소프트웨어(SW)의 적용범위가 자동차, 선박, 발전 등 전 산업분야로 넓어지면서 SW의 안전성이 갈수록 중요해지고 있다. SW의 오류가 우리 사회에 큰 혼란을 줄 수 있고, 특히 자동차나 선박, 철도 사고, 원자력 발전소의 오작동과 같이 치명적인 인명 사고의 원인이 될 수 있기 때문이다.
주요 산업에서 SW가 차지하는 비중이 빠르게 늘고 있는데 따라 산업별로 SW가 어떤 역할을 하고 있는지, 또 SW 안전성을 높이기 위해 어떤 노력이 전개되고 있는지 취재해 연속으로 소개한다.

후쿠시마 원자력발전소는 지진해일의 피해로 냉각기능이 제대로 작동하지 않아 폭발과 노심용융이 일어났다.

4월 중순 일본 구마모토에서 규모 7.1의 강진이 발생했다. 많은 인명 피해가 발생한 가운데, 지진해일에 대한 우려도 높아졌다. 2011년 후쿠시마에서 발생했던 지진해일의 여파다.

후쿠시마 지진해일로 후쿠시마 원자력발전소가 폭발하고 원자로 중심부의 핵연료봉이 녹아내렸다. 후쿠시마 원전 사고는 1986년 체르노빌 원전 사고와 함께 인류 최악의 원전 사고로 기록됐다. 5년이 지난 현재까지도 후쿠시마 일대는 생명이 살기 어려운 지역으로 남아 있다.

원전 사고는 규모와 지속성에서 여타 사고를 압도한다. 그만큼 원전의 안전계통은 확실하게 원자로를 정지시키고 원자로가 안전한 조건에 놓이도록 보장해야 한다. 또 원자로 밖으로 방사능이 누출되는 사고에 대해서도 피해를 최소화하는 기능이 보장돼야 한다.

원전 SW 안전성 위한 엄격한 설계 규정
국내에서도 후쿠시마와 같은 상황에서 원전을 안정적으로 정지시키는 안전계통에 대한 연구가 이뤄지고 있다. 기존 원자력발전소는 원자로 제어를 위해 아날로그 계측제어 시스템을 사용했다. 하지만 아날로그 시스템은 오래되고 기술이 떨어져 비용을 증가시키고 안전성도 보장하기 어렵다.

최근 건설되는 원자력발전소는 안전과 관련성이 없는 계통뿐만 아니라 안전 관련 계통에도 소프트웨어(SW)를 사용하는 추세다. 기술의 발전으로 원전 계측제어계통 대부분을 SW로 구현할 수 있게 됐기 때문이다. 현재 원전 1기를 구축하는 비용 가운데 SW가 차지하는 비중은 15% 정도로 집계되고 있다.

원전의 안전성이 중요한 만큼 원전 SW에 대해서도 엄격한 기준을 적용해 검증하고 있다. 국내에서는 원전 건설과 운영에 관한 규제를 시행하는 한국원자력안전기술원이 디지털 계측제어 SW에 관한 규제요건을 제시하고, 검증까지 진행하고 있다.

원자력안전기술원은 특히 디지털 안전계통의 기능을 보장할 수 있는 안전-필수 SW를 개발하기 위해 신뢰성(Reliability)과 안전성(Safety) 확보를 강조한다. 안전-필수 SW의 검증은 SW 생명 주기 전 단계에 걸쳐 수행하도록 규제요건에서 요구하고 있다.

권기춘 한국원자력연구원 책임연구원은 “안전-필수 SW를 개발하기 위해서는 계획단계에서 안전계획을 작성해야 하며 이 계획에 따라 안전성 분석을 수행한다”고 설명했다. SW 안전계획은 시스템 안전 현안이 SW 개발 중에 적절히 고려되도록 하는 기본 문서다. SW 안전계획이 없을 경우 안전 현안들이 적절히 고려되지 않거나 해결되지 않을 수 있다.

원전 SW는 높은 신뢰도를 유지하고 고장 시 안전성을 보장하며 안전기능의 손실이 없도록 하기 위해 품질보증 개념과 다양성을 갖는 다중방호(Defense-in-Depth & Diversity) 개념을 바탕으로 설계된다.

예를 들어 원전 설계에서 다중방호 개념을 적용해 디지털 원자로 보호계통과 같이 안전이 중요한 계통에는 같은 기능을 수행하는 모듈을 4개 설치한다. 이 모듈 중에서 2개 이상이 작동하면 해당 계통이 작동하도록 해 모듈의 고장에 대비한다.

문제는 똑같은 SW를 4개 모듈에 동시에 설치하는 경우다. 이 경우 4개 모듈이 같은 원인으로 동시에 고장을 일으킬 수 있는데 이 경우 4개 모듈로 설계한 의미를 상실한다. 이를 공통모드고장이라고 한다.원전에는 공통모드고장 극복을 위해 SW 다중성, 주요 SW 격리, SW 위험도 분석, 고장허용(Fault-tolerant) SW 개발, 정형기법(Formal Method) 도입 등 다양한 방법을 사용하고 있다.

소프트웨어는 발전소 제어에서 핵심역할을 수행하고 있다.

타 산업의 모범이 되는 SW 안전성
권 연구원은 “최근에는 원전 SW 안전성 분석을 위해 체크 리스트나 HAZOP(Hazard and Operability), 고장모드영향분석(Failure Mode Effect Analysis), 고장수목기법(Fault Tree Analysis, FTA) 같은 기법이 사용된다”고 말했다.

HAZOP은 화학공장과 같은 산업에서 시스템 안전성 분석을 위해 사용하던 기법으로 원전 안전성 분석에도 사용되고 있다. 권 연구원은 “HAZOP으로 수행한 부분 중에서 안전에 위험한 요소가 발견되면 그 부분에 대해서만 고장수목기법을 이용한 안전성분석을 추가로 수행하기도 한다”며 여러 차례에 걸쳐 다양한 기법을 통해 SW 안전성을 검증한다고 설명했다.

최근에는 기존 안전성 분석기법을 보완하기 위한 방법으로 안전 케이스와 STAMP/STPA도 대두되고 있다. 권 책임은 “안전 케이스와 STAMP/STPA 기법을 원전 안전 SW에 적용하기 위해서는 세부기법을 포함한 연구가 더 필요하다”며 원전 SW 안전성을 확보하기 위한 끊임없는 노력을 강조했다.

그러면서도 권 연구원은 “원자력 분야에서는 규제요건이라는 틀로서 안전 SW 개발 및 검증, 안전성 분석에 대한 방법론이 체계적으로 정리돼 있다”며 “원자력 분야에서 확보한 안전 SW 개발 및 검증 방법론은 국방, 우주항공, 고속철, 통신, 의료분야에서도 활용할 수 있다”고 언급했다.

한편, 원전 분야에 적용할 수 있는 국산 SW를 개발하기 위한 지원이 필요하다는 지적이 제기되고 있다.
최진영 고려대 컴퓨터정보통신대학원 교수는 “원전도 하나의 산업 분야로 비용이 문제”라고 지적했다. 안전성을 보장하기 위해서는 소위 SW 명품을 만들어야하는데 개발 비용이 높다는 것이다. 국내 기업들은 높은 개발 비용 때문에 고급 SW를 외국에서 사오는 실정이다.

최 교수는 “능력이 안 되면 도구든 무엇이든 사서 좋은 제품을 만드는 것이 중요하다”면서도 “원천기술을 확보하는 노력도 해야 한다”고 강조했다. 최 교수는 또 “국내 SW 실력이 좋지만 원전 SW를 만들어 해외에 가면 받아주지 않는다”며 “오랫동안 노력해야 해외에서 인정받을 수 있다”고 말했다. 원천기술 확보를 위해 SW 개발에 지속적인 지원이 필요하다는 것이다.

[머니투데이방송 테크M = 도강호 기자 (gangdogi@mtn.co.kr)]

<본 기사는 테크M 제37호(2016년5월) 기사입니다>