Case studies of comparing EN 954-1 and EN ISO 13849-1 standard for countermeasure of Korean Safety Certification System Tae-Ho Kim 1, Bo-Sung Kim 1, Hoon-Yong Yoon 1 1 Department of Industrial & Management Systems Engineering, Dong-A University, Busan, Korea ABSTRACT The aim of this study is to compare old standard EN 954-1 and new standard EN ISO 13849-1 through case study and provide necessity of adaptation of EN ISO 13849-1 in Korea. International and EU harmonized standard EN ISO 13849 safety of machinery Safety-related parts of control system is classified into Part 1: General principles for design and Part 2: Validation. EN ISO 13849-1 standard was introduced in Official Journal of the European Union on September 8, 2009 as harmonized standard, and old standard EN 954-1 was withdrawn on December 31, 2011. So, EU decided to use of EN ISO 13849-1 standard forcibly from January 1, 2012 for safety of machinery. New machines need to be CE marked if they are to be placed on the market in the European Economic Area (EEA), Switzerland or Turkey, and Korean machine builder should apply EN ISO 3849-1 standard for safety of machinery accordingly. However, current Korean Safety Certification system (KCs mark) for dangerous machinery is not referred to EN ISO 13849-1 standard as safety standard. There is a need of research for adaptation of EN ISO 13849-1 standard in Korea as safety standards for new design of safety-related control system which use mostly electronic components. Two case studies of representative designs for safety-related control system in accordance with EN 954-1were selected according to safety category from B to 4. And these two representative designs were tried to change new design in accordance with EN ISO 13849-1 standard. The results of comparison were analyzed in aspect of economy and technical complexity. The results showed that EN ISO 13849-1 provided quantitative method of application and it enable designers to create safety-related control systems that require fewer components and less wiring, with many of the components being to a lower specification and, therefore, less costly. And EN ISO 13849-1 standard is good for electronic safety-related control systems compare to EN 954-1. By considering the importance of application of EN ISO 13849-1 and benefits, the application of EN ISO 13849-1 as safety standard for safety of machinery is urgent in Korea. The results of comparing EN 954-1 and EN ISO 13849-1 standard might help to determine the adaptation of EN ISO 13849-1 standard for safety of machinery in Korea. Keywords: EN 954-1, EN ISO 13849-1, Safety Category, Risk graph, Safety-related parts of control system. 1. Introduction 국제및유럽표준 EN ISO 13849 는 safety of machinery Safety-related parts of control systems 에관한 표준규격이며, Part 1 General principles for design 과 Part 2 Validation 으로구분된다. 이는기계안전분야 에서제어시스템의안전부품관련, 제 1 부설계지침과 제 2 부검증부분으로나뉜다. 현재유럽연합 (EU) 은 2009 년 9 월 8 일처음 Official Journal of the European Union 에 EN ISO 13849 규격이 조화규격 (Harmonized Standard) 으로지정된이후, 2011 년 12 월 31 일부터기존의 EN 954-1 규격의적용을중단하고 EN ISO 13849 규격의적용을강제화하였다. 1) 이는 2011년 12월 31일이후유럽연합 (EU) 역내로수입또는역내에서유통되는산업기계류는유럽연합 (EU) 기계지침 (Machinery Directive, 2006/42/EC) 에의해제조자는 EN ISO 13849 규격을적용하여관련적합성을입증하여야한다는의미이다. 이에대해국내의부품및산업기계류제조자는유럽수출시해당요건들을검토하고준비를하여야한다. 또한국내산업기계류안전인증제도 (KCs 마크 ) 하에서도국제표준 ISO 13849 규격의도입과연구가필요한현실이다. 국제학술지 JOSE (International Journal of Occupational Safety and Ergonomics) 에보고된기계제어시스템의비정상적인기능에의한사고분석 2) 에따르면, 1996년에서 2002년사이에폴란드에서발생된사고중설문조사에응한700 건의사고를분석한결과아래의 <Figure 1>, <Figure 2>, <Figure 3> 과같은결과를얻었다. 교신저자 : 윤훈용 ; yhyoon@dau.ac.kr
caused by improper functioning of the control system 4) <Figure 1> Accident caused by improper functioning of the control system in relation to all accidents at machines 3) <Figure 1> 의경우, 기계에서일어난모든사고중 비정상적인제어시스템의동작에의한사고건수를보 여주는데, 기계의제어시스템관련오작동에의한사 고가비중이높음을알수있다. 여기서주목할것은최초기계설계자가이러한문제들을미리대처하고설계를하였다면미리막을수있는사고라는것이다. 즉관리가가능한사고이다. 인용된보고서의결과가국내환경과유사한지또는정확한결과치인지의논의를떠나기계제어장치의비정상적기능에의한사고가어느정도의비중이있고, 이러한사고는설계지침에대한표준을따라설계가된다면사전에관리가가능한것이기때문에국내에서도이에대한연구가필요하다. 또한앞서언급한것과같이기계제조자와안전관련부품제조자는유럽수출을위해서는이러한관련표준 EN ISO 13849의적용이 2011년 12월 31일이후로는반드시검토적용되어야유럽역내에서의제품유통이가능하다. 이를지키지않으면시장에서의제품수거, 벌금, 수입금지조치또는 PL법에의한소송등의제재나어려움이뒤따른다. 2. Objective and Method <Figure 2> Severity of accidents 3) <Figure 2> 에서는사고의심각성에따라분류된결과로기계의제어시스템의오작동이중대사고에더영향을미치는경향을확인할수있다. 마지막으로 <Figure 3> 의경우사고요인별빈도를나타내었다. 가장많은 58% 를차지하는부분은안전기능의부재를의미하는데, 기계의위험요소에적절한보호장치를설계하지않은경우이다. 그다음은 26% 를차지한제어시스템의안전카테고리 (Safety Category) 요건을충족하지못한경우이다. 나머지는잘못된안전기능의정의와컨트롤러의소프트웨어에러, 사용환경에부합하지않은부품의사용이나타났다. <Figure 3> Frequency of different cause of accidents 본연구의목적은 EN 954-1 과 EN ISO 13849-1 규격을 이론적으로고찰하고, 문헌연구를통해기존연구들을 확인하여, 실제설계된기계제어관련시스템을 EN 954-1 과 EN ISO 13849-1 규격을적용하여서로비교분 석하고자한다. 비교분석은실제업체에서설계한회로를바탕으로 5 가지예를들어실시한다. 이 5 가지는각위험성추 정에사용된리스크그래프 (Risk Graph) 방식에서의 해분류되어 EN 954-1 에서사용된안전카테고리 (Safety Category) 등급 B, 1, 2, 3, 4 와 EN ISO 13849-1 에 서사용된성능수준 (PL, Performance Level) a, b, c, d, e 의수준을같은결과의위험성추정단계에서각각비 교하기위함이다. 회로의선택은이전에 EN 954-1 을 적용하여해외인증기관의검사와인증을받은산업기 계를대상으로하고, EN 954-1 에의해분류된안전카테 고리 (Safety Category) 등급 B, 1, 2, 3, 4 의각회로 5 가 지를선택하여대표화한다. 여기서각회로를새롭게 EN ISO 13849-1 을적용할경우달라지는점을확인하 기위함이다. 아울러그차이를기술적인관점과경제 적인관점에서비교분석함으로써제조자의이해를돕 고국내의대응방향을제시한다. 본논문에서는이 중 2 가지안전카테고리사례에대해분석을통해비 교해보고자한다. 3. Major Key points of EN ISO 13849-1 3.1 Risk Estimation.
먼저산업기계에해당되는위험성은아래와같다. l 기계적상해위험예 ) 충돌, 비래, 협착, 절단, l l 끼임, 말림, 찰과상, 추락등 전기적위험예 ) 화상, 화재, 감전등 열적위험예 ) 화상, 탈수, 동상, 화재등 l 소음위험예 ) 통증, 영구적청력손실, 스트레스, l 이명, 피로등 진동위험예 ) 통증, 신경학적장애, 관절질환 등 l 방사선위험예 ) 화상, 눈또는피부손상, 우전적변이등 l 물질 / 재료에의한위험예 ) 호흡곤란, 질식, 암, 부식, 폭발, 화재등 l 인간공학적설계원칙무시예 ) 통증, 피로, 근골격계질환, 스트레스, Human error 등 이러한산업기계의노출된위험성을추정하기위해 서주로리스크그래프 (Risk Graph) 방식이사용된다. EN ISO 13849-1 규격에서는아래 <Figure 4> 와같은리 스크그래프 (Risk Graph) 방식이사용된다. 어그기능을정의하여야한다. 이를 Safety Function, 안전기능이라한다. 안전기능이란, 제어시스템안전관련부품 (Safety-related parts of control system, SRP/CS) 에의해수행되는것이라정의할수있다. <Figure 5> Safety functions are executed by SRP/CS 이러한안전기능을각개별산업기계에따라결정하는데있어, 해당산업기계류의제품규격혹은요건을참조하거나위험성평가결과에따라설계자가정의할수있다. 일반적으로사용되는안전기능들을열거하면, 보호장치동작에따른안전정지기능. 수동리셋기능, 기동 / 재시동기능, 로컬제어기능, 뮤팅기능, Hold-to-run 기능, Enabling 장치기능, 예기치않는기동방지기능, 끼인사람의탈출이나구조기능, 위험에너지격리기능, 비상정지기능등을예로들수있다. 개별시스템에각안전기능이정의가되었다면그에해당하는각 PL의요구조건들을확인해야한다. 3.3 Performance Level (PL) <Figure 4> Risk graph for determining required PL r for safety function 5) 위 <Figure 4> 와같이해당되는위험과안전기능에 대한필수성능수준 PL r (Required Performance Level) 이 심각도 (Severity), 발생빈도 (Frequency), 발생가능성 (Possibility) 에의해정해지면그에따른안전기능은 최소한해당성능수준 (Performance Level) 의요건들을 만족하여야한다. 3.2 Safety Function 앞에서와같이위험성을추정하였다면, 해당위험 성을줄이거나없애기위한안전보호장치의설계에있 EN ISO 13849-1규격 3.1.23절에따르면, PL (Performance Level) 을 discrete level used to specify the ability of safety-related parts of control systems to perform a safety function under foreseeable conditions 로정의한다. 즉 예측조건하에서안전기능을수행하는제어시스템의안전관련부품의능력을지정하는데사용된이산레벨 을의미한다. PL은 EN ISO 13849 규격에서새롭게도입된개념으로써 EN 954-1 규격에는없는개념이다. <Figure 4> 에서와같이리스크그래프 (Risk Graph) 방식에의해정해진각안전기능의 PL r (Required Performance Level) 은해당안전기능을구성하는 <Figure 5> 와같은 SRP/CS의각블록에요구되는최소능력이나성능을의미한다. 여기서요구되는최소능력이나성능은시간당위험고장확률 (Average probability of dangerous failure per hour, PFH) 의범위로정의된다. (<Table 1>). 수준 e로갈수록시간당평균위험고장확률값 (PFH) 이낮아야하는것을알수있고, 신뢰성이매우확보된부품들의조합이요구된다. 결과적으로해당안전기능에대해위험성추정의결과인 PL 수준이정해지면, <Table 1> 과같이해당수준에따른안전카테고리 (Safety Category), MTTF d, DC avg 를확인할수있고, 또한공통원인고장 (CCF) 과소프트웨어에러
를고려하여시스템을설계하고적합성을확인할수있다. EN ISO 13849 규격에서새롭게도입된 PL 은기존 EN 954-1규격과는달리, 기존의안전카테고리 (Safety Category) 에 MTTF d, DC avg, CCF, 소프트웨어검증이라는정량적인분류와위험고장확률이론의도입으로정량적인 PFH값을가지고시스템설계에있어좀더세분화된요소들을다루고있다. <Table 1> Performance Levels (PL) 6) 안전카테고리 B는앞서언급한첫째요소인단일채널의시스템구성으로진단기능이없는다른신뢰성을가진부품들의조합이다. <Figure 6> 과같이단일채널의구조를가지며, 구성요소를간략히블록화하면먼저입력장치 (I) 예를들어센서류등이있고, 논리장치 (L) 예를들어 PLC (Programmable Logic Controller) 나릴레이 (Relay) 로구성된시퀸스 (Sequence) 회로등이있으며, 최종적으로출력장치 (O) 예를들어전자접촉기 (Magnetic Contactor) 등으로구성된다. 여기서각 I, L, O 최종구성요소를블록이라표현한다. 나. 안전카테고리 1 (Safety Category 1) 3.4 Safety Category BGIA (Institute for Occupational Safety and Health of German Social Accident Insurance) 에서 1985년부터산업현장에서얻어진경험으로부터확인된내용으로다양한제어시스템들은몇가지단순한기본안전제어시스템으로대표된다는것이다. 첫째로는단일채널의시스템구성으로진단기능이없는다른신뢰성을가진부품들의조합이고, 둘째로는단일채널의시스템구성으로진단기능이있는다른신뢰성을가진부품들의조합이며, 마지막으로두개의채널로구성되며높은진단기능을가진시스템으로조사되었다. 두개채널초과제어시스템은극히드물며, 두개채널만으로도충분히신뢰성을확보할수있기때문에 EN 954-1과 EN ISO 13849 규격에서는두개채널까지만고려하여지정된시스템구성 (designated architecture) 으로정의한다. 따라서, 이세가지구성요소들을바탕으로 5가지의등급을정의한다. 가. 안전카테고리 B (Safety Category B) 안전카테고리 1은 <Figure 6> 와같이안전카테고리 B 와같은구조의시스템이다. 다만, 설계나설치시고려해야할기본안전원칙 (Basic safety principles) 외에검증된부품 (Well-tried components) 의사용이추가된다. 여기서검증된부품은안전관련활용에서검증이된 (Well-tried for safety-related applications) 부품이라는의미이다. 다. 안전카테고리 2 (Safety Category 2) <Figure 7> Designated architecture for category 2 8) 안전카테고리2는안전카테고리B와 1의요구사항을기본으로하고, <Figure 7> 과같이안전기능 (Safety function) 의진단 (Test) 기능이포함된구조를가진다. <Figure 7> 에서점선표시된부분이이상 (fault) 을감지하기위한진단기능을표현한다. 이진단기능은기계가초기기동시, 안전기능수행전그리고필요에따라일정한주기로시행된다. EN ISO 13849 규격에서는안전카테고리 2이상부터진단유효범위 (DC, Diagnostic Coverage) 의개념을적용한다. <Figure 6> Designated architecture for category B 8) 라. 안전카테고리 3 (Safety Category 3)
<Table 2> 와같이 MTTF d 의범위를활용해서각 PL 수 준별로적용하는방식을통해단순화한정량적표현 을채택하였다. <Table 2> MTTF d 9) <Figure 8> Designated architecture for category 3 8) 안전카테고리3은안전카테고리B와 1의요구사항을기본으로하고, 단일고장이전체안전기능의상실로이어지지않게설계되어야한다. 따라서, 두개의채널을구성하여단일고장이시스템내에서검출되어이중성 (Redundancy) 을구현한다. 또한, EN ISO 13849 규격에서는안전카테고리 2에서와같이 DC와 CCF의개념을적용한다. 만약소프트웨어에의해제어가된다면그소프트웨어도 EN ISO 13849 규격에의해검증이되어야한다. 마. 안전카테고리 (Safety Category) 4 안전카테고리4는안전카테고리B와 1, 2 및3의요구사항을기본으로하고, <Figure 8> 와같이안전카테고리3 과같은시스템구조를가진다. 안전카테고리3과다른점은누적된검출되지않은고장들이전체안전기능상실의원인이되지않아야한다. 즉, 시스템내에서두개의고장이일어날경우를판단하면된다. 마찬가지로 EN ISO 13849 규격에서는안전카테고리 3에서와같이 DC와 CCF의개념을적용한다. 만약소프트웨어에의해제어가된다면그소프트웨어도 EN ISO 13849 규격에의해검증이되어야한다. 하지만안전카테고리4의시스템은고장에대한최고의내성을가져야하므로높은수준의 MTTF d 와 DC avg 그리고충분한 CCF 에대한대책이있어야한다. 3.4.1 MTTF d (Mean time to dangerous failure) MTTF d 는위험고장까지의평균시간추정값이다. 하지만통계적의미이지제품자체의보증수명시간이나무고장시간을의미하지않는다. 또한, MTTF d 는시간주기의단위로년도 (Year) 로표기하며, 단지위험한상태와관련된고장만을의미한다. EN ISO 13849 규격에서는 FMEA (Failure Mode Effects Analysis) 를통한복잡한 MTTF d 에관한계산식이아닌 이와같은표현은복잡한전자제어시스템이아닌 대부분의산업기계에서채택하는일반적형태의비교 적간단한제어시스템에서유효함을 BGIA 보고서를 통해확인할수있다 10). 따라서, 지금까지언급된 EN ISO 13849 규격에서지정된시스템구성요건들을위 한몇가지가정을요약하면다음과같다. - 사용시간 (Mission time) 20 년을넘지않는다. - 주어진사용시간 (Mission time) 동안일정형 고장률 (Constant failure rate) - 단일채널에서 3 년미만과 100 년초과 MTTF d 는 의미가없다. - 안전카테고리 2 에서, 진단기능부품 TE 의 MTTF d 는논리장치 L 의 MTTF d 의반값보다커야 한다. - 안전카테고리 2 에서, 진단률 (Test rate) 은안전기능 요구율 (Demand rate) 보다최소 100 배가되어야 한다. MTTF d 의계산값은부품제조자의데이터값을활 용하거나 EN ISO 13849-1 규격의부속서 (Annex) C 를 참조한다. 여기에는부품특성별로, B 10d 값혹은 MTTTF d 값을명시하였다. 3.4.2 DC (Diagnostic Coverage) 앞서간단히설명된것과같이진단유효범위 (DC, Diagnostic coverage) 는 EN 954-1 규격에는없는 EN ISO 13849 규격에서도입된개념이다. 제어시스템의자가 진단과모니터링기능의유효성을측정하기위한개념 이다. 따라서, 안전카테고리 2 이상의구조에서만그 유효성을측정하기위해 DC 가사용된다. 각 DC 에대 한추정은 EN ISO 13849-1 규격 Annex E 에체크리스트 가제공된다. 3.4.3 CCF (Common Cause Failure) 공통원인고장 CCF 는안전카테고리 2 이상의시스템구
조에서필요한 EN ISO 13849 규격에서정의된개념이다. 이 중화시스템구조및진단기능이있는단일채널시스템에 서도하나혹은공통원인에따른결함으로인한위험측고 장을 CCF 라한다. 단일결함내성시스템의이중화채널 구조에서도하나의공통원인으로인해이러한안전기능 들이무효화될수있기때문에그원인을제거하는것이 중요하다. 대부분의 CCF 의원인들은물리적인요소 ( 고온, 전자파장애등 ) 들, 혹은시스템적고장 ( 설계상결함, 시스 템간공용프로그램결함 ) 에의한다. CCF 는 EN ISO 13849-1 규격 Annex F 에해당대책리스트를확인하여점 수합산한다. 안전카테고리 2 이상의시스템은합산점수가 65 점이상이어야한다. 또한, 각대책들을고려할때제어 시스템의기술적특성과환경적요소들을고려하여평가해 야한다. 4. Case studies of comparing EN 954-1 and EN ISO 13849-1 안전기능구분 전면부도어개방시구동부 ( 벨트컨베이어 ) 정지 EN 954-1 EN ISO 13849-1 자동광학식검사장비내부에검사대상기판이송용소형컨베이어존재. 회로의선택은 EN 954-1에의해분류된안전카테고리 (Safety Category) 등급 2, 3 의각회로 2가지를선택하여대표화한다. 여기서각회로를새롭게 EN ISO 13849-1을적용할경우달라지는점을확인하기위함이다. 아울러그차이를기술적인관점과경제적인관점에서비교분석한다. 4.1 A case study of safety category 2 <Table 3> A case number 1 자동광학식검사장비 위 험 성추 정 S2: 벨트이송부손가락접촉시끼임에의한골절상 예상. F1: 전면부도어는 문제발생이나유지보수간에 개방됨. 접근빈도낮음. P1: 컨베이어이송속도가 느려, 충분히인지하고피할 수있음. 최소안전카테고리 = S2+F1+P1 à 안전카테고리 2 S2: 벨트이송부손가락접촉시끼임에의한골절상예상. F1: 전면부도어는문제발생이나유지보수간에개방됨. 접근빈도낮음. P1: 컨베이어이송속도가느려, 충분히인지하고피할수있음. PLr= S2+F1+P1 à c 기 계명 칭 회로구성 전면부도어에 Tongue 형식의도어인터록스위치 (S3) 를부착하여, 도어개방시안전릴레이 (K1) 의입력측 S3 접점이개방되어, 출력 측전기기계식릴레이 (K1) 을개방한다. K1 은직류전원을사용하는 구동부드라이버전원을차단한다. 또한도면상에는표기되어있지 않지만, 안전릴레이 (K1) 의내부모니터링기능에의해입력 (S3) 과 출력 (K1) 을일정한주기로진단한다.
술을택할수도있겠지만, 비용대비위험성감소라는균형점은각제조자의판단이므로위험성추정에따른최소한의설계가오류나잘못된것으로판단할근거는없다. 결과적으로이사례에서는 EN ISO 13849-1 규격적용으로시스템구조가안전카테고리 2 에서안전카테고리 1 이상으로기술적난이도가한단계낮은구조적요건을선택할수있다. 대부분의전기기계식부품의경우높은범위의 MTTF d 기대혹은선정함에있어어려움은없을것으로추정한다. 시 스템 구 조 요 구사 항 S3: Tongue 형식도어인터록스위치 K1 ( 안전릴레이 ): 안전릴레이모듈 K1: 전기기계식릴레이 - - - - : 진단기능설계시부품선택에있어, 사용환경에적합한검증된인증품사용및안전기능에대한진단기능가질것. S3: Tongue 형식도어인터록스위치 K1 ( 안전릴레이 ): 안전릴레이 모듈 K1: 전기기계식릴레이 PL c 수준요구사항인 높은범위의 MTTFd (30 년 MTTFd <100 년 ) 와안전카테고리 나. 경제적측면앞서설명한기술적측면의결과와같이안전카테고리 2 를만족하기위한진단기능이필요하지않음으로대략개당 50 만원에서 100 만원가량의안전릴레이모듈을사용할필요가없다. 이전 EN 954-1 규격에서는 EN ISO 13849-1 규격과같이정량적인선택이불가해서제조자입장에서논쟁의소지를피하기위해다소과잉설계를통한고가의안전릴레이모듈들을실제그기능을다사용하지않으면서채택한사례가아주많았다. <Table 4> 사례에서는높은범위의 MTTF d 시스템을위해신뢰성확보된전기기계식스위치와간단한시퀸스 (Sequence) 구성과스위칭을위한릴레이들만으로도설계요건을만족할수있다. 4.2 A case study of safety category 3 <Table 4> A case number 2 고속방사형리드부품삽입기 1 이상일것. <Table 3> 과같은사례를비교한결과, 이전 EN 954-1 규격적용과달리아래와같은분석결과를얻을수있다. 다만, 예상되는 EN ISO 13849-1 규격적용에있어 <Table 2> 를이용하면 ( 안전카테고리 1과높은범위의 MTTF d ) 를현재적용된것처럼설계기준으로할수있고, ( 안전카테고리 2와높은범위의 MTTF d, 낮은범위의 DC avg ), ( 안전카테고리 2와중간범위의 MTTF d, 중간범위의 DC avg ), ( 안전카테고리 3과낮은범위의 MTTF d, 중간범위의 DC avg ) 중하나를설계기준으로할수있다. 본연구에서는최소한의기술적난이도와경제적선택에따라안전카테고리 1과높은범위의 MTTF d 를적용하였다. 기계 명 칭 가. 기술적측면 EN 954-1 규격에따르면위험성추정에따라안전카테고리 2 이상이요구되어지나, EN ISO 13849-1 규격에따르면최소안전카테고리 1 과높은범위의 MTTF d 부품으로시스템을구성할수있다. 진단기능이추가되지않으므로기술적난이도는 EN ISO 13849-1 규격적용으로완화되는것으로분석된다. 물론더상위의기 안전기능 전면부도어개방시구동부 ( 갠트리식이송삽입기 ) 정지
구 분 위 험 성 추 정 회 로 구 성 시 스 템 구 조 요구 사 항 EN 954-1 EN ISO 13849-1 S2: 삽입기이송에따른골절및 삽입기에의한손가락절단위험성예상. F1: 전면부도어는문제발생이나 유지보수간에개방됨. 접근빈도 낮음. P2: 삽입기이동및속도빠름. 회피가능성없음. 최소안전카테고리 = S2+F1+P2 à 안전카테고리 3 S2: 삽입기이송에따른골절 및삽입기에의한손가락절단 위험성예상. F1: 전면부도어는문제발생이나유지보수간에 개방됨. 접근빈도낮음. P2: 삽입기이동및속도빠름. 회피가능성없음. PLr= S2+F1+P2 à 전면부도어에 Tongue 형식의도어인터록스위치 (S303A, S303B) 두개를부착하여, 도어개방시안전릴레이 (SR) 의입력측 S303A 와 S303B 접점이개방되어, 출력측전기기계식접촉기 (K202A, K202B) 를개방한다. K202A 와 K202B 은각구동및주행축모터 전원을차단한다. 안전릴레이 (SR) 의내부모니터링기능에의해입력 (S303A, S303B) 와출력 (K202A, K202B) 을일정한주기로진단한다. S303A: Tongue 형식도어인터록 스위치좌측 S303B: Tongue 형식도어인터록 스위치우측 SR ( 안전릴레이 ): 안전릴레이모듈 K202A: 전기기계식접촉기 K202B: 전기기계식접촉기 설계시부품선택에있어, 사용 환경에적합한검증된인증품사용및이중화회로구조가질 것. S303A: Tongue 형식도어 인터록스위치좌측 SR ( 안전릴레이 ): 안전릴레이모듈 K202A: 전기기계식접촉기 PL d 수준요구사항인높은범 위의 MTTFd (30 년 MTTFd <100 년 ), 안전카테고리 2 와중간범위 의 DCavg (90% DC <99%) 일것. <Table 4> 와같은사례를비교한결과, 이전 EN 954-1 규격적용과달리아래와같은분석결과를얻 을수있다. 다만, 예상되는 EN ISO 13849-1 규격적용 에있어 <Table 2> 을이용하면 ( 안전카테고리 2 와높은 범위의 MTTF d, 중간범위의 DC avg ) 를현재적용된것처 d 럼설계기준으로할수있고, ( 안전카테고리 3과높은범위의 MTTF d, 낮은범위의 DC avg ), ( 안전카테고리 3과중간범위의 MTTF d, 중간범위의 DC avg ), ( 안전카테고리 3과높은범위의 MTTF d, 중간범위의 DC avg ) 중하나를설계기준으로할수있다. 본연구에서는최소한의기술적난이도와경제적선택에따라안전카테고리 2 와높은범위의 MTTF d, 중간범위의 DC avg 를적용하였다. 가. 기술적측면 EN 954-1 규격을적용할경우위험성추정결과에따라안전카테고리 3 이상을선택하여, 그요구사항을설계에반영하여야했다. 안전카테고리 3 에서의요구사항은앞서설명한것과같이이중화구조의시스템에있다. 따라서이전설계에서는두개의개별입력장치 (S303A, S303B) 와두개의독립채널을가진안전릴레이 (SR) 모듈, 두개의직렬연결된출력장치 (K202A, K202B) 를사용하여시스템을구성하였다. <Table 5> 와같이 EN ISO 13849-1 규격을적용할경우, PL d 수준이위험성추정으로선택되었고 <Table 2> 에따라 PL d 수준에서요구되는시스템요건은최소안전카테고리 2 와높은범위의 MTTF d, 중간범위의 DC avg 를적용할수있다. 즉, 현재의위험성추정결과가높은범위의 MTTF d 와중간범위의 DC avg 로써단일채널의진단기능이있는시스템구조로위험성을감소할수있음을의미한다. 이사례에있어회로구성에있어서는 EN ISO 13849-1 규격에따른설계가안전카테고리 2 로가능하므로기술적난이도가낮아진편이나, EN ISO 13849-1 규격에따른각부품의 MTTF d 값을계산하고, 특히 DC avg 에대한평가와 CCF 에대한평가가따라야하기때문에설계에있어여러요소들을고려하여야하는복잡성을가진다. 나. 경제적측면 <Table 4> 사례의경우안전릴레이 (SR) 모듈을사용한진단기능을구현한다면경제적인측면에있어큰차이가나지않을것으로추정된다. 두개의개별입력부품사용에서단일채널구성에따른부품의사용이하나씩줄어드는것과배선이보다간단해진다. 만약안전릴레이모듈을사용하지않고진단기능을시퀸스 (Sequence) 로구현한다면, 어느정도경제적인비용은감소될수도있다.
5. Conclusion 본연구에서는대부분의산업기계관련사고들이기계제어시스템의오동작에의한사고비중이높은데, 이와관련하여유럽의오동작방지를위한제어시스템설계에관한관련안전규격인 EN 954-1과 EN ISO 13849-1에대한이론적고찰을하였다. EN 954-1 규격은 2011년 12월 31일부로폐지가되었고, EN ISO 13849-1 규격적용이강제화되었다. 이에국내의산업기계관련인증기준을살펴본결과이러한유럽과국제기준이안전관련제어시스템설계에관한엄격한표준채택의동향과달리관련기준이명확하지않은부분이존재함을파악할수있었다. 이에국내산업기계제조업계가유럽수출시겪을수있는 EN ISO 13849-1규격에대한어려움을해소하기위해국내안전기준을유럽과국제기준과동일하게시스템과관련기준들의정비가시급히필요해보인다. 하나의기준을바꾸거나추가하는것에국한하지않고, 제도와시스템을선진화하고정부기관, 국내인증기관, 관련학회및제조자를중심으로국내실정에맞게실질적으로운영이될수있도록해야할것이다. 이를통해많은정보와교육그리고엄격한기준의이해도를돕기위한일련의노력들이산업전반에긍정적인영향을미쳐그동안산업기계제조자가느껴왔던해외의기술장벽들을넘을수있게도와주고아울러국내의산업기계관련안전사고를선진화된기준을통해관리될수있도록하여야겠다. 또한, EN 954-1과 EN ISO 13849-1 규격을본연구자가 10여년동안현장에서검사및평가를했던사례를통해향후 EN ISO13849-1 규격을적용했을경우실질적인기술적경제적장단점을비교하여관련업계의대응에도움을주고자한다. 낮은범위의안전카테고리 B에서 1까지는 EN ISO 13849-1 규격이적용이기술적인구현의다소어려움과경제적인원가상승이될수있으나, 안전카테고리 2에서 4까지의 EN ISO 13849-1 규격의적용은위험성평가결과에따라차이가있을수는있으나, 기존의 EN 954-1 규격의적용과달리회로설계에있어높은수준의위험평균고장시간값을가진부품의사용으로회로의단순화를이룰수있어기술적경제적장점들이분명존재하고있다. 그리고이전 EN 954-1 규격과달리 EN ISO 13849-1 규격은기준적용에있어정량적인방법들이사용되어이전과달리적용의모호함이많이개선되었다. 이처럼향후관련국제적안전규격들은자유무역협정 (Free Trade Agreement, FTA) 에서도더욱강화될것으로판단된다. 본연구를토대로산업기계관련안전제어시스템설계와관련된 EN ISO 13849-1 규격에대한국내대응에관한연구가활성화되고, 관련정부기관, 학회 ( 연구대학 ), 제조자가중심이되어국제기준에관한대응뿐만아니라 국내산업재해와관련하여서도중요한안전기준으로적 용되었으면한다. References 1) European Commission Home Page, http://ec.europa.eu/enterprise/policies/european-standards/ documents/harmonised-standards-legislation/list-reference s/machinery/ (retrieved April 19, 2012). 2) Marek Dźwiarek, An Analysis of Accidents Caused by Improper Functioning of Machine Control Systems, JOSE, Vol. 10, No. 2, pp. 129-136 (2004). 3) lbid, p.134 (2004). 4) lbid, p.135 (2004). 5) International Standard, Safety of machinery Safety-related parts of control systems - Part 1: General principles for design (Standard No. ISO 13849-1:2006), ISO, Switzerland 2006, p.46. 6) lbid, p.11 (2006) 7) lbid, p.20 (2006) 8) lbid, pp.33-37 (2006) 9) lbid, p.17 (2006) 10) Michael Hauke, Michael Schaefer, Ralf Apfeld, Thomas Boemer, Michael Huelke, Torsten Borowski, Karl-Heinz Büllesbach, Michael Dorra, Hans-Georg Foermer-Schaefer, Wolfgang Grigulewitsch, Klaus-Dieter Heimann, Burkhard Köhler, Michael Krauß, Werner Kühlem, Oliver Lohmaier, Karlheinz Meffert, Jan Pilger, Günter Reuß, Udo Schuster, Thomas Seifen, Helmut Zilligen, BGIA Institute for Occupational Safety and Health of the German Social Accident Insurance and Sankt Augustin, BGIA Report 2/2008e Functional safety of machine controls-application of EN ISO 13849, German Social Accident Insurance (DGUV), Germany 2009, p.75.