5. 안전관련컴퓨팅시스템 기능 보호
5.1 안전 저하
다른 인터페이스 자동장치와 SW는 자동장치와 SW가 안전 저하를 방지하도록 시스템을 설계해야 한다.
5.2 무단 상호작용
SW는 무단 시스템 상호작용이나 또는 무단 서브시스템 상호작용이 안전관련기능 시퀀스를 개시하거나 혹은 유지하는 것을 못하도록 설계해야 한다.
5.3 무단 액세스
시스템 설계는 SW (소스 또는 어셈블리)와 오브젝트 코드에 대한 무단 또는 부주의한 액세스 또는 수정을 방지해야
한다. 여기에는 코드의 자체 수정 방지도 포함된다.
5.4 안전커널 ROM
안전커널은 비 휘발성 ROM 또는 컴퓨팅시스템에서 overwrite 할 수 없도록 보호된 메모리에 상주해야 한다.
5.5 안전커널 독립성
구현 됐을 때 안전커널은 시스템 내 어떠한 프로그램에 의해서도 손상되거나, 잘못 지시되거나, 지연되거나, 혹은 금지될 수 없는 방식으로 설계되고, 구현되어야 한다.
5.6 부주의한 점프
시스템은 안전필수컴퓨팅시스템기능 내부나 혹은 내부로의 부주의한 점프를 감지해야 한다. 시스템을 안전한 상태로 되돌리고 실행 가능한 경우 진단과 결함 격리를 수행하여 의도하지 않은 점프의 원인을 결정해야 한다.
5.7 로드 데이터 건전성
이젝큐티브 프로그램 또는 OS는 이들 프로그램이 실행하기 전에 메모리에 로드된 데이터 또는 프로그램의 건전성을 보장해야 한다.
5.8 작동 재구성 건전성
이젝큐티브 프로그램 또는 OS는 작동 재구성 중에 데이터와 프로그램의 건전성을 보장해야 한다.
6. 인터페이스 설계 요구사항
6.1 피드백 루프
시스템 하드웨어의 피드백 루프는 SW가 피드백 센서의 결함으로 인한 폭주 상태를 유발하지 않도록 설계되어야 한다. 알려진 구성요소 결함모드는 SW 설계 시 고려되어야 하며 결함을 감지할 수 있도록 점검 기능이 SW로 설계되어야
한다.
6.2 인터페이스 제어
안전필수컴퓨팅시스템기능과 안전관련하드웨어에 그 기능들의 인터페이스는 항상 제어되어야 한다. 즉, 인터페이스는 잘못되거나 혹은 비논리적인 데이터가 시스템에 악영향을 미치지 않고, 인터페이스 결함을 감지하고, 파워 업, 전원
변동 및 차단, 시스템 오류 또는 하드웨어 결함의 발생시에도 인터페이스 상태가 안전하도록 모니터링 되어야 한다.
6.3 결정문
안전관련컴퓨팅시스템 기능의 결정문은 특히 외부 센서로부터 정보를 얻었을 때 모두 1 또는 모두 0의 입력에
의존해서는 안 된다.
6.4 CPU 간 통신
CPU 간 통신은 안전관련데이터를 전송하기 전에 양쪽 CPU 모두에서 전송할 데이터의 점검을 문제 없이 완료해야
한다. 인터페이스의 건전성을 보장할 수 있도록 주기적인 점검을 수행해야 한다. 감지된 결함은 저장 기록되어야 한다. 인터페이스가 여러 번의 연속 전송을 실패하면 운용자에게 경고를 보내고 진단 점검을 수행 할 수 있을 때까지 안전
관련데이터 전송을 종료해야 한다.
6.5 데이터 전송 메시지
데이터 전송 메시지는 결정된 형식과 내용이어야 한다. 각 전송에는 메시지 길이 (변수 인 경우), 데이터 유형 및
메시지 내용을 나타내는 단어 또는 문자열이 포함되어야 한다. 최소한 패리티 점검과 체크섬을 사용하여 올바른
데이터 전송을 검증해야 한다. CRC는 실행 가능한 경우 사용해야 한다. 올바른 데이터 전송을 검증하기 전에
데이터 전송된 메시지의 정보를 사용해서는 안 된다.
6.6 외부 기능
SW에서 2 개 이상의 안전관련 신호를 요구하는 외부 기능 (예: 점화 안전 장치나 또는 무장 발사 장치의 점화/무장
준비 및 항공 발사 무기 투하)은 단일 입출력 레지스터나 혹은 버퍼에서 필요한 모든 신호를 수신하지 않아야 한다.
즉, 안전을 강화하기 위해 2개 이상의 신호가 필요 했으므로 독립적인 다중화가 되어야 한다.
6.7 입력 합리성 점검
시간 제한, 의존성 및 합리성 점검을 포함한 제한 점검과 합리성 점검은 해당 값을 기반으로 하는 안전관련기능을
실행하기 전에 모든 아날로그 및 디지털 입출력에 대해 수행되어야 한다. 검증 할 수 없는 안전관련 아날로그 또는
디지털 입력을 기반으로 안전관련기능을 실행해서는 안 된다.
6.8 풀 스케일 표현
SW는 SW의 full scale과 zero 표현이 디지털-아날로그, 아날로그-디지털, 디지털-싱크로 및/또는 싱크로-디지털
변환기의 스케일과 완전히 호환되도록 설계되어야 한다.
다음편은 12월 28일(월), SW안전기술 역량강화 홈페이지에 게재 예정입니다.
본 내용은 칼럼 작성자 개인의 의견으로 정보통신산업진흥원의 공식적인 의견이 아니며
사용되는 용어는 산업분야별로 달리 사용될 수 있음을 알려드립니다.