기계 제작을 위한 머신 세이프티 국제 규정 해설(3)

EN 62061 (1) – FUNCTIONAL SAFETY OF SAFETY

– 연재 목차 –
01. 기계 제작을 위한 머신 세이프티 국제 규정 해설(1) – ISO 13849(1)
02. 기계 제작을 위한 머신 세이프티 국제 규정 해설(2) – ISO 13849(2)
03. 기계 제작을 위한 머신 세이프티 국제 규정 해설(3) – EN 62061(1)
04. 기계 제작을 위한 머신 세이프티 국제 규정 해설(4) – EN 62061(2)

EN 62061은 ISO 13849와 함께 기계안전도의 근간을 구성하는데 한 축을 이루는 가장 중요한 규격이다. 이 규격은 IEC 61508 기능안전성(Functional Safety)을 기반으로 만들어진 기계분야에 응용을 목적으로 만들어진 규격이다. IEC 61508 규격은 기능안전성으로 알려진 규격으로 여러 분야에 응용되는 규격이다. E/E/PES 즉 Electrical/Electronic/Programmable Electronic System 에 특화되어 사용되는 규격으로 여러 분야에 응용되는 규격이기도 하다.

먼저 EN 62061 규격을 설명하기 전에 기본 규격인 기능 안전성 IEC 61508에 대해서 간단히 기술하고자 한다. EN 61508의 가장 중요한 개념은 기능 안전성이다. 이 기능안전성은 다음과 같이 정의 할 수 있다. “E/E/PE 안전관련 시스템(SRS, Safety Related System)과 외부의 위험도(Risk)감소 설비. 그리고 다른 종류의 SRS의 올바른 기능에 좌우되는 EUC(Equipment under Control)와 EUC 제어 시스템(EUC Control System)에 관련되는 전체안전성의 한 부분”으로 정의 할 수 있다.

여기서 EUC는 위험도의 원천이 되는 설비, 플랜트, 기계류를 의미하며, EUC 제어 시스템은 다음과 같이 설명될 수 있다. 원하는 방법으로 EUC가 운용되도록 출력신호를 발생시키고 공정과 또는 운용자로부터의 입력신호에 대응되는 시스템이라 서술 할 수 있다. 이와 관련하여 SRS는 무엇을 의미할까?

SRS는 안전한 상태를 유지 하거나 성취하는데 필수적으로 요구되는 안전기능을 구현하도록 설계되어진 시스템을 의미한다. SRS에서 의미하는 안전기능(Safe Function)은 명시된 위험한 사건(Specific hazardous event)에 대하여 EUC의 안전상태(여기서는 Fail Safe)를 유지하거나 성취하도록 의도된 E/E/PES SRS에 의해서 구현된 기능이라 할 수 있다. 이 용어들은 앞으로 기술할 IEC 62061을 이해 하는데 요구되는 가장 기본적인 용어이기도 하다. 그 밖의 다른 무수한 안전도와 관련되는 여러 가지 복잡한(?) 다른 용어들이 규격 서에 수록되어 있다. 주요 안전도 용어들이 규격서 앞면에 기술되어 있어도 추상적이고 현학적으로 수록되어 있어 이를 이해하는데 만만 하지가 않다.

또한 IEC 61508 규격 자체가 워낙 방대하고 복잡하기도 하여 이를 여기서 다 기술 할 수 는 없다. 물론 보는 사람마다 관점이 다르겠지만 이 규격은 어떻게 보면 지나치게 포괄적일 수도 있는 내용이기도 하고 정확하다고 하기 보다는 오히려 안내서 역할을 하고 있다고 볼 수도 있다. 안전도 자체가 확률이기 때문에 사고 예방에 정확하다고 할 수는 없지만 위험도가 발생하는 상황을 낮출 수가 있다. 스마트 형의 기기와 자동화 네트워크의 발전으로 복잡한 제어 및 자동화 과제에 안전도 중요성이 점차로 확대되면서 생산 효율성에 기여하며 또한 설비를 자산관리의 관점에서 자산 가치를 높일 수도 있고 작업 능률을 향상시키기도 한다.

IEC 61508은 E/E/PES에 대한 기능 안전성을 관리하는 국제 표준 으로 수년 동안 개발되어 발전되어 1998년 12월에 첫 번째 버전이 공표되고 2000년에 일곱 개의 파트 중에 마지막 부분도 공표되었다. 이 표준은 총체적 특성을 지니고 산업 분야에 안전관련 응용에 적용한다.

IEC 61508표준은 기능안전을 성취(달성)하기 위해 이성적이고 일관성 있는 접근법을 정의하고 있으며 수명주기(Life Cycle)를 통하여 구상, 설계, 위험(Hazard)과 위험도 분석을 통해 규격, 구현, 운용 및 보수 유지 그리고 폐기 단계까지 정의하고 포괄적으로 안전도 구현을 위한 솔루션을 제공하고 있다. IEC61508의 특징은 거의 모든 산업영역에 – 기계류, 공정 플랜트, 의료, 철도 – 등에 응용될 수 있는 총체척인 표준으로 나타낼 수 있다. 국제 표준 – End User와 벤더들이 국제적으로 사용한다. 안전기능을 실행하는 E/E/PES 사용에 대한 가이드와 보호 시스템의 모든 요소들과 안전 수명주기 구상을 포함하는 포괄적인 접근과 SIL의 결정을 이끄는 리스크 기반의 접근과 더불어 효율적인 PES의 사용으로 설비의 안전도와 경제적인 측면 개선 등이 중요한 특징으로 부가할 수 있다.

더군다나 아직 안전 가이드가 정해지지 않은 분야는 IEC 61508을 기준으로 새로운 안전가이드를 적용하여 규격으로 만들 수도 있다 하지만 그 반면에 워낙 광범위한 서류와 응용으로 인해 규격으로 적용시 어려움이 가중 될 수도 있다. 예를 들어 단순한 기기 즉 센서 하나를 설계한다고 가정 시에 IEC61508 에서 제시하는 수명주기에 따라 구상단계부터 폐기단계까지를 다 고려한다는 것은 무리가 따를 수도 있고 더구나 고유의 안전 솔루션을 가지고 많은 실전경험을 가진 벤더의 경우 무조건적으로 IEC 61508의 규정에 따른다는 것도 생각해 보아야 할 문제이기도 하다. 여기서는 IEC 62061에 대한 원고를 기술 하므로 그 근간을 이루는 IEC 61508의 구성과 다른 규격들과의 관계 등은 간략화를 위해 도표로 나타내고 IEC 62061의 이해를 위해 필요한 용어를 설명한다. 그림2 참조.

SIL(Safety Integrity Level)의 이해는 기능 안전성에 매우 중요하다. E/E/PES 기능안전성 응용에서는 SIL의 중요성은 핵심적인 역할을 한다. 먼저 SI(Safety Integrity)는 “서술된 기간 안에 모든 서술된 조건하에 요구되는 안전기능을 만족할 만큼 수행하는 SRS의 확률”로 정의하고 여기에 부가하여 SIL은 다음과 같이 정의한다. “안전기능의 명시된 SI 요구들이 E/E/PES SRS에 할당되어 차별화된 수준으로 가장 높은 등급인 SIL4, 그리고 가장 낮은 등급인 SIL1으로 구성 된다”이 SIL의 결정은 안전관련 시스템의 안전도 등급에 많은 영향을 주므로 좀 더 자세히 기술하고자 한다.

시스템에 대한 SIL 결정은 일반적으로 고장확률과 시스템 구조와 밀접한 관계가 있다. 시스템 구조를 평가하기 위해 다음과 같은 세 개의 중요한 파라미터인 Type A, Type B 컴포넌트, HFT(Hardware Fault Tolerant) 그리고 SFF(Safe Failure Fraction)를 분석해야 한다. 이미 SFF는 ISO 13849에서 기술했기 때문에 여기서는 HFT와 Type A, B 컴포넌트에 대해서 서술한다. 요구되는 안전기능의 수행에 따라 IEC 61508에서는 타입을 차별화 하여 구분하였다. 먼저 Type A는 다음 Table1과 같다.

모든 구성된 컴포넌트의 고장 모드는 잘 정의되고, 오류조건하의 서브시스템의 행위는 완전히 예측 가능해야하고 그리고 실전경험을 통해 획득된 신뢰성 있는 고장데이터는 존재되어야 한다. Type B는 A와는 반대이다 즉 최소 한 컴포넌트의 고장모드는 잘 정의 되어 있지 않으며, 오류 조건하의 서브시스템의 행위는 완전히 예측 가능하지 않다.

그리고 실전경험을 통해 획득된 신뢰성 있는 고장데이터가 존재하지 않는다. 여기서 한 예로 한 시스템의 최소한 한 개의 컴포넌트가 타입 B에 대해 충족된다면 이 시스템은 타입 B로 관측되어야 한다. 일반적으로 타입 A 컴포넌트는 통상적인 요소로 오랜 사용기간을 통해 두드러지게 나타나거나 100% 시험이 가능한 컴포넌트로 저항, 트랜지스터가 있다. 반면에 타입 B는 사용기간을 통해 경험치가 존재하지 않거나 100% 시험이 가능하지 않는 경우로 한 예로 마이크로 프로세서가 있다. 아래 표에 HFT, SFF와 관련하여 하드웨어 SI를 구성한다.

글_ 박장환 교수
국립한경대학교 전기전자공학과