IIoT 기술 매거진 - 아이씨엔


Home » 이슈포커스 » 산업용IoT » 기계 제작을 위한 머신 세이프티 국제 규정 해설 – ISO 13849 안전도(Functional Safety)

기계 제작을 위한 머신 세이프티 국제 규정 해설 – ISO 13849 안전도(Functional Safety)

안전도에 대한 중요성은 이제 전 산업분야로 확대해가고 있는 중이다.

지능성의 발전과 구현화 기술은 스마트기기의 개발을 업그레이드 하면서 기계와 작업자 사이의 안전성 뿐만 아니라 설비의 효율적인 사용을 증대 시키면서 자산적인 관리 측면과 동시에 생산성을 효율적으로 관리하고 있다.

안전도의 체계적인 첫 신호탄으로서 1996년 EN 954-1 안전성의 개념이 정립되어 많은 공헌을 하였으나 현시대의 기술적인 부합에 현실성이 많이 결여 되면서 새로운 구상을 갖는 안전도 개념이 도입되어야 했다.

IEC 61508의 기능안전성(Functional Safety)개념이 도입 되면서부터 안전성에 대한 기반이 마련되어 공정부분(IEC 61511, SIS, System Instrumented System), 기계부분(ISO EN 13849, PL: Performance Level), IEC 62061 까지 많은 부분에 안전도에 대한 새로운 구상이 도입되어 산업계에서 활용되기 시작하였다.

과거에는 기계의 SRP/CS (Safety Related Part of Control System)은 EN 954-1에 따라 설계되었다. 이 규격에 따라 카테고리 범주 안에 존재하는 위험도(Risk)는 이에 상응되는 시스템 행위가 결정론적인(Deterministic) 접근방법에 의해 결정되어 서술되었다.

그러나 전자부분이나 프로그램이 가능한 지능성을 갖는 부분들은 더 이상 EN 954-1에 의한 카테고리 구분 방식으로는 안전도를 획득할 수 없었으며 더구나 확률적인 접근방법이 EN 954-1에서는 가능하지 않으므로 고장확률에 대해서는 어떠한 표현도 가능하지 않다. 이러한 단점 등을 보강하기 위해 EN 954-1의 후속 규격으로 EN 62061, 뿐만 아니라 EN ISO 13849-1의 규격이 뒤따르게 되었다.

ISO 13849-1의 기반은 EN 954-1의 여러 기술적인 내용을 확장하여 새로운 표준으로 구성되어져 있다. SRP/CS의 설계 시 요구되는 카테고리(Category), 위험도 그래프(Risk Graph)등은 EN 954-1에서 이미 사용되는 용어로 ISO 13849 안전도 구성에 가장 중요한 핵심으로 사용된다.

ISO 13849-1은 안전도의 구현과 그 평가에 있어 IEC 61508이나 EN 62061의 기반을 이루는 기능안전성(Functional Safety)과는 달리 응용범위가 전기, 전자 기기 및 기계, 그리고 유·공압도 포함한다.

본 논고에서는 EN 62061에 대한 상세한 내용은 다음에 기술하기로 하고 여기서는 ISO 13849에 대해서 기술한다. ISO 13849-1이 새로운 표준으로 만들어 지기 까지 간단히 기술 하고자 한다.

2006년 유럽표준으로 받아들여진 EN ISO 13849-1이 EN 954-1을 대신하는 표준으로 공표되었다. 그리고 그 후 2007년 5월에 EN ISO 13849-1, 즉 “기계 안전성 – 제어 시스템의 안전관련 부분들 – Part 1. 설계를 위한 일반원리”(Safety of Machinery – Safety Related Parts of Control Systems – Part.1 General Principle for Design)가 EN 954-1에 대한 후계자로서 EU 기계 지침서(EU Machinery) 아래에 통합되었다. 최근의 확장 이전에, 2009년 11월 30일에 EN 954-1이 배제되었다.

ISO 13849는 안전도 평가를 위한 근거로 위험도 감소(Risk eduction)와 평가(Risk Assesment)를 시행하게 된다. 이것들은 안전도 전반에 대하여 중요하므로 기계류의 안전도 규격 타입과 함께 기술한다.

위험도감소(Risk Reduction)와 평가(Assessment)

“기계벤더나 이를 위임받은 대표는 기계나 기계류(Machinery)에 응용되는 건전성과 안전기능을 결정하기 위하여 위험도 평가(Risk Assessment)가 실행 되도록 보장되어야만 한다. 위험도 평가의 결과를 고려하여 기계류는 설계되고 만들어 져야 한다.” (Machinery Directive 2006/42/EC, Annex I )

이 유럽의 기계와 기계설비의 지침서는 여러 종류의 위험도로부터 운용자를 보호하기 위하여 기계의 위험도 평가와 안전 시스템의 실현화를 위해 유럽표준 위원회(European Committees for Standardization) CEN과 CENELEC는 기술적인 요구사항들을 지시서의 내용들로 변경하는 일련의 표준화를 이슈화 했다.

이 이슈화 된 기계류의 안전표준화는 크게 세 종류의 그룹으로 구분된다.

그룹 A는 기본적인 안전기능의 요구사항을 충족해야 되는 그룹, 안전전문그룹 규격으로 기계류의 서로 다른 그룹 및 종류에 대한 상세한 안전측면에 대한 내용을 포함. 그리고 규격 C는 단일 기계류의 규격으로 모든 중요한 위험에 대한 보호조치 및 상세한 요구 사항 등을 포함한다. 이를 아래 그림에 나타내었다.

위험도평가라 함은 다음과 같이 정의할 수 있다. “적절한 안전도 조치를 선택하기 위해 위험상황(Hazardous Situation)에서 건강에 해가 되거나 부상이 가능한 정도(Degree)와 확률에 대한 포괄적인 예측”을 의미한다.

hilscher

기계나 설비가 안전하게 만들어 지기 위해서는 운용할 때 발생 될 수 있는 위험도를 평가 하는 것이 필요하다. 기계에 대한 위험도 평가와 감소는 EN/ISO 12100에서 서술되어 있다.

위험도 평가에는 여러 가지 평가기술이 존재하나 평가를 수행하는데 어떤 방식이 올바른 방법이라고 어떤 전문가도 주장 할 수 없다. 위험도 평가의 목적은 위험(hazard)의 식별, 각각의 위험과 연결 될 수 있는 위험한 이벤트 식별, 위험도 감소의 필요성 여부 결정, 그리고 요구되는 위험도 감소의 결정 방법. 즉 – 안전기능의 식별, PLr의 결정 – 에 있다.

일반적으로 자동화 기계류의 안전도 평가를 위한 두 개의 중요한 규격 ISO 12100과 ISO 14121의 두 가지 형태가 존재한다. 기계의 설계 시에 위험도의 최소화를 목표로 안전기능을 구현하고 이를 기반으로 평가와 운용을 통해 안전도를 향상 시킨다.

안전도와 관련된 규격은 ISO 12100 -1/-2에서는 위험도 완화를 위한 전략, 구축 방법을 명시하고 ISO 14121-1 에서는 위험원(Harm)의 확인을 위한 조치 및 위험도의 평가와 산정 에 대해서 기술하고 있다.

그러나 이 두 개의 규격은 2010 년도 후반에 다시 ISO 12100: 2010 으로 통합되어 “Safety of machinery – General principles for design – Risk assessment and Risk Reduction (ISO 12100:2010)”로 불리고 있다.

여기서 이 규격에 대한 자세한 내용을 다 기술하기는 사실상 어렵지만 몇 가지 중요한 내용만을 개략적으로 기술하기로 한다. 이 두 규격은 ISO 13849에 대단히 중요하지만 여기서는 이해를 위해 두 규격을 통합한 위에 언급된 ISO 12100 : 2010에 대해서 기술한다.

일반적으로 ISO 12100 : 2100은 크게 위험도 평가(Risk Assessment)와 위험도 감소(Risk Reduction)로 구성되어 있다. 위험도 평가는 위험도 분석(Risk Analysis)과 위험도 평가(Risk Evaluation)로 구성된다.

위험도 분석은 위험도 평가에 요구되는 정보를 제공하고 위험도 감소가 요구 되는 여부에 대해 판단을 만들게 한다. 이 위험도 분석은 다시 기계류의 한계 결정(Determination of the limits of the Machinery), 위험 식별(Hazard identification)과 위험도 예측(Risk estimation)으로 구성된다.

위험도 감소(Risk Reduction)의 목적은 위험의 제거나 관련이 있는 위험도를 결정하는 다음과 같은 각각의 두 개 요소를 감소시키거나 분리함으로서 이루어 질수 있다.

– 고려중인 위험으로 부터 상해의 심각성

– 상해의 발생확률

이러한 목적에 도달하기 위하여 의도 되는 모든 보호조치는 다음과 같은 세 개의 단계를 통해 응용 이 가능하다.

Step 1 : 설계상의 대책 조치(Inherent Safe Design Measure)

설계상의 대책조치는 위험을 제거 하거나 기계 자체에 대한 설계특징의 적절한 선택에 의해 연관되는 위험도를 감소시키고 또는 기계와 위험에 노출된 사람들 사이에 상호작용에 의해 관계되는 위험도를 감소시킨다. 이 단계는 안전장치 적용이나 이에 대한 보충으로 보호 조치와 같은 부가적인 보호대책에 대한 요구사항 없이 위험이 제거 될 수 있는 유일한 단계임.

Step 2. : 안전장치적용과 또는 보충적 보호조치(Safeguarding and/or complementary protective measure)

안전장치 적용과 또는 보충 보호조치가 위험을 제거하는데 실용적이 아닐 때, 또는 안전 설계 조치를 사용하여 충분히 연관된 위험도를 감소하는데 비실용적일 때, 사용목적(Intended use)과 적절히 합리적으로 예견 가능한 오용(Reasonably foreseeable misuse)을 고려하여 적절히 선택된 안전장치 적용(Appropriately selected safeguarding)과 보조보호조치(Complementary protective measures) 들이 위험도를 감소시키는데 사용 될 수 있다.

Step 3. 사용정보(Information for use)

설계상의 대책조치와 안전장치 적용 그리고 보충적 보호조치의 채택에도 불구하고 위험도가 남아있다면, 잔여위험(residual Risk)도 사용정보에서 식별 될 수 있다.

ISO 13849의 내용상의 이해를 돕기 위해 먼저 중요한 용어 몇 가지를 기술한다. 기본적으로 SRP/CS, 카테고리(Category), PL(Performance Level), PLr(Required Performance Level)에 대해 기술한다.

ISO 13849-1에 따라 SRP/CS의 정의는 다음과 같다. “안전관련(Safety Related) 입력신호에 대응과 안전관련 출력신호를 발생하는 제어 시스템의 부분” 즉 안전기능을 제공하기 위하여 할당된 기계제어 부분으로 하드-/소프트웨어로 구성되며 기계제어 부분으로부터 분리되거나 또는 통합된 부분으로 구현이 가능하다.

그리고 PL은 다음과 같이 정의 된다. “예견 가능한 조건하에 안전기능(Safe Function)을 수행하기 위한 제어 시스템의 안전관련 부분에 대한 능력을 명시 하는데 사용되는 차별화된 수준”으로 정의한다.

즉 PL은 시스템의 신뢰성과 안전도를 결정하는 요소들의 척도가 되는 것이다. 이와 관련하여 PLr 즉 요구되는 PL은 각각의 안전기능에 대하여 요구되는 위험도 감소를 취득하기 위해 응용되는 PL을 의미한다.

그리고 여기서 기계제어 시스템(Machine Control System)은 다음과 같이 정의 된다.(표 1) “기계요소, 운용자들, 외부의 제어 설비 또는 이것들의 조합된 부분으로부터 입력신호에 대응되는 시스템, 그리고 기계가 의도한 방식으로 동작을 하도록 출력신호를 발생시키는 시스템“ 으로 정의한다.

카테고리는 다음과 같이 정의된다.

“고장 시에 SRP/CS에 고장과 후속행위에 반대되는 저항성과 이와 관련된 제어시스템의 안전관련 부분의 분류를 의미”

ISO 13849 대한 응용을 위해 구현과 그리고 위험도 평가 및 관리 등은 다음 원고에서 기술하고 여기서는 PL을 구성하는 주요 요소들에 대해 기술한다. SRP/CS에서 PL의 결정을 위한 요소는 다음과 같다.

MTTFd (Mean Time to dangerous Failure of each channel)

한 시스템의 각각 채널(컴포넌트)이 위험한 고장이 발생되기 까지 걸리는 평균 운용시간으로 정의되는 통계적인 수치이다. 각각의 채널의 MTTFd의 값은 다음과 같은 세 개의 레벨로 주어지고 개별로 각각의 채널에 대해 고려 될 수 있다.

(예 단일채널, 이중화 시스템의 각각의 채널) 신뢰성 특성 값으로서 MTTFd는 PL안에서 첨가 될 수 있다. 이 MTTFd 값은 컴퍼넌트에 제공되는 안전기능을 실행을 하지 않는 요소의 결함에 대한 문제를 제기한다. 여기서 “평균(Mean)”의 의미는 각각 개개의 요소들과 관계가 있는 것이 아니고 일반적인 요소들의 평균수명에 대한 기댓값을 뜻한다.

개개의 요소들의 기댓값은 여러 동일한 종류의 요소들에 대한 평균값을 동일하게 상정할 수 있다. 이는 고장 없는 시간이라는 의미에서 보장된 최소의 수명을 다루는 것은 아니다.

이 평균화된 관점은 통상적으로는 부하, 온도등과 같은 응용조건에서 수명 값의 적합성이 이루어지는 것이 아니라는 것을 반영한다. 그리고 신뢰성과 관계되는 시간(Time)은 수명으로 나타낼 수 있다.

고장률을 나타내는 λd와 MTTFd와의 관계는 MTTFd = 1/λd로 나타낸다. “위험스러운(Dangerous)“의 의미는 안전기능의 실행이 저하될 수 있는 고장으로 PL에 영향을 주게 되는 상황을 의미한다.

이와는 반대로 위험하지 않는 고장들은 더구나 안전한 상태를 유발하거나 기계의 가용성이나 생산성의 질을 저하시키고 그 밖에 안전기능을 실행하게 하거나 또는 안전 상태를 유도 또는 그대로 안전 상태를 유지하게 된다.

카테고리

결함이 발생 할 경우 결함과 행위에 대해서 내구성과 관계된 SRP/CS의 안전관련 부분을 분류하는 카테고리는 부분의 신뢰성 또는 구조적인 레이아웃에 기반을 둔다. 결함에 대해 높은 저항성(내구성)은 위험도 감소가 가능함을 의미한다.

고장 확률값과 PL의 결정을 위해서도 카테고리는 요소신뢰성(MTTFd), 테스트(DCavg)와 CCF(Common Cause Failure)의 원인으로 인해 발생하는 고장에 대한 내구성을 통해 보충하는 중요한 핵심적인 사항이기도 하다.

카테고리 B는 기본이 되는 카테고리로 다른 카테고리 범주에서도 요구되는 사항들이 유지되어야만 한다. 즉 다른 모든 카테고리들도 기본적으로 무조건 카테고리 B를 포함해야만 한다. 카테고리 B와 1에서는 중대한 결함에 대한 내구성이 적합한 요소들의 응용과 선택을 통해 도달 할 수 있다.

결함이 나타날 시에는 안전기능은 영향이 없다. 카테고리 1은 카테고리 B와는 반대로 응용을 통해 결함에 대해 안전성이 유지되는 요소와 원리를 응용하여 높은 내구성을 갖는다. 카테고리 2,3,4에서는 개선된 성능이 먼저 주어진 안전기능을 참고로 하여 구조적인 조치를 통해 도달할 수 있다.

카테고리 2에서는 안전기능의 실행이 일반적으로 정기적인 시간간격 안에서 시험장비들을 통해 스스로 시험된다. 시험구간의 적절한 선택을 통해 카테고리 2의 응용시에 적합한 위험도 감소에 도달이 가능하다.

카테고리 3,4에서 각각에 한 개씩 결함이 나타날 시에는 안전기능의 손실이 나오지 않는다. 카테고리 4에서는 항상 카테고리 3에서 적절히 실행된다면, 그러한 결함은 스스로 인식된다. 다음의 그림 4에 카테고리 B, 1,2,3,4에 대해서 나타내고 중요한 기술적인 특징들은 표에 이를 기술하였다. 그리고 표 4에 카테고리를 요약하여 정리하였다.

DC (Diagnostic Coverage) 진단유효성 범위

PL에 영향을 주는 요소는 SRP/CS안의 진단 및 모니터링 조치이다. 위험이 나타나거나 한 유닛의 고장 시에 안전 시스템의 올바른 동작여부가 명확하지 않으면 시스템의 상태는 유지하기 어려운 위험도에 노출되고 있음을 나타낸다.

결함이 있는 릴레이, 센서 전원선의 단락, 또는 고장 발생은 안전 시스템의 전체기능을 무력화 한다. 이러한 문제들로 인해 안전성이 유지 되도록 정기적으로 신뢰성 있는 부품들을 시험하는 것이 권장되기도 한다.

모든 부품들의 가장 적은 세세한 부분까지 정기적으로 시험 한다는 것은 가능하지 않으나 큰 부분의 이에 속해 있는 기능을 내부 시험을 통해서 시험 할 수는 있다. 전형적인 시험은 요소의 60% – 99% 를 시험 할 수 있다. 시험의 좋은 실행 도를 나타내는 척도는 다음 식과 같은 평균 진단 유효성 범위 (DCavg)로 나타낼 수 있다.

DCavg = λDD / λD

이 진단 유효성 범위값은 위험한 결함의 전체 고장비율 대 인식(발견) 가능한 위험한 고장비율의 관계식을 나타낸다.

CCF(Common Cause Failure) : 공통원인고장

안전시스템은 두 개나 그 이상의 채널로 구성 될 수 있으나 각 한 개의 결함을 통해 치명적인 고장이 발생 할 수 있다. 이런 종류의 결함을 CCF라고 하며 일반적으로 잘못된 계획, 결함이 많은 실행 등과 같은 조직적인 약점이 원인이 된다. 전형적인 예로서 다음과 같은 경우를 들 수 있다.

– 다중 채널 구조를 갖는 출력의 단락.

– 전자파 간섭, 온도나 습기와 같은 환경의 영향.

– 프로그래밍의 결함.

다음 그림 5의 예를 통해 CCF를 설명하고자 한다. 한 개의 전원에 연결되어 있는 다중 채널의 구조로 구성 되어 있으며 두 개의 채널 구조의 각 채널은 전원이 공급 되어져야 한다.

회로부분은 채널 1,2에 전원을 공급해야 한다. 회로 부분의 고장은 갑자기 양 쪽의 채널에 높은 전압이 존재하게 할 수 있다. 좋지 않은 경우 양쪽의 출력 A1, A2에서 뒤에 연결된 Fail-Safe-Logic 이 스위칭을 위해 움직이게 되는 Stuck at Error(더 이상 변경 할 수 없는 고정 값을 입력이나 출력이 갖게 되는 결함)을 갖게 된다.

이것으로 인해 한 개의 결함은 전체 안전기능의 손실을 가져오게 된다. 이러한 결함을 피하기 위해서는 주도 면밀한 설계를 통해 가능하고 또 한 가지 방법은 전원을 분리하고 두 개의 회로부분을 응용한다.

분리된 회로부분의 운용 시 짧은 시간 내에 두 개의 회로부분의 동시 고장에 대한 확률은 분명히 감소된다. 두 개의 회로부분이 명시되지 않은 입력 전압 인가를 통해서 손상을 입게 된다면 어느 정도의 위험도는 존재한다.

여기에 이러한 결함발생 경우를 방해하는 보호회로 또는 회로부분을 제공 받을 수 있다. 위에 보여준 2채널 전원장치는 항상 정기적으로 시험 된다면 CCF를 회피한다. 이미 회로부분이 문제가 발생하거나 규격외 전압이 만들어 지거나 할 경우에, 다중 레이아웃은 미미한 도움만을 줄 것이다.

ISO 13849 규격에서는 CCF를 참고할 테이블을 부록편 에서 발견 할 수 있다. 결함을 피하거나 적절한 조치들을 수록한 테이블은 기계를 제작하는 벤더와 운용자들이 결함에 대해 충분한 면역성을 갖추도록 테이블의 내용들을 평가하거나 요구되는 점수에 도달하기 위하여 최대 100 점 중에 총 65점을 획득해야 한다.

ISO 13849 안전도에 대해 평이하게 기술하고자 노력 하였으나 아직도 많은 부분이 미약합니다. 특히 다른 안전도 규격에서는 볼 수 없는 유압, 공압에 대한 ISO 안전도에 대해서도 서술하려 했으니 시간의 제약에 있어 다음 원고에서 이를 다룰 예정입니다.

그리고 인증에 대한 절차 및, 안전도 구현을 위한 전문적인 내용은 다소 수학적인 내용이 포함되어 현장의 유저들과 구현하시는 엔지니어뿐 들에게 조금이나마 부담이 될 것 같아 서술하지 못했으나 전문적인 내용들은 세미나를 통해 자동화 분야에 종사하시는 엔지니어 분들과 함께 하고자 합니다.

ISO 13849는 독일의 BGIA Report가 가장 정평이 있으며 여기에서 제공하는 SYSTEMA TOOL이 벤더 독립의 ISO 13849를 구현하는 데 가장 중요하고 널리 사용되는 TOOL 이기도 합니다.

다음에 기회가 되면 이 툴에 대해서도 소개할 예정이며 특히 내년 2014, 1월에 제가 세미나를 통해 이를 소개할 예정입니다. 그리고 자동화 네트워크 에 대한 안전도 내용도 점차로 원고를 통해 소개 할 예정입니다.©

박장환 교수 국립한경대학교

아이씨엔 매거진 2013년 10월호

이달의 추천기사 보기


추천 뉴스

힐셔 넷파이 netPI

이제 ‘라즈베리 파이’에서 IIoT를 안정적으로.. 힐셔 netPI 출시

힐셔 netPI, 라즈베리와 결합하여 산업용으로 활성화 산업용 통신 솔루션 선두업체인 힐셔(Hilscher Gesellschaft für Systemautomation mbH)는 ...

폭스콘

로크웰 오토메이션, 폭스콘 미국공장에 IIoT 솔루션 더한다

로크웰 오토메이션, 폭스콘의 소비자 가전 조립 공장에 업계 선두적인 IIoT 솔루션 구현 위해 폭스콘과 파트너십 ...

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.

hilscher