안전제어시스템설계를위한평균위험고장시간 (MTTF d ) 계산지침 2017. 11. 한국산업안전보건공단
안전보건기술지침의개요 작성자 : 한국산업안전보건공단이진우 제 개정경과 2017 년 11 월기계안전분야제정위원회심의 관련규격및자료 KS B ISO 138491, 기계안전 제어시스템의안전관련부품 제 1 부 : 설계일반원칙 KS B ISO 138492, 기계안전 제어시스템의안전관련부품 제 2 부 : 검증 KS C IEC 602041, 기계류의안전성 기계의전기장비 제 1 부 : 일반요구사항 KS C IEC 615081, 전기 / 전자프로그램가능한전자장치안전관련시스템의기능안전성 제 1 부 : 일반요구사항 KS C IEC 615084, 전기 / 전자프로그램가능한전자장치안전관련시스템의기능안전상 제 4 부 : 정의및약어 KS C IEC 62061, 기계안전 전기 / 전자프로그램가능한전자장치안전관련시스템의기능안전성 관련법규 규칙 고시등 산업안전보건기준에관한규칙제 2 편안전기준제 1 장 ( 기계 기구및그밖의 설비에의한위험예방관련 ) 기술지침의적용및문의 이기술지침에대한의견또는문의는한국산업안전보건공단홈페이지안전보 건기술지침소관분야별문의처안내를참고하시기바랍니다. 공표일자 : 2017 년 11 월 27 일 제정자 : 한국산업안전보건공단이사장
1. 목적 안전제어시스템설계를위한 평균위험고장시간 (MTTF d ) 계산지침 이지침은사업장에서사용되는각종기계 기구및설비에설치되는제어시스템의안전 관련부품의설계시적용하는성능수준 (PL) 을결정함에있어주요한파라미터인평균위 험고장시간을계산하는방법을제시함을목적으로한다. 2. 적용범위 이지침은소프트웨어의설계를포함한제어시스템의안전관련부품 (SRP/CS) 의설계시성능수준 (PL) 을결정함에있어주요파라미터인평균위험고장시간 (MTTF d ) 을계산할때적용되는지침을제공한다. 또한이지침은전기, 유압, 공압, 기계등사용되는에너지형태에관계없이모든종류의기계류를위한제어시스템의안전관련부품에적용된다. 3. 용어의정의 (1) 이지침에서사용하는용어의뜻은다음과같다. ( 가 ) 제어시스템의안전관련부품 (SRP/CS: SafetyRelated Part of a Control System) 이라함은안전관련입력신호에응답하고안전관련출력신호를발생시키는제어시스템의부품류를말한다. ( 나 ) 범주 (Category) 이라함은결함에대한내성및, 부품의구조적배치, 결함의감지및 / 또는감지신뢰성에의해달성되는결함상태에서의후속조치관점에서의제어시스템안전관련부품들의분류를말한다. ( 다 ) 결함 (Fault)" 이라함은예방정비작업중이나기타계획된활동또는외적자원의부족에기인한경우를제외하고, 주어진기능을수행할능력이상실된품목의상태를말한다. ( 라 ) 고장 (Failure)" 이라함은요구되는기능을수행할수있는능력이중단된것을말한다. 1
( 마 ) 위험한고장 (Dangerous Failure)" 이라함은 SRP/CS를위험한상태나기능장애상태로만들수있는가능성이있는고장을말한다. ( 바 ) 공통원인고장 (Common Cause Failure) 이라함은단일사건으로부터유발된다른품목들의고장으로이고장은품목간상호작용의결과가아니다. ( 사 ) 계통적고장 (Systematic Failure)" 이라함은특정한원인에대해확정적으로관계된고장으로, 설계나제조공정, 작업절차, 문서화또는다른관련요소의수정에의해서만제거가능한고장을말한다. ( 아 ) 위험한상황 (Hazardous Situation)" 이라함은사람이한가지이상의위험요인에노출되어즉시또는장기간에걸친상해를야기할수있는가능성이있는상황을말한다. ( 자 ) 구성요소의 10% 위험한고장 (B 10d ) 이라함은구성하고있는전체부품중에서단지 10 % 의부품이위험한고장을발생할때까지의평균작동횟수를말한다. ( 차 ) 고장형태영향분석 (Failure Mode Effect Analysis) 이라함은기계부품의고장이기계전체에미치는영향을예측하는해석방법으로, 기계부품등의기계요소가고장을일으킨경우에기계전체가받는영향을규명해나가는것을말한다. ( 타 ) 프로그램가능한전자시스템 (PES: Programmable Electronic System)" 이라함은하나이상의프로그램가능한전자장치를사용하는제어, 보호또는감시를위한시스템. 전원공급장치, 센서, 그외의입력장치, 전원보호장치및그외의출력장치가포함된것을말한다. ( 카 ) 성능수준 (PL: Performance Level)" 이라함은예측가능한상태에서안전기능을수행할수있는제어시스템의안전관련부품의능력을규정하는불연속적인수준을말한다. ( 파 ) " 성능요구수준 (PLr: Required Performance Level)" 이라함은각안전기능에대한위험성감소를달성하기위해요구되는성능수준 (PL) 을말한다. ( 하 ) 평균위험고장시간 (MTTF d : Mean Time to Dangerous Failure)' 이라함은위험한평균고장시간의기대값을말한다. ( 거 ) 진단범위 (DC: Diagnostic Coverage)" 이라함은감지된위험한고장의고장률과모든위험한고장의고장률의비율로결정되는진단유효성의척도를말 2
한다. ( 너 ) 기계제어시스템 (Machine Control System)" 이라함은기계요소, 작업자, 외부제어장치또는이들의조합으로부터의입력신호에반응하고의도한방식으로기계가동작하도록출력신호를생성하는시스템을말한다. (2) 그밖에이지침에서사용하는용어의정의는이지침에특별한규정이있는경우를제외하고는산업안전보건법, 같은법시행령, 같은법시행규칙, 안전보건규칙및고용노동부고시에서정하는바에의한다. 4. 평균위험고장시간 (MTTF d ) 고려사항 (1) 각채널의 MTTF d 값은 3개의수준 (< 표 1> 참조 ) 으로주어지고, 단일채널, 다중시스템의각채널마다개별적으로고려되어야한다. (2) MTTF d 는 100년을최대값으로고려한다. (3) 각채널의 3년미만의 MTTF d 값은시장에나온 1년후에모든시스템의약 30% 가고장나거나교체할필요가있다는것을의미하기때문에실제 SRP/CS 에서발견되지않을것으로예상한것이다. (4) 고위험성에대한 SRP/CS는단일요소만의신뢰성에의존하지않는것이좋으므로각채널의 100년이상의 MTTF d 값은허용되지않는다. (5) 체계상의고장과우발적인고장에대하여 SRP/CS를강화하기위해중복성과시험과같은추가수단이요구되는것이좋으나실용적인목적을위해범위는 3개로제한되어있다. 3
(6) 구성품의 MTTF d 의예측을위해데이터를찾기위한계층적절차는다음순서와같아야한다. 1 제조사의데이터사용 2 단일구성요소의 MTTF d 값계산또는결정 / 결과평가 3 각각의채널에대한 MTTF d 추정의간단한방법 4 10년을선택 5. 단일구성요소의 MTTF d 값계산 5.1 일반적적용방법다음의기준을충족하는경우구성요소의 MTTF d 또는 B 10d 값을 < 표 2> 에따라추정할수있다. (1) 구성요소가 ISO 138492에따른기본적이고충분한시험을거친안전원칙또는부품의설계를위한관련표준 (< 표 2> 참조 ) 에의해제조되었다.( 부품제조자의데이터시트에서확인가능 ) (2) 부품제조자가사용자에게적절한적용범위와작동조건을지정하였다. (3) 구성요소의구현및작동을위해 SRP/CS의설계가 ISO 138492:2012에따른기본적이고충분한시험을거친안전원리를충족하였다. 5.2 유압부품의 MTTF d 다음의기준을충족했을때밸브같은단일유압부품의 MTTF d 값은 150년으로추정될수있다. (1) 유압부품이 ISO 138492:2012(< 표 2>, < 표 3> 참조 ) 를따라유압부품의설계를위한기본적이고충분한시험을거친안전원칙에따라제조되었다 ( 부품제조사의데이터시트에서확인 ) (2) 유압부품의제조자가사용자에게적절한적용범위와작동조건을지정했을때 SRP/CS 제조자는유압부품의구현및운영을위해 ISO 138492:2012(< 표 2> 4
과 < 표 3>) 에의한기본적이고충분히시험된안전성의원칙적용의책임에관계된정보를제공해야한다. (3) 본항의 (1) 와 (2) 중하나가충족되지않았을경우단일유압부품의 MTTF d 값은제조자가제공해야한다. 5.3 공압, 기계, 기전부품의 MTTF d 5.3.1 일반사항 (1) 공압, 기계그리고기전 ( 공압밸브, 릴레이, 차단기, 위치스위치, 위치스위치캠등 ) 관련부품의 MTTF d 는연간단위로주어지며이표준에의해요구되는위험한평균고장시간 ( 구성요소의 MTTF d ) 을계산하는것은어려울수있다. (2) 대부분이런종류의부품제작자는단지 10 % 의부품이위험한고장을발생할때까지의평균작동횟수 (B 10d ) 만을제공한다. (3) 이절은제조자가제공하는 B 10 ( 부품의 10% 가고장을발생할때까지의평균작동횟수 ) 또는 T( 수명 ) 을이용하여부품에대한 MTTF d 를계산하는방법을제공한다. (4) 다음조건이충족되었을때단일공압용, 기전용또는기계용부품 MTTF d 값은 5.4.2에따라추정될수있다. 1 부품들은부품의설계를위해 < 표 9> 에따른기본안전원칙에따라제조된다.( 이정보는부품제조사의데이터시트에기재되어있다 ). 2 범주 1, 2, 3 또는 4에사용되는부품들은부품의설계를위해 ISO 138492:2012에따라충분히시험된안전원칙에따라제조된다. 3 부품제조사가사용자에게적절한적용분야와작동조건을제시한다. 즉 SRP /CS 제조자는부품의구현및운영을위해 KS B ISO 138492:2012에의한기본적이고충분히시험된안전성의원칙을적용하는책임에관계된정보를제공해야한다. 범주 1, 2, 3 또는 4 의경우사용자는부품의구현및작동을위해 ISO 138492:2012( 표 B.2나표 D.2) 에의한충분히검토된안전원칙을충족하기위한사용자의책임에대해통보받아야한다. 5
5.3.2 B 10d 를이용한부품의 MTTF d 계산 (1) 부품의 10 % 가위험한고장 (B 10d ) 1) 을발생할때까지의평균동작횟수는반드시부품의제조자에의해시험방법 ( 예를들면 IEC 6095751, ISO 19973, IEC 61810) 에대한관련제품표준에따라결정되는것이좋다. (2) 시험중에모든부품이위험한고장을나타낸것이아니라면 ( 예를들면, 시험된 7개의부품중오직 5개만위험한고장발생 ), 위험하지않게고장난부품들을고려한분석이수행되는것이좋다. 1) B 10 이주어지지않는다면 B 10d 의 50 % 가사용될수있다. 따라서 B 10d = 2B 10 이추천된다. 6
7
(3) 부품의 MTTF d 는부품의 10 % 가위험한고장인평균동작횟수 B 10d 와연간작업의 평균개수인 n op 로다음과같이계산된다. B d MTTF d nop (5.1) 여기에서 (5.2) 부품의활용에대해다음을가정하였다. h op 는일간시간으로나타내는평균작업이다. d op 는연간일수로나타내는평균작업이다. t cycle 은부품의 2개연속사이클의시작사이의평균시간이며, ( 예를들면, 밸브의스위칭 ) 사이클당초로나타낸다. (4) 10% 의부품이위험한고장을일으킬때까지의평균동작횟수인 B 10d 는, 연간작업의평균수인 n op 을사용하여, 10% 의부품이위험한고장을일으킬때까지의평균시간인 T 10d 로변환될수있다. (5.3) (5) 식 (5.3) 을식 (5.1) 에대입하면 (5.4) 5.4 전기부품의 MTTF d 데이터 5.4.1 일반사항 (1) < 표 3> < 표 8> 는전자부품에대한 MTTF d 의몇가지전형적인평균값을 보여준다. 데이터는 SN 29500 시리즈의데이터베이스에서추출되었다. (2) 모든데이터는일반적인유형이다. 다양한전자부품의 MTTF d 값을나타내는 8
다양한데이터베이스참고문헌의목록참조가사용가능하다. SRP/CS 설계자가사용된부품에대한다른신뢰할수있고, 구체적인데이터를가지고있다면그데이터를대신활용하는것이좋다 (3) < 표 3> < 표 8> 에나타나있는값은 40 온도, 전류와전압에대한정격부하에대해서유효하다. (4) < 표 3> < 표 8> 의 MTTF 열에서 SN 29500로부터얻어진값은일반적부품의모든가능한고장모드 ( 항상위험한고장은아닌 ) 에적용된다. (5) 부품의전형적인 MTTF d 를결정하는정확한방법은 FMEA를수행하는것이다. (6) 스위치로사용되는트랜지스터와같은몇몇의부품은고장으로인해합선또는기능중지가발생될수있다. 이두가지모드중단지하나만이위험할수있다. 따라서 비고 " 열은단지 50 % 의위험한고장을가정하게된다. 5.4.2 반도체 MTTF d 데이터 SN 29500 로부터얻어진반도체에적용되는부품에대한 MTTF d 값은 < 표 3> 와 < 표 4> 를참조하라 9
5.4.3 수동회로소자 MTTF d 데이터 SN 29500 로부터얻어진수동회로소자에적용되는부품에대한 MTTF d < 표 5> < 표 8> 을참조하라 값은 10
6. 각각의채널에대한평균위험고장시간 (MTTF d ) 값추정방법 6.1 부품수계산방법 (1) ' 부품수계산방법 ' 의사용은각채널에대한 MTTF d 를추정하는데적합하다. 채널의부분인모든단일부품의 MTTF d 값이이계산에사용된다. 11
(2) 일반적인공식은다음과같다. MTTFd N i MTTFdi N j 여기서 MTTF d 는완전한채널에대한값이다. n j MTTFdj (6.1) MTTF di 와 MTTF dj 는안전기능에기여도를갖는각부품의 MTTF d 이다. (3) 식 (6.1) 에서첫번째합은각부품들에대해각각더한값이다. 두번째합은같은 MTTF dj 을가진모든 n j 개의동일한컴포넌트가함께묶인동등하면서단순화된 형태이다. (4) < 표 9> 에제시된예시는 21.4 년채널의 MTTF d 값을보여주는데, < 표 1> 에따라 그값은 ' 중간 ' 이다. (5) 이방법은채널내의어떤컴포넌트의위험한고장이그채널의위험한고장을 야기시킬수있다는가정에기초한다. 12
6.2 다양한이중화채널의 MTTF d 계산방법 (1) 채널의 MTTF d 값이다를경우두가지가능성이존재하는데첫째는최악의상황을가정했을때, 낮은값을고려하는것이좋고, 둘째는식 (6.2) 를활용하여각채널의 MTTF d 값으로치환될수있는추정값으로사용될수있다. MTTF d MTTFdC MTTF dc MTTFdC MTTFdC (6.2) (2) 식 (6.2) 에서 MTTF dc1 과 MTTF dc2 는두개의다른이중화채널에대한값이다. 한개의채널은 MTTF dc1 = 3 years의값을가지고, 다른채널은 MTTF dc2 = 100 years의값을가지면, 각채널당 MTTF d = 66 years의값을가지게된다. (3) 식 (6.2) 를이용하여, 두개의채널과각채널당다른 MTTF d 값을가진한개의중복시스템이각채널에동일한 MTTF d 값을가진한개의중복시스템으로치환될수있다. 이방법은독립적인병렬채널로가정한것이다. 13