2015 년도한국철도학회추계학술대회논문집 KSR2015A100 SIL4 인증문서한글표준양식 ( 템플릿 ) 적용사례연구 황경환 *, 이길용 *, 이기서 Kyung-Hwan Hwang *, Kil-Yong Lee *, Key-Seo Lee Abstract: To achieve the SIL4 Certification of train control system, each signaling manufacturer have to invest much resources(man power, Time) to prepare various kinds of safety supporting evidence documents in English or English forms, for example, Safety Case documents like Quality Control evidence, Safety Management evidence and Functional Safety management evidence. This paper suggest the man-power and time minimizing method when preparing SIL4 supporting evidence documents by use of standard Korean Forms(Templets) based on system life cycle and EN50126/EN50128/EN50129 standards. Keywords : SIL4 Certification, Safety supporting evidence, Standard Korean Forms(Templets) 초록열차제어시스템 SIL4 인증획득을위해각신호제조사에서는품질관리증거, 안전성관리증거및기능안전성증거자료등안전성입증을위한많은종류의문서를주로영문으로된양식또는영문을사용하여작성하고있어서많은자원 ( 기술인력, 시간등 ) 을투입하고있는실정이다. 본논문은신호제조사에서 SIL4 인증획득을위한안전성입증자료작성시에제품수명주기단계별로 EN50126/EN50128/EN50129/ 규격에준한한글표준양식 ( 템플릿 ) 을적용하여 SIL4 인증자료작성을위한투입인원및기간단축방안을제시하고자함. 주요어 : SIL4 인증, 안전성입증자료, 한글표준양식 ( 템플릿 ) 1. 서론 열차제어시스템을구성하는하드웨어의장애나소프트웨어에포함되어있는설계오류또는운전요원의인적오류등은시스템의안전과관련되어있는장치또는시스템에장애를유발시켜사람의사상사고나시설물파손등을발생시킬수있다. 이러한위험또는사고의발생을차단하거나저감하기위한방법으로제 3 자에의한안전성평가와같은관리활동이요구된다안전무결성수준 (Safety Integrity Level, SIL) 이란 Safety Function 에의해제공되는위험저감수준을나타낸다. 각각의 Safety Function 에대하여표준에따라안전무결성등급이정의되며 (SIL1~SIL4), SIL 등급의차가높을수록안전성평가시요구되는안전무결성수준이높아져서그만큼 SIL 인증을위해준비해야하는문서가많아지고문서수준이높아져야하므로 SIL4 인증자료준비를위해제조사에서많은자원을투입하고있다. * 철도신호사업연구조합 R&D 팀 교신저자 : 광운대학교로봇학부교수 (kslee@kw.ac.kr)
2. 본론 2.1 안전성평가절차 안전성평가에서시스템수명주기단계는크게요구사항단계와설계 / 구현단계로나눌수있으며, 각단계별안전성평가활동은다음 Table 1과같다. Table 1. 안전성평가활동 No 단계안전성평가활동 1 요구사항단계 ( 개념단계 ) 2 설계 / 구현단계 ( 세부단계 ) 안전성평가계획수립 기술및기능에대한안전성원리평가 요구사항및계획문서평가 안전성심사 상태평가보고서 세부기술평가 안전성관리, 자료준비, 형상관리, 시험등의심사 고장주입시험및기능시험 최종평가보고서 2.2 안전성승인조건 EN 50129 에따르면안전성승인조건으로다음과같은사항들을규정하고있다. 1) 종합안전성보고서 (Safety Case) 종합안전성보고서는명시된안전성요건을만족한다는것을증빙하는서류이다. 안전에관련된시스템이대상애플리케이션에대해충분히안전하다는것을승인할목적으로요구되는조건은크게다음세가지측면에대한증거자료이다. 품질관리증거 안전성관리증거 기능및기술안전성증거 안전에관련된시스템이충분히안전하다는것으로승인받기전에장치, 하부시스템및시스템수준에서위세가지측면의모든조건들을만족해야한다. 이러한조건을만족한다는내용의증거를구조화된안전성입증문서에포함해야하는데이를종합안전성보고서 (Safety Case) 라고한다. 종합안전성보고서는일반제품, 응용분야또는특정응용분야에대한안전성승인을얻기위해서안전성인증기관에제출할전반적인서류로이루어진근거로 Fig. 1 과같이구성된다.
1 장. 시스템정의 6 장. 결론 5 장. 관련 Safety Cases 4 장. 기술안전성보고서 3 장. 안전성관리보고서 2 장. 품질관리보고서 종합안전성보고서 (Safety Case) Fig. 1 종합안전성보고서 (Safety Case) 구조 2) 품질관리증거안전성승인을위해만족해야할첫번째조건은시스템 / 하부시스템 / 장치의품질이수명주기동안효과적인품질관리체계에의해관리되고, 지속적으로관리되어야한다는것이다. 이를입증하는문서로이루어진증거를품질관리보고서에제시해야한다. 품질관리체계의목적은수명주기의각단계에서인적오류의발생을최소화하고, 시스템, 하부시스템혹은장치에서계통결함으로인한위험도를저감시키기위한것이다. 품질관리에대한요구사항의준수는 SIL 1 에서 SIL4 까지필수이다. 3) 안전성관리증거안전성승인을위한만족해야할두번째조건은시스템, 하부시스템및장치의안전성이효과적인안전성관리절차에의해관리되고지속적으로관리되어야한다는것이다. 이절차의목적은수명주기동안안전관련인적오류의발생을저감시키기위한것이고, 안전과관련된계통결함으로인한잔여위험도를최소화하기위한것이다. 이를입증하는문서로이루어진증거를안전성관리보고서에제시해야한다. 안전성관리절차의적용은 SIL 1 에서 SIL4 까지필수이다. 2.3 안전성평가대상산출물 안전성평가는시스템, 하드웨어및소프트웨어 (ASIC 포함 ) 를대상으로수행하게되며 SIL4인증을위해각수명주기단계별로요구되는일반적인안전성평가대상산출물목록은 Table 2와같다.
Table 2. 안전성평가대상산출물 No 항목 ID 수명주기단계산출물 1 시스템 2 소프트웨어 1.1 계획 1.2 위험도분석 1.3 시스템요구사항 1.4 HW 설계 1.5 시스템검증 2.1 계획 2.2 SW 요구사항 2.3 아키텍처및설계 2.4 컴포넌트설계 2.5 컴포넌트구현및시험 2.6 통합 2.7 SW 검증 Safety plan Quality management plan System configuration management plan System verification and validation plan Risk analysis report (PHA) Hazard Log System requirements specification System safety requirements specification System requirements verification report System validation test plan Traceability matrix System architecture specification System FMEA HW design specification Drawing HW test plan and report RAM prediction Detail hardware FMEA System reliability modelling: FTA HW architecture and design verification report Manuals for operation, maintenance, installation System validation test report Environmental Stress and EMC test report Internal audit report for quality and safety management Generic Application Safety Case SW quality assurance plan Software quality assurance verification report SW configuration management plan SW verification & validation plan SW requirements specification SW requirements test specification SW requirements verification report SW architecture specification SW design specification SW Interface Specifications SW integration test specification SW/HW integration test specification SW architecture & design verification report SW component design specification SW component test specification SW component design verification report SW source code and supporting documentation SW coding guide and Coding standard SW component test report SW source code verification report SW integration test report SW/HW integration test report SW integration verification report Overall SW test report SW validation report
No 항목 ID 수명주기단계산출물 3 ASIC 소프트웨어 3.1 계획 3.2 SW 요구사항 3.3 아키텍처및설계 3.4 컴포넌트설계 3.5 컴포넌트구현및시험 3.6 통합 3.7 SW 검증 Tools validation report Software maintenance plan SW Release note ASIC SW quality assurance plan ASIC Software quality assurance verification report ASIC SW configuration management plan ASIC SW verification validation plan ASIC SW requirements specification ASIC SW requirements test specification ASIC SW requirements verification report ASIC SW architecture specification ASIC SW design specification ASIC SW Interface Specifications ASIC SW integration test specification ASIC SW/HW integration test specification ASIC SW architecture & design verification report ASIC SW component design specification ASIC SW coding guide and Coding standard ASIC SW component test specification ASIC SW component design verification report ASIC SW source code and supporting documentation ASIC SW component test report ASIC SW source code verification report ASIC SW integration test report ASIC SW/HW integration test report ASIC SW integration verification report ASIC SW Overall test report ASIC SW validation report ASIC Tools validation report ASIC Software maintenance plan ASIC SW Release note 2.4 시스템개발수명주기 SIL4 인증시제작사가준수해야할시스템에대한세부개발수명주기에대한정의는 Fig. 2 와같으며, 기본적인시스템수명주기에하드웨어개발주기와소프트웨어개발주기를포함하고있다. 열차제어시스템을개발하는제작사는이시스템개발수명주기에따라서제품을개발해야한다. 제작사는시스템개발주기에따라 Table 2에서정의한안전성평가대상과업을이행하고산출물을제출해야한다.
Fig.2 시스템개발주기 2.5 한글표준문서양식 ( 템플릿 ) 목록 철도신호사업연구조합에서는안전성활동의결과를작성할수있는한글표준문서양식을개발하여국제적 ISA인증기관의감수를받았으며열차제어시스템 SIL4 인증을준비중인제작사에제공예정이다. 철도신호사업연구조합이제공하게될시스템개발수명주기단계관련범주별한글표준문서양식 ( 템플릿 ) 목록은 Table 3과같다. 단, 제작사는철도신호사업연구조합이제공하는문서양식을이용하되이에국한되지않으며필요시 SIL4 인증대상에따라작성내용을추가또는삭제할수있다 Table 3. 한글표준문서양식 ( 템플릿 ) 목록 No 항목 ID 수명주기단계문서양식명 1 시스템 1.1 계획 1.2 위험도분석 1.3 시스템요구사항 1.4 HW 설계 RSRA-Safety Certification Plan Outline-Template RSRA-QAP Checklist RSRA-SQAP Checklist RSRA-HAZOP Form Template RSRA-PHA-SHA-SSHA-OSHA Template RSRA-System Safety Requirements Template RSRA-Requirements Management Template RSRA-HW DD Template RSRA-HW RS Template
No 항목 ID 수명주기단계문서양식명 2 소프트웨어 2.1 계획 2.2 SW 요구사항 RSRA-Interface Control Document-ICD Template RSRA-PHW Module Design Specification Template RSRA-PHW Module Test Plan Template RSRA-PHW Module Test Report Template Safety Process and Output Doc Summary EN50129 RSRA-SW Validation Plan Template RSRA-SW Verification Plan Template RSRA-SW VALIDATION PLAN Checklist RSRA-SW VERIFICATION PLAN Checklist RSRA-CENELEC_SW_DEV_Process Summary RSRA-SW Requirement Specification Template RSRA-SW Requirement Verification Report Template RSRA-SW RS Checklist RSRA-SW RT_SPEC Checklist RSRA-SW Requirements Test Specification Template RSRA-SW Requirements Verification Report Template RSRA-SW HW Integration Test Plan Template RSRA-SW Integration Test Plan Template RSRA-SW HW ITP Checklist RSRA-SW ITP Checklist RSRA-SW Architecture Specification Template RSRA-SW Design Specification Template 2.3 아키텍처및설계 RSRA-SW Integration Test Procedure Template 2.4 컴포넌트설계 RSRA-SW ARCH&DESIGN Ver Checklist RSRA-SW ARCH_SPEC Checklist RSRA-SW DS Checklist RSRA-SW Architecture Design and Requirements Verification Report Template RSRA-SW Module Design Specification Template RSRA-SW Module Test Report Template RSRA-SW Module Test Specification Template RSRA-SW MDS Checklist RSRA-SW Module_Ver Checklist 2.5 컴포넌트구현및 RSRA-Coding Standard Checklist 시험 RSRA-SW CTR Checklist 2.6 통합 RSRA-SW Integration Test Report Template RSRA-SW Integration Test Verification Report Template 2.7 SW 검증 RSRA-SW Validation Report Checklist
2.6 한글 표준문서양식(템플릿) 예 1) 위험도 분석 템플릿(RSRA-PHA-SHA-SSHA-OSHA Template)
2) 소프트웨어확인계획서템플릿 (RSRA-Software Verification Plan Template)
2.7 한글표준문서양식 ( 템플릿 ) 적용 열차제어시스템 SIL4 인증을위한일반적인안전성평가대상산출물은 2.3장 Table2와같으며이러한산출물작성지원을위한한글표준문서양식 ( 템플릿 ) 목록은 2.5장 Table3과같다. 국토교통과학기술진흥원연구개발과제인 일반및고속철도용무선통신및제어시스템실용화 과제의신호분야 KRTCS( 일반 고속철도 ) SIL4 인증시적용예정이며향후중소신호제조사에서열차제어시스템 ( 차상신호장치, 지상신호장치등 ) SIL4 인증추진시에도철도신호사업연구조합을통해점차적으로확대적용예정이다. 3. 결론열차제어시스템 SIL4 인증시획득을위해준비해야하는안전성입증자료는 ISA 기관인증을받기위해서현재대부분영문으로작성되고있어중소신호제조사에서는 SIL4 인증을받고자하더라도자원투입에많은어려움을겪고있는실정이다. 철도신호사업연구조합에서는신호제조사의 SIL4 인증지원체계를구축중에있으며이의일환으로 SIL4 인증문서한글표준양식 ( 템플릿 ) 을개발하여 ISA 인증기관의감수를받아완성하였다. 현재국토교통과학기술진흥원과제이며한국철도시설공단이주관연구기관인 일반및고속철도용무선통신및제어시스템실용화 연구과제의신호분야 KRTCS( 일반 고속철도 ) SIL4 인증제조사 ( 참여기업 ) 에서안전성입증자료준비에적용예정이며 SIL4 인증획득을위해안전성입증자료문서준비에투입해야하는기술인력과시간을대폭줄일수있다고예상한다. 감사의글 본연구는국토교통부일반및고속철도용무선통신및제어시스템실용화사업의연구비지원 ( 과제번호15RTRP-B089552-02) 에의해수행되었습니다. 참고문헌 [1] IEC 61508, Functional safety of electrical/ electronic/ programmable electronic safety-related systems, IEC, Geneva, Switzerland, April 2010. [2] EN 50126:1999, Railway applications - The specification and demonstration of Reliability, Availability Maintainability and Safety (RAMS) [3] EN 50128:2011, Railway applications - Communications, signalling and processing systems - Software for railway control and protection systems [4] EN 50129:2003, Railway applications - Communications, signalling and processing systems - Safetyrelated electronic systems for signaling [5] 철도신호사업연구조합 (2015) SIL 인증범위및대상선정정의 [6] 철도신호사업연구조합 (2015) 안전성평가계획수립및지원체계