STPA, 새로운 슬롯 머신 후기분석 통한 패러다임 전환

STPA - 새로운 슬롯 머신 후기 분석을 통한 패러다임의 전환(1)

“State-of-the-art”는 놀랍게 발전한 자동차 기술을 표현하는 데 가장 적합한 단어다. 그만큼 자동차의 안전 요구는 단순했던 예전과는 비교할 수 없을 정도로 높아졌다. 실제로 많은 사고가 단순한 컴포넌트의 고장을 넘어 원인을 찾기 어려우며 예상하지 못한 상황에서 벌어지기도 한다. 따라서 기존의 안전 분석으로 활용했던 방법을 보완할 수 있는 “State-of-the-art”의 분석 기법이 필요하다. 최근 자율주행차 안전 분석 방법으로 주목받고 있는 STPA에 대해서 알아본다.

글 | 노경현, CEO & 수석 컨설턴트, ASPICE & CMMI 선임심사원, VWAY
      김범석, 안전 및 사이버보안 분석 소프트웨어 기획자, VWAY   

* 노경현은 VWAY 대표이사로 자동차 기능안전성 전문가로 활동하고 있으며, 국민대학교 겸임 교수이다. ASPICE 및 CMMI의 선임심사원으로 안전 및 품질 프로세스 컨설팅을 담당하고 있다. 
** 김범석은 VWAY의 슬롯 머신 후기 및 사이버보안 소프트웨어 개발 기획자이다. VisualPro STPA의 기획을 총괄하고 있으며 국내 STPA의 교육 및 컨설팅을 담당하고 있다.

    *                               **

연관기사: STPA - ISO 21448(SOTIF) 준수 위한 슬롯 머신 후기분석 활용(2) (autoelectronics.co.kr)





배경 및 필요성      

기존 전통적인 슬롯 머신 후기 분석 방법은 Chain of event를 기반으로 한다. 개별 컴포넌트를 중심으로 그것을 관찰하고 분석, 그 결과를 결합해 동작을 이해하는 방식이다. 하나의 시스템을 컴포넌트로 분해하면 컴포넌트가 개별적으로 분석된다. 그리고 그 분석 결과를 결합해 시스템의 분석 결과를 만든다. 그림 1은 탱크 폭발의 손실로 귀결되는 물리적 또는 논리적, 기능적인 Event Chain을 나타내는 예시다.


 

그림 1 | Chain of event에 대한 탱크 파손의 예시



탱크 내에 수분이 발생하고 시간이 흐르면서 부식이 발생한다. 이후 탱크 가동 시 압력으로 인한 파열이 발생해 장비의 손상이나 사람의 부상으로 이어지게 된다. 이런 사고를 예방하기 위해서는 이벤트 사이에 장벽(Barriers)을 두어서 연속적인 이벤트 발생을 차단하는 것이 해결 방법이다. 흔히 기능슬롯 머신 후기에서 이야기하는 Safety Mechanism으로 볼 수도 있다. 이런 분석 기법은 이미 구축돼 있는 전기 기계나 첨단기술, 그리고 소프트웨어 집약적인 시스템에서도 어느 정도 유효하다. 하지만 이런 접근 방법이 더이상 유효하지 않을 때가 더 많아지고 있는 추세이다. 잠재적으로 일어날 수 있는 시스템의 동작을 예측, 이해하거나 이를 방지하기 위한 계획이나 보호를 하는 것이 더욱 더 힘들어졌다. 이런 복잡성은 개별 컴포넌트의 상호작용이 시스템의 슬롯 머신 후기에 영향을 주기도 하기 때문이다. 실제로 컴포넌트에 문제가 없었고 요구사항도 만족했지만 컴포넌트의 상호작용으로 인해 사고가 발생할 수 있다. 이는 기존의 위험관리 방법 및 기법으로는 슬롯 머신 후기의 영역을 모두 다룰 수 없다는 결론에 다다르게 된다. 관련된 예시로 1999년 화성탐사선 사고를 들 수 있다(그림 2).

  이 예시는 컴포넌트의 오류가 아닌 시스템 차원의 결함이라고 볼 수 있다. 기존 슬롯 머신 후기 분석(FMEA, FTA, ETA, HAZOP) 등은 인적 오류나 요구사항 및 시스템 설계의 결함을 포함하는 사고의 원인을 파악하기에 어려움이 있다. 이를 해결하기 위해서는 새로운 시스템 이론이 필요하다. 그리고 STPA는 시스템 이론을 기반으로 만들어진 이론으로, 이런 문제에 해결법을 제시할 수 있다.



STPA (System Theoretic Process Analysis)?

STPA는 2012년 미국 보스턴에 있는 MIT의 낸시 리브슨(Nancy G. Leveson) 교수가 시스템 이론에 기반해 발표한 방법이다. 발표 이래 꾸준히 항공, 자동차, 철도, 원자력, 의료 및 산업슬롯 머신 후기 분야에서 연구와 활용이 꾸준히 확산되고 있는 추세다. STPA는 분석할 때 컴포넌트의 기능을 나열하고 조합하기보다는 슬롯 머신 후기에 영향을 미치는 중요한 제어(Control) 관계를 중심으로 시스템을 구조화해서 이해한다. Top-Down 방식의 접근 방법으로 시스템의 손실로부터 시작해 제어 구조를 도식화하고 슬롯 머신 후기하지 않은 제어를 식별, 그리고 슬롯 머신 후기하지 않은 제어를 야기하는 손실 시나리오를 도출하는 네 단계의 절차로 이루어져 있다.
자세한 각 단계의 설명 및 적용 예제는 다음 글에서 자세하게 다룬다. 또한 MIT의 PSASS(Partnership for Systems Approaches to Safety and Security) 사이트에서도 자세한 정보를 얻을 수 있다. (MIT Partnership for Systems Approaches to Safety and Security PSASS) 


 


STPA가 발표된 지 10여 년이 지난 지금, 이미 많은 분야에서 STPA의 가치를 인정하고 사용을 권장하고 있다. 특히 ISO 21448에서는 STPA를 SOTIF와 연관된 Misuse를 도출하는 데 유용하다고 명시하고 있다.


     출처 | ISO 21448, Road vehicle - Safety of the intended functionality, 2022



또한, 미국 NRC(원자력규제위원회)의 위원회는 STPA의 Digital instrumentation and control(I&C)에 대한 슬롯 머신 후기 분석의 접근방식이 적절하며 사용하도록 승인했다.

                        출처 | PSASS (https://psas.scripts.mit.edu/)



이처럼 STPA는 이제 주요 산업뿐 아니라 다양한 산업에 그 효용성이 입증되어 사용되고 있다. 
다가올 고도화된 미래에 대한 기대와 동시에 슬롯 머신 후기에 대한 우려도 동시에 존재한다. 이런 우려 속에서 하나의 해결방법이 될 수 있는 STPA의 귀추가 주목된다.

 

---

참고문헌 
Nancy G. Leveson & John P. Thomas, 「STPA Handbook」, MIT, 2018 

---