IIoT 기술 매거진 - 아이씨엔
Home » 이슈포커스 » 산업용IoT » 산업 제어 시스템을 위한 국제적인 안전 원칙(Safety Principles) 가이드(4)

산업 제어 시스템을 위한 국제적인 안전 원칙(Safety Principles) 가이드(4)

전 세계적으로 기계 안전과 관련한 법령과 국제표준이 활발하게 이루어지고 있다. 산업 제어 시스템의 제작 및 설치자들은 이제 국제적인 안전 원칙을 제품 설계 및 설치전에 미리 숙지하고 준비해야 추후 발생할 수 있는 안전 규정 및 안전 사고 문제를 사전에 방지할 수 있다.

7. 재설정 기능

Minotaur 안전 릴레이는 모니터된 수동 재설정 또는 자동/수동 재설정 기능을 갖도록 설계한다.

모니터된 수동 재설정(Monitored Manual Reset)

모니터된 수동 재설정 장치는 게이트가 닫히든가 또는 E-정지를 재설정한 후에는 회로 개폐를 필요로 한다. 그림 31은 MSR6R/T의 출력 모니터링 회로의 접속된 재설정 스위치의 일반적인 구성배치를 표시한 것이다. 기계적으로 링크 된 전원 절환 접촉기의 일반적 폐쇄식 보조 접점은 순간적 누름 단추와 직렬로 접속되어 있다. 보호기구를 다시 개폐한 후에 재설정 단추를 누르고 릴리스하기 전에는 Minotaur가 기계의 재시동을 허락하지 않는다. 이것이 실행되면 Minotaur가 양 접촉기가 OFF이고 양 연동 회로가(그리고 따라서 보호기구가) 닫히는지를 점검한다(즉 모니터). 이들 점검이 성공적이면 정상 제어장치로 기계를 재 시작 할 수 있다.

재설정 스위치는 위험을 쉽게 관찰할 수 있는 위치에 배치하여 운전자가 운전전에 그 영역에는 어떠한 장애도 없음을 점검할 수 있도록 해야 한다.

자동/수동 재설정

자동/수동 재설정 기능이 있는 Minotaur 안전 릴레이도 있다. 이 경우에는 재설정 라인을 점프하여 자동 재설정을 허용한다. 사용자는 다음에 게이트가 닫힐 때 기계 시작을 방지하는 다른 또 하나의 메커니즘을 구축해야 한다. 다른 대안으로, 사용자는 그림 43에 표시된 회로를 사용할 수 있지만 Minotaur는 접촉기의 단락 된 보조 접점이나 단락 된 재설정 스위치를 탐지하지 못한다.

자동 재설정 장치는 수동 절환 작용을 필요로 하지는 않지만 작동해제 후에는 반드시 시스템 재설정 전에 시스템 보전성 점검을 실시한다. 자동 재설정 시스템을 재설정 설비가 없는 장치와 혼동해서는 안 된다. 후자의 경우 안전시스템은 작동해제 후 즉시 작동하지만 시스템 보전성 점검은 하지 않는다.

8. 제어 보호기구

제어 보호기구는 보호기구가 열리면 기계를 정지시키고 보호기구가 닫히면 기계를 다시 직접 작동시킨다.

모든 우발적 시작이나 정지 실패는 극도로 위험하기 때문에 제어 보호기구 사용은 어떠한 엄격한 조건에서만 허용된다. 연동 시스템에는 최고수준의 신뢰성을 갖추어야 한다(보호기구의 로크 수단의 사용이 바람직하다).

제어 보호기구 사용은, 보호기구가 닫히어 있는 동안에 운전자나 신체의 일부가 위험지역에 머물거나 또는 그 곳으로 진입할 가능성이 없는 기계에만 고려할 수 있다.
위험지역으로의 접근은 제어 보호기구를 통해서만 가능하도록 해야 한다.

기타 고려사항

입력 임피던스

모니터링 안전 릴레이의 입력 임피던스로, 릴레이에 얼마나 많은 입력장치를 접속할 수 있고 또 입력장치를 얼마나 멀리 떨어진 곳에 접속할 수 있는가가 결정된다.
예들 들면, Minotaur MSR6R/T의 최대 허용 입력 임피던스는 500옴(Ϊ)이다. 입력 임피던스가 500Ϊ을 초과하면 MSR6R/T는 입력장치를 작동시키지 않는다. 사용자는 입력 임피던스 값이 언제는 최대 사양 밑으로 유지되도록 주의를 기울여야 한다.

사용하는 전선의 길이, 크기 및 형식이 입력 임피던스에 영향을 미친다. 표 2에는 25℃에서 열처리한 구리선의 일반적인 저항치를 표시한 것이다.

hilscher

입력장치 수

위험평가 방법을 이용하여 얼마나 많은 입력장치를 모니터링 안전릴레이 장치(MSRU)에 접속해야 하고 입력장치를 얼마나 자주 점검해야 하는가를 결정토록 한다. E-정지 및 게이트 연동장치가 작동상태에 있음을 보장하기 위해서는 그들을 위험평가로 결정된 바에 따라 정기적 간격으로 점검해야 한다.

예를 들면, 매 기계 사이클 마다 열리어야 하는, 연동된 게이트에 접속된 이중채널 입력 MSRU는 점검이 필요 없을 수도 있다. 이것은, 보호기구를 열면 MSRU가 스스로 단일 장애에 대한 출력 및 입력장치를(구성배치에 따라) 점검하기 때문이다. 보호기구의 개방빈도가 높으면 높을수록 점검과정의 보전성이 그 만큼 더 커진다.

다른 또 하나의 사례는 E-정지다. E-정지는 보통 비상 시에만 사용하기 때문에, 사용가능성은 매우 낮다. 따라서 E-정지를 시험하는 프로그램을 작성하여 그것의 효율성을 스케줄에 따라 확인해야 한다.

세 번째 사례는 E-정지와 같이 사용 빈도가 낮은, 기계 조정을 위한 문의 사용이다. E-정지를 스케줄에 따라 시험하기 위한 프로그램을 작성해야 한다.

위험평가는 입력장치를 점검해야 하는지 그리고 얼마나 자주 점검해야 하는지를 결정하는데 도움이 된다. 위험레벨이 높으면 높을수록, 점검과정에 필요한 보전성은 그 만큼 더 커진다. 그리고 “자동” 점검의 빈도가 낮으면 낮을수록 “수동”점검 빈도는 그만큼 더 높아야 한다.

출력 정격

출력정격으로 보호장치의 부하 전환 능력을 기술할 수 있다. 일반적으로, 산업용 장치의 정격은 저항이나 전자기로 표시한다. 저항부하는 가열기 형식의 요소일 수 있고 전자기 부하는 일반적으로, 부하의 유도 특성이 큰, 릴레이, 접촉기 또는 솔레노이드이다. 표 3에 기재된 규격 IEC 60947-5-1의 부록 A에 부하의 정격이 기재되어 있다.
호칭 글자: 호칭은 예들 들면, A300과 같이 그 다음에 번호를 기입한 글자로 표시한다.

A 300

글자는 재래식 폐쇄형 열전류(enclosed thermal current) 및 전류가 직류 또는 교류임을 표시한다. 예들 들면, A는 10암페어 교류를 뜻한다. 숫자는 정격 절연전압을 나타낸다. 예들 들면, 300은 300V를 의미한다.

부하형식(Utilization): Utilization은 그 장치를 절환 하도록 설계한 부하형식을 나타낸다. IEC 947-5와 관련된 3개의 부하형식이 표 4에 표시되어 있다.

열전류(Thermal Current), Ith: 재래식 폐쇄형 열전류는 장비를 특정 함(函, enclosure)에 설치하여 온도상승 시험에 사용하는 전류 값이다.

정격 운전전압 Ue 및 전류 Ie: 정격 운전전류와 전압으로 정상운전상태에서의 스위치 엘리먼트(switching element) 제조 및 파괴 용량을 규정한다.

Allen-Bradley Guardmaster 제품의 정격은 125VAC, 250VAC 및 24VDC이다. 규정된 이외 정격의 전압으로 사용하기 위해서는 공장과 협의하라.

VA: VA(전압 x 전류) 정격은 회로 구성 및 파괴 시의 스위치 엘리먼트 정격을 표시한다.

사례 1: A150, AC-15 정격은 접점이 7200VA 회로를 만들 수 있다는 것을 표시한다. 120V AC에서는 접점이 60 암페어 돌입 회로(inrush circuit)를 만들 수 있다. AC-15는 전자기 부하이기 때문에 60 암페어는 단기간에만 적용되는 전자기 부하의 돌입전류다. 전자기 부하의 정상전류는 정격 운전 전류인 6A이기 때문에 회로 파단 전력량은 오직 720VA이다.

사례 2: N150, DC-13 정격은 접점이 274VA 회로를 만들 수 있음을 표시한다. 125V AC에서는 접점이 2.2 암페아 회로를 만들 수 있다. DC 전자기 부하에는 AC 전자기 부하와 같은 돌입 전류가 없다. 회로 파괴 전력량은, 전자기 부하의 정상전류가 정격 사용 전류인 2.2 암페아 이기 때문에, 275VA이다.

연동원칙 및 장치

보호기구 중 가장 중요한 형식의 하나가 보호 문을 위험 전원과 연동시키는 안전연동 스위치다.

보호 문이 열리면, 전원이 차단되어, 운자가 접근을 해야 하는 경우에, 기계가 안전함을 보장한다.

서로 특성이 다른 다양한 형태의 연동스위치가 있다.

선택한 장치의 형식이 그 용도에 맞는 것이어야 한다. 본 장의 후반에 사용할 장치의 정확한 선택으로 유도하는 일련의 논리적 결정을 보게 될 것이다. 우선 장치를 연동용도에 적합하도록 하는 일반 특징 및 요건에 정통하도록 하자.

규격
규격 ISO 14119: “보호기구와 연관된 연동장치”에는, 전자식 및 근접 형식 스위치(IEC 60947-5-3)에 대한 동등 규격, 그리고 전기식 기계 스위치에 대한 IEC 60947-5-1과 결합하여 사용하기 위한 지침이 기술되어 있다.

신뢰성
연동 스위치는 극한 상태 및 조악한 처리상태에서도 신뢰성 높게 작동해야 한다. 작동 메커니즘은 가능한 한 간단하게 유지시키고 제작에 사용된 재료는 최고품질의 것이어야 한다. 설계 구조는 마모를 최소화 할 수 있도록 하고 기구는 강인한 밀봉 케이스에 넣어야 한다.

보안
연동 스위치의 보안은 메커니즘을 “속이” 거나 파괴시키려는 외압을 견디어 내는 능력에 따라 다르다. 연동 스위치는 쉽게 파손되지 않도록 설계해야 한다.

어떠한 경우에는 사람들이 어떠한 방법으로 스위치를 무효화 시키려고도 한다. 위험평가 단계에서 수집된 기계사용에 대한 정보는 이것이 쉽게 발생할 것인가 아닌가 여부를 결정하는데 도움이 된다. 그것이 쉽게 발생한다면, 그 만큼 더 스위치나 시스템을 무효화 시키기가 어려워 진다. 평가한 위험레벨은 이 단계에서는 하나의 요소다. 충격적 변경에 대한 저항성에서부터 실제로 파괴가 불가능 한 정도에 까지, 다양한 보안 레벨의 스위치를 사용할 수 있다.

높은 보안레벨이 필요하면, 그것을 장착하는 방법을 이용하여 이것을 달성시키는 것도 더 실용적 해법이 될 수 있음을 이 단계에서 강조한다.

예를 들면, 스위치를 그림 32에서와 같이 보호용 트랙으로 장착하는 경우 보호 문이 열리면 스위치에 접근하는 방법이 없다. 장착단계에서 취한 예방조치를 “속이는(cheating)”특성은 스위치 작동원칙에 따라 다르다.

Positive Mode Operation(포지티브 모드 운전)
(Direct Opening(직접 개방)이 라로고도 함)
ISO TR 12100-2에는, 어느 움직이는 기계부품이 불가피하게 그와 함께 다른 또 하나의 부품을, 직접 접촉이나 또는 경고한 엘리먼트를 통하건 간에, 움직여야 하는 경우에 이들 부품은 Positive Mode로 연결되어 있다고 라고 한다라는 설명이 있다.

보호기구가 열리면, 단일 기계형식 연동스위치로, 보호기구의 운동은 포지티브 모드로 스위치의 안전관련 접점에 접속된다. 이렇게 하면 접점은 물리적으로 당기어 분리되거나 보호기구의 운동에 의해서 “강제적으로 분리”된다.

작용한 힘이 접점의 고착(固着)이나 용융밀착 된 접점을 극복할 수 없기 때문에, 스위치는 접점의 개방을 스프링 압력에만 의존해서는 안 된다. 스프링이 파손되거나 접점을 개방 시키는 다른 방법이 없는 경우에는 스위치가 고장(故障) 위험에 처할 가능성도 있다.

그림 33은 전형적인 네거티브(negative) (또는 비(非) 포지티브) 모드 운전시스템을 표시한 것이다. 보호 무과 안전 접점 사이에는 직접 링크기 없기 때문에 그 접점을 여는데 순전히 스프링압력에만 의존한다. 스프링 고장, 접점 용융밀착 또는 고착 시에는 시스템은 작동불량의 위험에 처하게 되므로 이를 수용할 수 없다. 이러한 형식의 시스템은 보호기구가 열려 있는 동안에 플런저를 밀면 쉽게 패배한다. 더 좋지 않은 것은 보호기구가 열려있는 동안에 기계위 또는 속에 기대고 있던 운전자에 의하여 우발적으로 스위치가 트립될 수 있다.

주: 용도에 따라서는 네거티브 모드 운전스위치를 포지티브 모드장치와 함께 사용하는 것이 바람직할 수 있다.

그림 34는 접점을 강제적으로 분리시키는 포지티브 모드 원전의 간단한 사례를 표시하는 것이다. 문 힌지에 캠이 장착되어 있어 보호 문이 열리는 경우에는 언제든지 접점을 직접 작동시킨다. 스프링 압력은 보호 문이 완전히 닫힐때 접점을 닫기만 한다. 스프링의 파손에 의한 고장으로 안전상태가 된다.

함(函, enclosure)
그림 34의 포지티브 모드 작동원칙이 Guardmaster 연동 스위치와 연관이 되면 언제나 이것을 사용한다. 강력하고 단단한 enclosure 속에 접점블록과 캠을 폐쇄시킴으로써 가능함 모든 남용을 피할 수 있다. 이것은 캠과 접점 블록은 분리시킬 수 없으며 캠의 다른 슬롯의 절단을 통해서 스위치를 패배 시키는 것이 불가능 함을 의미한다. 이 원칙을 그림 35의 텅(tongue) 작동식 연동 스위치에 적용한다. 이들 장치는 보호기구의 개방 단(開放端)에 장착하기가 쉽기 때문에 폭 넓게 사용되고 있으며, 슬라이딩, 힌지 및 제거식 보호 문에 사용할 수 있다. 작동기 텅이 보호 문에 장착되어 있으므로 보호 문을 열면 텅이 접점을 강제로 분리시킨다. 스위치 메커니즘은 함 속에 장착되어 있으며 텅 작동 원칙은 무분별한 변경에 저항하도록 설계한다.

합목적성
최소한 모든 설계구조와 재료는 예상되는 작동 응력과 외부 영향을 견디어 낼 수 있어야 한다.

여타 안전원칙
비기계적 장치에는 스위치와 작동기 사이에 물리적 접촉이 없다(정상 상태에서). 그러므로 포지티브 모드 작동을 절환 작동을 확실하게 보장하는 수단으로 사용할 수 없으므로 다음과 같은 다른 방법을 이용해야 한다.

Oriented Failure Mode (장애중심 모드)
간단한 장치를 이용하여 ISO TR 12100-2에 설명된 대로 oriented failure mode로 부품을 사용할 수 있다. 이것은 유력한 실패모드가 사전에 알려져 있고 그 모드가 언제나 동일한 부품을 사용한다는 의미다. 고장을 유발시킬 수 있는 모든 것이 장치의 스위치를 끄도록 장치를 설계한다.

이 기술을 이용하는 장치의 한 사례가 Guardmaster FERROGARD 비 접촉 전자기식 작동 연동 스위치다. 접점들은 내부 비재설정(非再設定)식 과전류 보호기구로 접속된다. 절환 되는 회로의 모든 과전류 상태에 의해서, 안전관련 접점을 위험에 빠뜨릴 수 있는 전류 치보다 훨씬 밑의 전류로 작동하도록 설계된 보호기구의 회로가 열린다.

이중화(Duplication) (Redundancy라고도 함)
설계에 본질적으로 안전하지 않은 부품을 사용하는데 그들이 안전기능에 중요한 역할을 한다면, 수용가능 레벨의 안전은 이들 부품이나 시스템을 이중화함으로써 가능하다. 어느 부품에 장애가 발생하면 다른 것이 그 기능을 발휘한다. 예들 들면, 이중 채널 시스템이 아무도 그것을 인식하지 못하는 상태에서 단일 채널로 퇴화하지 않도록 모니터링을 실시하여 최초의 장애를 탐지하는 것이 중요하다. 일반적 원인의 장애 문제에 주의를 기울어야 한다.

모든 이중화 부품(또는 채널)을 동시에 작동불능이 되게 하는 모든 장애를 방지해야 한다. 적절한 조치에는, 각 채널에 대한 다양한 기술의 사용 또는 oriented failure mode의 사용보장이 있다.

Galvanic Isolation(갤버닉 격리)
그림 36은 2세트의 접점이 있는 접점블록을 표시한 것이다. 접점 용융밀착 또는 고착의 경우에 접점이 상호 후면을 터치할 수 있다면 갤버닉 격리 장애물이 필요하다.

연동장치의 일반적인 형식
넓게 보면, 전기적 연동시스템에는 2가지 기본형식이 있는데 그림 37이 그들의 특성을 표시한 것이다.

전원 연동: 보호기구의 열림으로 인하여 위험의 전원이 직접 차단된다.

제어장치 연동: 전원 절환 장치 제어회로를 절환 시킴으로써 위험전원을 차단시킨다.

다음 텍스트는 전원장치의 연동에 대한 것인데, 이것이 단연코 가장 일반적인 요건이지만 동일한 기본원칙을 수압 및 공기압 시스템에 적용할 수 있다.

전원 연동
보호기구의 운동을 전원의 직접 절환으로 위험에 연동시킨다. 저전압 및 전원을 사용한 장비의 경우에는 거의 모든 형식의 연동스위치를 전원연동에 사용할 수 있다. 그러나 대부분의 산업기계에는 비교적 높은 3상 전원장치를 사용하기 때문에 부하를 신뢰성 있게 취급 및 파괴할 수 있는 전원차단 스위치와 함께 합목적 설계구조의 전원연동시스템이 필요하다.

전원 연동의 가장 실용적인 방법은 PROSAFE 시스템(그림 38 참조)와 같은 트랩 키 시스템(trapped key system)이다. 전원 격리 스위치는 스위치가 ON 위치에 있는 동안 어느 위치에 트랩(구속)되어 있는 키로 작동시킨다. 키를 돌리면 격리 스위치접점이 개방되고(전원장치를 격리), 키는 복귀시킬 수 있다.

보호 문이 닫히면 그것을 열 수 있는 유일한 방법은 격리기의 키를 사용하는 것이다. 이 키를 돌려 보호기구의 로크 상태를 해제 시키면 그것은 그 위치에 트랩(구속) 되어 보호기구를 닫고 다시 로크 하기 전에는 제거할 수 없다.

그러므로 먼저 전원을 격리(차단) 시키지 않고 보호기구를 열 수 없고 보호기구를 닫고 로크 하지 않으면 전원을 켤 수 없다.

이 형식의 시스템은 신뢰성이 매우 높고 보호기구에 전기 배선이 필요치 않은 이점이 있다. 이것의 주된 불리 점이 매번 키를 이송 시켜야 하는 것이므로 문을 자주 사용하는 경우에는 접합치 않다.

몸 전체의 출입이 필요한 경우에는 그림 39와 같은 인간 키(key) 사용을 권고한다. PROSAFE 영역은 이러한 요건에 대한 이중 키 버전으로 사용할 수 있다.

인간 키(key)를 사용하면 운전자를 보호영역에 감금 시킬 수 없다. 키는 로봇 학습모드 스위치, 촌동(寸動, inching)모드 등에 사용할 수 있다.

키 “A”를 돌리고 전원 격리기에서 빼내라. 그러면 전원이 ON 된다. 보호 문을 통해서 진입하기 위해서는 키”A”를 삽입하고 키 교환장치 안에서 돌려라. 키 “B” 두 개를 빼내어 보호기구를 로크 하라. 키 “A”가 트랩 되어 전원이 ON되지 못한다. 키 “C” 2개를 보호 문 로크 장치에서 빼내어 다음 시퀀스 단계에서 사용하거나 인간 키(key)로 사용하라 (그림 40 참조).

그림 41과 그림 42는 키 교환장치와 함께 서로 다른 코드의 키와 이중 키 로크 장치를 사용하는 트랩트 키 연동의 다른 실례로, 복잡한 시스템을 구성할 수 있다. 진입하기 전에 전원의 격리를 보장할 수 있을 뿐 아니라 시스템을 이용하여 사전에 규정해 놓은 시퀀스를 따라 작동시킬 수 있다.

필요 특징
이러한 형식의 시스템의 전반적 안전은 그 기계작동에 따라 달라지므로 사용 재료와 원칙이 그들에게 기대하는 요건에 맞추는 것이 매우 중요하다.

격리 스위치가 시스템의 일부인 경우에는 포지티브 모드 작동을 이용해야 하고 IEC 60947의 관련부분의 요건을 충족시켜야 한다.

시스템의 보안 빛 보전성은, 어떠한 상태에서는 키가 제 위치에 트랩 되므로 2가지 기본 특징을 보장해야 할 필요가 있다는 사실 주위를 맴 돈다.

1. 로크는 전용 키만으로 작동시킨다.
이것은 스크류 드라이버 등으로 로크를 속이는 것이 불가능하거나 또는 어떠한 직접적 방법으로 그것을 혹사함으로써 메커니즘을 패배시키는 것이 불가능하다는 의미다. 동일한 현장에 여러 개의 로크가 있는 경우에 키 코드를 규정하면 그 자체가 허위조작을 방지한다는 의미다.

2. 목적하는 방법 이외의 어떠한 방법으로도 키를 손에 넣을 수 없다.
이것은, 예들 들면, 키가 일단 트랩 되면 거기에 가한 모든 과다한 힘은 파괴된 로크에 대항하여 키를 파괴 시킨다는 의미다.

아이씨엔 매거진 2008년 01월호

이달의 추천기사 보기


추천 뉴스

CLAROTY, Extreme Visibility For Improved Security

슈나이더 일렉트릭, 제조 설비 운영기술 네트워크에 보안강화 나서

전 세계 산업 인프라의 안전과 사이버 보안 과제 해결을 위해 슈나이더 일렉트릭과 클라로티간의 파트너십 체결 ...

힐셔 넷파이 netPI

이제 ‘라즈베리 파이’에서 IIoT를 안정적으로.. 힐셔 netPI 출시

힐셔 netPI, 라즈베리와 결합하여 산업용으로 활성화 산업용 통신 솔루션 선두업체인 힐셔(Hilscher Gesellschaft für Systemautomation mbH)는 ...

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.

hilscher