안전 필수 시스템

안전 필수 시스템 또는 세이프티 크리티컬 시스템(safety-critical system)^[2] 또는 생명 필수 시스템은 고장이나 오작동 시 다음 결과 중 하나(이상)를 초래할 수 있는 시스템이다.^[3][4]

• 인명 사망 또는 심각한 부상
• 장비/재산 손실 또는 심각한 손상
• 환경 피해

안전 필수 시스템의 예^[1]. 왼쪽에서 오른쪽으로, 위에서 아래로: C-141의 글래스 콕핏, 심박조율기, 우주왕복선 및 원자력 발전소의 제어실.

안전 관련 시스템(safety-related system) 또는 안전 연관 시스템(safety-involved system)은 하나 이상의 안전 기능을 수행하는 데 필요한 모든 것(하드웨어, 소프트웨어 및 인적 측면)을 포함하며, 이 시스템의 고장은 관련 인명 또는 환경에 대한 안전 위험을 크게 증가시킬 수 있다.^[5] 안전 관련 시스템은 인명 손실, 심각한 부상 또는 심각한 환경파괴와 같은 위험을 완전히 통제할 책임이 없는 시스템이다. 안전 연관 시스템의 오작동은 다른 시스템의 고장이나 인적오류와 함께 발생할 때만 위험하다. 일부 안전 조직에서는 안전 관련 시스템에 대한 지침을 제공하는데, 예를 들어 영국의 보건안전청(Health and Safety Executive)이 있다.^[6]

이러한 종류의 위험은 일반적으로 안전공학의 방법과 도구로 관리한다. 안전 필수 시스템은 10억(10⁹) 시간 작동당 1명 미만의 인명 손실을 발생시키도록 설계된다.^[7][8] 일반적인 설계 방법에는 결함수 해석과 고장 모드 및 영향 분석을 결합한 확률론적 위험 평가가 포함된다. 안전 필수 시스템은 점점 더 컴퓨터 시스템 기반이 되고 있다.

안전 필수 시스템은 스위스 치즈 모델과 함께 자주 사용되는 개념으로, 위협이 여러 주요 방벽의 실패를 통해 어떻게 큰 사고로 확대될 수 있는지 (일반적으로 나비 넥타이 다이어그램으로) 나타낸다. 이러한 사용은 특히 공정 안전 분야에서, 특히 석유 및 가스 시추 및 생산에 적용될 때 설명 목적으로 그리고 자산 무결성 관리 시스템 및 사고 분석과 같은 다른 프로세스를 지원하기 위해 일반화되었다.^[9]

신뢰성 체제

안전 필수 시스템에는 여러 가지 신뢰성 체제가 존재한다.

• 고장-작동 시스템은 제어 시스템이 고장 나도 계속 작동한다. 이러한 예로는 엘리베이터, 대부분의 가정용 보일러에 있는 가스 온도조절기, 그리고 수동형 원자력 안전 시스템이 있다. 고장-작동 모드는 때때로 안전하지 않다. 핵무기 통신 두절 시 발사 시스템은 미군 핵무기 통제 시스템으로 채택되지 않았는데, 이는 통신 두절 시 발사가 일어나는 고장-작동 시스템이었기 때문에 너무 위험하다고 여겨졌다. 이는 소련 시대에 구축된 페리미터 시스템의 고장-치명적 행동과 대조된다.^[10]
• 고장-유연 시스템은 고장 시 효율성이 감소된 상태로 임시적으로 계속 작동할 수 있다.^[11] 대부분의 예비 타이어가 이의 예이다. 일반적으로 특정 제한(예: 속도 제한)이 따르며 연비가 낮아진다. 또 다른 예는 대부분의 윈도우 운영 체제에서 볼 수 있는 "안전 모드"이다.
• 페일 세이프 시스템은 작동할 수 없을 때 안전한 상태가 된다. 많은 의료 시스템이 이 범주에 속한다. 예를 들어, 수액 펌프가 고장 났을 때 간호사에게 경고하고 펌프 작동을 멈추기만 한다면, 안전 간격이 인간의 반응을 허용할 만큼 충분히 길기 때문에 인명 손실의 위험은 없다. 이와 유사하게, 산업용 또는 가정용 버너 제어 장치가 고장 날 수 있지만, 안전 모드로 고장 나야 한다(즉, 결함을 감지하면 연소를 멈춰야 한다). 유명한 것은, 발사 명령에 따라 작동하는 핵무기 시스템은 페일 세이프이다. 왜냐하면 통신 시스템이 고장 나면 발사 명령을 내릴 수 없기 때문이다. 철도 신호는 페일 세이프로 설계된다.
• 페일 시큐어 시스템은 작동할 수 없을 때 최대 보안을 유지한다. 예를 들어, 페일 세이프 전자 도어가 정전 시 잠금이 해제되는 반면, 페일 시큐어 도어는 잠겨 해당 지역을 안전하게 유지한다.
• 고장-수동 시스템은 시스템 고장 시에도 계속 작동한다. 항공기 오토파일럿이 한 예이다. 고장 발생 시 항공기는 조종 가능한 상태를 유지하며 조종사가 제어권을 인계받아 비행을 완료하고 안전하게 착륙할 수 있도록 한다.
• 결함 허용 시스템은 시스템에 결함이 발생하더라도 서비스 실패를 피한다. 예를 들어, 일반 원자로의 제어 시스템이 이에 해당할 수 있다. 결함을 허용하는 일반적인 방법은 여러 컴퓨터가 시스템의 각 부분을 계속 테스트하고, 고장 난 하위 시스템에 대해 핫 스페어를 활성화하는 것이다. 고장 난 하위 시스템이 일반 유지보수 주기에 따라 교체되거나 수리되는 한, 이러한 시스템은 안전하다고 간주된다. 인간이 사용하는 컴퓨터, 전원 공급 장치 및 제어 터미널은 모두 이러한 시스템에서 어떤 방식으로든 이중화되어야 한다.

안전 필수 시스템을 위한 소프트웨어 공학

안전 필수 시스템을 위한 소프트웨어 공학은 특히 어렵다. 생명 필수 시스템을 위한 공학 소프트웨어를 지원하기 위해 적용할 수 있는 세 가지 측면이 있다. 첫째는 프로세스 공학 및 관리이다. 둘째, 시스템에 적합한 도구와 환경을 선택하는 것이다. 이를 통해 시스템 개발자는 에뮬레이션을 통해 시스템을 효과적으로 테스트하고 그 효율성을 관찰할 수 있다. 셋째, 항공 분야에 대한 연방 항공국의 요구 사항과 같은 법적 및 규제 요구 사항을 충족해야 한다. 시스템이 개발되어야 하는 표준을 설정함으로써 설계자는 요구 사항을 준수할 수밖에 없게 된다. 항공전자 산업은 생명 필수 항공전자 소프트웨어 생산을 위한 표준 방법을 성공적으로 만들어냈다. 산업 전반에 걸쳐 (IEC 61508) 그리고 자동차 (ISO 26262), 의료 (IEC 62304) 및 원자력 (IEC 61513) 산업에 특화된 유사한 표준이 존재한다. 표준적인 접근 방식은 시스템을 신중하게 코딩하고, 검사하고, 문서화하고, 테스트하고, 검증하고, 분석하는 것이다. 또 다른 접근 방식은 생산 시스템, 컴파일러를 인증한 다음 사양에서 시스템 코드를 생성하는 것이다. 또 다른 접근 방식은 정형 기법을 사용하여 코드가 요구 사항을 충족한다는 수학적 증명을 생성하는 것이다.^[12] 이 모든 접근 방식은 개발 프로세스에서 수동 단계를 테스트하거나 제거함으로써 안전 필수 시스템의 소프트웨어 품질을 향상시키는데, 이는 사람이 실수를 저지르며 이러한 실수가 잠재적인 생명을 위협하는 오류의 가장 흔한 원인이기 때문이다.

안전 필수 시스템의 예시

인프라

• 회로 차단기
• 응급 서비스 디스패치 시스템
• 발전 (전기), 송전 및 배전
• 화재 경보기
• 화재 스프링클러
• 퓨즈
• 유압 퓨즈
• 생명 유지 장치
• 전기 통신

의학^[13]

기술 요구사항은 고장 회피를 넘어설 수 있으며, 의료 중환자 치료(환자 치료를 다룸)와 생명 유지 장치(환자 안정화를 위한 것)를 촉진할 수도 있다.

• 심폐기
• 마취기
• 기계적 환기 시스템
• 수액 펌프 및 인슐린 펌프
• 방사선 치료 기기
• 로봇 수술 기기
• 세동제거 기기
• 심박조율기
• 인공투석 기기
• 활력 징후를 전자적으로 모니터링하는 장치(전기생리학; 특히 심전도, ECG 또는 EKG, 및 뇌전도, EEG)
• 의료 영상 기기(엑스선, 전산화 단층 촬영 – CT 또는 CAT, 다양한 자기 공명 영상 – MRI – 기술, 양전자 방출 단층촬영 – PET)
• 심지어 의료 정보 시스템도 상당한 안전상 영향을 미친다^[14]

원자력 공학^[15]

• 원자로 제어 시스템

석유 및 가스 생산^[16]

• 공정 격리
• 유정 건전성
• 선체 건전성 (부유식 원유생산 저장 하역 설비)
• 재킷 및 상부 구조물
• 양중 장비
• 헬리덱
• 계류 시스템
• 화재 및 가스 감지
• 중요 계측 기능 (공정 차단, 비상 차단)
• 작동되는 차단 밸브
• 압력 릴리프 장치
• 블로우다운 밸브 및 배기가스연소탑 시스템
• 시추 유정 제어 (블로우아웃 방지 장치, 머드 및 시멘트)
• 환기 (건축) 및 공기조화기술
• 배수 시스템
• 밸러스트 시스템
• 선체 화물 탱크 불활성 시스템
• 방향 제어
• 점화 방지 (방폭 인증 전기 장비, 절연된 고온 표면 등)
• 소방 펌프
• 소방수 및 폼 분배 배관
• 소방수 및 폼 모니터
• 딜루지 밸브
• 기체 소화 시스템
• 소방수 소화전
• 수동 소화 시스템
• 임시 피난처
• 비상 탈출 경로
• 구명정 및 구명 뗏목
• 개인 생존 장비(예: 개인구명동의)

레크리에이션

• 놀이기구
• 등반 장비
• 낙하산
• 스쿠버 장비
  • 다이빙 리브리더
  • 다이브 컴퓨터 (사용법에 따라 다름)

운송

철도^[17]

• 철도 신호 및 제어 시스템
• 열차 문 제어를 위한 승강장 감지^[18]
• 자동 열차 정지^[18]

자동차^[19]

• 에어백 시스템
• 제동기
• 안전벨트
• 파워 스티어링 시스템
• 첨단 운전자 보조 시스템
• 전자식 스로틀 밸브
• 하이브리드 및 전기차용 배터리 관리 시스템
• 전자식 주차 브레이크
• 시프트 바이 와이어 시스템
• 드라이브 바이 와이어 시스템
• 파크 바이 와이어

항공^[20]

• 항공 교통 관제 시스템
• 항공전자, 특히 플라이 바이 와이어 시스템
• 전파 항법(수신기 자율 무결성 모니터링)
• 항공기 엔진 제어 시스템
• 항공승무원 생명 유지 시스템
• 비행 연료 요구 사항 결정을 위한 비행 계획

우주 비행^[21]

• 유인 우주 비행체
• 로켓 발사대 발사 안전 시스템
• 우주발사체 안전
• 승무원 구조 시스템
• 승무원 이송 시스템

같이 보기

• 의공학
• 안전율
• 정형 기법
• 고신뢰성 소프트웨어
• 미션 크리티컬
• 원자로
• 다중화 (시스템)
• 실시간 컴퓨팅
• 신뢰성 공학
• 안전 필수 시스템 클럽
• SAPHIRE (위험 분석 소프트웨어)
• Therac-25
• 영역 안전 분석