프로세스 설계의 패러다임 변화 (안전표준의 대변혁; ’80~’00까지 IEC 안전표준등의 변화) Presented by: Heinz Gall TÜV-Rheinland 자동화, 소프트웨어 & 정보기술(Automation, Software and Information Technology)분야 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
Overview 표준화, 그 전망과 변화 응용분야에 끼치는 영향 IEC 61508의 내용 위험 감소 시스템 / 구성요소에서의 주요 주제 안전 보전 레벨 다른 분야 시스템과의 비교 기능 안전에 있어서 TÜV-Rheinland 파트 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
Evolution of Machinery Safety Standards 국가적 / 지역적 세계화 ISO TR1200-1 기계류의 안전 IEC 61508 시스탬의 기능안전 IEC 62061 기능안전 - 기계류 IEC 61511 기능적 안전 - 프로세스 IEC 61131 - PLC IEC 60947 –배전반과 제어반 IEC 61800 드라이브류 ISO 13849-1 제어 시스템의 안전관련 부품 국지화 EN954-1 – 제어시스템의 안전관련제품 유 럽 EN292-1 기 계류의 안전 시스템 미국 / 캐나다 EN1050 - 위험평가요소 DIN 19250- 시스템의 안전 독점규제와 집행기구가 계속 존재 ANSI B11 - 기계안전 ISA S84 - 프로세스안전시스템 섹터 일 본 NEMA 제품 고유 규정 EN 제품 표준 ROW 제품 1980’s 1990s 2000’s The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
표준화의 대 변혁 프로세스 산업: IEC 61511: 프로세스 산업에 있어서 기능적 안전 시스템 표준 있어서 동일한 원칙을 따른다. IEC 61508 장비 제조자와 관련된 것임 IEC 61511 시스템 통합자와 사용자에 관련된 IEC 61508에 따른 장비를 요구 함 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
표준화의 대 변혁 기계 산업: EN 60204/IEC 60204: 기계류의 안전 – 기계의 전기 장비 이 표준은 프로그래머블 기술의 실현을 위하여 STOP- Categories를 정의 한다 이 표준은 IEC 61508에 적용 된다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
표준화의 대 변혁 기계 산업: EN 954/ISO 13849: 기계류의 안전 – 컨트롤 시스템의 안전관련 부품 이 표준은 제어 시스템 항목을 정의하고 있다. (안전 항목) 프로그래머블 기술의 구현을 위해 IEC 61508이 표준에서 언급되고 있다. 새로운 버전에서는 안전 보전과 실행 기준을 언급할 것으로 예상한다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
표준화의 대 변혁 기계 산업: NFPA 79, Draft 2002: 산업 기계에 있어서의 전기 표준 Note in chapter A.9.3.4: IEC 61508은 발전과 관련된 기능을 수행하기 위하여 컨트롤러에 기반을 둔 소프트웨어 및 펌 웨어의 사용을 통합하는 컨트롤 시스템의 디자인에 있어서의 요구사항을 제공한다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
응용분야에 끼치는 영향 산업 현황: 공장(제품)과 플랜트(프로세스)의 자동화가 가면 갈 수록 더욱 더 복잡 해지고 있다. 제어시스템과- 안전 관련 시스템은 보다 더 유연해 져야 한다. (e.g. 생산 라인) 안전 기능은 프로그래머블 장비 내에서 구축 되어질 것이며, 하드와이어드 루프는 아니다. 컨트롤과 안전 기능은 동일한 시스템 내에서 구축되어 질 것이다. 위의 요구사항 (유연한 구성, 배선 감소)을 실현시키기 위해서, 안전 네트워킹은 기능 안전에 있어서 매우 중요하다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
IEC 61508의 명칭 전기/전자/프로그래머블한 전자기기 안전 관련 시스템의 기능안전 이 국제 표준은 전기/전자/ 프로그래머블 전자 시스템 (E/E/PESs)의 안전 기능을 수행하기 위해 사용될 때 고려되어야 할 사항. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
IEC 61508의 내용 표준은 E/E/PESs 가 안전 기능을 수행하기 위하여 사용될 때 다음과 같은 E/E/PES 및 소프트웨어 안전 라이프사이클 현상 등의 모든 관련된 문제를 검토하고 있다. concept(개념) design(설계) implementation(실행) operation and maintenance(운영과 유지) The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
Contents of IEC 61508 표준은 아래의 7 개 분야로 출판 되었다. 1 일반적 요구사항 1 일반적 요구사항 2 E/E/PES의 요구사항 3 소프트웨어 요구사항 4 정의 5 SIL 의 결정을 위한 방법의 예 6 파트 2 와 3의 응용 지침서 7 기술, 대책과 그 전망 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
주요 원칙 리스크의 발생 안전 보전 레벨에 의한 리스크 감소 일반 표준, 어플리케이션 독립 기술 의존 라이프-사이클 중심 어플리케이션-의존, 또는 섹터-고유 요구 사항이 추가로 고려 되어야 함. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
위험(리스크)의 감소 잔존하는 리스크 수용가능 한 리스크 EUC 위험 리스크 증가 리스크 감소 필요 리스크 증가 실제 리스크 감소 기타 안전 관련 시스템기술에 의해 커버 되는 부분적인 리스크 확인 E/E/PE 안전 관련 시스템에 의해 커버 되는 부분적인 리스크 외부 리스크 감소 장치에 의해 커버 되는 부분적인 리스크 모든 안전 관련 시스템과 외부 리스크 감소 장치에 의해 얻어지는 리스크 감소 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
(일반화된 배열) 실제 실행에 있어서는 배열이 리스크 그래프에 의해 커버 되는 어플리케이 션에 한정 된다. a b 1 2 3 4 C = 결과 리스크 파라메터 F = 빈도와 노출시간 파라메터 P =위험 리스크 파라메터를 피하지 못할 가능성 W = 원치않은 리스크 생의 확률 --- = 안전 요구사항이 없다 =특별 안전 요구사항이 없다 =하나의 E/E/PES는 부족하다 , =안전 무결의 레벨 A B D X 6 5 리스크 감소 평가를 위한 출발점 (일반화된 배열) 실제 실행에 있어서는 배열이 리스크 그래프에 의해 커버 되는 어플리케이 션에 한정 된다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
시스템을 위한 주요 사항 라이프 사이클 동안 (e.g 설계와 개발)적용되는 폴트(결점)를 제어하고 회피하기 위한 대책과 기술의 범위 시스템 이나 서브시스템(구조)의 하드웨어 결점을 허용한다. -안전 결점 율 (SFF)과 진단적용 범위와의 결합 시스템이나 서브시스템의 위험에 있어서의 고장 확률 -신뢰성 있는 모델링 기술 응용 소프트웨어의 설계 및 개발 동안의 고장의 회피와 제어를 위한 대책과 기술 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
대책에 대한 실례 Part 3 Table B.8 - 정적 분석 기법/대책 SIL1 SIL2 SIL3 SIL4 1 경계치 분석 HR 2 체크리스트 3 제어흐름분석 4 데이터 흐름 분석 5 에러추정 6 Fagan검사 --- 7 내부감시회로 분석 8 부호화 실행 9 모의실험 /설계리뷰 R = Recommended HR = Highly Recommended 적정 기술/측정은 안전 보전 레벨에 따라 선정 되어야 한다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
구축상의 제약 하드웨어 고장 허용범위 SIL 4 SIL 3 99 % SIL 2 90 % - 99 % SIL 1 60 % - 90 % 허용되지 않음 < 60 % 2 1 안전한 고장률 [IEC 61508-2, Table 3, “하드웨어 안전 보전: architectural constraints on type B safety-related subsystems The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
(SlS + SlDD) / (SlS + SlD) 안전 고장 율 서브 시스템의 안전한 고장율 부분은 아래와 같이 정의 된다. (SlS + SlDD) / (SlS + SlD) lS : 안전한 고장 lD : 위험한 고장 lDD : 내부 진단에 의해 검출된 위험한 고장 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
안전 보전 레벨 SIL: 안전 기능에 있어서의 목표 고장 수치 1) 저 수요 모드에서의 E/E/PE 안전 관련 시스템 운영 Safety integrity level (SIL) Low demand 동작모드 필요한 설계기능을 수행하는 것이 실패할 평균 확률 4 ? 10 - 5 to < 3 2 1 고 수요 또는 연속 모드에서의 E/E/PE 안전 관련 시스템 운영 Safety integrity level (SIL) High demand 연속 동작 모드 (시간당 dangerous failure 확률) 4 ? 10 -9 to < -8 3 -7 2 -6 1 -5 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
*EN 954-1 Category B 는 DIN V 19250 RC1와 동일하다. 안전 기술에 있어서의 등급 시스템 1 DIN V 19250 요구등급 2 5 7 4 6 8 3 - IEC 61508 안전보전레벨 EN 954-1 제어범위 B* NE 31 리스크 등급 I II 화살표의 방향을 잘 보아야 한다. *EN 954-1 Category B 는 DIN V 19250 RC1와 동일하다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
e.g. 네트워크 내 에서의 모든 노드의 통신 네트웍 고장 률 <통신 파트에 관련 SIL-level의 1%> 일반적인 고장 율의 공유 Sensor E / E / PES Actuator 35% 15% 50% e.g. 네트워크 내 에서의 모든 노드의 통신 네트웍 고장 률 <통신 파트에 관련 SIL-level의 1%> The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
통신 네트웍 Node 1 Node 2 Node x 현장 또는 응용부분 통신 부분 e.g. 입력 또는 출력 또는 로직 e.g. 센서 또는 작동기 안전 루프의 고장 율 e.g. 고장 율 (센서 + 통신 + 로직 + 통신 + 구동기) 만일의 네트웍 고장 율 < 1% 통신 파트는 각각의 개별 루프 계산식으로 고려 되어서는 안 됨> The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
SR 또는 Non-SR을 위한 서로 다른 데이터 결합 확인 시스템 통신 에러와 감소 표 Error Measures per message 동작 번호 3.1 시간 소인 3.2 시간 예측 3.3 수신 인지 3.4 송신과 수신의 구별3.5 데이터 결합 확인3.6 크로스 체킹이 있는 리던던시 3.7 SR 또는 Non-SR을 위한 서로 다른 데이터 결합 확인 시스템 3.8 반복 x 상실 삽입 x 1) x 2) 부정확한 시퀀스 메시지 파괴 Only for serial bus 4) 지연 xx 3) SR과 non-SR 정보의 결합 1) 애플리케이션에 의존 2) 송신 ID에만, 무효한 소스의 삽입만을 검출 3) 모든 경우에 다 필수 4) This measure is only comparable with a high quality data assurance mechanism if a calculation can show that the residual error rate reaches the values required in chapter 3.8 when two messages are sent through independent transceivers. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
Summary 프로그래머블 시스템은 기능과 관련된 안전에 있어서 많은 다양한 응용 분야에 사용될 수 있을 것이다. 관련 응용 표준은 IEC 61508에서 언급될 것이다. IEC 61508은 이러한 시스템에서의 요구사항을 제공하며 응용 독립 표준 위원회에서 기본 표준이 된다. IEC 61508은 안전 네트워킹을 구현 하는데 있어서의 고찰 및 측정에 관한 결점의 모델을 자세히 설명하고 있다. The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
Part of TÜV Rheinland in Functional Safety 표준 위원회 참여(내/외국) 표준(e.g. IEC 61508)사용과 관련한 컨설팅 및 트레이닝 과 요구사항 평가 제품 및 안전 관리 시스템과 관련된 인증 및 형태 승인 The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.
Thank You for Your Attention The Embassy Suites – Deerfield Beach, Florida © 2002 Open DeviceNet Vendor Association, Inc.