항공우주시스템공학회 2013년도 춘계학술대회 2013 SASE Spring Conference

비행제어 소프트웨어의 감항인증에 관한 연구

신선영* ․ 김대웅 ․ 최두열 ․ 장순용 ․ 허진구
* * * **

A Study on Airworthiness Certification for the Flight

Control Software

Sunyoung Shin* ․ Daewong Kim* ․ Dooyeol Choi* ․ Soonryong Jang* ․ JinGoo Heo**

ABSTRACT

Since the development of KT-1 and T-50 aircraft has been successfully completed leading to
their exports to be contracted recently, flight safety for military aircraft should be
assured through airworthiness process by decree of act / enforced regulation. The software
embedded in the flight control computer is safety-critical, therefore, the military
airworthiness for computer resource section should be referred and the corresponding
qualification criteria to be satisfied. This paper addresses the methodologies of the flight
control software classification and substantiation over the computer resources in terms of
airworthiness qualification process.

Key Words : Military Aircraft, flight Control Software, Airworthiness, SOF, Airworthiness
Certification, Military Certification of Airworthiness

1. 서 론 항공기 개발 선진국인 미국은 2000년 10월 미

공군에서 훈령(AFPD, Air Force Policy
감항인증(Airworthiness Certification)이란 어 Directive) 62-6 'USAF Aircraft Airworthiness
떤 항공기 시스템이 주어진 비행선도 내에서 안전 Certification‘를 제정하여 美 공군에서 보유/운
하게 유지 및 운용될 수 있거나 작동된 것을 검증 용하는 모든 항공기도 FAA에서 정의하는 Public
하는데 적용하는 반복 가능한 과정이다. 이는 항공 Aircraft(정부 소유의 항공기)에 포함시켜 감항인
기가 운용하기에 적합한 안전성과 신뢰성을 갖고 증을 적용하도록 정책결정을 하였다. 美 국방부
있는가에 대한 증명으로서, 항공산업에서의 감항인 (DoD)는 3군이 공통으로 적용할 수 있는 최상위
증은 각종 규격 및 절차를 요구에 만족하고 안전성 수준의 기준서인 MIL-HDBK-516B, 합동군사규격지
을 확보하였음을 확인받는 절차라 할 수 있다. 침서(JSSG, Joint Service Specification Guides)
를 관리하고 이를 참고자료로 제시하고 있으며,
*
정회원, 한국항공우주산업주식회사
**
정회원, 국방기술품질원 각 군은 해당 항공기에 맞도록 Tailoring 할 수
연락저자, E-mail: ds5nde@koreaaero.com 있는 기준을 제공하고 있다.

-1-
항공우주시스템공학회 2013년도 춘계학술대회
국내 군용항공기는 2009년에 군용항공기 비행안
전성 인증에 관한 법률 및 동법 시행령/시행규칙
이 제정되면서 감항인증의 적용을 의무화하게 되
었다. 특히, 최근 국내개발
T-50, KUH 등)의 활발한 수출이 기대되면서, 구매
국에서 정부차원의 감항인증을 요구하고 있다. 따
라서, 군용항공기의 비행안정성의 보장뿐만 아니
라, 군용항공기의 수출을 지원하고, 비행안전성
확보에 대한 정부의 책임과 의무를 강화하여 구매
국의 신뢰를 증대시켜 국내 항공산업 발전에 기여
할 수 있는 감항인증 시스템 적용이 어느 때보다
중요시되고 있다.
Fig 1. Military Aircraft Airworthiness Certification
Process
본 논문에서는 최근 감항인증 심사를 완료한
비행제어 소프트웨어와 연관하여 표준감항인증기
준에서 컴퓨터자원분야의 일부 기준에 대해 입증
하기 위한 방법을 소개하고, 이해를 돕기 위한 비
행제어 시스템의 아키텍쳐와 개발 프로세스에 따
른 검증방법에 대해 알아보고자 한다.
2. 본 론
2.1 표준감항인증기준
감항인증기준은 군용항공기 사업 시 항공기의 비
행안전성을 확보하기 위해 설계, 제작, 시험 등에
적용하는 일반적인 기술기준으로서 방위사업청장이
고시한 감항인증기준인 표준감항인증(Standard ACC
2013 SASE Spring Conference
: Standard Airworthiness Certification
Criteria), 방위사업청장이 고시하지 아니하였으나
국제적으로 통용되는 감항인증기준인 기타감항인증
군용항공기(KT-1, 기준(Other ACC : Other Airworthiness
Certification Criteria)과 표준감항인증기준 또는
승인된 기타 감항인증기준을 기초로 해당 군용항공
기 사업의 특성에 맞게 작성한 감항인증기준인 기
종별 감항인증기준(TACC : Tailored Airworthiness
Certification Criteria)으로 구분된다.
이들 감항인증기준 중에서 본 항공기의 감항인증
기준은 美 국방성의 MIL-HDBK-516B w/Change 1
Airworthiness Certification Criteria[Fig. 2]를
기준으로 제정된 표준감항인증기준에 따라 감항인
증활동을 수행하였다.
Fig 2. MIL-HDBK-516B
MIL-HDBK-516B는 유인항공기는 물론 무인항공
기, 회전익항공기 등의 항공기 형식의 감항성을
확인하는 기준을 제공하고 있으며, 관련 규격으로
미 합동군사규격지침서(JSSG), 정부 규격서 / 표
준서 / 실무지침서(Government Specifications,
Standards, and Handbooks), 미 공군지침서(Air
Force Instructions), 기타 미 정부 발간물(Other
Government Publications) 등이 있다. 이는 상세
기준 수립시 적용대상에 적합하도록 Tailoring하
여 사용할 수 있도록 명시되어있다.
인증기준을 충족함을 검증하기 위해 체계, 부체
계 및 구성품별 수준에서 검증하는 방법인 적합성
검증방법(MOC, Means of Compliance)에 따르며,
검증방법은 검사, 분석, 모의, 시범, 지상 시험
-2-
항공우주시스템공학회 2013년도 춘계학술대회 2013 SASE Spring Conference

및 비행시험 등 총 10개로 분류한다. FLCC 하드웨어 측면에서는 원제작사의

FMECA(Failure Mode Effects and Criticality
2.2. 컴퓨터자원 분야 Analysis)와 Subsystem Hazard 분석결과와
비행제어 소프트웨어는 특정 시스템 설계의 안 FCS(Flight Control System) 아키텍처 설계 확인
전을 평가하는데 사용될 MIL-HDBK-516B 감항인증 을 통해 입증하였고, 시스템 측면에서는 OFP
기준들을 조정한 문서화된 인증 기준에서 15장 컴 SSHA(System-level Subsystem Hazard Analysis),
퓨터 자원 분야에 해당한다. FTA(Fault Tree Analysis Report)를 통해 조종기
15장 컴퓨터자원 분야는 크게 항공기 연산처리 능 상실 확률(PLOC : Probability Loss of
구조, 연산처리 구성요소의 기능적 설계통합, 세 Control)과 기능 오작동에 대한 위험성 분석을 통
부계통/연산처리 기능 구성 요소 세가지 섹션으로 해 입증할 수 있었다.
나뉘는데 각 섹션에서 비행제어 소프트웨어의
Safety-Critical 관련 기준에 대한 상세기준 구체화
및 충족입증방법에 대한 사례를 하나씩 제시한다.

2.2.1 항공기 연산처리 구조

① 기준 : 안전비행과 관련된 모든 연산처리 요
소(물리적, 기능적)가 안전비행 요구도를 만족하
도록 설계되어 있다는 것을 검증한다.(Verify
that all processing elements of the
architecture that interface (physically and
functionally) with SOF functions are designed
Fig 3. Triplex Redundant FCS HW Interface
to meet SOF requirements.)
② 상세기준 구체화 및 충족 입증 : 위의 기준
에서 언급한 안전비행과 안전비행 요구도에 대한 이들 요구사항들의 정확한 설계 반영을 검증하
검증을 위해서 안전비행(Safety of Flight)에 대 기 위해 시스템통합시험인 ISVV(Integrated
한 정의로써 안전 중대 기능으로 부정확하거나 작 System Validation & Verification)[Fig. 4]와 고
동하지 않을 경우, 사망 또는 항공기손실을 유발 장모드영향성시험인 FMET(Failure Mode
할 수 있는 기능을 제공하며, 단일 고장만으로 재 Effectiveness Test)[Fig. 5]를 통해 입증하였다.
앙적 사고(MIL-STD-882D 재난심각도 등급 1수준)
를 초래할 수 있다는 내용으로 정리하였다. 이러
한 안전비행을 보장하는 연산처리요소(FCS
Processing)의 물리적, 기능적 설계는
FLCC(Flight Control Computer) hardware와 FLCC
와 결합한 OFP의 신뢰성있는 설계를 말하며, 이에
대한 입증자료로서 시스템요구명세서(SSS :
System Segment Specification)에서 비행제어시스 Fig 4. System Test Environment
템의 조종기능 상실 확률에 대한 요구사항 확인을
2.2.2 연산처리 구성요소의 기능적 설계통합
할 수 있으며, 고장관리에 의한 고장 전파를 차단
① 기준 : 시험 및 검증 기능을 포함하여 연산
할 수 있는 3중 설계에 대해서 소프트웨어 요구사
처리구조상의 모든 안전 치명요소들을 통합하기
항 명세서/설계 기술서(SRS/SDD : Software
위한 방법론이 수립되고 적용되고 있는지를 입증
Requirements Specification/Software Design
Document)를 통해 확인할 수 있었다.[Fig. 3] 한다.(Verify that a controlled methodology is

-3-
항공우주시스템공학회 2013년도 춘계학술대회 2013 SASE Spring Conference

(SDP : Software Development Plan)에 의해 관리되

고 있으며 이를 기반으로 개발에 반영되는 절차와
관련한 내용이 기재되어있다. 각 개발단계별로 정
의된 세부 프로세스가 있으며, 이는 시스템변경요
청서(SCR : System Change Request), (MCR :
Mechanization Change Request), 소프트웨어변경요
청서(SWCR : Software Change Request), (SPAR :
System Product Anomaly Report)로 구분되어 있으
며, 이에 대한 전체적인 흐름은 [Fig 7]과 같다.
Fig 5. Failure Mode Evaluation Test(FMET)
established and applied to integrate all
safety critical elements of the processing
architecture, including verification
coverage.)
② 상세기준 구체화 및 충족 입증 : 위의 기준은
통제화된 방법론이 수립되어있고 이를 적용할 수
있는 프로세스가 갖춰져 있는지 입증해야하는 기준
으로써, 이를 입증하는 비행제어 소프트웨어에 적
용된 개발프로세스는 MIL-STD-498 및 LM Aero 社
(Lockheed Martin)의 시스템/소프트웨어 개발프로
세스 PM-4001과 방사청 소프트웨어 개발 프로세스
및 한국항공의 소프트웨어 개발프로세스(DI-733)에
따라 구축된 개발프로세스이다.[Fig. 6]

Fig 7. Detailed Software Development Activities for the

FLCC OFP

이와 같이 통제화된 규칙으로 정의된 변경프로세

스를 거쳐 이를 시험 및 검증하기 위한 환경[Fig.
8] 및 절차에 관련한 내용 역시 소프트웨어개발계
획서에 반영되어 있다. 그러므로 이 기준을 충족
함을 입증하기 위한 문서로써 소프트웨어개발계획
서가 주가 되며, 관련한 상세내용으로써 시스템시

Fig 6. Flight Control Software Development Process 험결과서(STR : System Test Report)를 통해 최종
결과까지 입증할 수 있다.
이에 대한 상세한 내용은 소프트웨어개발계획서

-4-
항공우주시스템공학회 2013년도 춘계학술대회 2013 SASE Spring Conference

Figure 9. OFP CPU/IOP Real-Time Scheduling

Fig 8. System Qualification Test Environment 그리고 최고하중의 최악모드 수행 시나리오에 대

한 입증을 위해 비행제어 소프트웨어의 분석결과 자
2.2.3 세부계통/연산처리 기능 구성요소 료를 제시하였다. 이는 시스템 성능 측면에서 최악
모드를 수행하기 위해 실시간 점유율이 가장 높은
① 기준 : 평균 및 최고하중의 최악 모드 수행 시
결함이 발생할 경우에 대한 시나리오를 작성하였고,
나리오 하에서 입/출력 및 자료처리기(메모리 포함)
실제 1 Frame내에 두가지이상의 결함발생확률은 희
의 처리량이 적절한 여유가 있음을 검증한
박하지만, 최악모드 수행시나리오에 대한 충분한 처
다.(Verify that there is sufficient throughput
리량 여유도 설계가 반영되어있음을 보였다.
margin for both input/output and processor
capabilities (including memory) under worst-case
mode performance scenarios for both average and
peak worst-case loading conditions.)
② 상세기준 구체화 및 충족 입증 : 해당 기준을
입증하기 위해“평균 및 최고하중의 최악 모드 수행
시나리오 하에서 입/출력 및 자료처리기(메모리 포
함)에 여유용량을 계산하고, 각각의 여유용량이 주
어진 수명동안 비행안전에 충분한지 검증한다”로
구체화하여 상세기준을 설정하였다.
관련 군사규격 JSSG-2008에는 초기개발 기준으로
총 여유량을 50%로 Requirement Guideance로 제시하
고 있으나 기 개발된 T-50을 기반으로 한 항공기 특
성상 이미 소프트웨어 성숙도를 고려한 15% 여유도
요구도가 수립되어 있었다. 본 상세기준의 적절한 Figure 10. Worst Case Scenario
여유도 검증은 제어법칙의 64Hz 수행 요구도에 따른
실시간성을 보장하기 위해 제어법칙을 위한 입/출력
은 15.625ms마다 수행되어야하므로 IOP와 CPU간에
3. 결 론
상호작용을 고려한 제어법칙 계산이 수행되기 전에
입력이 완벽하게 준비되는 지에 대한 Critical Path
이번 감항인증을 통해 국내에서는 최초로 군용항공
Time 여유에 대한 설계고려가 되어야한다. 이는 비
기 표준감항인증기준 MIL-HDBK-516B의 컴퓨터자원 분
행제어소프트웨어 Task 처리방식이 프레임 확장 개
야에 대한 인증을 획득하였다. 감항인증과정에서 기
념 적용으로 안정적인 입출력 처리가 확보되었음으
로 확인하는 것으로 입증을 완료하였다.[Fig. 9] 존 27개의 표준감항인증기준을 보다 명확하게 설정하

-5-
항공우주시스템공학회 2013년도 춘계학술대회
기 위해 59개의 상세기준으로 세분화하였고 이를 충
족하기 위한 관련 자료들을 제시하여 입증하였다.
감항인증 활동을 통해 비행안전을 고려하기 위한
요소들이 무엇이고 설계 및 검증 과정 중에 행해
지는 일련의 활동 및 결과물들이 감항인증과 어떻
게 관련이 있는지 확인할 수 있는 계기가 되었으
며, 향후 항공기 개발 사업에서는 보다 발전된 형
태의 감항인증 활동이 가능할 것으로 판단된다.
참고문헌
[1] DoD, "Joint Service Specification Guide -
Vehicle Control And Management
2013 SASE Spring Conference
1998.10.30
[2] DoD, MIL-HDBK-516B, "Airworthiness
Certification Criteria" 2005.12.26
[3] 박무혁, “항공용 S/W 개발 및 인증 기술동
향”, 한국우주산업기술동향, 5권 1호, 2007.
[4] 방위사업청, “방위사업청고시 2011-1호 군용
항공기 표준감항인증기준” 2011.12.7
[5] 김성래, “국내 군용항공기 감항인증 체계 소
개”, 항공우주매거진, 5권 2호, 2011.
[6] 허진구, “비행제어통합 기술 감항인증 기법
연구”, 항공우주학회 2012년도 추계학술대회
논문집, 항공우주학회, 2012. pp. 430-435.
System"
-6-