2018년 3월 23일 아침 9시 27분 무렵, 미국 캘리포니아 101번 고속도로(US-101) 남쪽 방향(마운틴뷰 근처)에서 자율주행 중이던 테슬라 차량이 충격흡수장치(Crash Attenuator)를 감지하지 못하고 71 mi/h(114 km/h) 속도로 충돌함
- 연이은 다른 차량(2010년형 마쯔다 3와 2017년형 아우디 A4)과 추돌 사고로 테슬라 차량의 배터리가 폭발하여 화재가 발생하였고 결국 운전자 월터 후앙(38세, Walter Huang)이 사망함
- 충돌 직전까지 제동이나 충돌 회피 조향이 감지되지 않았다고 조사됨
- 그림 2 사고 직후 테슬라 차량 화재 모습(좌)과 화재가 진압된 이후 차량 모습(우)
  ※ 출처 : 美 연방교통안전위원회(NTSB) 예비보고서(HWY18FH011)
모든 분야에서 제품, 기기, 서비스 등의 구조가 복잡해지고 기능이 많아짐에 따라 시스템 오동작 또는 오류로 인한 사고가 증가할 것으로 예상함
- 예를 들어, 자동차 분야의 경우 자율주행 또는 주행보조, V2X4 등의 기능이 탑재됨에 따라 자동차의 기능이 많아지고 구조가 복잡해지고 있음
- 자율주행기능 및 주행보조기능을 위해 첨단운전지원시스템(ADAS)5은 카메라, 레이더, 라이더(LIDAR)6 등의 추가적인 부품 및 관련 기술이 필요하며 이는 시스템의 복잡도(Ccomplexity)를 필연적으로 상승시킴
- V2X 기능을 위해서는 5G 등의 초고속통신 서비스와 연동을 위한 모듈 및 기술이 추가로 필요함
- 기능이 많아지고 구조가 복잡해질수록 오류로 인한 사고 피해는 커질 수밖에 없음
- 위험(Risk)은 피해의 가능성(Probability)과 심각성(Severity)의 조합으로 정의되기 때문에, 피해가 발생할 가능성이 높거나 피해의 정도가 심각한 경우 위험이 높다고 말할 수 있음
- 복잡하고 기능이 많은 안전 중요 시스템은 피해의 가능성과 심각성이 모두 높아 잠재적인 위험이 클 수밖에 없고 이로 인한 사고 발생 가능성도 커짐
- 따라서, 안전이 중요(Safety-critical)하거나 관련된(Safety-related) 제품, 기기, 서비스 등에서 시스템 오류로 인한 사고 발생 가능성은 높아질 것으로 예상하며, 위험 정도를 낮출 방법에 대한 적극적인 연구와 노력이 필요함
- 그림 3 안전, 보안, 통신 기능 등이 추가됨에 따라 자동차의 기능 및 복잡도가 증가하고 있으나 개발 성숙도나 품질은 이를 따라가지 못해 시스템 오동작이 발생할 가능성 상승
  ※ 출처 : Functional Safety with ISO 26262, VECTOR, Dr. Christof Ebert, 2016
- 그림 4 위험은 피해의 가능성과 심각성의 조합
- 안전 중요 vs. 안전 관련
- 안전 중요(Safety Critical) : 설계누락, 오동작 등으로 위험상황을 대처하지 못하면 사람의 생명, 인체, 재산에 직접적인 해를 끼칠 수 있는 분야
  * 항공관제시스템, 열차제어시스템, 교통신호제어신스템, 상황전파시스템 등
- 안전 관련(Safety Related) : 오동작 시 직접적인 위해(危害)를 가하지 않으며 사고에 전적인 책임이 있는 것도 아니나, 잘못된 판단을 유도하는 등 간접적인 위해 또는 사회적 혼란을 야기할 수 있는 분야
  * 운항정보관리시스템, 수하물제어시스템, 댐홍수경보시스템, 지역난방제어시스템 등
- 특히, 자동차 분야뿐만 아니라 항공, 철도, 의료 등 안전 중요 분야에서 시스템 오류(Fault) 또는 오동작(Malfunction)은 큰 피해로 연결될 수 있음
- 2017년 12월, 삼천포 대교에 위치한 가변차로 신호등 오작동으로 차량 2대가 정면충돌하여 운전자 2명이 크게 다침
- 2011년 중국 윈저우에서 낙뢰로 인한 열차제어시스템 오류로 대규모 고속열차 추돌사고가 발생하여 승객 40명이 사망하고 192명이 다침
- 1985년부터 1987년 사이 Therac-25라는 방사선 치료기는 SW의 오류로 강한 방사선이 환자에게 주사되어 3명 이상의 사상자를 발생시킴
- 그림 5 (좌) 삼천포 대교 가변차로 오류 사고, (중) 중국 윈저우 고속열차 사고, (우) SW오류를 일으킨 Therac-25
  ※ 출처 : Google 이미지 검색

시스템 안전 확보를 위한 주요 활동으로 기능 안전 관련된 표준화가 국제적으로 활발히 진행됨

SW 오류로 인한 안전사고 발생 시, 국가 경제 및 사회 전반에 부정적 영향이 발생하게 됨
국가 기반시설의 안전사고가 빈번히 발생할수록, 국가 및 사회에 대한 신뢰도에 치명적인 타격을 받을 수 있음
국가 차원에서 안전 확보는 안전산업의 수출 확대 측면에서도 중요한 과제임
특히, 금융, 자동차, 철도, 항공, 전력, 국방, 의료, 교육 등 대부분 분야에서 SW의 의존도가 높아짐에 따라, SW 오류로 인한 사고의 피해 범위와 규모는 매우 클 것으로 예상함
그림 6 분야별(산업일반, 자동차, 항공, 의료기기) 안전 분류 및 기준
시스템의 안전을 확보하기 위해 국제적으로 기능 안전 표준화 작업을 활발히 진행하고 있음
기능 안전(Functional Safety) 표준은 위험원 분석(Hazard Analysis) 및 위험 평가(Risk Assessment) 등을 통해 시스템의 안전 관련 기능을 여러 등급으로 나눈 뒤, 높은 등급일수록 보다 엄격한 개발 및 검증 기법을 적용하는 기준을 제공함
전기/전자/프로그래밍 가능한 전자 장치에 대한 기능 안전 표준으로 IEC 61508이 대표적 이며, 모든 산업에 적용 가능한 기본이 되는 기능 안전 표준(母표준 역할)의 성격을 띰
이외 안전이 중요한 자동차, 철도, 항공, 원자력, 의료 등에서는 IEC 61508을 기반으로 분야별 기능 안전 표준이 존재하며 활발한 표준화 활동이 진행 중임
특히, SW안전이 중요해짐에 따라 기존 표준에 SW 부분의 비중을 늘리거나, 아예 SW안전을 위한 표준을 독립적으로 제정하고 있음

표 1 주요 분야별 기능 안전 표준 및 SW안전 관련 표준

<표 1> 주요 분야별 기능 안전 표준 및 SW안전 관련 표준
산업분야	기능 안전 국제 표준	SW안전 표준
공통	IEC 61508	EC 61508-3
자동차	ISO 26262	ISO 26262-6
철도	IEC 62278, IEC 62279	IEC 62279
항공	ARP 4761, DO-178C	DO-178C
원자력	IEC 60880, IEC 62138, IEEE7-4.3.2, IEC 61513	IEC 60880
의료	IEC 60601, IEC 62304, ISO 13606	IEC 62304

※ 출처 : 김진영 시스템안전성센터장, 한국정보통신기술협회(TTA), 2017

해외 안전 선진국들 보다 우리나라의 SW안전에 대한 표준 대응, 기술 연구 등이 미진함

우리나라는 SW안전 관련 국제 표준에 대한 인식이 낮은 편이고 국제 표준 제정 및 개정 작업 참여가 부족함
국내 경우 SW안전 관련 국제 표준에 대해 잘 알지 못할 뿐 아니라, 적용 필요성에 대한 인식도 부족한 편임
해외 선진국은 안전 국제 표준을 주도함으로써 산업에서 우위를 선점하고 시장 진입 장벽으로 활용하고 있음
우리나라는 산업 일반, 철도, 항공 등 주요 분야에서 국제 표준 활동에 참여가 소극적임

표 2 SW안전 관련 국내외 기술현황

<표 2> SW안전 관련 국내외 기술현황
해 외
안전성 SW 관련 표준 제정 NASA-STD-8719.13 미국 DoD, 영국&호주 DEF IEEE Std. 1633, IEC 61508 ISO 26262, DO-178B/C	안전성 SW 표준 대응 추진 중 국제 표준화 활동 참여 미흡 항공 SW 관련 DO-178B 인증 획득 기업 확대 중 자동차업계 ISO 26262 표준 대응 추진
안전 SW 플랫폼 아키텍처 연구 Europe Commission, $4.6M 투자 (AirTraffic Management, 2012.5)	안전 SW 기술 초기 단계 국방 무기체계 SW H사 전장 SW 원자력 발전소 통제 SW
모델기반 방법론 지원 SCADE Matlab/Simulink LabView도구 출시	모델기반 방법론 지원 취약 국내 지원 도구 부족 해외 도구 사용에 고가의 라이선스 비용 지출

※ 출처 : SW중심사회에서 SW의 안전, 지은경 KAIST 교수, 제12회 SPRi 포럼 발제, 2015

SW안전에 대한 인식 제고와 함께 산·학·연의 적극적인 표준화 참여가 필요함
- 미국, 유럽 등 해외 안전 선진국들이 안전 국제 표준을 주도함에 따라 산업 우위를 선점 하고 있음
- 기업, 학계, 연구소 등이 국제적인 안전 표준화 활동에 적극적으로 참여하고 정부 역시 이에 대한 지원이 필요함
- SW안전 관련 컨퍼런스, 세미나, 포럼 등을 통해 SW안전에 대한 인식제고 활동을 더욱 확대해야 나가야 함
- 안전 SW를 개발할 수 있는 전문 인력의 양성에 대한 국가적 차원의 로드맵이 필요함
- 1 National Transportation Safety Board
- 2 https://www.reuters.com/article/us-uber-selfdriving-crash/uber-driver-was-streaming-hulu-showjust-before-self-driving-car-crash-police-report-idUSKBN1JI0LB
- 3 https://www.ntsb.gov/investigations/AccidentReports/Reports/HWY18FH011-preliminary.pdf
- 4 Vehicle to Everythings의 약자로 주행 중인 차량이 다른 차량이나 도로, 시설물과 네트워크 통신을 이용하여 정보를 공유하는 기술
- 5 Advanced Driver Assistance System의 약자로 차량 내·외부에 탑재된 각종 센서가 안전과 위험회피를 목적으로 운전자를 지원하는 첨단보조 시스템. 현재 ESC, ABS, BAS, SLD, TPMS 등이 대표적으로 사용되고 있음
- 6 Laser Imaging, Detection and Ranging의 약자로 레이저를 이용해 주변 사물을 감지하는 기술