STPA 적용 예제(항공) - UAM(eVTOL)

Urban Air Mobility (UAM)은 이제 우리의 옆으로 가까이 왔습니다. UAM은 승객 운송에 대한 혁명을 우리에게 가져다줄 것입니다. 도시 정체 및 승객 지연 감소, 변화하는 교통 수요에 대한 유연한 대응 및 창출, 새로운 시장 기회 수직 이착륙이 가능한 차량은 위의 상황에서 활약 할 것으로 예상됩니다. UAM은 승객의 하역 및 여러 항공기를 동시에 처리할 수 있습니다. 이러한 작업에는 향상된 기능이 필요합니다. 안전하고 확장 가능한 운영을 보장하기 위한 항공 교통 관리 및 충돌 감지 및 방지 기능 덕분에 많은 신규 참여자를 포함하는 UAM 커뮤니티는 유동적인 규제 환경에 직면해 있는 상태입니다. 현재 커뮤니티는 미국에서 전기 수직 이착륙(eVTOL) 항공기를 인증하기 위한 몇 가지 옵션을 논의하고 있습니다. 그러나 인증에 관계없이 일부 안전 원칙과 기술은 기본입니다. 안전한 UAM 운영 시스템 설계는 시스템 안전 분석에서 시작됩니다. 사례를 통해 UAM 시스템을 STPA로 안전 분석을 어떻게 하는지 소개합니다.

1. 시스템 정보

STPA 분석은 UAM 중 eVTOL 시스템에 대한 안전 분석을 실시하고자 합니다. 또한 분석의 범위를 제한을 두었습니다. 안전(보안 문제 및 서비스 손실 방지에 대한 부분), 전원 공급에서 전원 차단까지의 작동(유지보수에 대한 내용 해당 없음), 주어진 교통 환경관리에 대한 내용(분석할 시스템의 일부를 넘어서기 때문에 제한)

그림 1. eVTOL의 시스템 정보

2. 손실 및 위험원 식별

eVTOL에서 발생할 수 있는 손실은 아래와 같이 세 가지로 식별 됩니다.

그림 2. eVTOL 손실 식별

표 1. eVTOL 손실 표

eVTOL의 시스템의 경우 9개의 위험원을 식별할 수 있습니다. 그 위험원 중에서도 조금 더 명확하게 표현이 필요한 경우에 따라 하위 위험원들을 상세하게 나누었습니다. 식별 된 위험원들은 아래와 같습니다.

그림 3. eVTOL 위험원

표 2. eVTOL 위험원 표

3. 안전 제약사항 식별

이러한 위험원들을 가지고 안전 제약사항을 도출해낼 수 있습니다. 간단하게 위험들의 조건들을 뒤집음으로 가능합니다. 안전 제약사항의 예제는 아래와 같습니다.

표 3. 제약사항 표

4. 제어 구조 모델

예를 들어, 시스템 설계가 아직 미숙하기 때문에, 모든 센서, 하드웨어, 그리고 파일럿 또는 자동 항법 명령을 비행 표면 제어 동작으로 단일화합니다. 소프트웨어 비행 관제사 우리는 여전히 로터나 프로펠러의 수와 배치와 관련된 옵션을 탐색하고 있기 때문에, 이것들이 고정되어 있는지 또는 수직에서 수평으로 기울어질 수 있는지 여부, 항공기가 고정된 날개를 가지고 있는지 여부 등도 추상화했습니다. 로터/프로펠러/모터, 제어 이펙터 및 전환 메커니즘으로 컨트롤러로 들어가는 요소시스템 식별 및 라이프사이클의 후반부에서 관련 설계 결정이 내려진 후 분석을 다시 검토하고 추상화 수준을 높였습니다. 아래는 UAM(eVTOL)에 컨트롤 스트럭처 모델링 화면입니다.

그림 4. STPA Control Structure Diagram for UAM aircraft

5. UCA 식별

다음은 UCA(Unsafe Control Action)을 식별하는 단계입니다. STPA 이론에 따라 4가지의 유형 (Not Provided, Provided, Provided Too Soon/Late, Provided Too Long/Short) 에 따라 UCA를 작성합니다. 아래는 많은 CA 중 일부만 UCA를 식별하고자 합니다. 아래의 그림은 Flight Controller가 Thrust Setting을 제어하는 관점에서 UCA가 발생하는 경우를 식별한 그림 및 표입니다.

그림 5. Thrust Setting UCA

표 4. Thrust Setting의 UCA 표

6. 손실 시나리오 식별

UCA를 식별하였으면 UCA를 야기시키는 시나리오를 작성해야 합니다. STPA는 이것을 손실 시나리오라고 부르며 Handbook에서 제공하는 손실 시나리오를 일으키는 가이드 워드 등을 참조하여 작성할 수 있습니다. 아래는 UCA3- Commanding thrust during takeoff, transition, climbout, flight, avoidance, descent, or landing when doing so would cause the ownship to venture unacceptably close to to  other air traffic에서 발생할 수 있는 손실 시나리오의 일부입니다.

그림 6. 손실 시나리오 식별

표 5. 손실 시나리오 표

7. 결론

eVTOL 항공기를 사용한 UAM 운영이 보증 할만한 수준을 가지고 있다는 사실을 규제 당국에 입증하기 위해 노력하고 있습니다. 이를 위해 국가 공영 시스템에 접근하기 위해 필요한, 시스템 안전의 기본 원칙의 준수해야 합니다. 시스템이 요구 사항(예: 인증 기준)을 충족하고 다음을 완화하는 것을 입증하기 위해 신청자는 위험 수준까지 식별된 위험 작업을 수행을 위해 차량과 작동을 모두 고려해야 합니다. 이를 위해 의미 있는 안전성 평가가 필요하며 본 연구에서는 위험 평가를 수행합니다. 두 가지 기법, 즉 기능적 위해성 평가(FHA)와 시스템 이론 프로세스 분석(STPA)를 사용하여 eVTOL 차량 UAM 작동에 대해 이러한 기술을 평가하고 사용했습니다. 두 가지 위험 분석 기법을 통해 단일 위험의 맥락에서 다중 완화 전략으로 위험을 평가할 수 있게 되었습니다. 또한 다음과 같은 차량 형식 인증, 운영 및 승무원 교육 요구사항의 생성을 가능하게 하였습니다.  새로운 OEM과 규제 기관 모두에 대한 작업이 위와 같은 접근 방식으로 검증하는 데 도움이 될 수 있으며, 현재 이런 분석들이 공식화 되어가고 있습니다.

 

Mallory S. Graydon and Natasha A. Neogi and Kimberly S. Wasson, “Guidance for Designing Safety into Urban Air Mobility:Hazard Analysis Techniques”, USA, 2020