방송통신기술이슈 & 전망 2013 년제 19 호 개요 최근첨단전자산업의발전과함께 IT와제조업간의융합이가속화되면서하드웨어에소프트웨어가결합된안전시스템의사용이증가하고있다. 기존하드웨어안전위주의설계및검증기술을확대하여소프트웨어까지포함한임베디드시스템혹은 IT융합시스템의안전설계및검

Similar documents
제 KI011호사업장 : 서울특별시구로구디지털로26길 87 ( 구로동 ) 02. 공산품및소비제품 생활용품검사검사종류검사품목검사방법 안전확인대상생활용품 생활 휴대용레이저용품 안전확인대상생활용품의안전기준부속서 46 ( 국가기술표준원고시제 호 (

Microsoft Word - KSR2014A273

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Microsoft Word - KSR2015A100

Microsoft Word - KSR2016S102

諛⑺넻?꾩뿰媛?遺€1?μ옱?몄쭛

기능안전, 안전분석및신뢰성교육과정 VCA Korea


신성장동력업종및품목분류 ( 안 )

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

Bluetooth

Á¦3ºÎ-6Àå

PROCES-WP012A-KO-P, 현재의 안전 계측 시스템(SIS)이 최신 표준을 준수하고 있습니까?


Microsoft Word - ISO vs ISO 대비표[1].doc

SW¹é¼Ł-³¯°³Æ÷ÇÔÇ¥Áö2013

2

Microsoft PowerPoint - chap01-C언어개요.pptx

<C0CCBCF8BFE42DB1B3C1A4BFCFB7E12DB1E8B9CCBCB12DC0DBBCBAC0DAB0CBC1F5BFCFB7E12DB8D3B8AEB8BBB3BBBACEC0DAB0CBC1F52E687770>

성능 감성 감성요구곡선 평균사용자가만족하는수준 성능요구곡선 성능보다감성가치에대한니즈가증대 시간 - 1 -

제 2 차 (2013~2015) 어린이식생활안전관리종합계획

해외과학기술동향

ISO17025.PDF

신영_플랜업0904내지_출력

<322E20BCD2C7C1C6AEBFFEBEEE20B0B3B9DF20C7C1B7CEBCBCBDBABFA1BCADC0C720BEC8C0FCBCBA20BAD0BCAE20B9D720B0FCB8AEC8B0B5BFC0C720C0FBBFEBB9E6BEC82E687770>

연구실안전사례집-내지

<4D F736F F F696E74202D EB9CC20B1B9B9E6BCBA20BDC3BDBAC5DB20BEC8C0FC20C7C1B7CEB1D7B7A52E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D EB9CC20B1B9B9E6BCBA20BDC3BDBAC5DB20BEC8C0FC20C7C1B7CEB1D7B7A52E BC8A3C8AF20B8F0B5E55D>

PowerPoint 프레젠테이션

IBM blue-and-white template

2012 kicte??????????1223

Adobe Photoshop PDF


2차 수사분석사례집_최종.hwp

untitled


諛⑺넻?꾩뿰媛?遺€1?μ옱?몄쭛

슬라이드 1

-

소프트웨어개발방법론

장애인건강관리사업

PowerPoint Template


1 인증의정의및종류 2

SW

1 SW

<3130B1C7C7F5B8E92E687770>

- 2 -

1.장인석-ITIL 소개.ppt

Microsoft PowerPoint - 품질검증(CGID)소개e2.pptx

IATF 국제자동차산업전담팀 IATF 16949:2016 공인해석 IATF 판은 2016 년 10 월에출판되었으며 2017 년 1 월 1 일부터발효되었다. 다음과같은공인해석이 IATF 에의해결정되고승인되었다. 달리명시되지않는한, 공인해석은출판시적용된다.

KMC.xlsm

의료기기의전기 기계적안전에관한 공통기준규격실무안내서 - 사용적합성 -

박선영무선충전-내지

Microsoft Word - 김정훈

2 Journal of Disaster Prevention

개인용전기자극기의 안전성및성능평가가이드라인

<B3EDB9AEC0DBBCBAB9FD2E687770>

Marine Equipment Directive Certification Service based on Council Directive 96/98/EC of 20 December 1996 on marine equipment


#편집인협회보381호_0422

PART

Part Part

½ºÅ丮ÅÚ¸µ3_³»Áö

272*406OSAKAÃÖÁ¾-¼öÁ¤b64ٽÚ

£01¦4Àå-2

<4D F736F F F696E74202D20BCD2C7C1C6AEBFFEBEEE28B9E8B5CEC8AF204B >

**09콘텐츠산업백서_1 2


EMCA-EC_STO_BES_E_ a_ k1

ADP-2480

산업별인적자원개발위원회역할및기능강화를위한중장기발전방안연구 한국직업자격학회

목 차 1. LED/ 광 1 2. 자동차 의료기기 정보가전 플랜트엔지니어링 생산시스템 조선 로봇 화학공정 세라믹 디스플레이 이차전지

5-03-Â÷¼¼´ëÀ¥Iš

No Title

105È£4fš

KEIT PD(15-11)-수정1차.indd

ICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9


7월호_내지

1단원

202

190

20 여상수(763~772).hwp

#유한표지F

example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for

<30312E2028C3D6C1BEBAB8B0EDBCAD29BDB4C6DBBCB6C0AF5F E786C7378>

종합물가정보 2016년 4월호

005- 4¿ùc03ÖÁ¾š

2009 April

204

센터표지_ 수정

첨부 #1 교육프로그램및강사소개 1. Functional Safety Certification Program (FSCP) Level 2 소개 (1) 교육추천대상자 - 회사의프로세스개선, 기능안전도입및추진담당자또는관리자 Airbag, BMS, ACC, TPMS, EPS,

산업원천기술개발사업 착수회의 20ft~40ft급 세일요트 엔지니어링 통합관리 및 핵심부품 생산기술 개발

<C3D6C1BE5F2D FBCF6C1A42E687770>

텀블러514

Microsoft PowerPoint - 발표자료.pptx

consulting

<4D F736F F D20C0CCBEBEC1A6BEEE5FC3A5BCD2B0B35F >

Transcription:

방송통신기술이슈 & 전망 2013 년제 19 호 IT 융합산업의 H/W 및 S/W 의안전표준화기술동향 Korea Communications Agency 2013.12.17

방송통신기술이슈 & 전망 2013 년제 19 호 개요 최근첨단전자산업의발전과함께 IT와제조업간의융합이가속화되면서하드웨어에소프트웨어가결합된안전시스템의사용이증가하고있다. 기존하드웨어안전위주의설계및검증기술을확대하여소프트웨어까지포함한임베디드시스템혹은 IT융합시스템의안전설계및검증에대한요구는모든산업분야에서증가하고있다. 안전과관련된시스템 / 제품의경우소비자의안전을보호하고시스템의고장으로부터야기될수있는모든위험을최소화하기위하여신뢰성및안전성에대한정량적인목표의수립, 이에따른개발, 그리고평가가필수적이다. 안전시스템의국제표준인 IEC61508 에서는시스템의고장모드및결함회피설계를위한제품수명주기접근방법을통해안전관련시스템의신뢰성을보증하고자하는지침을제공하고있다. 본고에서는안전과관련한여러산업분야에서적용요구가증가하게될 IEC61508의요구사항을분석하고, 적용방법및평가 인증에대해살펴본다. 1. IT 융합시대의명과암 정보통신분야의비약적인발전은업무효율의향상등사회전반에걸쳐삶의질 을향상시키고있을뿐아니라인간사회의변화를일으키는체계로서광범위하게 2

IT 융합산업의 H/W 및 S/W 안전표준동향 인간의생활에영향을미치고있다. 이러한급격한정보통신변화의분위기속에최근기술및산업간의디지털컨버전스 (convergence) 가화두가되어고부가가치의다양한신산업이등장하면서 융합 은새로운산업발전의패러다임으로부각되고있으며, IT를중심으로한타산업과의융합은산업간시너지를창출할뿐만아니라생산성및효율성향상등국가경쟁력강화에크게기여할수있다. 이러한융합은유선과무선, 음성과데이터, 방송과통신의비슷한업종의융합뿐아니라최근에는 IT와자동차, 조선, 의료, 국방, 건설등여러이종산업간융합으로확산되고있다. 또한 IT기술이 BT NT ET 등과결합하여각기술영역간의경계를넘는기술혁신이가속화되고혁신적인서비스가출현할것으로예상된다. 이러한융합의결과로대부분의산업이고도의정밀도를요구하는첨단산업으로변화함으로서관련된 S/W의기술적성능에직접적인영향을받고있으며, H/W와융합되는 S/W는최종제품의고부가가치실현을위한중간재성격의원천기술로기능의핵심을담당하고있다. 따라서전세계적으로 IT 융합에대한연구개발이거대한투자와역량을기반으로집중되고있으며, 우리정부에서도주력업종의 S/W 융합을확산하고유망중소기업제품의첨단기능용 S/W 개발을지원하는등 IT융합상용화기술개발사업을추진하고있다. 그러나한편으로는자동차, 항공기, 의료장비등다양한산업제품에복잡한 SW활용이늘어나면서 SW결함이발생할확률도증가하고심지어는사람의생명과직결될수도있어 SW융합제품의신뢰와안전에대한중요성은갈수록커지고있으며이에따라기업들은보다안전하고정밀한 SW를개발하는데비용을투자하고있다. 예를들어일본전자업체파나소닉은 TV에들어가는 SW의원가비중이 15년전에는 3% 에불과했지만현재는제조원가의절반을 SW원가로투입하고있다. 기계산업의대표격인자동차도이와비슷한데일본도요타자동차의하이브리드카 ( 가솔린과전기를동력원으로함께쓰는차 ) ' 프리우스 ' 는제조원가의 47% 를전자기기및 SW 에투입해만들어진자동차이다. 미국 IT시장조사기관인 VDC에의하면휴대전화, 자동차, 전투기등의개발비중 SW 관련비용이차지하는비중이이미 2006년에절반을넘어섰다. 이처럼 SW의경쟁력이곧제조업경쟁력으로이어지는시대가된것이다 [8]. 이처럼기존하드웨어와 IT 및소프트웨어의융합인프라가제조업제품생산의기반이됨으로서, 정밀하고안전한 IT 기술및소프트웨어는제조업경쟁력의핵심이되고있다. 이에동반하여, 하드웨어와소프트웨어의융합기반으로만들어진제품의질과안 - 3-3

방송통신기술이슈 & 전망 2013 년제 19 호 전을보장하는안전관리시스템의도입이필수적인데유럽과미국을중심으로한해외선진국에서는 2000년초반부터주로안전필수시스템 (safety-critical system) 이필수적인원전, 항공, 의료, 철도, 장치산업등에서활용되는컴퓨팅자동제어시스템에대한검증을 IEC61508 등국제표준을근간으로하여기능안전 (Functional Safety), 신뢰성, 품질및성능등에대한검증을요구하고있으며, 점차모든 S/W융합분야에확산되어가는추세이다. 해외주요국가에서는이미기존의하드웨어신뢰성및안전검증기술과소프트웨어의개발라이프싸이클에따른안전검증기술을통합하여기능안전성에대한검증방법을 SIL(System Integrity Level) 로단일화하는작업을하였고, 이를통해사용자는시스템공급자에게 SIL 검증및인증을요구하여, 안전을확보하기위한노력을하고있다. [ 그림 1] 자동차의 SW 융합및안전관련문제 출처 : KTL 내부작성자료 4-4 -

IT 융합산업의 H/W 및 S/W 안전표준동향 한편, 국내의경우전통적인제조업에서 H/W 관련제품은설계과정에서부터생산및완제품출하까지의전공정에걸쳐품질및안전과관련한기술이확립되어있어효율적으로관리가이루어지고있지만, S/W 제품과 S/W가융합된제품분야의경우개발공정은물론완제품의경우에도품질및안전관리를위한표준화된평가절차가정립되어있지않고개발자의지식과경험에의존하고있는실정이다. 이로인해안전과관련한공공시설물등에사용되는 IT융합제품의결함은사회적으로심각한상황을초래할수있으며, 기업에큰경제적손실을초래할수있다. 더나아가융합제품의검증에대한요구는기존의원전, 석유화학플랜트의산업재에서의료기기, 자동차등의소비재분야로확산되고있으며, 국내의기업간거래시에도안전등과관련한제품의기능안전에대한검증자료를제품과함께제출하기를요청하고있지만아직까지국내기능안전평가및검증에대한표준의인식이미흡할뿐만아니라관련평가기관의체계미비로인해국내관련산업의보호와글로벌제품의경쟁력강화를위한대책마련이필요한실정이다. 2. HW 및 SW 의안전표준, IEC61508 안전이란위험이생기거나사고가날염려로부터의자유를말한다. 이정의에따라시스템에서는안전에대한개념을 Storey(1996 년 ) 는 1차적안전 (Primary safety), 기능안전 (Functional safety), 간접안전 (Indirect safety) 으로분리하였다. 1차적안전은화재, 감전과같은하드웨어에의한직접적사고로부터의안전으로정의한것이고, 기능안전은리스크평가측정결과에따라서설계과정을통해위험이제거되는장비의안전을말하며, 간접안전은데이터베이스정보에러와같이잘못된정보제공으로일어날수있는원인으로부터의안전을정의한다 [1]. 본고에서는위험을제거또는낮출수있는위험영역인 기능안전 에대해다루고자한다. 우선, 안전과관련한국제표준의계층화구조는아래그림과같이나타낼수있다. 아래 ISO/IEC Guide 51은제품규격에안전에관한규정을도입하기위한기본적인가이드라인인데위가이드라인의 A규격은광범위한제품, 프로세스및서비스에대해서적용하는일반적인안전측면에관한기본개념과원칙, 요구사항을포함하고있고, B규격은몇개또는한무리의유사한제품, 프로세스및서비스에적용할수있는안전측면을포함하는규격으로 IEC61508 규격등이이에해당한다. C규격은특 - 5-5

방송통신기술이슈 & 전망 2013 년제 19 호 정또는한무리의제품, 프로세스또는서비스의안전측면을포함하는규격으로 IEC 62278, 60601, 61511등이이에해당한다. 여기에서하위규격 ( 예 : C규격 ) 은상위규격 ( 예 : B규격 ) 에서산업분야별로파생되었거나, 상위규격에근거하여규격이제정되고있다. [ 그림 2] 안전 (Safety) 과관련한국제규격계층구조 출처 : KTL 내부작성자료 1998년 IEC에서는전기, 전자, 프로그램가능한전자시스템의기능안전 (Functional safety of electrical/ electronic/ programmable electronic safety-related systems) 표준으로 IEC61508 을발표하였으며, 최근국내외에서는안전시스템의복잡화로인하여의도된기능수행에대한확신을마련하기위하여안전시스템의관리방법론으로 IEC61508 또는그와관련한표준에대해주목하고있다. IEC61508 은안전생명주기, 하드웨어, 소프트웨어등세가지에대한안전성구현방법및검증방법을제시하고있는데, 안전관련시스템은 IEC61508 에서정의된안전수명주기에따라위험분석및평가, 안전무결성수준 (SIL: Safety Integrity Level) 을설정하고, 하드웨어와소프트웨어를목표된수준 (SIL 수준 ) 에충족하도록구현하며, 설치, 운영, 유지보수, 변경, 폐기까지관리해야한다. [ 그림 3] 기능안전의구성요소 6-6 -

IT 융합산업의 H/W 및 S/W 안전표준동향 (1) 안전수명주기 먼저, IEC61508 에서는안전수명주기를정의하고이에따른활동, 절차, 기술을정의하고있는데, 이들은위험검증과무결성수준 (integrity level) 을만족하도록설계하는데필요한것으로, 위해요인 (Hazard) 분석을통해위험감소대상을식별하고, ISO9001 과같이조직, 프로세스, 인적자격요소등이식별된위험을감소시키기위해어떤활동을해야하는지이를다루고있다. 즉, 이표준에서는안전수명주기의사용으로시스템의모든단계에관한시스템적인상태에적용되는안전을보증하는것을뒷받침하며, 시스템적인에러에관해가능성을감소하려는목적을가진다. 안전수명주기동안적용되는시스템안전활동은위험원을증명, 리스크를분석, 위험원을감소또는소거하기위한설계를사용하는것을지침을제공하고있는것이다. 이에따라서 IEC61508 에서는전체개발단계에서수행해야할각단계별안전활동에대한지침을제공하고, 정량적 정성적리스크평가 (Risk Assessment) 법을제시하고있다. E/E/PES-Electrical/Electronic/Programmable Electronic systems EUC-Equipment Under Control [ 그림 4] 전체안전수명주기와관련활동 출처 : KTL 내부작성자료 - 7-7

방송통신기술이슈 & 전망 2013 년제 19 호 (2) 하드웨어 또, IEC61508 에는기능안전이구현된하드웨어에대한요구사항이정의되어있다. 안전요구사항에따라하드웨어를설계하고구현하는것과이것들에대한계획, 검증, 구조적제한, 결함방지능력, 시험, 수정시영향분석을정의하고있다. 또한하드웨어는정량적인신뢰성예측 ( 고장율 ) 을통해안전무결성수준을검증하게되는데, 다음과같이신뢰성예측기술과안전무결성수준검증기술을다루고있다. 안전요구사항정의, 설계, 검증 (validation), 확증 (verification), 구조상제약사항, 결함방지능력 (fault tolerance), 시험, 수정활동과같은수명주기활동정의 설정된안전무결성수준목표치에대비하여정량적인신뢰성분석을통한평가 ( 예측 ) 의필요성을설명하고신뢰성예측 시스템적인하드웨어고장에대비하기위한기술과절차 SIL에대한구조상제약사항 (architectural constraint) 정의 (3) 소프트웨어 IEC61508 에는소프트웨어를설계하는데요구되는활동및설계기술의요구사항도정의되어있다. 안전시스템의구성중소프트웨어경우실제고장률을측정한다는불가능하므로주로시스템이결합되는하드웨어및시스템의전체고장률또는허용가능한범위의고장률을결정하여목표하는 SIL( 안전무결성즉, 고장률 ) 을결정한다음, IEC61508 에서제시하는단계별요구사항을따르도록하고있다. 즉, S/W에대해서는 SIL에대한달성정도를증명하지않고, 단계별기술요구사항에따라수행해야할활동에대한증거를확인함으로써목표하는 SIL을달성되었다고가정한다. 이는소프트웨어의경우수명주기접근방법에따라필수적으로수행해야할활동들에의하여결함이각수명주기마다추가되는가능성을낮추거나방지가능하다는것을전제로하고있다. 소프트웨어라는특성상, 시스템적인고장에대해서다루고있으며정량적인신뢰성예측은포함되지않는다. 소프트웨어설계기술들에대해각 SIL마다적용가능성과수행해야할활동에대해서표로제공하고있다. 8-8 -

IT 융합산업의 H/W 및 S/W 안전표준동향 3. 안전무결성수준 (SIL) 앞에서살펴보았듯이 IEC61508 에서는목표안전달성을위하여먼저, 어떤안전기능을추가할것인가를결정 ( 안전기능요구사항 ) 하고그다음으로정의한안전기능의달성가능한정도 ( 안전기능의성능정도 ) 를안전무결성수준 1) (SIL: Safety Integrity Level) 으로결정함으로써전개된다. 즉, 시스템전체안전기능요구사항은안전무결성요구사항 (SIL) 과함께구성되어각하위시스템의요구사항으로할당함으로써, 하위시스템의구조또는각시스템의기능들을구현하는기술및측정법을결정하게되는것이다. 안전기능요구사항과안전무결성요구사항을시스템설계측면에서그역할의차이를구별한다면, 안전기능요구사항은시스템을구성하는서브시스템 (Sub-system) 또는컴퍼넌트의생성에영향을미치고, 안전무결성요구사항은구조에영향을미치는것이다. 안전무결성요구사항에의해시스템의구조가결정이되고, 시스템의구조를어떻게정의하느냐에따라서 SIL 즉, 고장확률수준이결정된다고할수있다. 위에서융합안전성을극대화하기위한표준으로서 IEC61508 을설명하였지만안전공학 (Safety Engineering) 측면에서, 리스크 (Risk) 제로상태는불가능하므로허용가능한수준의위험까지리스크를줄이도록하는리스크평가및관리가오히려더중요하다고할수있다. 이러한입장에서 International Electronic Commitment( 이하 IEC) 는완전무결한시스템은불가능함을수용하고, 허용가능한범위의리스크에대해정의하였다. 즉, IEC61508 의기능안전요구사항은시스템의위험한사건의원인이될수있는위험원에대응하도록예측가능한모든위험을제거하고남은허용가능한위험수준을안전무결성요구사항으로정의하여시스템의 SIL을정의하도록한것이다. 또, IEC61508 은다른안전표준들과달리단순한안전요구사항만을제시하는것이아니라위험감소를위한정량적인측정법을이용하여구현된안전기능이달성되었음을평가및검증단계와결합되어있다. 평가및검증은단순정성적인평가만을따르는것이아니라고장률, 즉확률적고장률을이용한안전무결성수준 (Safety Integrity Level) 즉, SIL에대한정의를통해정량적인접근을시도한다. SIL은시스템의허용고장정도의수준, 안전보장수준에따라서네단계로분류되 1) 여기서안전무결성수준 (SIL) 이란, 간단히정의하면허용가능한고장률 (Failure Rate) 을말하는데요구된설계기능을수행하기위한평균고장율과시간당위험한고장의확률로이해할수있다. - 9-9

방송통신기술이슈 & 전망 2013 년제 19 호 어있으며, 안전기능의요구율 (Demand Rate) 수준에따라 low demand 와 high demand 로분류되고있다. 허용가능고장률정도에따른 SIL의분류는다음표와같다 [3]. [ 표 1] 안전무결성수준 : low demand 모드에서의 SIL [ 표 2] 안전무결성수준 : high demand 모드또는연속운영모드에서의 SIL 예를들어 [ 표1] 에서안전기능요구율이낮은모드 (low demand) 에서의 SIL을나타내표인데, 안전기능운영의목표고장률은요구된설계기능의수행을위한평균고장의확률로서에어백과같은시스템은 SIL2 수준달성을위해평균적으로 100개중의 1개의고장을일으킬수있음을허용하는허용고장율이다. 또 [ 표2] 에서는정해진미션시간동안수리가전혀시도될수없어높은안전성을요구하는시스템의안전기능운영의목표고장율을정의한것이며시간당위험한고장의단위로해석된다. 예를들면 SIL4의목표를가지는시스템은 1억시간, 즉 10만년에한번의고장이일어날수있음을허용하는것이며이것은주로항공, 우주분야의전자시스템의목표고장률로정의된다. 덧붙이자면높은수준의 SIL은미션시간동안안전기능의요구된고장확률을결정하고, 시간당고장발생가능한확률을결정하기위하여요구된 SIL을유도하기위하여미션시간에따라 SIL을정의한다. 결국안전시스템설계에서 SIL의역할을아래 [ 그림5] 에서설명할수있다. 위험평가 (risk assesment) 를통해시스템의개발에있을수있는위험을걸러냄으로서목 10-10 -

IT 융합산업의 H/W 및 S/W 안전표준동향 표하는 SIL 에의해목표하는수준까지위험이감소되고허용가능한위험만 SIL 에 의해걸러지게되는것이다. [ 그림 5] 안전시스템개발단계에서 SIL 의역할 4. 기능안전평가및인증 앞에서설명했듯이 IEC61508 은안전성구현방법뿐만아니라검증 ( 또는평가 ) 방법을동시에제시하는규격이다. 하지만, 제대로된설계및구현을하였다하더라도완벽한안전을달성하기란불가능하며구현된안전한시스템임을평가하는것역시단순시험평가로달성할수없다. 따라서 IEC61508 규격에서는적절하게높은수준의안전을달성하며환경에적용가능하다는시험평가요구사항및평가프로세스에관한내용까지포함하고있다. 이규격에서는시스템이목표한수준의기능안전을달성하였으며충분히리스크를감소시켰는지의여부를판단및분석하는데있어독립적인조직에의해객관적인평가를수행하도록제시하고있다. 기능안전평가의주체는개발자나이해관계자가수행할수있는것이아니라, 동일기업내조직이라하더라도, 경제적, 의사결정조직측면에서독립적인사람과조직에서수행할수있도록하는것이다 ([ 표3] 참조 ). 따라서평가는주로문서평가, 프로세스감사, 고장분석, 체크리스트, 복잡성메트릭 (metric) 등객관적인평가기술을가지고독립적인평가자에의해평가를수행하도록해야한다. 평가자의자격은 IEC61508 제1부의개인의자격을따르도록명시하고있으며각평가대상별로목적및적용요구사항에대한맵핑표를이용하여평가자가평가하고확인하여야하는내용에대하여기술하고있다. - 11-11

방송통신기술이슈 & 전망 2013 년제 19 호 [ 표 3] 기능안전성평가를수행하는인력의최소독립성수준 X : 안전무결성수준 /Systematic capability 에대하여명세된최소독립수준. 더낮은독립성수준이적용된다면, 사용한것에대하여이론적근거를상세화하여야한다. Y : 명시된독립성수준이명시된안전무결성수준 /Systematic capability 에충분치못함 X2 & X1 select factors lack of previous experience with a similar design greater degree of complexity greater degree of novelty of design greater degree of novelty of technology 출처 : IEC61508-1 2nd [ 표 4] 평가대상별요구사항매핑표예 TOE 목적 적용수명주기단계 IEC61508 참조요구사항 비고 3/7.1.1 소프트웨어개발을정의된단계와활동으로구조화 ( 소프트웨어개발단계별활동정의 ) 소프트웨어수명주기 정의된단계와활동에서소프트웨어의개발을구조화한다 소프트웨어수명주기모델의일반적요구사항 3/7.1.2.1 선택한소프트웨어개발에대한안전수명주기를명세 ( 소프트웨어개발수명주기모델정의 ) 3/7.1.2.2 품질과안전보증절차안저수명주기활동에통합 SIL 고려 3/7.1.2.3 소프트웨어안전수명주기단계별활동정의 3/7.1.2.4 안전무결성과복잡성을고려한각단계별활동조정 SIL 고려 3/7.1.2.5 소프트웨어프로젝트별도운영을인정 3/7.1.2.6 각수명주기단계에대한적절한기술과측정법을사용여부 ( 부속서 A 와 B 를참고 ) 3/7.1.2.7 각수명주기단계의액티비티결과물들문서화 SIL 고려 출처 : IEC61508-1 2nd 12-12 -

IT 융합산업의 H/W 및 S/W 안전표준동향 [ 그림 6] 기능안전검증절차 출처 : KTL 내부자료또, 기능안전에대한평가를위해서는기능안전관점에서전체시스템, E/E/PES 및소프트웨어가안전요구사항을잘구현하고있으며안전을유지하기위한운영및관리측면에서평가될수있도록평가모듈이개발되어야한다. 평가모듈은전체안전수명주기, E/E/PES 및소프트웨어안전수명주기단계별활동에초점을두어야하며, 평가모듈을이용한기능안전검증절차는 [ 그림6] 과같다. 한편, 기능안전에대한인증 (Certification) 은평가를통해제3자가제품, 공정및서비스가 IEC61508 요구사항에충족함을인증발급하는것을말하는데, 국제적으로통용되는 IEC61508 인증은존재하지않기때문에제3자인증을필수적으로요구하는것은아니다. 하지만, 보다객관적인평가결과를확인하기위해서경우에따라서는제3자인증획득이필요한경우도있을수있는데, 유럽과미국에서는장치산업, 원전등의하위시스템에대해서 IEC61508 에의한 SIL 인증을요구하는사례가늘고있으며, exida, TUV그룹, Sira test and Certification 등과같은글로벌평가및컨설팅기관들이평가 인증을수행하고있다. 독일의 TUV Rheinland 는안전시스템인증에관련하여가장먼저설립된기구인데, 80년대초에마이크로프로세서근간의안전시스템에대해연구를시작하여위험도를나타낸 DIN V19250 등의여러문서를작성하였고, 위험분석에따라 8개의등급으로분류하였다. 이러한인증활동및안전시스템관련한기술들은후에 IEC61508 의근간이되게되었고이와같은안전시스템인증활동기반으로 TUV Rheinland 에서는주로기능안전관리인증 (Certification of Functional Safety Management) 을위하여관리능력에대해평가하고있다. TUV Rheinland의기능안전 - 13-13

방송통신기술이슈 & 전망 2013 년제 19 호 관리인증은안전관련디바이스, 시스템그리고시스템어플리케이션개발을위하여구성그리고고장회피측정법을검증하기위하여조직기반으로안전관리를수행하는시스템평가를수행하고있으며전체안전수명주기의 box number 1~8 과 12~15 까지에대한부분에대해조직의안전관리능력을평가하고자하는것이다. 이것은기능안전관리능력을개인에의존하지못하도록하는표준을준수하고자하는것이며기능안전관리시스템이관리및운용과정에서안전기능의안전을유지되고있음을검증하고자하는것이다. 스위스의 exida의인증프로그램의경우장치산업의최종사용자의요청에따른 IEC61508 기반의기능안전평가를 2005년부터수행하고있다. 주로제품의기능안전을달성하기위하여목표한 SIL달성을위한주요활동에따라수행되었는지여부를, IEC61508 의 part 1, part 2 그리고 part 3을중점으로표준에따른모든요구사항을체크하여평가하게된다. 주로 UK의국가정책에의한지원으로알려지게되었으며, 프로세스에대한평가보다는안전시스템의최종사용자의요청에의하여평가를수행하고있으며제품의개발이 IEC61508 의요구사항을얼마나잘충족하고있는지에대하여평가를수행하고있다. 또, 독일과스위스의두기업의기능안전인증활동을통합하여만든 Sira test and Certification 인 CASS에서는광범위한부분에걸친 IEC61508 평가기반을마련하기위하여공급망 (Supply chain) 을고려하여 V-model 을제시하였다. [ 표 5] V-model 정의 유형 Type 5 Type 4 Type 3 Type 2 Type 1 a b 설명조직의 functional safety 관리능력 - ISO 9001과유사한관점전체적인안전요구사항과그와관련된위해요소및위험분석을평가운영, 유지보수프로세스에대한조직의정확성과효율성평가요구되는기능을수행하기위한특정전기 / 전자 / 프로그래머블장치의 functional safety 검증 - 통합시스템대상요구되는기능을수행하기위한특정전기 / 전자 / 프로그래머블장치의 functional safety 검증 - 센서, 액추에이터등을배제한통합시스템의일부컴포넌트 PLC, 상용소프트웨어등독립적인컴포넌트 출처 : The CASS GUIDE 이것은 IEC61508 의전체안전수명주기에적합하게계획되었으며공급망의단계별 개발, 인도하는활동을명확하게제공함으로써 IEC61508 을이용한표준의적용가능 14-14 -

IT 융합산업의 H/W 및 S/W 안전표준동향 하도록지침을제공하고있다. CASS 에서는공급망의단계별활동에따라평가를수행하며기능안전평가타입을 5가지로분류정의하였으며그에대한정의하였다. 국내의경우, 현재한국산업기술시험원 (KTL) 이유일하게기능안전평가및기술지원업무를수행하고있으며, 2014년부터는철도분야, 자동차분야, 선박분야등에대해서유관기관과공동으로기술지원체계를구축하고, SIL인증마크를개발하여적용할계획을수립하고있다. 또한국내기능안전관련개발, 평가전문가양성을위한교육프로그램및전문가자격증제도를운영중에있다. 5. IEC61508 표준적용사례 안전관련제품을개발하는기업에서는 IEC61508( 또는파생규격 ) 을도입하여융합제품을개발한다고해서아예처음부터새로운개발및평가프로세스를구축할필요는없다. 앞에서도언급하였지만, 대부분의산업에서 H/W제품은설계과정에서부터생산및완제품출하까지의전공정 ( 프로세스 ) 에걸쳐품질및안전과관련한관리기술이확립되어있다. 따라서 IEC61508 을도입하고자할경우, 자사의프로세스와표준에서요구하는프로세스와의비교분석을통해활동이제외되어있거나부족한부분에대해보완이이뤄진후, 적용전략을수립하고시행하면된다. IEC61508 표준을적용하는사례를하나들면, 국내 S사에서는 IEC61508 도입을위해단계적으로추진전략을수립하여총 3년에걸쳐내부프로세스를구축하고있다. [ 그림 7] 국내 S 사기능안전도입을위한차이 (gap) 분석 출처 : KTL 내부자료 - 15-15

방송통신기술이슈 & 전망 2013 년제 19 호 [ 그림 8] 국내 S사기능안전도입전략 출처 : KTL 내부자료위 [ 그림7-8 은 ] 표준대비자사의개발프로세스와의격차를분석하고도입이필요한프로세스를분석하는예를보여준다. [ 그림 9] IEC61508 표준프로세스 출처 : KTL 내부자료 16-16 -

IT 융합산업의 H/W 및 S/W 안전표준동향 필자가소속되어있는한국산업기술시험원에서는 IEC61508 규격을분석하여기능안전표준프로세스를 [ 그림 9] 와같이작성하였으며, 각단계별로필요한엔지니어링기술및요구문서에대한표준문서템플릿 (template) 을개발하였다. 이표준프로세스와엔지니어링기술, 표준문서등은각기업의상황에따라테일러링 (tailoring) 하여적용할수있도록하였으며, 기능안전을도입하고자하는기업에대한기술서비스를제공하고있다. 6. 맺음말 이제까지안전관련시스템의개발에서리스크를줄이고올바른안전기능을달성가능하도록하는지침으로 IEC61508 을소개하였으며, 이를적용가능하도록하기위하여 IEC61508 의개요, 평가지침및필수적인요구사항및국내외주요기능안전평가기관의평가체제를알아보았다. 앞으로제조업과 IT산업의융합이가속화되는산업구조속에서안전시스템의수요와공급은점차증가할것이고이와함께엄격한규정이나지침으로 IEC61508 표준및파생규격의필요성은점차증대될것이다. 현재, 일부국가에서는시스템설계면에서최상의방법으로설계및개발할의무규정인경우가존재하는데이것은시스템을공급하는업계에서는해결해야할과제이며, 이러한이유로공급업체의입장에서는최고수준의안전시스템을제공하고, 안전기능을제공하기위한비용을절감하기위한방법을모색하여야할것이다. - 17-17

[1] Smith, David J. and Simpson, Kenneth G. L. Functional Safety(A Straightforward Guide to Applying IEC61508 and Related Standards)", Hutterwirth-Heinemann, 2004. [2] Kumamoto, Hiromitsu, Safisfying Safety Goals by Probabilistic Risk Assessment, Springer Verlag, 2007. [3] IEC, "IEC61508; Functional safety of Electrical/Electronic/Programmable Electronics (E/E/PE) systems" Part1~7, Genva: International Electrotechnical commission, 1998 [4] "The CASS GUIDE", 26th, Issue 2.a, April 2000 [5] exida, "IEC61508 Overview" exida, Ver2.0, January 2006 [6] K.A.L. Vanheel, B. Knegtering, and A.C. Brombacher, "Safety Lifecycle Management. A Flowchart Presentation of the IEC61508 Overall Safety Lifecycle Model", Vol 16, p 493-500, Quality and Reliability Engineering International, 1999 [7] Safety Users Group, "Safety in the process industries - trends, leading opinions and experiences", DVD, 2007 [8] 미국시장조사기관 VDC 산업별 SW개발원가비중 발표자료참고. 2006

방송통신기술시장 정책콘텐츠 발행호 2013 년제 19 호 발간물명 IT 융합산업의 H/W 및 S/W 안전표준동향