로봇 원격수술 시스템 안전성 체계적 평가

초록

본 논문은 시스템 이론 기반 위험 분석 기법(STPA)과 소프트웨어 구현 결함 주입(Fault‑Injection) 엔진을 결합하여, 오픈소스 로봇 수술 플랫폼인 RAVEN II의 안전성을 정량적으로 평가한다. FDA MAUDE 데이터베이스에 보고된 실제 사고 시나리오를 기반으로 위험 상황을 도출하고, 해당 상황을 재현하는 결함을 제어 소프트웨어에 자동 삽입함으로써 시스템의 복원력과 설계 결함을 식별한다. 실험 결과는 제안된 방법이 위험 기반 설계 개선에 유용함을 보여준다.

상세 요약

본 연구는 로봇 원격수술 시스템이라는 고복잡도 사이버‑물리 시스템(CPS)의 안전성을 체계적으로 검증하기 위해 두 가지 핵심 기술을 융합하였다. 첫 번째는 시스템 이론 기반 위험 분석 기법인 STPA(System‑Theoretic Process Analysis)이다. 전통적인 결함‑중심 분석이 아니라 시스템 전체의 제어 구조와 피드백 루프를 모델링함으로써, 인간‑기계‑소프트웨어 상호작용에서 발생할 수 있는 비예측적 위험을 포착한다. 논문에서는 RAVEN II의 제어 아키텍처를 레벨‑1·레벨‑2 제어 명령 흐름, 센서 피드백, 안전 제한조건 등으로 계층화하고, 각 레벨에서 “제어 명령이 의도와 다르게 전달될 경우”와 같은 위험 제어 행동(UCAs)을 도출하였다.

두 번째는 소프트웨어 구현 결함 주입(Fault‑Injection, FI)이다. STPA에서 식별된 위험 시나리오에 대응하는 구체적 결함을 자동으로 삽입하는 엔진을 개발했으며, 이는 ROS(Robot Operating System) 기반의 RAVEN II 제어 노드에 동적으로 패치한다. 결함 유형은 변수 값 변조, 메시지 지연·손실, 예외 발생 등으로 다양하게 정의되었으며, 각 결함은 사전 정의된 트리거 조건에 따라 실시간으로 활성화된다. FI 엔진은 결함 삽입 전후의 시스템 상태를 로깅하고, 안전 제한조건 위반 여부를 자동 판정한다.

실험에서는 FDA MAUDE 데이터베이스에 보고된 실제 사고(예: 전원 공급 불안정, 툴 충돌, 비정상적인 힘 피드백)와 일치하는 7개의 위험 시나리오를 선택하였다. 각 시나리오마다 30~50회의 결함 주입을 수행했으며, 성공적인 위험 재현율, 시스템 복구 시간, 그리고 오류 발생 시 인간 외과의사의 개입 필요성을 측정하였다. 결과는 특정 제어 루프(예: 모터 속도 명령 전송)에서 결함이 발생했을 때, 시스템이 사전 정의된 안전 제한조건(예: 최대 힘 제한)을 위반하고 환자 조직 손상을 초래할 가능성이 높다는 것을 보여준다. 반면, 일부 결함은 소프트웨어 레벨에서 자동 복구 메커니즘(예: 재시도 로직, watchdog)으로 차단되어 위험이 억제되었다.

이러한 분석을 통해 논문은 다음과 같은 핵심 인사이트를 도출한다. 첫째, STPA와 FI의 결합은 위험 원인과 결과를 정량적으로 연결시켜, 설계 단계에서 위험 완화 조치를 우선순위화할 수 있다. 둘째, RAVEN II와 같은 오픈소스 플랫폼은 결함 주입 인프라를 손쉽게 삽입할 수 있어, 상용 시스템에도 동일한 방법론을 적용하기 위한 기반을 제공한다. 셋째, 결함 주입 결과는 기존 안전 인증(예: IEC 62304, ISO 14971)에서 간과되는 “제어 흐름 중단”과 같은 비전통적 결함 유형을 드러내며, 이를 보완하는 설계 검증 절차가 필요함을 시사한다. 마지막으로, 인간‑기계 인터페이스 설계에서 외과의사의 상황 인식 지원(예: 실시간 경고, 자동 중단) 기능을 강화하면, 결함 발생 시 위험 전이(chain of events)를 효과적으로 차단할 수 있다.

전반적으로 본 연구는 복합 사이버‑물리 의료 시스템의 안전성을 평가하고 개선하기 위한 실용적 프레임워크를 제시하며, 향후 규제 기관 및 제조사가 위험 기반 설계·검증 프로세스를 채택하는 데 기여할 수 있다.