요약
안전 무결성 수준(safety integrity level, SIL) 3 솔루션을 필요로 하는 제조회사는 SIL 2 구성 요소를 사용할 경우 여러 가지 문제에 부딪히게 된다. 산업 기능 안전 표준 IEC 61508 개정 3이 윤곽을 드러냄에 따라 새로운 방법의 채택이 필수적으로 요구되고 있다. 이 글에서는 SIL 3을 성공적으로 구현하는데 따른 과제를 극복하고 제품 출시 기간을 단축할 수 있는 솔루션을 살펴본다.
머리말
지난 수년 동안 산업 기능 안전 시스템이 눈에 띄게 증가했는데, 그 배경에는 다음과 같은 요인이 있었다. 비용을 더욱 줄이기 위해 새로운 복합 기술을 사용하고자 하는 제조회사의 수요(예 : 2차 접촉기를 추가하는 대신 안전 토크 차단 사용), 많은 공장의 생산 현장에서 생산성을 향상하는 것으로 확인된 로봇(특히 협동 로봇의 사용), 안전 인증 장비의 사용이 전반적인 신뢰성을 향상시켜준다는 인식, 진단 기능을 사용하는 것이 많은 공장과 플랜트에서 처리량을 향상시켜준다는 인식, 새로운 안전 요구사항의 도입이 그것이다.
그 밖의 동인으로는 규제 의무와 더불어 에너지, 석유 및 가스 부문에 대한 엄격한 요구사항의 도입을 들 수 있다. 본론으로 들어가기 전에 이 글의 이해를 돕기 위해 몇 가지 기본적인 정의를 살펴보기로 한다.
안전이란?
안전이란 허용할 수 없는 위험으로부터 벗어난 상태를 말한다. 예를 들어 공장의 생산 현장에서 보호 장치가 없는 회전 기계는 안전하지 않은 것으로 간주된다.
안전 기능이란?
안전 기능이란 안전을 달성하거나 유지하기 위해 수행해야 하는 작업을 뜻한다. 안전 기능의 목적은 시스템에서 위험을 줄이는 데 있다. 예를 들어 앞서의 동일한 회전 기계 앞에 광 커튼이 설치돼 있다면, 안전 기능은 작업자의 손이 광 커튼을 지나갈 경우 광선이 끊어진 것을 감지하여 기계에 손이 닿기 전에 회전 기계를 정지시킨다. 일반적으로 안전 기능에는 다음 세 가지 하위 시스템이 있다. 그림 1은 유해 용액의 준위를 감지해 용액이 가득차면 흐름을 차단하는 데 사용되는 안전 시스템을 보여준다.
∙ 상태가 위험한지 여부를 판단하는 로직 하위 시스템(PLC)
∙ 값이나 상태를 감지하는 데 사용되는 입력 하위 시스템(레벨 센서 등의 센서)
∙ 안전을 유지하기 위해 조치를 취할 수 있는 출력 하위 시스템(액추에이터)
기능 안전이란?
기능 안전은 필요 시 시스템이 의도된 안전 기능을 수행할 것이라는 확신을 다룬다. 기능 안전은 가령 광선이 끊어졌을 때 광 커튼과 모터의 정지 안전 기능이 제대로 작동하는 것을 기능 안전 엔지니어가 얼마나 확신하는지를 나타내는 효과적인 척도다. 하드웨어 메트릭(무작위 오류), 시스템적 능력(SC), 공통 원인 고장(CCF)이 안전 시스템의 오작동, 인적 부상 또는 사망, 환경 훼손 또는 생산 손실로 이어지지 않는 경우, 이 시스템은 기능적으로 안전하다고 간주된다.
이제 지금까지 살펴본 기본적인 안전 정의에 이어, 기능 안전 시스템을 설계할 때 준수해야 하는 일부 기능 안전 표준과 이를 통해 얻을 수 있는 이점에 대해 알아보기로 한다. 예를 들어 IEC 61508 또는 ISO 26262와 같은 기능 안전 개발 절차를 따를 경우 제조회사는 다음과 같은 많은 이점을 얻을 수 있다.
향상된 요구사항 명확성, 테스트 중 버그 감소, 작성된 소프트웨어 내 일관성 향상, 통합 중 발견되는 결함 감소, 철저한 테스트, 현장 결함 감소, 경쟁사 대비 차별화 향상이 그것이다. 현재 많은 안전 표준 규격이 제정돼 있으며(그림 2), 대부분은 산업용 IEC 61508 표준에서 파생됐다. IEC 61508 요구사항의 90~95%는 모든 표준에서 유사하다는 점에 유의한다.
이 글에서는 산업용 애플리케이션을 위한 IEC 61508을 중심으로, 특히 동일한 이중화를 사용하여 SIL 2 구성 요소로 SIL 3 솔루션을 설계하는 방법에 대해 설명한다.
이중화, 고가용성 및 하드웨어 내결함성
아무리 신뢰할 수 있는 시스템이라도 결국에는 장애가 발생한다. 두 가지 일반적인 고장 유형은 시스템적 고장과 무작위 고장이다(그림 3).
이중화란 안전 시스템 내에서 오류가 발생할 경우, 의도된 안전 기능을 수행할 수 있는 예비 또는 중복 경로를 효과적으로 갖추는 것을 말한다. 시스템이 이중화 수준을 갖췄다고 해서 고가용성이 자동으로 보장되는 것은 아니다. 중복 경로가 자동으로 켜지거나 작동되는 경우에만 고가용성을 갖는다고 할 수 있다. IEC 61508에서 일반적으로 사용되는 또 다른 용어는 하드웨어 내결함성(HFT)이다.
N의 HFT는 N + 1이 안전 기능의 손실을 초래할 수 있는 최소 결함 수라는 의미다. 이때, 진단 기능과 같이 결함의 영향을 제어하는 다른 조치는 고려되지 않는다는 점을 유의해야 한다. HFT는 하드웨어가 고장에 대해 견고성을 보장하는 효과적인 수단이며, HFT와 안전 고장 비율(SFF)의 균형을 맞출 수 있게 한다(표 1).
안전 무결성 수준
SIL은 안전 기능의 무결성 및 제공되는 위험 감소의 상대적 수준을 설명한다. IEC 61508은 가장 낮은 안전 무결성 수준인 SIL 1에서부터 가장 높은 안전 무결성 수준인 SIL 4까지 네 단계로 SIL을 지정하고 있다. 표 2는 산업용 IEC 61508 안전 등급(SIL)을 차량용(ISO 26262) 안전 등급(ASIL) 및 항공 전자기기 안전 등급과 비교한 것이다. 이는 대략적인 비교일 뿐이다.
SIL 등급은 숫자가 커질수록(SIL 1에서 SIL 4까지) 허용되는 FIT(failures in time)가 감소한다. 1 FIT는 10억(1e9) 시간 작동할 때 고장이 한 번 발생하는 것을 의미한다. 10억 시간~10만 년 동안의 기간을 고려할 때 10억 시간 동안 작동을 지속하는 장치는 없지만, 1년 동안 10만 개의 장치를 가동한다면 그 기간 동안 한 번의 무작위 하드웨어 고장이 일어날 수 있다는 것을 예상할 수 있다. 안전 고장 비율(SFF)은 안전 기능에서 총 고장에 대한 모든 안전 고장과 감지된 위험한 고장의 합의 비를 계산한 것이다.
표 3은 하드웨어 내결함성이 0인 경우(HFT=0)의 안전 고장 비율(SFF)과 SIL 간의 연관성을 보여준다.
문제점과 기존의 해결 방법
기능 안전을 사용하는 많은 설계자, 특히 IC를 이용하는 설계자가 겪는 문제는 규정을 준수하지 않을 경우 실제적인 위험이 발생할 수 있을 뿐 아니라 인증을 획득하기가 어렵고 비용도 많이 들 수 있다는 점이다. 시스템 수준의 고장모드 영향 및 진단 분석(FMEDA)를 생성해야 하며, 트랜지스터 수, 내부 고장 메커니즘, 레이아웃 블록 크기, IC의 신뢰성에 대한 사항을 모르는 상황에서 ASIC을 블랙박스처럼 취급해야 한다.
그 결과, 설계자는 전체 SIL 목표를 달성하기 위해 FIT 계산에서 지나칠 정도로 보수적이 돼야 하고, 안전 시스템의 다른 부분에서도 과도할 정도로 안전을 염두에 둬야 한다. 이는 일반적으로 외부 ADC와 같은 외부 진단 기능을 사용하는 것을 의미한다. 이와 관련된 문제는 비용(BOM) 상승, 풋프린트 증가, 복잡성 증가, 시스템 소프트웨어에 추가되는 오버헤드, 길어지는 개발 시간 등이 있다. IEC 61508 표준의 새로운 버전(개정 3)이 발표될 예정이어서 이러한 문제는 복잡해질 수 있다.
IEC 61508 개정 3
현재 IEC 61508 개정 3에서 예정된 변경 사항에는 IC가 IEC 61508을 준수하여 개발되지 않은 경우 동일한 칩의 고장을 감지하기 위해 온칩 진단 기능을 사용하는 것에 대한 명시적 경고가 포함된다. 또한 차량용 ISO 26262 잠재적 결함 지표와 유사한 요구사항도 포함될 계획이다. 진단 기능에 대한 일종의 SFF 외에도 진단 회로에는 SC 요구사항도 포함될 예정이다.
ADFS5758 : 세계 최초로 인증된 데이터 컨버터
ADFS5758은 동적 전력 제어(DPC)가 집적된 단일 채널, 16비트 전류 출력 DAC이며, 다양한 온칩 진단 기능과 함께 내부 레퍼런스를 포함한다. 그림 4는 블록 다이어그램을 보여준다.
ADFS5758의 진단 기능/안전 조치
∙ 주요 온칩 진단 기능은 ADC가 제공한다. 앞서 소개했듯이 IEC 61508 개정 3에서는 IC가 IEC 61508을 준수해 개발되지 않았을 경우 온칩 고장을 감지하기 위해 온칩 진단 기능을 사용하는 것을 일반적으로 허용하지 않을 것임을 명시할 계획이다.
∙ 유효한 읽기/쓰기 주소에 대한 검사
∙ ECC 수정
∙ 워치독 타이머
∙ 설정 레지스터 잠금 기능
∙ 내부 바이어스 전압 모니터
∙ 온도 모니터
또한, 다음의 요구사항을 만족하도록 설계한다.
∙ 산업 공장 자동화
∙ 공정 제어 애플리케이션
∙ 고밀도 소형 폼팩터 PLC 아날로그 I/O 카드
안전 기능
디지털 입력 코드를 사용해 ±2.5% 풀스케일 범위(FSR) 이내로 출력 전류를 생성한다.
IEC 61508에 따른 개발
∙ 하드웨어 메트릭 측면에서 SIL 2
∙ 시스템적 요구사항 측면에서 SIL 3
그림 5는 ADFS5758에 대한 TÜV 라인란트(TUV Rheinland)의 기능 안전 인증서 사본이다.
그림 6은 일반적인 안전 애플리케이션에 사용되는 ADFS5758을 보여준다.
시스템이 SIL 요구사항을 만족하려면 하드웨어 메트릭(아키텍처 제약사항이라고도 함)과 SC가 모두 SIL 목표를 충족해야 한다.
아키텍처 제약사항
2개의 SIL 2 구성 요소(동일하거나 다양한)를 병렬로 배치하면 사용자는 하드웨어 메트릭 측면에서 더 높은 SIL 3 수준을 달성할 수 있다(그림 7).
시스템적 능력
이중화는 다양한 구성 요소 또는 동일한 구성 요소를 사용하여 달성할 수 있다.
동일한 구성 요소
동일한 SC를 갖는 동일한 구성 요소를 사용하면 전체 SC가 향상되지 않는다. 둘 다 동일한 CCF 같은 온도 스파이크나 전압 강하가 발생하기 쉽고, 동일한 결함으로 인해 두 구성 요소가 모두 멈출 수 있기 때문이다(그림 8).
다양한 구성 요소
중복 구성에 다양한 구성 요소를 사용하면 전체 시스템적 능력이 향상된다(그림 9).
그 이유는 두 구성 요소가 다양하거나 다르기 때문에 동일한 결함으로 인해 두 구성 요소가 동시에 멈출 가능성이 낮기 때문이다. 이 방법의 문제점은 안전 시스템에 다양한 구성 요소를 사용하면 설계와 테스트의 작업 부하가 크게 증가하므로 비용이 많이 든다는 것이다. 이상적인 방법은 동일한 구성 요소를 2개 사용하여 기능 안전 요구사항에 대한 SC와 무작위 또는 하드웨어 메트릭을 모두 충족하는 것이다.
SIL보다 한 단계 높은 SC 개발의 중요성 : 동일한 이중화
구성 요소를 해당 요소의 SIL보다 한 단계 높은 시스템적 능력으로 개발된 시스템에 사용할 수 있다면, 안전 시스템에 2개의 동일한 구성 요소를 사용하여 전체 시스템적 능력을 향상시키면서 이중화를 제공할 수 있다(그림 10).
ADFS5758은 하드웨어 메트릭보다 한 단계 높은 SC로 개발됐기에 하드웨어 메트릭 또는 무작위 고장에 대한 SIL 2 인증을 받았지만 SIL3 아날로그 출력 모듈을 설계하는 데 사용할 수 있다.
결론
안전 시스템에 인증 받은 ADFS5758을 사용하면 위험 감소 : TÜV 인증, 온칩 진단 기능 사용 가능, 주어진 공간에서 더 작은 솔루션 크기/더 많은 채널(집적 ADC 사용) 구현 가능, 외부 부품 수 최소화, 표적 진단, 시스템 레벨 엔지니어를 위해 사용 가능한 주요 숫자, 시스템 소프트웨어에 오버헤드 감소, 가정된 환경에 대한 신뢰성 분석 가능, 고객을 위한 개발 시간 단축, 관련 문서 제공, IEC 61508 개정 3 준수에 대한 미래 경쟁력과 같은 다양한 이점을 누릴 수 있다. 이외에도 ADFS5758은 SIL 2 구성 요소로 동일한 이중화를 사용하는 SIL 3 솔루션을 설계할 수 있다.
헬로티 서재창 기자 |