STPA, 새로운 안전분석 통한 패러다임 전환

STPA - 새로운 안전 분석을 통한 패러다임의 전환(1)

“State-of-the-art”는 놀랍게 발전한 자동차 기술을 표현하는 데 가장 적합한 단어다. 그만큼 자동차의 안전 요구는 단순했던 예전과는 비교할 수 없을 정도로 높아졌다. 실제로 많은 사고가 단순한 컴포넌트의 고장을 넘어 원인을 찾기 어려우며 예상하지 못한 상황에서 벌어지기도 한다. 따라서 기존의 안전 분석으로 활용했던 방법을 보완할 수 있는 “State-of-the-art”의 분석 기법이 필요하다. 최근 자율주행차 안전 분석 방법으로 주목받고 있는 STPA에 대해서 알아본다.

글 | 노경현, CEO & 수석 컨설턴트, ASPICE & CMMI 선임심사원, VWAY
      김범석, 안전 및 사이버보안 분석 소프트웨어 기획자, VWAY   

* 노경현은 VWAY 대표이사로 자동차 기능안전성 전문가로 활동하고 있으며, 국민대학교 겸임 교수이다. ASPICE 및 CMMI의 선임심사원으로 안전 및 품질 프로세스 컨설팅을 담당하고 있다. 
** 김범석은 VWAY의 안전 및 사이버보안 소프트웨어 개발 기획자이다. VisualPro STPA의 기획을 총괄하고 있으며 국내 STPA의 교육 및 컨설팅을 담당하고 있다.

    *                               **

연관기사: STPA - ISO 21448(SOTIF) 준수 위한 안전분석 활용(2) (autoelectronics.co.kr)





배경 및 필요성      

기존 전통적인 안전 분석 방법은 Chain of event를 기반으로 한다. 개별 컴포넌트를 중심으로 그것을 관찰하고 분석, 그 결과를 결합해 동작을 이해하는 방식이다. 하나의 시스템을 컴포넌트로 분해하면 컴포넌트가 개별적으로 분석된다. 그리고 그 분석 결과를 결합해 시스템의 분석 결과를 만든다. 그림 1은 탱크 폭발의 손실로 귀결되는 물리적 또는 논리적, 기능적인 Event Chain을 나타내는 예시다.


 

그림 1 | Chain of event에 대한 탱크 파손의 예시



탱크 내에 수분이 발생하고 시간이 흐르면서 부식이 발생한다. 이후 탱크 가동 시 압력으로 인한 파열이 발생해 장비의 손상이나 사람의 부상으로 이어지게 된다. 이런 사고를 예방하기 위해서는 이벤트 사이에 장벽(Barriers)을 두어서 연속적인 이벤트 발생을 차단하는 것이 해결 방법이다. 흔히 기능안전에서 이야기하는 Safety Mechanism으로 볼 수도 있다. 이런 분석 기법은 이미 구축돼 있는 전기 기계나 첨단기술, 그리고 소프트웨어 집약적인 시스템에서도 어느 정도 유효하다. 하지만 이런 접근 방법이 더이상 유효하지 않을 때가 더 많아지고 있는 추세이다. 잠재적으로 일어날 수 있는 시스템의 동작을 예측, 이해하거나 이를 방지하기 위한 계획이나 보호를 하는 것이 더욱 더 힘들어졌다. 이런 복잡성은 개별 컴포넌트의 상호작용이 시스템의 안전에 영향을 주기도 하기 때문이다. 실제로 컴포넌트에 문제가 없었고 요구사항도 만족했지만 컴포넌트의 상호작용으로 인해 사고가 발생할 수 있다. 이는 기존의 위험관리 방법 및 기법으로는 안전의 영역을 모두 다룰 수 없다는 결론에 다다르게 된다. 관련된 예시로 1999년 화성탐사선 사고를 들 수 있다(그림 2).

  이 예시는 컴포넌트의 오류가 아닌 시스템 차원의 결함이라고 볼 수 있다. 기존 안전 분석(FMEA, FTA, ETA, HAZOP) 등은 인적 오류나 요구사항 및 시스템 설계의 결함을 포함하는 사고의 원인을 파악하기에 어려움이 있다. 이를 해결하기 위해서는 새로운 시스템 이론이 필요하다. 그리고 STPA는 시스템 이론을 기반으로 만들어진 이론으로, 이런 문제에 해결법을 제시할 수 있다.



STPA (System Theoretic Process Analysis)?

STPA는 2012년 미국 보스턴에 있는 MIT의 낸시 리브슨(Nancy G. Leveson) 교수가 시스템 이론에 기반해 발표한 방법이다. 발표 이래 꾸준히 항공, 자동차, 철도, 원자력, 의료 및 산업안전 분야에서 연구와 활용이 꾸준히 확산되고 있는 추세다. STPA는 분석할 때 컴포넌트의 기능을 나열하고 조합하기보다는 안전에 영향을 미치는 중요한 제어(Control) 관계를 중심으로 시스템을 구조화해서 이해한다. Top-Down 방식의 접근 방법으로 시스템의 손실로부터 시작해 제어 구조를 도식화하고 안전하지 않은 제어를 식별, 그리고 안전하지 않은 제어를 야기하는 손실 시나리오를 도출하는 네 단계의 절차로 이루어져 있다.
자세한 각 단계의 설명 및 적용 예제는 다음 글에서 자세하게 다룬다. 또한 MIT의 PSASS(Partnership for Systems Approaches to Safety and Security) 사이트에서도 자세한 정보를 얻을 수 있다. (MIT Partnership for Systems Approaches to Safety and Security PSASS) 


 


STPA가 발표된 지 10여 년이 지난 지금, 이미 많은 분야에서 STPA의 가치를 인정하고 사용을 권장하고 있다. 특히 ISO 21448에서는 STPA를 SOTIF와 연관된 Misuse를 도출하는 데 유용하다고 명시하고 있다.


     출처 | ISO 21448, Road vehicle - Safety of the intended functionality, 2022



또한, 미국 NRC(원자력규제위원회)의 위원회는 STPA의 Digital instrumentation and control(I&C)에 대한 안전 분석의 접근방식이 적절하며 사용하도록 승인했다.

                        출처 | PSASS (https://psas.scripts.mit.edu/)



이처럼 STPA는 이제 주요 산업뿐 아니라 다양한 산업에 그 효용성이 입증되어 사용되고 있다. 
다가올 고도화된 미래에 대한 기대와 동시에 안전에 대한 우려도 동시에 존재한다. 이런 우려 속에서 하나의 해결방법이 될 수 있는 STPA의 귀추가 주목된다.

 

---

참고문헌 
Nancy G. Leveson & John P. Thomas, 「STPA Handbook」, MIT, 2018 

---

AEM_Automotive Electronics Magazine