IEC 61508 설명: 기능 안전 및 안전 무결성 수준(SIL) 가이드

IEC 61508은 국제전기기술위원회(IEC)에서 발행한 기능 안전에 관한 국제 표준입니다. 전체 명칭은 다음과 같습니다. “전기/전자/프로그래밍 가능 전자 안전 관련 시스템의 기능 안전” (종종 E/E/PE 또는 E/E/PES로 약칭됨). 이 표준은 전체 안전 수명 주기에 걸쳐 시스템의 기능적 안전성과 신뢰성을 보장하는 체계적인 프레임워크를 제공합니다.

IEC 61508은 IEC 61511 및 IEC 62061과 같은 여러 산업별 기능 안전 표준의 기반 표준으로 사용됩니다. 산업 자동화, 공정 제어, 기계 제조 등의 분야에 널리 적용됩니다.

1.0 IEC 61508의 핵심 개념

IEC 61508은 다음과 같은 주요 측면을 다룹니다.

• 기능적 안전: 이 표준은 시스템이나 장비가 정의된 조건 하에서 안전 기능을 올바르게 수행해야 함을 강조합니다. 시스템이나 장비에 고장이 발생할 경우, 예측 가능하고 안전한 방식으로 고장이 발생해야 합니다.
• 안전 수명주기: 이 솔루션은 초기 개념, 설계 및 개발, 운영 및 유지관리부터 해체까지 모든 단계를 포괄하는 포괄적인 수명주기 접근 방식을 도입하여 안전 요구 사항을 지속적으로 준수하도록 보장합니다.
• 위험 기반 접근 방식: 위험을 식별하고, 관련된 위험을 평가하고, 적절한 통제 조치를 적용함으로써 이 표준은 위험을 합리적으로 실현 가능한 한 낮은 수준(ALARP)으로 줄이는 데 도움이 됩니다.
• 안전 무결성 수준(SIL): SIL은 안전 기능의 신뢰성을 정량적으로 측정하는 지표로, SIL 1(최저)부터 SIL 4(최고)까지 있습니다. 각 SIL 레벨은 다음 세 가지 주요 기준에 따라 결정됩니다.
  • 시스템 기능: 하드웨어 및 소프트웨어 설계의 신뢰성
  • 건축적 제약: 시스템 아키텍처에 의해 부과되는 제한 사항
  • PFD평균 / PFH: 요구 시(PFDavg) 또는 시간당(PFH) 위험한 실패의 확률
    최종 SIL 레벨은 이 세 가지 기준 중 가장 낮은 레벨로 정의됩니다.

1.1 IEC 61508의 구조 및 범위

IEC 61508은 8부로 구성되어 있습니다. 1부부터 7부까지는 1998년에서 2000년 사이에 발표되었고, IEC/TR 61508-0은 2005년에 추가되었습니다. 이 표준은 2002년부터 포괄적인 검토 과정을 거쳐 2010년 4월에 2판이 발표되었습니다.

표준의 전체 제목은 다음과 같습니다. “전기/전자/프로그래밍 가능 전자 안전 관련 시스템(E/E/PE 시스템)의 기능 안전”, 그 구조는 다음과 같습니다.

1. 0부: 기능 안전 및 IEC 61508
2. 1부: 일반 요구 사항
3. 2부: E/E/PE 안전 관련 시스템에 대한 요구 사항
4. 3부: 소프트웨어 요구 사항
5. 4부: 정의 및 약어
6. 5부: 안전 무결성 수준 결정 방법의 예
7. 6부: 2부 및 3부 적용에 대한 지침
8. 7부: 기술 및 측정 개요

또한, IEC 61508에서 여러 산업별 표준이 파생되어 특정 도메인에 대한 원칙이 적용되었습니다.

• IEC 61511– 공정 산업(예: 화학 및 석유화학 플랜트)의 경우
• IEC 62061– 기계 안전을 위해
• ISO 26262– 자동차 전자 시스템용
• DO-178C– 항공 전자 소프트웨어 시스템용

이 예는 일반적으로 E/E/PE 안전 관련 시스템이라고 하는 전형적인 전기, 전자 및 프로그래밍 가능 전자 안전 평가 시스템을 보여줍니다.

1.2 구현 및 규정 준수

IEC 61508을 준수하려면 조직에서 다음을 수행해야 합니다.

• 규정된 검증 및 확인 프로세스를 이해하고 따르세요.
• 중요한 실패 모드를 식별하고 완화합니다.
• 하드웨어 및 소프트웨어 시스템이 해당 SIL 레벨의 제약 조건 내에서 작동하는지 확인하십시오.
• 시스템 설계 중 복잡성을 관리하여 실패 위험을 줄입니다.
• 자주 사용되거나 위험한 이벤트 중에만 활성화되는 구성 요소에 대해 적절한 안전 전략을 적용합니다.

1.3 IEC 61508의 실제 적용

IEC 61508은 안전이 중요한 전기, 전자 및 프로그래밍 가능 전자 시스템에서 널리 사용됩니다. 일반적인 적용 사례는 다음과 같습니다.

• 기계 산업: 프레스 브레이크, 레이저 커터, 스탬핑 머신, 산업용 로봇 안전 시스템
• 공정 산업: 비상 정지 시스템(ESD), 안전 밸브, 압력 방출 장치
• 전력 부문: 보호 계전기, 고장 분리 장치, 지능형 회로 차단기
• 운송: 철도 신호 시스템, 자동 열차 제어(ATC) 장치, 자동차 안전 모듈
• 의료기기: 생명 지원 시스템, 안전 모니터링 모듈

IEC 61508을 준수하여 이러한 시스템은 사고를 예방하고 고장 발생 시 인간의 생명과 환경을 보호하는 기능적 안전 원칙을 기반으로 설계되었습니다.

1.4 IEC 61508이 개발된 이유

1990년대에는 점점 더 많은 안전 기능이 전자식 또는 프로그래밍 가능한 전자 시스템을 통해 구현되었습니다. 이러한 시스템은 종종 매우 복잡하여 모든 가능한 고장 모드를 파악하거나 모든 작동 시나리오를 테스트하는 것이 사실상 불가능했습니다.

핵심 과제는 위험한 고장을 예방하거나, 발생 시 안전하게 관리할 수 있는 시스템을 설계하는 것이었습니다. 이러한 고장은 다음과 같은 원인으로 발생할 수 있습니다.

• 안전 관련 제어 시스템에 대한 잘못된 사양
• 불완전한 안전 요구 사항 정의(예: 모든 작동 모드에서 기능 정의 실패)
• 무작위 하드웨어 오류
• 시스템 수준 하드웨어 오류
• 소프트웨어 설계 오류
• 일반적인 원인 실패
• 인간의 실수
• 환경적 요인(예: 전자파 간섭, 극한 온도, 기계적 스트레스)

2.0 IEC 61508과 SIL(안전 무결성 수준)은 무엇입니까?

IEC 61508은 전기, 전자 및 프로그래밍 가능한 전자 안전 관련 시스템에 적용되는 국제적으로 인정된 기능 안전 표준입니다. 이 표준은 이러한 시스템의 설계, 개발, 운영 및 유지 보수에 대한 체계적인 안전 지침을 제공합니다. 핵심 구성 요소 중 하나는 다음과 같습니다. 안전 무결성 수준(SIL)위험한 상황에서 위험을 줄이는 안전 기능의 능력을 측정하는 중요한 척도입니다.

2.1 SIL의 정의와 역할

IEC 61508은 안전 무결성을 다음과 같이 정의합니다.

"모든 지정된 조건에서 지정된 시간 내에 필요한 안전 기능을 안전 관련 시스템이 성공적으로 수행할 확률."

SIL 레벨은 위험 이벤트 발생 시 안전 기능이 제공하는 위험 감소 정도를 나타냅니다. SIL 레벨은 SIL 1부터 SIL 4까지 네 가지로 나뉘며, 높은 레벨일수록 안전 요구 사항이 더욱 엄격해지고 개발 및 검증 프로세스가 더욱 복잡해집니다.

SIL 레벨	위험 확률	해당 개발 요구 사항
실 1	가장 높은 확률	최소 요구 사항
SIL 2	중간	권장 조치
SIL 3	낮은	엄격한 조치
SIL 4	가장 낮은 확률	가장 엄격한 통제

2.2 SIL은 어떻게 결정되는가

IEC 61508은 다음을 포함하여 SIL을 결정하기 위한 정성적, 정량적 방법을 제공합니다.

1. 위험 및 위험성 평가(5부)

• 잠재적 위험 식별
• 위험의 빈도와 심각성을 평가합니다.
• 필요한 위험 감소 수준 결정(부록 A)

2. 고장 확률 평가

SIL은 다음을 사용하여 정량적으로 평가할 수 있습니다.

• PFDavg(요구 시 위험한 고장의 평균 확률)저수요 모드용
• PFH(시간당 위험 고장 확률)연속 모드용

PFDavg – 저수요 모드:

SIL 레벨	PFD평균 범위
SIL 4	≥ 10⁻⁵ ~ < 10⁻⁴
SIL 3	≥ 10⁻⁴ ~ < 10⁻³
SIL 2	≥ 10⁻³ ~ < 10⁻²
실 1	≥ 10⁻² ~ < 10⁻¹

PFH – 연속 모드:

SIL 레벨	PFH [1/h] 범위
SIL 4	≥ 10⁻⁹ ~ < 10⁻⁸
SIL 3	≥ 10⁻⁸ ~ < 10⁻⁷
SIL 2	≥ 10⁻⁷ ~ < 10⁻⁶
실 1	≥ 10⁻⁶ ~ < 10⁻⁵

2.3 시스템 기능 및 아키텍처 제약

시스템은 특정 설계, 테스트 및 검증 기능(예: FMEDA, SFF)을 충족해야 합니다.

SFF(안전 고장 분율) = (안전한 실패 + 감지된 위험한 실패) / 총 실패

2.4 표준별 안전 무결성 수준 비교

SIL은 IEC 61508 프레임워크의 일부이지만 다른 산업 표준은 직접 호환되지 않는 유사한 안전 수준을 정의합니다.

기준	안전 수준(낮음 → 높음)
IEC 61508	SIL 1, SIL 2, SIL 3, SIL 4
ISO 26262	ASIL A, ASIL B, ASIL C, ASIL D
DO-178C	레벨 E, D, C, B, A
IEC 62304	A, B, C 클래스
EN 50128	SSIL 0, 1, 2, 3, 4

2.5 SIL 및 소프트웨어 개발

IEC 61508 3부("소프트웨어 요구사항")는 SIL 수준에 따라 임베디드 소프트웨어 개발 기준을 명시합니다. 일반적인 관행과 권장 수준은 다음과 같습니다.

기술/연습	실 1	SIL 2	SIL 3	SIL 4
코딩 표준 사용	아르 자형	인사부	인사부	인사부
전방 추적성	아르 자형	아르 자형	인사부	인사부
FMEA / FMEDA 분석	선택 과목	추천	강력 추천	필수적인

메모: HR = 강력 추천, R = 추천, — = 추천하지 않음

2.6 SIL을 평가하고 계산하는 방법은?

IEC 61508에 따르면 적절한 SIL을 결정하려면 세 가지 핵심 기준을 고려해야 합니다.

• 시스템 기능– 디자인이 기능적 요구 사항을 충족하는지 여부
• 건축적 제약– 설계가 중복성 및 구조적 요구 사항(예: SFF)을 충족하는지 여부
• 무작위 하드웨어 오류 확률– PFDavg 또는 PFH를 사용하여 정량화됨

권장 평가 도구:

• 위험 분석(HAZOP)
• 위험 매트릭스 또는 요구 사항 추적 매트릭스
• 고장 모드 및 영향 분석(FMEA)
• 고장 모드, 영향 및 진단 분석(FMEDA)

3.0 기능적 안전이란 무엇인가

기능 안전의 핵심 개념:
IEC 61508과 그 적용을 효과적으로 이해하려면 다음의 기본 개념과 핵심 용어를 파악하는 것이 필요합니다.

기능적 안전
정의:
기능적 안전은 전반적인 시스템 안전의 일부로, 지정된 입력을 받았을 때 시스템이 올바르게 작동하는지 여부에 초점을 맞춰 위험한 사고를 방지하거나 장애 발생 시 위험을 허용 가능한 수준으로 줄입니다.
목적:
잠재적 위험 감지 시 대응할 수 있도록 시스템을 사전에 제어하여 사람, 장비 및 환경의 안전을 보장합니다. 예를 들면 다음과 같습니다.

연기 감지기가 자동 스프링클러 시스템을 작동시킵니다.

산업용 난방 장비는 과열이 발생하면 자동으로 꺼집니다.

안전 무결성 수준(SIL)
SIL은 안전 기능의 성능과 안정성을 정량적으로 측정한 것으로, 필요할 때 시스템이 안전 기능을 안정적으로 수행할 수 있는 능력을 나타냅니다.
SIL 레벨에는 4가지(SIL 1~SIL 4)가 있으며, 레벨이 높을수록 더욱 엄격한 안전 요구 사항과 더욱 엄격한 소프트웨어 개발 및 검증을 나타냅니다.

SIL 레벨	수요 시 위험한 고장의 평균 확률(PFDavg) – 저수요 모드	시간당 위험 고장 확률(PFH) – 연속 모드
실 1	≥ 10⁻² ~ < 10⁻¹	≥ 10⁻⁶ ~ < 10⁻⁵
SIL 2	≥ 10⁻³ ~ < 10⁻²	≥ 10⁻⁷ ~ < 10⁻⁶
SIL 3	≥ 10⁻⁴ ~ < 10⁻³	≥ 10⁻⁸ ~ < 10⁻⁷
SIL 4	≥ 10⁻⁵ ~ < 10⁻⁴	≥ 10⁻⁹ ~ < 10⁻⁸

⚠ 메모: IEC 61508에 정의된 SIL 수준은 ISO 26262나 IEC 61511 등 다른 표준의 수준과 혼동되어서는 안 됩니다.

안전 수명주기
IEC 61508은 초기 개념부터 시스템 해체까지 프로젝트 수명 주기 전반에 걸쳐 기능 안전 문제를 관리하기 위한 체계적인 프로세스를 정의합니다.
안전 수명주기는 다음을 강조합니다.

위험 식별 및 위험 평가

안전 요구 사항의 정의

안전 설계 구현

검증 및 확인;

유지관리 및 지속적인 개선.
이 프로세스는 시스템이 전체 수명 주기 동안 지속적으로 안전 요구 사항을 충족하도록 보장합니다.

3.1 기능 안전의 중요성

기능적 안전이 왜 중요한가요?
시스템 복잡성이 증가함에 따라, 특히 산업, 운송, 에너지 분야와 같은 고위험 환경에서는 잠재적 위험 또한 증가합니다. 기능 안전의 목표는 고장 위험을 사전에 식별하고 완화하여 다음을 보장하는 것입니다.

• 직원과 사용자의 안전
• 장비의 안정적인 작동
• 기업의 경제적 손실을 최소화합니다.

제조업에서 기능적 안전 시스템은 공장에서 장비를 보다 효과적으로 제어하고, 효율성을 개선하고, 가동 중지 시간을 줄이는 데 도움이 되므로 전반적인 생산성이 향상됩니다.

왜 자격증을 취득해야 하나요?

• 법적 요구 사항:일부 산업과 지역에서는 법에 따라 기능 안전 인증을 의무화하고 있습니다.
• 시장 접근:인증을 받지 않은 제품은 특정 시장에서 판매가 금지될 수 있습니다.
• 고객 신뢰:최종 사용자와 시스템 통합자는 종종 공급업체로부터 독립적인 제3자 인증을 요구합니다.
• 보험 준수:많은 보험사에서는 보험 적용 조건으로 기능 안전 인증을 요구합니다.
  인증 표준은 일반적으로 IEC 61508 또는 업계별 파생 표준을 기반으로 합니다.

3.2 IEC 61508: 기본 기능 안전 표준

IEC 61508은 기능 안전의 "모체 표준"으로, 특정 표준이 없는 모든 산업에 적용됩니다. 위험 평가 방법론을 기반으로 하며 시스템 설계 및 구현부터 검증까지 포괄적인 지침을 제공합니다.

IEC 61508은 다음을 포함한 안전 관련 시스템 구성 요소를 다룹니다.

• 센서(신호 감지)
• 제어 논리 장치(PLC나 내장형 컨트롤러 등)
• 액추에이터(예: 릴레이, 브레이크, 경보 시스템)
• 소프트웨어 구성 요소(펌웨어 및 애플리케이션 로직 포함).

이 표준은 다음을 다루는 정량적 위험 평가에 기반한 SIL 요구 사항을 설정합니다.

• 시스템 장애
• 무작위 하드웨어 오류
• 소프트웨어 논리 또는 시스템 오류.

3.3 산업별 기능 안전 표준(IEC 61508에서 파생)

산업	파생 표준	설명
공정 산업	IEC 61511	화학 및 석유화학 플랜트와 같은 연속 제어 프로세스의 경우
기계	IEC 62061	기계 장비 및 로봇 시스템용
자동차 전자 장치	ISO 26262	도로 차량 전자/전기 시스템용
항공우주	DO-178C / DO-254	민간 항공 소프트웨어/하드웨어 개발 및 검증을 위해
의료기기	IEC 62304	의료 소프트웨어 수명 주기 관리를 다룹니다.
원자력 산업	IEC 61513	원자력 발전소 계측 및 제어 시스템용
가전제품/소비재	IEC 60730	자동제어장치의 안전성에 집중

4.0 IEC 61508이 Industry 4.0의 핵심 표준인 이유

인더스트리 4.0의 발전과 자동화 및 연결성 증가에 따라 IEC 61508은 기능 안전을 보장하는 핵심 표준으로 자리 잡았습니다. 특히 다음과 같은 경우에 중요합니다.

• 시스템 복잡성 관리:IEC 61508은 센서, 액추에이터 및 제어 시스템의 조정된 작동을 포함하여 점점 더 복잡해지는 산업 4.0 시스템 아키텍처를 처리하기 위한 체계적인 접근 방식을 제공하며, 복잡성으로 인해 안전성이 저하되지 않도록 보장합니다.
• 위험 완화:자동화가 증가함에 따라 시스템 고장 위험도 증가합니다. IEC 61508은 설계부터 해체까지 시스템 수명 주기 전반에 걸쳐 위험 식별 및 완화 지침을 제공하여 지속적이고 안정적인 안전을 보장합니다.
• 상호 운용성 보장:인더스트리 4.0은 다양한 시스템과 장치의 원활한 통합을 요구합니다. IEC 61508은 통합 안전 프레임워크를 제공하여 다양한 공급업체와 플랫폼이 안전을 저해하지 않고 상호 운용될 수 있도록 보장합니다.
• 자율 시스템의 신뢰성 향상:소프트웨어 제어 산업 시스템의 광범위한 도입으로 소프트웨어 신뢰성이 매우 중요해졌습니다. IEC 61508은 안전이 중요한 소프트웨어 개발에 대한 명확한 요건을 정의하여 기업이 안정적이고 신뢰할 수 있는 지능형 시스템을 구축할 수 있도록 지원합니다.
• 규정 준수 입증:IEC 61508을 준수하면 기업이 규제 및 산업 표준을 충족하는 데 도움이 될 뿐만 아니라 시장과 규제 기관에 안전에 대한 의지를 보여주고 브랜드 평판과 경쟁 우위를 강화할 수 있습니다. 이는 특히 안전이 중요한 계약에 입찰하거나 규제된 시장에 진출할 때 중요합니다.

IEC 61508은 산업 전반의 기능적 안전을 위한 기반을 마련할 뿐만 아니라 디지털 전환 시대에 탄력적이고 안정적이며 인증 가능한 시스템을 구축하기 위한 로드맵을 제공합니다.

5.0 《IEC 61508 IEC 61508:2010 PDF》에 대한 추천 자료

🔗 IEC 61508:2010 PDF 다운로드

🔗 IEC 61508 및 기능 안전-2022

6.0 IEC 61508 및 SIL – 자주 묻는 질문(FAQ)

 

참고문헌

dra.com/iec-61508/#61508-1

www.tuvsud.com/en-sg/services/functional-safety/iec-61508

www.perforce.com/blog/qac/what-iec-61508-안전-무결성-수준-sils

www.gt-engineering.it/en/insights/functional-safety-300321/iec-61508-all-parts/