[논문]기능안전을 위한 IEC 61508의 안전수명주기에 관한 연구

김성규; 김용수

기능안전을 위한 IEC 61508의 안전수명주기에 관한 연구
A Study on a Safety Life Cycle of IEC 61508 for Functional Safety 원문보기

신뢰성응용연구 = Journal of the applied reliability, v.14 no.1, 2014년, pp.81 - 91

김성규 (경기대학교 대학원 산업경영공학과) , 김용수 (경기대학교 산업경영공학과)

Abstract ▼ AI-Helper

The IEC 61508 standard was established to specify the functional safety of E/E/PE safety-related systems. Safety life cycle to provide the framework and direction for the application of IEC 61508 is included in this standard. In this paper, we describe overviews, objects, scopes, requirements and activities of each phase in safety life cycle. In addition, we introduce safety integrity level(SIL) which is used for verifying the safety integrity requirements of E/E/PE system and perform a case study to estimate hardware SIL by FMEDA. The SIL is evaluated by two criteria. One of them is the architectural constraints which restrict the maximum SIL by combination of SFF and HFT. The other is the probability of failure which is classified into PFD and PFH based on frequency of demand and calculated by safe or dangerous failure rates.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

IEC 61508은 일반적인 표준이 갖는 특성상 내용의 이해 및 적용에 많은 어려움이 존재한다. 따라서, 본 연구에서는 IEC 61508에 대한 일반적인 구성 및 내용과 안전수명주기, 그리고 SIL의 평가 기준에 대하여 소개하고 안전수명주기의 각 단계별 목적 및 요구사항을 살펴보고자 한다. 또한, 안전수명주기의 한 단계인 하드웨어 SIL 검증을 위하여 가스탐지기를 대상으로 사례연구를 실시하였다.
본 연구에서는 이러한 IEC 61508에 대한 이해를 돕고자 표준의 구성 및 안전수명주기에 대하여 설명하고자 하였다. 안전수명주기는 안전관련 E/E/PE 시스템의 전사적 수명주기에 관한 것으로 개념 단계에서 폐기 및 해체 단계에 이르기까지 단계적으로 설명하였으며, SIL의 개요와 판정 기준 및 수식을 함께 명시하였다.
본 장에서는 안전수명주기의 ‘10단계 구현: E/E/PE 시스템’에 명시된 하드웨어 SIL 평가 사례를 소개하고자 한다.
IEC 61508(2010)의 두가지 핵심개념은 안전상태를 유지하기 위하여 사고방지 및 리스크 감소를 수행하는 안전기능과 이러한 안전기능이 얼마만큼 만족스럽게 수행될 수 있는지에 대한 수준인 안전무결성이다. 본 절에서는 이 가운데 작동이 요구되는 시에 반드시 작동하여야 하는 안전기능의 안전무결성을 구분하는 측도인 SIL에 대한 소개와 평가 기준에 대하여 설명하고자 한다.

가설 설정

FMEDA를 통하여 각 서브시스템의 탐지가능한 안전고장, 탐지불가한 안전고장, 탐지가능한 위험고장, 탐지불가한 위험고장을 도출하였으며, 이를 바탕으로 1oo1 구조 PFD 수식에 대입하였다. 이때, MRT과 MTTR은 모두 8시간으로, T₁은 1년으로 가정하였다. 산출된 PFD 값은 3.

제안 방법

FMEDA를 실시하기 위한 선행 단계로서 FMEA를 실시하였으며 실무자와의 인터뷰를 통하여 가스탐지기의 부품별 고장모드 및 영향을 결정하였다. 또한, IEC 61508에서 명시하고 있는 안전 및 위험고장의 판정기준에 따라 각 고장의 안전여부 및 탐지여부를 결정하였다.
FMEDA를 통하여 각 서브시스템의 탐지가능한 안전고장, 탐지불가한 안전고장, 탐지가능한 위험고장, 탐지불가한 위험고장을 도출하였으며, 이를 바탕으로 1oo1 구조 PFD 수식에 대입하였다. 이때, MRT과 MTTR은 모두 8시간으로, T₁은 1년으로 가정하였다.
안전수명주기는 안전관련 E/E/PE 시스템의 전사적 수명주기에 관한 것으로 개념 단계에서 폐기 및 해체 단계에 이르기까지 단계적으로 설명하였으며, SIL의 개요와 판정 기준 및 수식을 함께 명시하였다. 또한, FMEDA를 적용하여 안전제어시스템인 가스탐지기의 하드웨어 SIL을 정량적으로 평가하는 사례연구를 실시하였다. 그 결과, 가스탐지기의 하드웨어 SIL은 확률적 측도에 따른 SIL은 SIL 3에 해당하였으나 구조적 측도에 따른 최대허용 SIL이 SIL 2로 결정되어 최종 SIL 2로 평가되었다.
FMEDA를 실시하기 위한 선행 단계로서 FMEA를 실시하였으며 실무자와의 인터뷰를 통하여 가스탐지기의 부품별 고장모드 및 영향을 결정하였다. 또한, IEC 61508에서 명시하고 있는 안전 및 위험고장의 판정기준에 따라 각 고장의 안전여부 및 탐지여부를 결정하였다. 단, 탐지가능 고장의 경우 반드시 탐지방법이 정의함으로써, 진단범위를 결정하였다.
따라서, 본 연구에서는 IEC 61508에 대한 일반적인 구성 및 내용과 안전수명주기, 그리고 SIL의 평가 기준에 대하여 소개하고 안전수명주기의 각 단계별 목적 및 요구사항을 살펴보고자 한다. 또한, 안전수명주기의 한 단계인 하드웨어 SIL 검증을 위하여 가스탐지기를 대상으로 사례연구를 실시하였다.
IEC 61508은 요구된 SIL에 대한 적합여부를 검증함에 있어 두가지 측도를 명시하고 있다. 먼저, 구조적 측도는 시스템의 결함허용 수준인 HFT(Hardware Fault Tolerance)와 진단비율인 SFF(Safe Failure Fraction)에 고려함으로써 시스템의 구조적 강건성을 평가하게 된다. 다른 하나의 측도로는 시스템의 고장확률 측면에서 평가가 이뤄진다.
IEC 61508에서는 안전기능의 수행이 요구되는 빈도가 연간 1회 이하일 경우나 보증시험 빈도보다 2배 이상 낮은 경우 저요구(Low Demand) 작동모드로 구분하고 만일 이보다 높을 경우에는 고/연속요구(High/Continuous demand) 작동모드로 구분되어 각각 PFD 및 PFH로 평가 측도를 산출하게 된다. 본 절에서는 IEC 61508에서 명시하는 확률적 측도 산출 수식 가운데 E/E/PE 시스템이 단일구조, 1oo1일 경우의 수식을 소개하며, 해당 수식은 식 (2), (3), (4)와 같다. 여기서, t_CE는 등가 평균 정지시간을 의미하며, T₁은 보증시험주기, MRT는 평균 수리 시간, MTTR은 평균 복원 시간을 의미한다.
하드웨어 SIL 평가는 안전제어시스템의 안전 요구사항에 대한 만족여부를 검증하는 단계로서, 본 연구에서는 FMEDA를 활용하여 검증을 실시하였다.

이론/모형

<표 4>는 부품별 고장률 보정 결과를 나타낸다. 또한, 각 고장모드에 대한 고장분포를 결정하기 위하여 FMD-97(1997)을 활용하였다.
하드웨어 SIL 평가는 안전제어시스템의 안전 요구사항에 대한 만족여부를 검증하는 단계로서, 본 연구에서는 FMEDA를 활용하여 검증을 실시하였다. 또한, 부품 고장률은 Telcordia SR-332(2011)을 활용하였으며, 작동환경을 고려한 고장률 보정을 위하여 Method I을 적용하였다.

성능/효과

또한, FMEDA를 적용하여 안전제어시스템인 가스탐지기의 하드웨어 SIL을 정량적으로 평가하는 사례연구를 실시하였다. 그 결과, 가스탐지기의 하드웨어 SIL은 확률적 측도에 따른 SIL은 SIL 3에 해당하였으나 구조적 측도에 따른 최대허용 SIL이 SIL 2로 결정되어 최종 SIL 2로 평가되었다.
00 × 10^-4으로 <표 3>에 따라 SIL 3에 만족하였으나, F2, F3, F5, F9 서브시스템의 최대허용가능 SIL이 SIL 2를 만족하므로 시스템의 최대허용가능 SIL도 마찬가지로 SIL 2로 결정되게 된다. 따라서, 본 사례연구 대상인 가스탐지기의 하드웨어 SIL은 SIL 2를 만족하다고 할 수 있다. <표 5>와 <표 6>은 가스탐지기와 각 서브시스템의 FMEDA 시트 및 FMEDA 결과를 나타내고 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	안전제어시스템에서 요구되는 것은?	이러한 사고를 방지하고자 산업현장에서는 안전제어시스템(Safety Instrumented System)을 설치하여 안전사고를 미연에 방지하는 기능을 수행하도록 하고 있다. 이러한 안전제어시스템은 만일 작동이 요구될 시 반드시 정상적인 기능을 수행해야 하므로 매우 높은 수준의 안전성과 신뢰도가 요구된다(Kim and Kim (2013)).
	IEC 61508이 요구된 SIL에 대한 적합여부를 검증하는 두가지 측도는 무엇인가?	IEC 61508은 요구된 SIL에 대한 적합여부를 검증함에 있어 두가지 측도를 명시하고 있다. 먼저, 구조적 측도는 시스템의 결함허용 수준인 HFT(Hardware Fault Tolerance)와 진단비율인 SFF(Safe Failure Fraction)에 고려함으로써 시스템의 구조적 강건성을 평가하게 된다. 다른 하나의 측도로는 시스템의 고장확률 측면에서 평가가 이뤄진다. 이 경우 시스템의 작동 요구 빈도에 따라 PFD(Probability of dangerous Failure on Demand)와 PFH(Frequency of dangerous Failures per Hour)로 구분되고 각각 다른 평가기준을 갖게 된다.
	IEC 61508이란?	이러한 요구에 따라, 2000년 국제기구인 IEC(International Electrotechnical Commission)는 IEC 61508을 제정하여 전기/전자/프로그램 가능한 전자 시스템에 대한 기능안전을 명시하였으며 지난 2010년 개정되었다. IEC 61508은 기능안전의 대표적인 표준으로서, 전자기기, 원자력, 의료기기, 프로세스 산업, 자동차 등으로 구분되는 다양한 기능안전 표준의 중추적인 역할을 수행하고 있다(<그림 1> 참조).

참고문헌 (17)

강신주, 이종우 (2013), IEC 61508에 의한 열차제어장치용 PES 구성에 관한 연구, 전기학회논문지, 62권, 8호, 1169-1176.
김기영 외 (2010), 플로우차트 기반 안전무결성수준 평가 절차, 신뢰성응용연구, 10권, 2호, 107-122.

원문보기 상세보기
김철, 김영진 (2012), FMEDA 기법을 적용한 SIL 등급 판정에 관한 사례연구, IE interface, 25권, 4호, 376-381.

원문보기 상세보기
김정환 외 (2011), SIL(Safety Integrity Level) 선택에 의한 리스크 감소에 관한 연구, 한국가스학회지, 15권, 5호, 57-62.

원문보기 상세보기
신덕호, 이재훈, 이기서 (2005), 자동열차방호장치와 건널목보안장치간의 인터페이스 안전요구사항에 관한 연구, 철도저널, 8권, 2호, 161-169.
신덕호 외 (2007), 철도신호 내장형제어기 안전성 향상을 위한 워치독타이머 설계 및 평가, 철도저널, 10권, 6호, 730-734.
이익성( 2010), 리스크분석에 의한 철도물류 운영기관의 안전경영시스템에 관한 연구, 신뢰성응용연구, 10권, 1호, 73-91.

원문보기 상세보기
진상화 외 (2002), 신뢰도 분석에 근거한 SIS 평가 방법론 개발, 한국가스학회지, 6권, 1호, 66-73.

원문보기 상세보기
Catelani, M., Ciani, L. and Luongo, V. (2010), The FMEDA approach to improve the safety assessment according to the IEC61508, Microelectronics Reliability 50, 1230-1235.

상세보기
FMD-97 (1997), Failure Mode/ Mechanism Distributions 1997.
Goble, W.M. and Brombacher, A.C. (1999), Using a failure modes, effects and diagnostic analysis (FMEDA) to measure diagnostic coverage in programmable electronic systems, Reliability Engineering & System Safety 66, 145-148.

상세보기
IEC 61508 (2010), Functional safety of electrical/electronic/programmable electronic safety-related systems.
Kim, S.K. and Kim, Y.S. (2013), An evaluation approach using a HARA and FMEDA for the hardware SIL, Journal of Loss Prevention in the Process Industries 26, 1212-1220.

상세보기
Labovsky, J., Svandova, Z., Markos, J., and Jelemensky, L. (2007), Model-based HAZOP study of a real MTBE plant. Journal of Loss Prevention in the Process Industries 20, 230-237.

상세보기
Lundteigen, M.A., Rausand, M. and Utne, I.B. (2009), Integrating RAMS engineering and management with the safety life cycle of IEC 61508. Reliability Engineering & System Safety 94, 1894-1903.

상세보기
Summers, A.E. (1998), Techniques for assigning a target safety integrity level, ISA Transactions 37, 95-104.

상세보기
Telcordia SR-332 (2011), Reliability Prediction Procedure for Electronic Equipment.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증