IIoT 기술 매거진 - 아이씨엔


Home » 이슈포커스 » 산업용IoT » IEC 61508 기능안전성 – 안전 시스템에 대한 국제 규약 해설

IEC 61508 기능안전성 – 안전 시스템에 대한 국제 규약 해설

시스템 및 기계 제작에 있어서 국제 규약에 따른 안전시스템이 무엇보다도 중요한 가치를 지니게 되었다. 특히 EU지역을 비롯한 해외 진출을 위해서는 IEC 61508 기능안전성 국제 규약의 적용은 필수적이다. 또한 국내 안전규격에서도 IEC 61508 국제 규약을 기반으로 규격이 제정되고 있기 때문에 제품 개발 및 제작에 들어가기에 앞서 필수적으로 이를 먼저 이해해야 한다.

글_ 박장환, 한경대학교 교수
구본화, 한국가스기술공사 계전과장

기능안전성(Functional Safety)이라 불리는 IEC 61508은 현재 안전(Safety)과 관련되는 많은 분야에서 사용되고 있으며, 제품을 개발하는 벤더들에게는 중요한 규격이다. 이 기능안전성은 일반적으로 안전기능(Safety Function)과 관련이 있다. IEC 61508에는 여러 약어와 안전에 관한 많은 용어의 정의들이 수록되어 있어, 이 원고에 등장하는 용어들은 가급적이면 의역은 피하고 안전규격에 설명된 정의에 충실하게 있는 그대로 사용한다.

IEC 61508에 따라 먼저 안전기능에 대한 정의는 “E/E/PES (Electrical/Electronic/Programmable Electronic System) 안전관련 시스템(Safety Related System)과 안전과 관련되는 다른 기술적인 시스템이나 위험을 감소시키기 위한 외부설비로, 명시된 위험한 이벤트의 고려 하에 (위험도가 있는 이벤트가 발생시에) EUC(Equipment Under Control, 설비나 기계 …)에 대한 안전 상태를 유지하거나 성취할 의도로 구현되어 있는 기능”을 의미한다. 그리고 기능 안전성은 정의된 안전 상태를 달성하거나 유지하기 위하여 필요한 행위를 실행하는 시스템의 능력을 의미하며, IEC 61508은 E/E/PES 안전관련 시스템이 안전기능을 수행하기 위하여 사용되는 모든 응용에 활용된다.

다른 여러 산업분야에서 안전관련 시스템의 응용은 새로운 경험과 더불어 신지식을 도입시키는 계기가 되어 앞으로 개발되는 시스템의 품질과 안전성의 측면에 기반을 두는 단일화된 형식의 표준 그리고 가이드라인의 구축에 많은 도움을 주게 되어, 안전과 관련되는 제품 개발시에 많은 기여를 하게 된다. 안전관련 시스템은 개발방법과 시스템의 요구되는 사항들을 정해놓은 표준을 만족해야 한다.

안전관련 계측 및 제어시스템과 ESD(Electronic Shutdown)처럼 표준화를 유지하는 것이, 모든 산업분야에서 항상 엄밀하게 적용되는 것은 아니다. 형식적인 표준화외에 시스템 개발시에 필요성으로 인해 파생될 수 있는 부가적인 다른 가이드라인이 존재할 수도 있다. IEC(International Electrical Commission)는 회원 국가들의 위원회와 함께 공동작업으로 규격을 개발하고 관리한다. 중요한 주제로 항상 토론과 심의를 하는 워킹그룹 즉 기술위원회 65 (TC, Technical Committee)는 산업공정의 계측제어 분야에 책임을 지고 있으며, 이 위원회에서 IEC 61508: Safety Related System: Functional Safety(기능 안전성)이 발간되었다.

안전에 대한 기본 규격으로 표현되는 IEC 61508은 안전관련 시스템의 기본적이면서도 완전한 수명주기를 기술한다. IEC 61508은 모두 7개의 부분으로 나누어져 있으며 여기서 1,2,3,4는 안전성 기본 규격으로 응용되고 IEC 가이드104 와 ISO/IEC 가이드 51의 제작에 응용되었다. IEC 61508외에도 아날로그 자동화 분야에서 널리 활용되는 IEC 61511은 “Functional safety: Safety Instrumented Systems for the Process Industry Sector”로 불리며, 이 규격은 공정산업에서 안전관련 시스템의 응용을 다루고 있다.

이 규격은 화공산업 분야에서 IEC 61508의 응용으로 위험도와 위해도 분석의 실행을 요구하고 있다. 사고가 발생했을 경우 안전관련 시스템이 주어진 표준과 일치하지 않았을 경우(부합되지 않는 경우) 안전 가이드라인의 적합성에 소홀히 했으므로 이에 대해 책임이 있을 수도 있다. IEC 61508은 1999년에 IEC에 의해 발행된 세계 규격으로 응용하고자 하는 분야에 특별한 안전규격이 존재하지 않을 때, E/E/PES의 안전 관련에 기본적으로 응용이 가능하다. 그리고 IEC 61508 규격은 다음과 같이 일곱 개의 분야로 구분된다(표 1 참조).

본 원고에서는 IEC 61508의 중요한 부분인 Part 3 까지를 대략적으로 기술 한다. 그 밖에 4,5,6,7은 추후에 다시 기술할 예정이다.

IEC 61508 규격은 E/E/PES의 전체구상의 모든 적절한 안전관련 단계로 구상으로부터 설계, 실행, 운용 및 보수유지를 거쳐 정지(Shutdown)까지를 관측한다. 더 나아가 IEC 61508 규격은 안전관련 E/E/PES 시스템의 요구되는 기능 안전성에 도달하기 위해 필요로 하는 안전성 요구의 규격개발을 위한 방법을 제공한다. 안전수명 주기와 관계되는 요구사항들에 대한 규격들을 분야별로 구분하여 이를 아래 그림(1)에 나타내었다.

그림(1)은 IEC 61508의 전체구조를 나타내며 기술적인 요구사항들과 다른 요구사항들을 포함하는 두개의 구조를 이루고 있다. 여기서 전체 서류화(Documentation)는 안전관리와 -시험, 설계와 검증과제(Verification, 초기에 설정된 규격서의 요구조건에 대한 충족여부를 결정하는 과정)와 같은 안전수명주기를 효율적으로 실행될 수 있도록 정확하고 명료하면서도 충분한 정보를 포함하여야 한다. 그리고 안전성 관리측면에서는 각각의 단계나 전체 수명주기에 책임이 있는 사람들이나 조직들은 모든 기술적인 관리행위를 명시하여야만 하고 이것으로 E/E/PES 시스템이 필요한 기능 안전성에 도달과 보존을 보장하게 할 수 있다.

전체 안전 수명주기

기능안전성의 문제에 체계적인 접근을 위해 안전 수명주기를 다음 그림(2)에 정의하였다. 안전 수명주기의 응용은 SIL(Safety Integrity Level)과 밀접한 관계가 있다. – 이 SIL에 대한 설명은 표 2와 3을 참조 – 안전성의 수명주기라는 것은 한 프로젝트의 구상단계로 시작되면서 모든 E/E/PES 안전관련 시스템, 다른 기술과 관련된 안전관련 시스템 그리고 위험도 완화를 위한 외부의 설비가 더 이상 응용을 위해 사용되지 않아서 종료되는 이 시간동안에 이러한 안전관련 시스템의 실현화에 필요한 행위를 의미한다. 안전도 수명주기는 위험도 완화를 위해서 세 개의 조치를 포함하며 이 단계는 그림(2)의 9,10,11에 해당된다.

구상단계에서는 ECU 설비와 주변들의 충분한 이해가 요구된다. 이는 확률적인 위험소스와 법적인 규칙에 대한 고찰이 함께 수반된다. 전체 응용범위는 시스템과 EUC, 위해도와 외부의 이벤트를 포함하여 정의한다. 여기에 부가적으로 위험도와 위해도 분석이 두 번째 단계의 정보나 내용을 바탕으로 실행한다. 이와 동일하게 위험한 이벤트의 잠재적인 연속성과 확률성이 포함되어야 한다. 필요로 하는 기능안전성에 도달하기 위해 네 번째 단계에서는 기능 안전성과 안전 무결점성(Safety Integrity)을 포함하는 전체 안전성 요구가 명시된다. 여기에 부가적으로 다른 기법의 시스템과 외부의 시스템을 활용한 위험도(risk)감소가 실행되어 져야 한다.

다섯 번째 단계에서는 필요한 기능 안전성에 도달하기 위해서 안전관련 시스템을 활용하여 안전요구 할당을 확정하여야 한다. 각각의 안전기능의 할당을 통해 다른 SIL을 확정한다. E/E/PES의 전체 운용 및 보수유지 계획 단계에서는 하나의 계획이 만들어 진다. 이것은 안전 관련시스템(Safety Related System) E/E/PES의 기능안전성의 보수유지를 위한 필수적인 표준 루틴(Routine)을 포함하도록 한다. 동일한 정비기간 동안의 안전성의 유지를 위한 조치가 계획되어 있어야만 한다.

안전성과 전체 유효성검사의 계획 시에는 시스템의 유효성검사를 위한 계획이 시스템의 서로 다른 운용상태, 예측 가능한 간섭, 존재와 비존재에 대한 기준 그리고 유효성 검사를 위한 전략을 고려하여 만들어져야 한다. 그리고 이어서 시스템의 전체 설치와 전체 시운전을 위한 계획이 만들어 져야만 한다. 특별히 계획표, 책임성, 설치가 완성되었음을 설명하는 기준이나 공정 등이 고려되어야 할 측면이다. 아홉 번째 단계에서는 안전 관련시스템의 실현화가 계획되어, 명시된 안전요구에 부합되는 안전 관련시스템을 제작해야 한다. 이에 안전응용을 위한 E/E/PES의 소프트/하드웨어의 개발이 있어야 한다. 이를 위해 하드웨어와 소프트웨어 개발을 위한 수명주기와 IEC 61508의 파트 2와 3의 요구사항이 유효하다.

실현화의 두 번째 단계에서는 다른 기술의 안전관련 시스템과 안전도 과제를 갖는 위험도 감소를 위한 외부설비를 명시할 수 있다. 그러한 시스템은 이 규격에서는 언급되지 않는다. 열두 번째 단계인 전체설치와 전체시운전은 E/E/EPS가 설치되고 운전되면서 여덟번째 단계에서 정해진 계획에 따라 엄격하게 진행되어야만 한다. 안전과 전체 유효성검사 단계에서는 설치된 E/E/PES가 안전요구를 예상하여 고려되었음을 확보되어야만 한다. 이에 부가하여 일곱 번째 단계에서 만들어진 계획에 따라 실행되어야 한다.

hilscher

안전수명주기의 전체운영, 전체 보수유지와 수리에 대한 단계는 E/E/PES가 필요한 기능안전성을 유지하도록 운용, 보수, 수리가 가능함을 안전수명주기의 전체운용, 보수유지 단계에서는 설명되어야 한다. 전체 변형 및 보강 단계에서는 E/E/PES의 기능 안전성이 변형되는 기간뿐만 아니라 그 후에도 유지되어 져야 한다. 부가적으로 변형과 관련된 전체적인 행위는 계획되어야 하고 그에 따른 영향을 관측해야 한다.

검증 (Verification)

검증을 실행하는 기준과 방법을 포함하는 검증계획이 세워져야 한다. 이 계획은 안전생명주기를 위해 구축되며 각 단계마다 실행되어야만 한다. 아래 표 2는 고장확률에 종속되는 SIL과 낮은 요청비율을 갖는 운용방식과 높은 요청비율을 지속적으로 갖는 운용방식을 정의하고 있다. E/E/PES의 도달 가능한 기능안전성의 평가는 시행하는 사람의 능력과 독립성의 정도에 따라 고려되어 져야만 한다.

IEC 61508 – 2

IEC 61508 규격의 두 번째 부분은 이미 위에 기술한 부분 1의 정의 하에 안전관련 시스템(Safety Related System)에 대한 응용을 기술하고 있다. 더 나아가서는 프로젝트의 개발과 제작 프로세스 동안에 시스템에 존재하는 소프트웨어를 제외한 필수적으로 요구되는 모든 행위에 대한 요청되는 사항을 명시화 한다. 여기서는 E/E/PES의 안전 수명주기가 중요하게 고려되므로 이를 기술 한다. 이 규격과의 일치를 위해 다음의 그림(3)과 같은 안전수명주기를 활용한다. 다른 하드웨어 안전수명주기를 활용하게 되면, 기능안전성의 계획단계에서 명시되는 것과 동일한 것을 응용한다. 먼저 E/E/PES의 안전기능에 대한 규격서가 제작되어야 한다. 이는 E/E/PES가 필요한 안전성에 도달과 유지를 위한 정확한 서술을 포함 하도록 한다. 여기에는 모든 적절한 운용방식을 고려해야만 한다. 이와 동일하게 안전 무 결성에 대한 규격이 작성되어야 하는데 이는 각각의 모든 안전관련 기능에 대한 SIL 서술이 포함된다. 특별히 그중에서도 전자파 친화성(EMC)은 반드시 포함시켜야 한다.

안전도와 관련된 E/E/PES의 검증의 계획에서는 존재/비존재에 대한 시험환경과 기준, 그리고 실행과 관계된 시험조치에서 모든 안전관련 기능의 정확한 검증이 가능하도록 전체적인 요구조건들에 주목해야 한다. 전체적인 E/E/PES의 설계 및 개발 단계는 제작된 안전규격서가 그림(3)의 9.1 단계와 일치해야 한다. 하드웨어 및 소프트웨어에 대한 구조적인 요구사항들은 필요한 SIL에 따라야 한다. SIL은 하드웨어와 SFF(Safe Failure Fraction, 안전한 고장율의 부분)의 에러 허용성(Fault Tolerance)을 통해 제한된다. 안전기능에 대한 요구조건들에 따른 가장 높은 SIL은 다음 표(4), (5)에 명시하였다. 서브시스템(Sub system)은 타입 A와 B로 분배될 수 있으며, 타입 A는 B와는 반대로 오류발생 시에 동작행위가 완전히 알려진다. 두 개의 타입에 대하여 안전도 및 무결점에 대한 다음과 같은 요청사항들이 유효하다.

설계는 명시된 고유의 디자인을 갖는 서브시스템 안에서 배분 및 편성에 기반을 두고 있다. 설계나 개발 프로세스의 구성요소는 확률적인 하드웨어의 고장을 통해 컴포넌트의 안전기능의 고장확률에 대한 평가가 된다. 이에 부가하여 안전관련 E/E/PES의 구조는 서브시스템의 평가된 고장률, 진단경로에 의한 고장의 발견확률, 정해진 고장의 제거에 대하여 소요되는 시간을 고려한다. 네번째 단계인 E/E/PES 통합은 E/E/PES를 명시된 설계에 부합되도록 통합한다.

모든 소프트웨어/하드웨어 모듈을 갖는 통합된 시스템은 명시되어 있는 대로 시험된다. 모든 모듈들이 정확히 동작되며 모든 의도하는 기능들이 시험을 통해 실행되어야 함을 제시하여야만 한다. E/E/PES 운용과 보수유지 단계는 안전한 운용과 보수유지가 가능하도록 조치가 명시되어 져야 한다. 안전성과 관련된 E/E/PES의 유효성검사 단계(Validation)는 이전에 제안된 계획에 따라 만들어 져야한다. 추가적으로 각각의 모든 명시된 안전기능은 시험과 분석을 통해 검증되어야 한다. E/E/PES의 안정도에 부정적인 영향을 피하기 위해 모든 변형이 용의주도하게 검증되어야만 하고 서류화가 되어 있어야 한다. 수명주기의 각각의 모든 단계에 대한 결과는 그 정확성을 시험해야만 하고 이를 검증(Verification)이라 한다. 그리고 이 밖에도 IEC 61508 – 2의 부록에서는 운용동안에 발생되는 고장을 처치하는 기술과 조치, 그리고 수명주기의 다른 단계 동안에 체계적인 오류를 피하기 위한 방법을 기술하고 있다.

IEC 61508 – 3

이 규격에서는 E/E/PES의 부분인 소프트웨어와 관련되어 있는 개발, 통합, 검증 및 유효성 검사 그리고 변형에 관계되는 부분을 다루고 있다. 소프트웨어의 안전 수명주기에 대한 도표를 아래그림(4)에 나타내었다. 이 그림은 소프트웨어 개발 시에는 IEC 61508-1의 부분과 일치하는 안전성 수명주기를 명시해야만 한다. 먼저 소프트웨어에서의 안전성 요구가 이미 명시되지 않으면 상세히 명시되어야만 한다. 모든 요구되는 사항들이 충분히 명시화되었음을 보장하기 위해서 소프트웨어 개발자들에 의한 규격시험이 있어야 한다.

이 규격은 소프트웨어와 하드웨어를 대한 자가 모니터링을 위한 서술을 포함하고 있어야만 한다. 안전과 관련된 소프트웨어의 계획 시에 시험방식에서는 전체적인 요구조건들의 존재/비존재에 대한 기준이나 이런 주변조건들이 시험을 실행하는 사람들에 의해 명시되어야 한다. 다음 세번째 단계인 소프트웨어설계와 개발서는 명시된 안전요건들을 만족하는 소프트웨어가 개발되어야 한다.

필요한 SIL에 도달하는 것을 보장하기 위하여 개발된 소프트웨어는 분석이 가능하고 확인가능 하여야 한다. 소프트웨어 개발에 응용된 툴이나 컴파일러는 주의 깊게 선택되어야 한다. 개발을 위해 소프트웨어는 복잡성을 감소시킬 수 있도록 모듈이나 또는 이와 유사하게 부분으로 분리한다. 소프트웨어는 프로그램이 가능한 전자의 하드웨어 안에서 통합되어져야 한다. 이 부분을 PE 통합으로 명명한다. 여기에 요구되는 SIL에 도달하도록 보장하기 위해서 시험을 통해 소프트웨어와 하드웨어의 호환성이 시험되어야 한다. 통합된 시스템은 소프트웨어의 안전성에 명시된 요구사항들이 충족되어야만 한다.

이러한 이유로 안전성과 관련된 소프트웨어의 유효성 검사가 만들어 지고 제출된 유효성 검사계획에 따라 진행되어야 한다. 또한 유효성 검사는 대부분 많은 부분이 시험을 통해 만들어 져야 한다. 소프트웨어의 변형 시에는 SIL이 부정적인 영향이 없도록 보장되어야 한다. 부가적으로 E/E/PES의 기능 안전성에 계획된 변형에 대한 영향이 분석되어야 한다. 소프트웨어 수명 주기에 따라 각각의 단계에 대한 결과는 정확성이 평가되어야 하므로 개발과 동시에 검증이 계획되어 있어야 한다. 소프트웨어의 코드, 데이터, 모듈과 구조 등 각각의 모든 요소들이 검증 되어야 한다.

아이씨엔 매거진 2009년 04월호

이달의 추천기사 보기


추천 뉴스

힐셔 넷파이 netPI

이제 ‘라즈베리 파이’에서 IIoT를 안정적으로.. 힐셔 netPI 출시

힐셔 netPI, 라즈베리와 결합하여 산업용으로 활성화 산업용 통신 솔루션 선두업체인 힐셔(Hilscher Gesellschaft für Systemautomation mbH)는 ...

폭스콘

로크웰 오토메이션, 폭스콘 미국공장에 IIoT 솔루션 더한다

로크웰 오토메이션, 폭스콘의 소비자 가전 조립 공장에 업계 선두적인 IIoT 솔루션 구현 위해 폭스콘과 파트너십 ...

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.

hilscher