KOSHA GUIDE M 기계안전을위한제어시스템의안전관련부품류설계기술지침 한국산업안전보건공단

Similar documents
KOSHA GUIDE M 안전제어시스템설계를위한평균위험고장시간 (MTTF d ) 계산지침 한국산업안전보건공단

제 KI011호사업장 : 서울특별시구로구디지털로26길 87 ( 구로동 ) 02. 공산품및소비제품 생활용품검사검사종류검사품목검사방법 안전확인대상생활용품 생활 휴대용레이저용품 안전확인대상생활용품의안전기준부속서 46 ( 국가기술표준원고시제 호 (

MD-C-035-1(N-71-18)

Microsoft Word - PLC제어응용-2차시.doc

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

온습도 판넬미터(JTH-05) 사양서V1.0

- 2 -


실험 5

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

Frama-C/JESSIS 사용법 소개

Microsoft Word - Lab.4

KMC.xlsm

1. REACTOR TAP 90% 로변경, 제작공급한사유 - 고객요청사항은 REACTOR 80% 운전기준임. - 삼성테크윈에서사용하는표준 REACTOR 사양은 80%, 75%, 70% 로 STARTER 도면은표준사양으로제출됨. - 동프로젝트용모터사양서 / 성적서확인결과

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

BN H-00Kor_001,160


PowerPoint Presentation

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx


실험 5

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

개인용전기자극기의 안전성및성능평가가이드라인

이 장에서 사용되는 MATLAB 명령어들은 비교적 복잡하므로 MATLAB 창에서 명령어를 직접 입력하지 않고 확장자가 m 인 text 파일을 작성하여 실행을 한다

H3250_Wi-Fi_E.book

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

(b) 연산증폭기슬루율측정회로 (c) 연산증폭기공통모드제거비측정회로 그림 1.1. 연산증폭기성능파라미터측정회로

(b) 미분기 (c) 적분기 그림 6.1. 연산증폭기연산응용회로

Flowchart 작성법


<BFACBDC0B9AEC1A6C7AEC0CC5F F E687770>

Microsoft PowerPoint - 30.ppt [호환 모드]

Chapter ...

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

임베디드시스템설계강의자료 6 system call 2/2 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

3. 다음은카르노맵의표이다. 논리식을간략화한것은? < 나 > 4. 다음카르노맵을간략화시킨결과는? < >


OCW_C언어 기초


슬라이드 1

EMCA-EC_STO_BES_E_ a_ k1

STATICS Page: 7-1 Tel: (02) Fax: (02) Instructor: Nam-Hoi, Park Date: / / Ch.7 트러스 (Truss) * 트러스의분류 트러스 ( 차원 ): 1. 평면트러스 (planar tru

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

목차 Ⅰ 시험개요 1 Ⅱ 건전지품질비교시험결과요약 4 Ⅲ 건전지종합평가표 8 Ⅳ 시험결과조치계획 9 [ ]

학습목차 2.1 다차원배열이란 차원배열의주소와값의참조

제목을 입력하십시오

No Slide Title

ADP-2480

<3235B0AD20BCF6BFADC0C720B1D8C7D120C2FC20B0C5C1FE20322E687770>

<322EBCF8C8AF28BFACBDC0B9AEC1A6292E687770>

열거형 교차형 전개형 상승형 외주형 회전형 도해패턴 계층형 구분형 확산형 합류형 대비형 상관형 (C) 2010, BENESO All Rights Reserved 2

BY-FDP-4-70.hwp

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint 상 교류 회로

Microsoft PowerPoint - chap06-2pointer.ppt

CD 2117(121130)

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

Microsoft PowerPoint - additional01.ppt [호환 모드]

PowerPoint 프레젠테이션

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

슬라이드 1

Microsoft Word - logic2005.doc

- 2 -

국가건설기준 설계기준 Korean Design Standard KDS : 2016 쌓기 깎기설계기준 2016 년 6 월 30 일제정

System Recovery 사용자 매뉴얼

<4D F736F F D20C0CCBEBEC1A6BEEE5FC3A5BCD2B0B35F >

제목을 입력하십시오

Microsoft PowerPoint - e pptx

2013unihangulchar {45380} 2unihangulchar {54617}unihangulchar {44592} unihangulchar {49328}unihangulchar {50629}unihangulchar {51312}unihangulchar {51

실험. Multimeter 의사용법및기초회로이론 Multimeter 의사용법 멀티미터 (Multimeter) 는저항, 전압, 전류등을측정할수있는계측기로서전면은다음그림과같다. 멀티미터를이용해서저항, 전압, 전류등을측정하기위해서는다음그림과같은프로브 (probe) 를멀티미터

PowerPoint Presentation

조사보고서 구조화금융관점에서본금융위기 분석및시사점

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지

<BFACBDC0B9AEC1A6C7AEC0CC5F F E687770>

<4D F736F F F696E74202D20B8B6C0CCC5A9B7CEC7C1B7CEBCBCBCAD202839C1D6C2F7207E203135C1D6C2F >

쓰리 핸드(삼침) 요일 및 2405 요일 시간, 및 요일 설정 1. 용두를 2의 위치로 당기고 반시계방향으로 돌려 전날로 를 설정합니다. 2. 용두를 시계방향으로 돌려 전날로 요일을 설정합니다. 3. 용두를 3의 위치로 당기고 오늘 와 요일이 표시될 때까지 시계방향으로

슬라이드 1

<B4EBC7D0BCF6C7D02DBBEFB0A2C7D4BCF62E687770>

Microsoft PowerPoint - Ch13

KC CODE KCS 국가건설기준표준시방서 Korean Construction Specification KCS : 2017 상수도공사 공기기계설비 2017 년 8 월일제정 국가건설기준

디지털TV솔루션 브로셔

1_cover

HXG350 설치부품 HXG0350IP03-FC-150 HSX0350IP04-FFC-350 HSX0350IP03-FCS-32

슬라이드 1

<4D F736F F F696E74202D2035BBF3C6F2C7FC5FBCF8BCF6B9B0C1FA2E BC8A3C8AF20B8F0B5E55D>

[ 마이크로프로세서 1] 2 주차 3 차시. 포인터와구조체 2 주차 3 차시포인터와구조체 학습목표 1. C 언어에서가장어려운포인터와구조체를설명할수있다. 2. Call By Value 와 Call By Reference 를구분할수있다. 학습내용 1 : 함수 (Functi

Microsoft PowerPoint - es-arduino-lecture-03

COMFILE_VOL13_ cdr

BS-K1217-M□□-3012_ProductGuide_KR_PDF

EM601.hwp

AVSHH100B10 IM.~20.

실험 5

XGT InfoU_K_160411

1 경영학을 위한 수학 Final Exam 2015/12/12(토) 13:00-15:00 풀이과정을 모두 명시하시오. 정리를 사용할 경우 명시하시오. 1. (각 6점) 다음 적분을 구하시오 Z 1 4 Z 1 (x + 1) dx (a) 1 (x 1)4 dx 1 Solut

숙련기술인의경제적 사회적지위 분석을위한측정지표개발

핵 1 학년 2 학년 3 학년합계 문학과예술 역사와철학 사회와이념 선택 학점계 학년 2 학년 3 학년합계비고 14 (15) 13 (14) 27 (29) 2

SBR-100S User Manual

BC6HP Korean.ai

Transcription:

M-192-2017 기계안전을위한제어시스템의안전관련부품류설계기술지침 2017. 11. 한국산업안전보건공단

안전보건기술지침의개요 작성자 : 한국산업안전보건공단이진우 제 개정경과 - 2017 년 11 월기계안전분야제정위원회심의 관련규격및자료 - KS B ISO 12100, 기계안전 - 설계일반원칙 - 위험성평가와위험성감소 - KS B ISO 13849-1, 기계안전 - 제어시스템의안전관련부품 - 제 1 부 : 설계일반원칙 - KS B ISO 13849-2, 기계안전 - 제어시스템의안전관련부품 - 제 2 부 : 검증 - KS C IEC 60204-1, 기계류의안전성 - 기계의전기장비 - 제 1 부 : 일반요구사항 - KS C IEC 61508-1, 전기 / 전자프로그램가능한전자장치안전관련시스템의기능안전성 - 제 1 부 : 일반요구사항 - KS C IEC 61508-3, 전기 / 전자프로그램가능한전자장치안전관련시스템의기능안전성 - 제 3 부 : 소프트웨어요구사항 - KS C IEC 61508-4, 전기 / 전자프로그램가능한전자장치안전관련시스템의기능안전상 - 제 4 부 : 정의및약어 - KS C IEC 62061, 기계안전 - 전기 / 전자프로그램가능한전자장치안전관련시스템의기능안전성 관련법규 규칙 고시등 - 산업안전보건기준에관한규칙제 2 편안전기준제 1 장 ( 기계 기구및그밖의 설비에의한위험예방관련 ) 기술지침의적용및문의 이기술지침에대한의견또는문의는한국산업안전보건공단홈페이지안전보 건기술지침소관분야별문의처안내를참고하시기바랍니다. 공표일자 : 2017 년 11 월 27 일 제정자 : 한국산업안전보건공단이사장

기계안전을위한제어시스템의안전관련부품류설계기술지침 1. 목적 이지침은사업장에서사용되는각종기계 기구및설비에설치되는제어시스템의안전 관련부품류의설계를위한성능수준 (PL) 결정에필요한사항을정함을목적으로한다. 2. 적용범위 이지침은소프트웨어의설계를포함한제어시스템의안전관련부품류의설계및통합원칙에대한안전요건과지침을제공하고, 제어시스템의안전관련부품 (SRP/CS) 이안전기능을수행하는데필요한성능수준을포함한특성을명시한다. 또한이지침은전기, 유압, 공압, 기계등사용되는에너지형태에관계없이모든종류의기계류를위한제어시스템의안전관련부품에적용된다. 3. 용어의정의 (1) 이지침에서사용하는용어의뜻은다음과같다. ( 가 ) 제어시스템의안전관련부품 (SRP/CS: Safety-Related Part of a Control System)" 이라함은안전관련입력신호에응답하고안전관련출력신호를발생 시키는제어시스템의부품류를말한다. ( 나 ) 범주 (Category)" 이라함은결함에대한내성및, 부품의구조적배치, 결함의 감지및또는감지신뢰성에의해달성되는결함상태에서의후속조치관점에 서의제어시스템안전관련부품들의분류를말한다. ( 다 ) 결함 (Fault)" 이라함은예방정비작업중이나기타계획된활동또는외적자 원의부족에기인한경우를제외하고, 주어진기능을수행할능력이상실된품 목의상태를말한다. ( 라 ) 고장 (Failure)" 이라함은품목에있어요구되는기능을수행할수있는능력 이중단된것을말한다. - 1 -

( 마 ) 위험한고장 (Dangerous Failure)" 이라함은 SRP/CS를위험한상태나기능장애상태로만들수있는가능성이있는고장을말한다. ( 바 ) 공통원인고장 (Common Cause Failure)" 이라함은단일사건으로부터유발된 다른품목들의고장으로이고장은품목간상호작용의결과가아니다. ( 사 ) 계통적고장 (Systematic Failure)" 이라함은특정한원인에대해확정적으로 관계된고장으로, 설계나제조공정, 작업절차, 문서화또는다른관련요소의 수정에의해서만제거가능한고장을말한다. ( 아 ) 기능정지 (Muting)" 이라함은 SRP/CS 에의한안전기능이일시적으로자동정 지하는것을말한다. ( 자 ) 수동리셋 (Manual Reset)" 이라함은한개또는그이상의안전기능을기계 를재시작하기전에수동으로회복시키는 SRP/CS 에내재된기능을말한다. ( 차 ) 상해 (Harm)" 이라함은신체적부상이나건강상의손실을말한다. ( 카 ) 위험요인 (Hazard)" 이라함은잠재적인상해의근원을말한다. ( 타 ) 위험한상황 (Hazardous Situation)" 이라함은사람이한가지이상의위험요 인에노출되어즉시또는장기간에걸친상해를야기할수있는가능성이있 는상황을말한다. ( 파 ) 위험성 (Risk)" 이라함은상해발생확률과상해심각성의조합을말한다. ( 하 ) 잔존위험성 (Residual Risk)" 이라함은보호조치시행이후에도남아있는위험성 을말한다. ( 거 ) 위험성평가 (Risk Assessment)" 이라함은위험성분석과위험성추정결정 / 결과 평가로구성되는전체과정을말한다. ( 너 ) 위험성분석 (Risk Analysis)" 이라함은기계의한계명시, 위험요인파악식별 및위험성추정의조합을말한다. - 2 -

( 더 ) 위험성결정 / 결과평가 (Risk Evaluation)" 이라함은위험성분석을토대로위험성감소목표의달성여부를판단하는것을말한다. ( 러 ) 기계의의도된사용 (Intended Use of a Machine)" 이라함은사용설명서에 명시된사용정보에따라기계를사용하는것을말한다. ( 머 ) 합리적으로예측가능한오용 (Reasonably Foreseeable Misuse)" 이라함은 설계자가의도하지않은방식으로기계를사용하지만, 쉽게예측할수있는인 간행동에기인한오용을말한다. ( 버 ) 안전기능 (Safety Function)" 이라함은고장이나면위험성이바로증가할수 있는기계의기능을말한다. ( 서 ) 감시 (Monitoring)" 이라함은구성품이나요소의기능수행능력이감소할경우 또는위험성감소의양이줄어들도록공정조건이변화하는경우보호조치가개 시되는것을보장하는안전기능을말한다. ( 어 ) 프로그램가능한전자시스템 (PES: Programmable Electronic System)" 이라함은하나이상의프로그램가능한전자장치를구동하기위하여적용되는제어, 보호또는감시를위한시스템으로서, 전원공급장치, 센서, 그외의입력장치, 전원보호장치및그외의출력장치가포함된것을말한다. ( 저 ) 성능수준 (PL: Performance Level) 이라함은예측가능한상태에서안전기 능을수행할수있는제어시스템의안전관련부품류의능력을규정하는불연 속적인수준을말한다. ( 처 ) 성능요구수준 (PLr: Required Performance Level)" 이라함은각안전기능에 대한위험성감소를달성하기위해요구되는성능수준 (PL) 을말한다. ( 커 ) 평균위험고장시간 (MTTF d : Mean Time to Dangerous Failure)" 이라함은위 험한평균고장시간의기대값을말한다. ( 터 ) 단위시간당위험한고장확율 (PFHd: Probability of Dangerous Failure Hour)" 이라함은시간당발생하는위험한고장의평균확률을말한다. - 3 -

( 퍼 ) 진단범위 (DC: Diagnostic Coverage)" 이라함은감지된위험한고장의고장률과모든위험한고장의고장률의비율로결정되는진단유효성의척도를말한다. ( 허 ) 보호조치 (Protective Measure)" 이라함은위험성감소달성을목적으로시행 하는조치를말한다. ( 고 ) 임무시간 (T M : Mission Time)" 이라함은 SRP/CS 의의도된사용시간동안의 기간을말한다. ( 노 ) 시험빈도 (r t : Test Rate)" 이라함은 SRP/CS 의결함을감지하기위해자동으 로수행하는시험의주기로진단시험간격의역수값을말한다. ( 도 ) 요구빈도 (r d : Demand Rate)" 이라함은 SRP/CS 의안전관련조치에대한요 구의빈도를말한다. ( 로 ) 수리율 (r r : Repair Rate)" 이라함은온라인시험이나시스템의명백한오작동 에의한위험한고장의감지와수리후동작의재개나시스템 / 요소교환후 동작의재개간시간주기의역수값을말한다. ( 모 ) 기계제어시스템 (Machine Control System)" 이라함은기계요소, 작업자, 외부 제어장치또는이들의조합으로부터의입력신호에반응하고의도한방식으로 기계가동작하도록출력신호를생성하는시스템을말한다. ( 보 ) 안전무결성수준 (SIL: Safety Integrity Level)" 이라함은 E/E/PE 안전관련시스템의안전기능의안전무결성요구사항을규정하기위한불연속적수준 ( 가능한 4개중 1개 ) 으로안전무결성수준 4가가장높은안전무결성수준을가지며, 1이가장낮은것을말한다. ( 소 ) 제한된변화언어 (LVL: Limited Variability Language)" 이라함은안전요구사 항시방을구현하기위해수용가능한사전정의된언어와특정응용프로그램 용라이브러리함수를제공하는언어의형태를말한다. - 4 -

( 오 ) 전체변화언어 (FVL: Full Variability Language)" 이라함은광범위한함수와어플리케이션을구현할수있는능력을제공하는언어의형태를말한다. ( 조 ) 응용소프트웨어 (Application Software)" 이라함은응용목적에특정한소프트웨어로, 기계제작자에의해구현되고, 일반적으로로직시퀀스, 적절한입출력, SRP/CS의요구사항을만족시키기위해필요한계산과결정을제한하고제어하는표현들을포함하고있는것을말한다. ( 초 ) 임베디드소프트웨어 (Embedded Software), 펌웨어 (Firmware), 시스템소프트웨어 (System Software)" 이라함은제어제작사에의해공급되는시스템의일부분인소프트웨어로, 기계류의사용자는수정을위한접근이불가능한것을말한다 (2) 그밖에이지침에서사용하는용어의정의는이지침에특별한규정이있는 경우를제외하고는산업안전보건법, 같은법시행령, 같은법시행규칙, 안 전보건규칙및고용노동부고시에서정하는바에의한다. 4. 설계고려사항 4.1 위험성감소전략 (1) 일반사항 ( 가 ) 기계에대한위험요인분석과위험성감소절차는아래와같이단계적조치를통한위험요인의제거또는감소를요구한다. 1 설계에의한위험요인제거또는위험성감소 2 방호조치및보조보호조치에의한위험성감소 3 잔존위험성에대한사용정보의제공에의한위험성감소 (2) 제어시스템을이용한위험성감소전략 - 5 -

- 6 -

- 7 -

( 가 ) 기계설비제어시스템의안전관련구성품들에의하여수행될수있는안전기능 - 을목록화하고각각의안전기능에필요한특성을지정한후 < 그림 1-2> 과같 은반복적인설계절차를수행한다. ( 나 ) 각각의안전기능에대한특성과성능요구수준이명시되어야하고안전요건시 방이작성되어야한다. ( 다 ) 다섯단계의성능수준은시간당위험한고장이발생하는확률의범위로규정되 어있다. PL 시간당위험한고장의평균확률 1/h a 10-5 < 10-4 b 3 x 10-6 < 10-5 c 10-6 <3 10-6 d 10-7 < 10-6 e 10-8 ~ < 10-7 (3) 위험성감소조치 ( 가 ) 성능수준 (PL) 결정평가결과성능요구수준 (PLr) 을충족시키지못할경우위험성을감소하기위한보호조치는주로다음과같이적용한다. 1 안전기능에영향을미치는고장이나결함의가능성을줄이는것이므로구성요소의신뢰성을높인다. 2 SRP/CS의구조를개선하여결함의위험한영향을회피하는것이므로어떤결함은감지될수있도록중복또는감시되는구조를적용한다. 3 두방법은개별적으로또는조합하여적용할수있다. 4.2 성능요구수준 (PLr) 결정 4.2.1 일반사항 (1) 제어시스템의안전관련구성품 (SRP/CS) 에의해수행되는안전기능에대해성능 - 8 -

요구수준 (PLr) 을결정하는것이며, 이러한성능요구수준의결정은위험성평가의결과이다. (2) 성능요구수준 (PLr) 은제어시스템의안전관련구성품에의해수행되어야할위험 성감소의크기를나타내는것이며, 제어시스템의안전관련구성품에의해제공 되는위험성감소의크기가클수록 PLr 값이높게된다. 4.2.2 성능요구수준 (PLr) 결정방법 (1) 성능요구수준은제어시스템 ( 예를들면, 기계적보호장치 ) 또는추가적인안전기 능들과무관한다른기술적방법에의하여위험성감소가기대되는안전기능에 의하여결정한다. (2) 상해의심각도 S1, S2 ( 가 ) 안전기능의고장으로부터발생하는위험성의추정에서는오직경미한부상들 ( 보통원상회복이가능한 ) 과심각한부상들 ( 보통원상회복이불가능한 ) 그리고 사망만을고려한다 ( 나 ) 합병증이없는타박상또는열상은 S1 으로분류하고절단또는사망은 S2 로설정한다. (3) 위험요인에대한빈도, 노출시간 F1, F2 ( 가 ) 파라미터 F1 또는 F2 에대해선택되는일반적인유효시간주기는명시하기어 려우나사람이자주또는지속적으로위험요인에노출된다면 F2 로선택한다. ( 나 ) 빈도파라미터는위험요인에대한접근빈도와기간에따라서선택한다. ( 다 ) 위험요인에대한노출기간은장비가사용되는총기간에대하여측정한평균 을기준으로결정하고결과를평가하는것이바람직하다. 예를들면작업물을 공급하고이동시키기위한주기적작업의사이사이에기계와기구들사이에 - 9 -

정기적으로접근하는것이필요하다면 F2 가선택되는것이좋고, 간헐적인접 근만이요구된다면 F1 이바람직하다. R h R r R a 특정한위험한상황에대한, 보호조치가적용되기전의위험성 보호조치로부터요구되는위험성감소 보호조치에의해달성된실제위험성감소 1 해결책 1 - SRP/CS 외의보호조치 ( 예를들면, 기계적수단 ) 에소의중요한부분, SRP/CS 에의해위험성이감소된작은부분 2 해결책 2 - SRP/CS 에의해위험성이감소된주요한부분 ( 예를기 ), SRP/CS 외의보호조치 ( 예를들면, 기계적수단 ) 에의해감작은부분 3 충분히감소된위험성 4 불충분한위험성감소 R a b 위험성 해결책 1,2 에대한잔존위험성 충분히감소된위험성 R 1 S R P / C S R2 SRP/CS SRP/CS 에의해수행된안전기능으로인한위험성감소 R1 M, R2 M SRP/CS 이외의보호조치로부터의위험성감소 ( 예. 기계적수단 ) 비고 위험성감소에대한추가정보는 KSB ISO 12100 참조 - 10 -

(2) 위험요인 P1 과 P2 를회피할수있는가능성 ( 가 ) 위험한상황이사고로이어지기전에인지하고회피할수있는지를아는것은 중요하므로위험요인이물체의물리적특성에의해직접파악이나식별되는지 또는지시기와같은기술적수단에의해서만인지되는지의여부를고려한다. - 11 -

( 나 ) 파라미터 P의선택에영향을미치는다른중요한측면은감독없는경우나감독이있는경우의작동여부, 전문가또는비전문가에의한작동여부, 위험요인이발생하는속도 ( 예를들면빠르거나느리게 ), 위험요인회피의가능성 ( 예를들면탈출에의해 ) 여부, 공정에관계된실질적인안전경험의보유여부등에따라설정한다. ( 다 ) 위험한상황이발생했을때사고를회피하거나그영향을현저히저하시킬수 있는가능성이있는경우에는 P1, 위험요인을회피할가능성이거의없는경 우 P2 를선택한다. 4.3 제어시스템의안전관련부품 (SRP/CS) 의설계 (1) 위험성감소절차의일부분은기계의안전기능을결정하는것이며, 이는제어시스 템의안전기능을포함한다. (2) 안전기능은하나또는그이상의 SRP/CS 에의해구현될수있다. 여러안전기 능은하나이상의 SRP/CS 을공유할수있다. (3) 하나의 SRP/CS 은안전기능및표준제어기능을구현하는것도가능하므로설계 시기술을단독이나조합으로사용할수있다. (4) 전형적인안전기능의도식적표현이제어시스템의안전관련부품 (SRP/CS) 의조합을나타내는 < 그림 4> 에나타나있다. 1 입력 (SRP/CS a ) 2 로직공정 (SRP/CS b ) 3 출력전원제어부품 (SRP/CS c ) 4 상호연결수단 (i ab, i bc ) (5) 제어시스템의안전기능파악식별후, 설계자는 SRP/CS 을파악 / 식별해야하고 - 12 -

< 그림 1-2>, 필요에따라그것들을입력, 로직, 출력및중복의경우개별채널로할당한후성능수준 PL을결정하고결과를평가해야한다. 단, 모든상호연결수단은안전관련부품에포함되어있다. < 그림 4> 전형적인안전기능수행을위한제어시스템의안전관련부품조합의도식적표현 4.4 달성된성능수준 PL 의결정및결과평가 4.4.1 성능수준 PL (1) 안전기능을수행하는안전관련부품의능력은성능수준의결정을통해표현된다. (2) 안전기능을수행하는선택된개별 SRP/CS 또는조합된 SRP/CS 에 PL 의예측이 수행되어야한다. (3) 제어시스템의안전관련부품 (SRP/CS) 의 PL은다음과같은측면의추정에의해결정되어야한다. 1 단일구성요소의 MTTF d 2 DC 3 CCF 4 제어시스템구조 - 13 -

5 결함상태에서의안전기능의동작 6 안전관련소프트웨어 7 계통적고장 8 예상되는환경조건에서안전기능을수행하는능력 4.4.2 각채널의평균위험고장시간 (MTTF d ) (1) 각채널의 MTTF d 값은 3 개의수준 (< 표 2> 참조 ) 으로주어지고, 단일채널, 다중 시스템의각채널마다개별적으로고려되어야한다. (2) MTTF d 는 100 년을최대값으로고려한다. (3) 각채널의 3 년미만의 MTTF d 값은시장에나온 1 년후에모든시스템의약 30% 가고장나거나교체할필요가있다는것을의미하기때문에실제 SRP/CS 에서발견되지않을것으로예상한것이다. (4) 고위험성에대한 SRP/CS 는단일요소만의신뢰성에의존하지않는것이좋으므 로각채널의 100 년이상의 MTTF d 값은허용되지않는다. (5) 체계상의고장과우발적인고장에대하여 SRP/CS 를강화하기위해중복성과시 험과같은추가수단이요구되는것이좋으나실용적인목적을위해범위는 3 개 로제한되어있다. - 14 -

(6) 구성품의 MTTF d 의예측을위해데이터를찾기위한계층적절차는다음순서와같아야한다. 1 제조사의데이터사용 2 단일구성요소의 MTTF d 값계산또는결정 / 결과평가 [ 안전제어시스템설계를위한평균위험고장시간 (MTTF d ) 계산지침참조 ] 3 각각의채널에대한 MTTF d 추정의간단한방법 [ 안전제어시스템설계를위한평균위험고장시간 (MTTF d ) 계산지침참조 ] 4 10년을선택 4.4.3 진단범위 (DC) (1) DC 는감지된위험한고장율과전체위험한고장의고장율의비율로결정된다. (2) 진단범위 (DC) 의값은 < 표 3> 과같이 4 개의수준으로나누어진다. < 표 3> 진단범위 (DC) DC 명칭해당없음하중상 DC 범위 DC<60% 60% DC<90% 60% DC<99% 99% DC (3) 진단범위 (DC) 의추정을위해, 대부분의경우고장모드영향분석 (FMEA) 또는이와유사한방법을사용할수있다. 다만이경우모든관련결함모드나고장모드를고려해야하며, 안전기능을수행하는 SRP/CS 조합의 PL이성능요구수준 (PLr) 에비추어확인되는것이바람직하다. (4) 기능과모듈에대한진단범위의간단한추정방법은 < 표 4> 를참조하여구할수있다 (5) 평균진단범위 (DCavg) 의예측은다음과같이할수있다. 1 많은시스템에서, 결함감지에대해다양한방법들이사용될수있다. 즉이러 - 15 -

한방법들은 SRP/CS의다른부품들을검사할수있고그리고다른 DC를가질수있다는의미이다. 2 < 표 2> 에서따른 PL 추정시, 안전기능을수행하는전체 SRP/CS에대해유일하게평균 DC만적용할수있는것이다. 3 평균진단범위 DC avg 는다음공식에의하여추정된다. DC MTTFd DC avg MTTFd DC MTTFd MTTFd DC N MTTFdN MTTFdN 4 여기서결함제외가없는 SRP/CS의모든부품이고려되고, 더해지는것이좋고각각의블록에대해 MTTF d 와 DC가고려되는것이바람직하다. 5 이공식에서 DC는, 부품의모든위험한고장의고장률과부품의감지된위험한고장률에대한비율을의미한다. 6 고장감지가없는부품 ( 예를들면시험되지않은 ) 은 DC 값이 0 이고, DC avg 의분모에만기여한다. 4.4.4 PL 을예측하기위한단순한절차 (1) PL 은관련된모든매개변수와계산을위한적절한방법을이용하여예측할수 있는데여기서는지정아키텍처를기반으로 SRP/CS 의 PL 을예측하기위한단순 화된절차를보여준다. (2) 유사한구조를갖는몇가지다른아키텍처는 PL 의예측을얻기위해지정아키 텍처로변환할수있다. (3) 지정아키텍처는블록다이어그램으로표현되며 6 절의각범주의내용에나열되어 있다. - 16 -

방법 입력장치 입력신호의동적변화에의한반복실험자극 90% 타당성확인, 예를들면통상 NO, NC 는기계적으로연결된접점 (contacts) 의사용 동적시험없이입력을교차감시 합선을감지할수없을때동적시험을통한입력신호의교차감시 ( 여러 I/O 에대하여 ) 논리 (L) 내에서의입력신호와중간결과의교차감시, 그리고프로그램흐름의순간적그리고논리적소프트웨어감시및정적인결함과합선의감지여러 I/O 에대하여 ) 99% DC 0% 99%, 적용에따라얼마나자주신호변화가일어나는지에따라다름 간접적인감시 ( 예를들면압력스위치, 액추에이터의전기적위치감시 ) 적용에따라 90% 99% 90% 99% 직접적인감시 ( 예를들면제어밸브의전기적위치감시, 기계적으로연결된접촉요소를이용한기전장치의감시 ) 공정에의한결함감지 ; 센서의몇몇특성감시 ( 응답시간, 아날로그신호의범위, 예를들면전기저항, 전기용량 ) 논리간접적인감시 ( 예를들면압력스위치를이용한감시, 액추에이터의전기적인위치감시 ) 직접적인감시 ( 예를들면제어밸브의전기적위치감시, 기계적으로연결된접촉요소를이용한기전장치의감시 ) 간단한논리의순간적시간감시 ( 예를들면트리거지점이논리프로그램내에있는경우워치독으로서의타이머 ) 시험장치가논리의동작에대한타당성검증을하는경우, 워치독을이용하는논리의시간적그리고논리적감시 논리의일부분에잠재하는결함을감지하기위한자가시험개시 ( 예를들면프로그램과데이터메모리, 입력 / 출력포트. 인터페이스 ) 시작점또는안전기능이요구될때마다또는외부신호가입력장치를통해요구할때마다주채널을이용한감시장비의반응능력의검증 ( 예를들면워치독 ) 동적원리 ( 안전기능이요구될때논리의모든부품은상태를 ON- OFF-ON 으로바꿔야함, 예를들면릴레이에의해구현되는연동회로 99% 적용에따라 0% 99% 까지, 이방법하나만으로는성능요구수준 e 에충분하지않다! 60% 적용에따라, 90% 99% 90% 60% 90% 90%( 시험기술에따라 ) 90% 99% - 17 -

방법 불변메모리 : 한워드 (8 bit) 의특징 90% 불변메모리 : 두개의워드 (16 bit) 의특징 99% 가변메모리 : 중복데이터를이용한 RAM- 시험. 예를들어, 플래그, 마커, 상수, 타이머와이데이터에대한교차비교. 60% 가변메모리 : 사용된데이터메모리셀의읽고쓸수있는능력에대한검증 60% 가변메모리 : 수정된 Hamming 코드를이용한 RAM 감시 또는RAM 자가 테스트 ( 예를 들어. galpat" 또는 99% Abraham") 프로세스유닛 : 소프트웨어에의한자가테스트 60% 90% 프로세스유닛 : 코드화된처리 90% 99% 프로세스에의한결함감지 진단범위 적용에따라 0% 99%, 이방법하나만으로는성능요구수준 e 에충분하지않다! 출력장치 0% 99%, 응용에의해얼마나동적시험없는단일채널에의한출력감시자주신호변화가일어나는지에따라 0% 99%, 응용에의해얼마나동적시험없는교차감시자주신호변화가일어나는지에따라합선을감지없이동적시험에의한출력신호의교차감시 90 % 논리 (L) 내에서의출력신호와중간결과의교차감시, 그리고프로그램흐름의순간적그리고논리적소프트웨어감시및정적인결함과합선의감지 ( 여러 I/O 에대하여 ) 액추에이터감시없는중복차단경로 0% 논리또는시험장치에의해액추에이터중한개를감시하는기능을갖는중복차단경로논리또는시험장치에의해액추에이터감시기능을갖는중복차단경로 간접적인감시예를들면압력스위치, 액추에이터의전기적인위치감시 ) 프로세스에의한결함감지 < 표 4> 진단범위 (DC) 의추정 (2 의 2) 직접적인감시예를들면제어밸브의전기적위치감시, 기계적으로연결된접촉요소를이용한기전장치의감시 ) 99% 90% 99% 90% 99% 적용에따라 0 적용에따라 0% 99%, 이방법하나만으로는성능요구수준 e 에충분하지않다! 논리에대해중간혹은높은 DC 값이요구될때, 각 DC 가적어도 60% 인가변메모리, 비가변메모리, 그리고처리장치에대해적어도한개의방법이적용되는것이좋다. 99% (4) 지정아키텍처는각범주의시스템구조의논리적인표현을알려주는것이다. 1 지정아키텍처는결합된 SRP/CS 에대해그려져있는데, 안전관련신호가시작 - 18 -

되는지점에서시작하여전원제어요소의출력에서마무리한다. 2 지정아키텍처는입력신호에대응하고관련출력신호를생성하는제어시스템의일부나부속요소를설명하는데사용할수있다. 3 " 입력 요소는제어논리소자입력회로나입력스위치뿐만아니라라이터커튼 (AOPD) 으로도나타낼수있다. (5) 지정아키텍처에대해서는다음과같은가정을한다. 1 임무시간, 20년 2 임무시간내의일정한고장률 3 범주 2 경우요구빈도 1/100 테스트빈도 4 범주 2 경우시험채널의 MTTF d 가기능채널 MTTF d 의절반보다큼 (6) 각 SRP/CS 의성능수준은아키텍처, 각채널의평균위험고장시간 (MTTF d ) 과 DC avg 에따라달라지며, 공통원인고장 (CCF) 도고려하는것이좋다. (7) 소프트웨어를갖는 SRP/CS 의요구사항은다음절을참고하고정량적데이터를 구할수없거나사용하지않는경우 ( 예를들면, 복잡하지않은시스템 ), 모든관 련파라미터는최악의경우를선택하는것이좋다. (8) < 그림 5> 에서안전기능의요구되는 PL을달성하기위해범주를각채널의 MTTF d 와 Dc avg 를조합하여선택하는절차가나타나있다. 1 PL의예측을위해 < 그림 5> 는 DC avg ( 가로축 ) 와각채널의 MTTF d ( 막대 ) 를갖는다른가능한범주의조합을제공하고있음 2 그림의막대는요구되는 PL을달성하기위해선택할수있는각채널의 3개의 MTTF d 의범위 ( 낮음, 중간, 높음 ) 를나타낸것임 3 < 그림 5> 의단순화된접근법을사용하기전에, 평균진단범위와각채널의 MTTF d 뿐만아니라 SRP/CS의범주가결정되어야함 (9) 이영역의수직위치는수직축으로부터읽을수있는달성된 PL을결정한다. 1 구역이 2개또는 3개의가능한성능수준을포함하는경우, 달성된 PL은 < 표 5> 에기재되어있음 2 정확한 PL 수치의선택은각채널의 MTTF d 의정확한값에따라다름 - 19 -

4.4.5 공통원인고장 (CCF) 에대한추정 (1) 공통원인고장 (CCF) 의효과를추정하기위한정량적인절차는전체시스템에대 하여진행하는것이바람직하다. (2) 제어시스템의안전관련부품의모든부분이고려되는것이좋다. - 20 -

(3) < 표 6> 은공학적인판단에기초하여방법을나열하고관련된값을포함하고있는데, 이값들은공통원인고장을줄이는데기여한정도를나타낸다. (4) 각각나열된방법에대하여오직만점이나 0 점만을줄수있다. 만일항목이일 부만달성되었다면동항목에대한점수는 0 점으로처리한다. (5) 각항목의값을모두합산한값이 65 점이상일경우 4.4.4 절에서예측된성능지 수 PL 의요건이충족된것으로인정하지만 65 점이하일경우추가적인방법을 선택하여야한다. - 21 -

< 표 6> CCF 에대응하는방법의점수배점 (CCF) 번호 CCF 에대응하는방법점수 1 구분격리 신호경로사이의물리적인분리배선 / 배관에서의분리인쇄기판상의유격과 creep age 거리 15 2 다양성 다른기술설계또는물리적원리가사용된다, - 예를들어프로그램가능한전자의첫번째채널그리고확실히연결된두번째채널, 시작의종류, 압력과온도거리와압력측정, 디지털과아날로그, 다른제조자의부품들 20 3 설계 / 응용 / 경험 3.1 과전압, 과압력, 과전류에대한보호등 15 3.2 사용된부품들은충분한시험을거친것이다. 5 4 평가 / 분석설계에서공통원인고장을회피하기위해고장모드와효과분석의결과를고려하였는가? 5 5 `숙련도 / 훈련설계자가공통원인고장의원인과결과를이해할수있도록훈련을받았는가? 5 6 환경 6.1 6.2 - 적절한표준에따른오염방지와 CCF 에대한전자기적합성 (EMC) - 유체시스템 : 압축매개체의여과, 먼지흡입방지, 압축공기의배출, 예를들면압축매개체의순도에대한부품제조사의요구사항준수 - 전기시스템 : 시스템이전기자기적합성에대하여검사되었는가? 예를들면, CCF 대응표준에명시된대로 - 유체및전기혼합시스템의경우두개의관점을모두고려되는것이좋다. 다른영향들 - 온도, 충격, 진동, 습도와같은모든관련된환경적요인들에대한적합성에대한요구사항들을고려하였는가 25 10 총합 100 4.5 소프트웨어안전요구사항 4.5.1 일반사항 (1) 안전관련임베디드또는응용소프트웨어의전체수명주기활동은소프트웨어수 명주기동안유발되는결함을피하는것을일차적으로고려해야한다. (2) 소프트웨어는읽기쉽고, 이해하기쉽고, 테스트가능하고, 보수가능한것이어 야한다. - 22 -

4.5.2 안전관련임베디드소프트웨어 (SRESW) (1) PLr이 a d를갖는요소의 SRESW는다음과같은기본적인조치가적용되어야한다. 1 소프트웨어안전수명주기의검증활동과타당성확인활동 2 시방과설계문서 3 모듈, 구조설계및코딩 4 계통적고장의제어 5 무작위한하드웨어고장및올바른구현의검증을위하여소프트웨어기반의제어대책사용 6 기능테스트 7 수정후적절한소프트웨어안전수명주기활동 (2) PLr 이 c 나 d 인 SRESW 는다음의추가조치가적용되어야한다. 1 소프트웨어안전수명주기동안관련된모든활동의문서화 - 23 -

2 SRESW 출시관련모든구성항목및문서의파악식별을위한구성관리 3 안전요구사항과설계를포함한구조화된시방 4 적절한프로그래밍언어사용과능숙한컴퓨터기반도구사용 5 모듈과구조적프로그래밍, 비안전관련소프트웨어의분리, 완전하게정의된인터페이스와한정된모듈크기, 설계및코딩규격의사용 6 제어흐름분석을포함한단계별수행검토에의한코딩검증 7 확장된기능테스트 ( 예를들면성능테스트및시물레이션 ) 8 수정후충격분석과적절한소프트웨어안전수명주기활동 (3) PLr = e인경우의 SRESW는 SIL 3에적합한기준을준수해야한다. 다만시방범주 3 또는 4를갖는 SRP/CS의두채널에대해설계, 코딩의다양성을이용하는경우, PLr=e는위에서언급한 c나 d의 PLr에대한조치로달성가능하다. 4.5.3 안전관련응용소프트웨어 (SRASW) (1) 소프트웨어안전수명주기는 SRASW에도적용된다.(< 그림 6> 참조 ) (2) PLr이 a e를가지는 SRASW의구성요소는다음의기본적인조치가적용되어야한다. 1 검증활동과확인활동을포함한수명주기의개발은 < 그림 6> 을참조 2 시방과설계의문서화 3 모듈과구조적프로그래밍 4 기능테스트 5 수정후적절한개발활동 (3) PLr 이 c~e 를가지는구성요소의 SRASW 는다음의효율증대를수반한추가적 인조치가필요하거나권장된다. - 24 -

( 가 ) 안전관련소프트웨어의시방은반드시검토되어야하고, 수명주기에관련된모든사람이이용가능해야하며아래설명을포함해야한다. 1 요구되는 PL을갖춘안전기능및관련된동작모드 2 성능기준, 예를들면반응시간 3 외부신호인터페이스를갖춘하드웨어아키텍처 4 외부고장의감지와제어. ( 나 ) 도구, 라이브러리및언어의선택 1 사용자가능숙한도구 : 하나의구성요소와도구를사용하여달성된 PL = e 에대한도구는적절한안전표준을준수해야한다. 만약다양한도구를포함한두다양한구성요소가사용되는경우, 사용자의숙련도만으로도충분하다. 2 시스템오류를유발할수있는조건을검출하는기술적특징 ( 예를들면데이터형식불일치, 애매한동적메모리할당, 불완전한인터페이스, 포인터연산등 ) 이사용되어야한다. 3 검사는실행중일때뿐만아니라주로컴파일하는동안실시하는것이보다효과적이다. 4 도구는언어의부분집합및코딩지침을적용하도록감독하고개발자들이사용하도록유도한다. 5 합리적이고실행가능한경우, 검증된기능블록 (FB) 라이브러리를사용하는것이좋다 : 도구제조자 (PL=e가권장됨 ) 에의해제공되는안전관련검증된 FB 라이브러리혹은특화되고이표준에부합하는검증된 FB 라이브러리중하나를사용한다. 6 모듈방식에적합한정당화된 LVL의부분집합 ( 일부분 ) 을사용하는것이좋다. ( 다 ) 소프트웨어설계는다음특징을가져야한다. 1 데이터와제어의흐름을설명하기위한준정형화된방법, 예를들면상태다이어그램이나프로그램흐름차트 2 주로안전관련검증된기능블록라이브러리에서파생된기능블록에의해구현된모듈화및구조화된프로그래밍 - 25 -

3 제한된크기의코딩기능블록 4 하나의입구와하나의출구지점을가져야만하는내부기능블록의코드실행 5 3단계의아키텍처모델 : 입력 => 처리과정 => 출력 6 한프로그램지점에서만의안전출력의할당 7 외부고장검출및안전한상태를도출하는입력블록, 처리블록및출력블록에서의방어프로그래밍기술의사용. ( 라 ) SRASW 및 non-srasw가하나의구성요소에결합되는경우 1 SRASW 및 non-srasw는잘정의된데이터링크를갖는다른기능블록으로코딩해야함 2 안전관련신호의무결성의하향조정으로이어지는비안전관련데이터와안전관련데이터의논리적조합이없어야함 ( 마 ) 소프트웨어구현 / 코딩 1 코드는읽기쉽고, 이해하기쉽고, 시험하기쉬워야하며이로인해기호변수 ( 명시적인하드웨어주소대신 ) 를사용 2 정당화되거나허용된코딩지침을사용 3 데이터무결성및응용프로그램계층 ( 방어프로그래밍 ) 에사용할수있는타당성검사 ( 예를들면범위검사 ) 를사용 4 코드는시뮬레이션에의하여테스트 5 검증은 PL=d 또는 e에대한데이터흐름분석과제어에의해서수행 ( 바 ) 테스트 - 26 -

1 적절한검증방법은기능적인동작및성능기준 ( 예를들면타이밍성능 ) 을입증하는블랙박스테스트 2 PL=d 또는 e의경우경계값분석에서의시험케이스실행권장 3 시험계획이권장되며완료기준과요구되는도구들을갖춘시험사례들을포함 4 입출력시험은안전관련신호가 SRASW 내에서올바르게사용되고있는지확인 ( 사 ) 문서화 1 모든수명주기및수정활동은문서화 2 문서는완전해야하고사용가능하여야하며읽기쉽고이해가능 3 원본텍스트내의코드문서는법인명, 기능, 입출력설명, 버전, 사용되는라이브러리기능블록의버전, 네트워크명령그리고선언행에대한충분한설명을수반한모듈헤더를포함 ( 아 ) 검증 1) : 검토, 조사, 단계별수행또는다른적절한활동 ( 자 ) 수정 1 SRASW의수정후영향분석은시방을보장하기위해수행해야함. 2 적절한수명주기활동을수정후에수행해야함. 3 변경에대한접근권한은관리되어야하고변경내역은문서화해야함 4.5.4 소프트웨어기반파라미터화 (1) 안전관련파라미터들의소프트웨어기반파라미터화는소프트웨어안전요구시 방서에설명될 SRP/CS 설계의안전관련측면으로고려되어야한다. (2) 파타미터화는 SRP/CS 공급자에의해제공된전용소프트웨어도구를이용하여 수행되어야한다. 1) 검증은특정응용코드에대해서만필요할뿐인증된라이브러리함수에대해서는필요하지않다 - 27 -

(3) 이도구는고유식별 ( 이름, 버전, 등등 ) 을가지고, 승인되지않은수정을방지할 수있어야한다.( 예를들면비밀번호의사용 ) (4) 파라미터화에이용된모든데이터의무결성은유지되어야하고, 이는다음의적용된조치들에의해서이루어져야한다. 1 유효한입력범위의제어 2 전송이전의데이터변조제어 3 파라미터전송과정으로부터의오류효과의제어 4 불완전한파라미터전송의효과를제어 5 파라미터화를위해사용된하드웨어와소프트웨어의결함과고장효과의제어 (5) 파라미터화도구는 SRP/CS에대한다양한모든요구사항을만족하여야하나, 어려울경우에는별도의안전관련파라미터설정을위해서특별한절차가사용되어야한다. 이절차는다음두절차중하나에의해서 SRP/CS 입력파라미터를확인하는것을포함한다. 1 파라미터화도구로수정된파라미터의재전송 2 차후확인뿐만아니라, 파라미터의무결성을확인하는다른적절한방법 ( 예를들면, 적절하게숙련된사람과파라미터화도구에의한자동점검을사용하는것 ) (6) 전송 / 재전송과정에서의엔코딩 / 디코딩을위해사용된소프트웨어모듈들과, 사 용자에대한안전관련파라미터들의시각화를위해사용된소프트웨어모듈들은 계통적고장을피하기위해서기능의다양성을최소화하여사용해야한다. (7) 다음내용은소프트웨어기반파라메터화에적용되어야한다. 1 안전관련파라미터 ( 최소, 최대그리고대표적인값들 ) 각각의정확한설정의확인 2 안전관련파라미터의타당성점검의확인, 예를들어, 무효한수치의사용등 3 안전관련파라미터들의승인되지않은수정의방지를확인 - 28 -

4 파라미터화를위한데이터신호들이결함이안전기능의상실로이어질수없는 방식으로생성되고처리되는지를확인 5 안전기능 5.1 안전기능시방 (1) 설계자는 SRP/CS에의해서제공될수있는안전기능의목록과세부사항들을제시하고, 제어시스템에요구되는안전조치를달성하기위해필요한것들을포함해야한다. 예를들면안전관련정지기능, 예상치못한시동의방지, 수동리셋기능, 기능정지기능, 실행유지기능등이있다. (2) < 표 7> 은각각몇몇전형적인안전기능, 특징들의일부와안전관련파라미터들을열거하고있으며동시에안전기능, 특징또는파라미터에관련된요구사항을가지는다른국제표준을인용한것이다. 설계자는모든해당되는요구사항들이표에열거된관련된안전기능들을만족하는것을확인해야한다. (3) < 표 7> 의인용표준들대부분이전기표준과관계되므로해당되는요구사항들은 다른기술 ( 예, 유압, 공압 ) 의경우에는변형을하여사용한다. (4) 안전기능을확인하거나명시할때, 최소한다음의것들이고려되어야한다. 1 각각의특정한위험요인또는위험한상황에대한위험성평가결과 2 다음의것들을포함한기계작동특징들, - 기계의의도된용도 ( 합리적으로예측가능한오용을포함 ) - 작동모드 ( 예를들면지역모드, 자동모드, 기계의구역또는부품에관련된모드들 ) - 사이클시간 - 반응시간 3 비상조치 4 다른작업절차와수동활동 ( 수리, 설정, 청소, 고장수리, 등등.) 사이의상호작용에대한설명 - 29 -

5 안전기능이달성하거나방지하도록의도된기계의거동 6 기계의활성화또는비활성를결정짓는기계의상태 ( 예를들면, 작동모드 ) 7 작동빈도 8 동시에활성화될수있고모순되는행동을유발할수있는기능들의우선순위 5.2 안전기능의주요세부사항 5.2.1 안전관련정지기능 ( 연동장치와제한장치포함 ) (1) 위험한상황을초래할수있는기계의움직임은감시되어야하나수동제어기계에서는운전자가감시기능을할수있어야한다. 다만운전자가감시할수없는불가피한경우에는과속감지장치, 기계식과부하방지장치, 충돌방지장치등을포함한별도의방법이강구되어야한다. (2) 보호장치에의해서시작되는안전관련정지기능 ( 연동장치와제한장치즉과속, 과열, 과압등을포함 ) 을적용해야하며필요시보호장치및연동장치에연결되 어야한다. (3) 안전관련정지기능은필요하다면작동즉시기계가안전한상태가되게해야한 다. 이러한정지는작업상이유에의한정지에대해우선권을가져야한다. (4) 정지기능의복귀시에는어떠한위험상태도유발되지않아야한다. (5) 하나이상의조작반이설치된경우모든조작반에정지명령이유효하여야한다. (6) 비상정지는기계에서 1 차적인위험의축소수단이아닌보완적인보호조치이다. - 30 -

< 표 7> 전형적인기계안전기능들과그특징들의일부분에적용가능한몇몇표준들 안전기능 / 특징 KS B ISO 12100:2010 추가적인정보 보호장치에의해서시작되는안전관련정지기능 a 3.28.8, 6.2.11.3 IEC 60204-1:2005, 9.2.2, 9.2.5.3, 9.2.5.5 수동리셋기능 - 시작 / 재시작기능 6.2.11.3, 6.2.11.4 IEC 60204-1:2005, 9.2.5.3, 9.2.5.4 IEC 60204-1:2005, 9.2.1, 9.2.5.1, 9.2.5.2, 9.2.6 부분제어기능 6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 10.1.5 기능정지기능 - - 실행유지기능 6.2.11.8 b) IEC 60204-1:2005, 9.2.6.1 가동장치기능 - IEC 60204-1:2005, 9.2.6.3, 10.9 예상치못한시작방지 6.2.11.4 KS B ISO 14118 IEC 60204-1:2005, 5.4 끼인사람의탈출과구조 6.3.5.3 ' 격리와에너지방출기능 6.3.5.4 KS B ISO 14118 IEC 60204-1:2005, 5.3, 6.3.1 제어모드들과모드선택 6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 9.2.3, 9.2.4 제어시스템들의다른안전관련부품들과의상호작용 6.2.11.1 ( 마지막문장 ) IEC 60204-1:2005, 9.3.4 안전관련입력값의감시파라미터화 - - 긴급정지기능 b 6.3.5.2 KS B ISO 13850 IEC 60204-1:2005, 9.2.5.4 반응시간 - ISO 13855:2000, 3.2, A.3, A.4 속력, 온도또는압력과같은안전관련파라미터 6.2.11.8 e) IEC 60204-1:2005, 7.1, 9.3.2, 9.3.4 동력원의변동, 손실과회복 6.2.11.8 e) IEC 60204-1:2005, 4.3, 7.1,7.5 알림와경고신호 6.2.8 ISO 7731, KS A ISO 11428 KS A ISO 11429, KS C IEC 61310-1 IEC 60204-1:2005, 10.3, 10.4 IEC 61131, IEC 62061-31 -

5.2.2 수동리셋기능 (1) 리셋의명령은기계를재시동해서는아니되고단지재시동을허용하기만해야 한다. (2) 방호설비에의해서정지명령이개시된이후에, 정지상태는재시작을위해안전상 태가존재할때까지유지되어야한다. (3) 방호설비의리셋에의한안전기능의복구는정지명령을취소시켜야한다. (4) 수동리셋기능은다음조건을유지해야한다. 1 SRP/CS 내에서분리되고수동으로작동되는기구를통해서제공되어야함 2 모든안전기능들과방호설비가작동할때에만가능해야함 3 스스로동작또는위험한상황을시작하지않아야함 4 의도적인작동에의해야함 5 제어시스템이별도의시작명령을받아들일수있게해야함 6 액추에이터를동력이전달된상태로부터분리될때에만허용되어야함 (5) 수동리셋기능을제공하는안전관련부품들의성능수준은수동리셋기능이포 함되어있는안전기능의요구안전성을저하시키지않도록유지되어야한다. (6) 리셋액추에이터는위험영역의외부와위험영역에사람이있는지를검사하기에 좋은가시성이있는안전한장소에설치되어있어야한다. (7) 위험영역에대한가시성이완전하지않은곳에서, 특별한리셋절차를구성하여운영해야한다. 1 한가지해결책은두번째리셋액추에이터를사용하는것임 2 리셋기능은위험영역내에서위험영역의밖 ( 방호설비근처 ) 에위치한두번째리셋액추에이터와조합된첫번째액추에이터에의해서개시됨 - 32 -

5.2.3 시동재시동기능 (1) 기계가비정상적으로정지된이후 ( 예를들면정전, 무선제어신호의상실등 ) 에는 원치않는작동을방지하는조치가되어있어야한다. (2) 하나이상의조작반이설치된경우다른조작반의명령개시가위험한상황을초 래하지않도록하여야한다. (3) 재시동은위험한상황이존재할수없을때에만자동적으로작동할수있어야 한다. (4) 시동과재시동에대한이요구사항들은원격으로제어될수있는기계들에도적 용해야한다. (5) 안전장치를적용하기곤란한기계 ( 이동기계 ) 의경우에는적용가능한합법적인 장치와함께잡고있을때에만가동되는수동제어작동이되도록하여야한다. (6) 기계의기동제어반이하나이상일경우에는다음조건이만족되어야한다. 1 각제어반은별도의수동식기동제어장치를구비해야함 2 기계작동에필요한모든조건이만족되어야함 3 모든기동제어장치는기동되기전에안전위치에있어야함 4 모든기동제어장치는동시에작동되도록설계되어야함 5.2.4 부분개별제어기능 (local control function) (1) 기계가부분적으로제어될때, 예를들면, 휴대용제어장치나펜던트의경우다 음의요구사항들이적용되어야한다. 1 부분제어를선택하기위한수단은위험영역의밖에위치되어야함 - 33 -

2 위험한상태를개시하는것은위험성평가에의해정의된영역인부분제어에 의해서만가능해야함 3 부분제어와주제어사이의전환은위험한상황을유발하지않아야함 (2) 휴대형및펜던트 ( 매달기형 ) 제어반과그제어장치는운전원이제어반을떨어뜨 리거나부딪칠경우에충격이나진동으로인한오동작의우려가최소화되도록 선정및배치되어야한다. 5.2.5 기능정지기능 (1) 기능정지기능은기능정지동안에다른수단을통하여안전조건들이제공되어 어떤사람도위험한상황에노출되지않도록하여야한다. (2) 기능정지가끝날때, SRP/CS 의모든안전기능들은회복되어야한다. 이때기능정 지기능을제공하는안전관련부품들의성능수준은기능정지기능이포함된안 전기능의요구되는안전성을저하시키지않도록선정되어야한다. 5.2.6 실행유지기능 (1) 작동신호가있을때에만제어하는가동유지제어 (Hold-To Run Controls) 는조작 완료시까지제어장치가연속적으로실행되어야한다. 5.2.7 허용제어장치 (1) 가동을위한제어장치는다음과같은수동조작제어기능연동장치이다. 1 작동시별도기동제어에의하여기계작동이개시될수있음 2 비활성시정지기능을활성화하여기계작동개시를방지해야함 (2) 시스템의일부로서허용제어장치가제공될때에는하나의위치로만조작을허용 - 34 -

하기위해허용신호를보내어야한다. 즉다른위치로의조작은중지또는방지 되어야한다. 5.2.8 예상치못한시작방지 (1) 유지보수도중에기계의기동으로위험을초래할우려가있는경우에는불시 기동방지장치를설치하여야한다. (2) 불시기동방지장치는사용에적합하고편리하여야하며, 용이하게식별이가능한 곳에있어야한다. 5.2.9 격리와에너지방출기능 (1) 기계위에서필요한작업을할경우기계동작에의한위험을발생시키지않도록전기장비의전원을차단하여야하나, 다음의회로는전원차단장치에의하여차단할필요가없고자체차단장치로차단할것을권고한다. 1 유지보수수리중에필요한조명용전기회로 2 수리또는유지보수용도구및장비의접속용플러그및소켓수구 ( 핸드드릴, 시험장비등 ) 3 전원공급실패시자동차단용으로만사용하는부족전압보호회로 4 정상작동을위하여항상전원이공급되어야하는선로 ( 온도제어측정장치, 공정상 ( 연속작업시 ) 의가열기, 프로그램저장장치 ) 5 연동장치용제어회로 (2) 위의회로들이전원차단장치로차단되지않는다면다음의조치를취하여야한다. 1 전원차단장치가까운위치에반영구적인경고표지를부착 2 적용제외회로를다른회로와구별함 (3) 전원차단장치의조작도구 ( 손잡이 ) 는쉽게접근이가능한위치에설치하되지면위 로부터 0.6m 1.9m 사이에위치 ( 가능한 1.7m 이하권고 ) 하도록한다. - 35 -

(4) 에너지가방출되는기능으로부터근로자를보호하기위하여간접접촉방지조치를취하여야한다. 즉전기장비의각회로또는각부분은 위험한접촉전압의발생방지를위한조치 또는 접촉전압이위험한준위까지올라가기전에전원의자동차단 조치중하나이상의방법을적용하여야한다. (5) 위험한접촉전압의발생억제조치방안은다음과같다. 1 기초절연파괴시접촉이우려되는부위에위험한접촉전압의발생을억제하기위하여절연에의한보호 2 선로충전부의기초절연파괴에의해충전될수있는노출도전부와의접촉을통한위험한접촉전압을억제하기위하여각선로의전기적분리에의한보호 5.2.10 제어모드들과모드선택 (1) 각기계는그형태및사용용도에따라하나이상의작동방식을가지게되는데, 그작동방식이위험한상황을일으킬수있는경우적합한수단에의해이를방 지하여야한다. (2) 모드선택스위치자체로기계가작동되어서는아니되며운전자에의하여별도의 작동이요구되어야한다. (3) 각특정한작동방식, 관련안전기능및보호장치가이행되어야한다. (4) 방식선정기위치, 표시광구비, 시각표시등과같이선정된작동방식이표시되 어야한다. 5.2.11 제어시스템들의다른안전관련부품들과의상호작용 (1) 동시작동시위험한상태를초래할수있는 ( 예 : 역운동을야기시키는것 ) 접 점, 릴레이등제어기구는상호연동되어야한다. - 36 -

(2) 역회전용접점 ( 예 : 전동기회전방향을제어하는것 ) 은스위치조작시회로단 락사고가일어나지않도록상호연동되어야한다. (3) 기계작동의연속성과안전상기계의여러기능이상호연계되어작동되는경우 ( 계단식속도제어등 ), 상호원만한협조가되도록적절한연동기능을구비하 여야한다. (4) 여러기계가상호연계되어작업이이루어지는경우에는제어기사이에적절한 상호연동이이루어져야한다. (5) 기계제동액추에이터의고장이당해기계의액추에이터를작동시켜위험상태 를초래할우려가있는경우의연동장치는당해액추에이터의전원이차단되도 록되어야한다. 5.2.12 안전관련입력값의감시파라미터화 (1) 파라미터화에이용된모든데이터의무결성은유지되어야하고, 이는다음의적용된조치들에의해서이루어져야한다. 1 유효한입력범위의제어 2 전송이전의데이터변조제어 3 파라미터전송과정으로부터의오류효과의제어 4 불완전한파라미터전송의효과를제어 5 파라미터화를위해사용된하드웨어와소프트웨어의결함과고장효과의제어 (2) 파라미터화도구는 SRP/CS에대한다양한모든요구사항을만족하여야하나, 어려울경우에는별도의안전관련파라미터설정을위해서특별한절차가사용되어야한다. 1 파라미터화도구로수정된파라미터의재전송 - 37 -

2 차후확인뿐만아니라, 파라미터의무결성을확인하는다른적절한방법 ( 예를들 면적절하게숙련된사람과파라미터화도구에의한자동점검을사용하는것 ) (3) 전송 / 재전송과정에서의엔코딩 / 디코딩을위해사용된소프트웨어모듈들과, 사용 자에대한안전관련파라미터들의시각화를위해사용된소프트웨어모듈들은계 통적고장을피하기위해서함수에서의다양성을최소한으로사용을자제한다. 5.2.13 긴급정지기능 ( 보조보호조치 ) (1) 긴급정지기능등비상조작은다음사항의개별적또는조합을포함한다. 1 비상정지 : 위험한공정또는이동을멈추게하기위한비상조작 2 비상기동 : 위험한상태의제거또는회피하기위한공정또는이동을시작하기위한비상조작 3 비상전원차단 : 감전또는기타전기적위험과관련된경우, 설비의일부또는전체에서전기에너지의공급을차단하기위한비상조작 4 비상전원투입 : 비상상태시사용하기위한설비의일부에전기에너지의공급을하기위한비상조작 (2) 비상정지의조작또는비상전원차단조작기가작동되면리셋시까지정지되어야한다. 1 리셋은명령이개시된해당위치에서만가능해야하는데, 명령의리셋은기계를재시동해서는안되고단지재시동을허용하기만해야함 2 모든비상정지및비상전원차단명령이리셋된후에기계재시동이가능해야함 (3) 비상정지의범주선정은기계의위험성평가에의해결정되어야하며, 다음사항을만족해야한다. 1 모든방식에서기타다른모든기능및작동을무효화하여야함 2 위험한상태를유발시킬수있는기계액추에이터의동력은즉시제거되거나, 기타위험한상태가야기되지않도록가능한한신속히차단하여야함 - 38 -

3 복귀가기계를재기동시켜서는아니됨 (4) 다음의경우에는비상전원차단장치가설치되어야한다. 1 직접접촉 ( 예 : 컬렉터선, 컬렉터봉, 슬립링조립체, 전기취급지역의제어장치 ) 방지를위해장애물이나이격설치한경우 2 전기로인하여다른위험요인의발생또는손상우려가있는경우 5.2.14 반응시간 (1) SRP/CS의반응시간은 SRP/CS의위험성평가에의해필요한것으로밝혀진경우결정되어야한다. 1 제어시스템의반응시간은기계의전체반응시간의일부분임 2 기계에요구되는전체반응시간은안전관련부품의설계에영향을미칠수있음 ( 예를들면제동시스템의제공필요성 ). 5.2.15 안전관련파라미터 ( 속도, 온도, 압력등 ) (1) 안전관련파라미터들 ( 예를들면위치, 속력, 온도또는압력 ) 이주어진한계로부 터벗어날때, 제어시스템은적절한조치를시작해야한다. (2) 프로그램가능한전자시스템에안전관련데이터의수동입력의오류가위험한상 황을유발할수있다면, 그때안전관련제어시스템내에데이터점검시스템이 제공되어야한다. 5.2.16 동력원의변동, 손실과회복등 (1) 지정작동범위밖에서에너지공급의손실을포함하는에너지수준변동이일어 난다면, SRP/CS 는다른기계시스템의부품들이안전한상태를유지할수있도 록하는출력신호를제공하거나개시하는것을계속하여야한다. - 39 -

5.2.17 알람과경고신호 (1) 표시등은작업자의주의를끌거나지정된절차를준수하여야하는것을나타내 고자할경우, 적색, 황색, 녹색및청색으로표시한다. (2) 확인은명령상태를확인하거나변경또는전환시간종료의확인이필요할경우, 황색과흰색을사용한다.( 필요시녹색도사용가능함 ) 1 표시등및디스플레이는작업자의정상위치로부터시각적으로확인가능한방식으로선정및설치되어야함 2 경고등에사용된표시등회로에는이런등의조작을점검하기위한장치가장착되어야함 (3) 공급자와사용자사이에별도의약정이없는경우, 표시 ( 안내 ) 등의렌즈는기계 의조건 ( 상태 ) 에관하여색상부호화하여야하며, 기계의표시타워색은위에서 아래로적색, 황색, 청색, 녹색, 흰색순으로한다. (4) 다음과같은목적에따라그이상의식별이나정보, 특히추가적인강조가필요한경우에는점멸등을설치할수있다. 1 주의를환기시킬필요가있을경우 2 즉각적인조치가필요할경우 3 명령과실제상태의불일치를나타낼경우 4 처리과정중변경을나타낼경우 ( 전이과정중점멸 ) (5) 우선순위가높은내용의전달시에는점멸속도가빠른점멸등을사용한다. 1 점멸등또는디스플레이가더높은우선순위의정보를전달하기위해사용될경우, 청각경고장치도제공되어야함 2 조광누름버튼액추에이터는색상부호화하여야함 3 적절한색상을정하기어려운경우에는흰색을사용하되, 비상정지액추에이터용적색은자체의발광에의존하여서는아니됨 - 40 -

6 범주와각채널의 MTTF d, DC avg 그리고 CCF 의관계 6.1 일반사항 (1) SRP/CS 는 6.2 절에명시된다섯범주의하나혹은여러개의요구사항에부합하 여야한다. (2) 범주는특정 PL 을성취하기위해사용되는기본파라미터들인데, 제 4 장에서설 명된설계고려사항에근거하여결함들에대한저항관점에서 SRP/CS 에요구되 는동작을서술한다. (3) 범주 B 는기본범주다. 결함의발생은안전기능의손실을유발할수있다. (4) 범주 1 에서결함에대한개선된저항은대개부품의선택과활용에의해서달성 된다. (5) 범주 2 에서는특정안전기능이작동상태임을주기적으로점검함으로써달성된다. (6) 범주 3 과범주 4 에서는단일결함이안전기능의손실을유발하지않음을보장함 으로써달성된다. 범주 4 와범주 3 에서는합리적으로수행가능할때마다, 그러 한결함이감지될것이다. (7) < 표 8> 은 SRP/CS 범주들의개요, 요구사항그리고결함상황에서의시스템거동을제시한것이고, 특정 SRP/CS에대한범주의선택은주로다음사항에의해결정된다. 1 부품이기여하는안전기능에의해서성취되는위험성의감소, 2 성능요구수준 (PLr), 3 사용된기술들, 4 그부품에결함발생시발생하는위험성 5 그부품에서결함을피할수있는가능성 ( 체계상결함 ) 6 그부품에결함이발생할가능성및관련파라미터 7 평균위험고장시간 (MTTF d ) 8 진단범위 (DC) - 41 -

9 범주 2, 범주 3 및범주 4 의상황에서의공통원인고장 (CCF) < 표 8> 범주에대한요구사항요약 범주 B 1 요구사항의요약 SRP/CS 와그들의구성요소들뿐만아니라그들의방호장치는, 예상되는영향을견딜수있도록관련표준에맞추어설계, 제작, 선택, 조립되어야한다. 기본적안전원칙이적용되어야한다. B 의요구사항이적용되어야한다. 충분한시험을거친구성요소와안전원칙들이사용되어야한다. 시스템동작상태 결함의발생이안전기능의상실을초래할수있다 결함의발생이안전기능의상실을일으킬수있지만, 발생확률은범주 B 의경우보다낮다 안전을달성하는원칙 주로구성요소의한특성화 주로구성요소에의한특성화 각채널의 MTTF d 낮음중간 높음 평균진단범위 DC avg 없음 없음 2 B 의요구사항과충분한시험을거친안전원칙이적용되어야한다. 안전기능은기계제어시스템에의해적절한간격으로점검되어야한다. 결함의발생은점검간에안전기능의상실을초래할수있다. 안전기능의상실은점검에의하여검출된다. 주로구조에의한특성화 낮음높음 낮음중간 3 B 의요구사항과충분한시험을거친안전원칙이적용되어야한다. 안전관련부품은다음과같이설계되어야한다 - 이부품들중의어떠한단일결함도안전기능의상실을초래하지않는다. - 합리적으로실현가능한모든경우단일결함이검출된다. 단일결함이발생하면안전기능은항상수행된다. 모든결함은아니지만일부결함이검출된다. 미검출결함의축적이안전기능의상실을초래할수도있다. 주로구조에의한특성화 낮음높음 낮음중간 B 의요구사항과충분한시험을거친 4 안전원칙이적용되어야한다. 안전관련부품은다음과같이설계되 어야한다. - 이부품들중의어떠한단일결함도 안전기능의손실을초래하지않는다. 또한, - 단일결함은안전기능에대한다음 사용요구시또는그이전에검출된다. 만약이것이불가능한경우, 결함의축 적이안전기능의상실을초래하지않 단일결함이 일어나면 안전기능은항상수행 된다. 축적된결합의감지는 안전기능의상실확률을 낮춘다 ( 높은 DC) 안전기능의상실방지를 위하여결함이적시에 검출된다. 주로구 조에의 한특성 화 높음 실패를 포함하 여높음 아야한다. - 42 -

6.2 범주의시방 6.2.1 일반사항 (1) 각 SRP/CS 는관련된범주의요구사항들을준수해야한다. (2) 이절의그림은일반적인아키텍처들을보여준다. 이아키텍처들로부터벗어난아키텍처는언제나가능하다. 그러나어떠한벗어난아키텍처도적절한해석도구 ( 예를들면, 결함트리해석 ) 를사용하여정당화되어야하며, 이로인해시스템이성능요구수준 (PLr) 을충족하도록해야한다. (3) 범주 3 과범주 4 의경우, 이는모든부품들이반드시물리적으로중복인것이 아니라결함이안전기능의손실을유발할수없는것을확인하는다양한방법이 있다는것을의미한다. 6.2.2 지정아키텍처 (1) SRP/CS의구조는 PL에큰영향을미치는핵심특성이다. 1 가능한구조들의다양성이높더라도, 기본개념은종종유사함 2 기계분야에서존재하는대부분의구조들은범주들중하나로대응될수있음 3 각각의범주에대해전형적인표현법이안전관련블록선도를이용하여만들어질수있음 (2) < 그림 5> 에보여지는 PL은범주, 각채널의 MTTF d 그리고 DC avg 에의해결정되고, 지정아키텍처에기반한다. 1 만약 < 그림 5> 가 PL을예측하는데에사용된다면 SRP/CS의아키텍처는요구되는범주의지정아키텍처와동등하다는것이증명되는것이바람직함 2 일반적으로각각의범주들의특성들을만족하는설계는각각의범주의지정아키텍처와동등하게됨 6.2.3 범주 B - 43 -

(1) SRP/CS는다음사항에견디기위해적어도관련된표준들에부합하고, 특정응용에대한기본안전원칙의사용을통해설계, 구성, 선택, 조립그리고결합되어야한다. 1 예상되는작업스트레스 2 가공된물질의영향, 예를들면세탁기에서의세제 3 관련된다른외부의영향들, 예를들면기계적진동, 전자기적영향, 동력공급중단, 혹은장애들 (2) 범주 B 내에는진단범위 (DC avg = none) 는없고각채널의 MTTF d 는중간보다 낮을수있다. 이러한구조에서 ( 보통단일 - 채널시스템 ), CCF 의고려는적절하 지않다. (3) 범주 B 에서달성할수있는최대 PL 은 PL=b 이다. (4) 결함이발생할때안전기능의상실을유발할수있다. i m 상호연결수단들, I 입력장치, L 논리, O 출력장치 < 그림 8> 범주 B 를위한지정아키텍처 6.2.4 범주 1 (1) 범주 1 의경우, 6.2.3 에따라범주 B 의요구사항이적용되어야하고다음사항 이추가로적용된다. (2) 범주 1 에할당된제어시스템의안전관련부품들은충분한시험을거친구성요 소들과안전원칙들을이용하여설계되고구성되어야한다. (3) 안전관련응용에대해충분한시험을거친구성요소란다음중하나와같다. - 44 -

1 유사한상황에서성공적결과를얻어과거널리사용되었던구성요소. 2 안전관련응용에대해적합성과신뢰성을증명한원칙을사용하여만들어지고 검증된것 (4) 새롭게개발된구성요소와안전원칙들이이의조건을충족한다면 충분한시험 을거친 것과동등하게간주될수있다. (5) 어떤특정구성요소를충분한시험을거친구성요소로인정하는것은응용에따 라다를수있다. (6) 각채널의 MTTF d 는높아야한다. (7) 범주 1 에서달성가능한최대 PL 은 PL = c 이다 (8) 범주 1 시스템에는진단범위 (DCavg=none) 가없고, 이러한구조 ( 단일채널시스 템 ) 에서는 CCF 에대한고려는적절하지않다. (9) 결함이발생하면, 안전기능의손실이초래될수있다. 그러나각채널의범주 1 에서의 MTTF d 는범주 B 에서보다높다. 결과적으로안전기능의손실이발생할 가능성은적다. i m 상호연결수단들, I 입력장치, L 논리, O 출력장치 < 그림 9> 범주 1 에대한지정아키텍처 6.2.5 범주 2 (1) 범주 2에대해서는 6.2.3에따라범주 B에대한동일한요구사항이적용되어야하며, 6.2.4에따라 충분한시험을거친안전원칙 또한적용되어야한다. 추가로다음사항을적용한다. (2) 범주 2 의 SRP/CS 는그들의기능이기계제어시스템에의하여적절한간격마다 - 45 -

점검되도록설계되어야한다. 안전기능의점검은다음의경우에주기적으로수행되어야한다. 1 기계시동시 2 위험한상황의개시전, 예를들면새로운주기의시작, 다른동작의시작, 그리고위험성평가및동작의종류에의해필요하다고판명될경우등 (3) 안전기능의점검은자동으로시작될수있는데결함이검출되지않았다면작동 을허가하거나, 만약에결함이검출되면적절한제어행동을촉발하는출력을발 생시켜야한다. (4) 출력은안전상태를개시하여야한다. 안전상태는결함이해결될때까지유지되어 야한다. 안전상태를개시할수없을때 ( 예를들면, 최종스위치장치에서접촉 부가용접되는경우 ), 출력은위험요인에대한경고를제공해야한다. (5) 범주 2 의지정아키텍처의경우, < 그림 10> 에나타난대로, MTTF d 와 DC avg 의 계산은시험채널의블록이아닌기능채널의블록만을고려하는것이좋다. (6) 결함감지를포함한전체 SRP/CS 진단범위 (DC avg ) 는낮아야한다. 각채널의 MTTF d 는성능요구수준 (PLr) 에따라낮음 높음사이일수있다. CCF 에대한 조치가적용되어야한다. (7) 점검그자체가위험한상황을초래하지않아야한다. 점검장비는안전기능을제 공하는안전관련부품들과통합된것일수도있고또는분리된것일수도있다. (8) 범주 2 의경우성취할수있는최대 PL 은 PL = d 이다. (9) 범주 2 의시스템동작상태는다음을허용한다. 1 결함발생은점검과점검간에안전기능의손실을초래할수있음 2 안전기능의손실은점검으로감지됨 6.2.6 범주 3 (1) 범주 3 의경우, 6.2.3 에따라범주 B 에대한요구사항이동일하게적용되어야 - 46 -

하며, 6.2.4에따라 충분한시험을거친안전원칙 또한적용되어야한다. 추가로다음사항도적용된다. i m 상호연결수단들, I 입력장치, L 논리, m 감시, O 출력장치, TE 시험장치, OTE TE의출력 ( 파선은합리적으로실현가능한결함감지를나타냄 ) < 그림 10> 범주 2에대한지정아키텍처 (2) 범주 3의 SRP/CS는이부품들중어느한개에발생한단일결함도안전기능의상실을유발하지않도록설계되어야한다. 즉합리적으로실현가능한모든경우, 단일결함은안전기능에대한다음사용요구시또는그이전에감지되어야한다. (3) 결함감지를포함한전체 SRP/CS 의진단범위값 (DC avg ) 은낮아야한다. PLr 에 따라각중복채널의 MTTF d 는낮음 높음이어야한다. CCF 에대한조치가적 용되어야한다. (4) 모든결함이감지된다는것을의미하지는않는다. 결론적으로감지되지못한결 함의축적이기계에있어서의도하지않은출력과위험한상황을초래할수있 다. (5) 범주 3 시스템동작상태는다음을허용한다. 1 단일결함이발생하여도안전기능이항상수행된다. 2 모든결함은아니지만일부결함들이감지된다. 3 감지되지않은결함의축적은안전기능의상실을초래할수있다. 6.2.7 범주 4 (1) 범주 4 의경우, 6.2.3 에따라범주 B 의요구사항이동일하게적용되어야하며, - 47 -

6.2.4에따라 충분한시험을거친안전원칙 또한적용되어야한다. 추가로다음사항이적용된다. i m 상호연결수단들, c 교차감시, I1, I2 입력장치, L1, L2 논리, m 감시, O1, O2 출력장치 < 그림 11> 범주 3 에대한지정아키텍처 (2) 범주 4에대한 SRP/CS는다음과같이설계되어야한다. 1 안전관련부품들중어느것에서의단일결함도안전기능의상실을초래하지않아야한다. 2 단일결함은안전기능에대한다음번사용요구시또는그이전에감지된다. 그러나이감지가불가능하다면, 결함의축적이안전기능의상실을초래하지않아야한다. (3) 결함의축적을포함한전체 SRP/CS 의진단범위값 (DC avg ) 은높아야한다. 각중 복채널의 MTTF d 는높아야한다. CCF 에대한조치가적용되어야한다. (4) 범주 4의시스템동작상태는다음을허용한다. 1 단일결함이발생하여도, 안전기능은항상수행된다. 2 결함은안전기능의상실을방지하기위해늦지않게감지된다. 3 감지되지않은결함의누적을고려한다. 6.3 전체 PL 을달성하기위한 SRP/CS 조합 (1) 안전기능은몇개의 SRP/CS 의조합에의해구현할수있다. 예를들면입력시 스템, 신호처리유닛, 출력시스템. - 48 -

(2) SRP/CS는하나또는다른범주로할당될수있다. 사용된각각의 SRP/CS에대해 6.2절에따라범주가선택되어야한다. i m 상호연결수단들, c 교차감시, I1, I2 입력장치, L1, L2 논리, m 감시, O1, O2 출력장치 ( 감시에대한실선은범주 3 에대한지정아키텍처보다높은진단범위를나타냄 ) < 그림 12> 범주 4에대한지정아키텍처 (3) SRP/CS 의전체적인조합의경우전체 PL 은 < 표 8> 을이용하여파악 / 식별될수 있다. 이경우, SRP/CS 조합에대한검증이요구된다. (4) 6.2 절에따라 SRP/CS 의조합은안전관련신호가개시된지점에서시작하고동 력제어요소의출력에서끝난다. 그러나조합된 SRP/CS 는선형적 ( 직렬배열 ) 또는복수방식 ( 병렬배열 ) 으로연결된몇개의부품으로구성될수있다. (5) 모든부품들의개별성능수준 (PL) 들이이미계산되어있는조합된 SRP/CS 에의 해달성되는 PL 의새롭고복잡한예측을피하기위해직렬배열 SRP/CS 의경우 다음의예측방법이제시된다. ( 가 ) 전체로서안전기능을수행하는직렬배열된 A 에의분리된 SRP/CSj 을가정하 자. 각각의 SRP/CS i, 에대해이미 PL i 는결정 / 결과평가되어있다. 이상황 이 < 그림 13> 에나타나있다. < 그림 13> 전체 PL 을달성하기위한 SRP/CS 의조합 - 49 -

( 나 ) 다음방법을이용하면안전기능을수행하는조합된 SRP/CS의전체 PL을계산할수있다. 1 가장낮은 PL i 을파악 / 식별한다. 이값이 PL low 이다. 2 SRP/CS i 의숫자 N low N 을파악 / 식별한다. 이때 PL i = PL low. 3 < 표 8> 에서 PL을찾는다. < 표 9> 제어시스템의안전관련부품직렬정렬을위한 PL 계산 PL low. N low PL a b c d e > 3 없음, 허용안됨 3 a > 2 a 2 b > 2 b 2 c > 3 c 3 d > 3 d 3 e 7 결함고려사항, 결함제외 7.1 일반사항 선택된범주에따라, 안전관련부품들은성능요구수준 (PLr) 을달성할수있도록 설계되어야한다. 결함에저항할수있는능력이평가되어야한다. 7.2 결함고려사항 (1) 한가지결함의결과로후속요소가고장나면, 최초의결함과그에따르는모든 결함들은하나의결함으로간주되어야한다. (2) 한개의공통원인을갖는두개또는그이상의분리된결함은하나의결함 (CCF 로알려진 ) 으로간주되어야한다. - 50 -

(3) 독립적인원인을갖는두개또는그이상의결함의동시발생은거의발생하지않을것으로볼수있으므로고려할필요가없다. 7.3 결함제외 (1) 어떤결함들은제외될수있다는가정없이 SRP/CS 을결정하고결과를평가하 는것이항상가능한것은아니다. (2) 결함제외는기술적안전요구사항과결함발생의이론적가능성사이의절충이다. (3) 결함제외는다음사항에근거할수있다. 1 어떤결함발생이기술적으로일어날것같지않음 2 고려하는응용분야와무관하게일반적으로인정되는기술적경험 3 응용과특정한위험요인에관계되는기술적요구사항 (4) 결함이제외되는경우상세한근거가기술문서에제시되어야한다. 8 검증 SRP/CS 의설계는검증되어야한다 (< 그림 3> 참조 ). 검증은각안전기능을제공 하는 SRP/CS 들의조합이이표준의모든관련요구사항을충족시킨다는것을 증명하여야한다. 9 정비 (1) 예방정비또는사후정비는통상안전관련부품들의규정된성능을유지하기위 하여필요할수있다. (2) 시간이지남에따라규정된성능으로부터벗어나게되는경우안전성저하나심 지어위험한상황이초래될수도있으므로 SRP/CS 의사용자정보는 SRP/CS 의 보전에대한지침 ( 주기적검사포함 ) 을포함해야한다. - 51 -

(3) 제어시스템의안전관련부품들의정비에관한규정은 KS B ISO 12100:2010의 6.2.7의원칙을따라야한다. 10 기술문서화 (1) SRP/CS의설계시, 안전관련부품에관련된다음정보에대해문서화해야한다. 1 SRP/CS에의해제공된안전기능 2 각안전기능의특징 3 안전관련부품들의정확한시작과끝 4 환경조건 5 성능수준 (PL) 6 선택된범주또는범주들 7 신뢰성에관련된파라미터 (MTTF d, DC, 및임무시간 ) 8 체계상의고장에대한조치 9 사용된기술또는기술들 고려한모든안전관련결함 결함제외에대한정당성 설계의논거 ( 예를들면고려된결함, 제외된결함 ) 소프트웨어문서화 합리적으로예측가능한오용에대한조치 11 사용자정보 (1) SRP/CS 들의안전한사용을위하여중요한정보는사용자에게제공되어야한다. (2) 사용자정보에는다음사항들이포함되어야하지만이들에국한되는것은아니다. 1 선택된범주에대한안전관련부품들의한계와결함제외 2 SRP/CS의한계와결함제외 (7.3 참조 ) 에대해선택된범주와안전성능의유 - 52 -

지가중요할때결함제외에대한지속적인정당성을확보하기위해적절한정보 ( 수정, 보전및수리 ) 가반드시주어져야한다 3 규정된성능으로부터의이탈이안전기능에미치는영향 4 SRP/CS들과방호장치에대한인터페이스의명확한설명 5 반응시간 6 환경조건을포함하는작동한계 7 지시와경보 8 안전기능의중지와차단 9 제어모드 보전점검목록및보전관련사항 접근과내부부품교체의용이성 쉽고안전한고장수리를위한수단 참고한범주에관련된응용분야에대한정보 검사시험주기 ( 해당되는경우 ) (3) SRP/CS들의범주와성능수준에대한구체적정보가다음과같이주어져야한다 1 이표준에인용된문헌의시기 ( 예를들면 ISO 13849-1:2006") 2 범주 : B, 1,2, 3 또는 4 3 성능수준 : a, b, c, d, 또는 e. - 53 -

붙임 < 그림 5> 의수치표시 (2 의 1) 시간 (1/H) 당위험한고장의평균확률과해당성능수준 (PL) 각채널에대한 MTTF d 년 Cat.B DC avg= 없음 PL Cat.1 Cat.2 DC avg DC avg= 없음 PL = 낮음 PL Cat.2 DC avg = 중간 PL Cat.3 DC avg = 낮음 PL Cat.3 DC avg = 중간 PL Cat.4 DC avg = 높음 PL 3 3.80 10-5 a 2.58 10-5 a 1.99 10-5 a 1.26 10-5 a 6.09 10-6 b 3.3 3.46 10-5 a 2.33 10-5 a 1.79 10-5 a 1.13 10-5 a 5.41 10-6 b 3.6 3.17 10-5 a 2.13 10-5 a 1.62 10-5 a 1.03 10-5 a 4.86 10-6 b 3.9 2.93 10-5 a 1.95 10-5 a 1.48 10-5 a 9.37 10-6 b 4.40 10-6 b 4.3 2.65 10-5 a 1.76 10-5 a 1.33 10-5 a 8.39 10-6 b 3.89 10-6 b 4.7 2.43 10-5 a 1.60 10-5 a 1.20 10-5 a 7.58 10-6 b 3.48 10-6 b 5.1 2.24 10-5 a 1.47 10-5 a 1.10 10-5 a 6.91 10-6 b 3.15 10-6 b 5.6 2.04 10-5 a 1.33 10-5 a 9.87 10-6 b 6.21 10-6 b 2.80 10-6 c 6.2 1.84 10-5 a 1.19 10-5 a 8.80 10-6 b 5.53 10-6 b 2.47 10-6 c 6.8 1.68 10-5 a 1.08 10-5 a 7.9. 10-6 b 4.98 10-6 b 2.20 10-6 c 7.5 1.52 10-5 a 9.75 10-6 b 7.10 10-6 b 4.45 10-6 b 1.95 10-6 c 8.2 1.39 10-5 a 8.87 10-6 b 6.43 10-6 b 4.02 10-6 b 1.74 10-6 c 9.1 1.25 10-5 a 7.94 10-6 b 5.71 10-6 b 3.57 10-6 b 1.53 10-6 c 10 1.14 10-5 a 7.18 10-6 b 5.14 10-6 b 3.21 10-6 b 1.36 10-6 c 11 1.04 10-5 a 6.44 10-6 b 4.53 10-6 b 2.81 10-6 c 1.18 10-6 c 12 9.51 10-6 b 5.84 10-6 b 4.04 10-6 b 2.49 10-6 c 1.04 10-6 c 13 8.78 10-6 b 5.33 10-6 b 3.64 10-6 b 2.23 10-6 c 9.21 10-6 d 15 7.61 10-6 b 4.53 10-6 b 3.01 10-6 b 1.82 10-6 c 7.44 10-6 d 16 7.13 10-6 b 4.21 10-6 b 2.77 10-6 c 1.67 10-6 c 6.76 10-6 d 18 6.34 10-6 b 3.68 10-6 b 2.37 10-6 c 1.41 10-6 c 5.67 10-6 d 20 5.71 10-6 b 3.26 10-6 b 2.06 10-6 c 1.22 10-6 c 4.85 10-6 d - 54 -

< 그림 5> 의수치표시 (2 의 2) 시간 (1/H) 당위험한고장의평균확률과해당성능수준 (PL) 각채널에대한 MTTF d 년 Cat.B DC avg= 없음 PL Cat.1 DC avg= 없음 PL Cat.2 DC avg = 낮음 PL Cat.2 DC avg = 중간 PL Cat.3 DC avg = 낮음 PL Cat.3 DC avg = 중간 PL Cat.4 DC avg = 높음 PL 22 5.19 10-6 b 2.93 10-6 c 1.82 10-6 c 1.07 10-6 c 4.21 10-7 d 24 4.76 10-6 b 2.65 10-6 c 1.62 10-6 c 9.47 10-7 d 3.70 10-7 d 27 4.23 10-6 b 2.32 10-6 c 1.39 10-6 c 8.04 10-7 d 3.10 10-7 d 30 3.80 10-6 b 2.06 10-6 c 1.21 10-6 c 6.94 10-7 d 2.65 10-7 d 9.54 10-8 e 33 3.46 10-6 b 1.85 10-6 c 1.06 10-6 c 5.94 10-7 d 2.30 10-7 d 8.57 10-8 e 36 3.17 10-6 b 1.67 10-6 c 9.39 10-7 d 5.16 10-7 d 2.01 10-7 d 7.77 10-8 e 39 2.93 10-6 c 1.53 10-6 c 8.40 10-7 d 4.53 10-7 d 1.78 10-7 d 7.11 10-8 e 43 2.65 10-6 c 1.37 10-6 c 7.34 10-7 d 3.87 10-7 d 1.54 10-7 d 6.37 10-8 e 47 2.43 10-6 c 1.24 10-6 c 6.49 10-7 d 3.35 10-7 d 1.34 10-7 d 5.76 10-8 e 51 2.24 10-6 c 1.13 10-6 c 5.80 10-7 d 2.93 10-7 d 1.19 10-7 d 5.26 10-8 e 56 2.04 10-6 c 1.02 10-6 c 5.10 10-7 d 2.52 10-7 d 1.03 10-7 d 4.73 10-8 e 62 1.84 10-6 c 9.06 10-7 d 4.43 10-7 d 2.13 10-7 d 8.84 10-8 e 4.22 10-8 e 68 1.68 10-6 c 8.17 10-7 d 3.90 10-7 d 1.84 10-7 d 7.68 10-8 e 3.80 10-8 e 75 1.52 10-6 c 7.31 10-7 d 3.40 10-7 d 1.57 10-7 d 6.62 10-8 e 3.41 10-8 e 82 1.39 10-6 c 6.61 10-7 d 3.01 10-7 d 1.35 10-7 d 5.79 10-8 e 3.08 10-8 e 91 1.25 10-6 c 5.88 10-7 d 2.61 10-7 d 1.14 10-7 d 4.94 10-8 e 2.74 10-8 e 100 1.14 10-6 c 5.28 10-7 d 2.29 10-7 d 1.01 10-7 d 4.29 10-8 e 2.47 10-8 e - 55 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원