[논문]열차제어 소프트웨어 안전성 평가도구의 설계

황종규; 조현정; 김형신

열차제어 소프트웨어 안전성 평가도구의 설계
Design of Train Control Software Safety Evaluation Tool 원문보기

한국철도학회 논문집 = Journal of the Korean Society for Railway, v.11 no.2 = no.45, 2008년, pp.139 - 144

황종규 (한국철도기술연구원 전기신호연구본부) , 조현정 (한국철도기술연구원 전기신호연구본부) , 김형신 (충남대학교 컴퓨터공학과)

초록
AI-Helper

최근 임베디드 시스템 기술의 발전에 따라 열차제어시스템의 자동화가 촉진되고 있다. 이를 위한 하드웨어의 안전성 검증을 위한 연구는 활발히 진행되고 있으나, 소프트웨어의 안전성을 검증하기 위한 체계적인 노력은 거의 이루어지지 않고 있다. 이 논문에서는 열차제어 시스템 소프트웨어의 안전성을 자동으로 평가 할 수 있는 소프트웨어 도구를 제안한다. 이를 위하여 관련 국제표준을 분석하였으며, 기존의 사용 소프트웨어 테스팅 도구들을 조사하였다. 이로부터 국제표준에서 요구하는 주요 요건을 테스팅 할 수 있는 도구를 제안하였으며, 이 도구는 소프트웨어 전 개발주기에서 이용이 가능하다. 이 도구는 기존의 테스팅 도구들과는 달리 소프트웨어의 안전성을 검증할 수 있다는 점에서 그 의의가 크다.

Abstract ▼ AI-Helper

Recent advances in embedded system technology have brought more dependence on automating train control. While much efforts have been reported to improve electronic hardware's safety, not so much systematic approaches to evaluate software's safety, especially for the vital software running on board train controllers. In this paper, we propose a new software tool to evaluate software safety for the train controller. We have reviewed requirements in the international standards and surveyed available tools in the market. From that, we identified necessary tests to meet the standards and proposed a tool that can be used during the whole software life cycle. We show the functional architecture and internal components of the tool. Our tool is unique in that it is a comprehensive tool specifically designed for software safety evaluation while other tools are not.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 열차제어 시스템소프트웨어의 안전성 평가 도구를 제안하였다. 제안한 평가도구는 기존의 자동화된 소프트웨어 테스트 도구를 확장하는 형태를 가지고 있으며, 소프트웨어 개발주기에서 파생된 안전성 활동의 결과들을 입력으로 이용하여 표준에서 요구하는 평가항목들을 동적테스트 형태로 수행하도록 한다.
본 연구에서는 IEC61508와 IEC62279를 분석하여 국제 표준에서 요구하는 소프트웨어 안전성 검증요건들을 도출하였다. 소프트웨어 수명주기의 개발 단계부터 요구되고 있는 테스팅 및 검증기법들을 분석하여 자동화할 수 있는 기법 들을 도출하였다.
본 연구에서는 열차제어 시스템 소프트웨어의 안전성을 자동으로 평가할 수 있는 소프트웨어를 제안한다. 이 연구의 의의는 다음과 같다.
본 연구에서는 일반 소프트웨어 안전성 국제 표준인 IEC61508[7]과 열차제어 분야의 국제 표준인 IEC62279[8] 를 분석하여 소프트웨어 안전성 테스트 방법을 제안하였다. IEC62279에서는 소프트웨어 안전 무결성 수준(Software Safety Integrity Level, SWSIL)을 정의하고, 정형화된 개발프로세스를 제안하고, 각 프로세스별로 SSIL 수준에 따라 검증기법을 제시하고 있다.
소프트웨어 안전성의 평가는 소프트웨어 설계시에 부여되는 소프트웨어 안전 무결성 수준(Software Safety Integrity Level, SWSIL)을 개발된 소프트웨어가 만족하는지를 검증 함으로써 이루어진다. SWSIL은 소프트웨어 자체적으로 정의되지 않으며, 소프트웨어를 적용하는 시스템의 안전 무결성 수준(SIL)과 동일하도록 결정된다.
• 실행 : 테스트를 수행하고, 테스트 커버리지, 구간별 테스트 내역, 및 테스트 결과를 요약. 오류 위치를 제시하고 테스트 케이스별로 상세한 결과를 사용자에게 보고하는 기능을 가지도록 함.
이 단계에서는 개발 프로세서들과 개발된 소프트웨어가 설계초기에 정의된 SWSIL을 만족하는지 최종적으로 검증하는 것을 목적으로 하고 있다. 사용해야 하는 검증기법들로는 체크리스트, 정적분석, 동적 분석, 고장트리 분석(Fault Tree Analysis), 소프트웨어 오류 영향분석, 공통원인 고장 분석(Common Cause Failure Analysis) 등을 강한 권고 항목으로 제시하고 있다.
이 절에서는 IEC61508과 IEC62279에서 정의한 안전성 검증 요건들 중에서 안전성 평가도구에서 구현하기위해 선정된 평가항목들을 소개한다. 표준에서 요구하고 검증방법 중에서 자동화 도구로 구현 가능한 것들을 우선적으로 선정하였으며, 여러 기법 중에서도 의무(M)와 강한 권고(HR) 로 규정된 검증기법들 중심으로 추출하였다.

가설 설정

2) 평가자의 선택에 따라 다양한 형태의 테스트 조합이 수행 가능해야 한다.
3) 소프트웨어의 정적 분석과 동적 분석이 가능해야 한다.
5) 테스팅 도구는 국제 안전성 표준에 부합해야 한다.

제안 방법

개발하는 도구는 소프트웨어 개발자, 평가자 및 인증기관 에서도 사용할 계획이며, 개발과정에서 사용한 테스트 기법을 인증기관에서 확인을 목적으로 적용할 수 있도록 정형 화된 테스트를 수행하는 것이 아니라, 테스트들을 사용자의 선택에 의해 구성할 수 있어야 한다. 테스트하는 안전성 수준에 따라서, 개발단계에 따라서 필요한 테스트들을 조합하는 것이 가능해야 한다.
Fagan 검사에서는 외부 전문가들이 수행하던 일반적인 소프트웨어 검사를 자동 화한 것이며, Metric 분석은 소프트웨어의 구조적인 특성을 분석하여 신뢰도나 복잡도와 같은 소프트웨어 고유의 특성을 측정하는 것을 말한다. 기존의 소프트웨어 신뢰성 분석 도구와는 달리 본 도구에서는 소프트웨어의 구현단계에서 안전성 검증을 위해 고장트리분석(FTA, Fault Tree Analysis) 도구를 구현한다. 일반적으로 FTA는 소프트웨어의 설계단계에서 이용되지만, 우리가 개발하는 테스트 도구에서는 설계단계에서 수행한 FTA의 결과를 입력으로 제공하여, 설계 단계에서 구현된 소프트웨어 안전성이 최종 구현단계 이후에 정확히 구현되었는지 체크해 주는 기능을 제공한다.
기존의 소프트웨어 개발 도구들은 안전성을 평가하기 위한 도구라기 보다는 신뢰성 있는 소프트웨어 개발을 위한 개발지원 도구들이다. 둘째, 소프트웨어 안전성 관련 인증도구로 이용이 가능하도록 설계되었다. 이를 위하여 관련 국제표준을 분석하였으며, 국제표준에서 요구하는 다양한 요구조건 중에서 자동화가 가능한 평가항목들을 도출하였다.
이러한 문제점을 해결하기 위해서는 설계 단계에서 이용하는 고장트리분석(Fault Tree Analysis)이나, 해저드분석(HAZOP)의 결과를 개발단계에서 검증할 수 있는 기능이 필수적이다. 따라서, 새로이 개발하는 안전성 평가 도구에서는 기존의 소프트웨어 신뢰성 테스팅 도구들과는 차별화하여 설계단계의 안전성활동 결과물들을 자동으로 입력물로 받아들여 테스트 케이스를 생성하고, 검증하는 기능을 보유하도록 하였다.
열차제어시스템은 임베디드 제어시스템의 특성을 가지고 있으므로, 응용 S/W가 포팅된 실제 타겟보드의 테스팅 에이전트 프로그램을 통해 테스팅 및 모니터링 되는 S/W 테스트 도구의 구조가 설계되어야 한다. 따라서, 테스트 도구는 소스코드와 입력자료 변환모듈을 이용하여 평가대상 소프트웨어의 안전성 분석 데이터를 변환하여 입력받고, 입력받은 소스코드와 안전성 분석 데이터를 바탕으로 테스트 데이터 자동생성모듈과 테스트 시나리오 자동생성모듈을 이용하여 테스트 데이터 및 시나리오를 생성한다. 이 생성된 테스트 케이스를 테스트 자동수행 및 모니터링 모듈과 타겟 테스팅 에이전트를 통해 테스팅을 수행하여 시험결과를 분석하고, 그 결과를 화면 및 파일로 저장하는 구조를 갖는다.
본 연구에서 개발하는 안전성 테스트 도구는 국제표준의 인증에 이용될 수 있으며, 이를 위해서는 도구 자체도 인증을 받아야 한다. 따라서, 개발하는 도구도 IEC61508 또는 DO-178B 등의 인증을 받아야 한다.
본 연구에서 제안하는 소프트웨어 안전성 평가는 소프트웨어 설계 단계 이후인 구현, 확인(Verification) 및 시험, 하드웨어 결합시험, 검증(Validation), 평가(Assessment) 단계에서 수행해야 하는 평가 항목들을 추출하였다. 이 절에 서는 IEC62279에서 요구하는 소프트웨어 안전성 요건에 관해 설명한다.
요구 하고 있는 코딩 규칙으로는 동적객체 및 변수의 사용금지, 포인터 및 재귀함수 사용의 제한, 무조건적 점프 사용 금지를 제안하였다. 블랙박스 테스팅과 함께, 성능시험과 인터페이스 시험을 강한 권고로 구분하였다.
국제 표준에서 요구하는 핵심평가항목들을 포함하도록 하였으며, 소프트웨어 개발 수명주기동안 이용될 수 있도록 하였다. 소프트웨어 설계단계에서 수행한 안전성 활동 결과를 테스팅 도구의 입력으로 이용하여 안전성 여부를 지속적으로 검증하는 기능을 추가하였다.
본 연구에서는 IEC61508와 IEC62279를 분석하여 국제 표준에서 요구하는 소프트웨어 안전성 검증요건들을 도출하였다. 소프트웨어 수명주기의 개발 단계부터 요구되고 있는 테스팅 및 검증기법들을 분석하여 자동화할 수 있는 기법 들을 도출하였다. 테스트 도구는 소프트웨어 매 개발단계에서 사용이 가능해야 하며, 표준에서 단계별로 요구하는 검증항목들을 자동으로 적용할 수 있어야 한다.
열차제어시스템 소프트웨어에 직접적으로 연관된 IEC62279에서는 주요 소프트웨어 개발단계별로 자동 화된 테스트를 요구하고 있으며, 적용해야 하는 주요 개발 기법, 테스팅 기법들이 소프트웨어의 안전무결성 수준에 따라 각각 정의되어 있다. 소프트웨어의 안전성 평가도구에서는 이들 중에서 최상위 안전성을 위하여 소프트웨어 안전 무결성수준 4에 적용할 수 있으며, 해당 기술의 사용이 의무(M)이거나 강한 권고(HR)로 구분된 기술에 한하여 도구 에서 구현할 요구사항으로 도출하였다.
소프트웨어의 설계 및 구현과정에서는 코딩 규칙준수와 블랙박스 테스팅을 의무검증 기법으로 요구하고 있다. 요구 하고 있는 코딩 규칙으로는 동적객체 및 변수의 사용금지, 포인터 및 재귀함수 사용의 제한, 무조건적 점프 사용 금지를 제안하였다. 블랙박스 테스팅과 함께, 성능시험과 인터페이스 시험을 강한 권고로 구분하였다.
따라서, 테스트 도구는 소스코드와 입력자료 변환모듈을 이용하여 평가대상 소프트웨어의 안전성 분석 데이터를 변환하여 입력받고, 입력받은 소스코드와 안전성 분석 데이터를 바탕으로 테스트 데이터 자동생성모듈과 테스트 시나리오 자동생성모듈을 이용하여 테스트 데이터 및 시나리오를 생성한다. 이 생성된 테스트 케이스를 테스트 자동수행 및 모니터링 모듈과 타겟 테스팅 에이전트를 통해 테스팅을 수행하여 시험결과를 분석하고, 그 결과를 화면 및 파일로 저장하는 구조를 갖는다. Fig.
이를 위하여 관련 국제표준을 분석하였으며, 국제표준에서 요구하는 다양한 요구조건 중에서 자동화가 가능한 평가항목들을 도출하였다. 이로부터 IEC61508[7] 및 IEC62279[8] 표준에서 요구하는 주요 요건을 테스팅 할 수 있는 도구를 제안하였다. 이 도구의 개발이 완료되면 향후 공인기관을 통한 객관적 소프트웨어 안전성 검증에도 이용이 될 수 있을 것으로 기대된다.
둘째, 소프트웨어 안전성 관련 인증도구로 이용이 가능하도록 설계되었다. 이를 위하여 관련 국제표준을 분석하였으며, 국제표준에서 요구하는 다양한 요구조건 중에서 자동화가 가능한 평가항목들을 도출하였다. 이로부터 IEC61508[7] 및 IEC62279[8] 표준에서 요구하는 주요 요건을 테스팅 할 수 있는 도구를 제안하였다.
본 논문에서는 열차제어 시스템소프트웨어의 안전성 평가 도구를 제안하였다. 제안한 평가도구는 기존의 자동화된 소프트웨어 테스트 도구를 확장하는 형태를 가지고 있으며, 소프트웨어 개발주기에서 파생된 안전성 활동의 결과들을 입력으로 이용하여 표준에서 요구하는 평가항목들을 동적테스트 형태로 수행하도록 한다. 국제 표준에서 요구하는 핵심평가항목들을 포함하도록 하였으며, 소프트웨어 개발 수명주기동안 이용될 수 있도록 하였다.
성능 시험은 소프트웨어 구현 시에 요구되는 하드웨어 처리 능력과 자원상태를 동적 테스팅의 형태로 수행하는 것이다. 제어 및 데이터 흐름 테스팅에서는 소프트웨어에서 발생되는 제어흐름과 데이터 흐름을 추적하여 미사용 코드 영역이나 데이터 영역이 발생 하는지를 시험한다.
평가항목의 도출을 위하여 소프트웨어의 구현물이 작성되거나 혹은 작성된 이후에 검증되어지는 행위와 관련한 단계를 중심으로 크게 ST1~ST6까지의 총 6 단계로 구분하였으며, 이들은 다음과 같다.
이 절에서는 IEC61508과 IEC62279에서 정의한 안전성 검증 요건들 중에서 안전성 평가도구에서 구현하기위해 선정된 평가항목들을 소개한다. 표준에서 요구하고 검증방법 중에서 자동화 도구로 구현 가능한 것들을 우선적으로 선정하였으며, 여러 기법 중에서도 의무(M)와 강한 권고(HR) 로 규정된 검증기법들 중심으로 추출하였다.

성능/효과

테스트 도구는 소프트웨어 매 개발단계에서 사용이 가능해야 하며, 표준에서 단계별로 요구하는 검증항목들을 자동으로 적용할 수 있어야 한다. 따라서, 개발되는 도구를 사용하면 IEC61508과 62279의 준수 여부를 객관적으로 검증할 수 있게 되어, 개발과정의 신뢰성을 높일 수 있다. 도출된 평가항목들은 4절에서 기술한다.
이 연구의 의의는 다음과 같다. 첫째, 본 연구에서 제안하는 도구는 기존의 소프트웨어 개발도구들과는 달리 소프트웨어의 안전성을 전문적으로 검증할 수 있는 도구이다. 기존의 소프트웨어 개발 도구들은 안전성을 평가하기 위한 도구라기 보다는 신뢰성 있는 소프트웨어 개발을 위한 개발지원 도구들이다.

후속연구

이로부터 IEC61508[7] 및 IEC62279[8] 표준에서 요구하는 주요 요건을 테스팅 할 수 있는 도구를 제안하였다. 이 도구의 개발이 완료되면 향후 공인기관을 통한 객관적 소프트웨어 안전성 검증에도 이용이 될 수 있을 것으로 기대된다. 이 논문은 도구의 설계단계의 결과를 정리한 것으로, 논문의 구성은 다음과 같다.
제안된 구조를 갖는 임베디드 소프트웨어 시험도구가 개발된다면 열차제어 시스템의 소프트웨어 안전성을 평가하는데 큰 도움을 줄 수 있을 것으로 기대된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	화이트 박스 테스팅으로 구현하게 되는 테스트 항목은?	화이트 박스 기법은 시험의 대상인 소프트웨어의 내부구조에 대한 정보를 테스팅 시에 이용할 수 있는 경우에 해당하며, 블랙박스는 그 반대의 경우이다. 화이트 박스 테스팅으로 구현하게 되는 테스트 항목은 성능 테스트, 제어흐름 및 데이터 흐름 테스트이다. 성능 시험은 소프트웨어 구현 시에 요구되는 하드웨어 처리 능력과 자원상태를 동적 테스팅의 형태로 수행하는 것이다.
	대표적인 열차제어 시스템에는 무엇이 있는가?	열차제어 시스템은 최근 기존의 기계적 장치로부터 컴퓨터시스템으로 전환되고 있으며, 소프트웨어에의 의존성이 급격하게 증가하고 있다. 대표적인 시스템으로는 일본의 EJTC[1] 자동열차제어시스템(ATC)을 들 수 있다. 차상 탑재 컴퓨터의 소프트웨어는 열차운행의 자동화와 자율화 추세에 따라 그 역할이 더욱 중요해 지고 있으며, 따라서 소프트웨어가 열차제어 시스템 전체에 미치는 영향도 커지고 있다.
	대표적인 소프트웨어의 안전성 활동에는 무엇이 있는가?	소프트웨어의 안전성은 주로 소프트웨어의 개발초기 단계인 소프트웨어 설계 단계에서 안전성 활동을 수행함으로써 이루어진다. 대표적인 안전성 활동으로는 HAZOP[5], FTA[3,4], FMECA[6] 등을 들 수 있다. 소프트웨어의 개발 초기에는 이와 같은 기법들이 활동되고 있으나, 개발이 완료된 이후에는 추가적인 안전성에 대한 검증은 자동화되거나 정형화된 방법이 적용되지 않고 있다.

참고문헌 (18)

Matsumo, M. (2005), 'The revolution of train control system in Japan', Autonomous Decentralized Systems, ISADS Proceedings, pp.599 - 606
Lawson, H. W. et al., (2001), 'Twenty years of safe train control in Sweden', Engineering of Computer Based Systems, Proceedings. Eighth Annual IEEE International Conference and Workshop on the, p.0289
Oh, Y.J. et al., (2005), 'Software safety analysis of function block diagrams using fault trees', Reliability Engineering & System Safety, Vol. 88, No. 3., pp. 215-228

상세보기
Weber, W. et al., (2005), 'Enhancing software safety by fault trees: experiences from an application to flight critical software', Reliability Engineering & System Safety, Vol. 89, No. 1., pp. 57-70

상세보기
Pirie, Ian B., (1999), 'Software ? How do we know it is safe?', Proceedings of the ASME/IEEE, pp.122-129
Lutz, R. R. and Woodhouse, R. M. (1999), 'Bi-directional Analysis for Certification of Safety-Critical Software', Proceedings of 1st International Software Assurance Certification Conference, Dulles, Virginia, February
International Electrotechnical Commission (IEC) (1999), '61508 - Functional Safety of Electrical / Electronic / Programmable Electronic Safety-Related Systems'.
International Electrotechnical Commission (IEC) (2002), '62279 Railway Applications $^\circ$ $\copyright$ Communications, Signalling &. Processing Systems, Software for Railway Control & Protection'.
RTCA DO-178B/ED-12B (1992), 'Software Considerations in Airborne Systems and Equipment Certification'
Sammapun, U., Lee, I. and Sokolsky, O., (2005), 'RT-MaC : Runtime monitoring and checking of quantitative and probabilistic properties', Proceedings of IEEE RTCSA
Leveson, N. G. (1986), 'Why, what and how ?', ACM Computing Surveys, 18(2), June
France, R. and Rumpe, B. (2007), 'Model-driven development of complex systems: A research roadmap', Future of Software Engineering, ACM Press
Mathworks Inc. (2004), Mathworks, http://www.mathworks.com
Mathworks Inc., Simulink, http://www.mathworks.com
Esterel Technologies (2004), http://www.esterel-technologies.com
Esterel technologies (2004), SCADE suite product, http://www. esterel-technologies.com
Harel, D. et al, (1990), 'Statemate: A working environment for the development of complex reactive systems', IEEE Transactions on Software Engineering, 16(4):403-414, April

상세보기
Leveson, N. G., Heimdahl, M. P. and Reese, J. D. (1999), 'Designing Specification Languages for Process Control Systems: Lessons Learned and Steps to the Future', In Seventh ACM SIGSOFT Symposium on the Foundations on Software Engineering, volume 1687 of LNCS, pages 127-145, September

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증