Home

철도 분야 기능 안전 표준인 IEC 62278은 신뢰성 기반의 위험원 분석 방법을 사용할 것을 권고한다[1]. 이 방법은 시스템 구성 요소의 고장을 중심으로 위험원을 분석한다. 위험원 분석을 통해서 어떤 원인으로 인하여 고장이 발생하였고, 이로 인하여 시스템에 어떠한 피해를 미치는지 그 영향을 파악하여, 위험원을 회피하거나 또는 피해 영향을 저감하는 안전 대책을 파악한다.

2017년 제작된 “철도 분야 신뢰⋅안전 가이드”는 신뢰성 기반의 다양한 위험원 분석 방법을 소개하고 있어서, 프로젝트의 규모와 조직에 상황에 맞게 이들을 조합하여 위험원 분석을 수행할 수 있다[4]. 예를 들어, 그림 1 좌측처럼 네 단계로 위험원을 분석할 수 있다. 첫째, 고장 유형 및 기능 고장 식별에서는 시스템 명세로부터 시스템이 갖추어야 할 기능을 파악하고, 기능으로부터 발생될 수 있는 고장 유형과 기능 고장을 식별한다.

Fig. 1. 
Proposed hazard analysis

둘째, PHA를 통해서 식별된 고장 유형 및 기능 고장을 발생시킨 원인과 발생되는 영향을 분석한다. 셋째, FMEA 단계에서는 PHA를 통해 분석된 원인 및 영향마다 어느 정도의 빈도로 발생되고 얼마만큼 심각한 피해를 입히는지를 파악한다. 넷째, 이러한 분석 결과로부터 안전 요구사항을 도출한다.

STPA는 시스템 이론에 기반을 둔 대표적 위험원 분석 방법이며, 수행 절차는 그림 1 우측과 같이 기초 자료 수집, UCA(Unsafe Control Action) 분석, 사고 시나리오 식별의 순서로 진행된다[5]. 첫째, 기초 자료 수집에서는 시스템 수준의 설계 문서를 바탕으로 분석 범위를 정하고, 시스템에서 발생 가능한 사고와 위험원을 식별하고, 제어 구조 다이어그램을 작성한 후에 이를 바탕으로 제어 명령을 식별한다. 둘째, UCA 분석에서는 제어 명령 별로 네 개의 키워드를 적용하여 UCA를 식별하고 초기 수준의 안전 요구사항을 식별한다. 여기서 키워드는 ‘Wrongly provided’, ‘Not provided’, ‘Provided wrong timing or order’, ‘Stopped too soon or applied too long’의 네 가지이다. 셋째, 사고 시나리오 식별에서는 제어 변수와 제어 값을 포함하는 제어 모형(Process Model)을 식별하여 이를 포함한 제어 구조 다이어그램을 재작성하고, 상황표를 작성하여, 이를 바탕으로 초기 수준의 안전 요구사항을 재작성하거나 추가한다.

철도 안전 시스템에서 전기전자제어(E/E/PE) 사용이 증가함에 따라서 시스템의 복잡도가 높아지고, 시스템 구성 요소 사이의 상호작용으로 인한 위험원이 늘고 있다. 이로 인해서, 위험원을 분석할 때에는 구성 요소의 고장으로 인한 위험원 및 구성 요소 사이의 상호작용으로 인한 위험원도 함께 고려해야 한다. 그러나 전 장에 살펴본 바와 같이, 기존 방법으로는 이들을 모두 분석하기 어렵다.

신뢰성 기반 분석은 구성 요소의 고장을 중심으로 위험원을 분석하기 때문에, 상호작용으로 인한 제어 위험원은 다루기 어렵다. 예를 들어 ‘열차 A’와 ‘열차 B’가 운행된다고 가정하자. 또한, 신뢰성 기반의 위험원 분석으로 “속도 제어 명령 전달에도 불구하고 두 열차 사이의 위치 정보 변경이 3번 이상 변화가 없을 경우 Fail-safe 한다”라는 안전 요구 사항이 도출되었다고 가정하자. 만약 시스템 구성 요소의 고장이 발생하여 위치가 3회 이상 변화되지 않는다면, 요구사항에 따라서 ‘Fail-safe’를 발동해서 전체 시스템을 비상 정지한다. 그러나 두 열차 사이의 거리가 감소하였을 때, 앞 열차인 ‘열차 A’에게 ‘속도 감속’ 제어 명령을 전달할 경우, 두 열차 사이의 위치 정보는 계속 변화하는 상태이기 때문에 위의 안전 요구사항은 수행되지 않고, 마침내 ‘열차 A’와 ‘열차 B’의 추돌이 발생할 수 있다.

한편, 시스템 이론적 분석은 상호작용을 중심으로 위험원을 분석하는 만큼, 고장으로 인한 시스템 동작 과정상의 위험원을 다루는 데에는 한계가 있다. 예를 들어, 시스템 이론 기반 분석으로 도출된 안전 요구사항이 “열차 A와의 거리가 감소하면 열차 B는 감속해야만 한다”라고 가정하자. 이는 ‘열차 A’와 ‘열차 B’ 사이의 거리가 감소하였을 때, 후속 열차인 ‘열차 B’에게 ‘속도 증가’와 같은 의도하지 않은 제어 명령을 전달하는 경우를 방지한다. 하지만, 위치 감지기의 오동작이 발생하면, 실제로 두 열차간의 거리가 감소하였음에도 불구하고, 안전 요구사항이 수행되지 않아서, 마침내 ‘열차 A’와 ‘열차 B’의 추돌이 발생할 수 있다.

이처럼, 신뢰성 기반 분석과 시스템 이론적 분석은 고장으로 인한 위험원과 상호작용으로 인한 위험원 모두를 분석하기는 어렵다. 만약 상호보완적인 두 분석을 결합한다면 하나의 분석만으로는 발견할 수 없었던 위험원을 다른 분석으로 찾아낼 수 있을 것이다. 지금까지, 철도 시스템 위험원 분석에 신뢰성 기반 방법을 사용하거나 또는 시스템 이론적 방법을 사용한 연구들이 있었다[6][7]. 따라서 본 논문에서는 이 둘을 결합한 하이브리드 위험원 분석 방법을 연구한다.

하이브리드 위험원 분석은 그림 1 중앙과 같이, 네 개의 활동으로 구성된다. 첫째, 위험원 식별은 분석하고자 하는 시스템의 범위를 파악해 시스템 명세로부터 해당 범위내의 시스템 기능을 식별하고 제어 구조 다이어그램을 작성한다. 그리고 HAZOP을 이용해 기능으로부터 발생할 수 있는 고장 유형을 식별한다. 둘째, 고장 원인 분석은 FTA를 수행해 식별된 고장 유형이 어떠한 원인으로부터 발생되었는지를 분석한다. 셋째, 의도치 않은 제어 분석에서는 제어 구조 다이어그램으로부터 의도치 않은 제어를 분석하고 사고 시나리오를 식별해서, 고장 유형으로 인하여 어떠한 잘못된 제어 명령이 발생할 수 있는지를 분석한다. 마지막으로, 제어 대책 식별은 위험원으로부터 시스템을 보호하는 예방 대책과 저감 대책을 식별한다. 이들 활동들을 자세히 설명하면 다음과 같다.

제안 방법의 유효성 확인을 위하여 사례 연구를 수행하였다. 사례 연구로는 디오라마 모형 철도를 이용하여 열차간의 속도를 제어하는 다중 적응형 순항 제어장치인 MACC(Multiple Adaptive Cruise Control)의 안전 기능을 개발하는 것이다. 그림 2와 같이 세 열차간의 거리를 감지하여 자동으로 안전거리를 유지한다. 만약 안전거리가 유지되지 않으면, 열차 추돌 같은 사고가 발생하기 때문에 철저한 위험원 분석이 요구된다. 이를 위하여 본 논문에서 제안하는 방법으로 위험원 분석을 수행하여 안전 요구사항을 찾아내고, 이를 바탕으로 시스템을 개발한다. 과연 찾아낸 요구사항이 정확한지 그리고 기존의 위험원 분석 방법에 비해서 얼마나 더 철저한지를 사례 연구를 통해서 비교 분석하고자 한다.

Fig. 2. 
Multiple adaptive cruise control system

MACC시스템은 그림 2와 같이 ‘Position Sensors’, ‘Detectors’, ‘DCC’, ‘MACC Software’, ‘Decoders’들로 구성된다. ‘Position Sensors’는 열차가 감지되면 ‘Detectors’로 감지된 정보를 전달하고, ‘Detectors’는 ‘Position Sensors’가 열차를 감지하면 해당 지역 정보를 ‘DCC’로 전달한다. ‘DCC’는 ‘Detectors’에서 전달된 정보를 저장하거나 ‘MACC Software’에서 전달된 제어 명령에 따라서 ‘Decoders’로 열차 제어 정보를 전달한다. ‘MACC Software’는 ‘DCC’에서 전달되는 정보를 감시하여 ‘DCC’에 열차 제어명령을 전달하고, ‘Decoders’는 ‘DCC’에서 전달된 열차 제어 정보에 따라 열차를 제어한다. 표 1은 MACC 시스템의 기능을 나타낸다.

신뢰성 기반 위험원 분석은 시스템 기능에서 고장 유형 및 기능 고장을 식별하는 것으로부터 시작한다. 그래서, MACC 시스템이 기능을 수행함에 있어서 고장을 유발시킬 수 있는 요소를 파악한다. 예로서 ‘열차속도 제어’의 기능 수행에는 ‘Decoders’가 사용된다. 속도 제어 명령을 수행해 열차의 속도를 변환하는 ‘Decoders’는 ‘제어 명령 수행 실패’의 기능 고장이 발생될 수 있고, 이는 ‘속도 제어 실패’라는 고장 유형을 야기한다.

그 후에 PHA와 FMEA를 수행하여 고장 유형 및 기능 고장을 일으키는 원인과 영향을 바탕으로, 구성 요소가 가지는 고장 유형으로 인해 발생되는 고장 영향을 분석하고 위험도를 추정한다. 또한, 이를 제어하기 위한 제어 조치를 표 2와 같이 수립한다.

STPA는 기초 자료를 수집하는 것으로부터 시작한다. 분석 대상인 MACC 시스템은 세 열차를 제어한다. 만약 MACC 기능이 정상적으로 작동하지 않으면 열차 간 추돌 사고가 발생한다. 이러한 사고를 일으킬 수 있는 위험원은 표 3과 같다.

기초 자료 수집의 마지막은 제어 구조 다이어그램을 작성하고 제어 명령을 식별하는 것이다. MACC 시스템의 구성 정보와 기능을 바탕으로 작성된 제어 구조 다이어그램은 그림 3과 같으며, 제어 명령은 ‘가속’, ‘감속’, ‘유지’, ‘완전 정지’가 있다.

Fig. 3. 
Control structure diagram for MACC

제어 명령이 식별되면 UCA를 식별한다. 표 4는 전체 UCA 중 ‘열차 A’와 관련된 UCA를 식별한 것으로, 7개 UCA가 위험원과 관련 있다. 예를 들어 UCA 중 하나인 “열차 B와의 거리가 감소하였음에도 불구하고 가속하지 않는다”는 “제어 소프트웨어가 열차 A 또는 열차 B 또는 열차 C의 위치 정보를 전달받지 못한다” 혹은 “제어 소프트웨어가 열차 A와 열차 B 사이의 거리가 감소하였음에도 불구하고 열차 A를 가속하지 못한다”의 두 위험원으로 인해 발생될 수 있다.

STPA 마지막 활동은 사고 시나리오의 식별이다. 제어 모형을 포함해 제어 구조 다이어그램을 재작성 하고, 상황표를 작성해 안전 요구사항을 재작성 및 추가한다. MACC 시스템의 제어 모형은, 제어 명령에 영향을 미치는 ‘열차 A’와 ‘열차 B’ 사이의 거리와 ‘열차 B’와 ‘열차 C’ 사이의 거리가 제어 변수가 되고, 각각 ‘증가’, ‘감소’, ‘유지’, ‘안전거리 미만’의 제어 값을 가진다. 이후 상황표는 제어 명령이 전달되지 못한 경우와 전달된 경우로 나누어, 제어 명령 별로 제어 변수와 제어 값을 조합해 작성한다. 표 5는 UCA와 상황표로부터 도출된 전체 안전 요구사항 중에서 ‘열차 A’와 관련된 것이다.

하이브리드 위험원 분석은 분석 범위를 파악하는 것으로부터 시작된다. 분석하고자 하는 MACC 시스템은 세 대의 열차가 운행될 때 각 열차 사이의 거리를 감지해 항상 안전거리를 유지하도록 자동으로 속도를 조절하는 시스템이다. 이를 유즈케이스 다이어그램으로 분석하면 사용자로는 ‘Trains’가 있고, ‘To detect distance’, ‘To control train speed’, ‘To maintain safety distance’의 세 유즈케이스를 가진다. 또한 제어 구조 다이어그램은 그림 3과 같다.

분석 범위가 파악되면 고장 유형을 식별한다. 고장 유형은 파악된 유즈케이스를 기준으로 한다. 표 6은 식별된 고장 유형으로, 표와 같은 고장 유형이 존재할 때 시스템이 해당 유즈케이스를 요구할 경우, 시스템의 위험원이 됨을 의미한다.

식별된 고장 유형은 FTA를 수행하여 고장 원인을 분석하였다. 그림 4는 표 6의 고장 유형 중 “Distance is not detected”에 대한 FTA 수행 결과로, ‘Position Sensors 고장’과 ‘Detectors 고장’을 고장 원인으로 가진다. 또한 이 고장 유형은 두 고장 원인 중 하나만 성립되어도 발생된다.

Fig. 4. 
FTA result from “Distance is not detected”

다음으로는 고장 유형으로 인한 의도치 않은 제어를 분석하기 위해 UCA를 식별 및 분석하고 사고 시나리오를 식별한다. UCA는 시스템 이론 기반 분석에서와 마찬가지로 표 4와 같다.

예를 들어 “열차 A는 열차 B와의 거리가 감소하였음에도 불구하고 가속하지 않는다”는 “Distance detect interface is not worked”를 비롯한 15개의 고장 유형으로 인해 발생될 수 있다. 그 이후에 진행되는 사고 시나리오 식별은 시스템 이론적 방법과 같다.

마지막으로 하이브리드 분석을 통해 제어 대책을 식별한다. 하이브리드 분석을 위해서는 사고 시나리오 중 위험한 경우에 대하여 고장 유형과 고장 원인을 정리하는 작업이 필요하다. 표 7과 표 8은 표 4에서 식별한 위험한 사고 시나리오 중 하나인 “열차 A와 열차 B 사이의 거리가 감소하였음에도 제어 명령인 열차 A에 가속 명령이 전달되지 않는다”에 대한 하이브리드 분석표이다. 이 사고 시나리오는 15개의 고장 유형과 관련이 있고, 고장 유형은 각자의 고장 원인을 가진다. 예를 들어 ‘잘못된 Position Sensors 연결’로 인한 “Distance detect interface is not worked”가 발생하면 ‘열차 A’와 ‘열차 B’ 사이의 거리가 감소하여도 해당 정보를 전달받지 못해 제어 명령 ‘열차 A 가속’이 전달되지 않게 된다.

하이브리드 분석표가 작성되면 예방 대책과 저감 대책을 식별한다. 예방 대책은 FTA, 즉 결함 트리를 이용한다. 예를 들어 표 7의 고장 유형 중의 하나인 “Distance is not detected”는 두 개의 원인인 ‘Position Sensors 고장’과 ‘Detectors 고장’을 가진다. 이 고장 유형은 두 고장 원인 중 하나만 성립되어도 발생하기 때문에 ‘Position Sensors’와 ‘Detectors’의 고장률을 동시에 감소시켰을 때 가장 발생 빈도를 낮출 수 있다. 그러기 위해 ‘Position Sensors’와 ‘Detectors’에 이중화 혹은 결함 감지 설계가 요구된다.

저감 대책의 경우는 사고 시나리오와 ETA를 이용한다. 예를 들어 표 7의 사고 시나리오 “열차 A와 열차 B 사이의 거리가 감소하였음에도 제어 명령인 열차 A의 가속이 전달되지 않는다”를 방지하기 위하여 이를 부정적으로 표현한 “열차 A와 열차 B 사이의 거리가 감소하였을 때 제어 명령 열차 A 가속은 반드시 전달되어야 한다”라는 안전 요구사항을 도출하고, 이를 달성하기 위해 필요한 요소를 판단 기준으로 하여 그림 5와 같이 ETA를 수행한다. 분석 결과를 살펴보면 현재 시스템은 ‘Fail-safe’는 구현되어 있지만, 비상 상황을 대비한 모니터링이 이루어지지 않고 있기 때문에 심각도는 ‘Catastrophic’이다. 그렇기 때문에 모니터링 시스템을 구축해서 위험한 시나리오가 발생하는 경우를 감지하여 이를 제어한다면 심각도는 ‘Marginal’로 감소한다.

Fig. 5. 
ETA result from one dangerous accident scenario