2016 년도한국철도학회춘계학술대회논문집 KSR2016S102 철도시스템안전성확보를위한시스템설계와안전성활동의통합에관한연구 On the Integration of System Design and Safety Processes to Assure Safety in Rail Systems Design 김창원 *, 이재천 * Chang-Won Kim *, Jae-Chon Lee * Abstract A class of systems are called safety-critical systems in which systems failure may result in accidents with serious damage on human being and properties. As such, safety assurance has been a big necessity in large-scale complex systems in a variety of domains such as rail, automotive, aerospace, and defense. Therefore, a successful development of complex systems with safety assured has created a special concern on how to incorporate safety requirements in the system design process. To discuss what are needed to meet such concern is the objective of this study. To do so, the relevant systems design processes and safety processes in a variety of domains are analyzed. The result is then utilized in the development of an integrated process for the rail systems design with safety assured. Keywords : Functional Safety, Integrated Process, Safety Analysis, System Engineering Process, System Safety 초록시스템설계오류등여러요인으로사고가발생했을때, 인명과재산상에막대한피해를초래하는시스템을안전중시시스템이라고하는데, 대표적으로철도, 자동차, 항공, 국방분야의대형복합시스템들이해당된다. 시스템의복잡도가증가하고시스템의무인화운영등으로안전성위해요소가증가하고있기때문에시스템의안전성확보는매우중요한설계목표가되고있다. 따라서안전성분석활동이반영된시스템설계프로세스, 방법론및도구의개발이필요하다. 이것을위해본연구에서는다양한산업분야에서의시스템설계프로세스와안전분석프로세스에대한연구들을분석하고비교하였다. 이결과를기반으로안전성이확보된철도시스템개발에필요한시스템설계활동과안전성분석활동이통합된프로세스를제시하였다. 주요어 : 기능안전, 안전성분석, 시스템설계, 시스템안전, 시스템공학프로세스, 통합프로세스 1. 서론 안전사고가발생했을때, 인명과재산상의막대한피해를입히는시스템을안전중시시스템이라한다. 이러한안전중시시스템들은과거와비교해서급격한운영성능의발전을가져왔고, 동시에기능적으로도매우복잡해지게되었다. 대형화, 복잡화되어가고있는시스템 교신저자 : 아주대학교시스템공학과 (zzang00k@ajou.ac.kr) * 아주대학교시스템공학과
들은더욱커진사고및고장에대한위험을내재하게된다. 따라서이와같은안전중시시스템들은사고나고장이인명피해로직결되기때문에체계적인안전관리가필요하다. 미국방부의시스템안전표준 [1] 과 IEC의기능안전표준 [2] 은대표적으로시스템설계에안전성이반영되도록하기위한표준이다. 국방, 철도, 항공, 해양, 원자력등의안전이중시되는산업분야에서는위와같은표준규격을제정하고이를준수하도록권장하고있다. 특히철도분야에서는철도시스템설계시에안전과품질을고려할수있도록, EN 50126 표준을제정하여 RAMS(Reliability, Availability, Maintainability, Safety) process를프로젝트초기및시스템개발과운영동안에적용함으로써, 안전과품질을고려하도록하고있다 [3]. 또한, 철도신호시스템의안전관련표준인 EN 50129[4] 에서는철도신호시스템의안전성분석프로세스를제시했다. 먼저시스템설계정보를기반으로위험원을식별하고, 식별된위험원에의해서발생할수있는사고들을식별한다. 이사고의리스트를기반으로리스크평가를수행하여, 사고의발생빈도와심각도의곱으로표현할수있는리스크를도출한다. 이리스크평가결과를기반으로안전요구사항을도출한다. 요약하자면 EN 50129의안전성분석활동은위험원식별, 위험원으로인한결과의분석, 리스크평가및안전요구사항도출로정리할수있다. [Fig. 1] 은 EN 50129에서제시한안전성분석프로세스를보여준다. 안전중시시스템의개발에서안전활동과설계활동은각각의산출물이상호간의입력데이터로활용되므로, 두활동들은항상상호의존적으로수행되어야한다. 하지만안전부서와개발부서는두활동들이개별적으로수행되고있다 [5]. 또한시스템안전과기능안전표준에서명확한프로세스를제시했더라도, 이프로세스를활용해서실제안전중시시스템설계에어떻게반영하는지에대한가이드나지침을찾는것이어렵다 [6]. 따라서최근에는시스템개발프로세스의초기개념설계단계부터안전성분석활동을다양한방식으로통합하려는연구들이수행되고있고, 이연구결과들은안전중시시스템 Fig. 1 Risk analysis process of EN 50129[4].
설계의가이드나지침으로서역할을수행할것으로기대되고있다. [7] 에서는시스템공학과안전활동의통합에관한연구를수행했다. 각활동을수행함으로써생성한결과물들을하나의테이블로나타내어매칭시켰고, 이러한방식을시스템설계와안전활동사이의산출물교환이라고표현했다. 하지만시스템공학활동과안전성분석활동의순서를명확하게파악하지못했고, 각활동에서산출된데이터들의교환방식을제시하지않았다. [8] 에서는시스템설계와안전활동을통합하기위해서두활동들사이의상호작용 (interaction) 을핵심요소로고려한다. 하지만시스템설계와안전활동사이에데이터교환이양방향으로이루어지는것이아니라시스템설계의데이터를안전활동에제공하는것만을나타내고있기때문에두활동들사이의상호작용을면밀히고려했다고볼수없다. 시스템설계와통합프로세스를제시한연구들은위와같은문제점을지니며, 자동차나항공분야에적용하기위한통합프로세스는제시되었지만철도시스템에적용하기위해적합한통합프로세스모델에관한연구는거의없다. 따라서시스템설계활동과안전성분석활동이어떤순서로이루어지고, 각활동에서산출한데이터들이어떻게양방향으로교환되는지명확하게표현할필요가있다. 또한철도시스템설계에안전성분석활동을통합시킨모델이필요하다. 본논문에서는시스템설계활동과안전성분석활동을통합시킨프로세스를생성하는것이목적이다. 이프로세스는시스템설계와안전성분석활동의순서와데이터교환을명확하게기술했기때문에안전중시시스템인철도시스템개발의프레임워크로서적용시킬수있을것이다. 2. 시스템설계와안전성분석프로세스의정의철도시스템개발에적용하기위한안전성분석이통합된시스템설계프로세스를생성하기위해서, 먼저시스템설계프로세스를정의하고철도시스템안전성분석활동을식별해야한다. 이를기반으로두프로세스가어떤정보들을필요로하는지식별하고, 인터페이스를정의한다. 마지막으로시스템설계프로세스와철도시스템안전성분석 Fig. 2 Integrated procedure for safety analysis in system design.
활동을제시하고, 인터페이스를표현하여, 통합프로세스를정의하게된다. [Fig. 2] 은위의내용을정리한것이다. ISO 15288, IEEE 1220 및기타시스템공학과관련된문헌에서는시스템개념설계의핵심활동을종합하면, 요구사항정의, 기능아키텍처정의및물리아키텍처정의로나타날수있다. 요구사항을정의하기위해서는니즈 (Needs), 운영개념 (Concept of Operation) 과같은문서가필요하고, 이를기반으로이해당사자요구사항및시스템요구사항을도출한다. 요구사항정의에서도출된시스템요구사항을기반으로기능아키텍처를정의하게된다. 기능아키텍처는시스템이어떻게거동하는지, 시스템의기능구조는어떤것이있는지식별할수있다. 물리아키텍처정의는기능아키텍처정의활동에서정의한기능아키텍처를기반으로시스템의각기능이어떤물리적구성요소에할당되는지, 물리적구성요소들은어떤계층구조를갖는지식별하여물리아키텍처를정의한다. 따라서시스템설계프로세스는다음의세가지로정의할수있다. 요구사항정의, 기능아키텍처정의, 물리아키텍처로정의. 철도시스템의안전성분석을수행하기위해서는반드시대상시스템은무엇인지, 시스템은어떻게거동하는지, 시스템은어떤물리적인구조를갖는지에대한시스템설계데이터를필요로한다. 즉, 안전성분석을수행하기위해서는시스템의기능아키텍처와물리아키텍처정보를활용해야한다. [Fig. 1] 은안전성분석을상세하게제시하고있지만시스템정의와위험원제어 (Hazard control) 활동은실제적으로시스템설계에서수행되는활동이라고볼수있다. 따라서본논문에서는 EN 50129의안전성분석프로세스에서시스템설계활동이라고판단되는시스템정의와위험원제어활동을제거하여안전성분석활동을다음과같이정의했다. 위험원식별, 위험원으로인한결과분석, 리스크평가, 안전요구사항정의. 3. 시스템설계와안전성분석활동의통합프로세스생성시스템설계프로세스와철도시스템안전성분석프로세스를통합하기위해서두프로세스를표현하고, 두프로세스사이의순서와데이터교환을표현해야한다. 우선시스템설계프로세스를계층별로구분하여표현했다. 시스템설계프로세스는시스템, 서브시스템, 컴포넌트수준의요구사항정의, 기능아키텍처정의, 물리아키텍처정의활동이존재한다. 각시스템설계의산출물로요구사항, 기능아키텍처, 물리아키텍처가도출된다. 철도시스템의안전성분석활동도시스템설계의계층적인관점을적용하여시스템, 서브시스템, 컴포넌트수준의설계데이터를활용하여수행된다. 시스템수준의설계데이터를기반으로안전성분석활동을수행할때, PHL(Preliminary Hazards Lists) 분석을먼저수행하게된다. PHL은가장초기의니즈와운영개념을기반으로최상위수준의위험원을식별하기때문에다음단계의위험원분석을수행하기위한사전분석기법으로활용한다. 시스템수준에서 PHL 분석이먼저수행되는것을제외하고, 모든안전성분석활동은위험원을식별, 리스크평가, 안전요구사항도출이반복적으로수행된다.
본논문에서제시한시스템설계와안전성분석활동의상호작용은다음과같다. 먼저, 니즈와운영개념을입력으로받아시스템수준의요구사항분석과 PHL 분석을동시에수행한다. 두번째, 시스템수준의시스템설계프로세스는시스템요구사항을정의하고, 이를기반으로기능아키텍처정의, 기능아키텍처를기반으로물리아키텍처를정의하게된다. 세번째, 시스템수준의안전성분석프로세스는시스템설계프로세스가진행됨과동시에 PHL 분석을수행한다. 네번째, PHL과시스템기능아키텍처, 물리아키텍처를기반으로위험원을식별하고, 위험원의리스크를평가하며, 리스크평가결과를기반으로안전요구사항을식별한다. 마지막으로안전요구사항은다시시스템요구사항정의활동에반영되어처음에나온시스템요구사항에추가되거나시스템요구사항을수정하게된다. 위와같은활동은시스템이안전하다고판단될때까지지속된다. 시스템수준의안전성이보장되면, 다음으로시스템수준의물리아키텍처관련정보와위험원정보를입력으로하여서브시스템수준의시스템설계와안전성분석활동이수행된다. 서브시스템수준에서적용되는활동도시스템수준에서진행되는활동과같다. 서브시스템수준에서안전성이보장되면, 같은방식으로컴포넌트수준의통합프로세스활동이수행된다. [Fig. 3] 은본논문에서정의한시스템설계프로세스와안전성분석프로세스및두프로세스사이의상호작용을종합하여표현한통합프로세스이다. 4. 결론 본논문에서는철도시스템개발을위해서적용가능한시스템설계프로세스와철도시스 Fig. 3 Integrated process of safety analysis in system design.
템안전성분석활동이통합된프로세스를생성했다. 기존의연구들에서제시한통합프로세스는두프로세스사이의양방향데이터교환과시스템의각계층수준에서생성된데이터를명확하게제시하지못했다. 또한철도분야에적용가능한통합프로세스연구가거의없었다. 본저자가생성한통합프로세스는위에서언급한문제들을해결하고, 실제적으로철도시스템개발에서안전성분석과시스템설계활동이어떻게수행되어야하는지에대한프레임워크로역할을할수있을것이다. 참고문헌 [1] Department of Defense Standard (2012) Department of Defense Practice: System Safety, MIL-STD- 882E. [2] IEC (2010) Functional safety of electrical/electronic/programmable electronic safety-related systems, IEC Standard, 61508. [3] BSI (1999) Railway application The specification and demonstration of reliability, availability, maintainability and safety (RAMS), BSI standard, BS EN 50126-1:1999. [4] CENELEC (2003) Railway application Communication, signaling and processing systems Safety related electronic systems for signaling, CENELEC Standard, EN 50129:2003. [5] O. El Ariss, D. Xu, and W. E. Wong (2011) Integrating safety analysis with functional modeling, IEEE Transactions on Systems, Man and Cybernetics: Systems, 41(4), pp. 610-624. [6] Y. Papadopoulos and C. Grante (2005) Evolving car designs using model-based automated safety analysis and optimisation techniques, The Jounal of Systems and Software, 76(1), pp. 77-89. [7] E. Denney, G. Pai, C. Ippolito, and R. Lee (2012) An integrated safety and systems engineering methodology for small unmanned aircraft systems, in Proc. Infotech@Aerospace 2012, Garden Grove, CA. [8] H. Aboutaleb, M. Bouali, M. Adedjouma, and E. Suomalainen (2012) An integrated approach to implement system engineering and safety engineering processes: SASHA Project, in Proc. European congress on Embedded Real Time Software and Systems(ERTS 2012), Toulouse, France.