ISO 13850 기계 비상정지기능의 설계 원칙과 기능 안전 통합 안내서

ISO 13850 기계 비상정지기능의 설계 원칙과 기능 안전 통합 안내서

2025-09-21, G25DR

1. 서론: 비상정지기능의 본질과 ISO 13850의 역할

기계 안전의 영역에서 비상정지기능(Emergency stop function)은 가장 직관적이면서도 가장 깊은 오해를 받는 요소 중 하나이다. 이는 단순히 기계를 멈추는 스위치가 아니라, 예측하지 못한 위험 상황이 발생하거나 임박했을 때, 인간의 단일 조작을 통해 사람에 대한 위해, 기계 또는 작업물의 손상을 피하거나 줄이기 위한 최후의 수동적 조치이다.1 이 기능의 핵심 철학은 정상적인 운전 절차를 벗어난 비상 상황에서, 제어 시스템의 상태와 무관하게 즉각적이고 신뢰성 있는 정지를 보장하는 데 있다.

국제 표준 ISO 13850, “기계 안전 — 비상정지기능 — 설계 원칙“은 이러한 비상정지기능의 기능적 요구사항과 설계 원칙을 규정하는 핵심적인 B타입 표준이다.5 이 표준의 가장 중요한 원칙 중 하나는 비상정지기능을 ’보완적 보호 수단(complementary protective measure)’으로 명확히 정의하는 것이다.1 이는 비상정지기능이 가드(guard), 인터록(interlock), 라이트 커튼(light curtain)과 같은 주 방호장치(safeguarding measures)를 결코 대체할 수 없음을 의미한다.2 이 개념은 기계 안전 설계의 근본적인 철학적 경계를 설정한다. ISO 12100에 명시된 3단계 위험성 감소 방법론에 따르면, 1단계(본질적 안전 설계)와 2단계(방호 조치 및 보조 보호 조치)가 우선적으로 적용되어야 한다. 비상정지기능은 이러한 1, 2단계 조치가 실패하거나 예상치 못한 상황이 발생했을 때 비로소 그 의미를 가진다. 따라서 완벽한 비상정지 시스템을 갖추었더라도 1, 2단계 조치가 미흡하다면 그 기계는 근본적으로 안전하다고 할 수 없다. 이는 비상정지기능이 ‘예측된’ 위험에 대한 일상적인 방호 수단이 아니라, ‘예측하지 못한’ 비상 상황에 대응하기 위한 예외적 수단임을 명확히 하는 것이다.

본 표준은 사용되는 에너지의 종류(전기, 유압, 공압 등)와 무관하게 모든 기계에 적용된다.5 그러나 비상정지가 위험을 감소시키지 않는 기계(예: 감전, 화상 등 전원 차단으로 즉시 해소되지 않는 위험)나, 작업자가 기계 전체를 제어하는 휴대용 또는 수동 조작 기계는 적용 범위에서 제외된다.2 특히, 전기 및 전자 기술에 기반한 비상정지기능의 구체적인 구현 요구사항은 IEC 60204-1에서 상세히 다루고 있어, 두 표준은 상호 보완적인 관계에 있다.5 이 안내서는 ISO 13850의 핵심 원칙부터 정지 범주, 물리적 및 논리적 설계 요구사항, 그리고 ISO 13849-1 및 IEC 62061과 같은 기능 안전 표준과의 통합적 관계까지 심층적으로 분석하여, 기계 안전 시스템을 설계하고 검증하는 엔지니어와 전문가에게 실질적인 지침을 제공하는 것을 목표로 한다.

2. 비상정지기능의 핵심 원리

2.1 일반 요구사항: 타협 불가능한 원칙

ISO 13850은 비상정지기능이 어떤 상황에서도 신뢰성 있게 작동하도록 보장하기 위해 몇 가지 타협 불가능한 기본 원칙을 제시한다. 이 원칙들은 기능의 논리적 토대를 이루며, 설계의 모든 단계에서 최우선으로 고려되어야 한다.

2.1.1 상시 가용성 및 작동성

비상정지기능은 기계의 모든 운전 모드(자동, 수동, 설정 등)에서 항상 사용 가능하고 즉시 작동할 수 있어야 한다.1 이는 제어 시스템의 현재 상태나 프로그램의 실행 위치와는 독립적으로 보장되어야 하는 최상위 요건이다. 예를 들어, 기계가 특정 공정을 수행 중이거나 유지보수 모드에 있더라도 비상정지 명령은 즉각적으로 수용되고 실행되어야 한다.13

2.1.2 모든 기능에 대한 최우선 무시(Override)

비상정지 명령은 기계의 다른 모든 제어 명령보다 우선하며, 진행 중인 모든 동작을 중단시켜야 한다.14 이는 정상적인 운전 신호나 다른 정지 신호와는 비교할 수 없는 절대적인 우선순위를 가짐을 의미한다. 단, 표준은 갇힌 사람을 구출하기 위해 설계된 특정 기능(예: 역회전 기능)을 저해해서는 안 된다는 중요한 예외 조항을 포함하고 있다.1 이는 비상정지의 목적이 위험을 ‘줄이는’ 것이지, 새로운 위험을 ‘만드는’ 것이 아니라는 근본 철학을 반영한다.

2.1.3 재설정(Reset)과 재시작(Restart)의 엄격한 분리

비상정지기능의 논리적 설계에서 가장 중요한 부분 중 하나는 ’재설정’과 ’재시작’을 명확히 분리하는 것이다. 비상정지 장치(예: 누름 버튼)를 해제하는 행위, 즉 ’재설정(Reset)’이 기계를 즉시 ’재시작(Restart)’시켜서는 절대로 안 된다.15 재시작은 반드시 별도의 의도적인 조작(예: 시작 버튼 누름)을 통해서만 가능해야 한다.12

이 요구사항은 단순한 기술적 규정을 넘어, 인간의 행동 패턴과 심리를 고려한 깊이 있는 안전 철학을 담고 있다. 비상 상황의 일반적인 전개 과정은 다음과 같다:

  1. 비상 상황 발생: 작업자가 위험을 인지한다.

  2. 비상정지 작동: 작업자가 비상정지 장치를 작동시켜 기계를 멈춘다.

  3. 위험 요인 제거: 작업자가 기계에 접근하여 문제의 원인(예: 기계에 낀 작업물이나 신체 일부)을 제거한다.

  4. 비상정지 장치 ‘재설정’: 위험 요인 제거 후, 작업자는 비상정지 장치를 돌리거나 당겨 해제한다. 이 시점에서 기계는 재가동 ‘준비’ 상태가 된다.

  5. 안전 확인 및 ‘재시작’ 명령: 작업자는 주변의 안전을 최종적으로 확인한 후, 별도의 시작 버튼을 눌러 기계를 의식적으로 재가동한다.

만약 4단계의 ’재설정’이 즉시 ’재시작’으로 이어진다면, 위험 요인을 제거하던 작업자의 손이나 신체 일부가 기계에 남아있는 상태에서 재가동되어 치명적인 2차 사고로 이어질 수 있다. 따라서 이 두 단계의 분리는 예기치 않은 재가동(Prevention of unexpected start-up, ISO 14118)이라는 더 큰 안전 개념과 맥을 같이하며, 기계와 인간의 상호작용에서 발생할 수 있는 치명적인 오류를 원천적으로 차단하는 논리적 방화벽 역할을 한다.

2.1.4 다른 방호장치 기능의 보존

비상정지기능은 다른 방호장치(예: 가드 인터록)나 안전 기능의 효과를 무력화하거나 저해해서는 안 된다.1 예를 들어, 비상정지 버튼을 눌렀다고 해서 안전문 잠금장치가 해제되어서는 안 된다. 오히려 특정 보조 장비는 안전한 정지를 위해 계속 작동해야 할 수도 있다. 가령, 수직 축의 낙하를 방지하는 브레이크나 가공물을 고정하는 마그네틱 척과 같은 장비는 비상정지 시에도 동력이 유지되거나 작동되어야 추가적인 위험을 방지할 수 있다.1

2.2 정지 범주(Stop Category)의 이해와 선택

비상정지기능이 작동했을 때 기계가 ‘어떻게’ 멈추는지는 안전에 매우 중요한 영향을 미친다. ISO 13850은 이 정지 방식을 IEC 60204-1 “기계류의 안전성 - 기계의 전기장비“에서 정의한 ’정지 범주(Stop Category)’를 기반으로 규정한다. 중요한 점은, ISO 13850은 이 중 정지 범주 0과 정지 범주 1만을 비상정지 목적으로 허용한다는 것이다.19 어떤 정지 범주를 선택할지는 기계의 특성과 위험성 평가 결과에 따라 신중하게 결정되어야 한다.13

2.2.1 정지 범주 0 (Uncontrolled Stop)

정지 범주 0은 가장 간단하고 직접적인 방식으로, 비상정지 명령 시 기계 액추에이터(모터, 실린더 등)로 공급되는 동력을 즉시 차단하여 비제어 정지를 유발한다.20 이는 전원 플러그를 뽑는 것과 유사한 개념으로, 기계는 관성에 의해 자유롭게 멈추거나(coasting), 별도의 기계적 브레이크에 의해 정지한다.13 이 방식은 관성이 거의 없는 간단한 기계(예: 소형 컨베이어, 펌프)에는 효과적이지만, 고관성 기계에는 부적합할 수 있다. 기능 안전 함수로는 STO(Safe Torque Off)가 이 범주에 해당하며, 모터에 토크를 발생시키는 전원을 안전하게 차단한다.19

2.2.2 정지 범주 1 (Controlled Stop)

정지 범주 1은 기계 액추에이터에 동력을 유지한 상태에서 제어된 방식으로 정지(예: 서보 드라이브를 이용한 급속 감속)시킨 후, 정지가 안전하게 완료되면 동력을 차단하는 방식이다.13 이 방식은 다음과 같은 경우에 필수적이다.

  • 고관성 기계: 연삭기, 원심분리기, 대형 팬 등 회전 관성이 큰 기계는 동력을 즉시 차단해도 상당 시간 동안 위험한 움직임을 지속할 수 있다. 정지 범주 1은 전기적 제동을 통해 이 정지 시간을 극적으로 단축시킨다.19

  • 추가 위험 발생 가능성: 동력 차단 시 가공물이 낙하하거나 특정 부위가 제어 불능 상태에 빠질 수 있는 기계의 경우, 제어된 정지를 통해 안전한 위치로 이동시킨 후 동력을 차단해야 한다.

이 방식은 ’가장 빠른 정지’가 항상 ’가장 안전한 정지’는 아니라는 중요한 사실을 시사한다. 여기서의 목표는 ’위험한 움직임이 가장 빨리 멈추는 것’이며, 이는 ’전원 차단이 가장 빠른 것’과 동의어가 아니다. 이 미묘하지만 결정적인 차이를 이해하는 것은 비상정지 시스템을 전문적으로 설계하는 데 있어 핵심적인 요소이다. 기능 안전 함수로는 SS1(Safe Stop 1)이 이 범주에 해당한다.19

2.2.3 정지 범주 2 (Controlled Stop with Power Left Available)

정지 범주 2는 제어된 방식으로 정지하지만, 정지 후에도 액추에이터에 동력이 유지되는 방식이다.20 이는 일반적인 운전 정지나, 로봇이 특정 위치를 유지해야 하는 경우 등에 사용된다. 하지만 비상정지기능에는 적용이 금지된다.22 그 이유는 비상 상황이 해제되기 위해서는 위험 에너지원이 확실히 차단되어야 한다는 기본 원칙에 위배되기 때문이다. 동력이 남아있는 한, 예기치 않은 재가동의 위험은 상존한다.

다음 표는 세 가지 정지 범주의 핵심적인 차이점을 요약한 것이다.

표 1: 정지 범주 비교 분석

특징정지 범주 0 (Uncontrolled Stop)정지 범주 1 (Controlled Stop)정지 범주 2 (Controlled Stop)
작동 원리액추에이터 동력 즉시 차단제어된 정지 후 동력 차단제어된 정지 후 동력 유지
정지 중 동력 상태차단 (OFF)유지 (ON) → 차단 (OFF)유지 (ON)
정지 방식비제어 정지 (자유 회전, 기계적 제동)제어 정지 (전기적 제동, 감속 램프)제어 정지
ISO 13850 적용허용허용금지
장점구현 용이, 비용 저렴빠른 정지 시간, 정지 위치 제어 가능즉시 재시작 가능
단점정지 시간 김 (고관성 기계), 추가 위험 유발 가능구현 복잡, 비용 높음위험 에너지 잔존
주요 적용 사례저관성 기계 (컨베이어, 펌프)고관성 기계 (연삭기, 프레스), 서보 드라이브 시스템일반 운전 정지, 로봇의 경로 유지 정지
관련 기능 안전 함수STO (Safe Torque Off)SS1 (Safe Stop 1)SS2 (Safe Stop 2), SOS (Safe Operating Stop)

3. 비상정지 장치의 설계 및 구현

비상정지기능의 성공적인 구현은 논리적 원칙뿐만 아니라, 작업자가 위급 상황에서 즉각적으로 인지하고 망설임 없이 조작할 수 있도록 하는 물리적 설계에 크게 의존한다.

3.1 물리적 설계: 직관성과 신뢰성

3.1.1 액추에이터 형태와 색상

비상정지 장치의 액추에이터는 작업자가 쉽게 식별하고 조작할 수 있도록 설계되어야 한다. 가장 보편적으로 사용되는 형태는 손바닥으로 쉽게 누를 수 있는 ‘버섯형(Mushroom-head)’ 누름 버튼이다.3 표준은 액추에이터의 색상을 **적색(RED)**으로 명확히 규정하며, 가능한 경우 그 배경은 **황색(YELLOW)**이어야 한다고 요구한다.11 이 적색/황색 조합은 비상정지 기능에만 독점적으로 사용되어야 하며, 다른 기능(예: 일반 정지 버튼)에 사용해서는 안 된다.26

이러한 색상과 형태 규정은 단순한 미적 요소가 아니다. 이는 인지심리학 및 인간공학 원리에 깊이 뿌리내린 ’보편적 안전 언어(Universal Safety Language)’이다. 긴급 상황에서 인간의 뇌는 분석적 사고(문자 해독)보다 직관적이고 패턴 기반의 인식(색상, 형태)에 훨씬 빠르게 반응한다. 표준은 이러한 인간의 본능적인 반응 체계를 활용하여 반응 시간을 최소화하고자 하는 것이다. 따라서 설계자가 임의로 다른 색상을 사용하거나 불필요한 장식을 추가하는 행위는 이 보편적 언어의 명료성을 훼손하여 안전을 저해하는 결과를 초래할 수 있다.

3.1.2 텍스트 및 기호 사용 제한

ISO 13850:2015 개정판에서는 액추에이터나 배경에 ’EMERGENCY STOP’과 같은 텍스트나 기호를 사용하지 ’않을 것’을 권고한다.11 이는 다국적 작업 환경에서 특정 언어를 이해하지 못하는 작업자가 발생할 수 있는 혼란을 방지하고, 위급 상황에서 문자를 해독하는 데 소요되는 미세한 시간 지연조차 없애기 위함이다. 적색/황색 조합 자체가 ’비상정지’라는 의미를 전달하는 가장 빠르고 보편적인 수단이라는 철학이 담겨 있다.11

3.1.3 설치 위치 및 접근성

비상정지 장치는 각 운전자 제어반 및 위험성 평가를 통해 식별된 모든 필요한 위치에 설치되어야 한다.3 장치는 작업자가 자신의 작업 위치에서 위험에 추가로 노출되지 않고 쉽고 빠르게 조작할 수 있는 곳에 배치되어야 한다.2 인간공학적 측면을 고려하여, 손으로 조작하는 비상정지 장치의 권장 설치 높이는 바닥 또는 작업 발판으로부터 0.6m에서 1.7m 사이이다.3

3.1.4 특수 액추에이터 (와이어, 로프, 바)

컨베이어 라인이나 방직 기계와 같이 길이가 긴 기계의 경우, 특정 지점에 설치된 누름 버튼만으로는 전체 작업 영역을 방호하기 어렵다. 이러한 경우, 금속선(wire), 밧줄(rope), 막대(bar) 형태의 액추에이터를 사용할 수 있다.2 이 장치들은 작업자가 라인의 어느 위치에서든 줄을 당기거나 밀어서 비상정지를 작동시킬 수 있게 한다. 설계 시에는 비상정지 신호를 발생시키기 위해 필요한 최소 처짐량, 장력, 최대 허용 처짐량, 그리고 주변 물체와의 최소 이격 거리 등을 신중하게 고려해야 한다.2

3.1.5 오작동 방지

비상정지 장치는 의도치 않게 작동되어서는 안 된다. 특히 통로 근처에 설치된 경우, 작업자가 실수로 부딪혀 작동시킬 수 있다. 이를 방지하기 위해 보호 덮개(shroud)나 보호턱을 사용할 수 있다.30 그러나 이러한 보호 장치는 비상 상황에서 작업자의 신속한 접근을 방해해서는 안 된다. 따라서 표준은 누름 버튼과 보호턱의 높이 차이를 3mm 이내로 하거나, 비상시 쉽게 파괴할 수 있는 유리 덮개(breakable glass) 구조를 사용하는 등의 구체적인 지침을 제시한다.2

3.2 제어 시스템 설계: 논리적 완결성

물리적 장치가 신뢰성 있게 작동하더라도, 이를 처리하는 제어 시스템의 논리가 견고하지 않으면 안전은 보장될 수 없다.

3.2.1 기계적 잠금(Latching) 기능

비상정지 액추에이터는 한번 작동되면 기계적으로 잠금(latching) 상태를 유지해야 한다.12 이는 작업자가 버튼에서 손을 떼더라도 정지 명령이 계속 유지되도록 보장한다. 이 잠금 상태는 오직 의도적인 수동 조작(예: 버튼을 시계 방향으로 돌리거나 당김)을 통해서만 해제될 수 있어야 한다.3 이 기능은 비상 상황의 원인이 완전히 해결되기 전에 시스템이 저절로 또는 실수로 복귀되는 것을 방지하는 중요한 역할을 한다.

3.2.2 제어 회로 구현

비상정지 제어 회로는 고장 시에도 안전한 상태를 유지하도록 설계되어야 한다(Fail-safe 원리). 이를 위해 몇 가지 핵심적인 설계 원칙이 적용된다.

  • 강제 개리 접점(Positive Opening Contacts): 비상정지 누름 버튼에는 강제 개리(또는 직접 개로) 기능이 있는 접점을 사용해야 한다.17 이는 과전류 등으로 인해 접점이 서로 녹아 붙는(welding) 고장이 발생하더라도, 버튼을 누르는 기계적인 힘이 강제로 접점을 분리시켜 회로를 차단하도록 보장한다.

  • 상시 닫힘(Normally Closed, NC) 회로: 비상정지 회로는 일반적으로 상시 닫힘(NC) 접점들을 직렬로 연결하여 구성한다.32 이 방식에서는 정상 상태일 때 회로에 전류가 흐르며, 비상정지 버튼을 누르거나 배선이 끊어지면 회로가 개방되어 정지 신호가 발생한다. 이는 배선 단선과 같은 일반적인 고장 상황이 즉시 감지되고 안전한 정지로 이어지도록 하는 대표적인 페일 세이프 설계이다.31

3.2.3 안전 릴레이 및 안전 PLC의 활용

단순한 기계에서는 비상정지 버튼이 직접 모터 접촉기의 코일 전원을 차단할 수 있다. 그러나 둘 이상의 회로를 동시에 차단해야 하거나, 더 높은 수준의 안전 무결성이 요구되는 복잡한 시스템에서는 안전 릴레이(Safety Relay) 또는 안전 PLC(Safety PLC)를 사용해야 한다.31 이러한 장치들은 다음과 같은 핵심 기능을 내장하고 있다.

  • 이중화(Redundancy): 입력 회로(비상정지 버튼)와 출력 회로(접촉기)가 모두 이중 채널로 구성되어, 한 채널에 고장이 발생해도 다른 채널이 안전 기능을 수행한다.

  • 자기 감시(Monitoring): 장치는 지속적으로 입력 및 출력 회로의 상태를 감시한다. 예를 들어, 두 채널의 신호가 일치하지 않거나, 출력 접촉기가 고착되어 떨어지지 않는 경우 등을 감지하여 시스템을 안전하게 정지시키고 재시작을 방지한다.

3.2.4 제어 범위(Span of Control)

ISO 13850:2015 개정판에서 도입된 ’제어 범위’는 하나의 비상정지 장치가 영향을 미치는 기계 또는 설비의 구역을 정의하는 중요한 개념이다.3 이 개념의 등장은 현대 제조 환경의 변화와 직접적인 관련이 있다. 과거의 단일 기계 중심 환경과 달리, 오늘날의 생산 현장은 여러 기계가 복잡하게 연결된 대규모 통합 라인으로 구성되는 경우가 많다.

이러한 환경에서 단 하나의 비상정지 버튼이 수백 미터에 달하는 전체 라인을 멈추게 하는 것은 비효율적일 뿐만 아니라, 때로는 새로운 위험을 유발할 수도 있다. 예를 들어, 라인 후반부의 국지적인 문제로 전체 라인이 멈추면, 라인 전반부에서는 자재가 계속 공급되어 쌓이면서 2차적인 위험이 발생할 수 있다.3

‘제어 범위’ 개념은 이러한 문제를 해결하기 위해 설비를 여러 논리적 구역으로 나누고, 각 구역마다 별도의 비상정지 장치를 두어 해당 구역만 정지시킬 수 있도록 허용한다.4 이는 설계자에게 더 큰 유연성을 부여하지만, 동시에 더 무거운 책임을 지운다. 설계자는 이제 단순히 비상정지 버튼을 설치하는 것을 넘어, ’어디서부터 어디까지 멈출 것인가’를 위험성 평가에 기반하여 논리적으로 구획해야 한다. 또한, 각 제어 범위와 해당 비상정지 장치는 작업자가 혼동 없이 명확하게 인지할 수 있도록 시각적으로 표시(예: 라인 바닥의 색상 구분, 명확한 표지판)할 의무가 있다.3 잘못 설계된 ’제어 범위’는 작업자에게 혼란을 주어 비상 상황에서 치명적인 결과를 초래할 수 있다.

4. 기능 안전 표준과의 통합

ISO 13850은 비상정지기능의 ’무엇을(what)’과 ’왜(why)’를 정의하지만, 이 기능이 얼마나 ‘신뢰성 있게(reliably)’ 작동해야 하는지에 대한 정량적 요구사항은 ISO 13849-1 및 IEC 62061과 같은 기능 안전 표준을 통해 구체화된다.

4.1 안전 관련 제어 시스템의 신뢰성 정량화

기계 안전 표준은 그 적용 범위와 내용에 따라 계층 구조를 가진다.34

  • A타입 표준 (기본 안전 표준): 모든 기계에 적용되는 기본 개념, 설계 원칙, 일반적인 측면을 다룬다. ISO 12100 (위험성 평가 및 위험성 감소)이 대표적이다.

  • B타입 표준 (그룹 안전 표준): 광범위한 기계에 적용할 수 있는 안전 측면이나 방호장치 유형을 다룬다. ISO 13850 (비상정지기능), ISO 13849-1 (제어 시스템의 안전 관련 부품), IEC 62061 (기능 안전) 등이 여기에 속한다.36

  • C타입 표준 (기계 안전 표준): 특정 기계 또는 기계 그룹(예: 프레스, 로봇)에 대한 상세한 안전 요구사항을 다룬다.

비상정지기능은 단순한 제어 기능이 아니라, 고장 발생 시 심각한 위험을 초래할 수 있는 안전 기능이다. 따라서 그 신뢰성은 정량적으로 평가되고 관리되어야 한다. ISO 13850은 비상정지기능의 목적을 고려하여 신뢰성 수준이 결정되어야 하지만, 최소 PLr c (ISO 13849-1에 따른 요구 성능 수준) 또는 SIL 1 (IEC 62061에 따른 요구 안전 무결성 수준)을 만족해야 한다고 명시한다.4

이 최소 요구사항의 의미를 정확히 이해하는 것은 매우 중요하다. 이는 모든 비상정지 시스템을 PL c 또는 SIL 1로 설계하면 충분하다는 의미가 결코 아니다. 이는 ’최소한의 안전망’일 뿐이며, 실제 요구되는 신뢰성 수준(PLr 또는 SILr)은 ISO 12100에 따른 해당 기계의 위험성 평가 결과에 따라 결정된다. 예를 들어, 매우 심각한 부상을 초래할 수 있는 고위험 기계의 위험성 평가 결과 PLr e가 도출되었다면, 해당 기계의 비상정지기능은 반드시 PL e 수준으로 설계되어야 한다. 따라서 비상정지기능의 최종 요구 성능 수준은 논리적으로 max(PLr c, 위험성 평가에 따른 PLr) 관계를 따른다고 볼 수 있다. 이 점을 간과하고 모든 비상정지 시스템을 최소 요구사항인 PL c로 일괄 설계하는 것은 고위험 기계에서 심각한 안전 규정 위반이 될 수 있다.

4.2 ISO 13849-1에 따른 성능 수준(PL) 분석

ISO 13849-1은 제어 시스템의 안전 관련 부품(SRP/CS)이 안전 기능을 수행할 수 있는 능력을 ’성능 수준(Performance Level, PL)’이라는 척도로 정량화한다. PL은 a(낮음)부터 e(높음)까지 5개의 등급으로 나뉘며, 각 등급은 시간당 위험측 고장 확률(PFHd, Probability of dangerous Failure per Hour)과 연관된다.37

4.2.1 요구 성능 수준(PLr) 결정

설계에 앞서, 해당 안전 기능에 어느 정도의 신뢰도가 필요한지를 결정하는 과정이다. 이는 ISO 13849-1에서 제공하는 리스크 그래프를 통해 수행되며, 다음과 같은 세 가지 파라미터를 평가한다.37

  • S (Severity of injury): 부상의 심각도 (S1: 경상, S2: 중상 또는 사망)

  • F (Frequency and/or exposure to hazard): 위험에 노출되는 빈도 및 시간 (F1: 드묾/짧음, F2: 잦음/김)

  • P (Possibility of avoiding hazard): 위험을 회피할 수 있는 가능성 (P1: 가능, P2: 거의 불가능)

이 세 가지 파라미터를 리스크 그래프의 시작점에서부터 순서대로 따라가면 해당 안전 기능에 요구되는 성능 수준인 PLr (a~e)이 결정된다.

표 2: ISO 13849-1 PLr 결정을 위한 리스크 파라미터

파라미터코드설명
부상 심각도 (S)S1경미한 (일반적으로 회복 가능한) 부상
S2심각한 (일반적으로 회복 불가능한) 부상 또는 사망
노출 빈도/시간 (F)F1드물게 또는 짧은 시간 동안 위험에 노출
F2빈번하게 또는 지속적으로 위험에 노출
위험 회피 가능성 (P)P1특정 조건 하에서 위험 회피 가능
P2거의 모든 경우에 위험 회피 불가능

4.2.2 달성 성능 수준(PL) 계산

설계된 안전 회로가 실제로 어느 정도의 신뢰도를 갖는지 정량적으로 계산하는 과정이다. 이는 다음의 네 가지 핵심 파라미터를 종합적으로 평가하여 이루어진다.37

  1. Category: 제어 시스템의 구조(아키텍처)와 내결함성을 나타낸다. 단일 채널 구조(Category B, 1)부터 이중화 및 상호 감시 기능이 포함된 고신뢰성 구조(Category 3, 4)까지 있다.

  2. MTTFd (Mean Time To Dangerous Failure): 각 부품(채널)이 위험한 고장을 일으키기까지의 평균 시간. 제조사에서 제공하는 데이터를 기반으로 계산된다.

  3. DCavg (Average Diagnostic Coverage): 시스템이 스스로 위험한 고장을 얼마나 잘 진단해낼 수 있는지를 나타내는 비율(%).

  4. CCF (Common Cause Failure): 이중화된 채널이 동일한 원인(예: 온도, 진동, 소프트웨어 버그)으로 동시에 고장 나는 것을 방지하기 위한 대책의 수준.

이 파라미터들을 ISO 13849-1의 표나 계산 도구(예: SISTEMA 소프트웨어)에 적용하여 최종적으로 달성 가능한 PL을 산출한다. 이 계산된 PL이 사전에 결정된 PLr보다 높거나 같아야(PL \ge PLr) 비로소 해당 안전 기능은 요구되는 신뢰도를 만족한다고 할 수 있다.37

4.3 IEC 62061에 따른 안전 무결성 수준(SIL) 분석

IEC 62061은 주로 전기/전자/프로그램 가능 전자(E/E/PE) 안전 관련 제어 시스템(SRECS)의 기능 안전을 다루며, 신뢰성의 척도로 ’안전 무결성 수준(Safety Integrity Level, SIL)’을 사용한다. SIL은 1(낮음)부터 4(높음)까지 4개의 등급으로 나뉘며, 일반 기계 분야에서는 통상 SIL 3까지 사용된다.41

4.3.1 요구 안전 무결성 수준(SILr) 결정

IEC 62061은 SILr을 결정하기 위해 보다 세분화된 리스크 평가 방법을 사용한다. 다음 파라미터들을 평가하여 그 합으로 클래스(Cl)를 결정하고, 이를 심각도(Se)와 조합하여 SILr을 도출한다.41

  • Se (Severity of injury): 부상 심각도 (1~4 등급)

  • Fr (Frequency and duration of exposure): 위험 노출 빈도 및 시간 (1~5 등급)

  • Pr (Probability of occurrence of a hazardous event): 위험 사건 발생 확률 (1~5 등급)

  • Av (Probability of avoiding or limiting harm): 위험 회피 또는 피해 제한 가능성 (1~5 등급)

표 3: IEC 62061 SILr 결정을 위한 리스크 파라미터

파라미터설명등급
심각도 (Se)부상의 심각성1 (응급처치) ~ 4 (사망)
노출 빈도 (Fr)위험 구역에 머무는 빈도 및 시간1 (>1년) ~ 5 (≤1시간)
발생 확률 (Pr)위험 사건의 발생 가능성1 (무시 가능) ~ 5 (매우 높음)
회피 가능성 (Av)위험 회피 또는 피해 제한 가능성1 (항상 가능) ~ 5 (불가능)
클래스 (Cl)Cl = Fr + Pr + Av3 ~ 15

4.3.2 달성 안전 무결성 수준(SIL) 계산

설계된 시스템의 SIL을 결정하는 과정은 아키텍처의 제약 조건과 하드웨어의 확률적 고장률을 모두 고려한다.41

  • 아키텍처 제약 (SIL CL): 시스템의 하드웨어 결함 허용치(HFT, Hardware Fault Tolerance)와 안전측 고장 분율(SFF, Safe Failure Fraction)에 따라 달성할 수 있는 최대 SIL(SIL Claim Limit)이 결정된다.

  • PFHD 계산: 각 하위 시스템(센서, 로직, 액추에이터)의 위험측 고장률(λd), 진단 범위(DC), 공통 원인 고장(β) 등을 고려하여 전체 시스템의 시간당 위험측 고장 확률(PFHd)을 계산한다.

최종적으로 달성된 SIL은 아키텍처 제약과 PFHd 계산 결과 중 더 낮은 값으로 결정되며, 이 값이 SILr 이상이어야 한다.

두 표준은 서로 다른 방법론과 파라미터를 사용하지만, 결과적으로 도달하는 신뢰성 수준은 상호 비교 가능하다. 다음 표는 PL과 SIL 간의 대략적인 관계를 보여준다.

표 4: PL과 SIL의 관계

성능 수준 (PL) (ISO 13849-1)안전 무결성 수준 (SIL) (IEC 62061)시간당 위험측 고장 확률 (PFHD) [1/h]
a-\ge 10^{-5} to < 10^{-4}
b1\ge 3 \times 10^{-6} to < 10^{-5}
c1\ge 10^{-6} to < 3 \times 10^{-6}
d2\ge 10^{-7} to < 10^{-6}
e3\ge 10^{-8} to < 10^{-7}

5. 결론: 안전한 기계를 위한 통합적 접근

ISO 13850은 기계 비상정지기능 설계의 근간을 이루는 국제 표준으로서, 단순한 기술 사양을 넘어 안전 철학을 담고 있다. 이 표준의 핵심은 비상정지기능을 주 방호장치를 대체하는 것이 아닌 ’보완적 보호 수단’으로 명확히 위치시키고, 어떠한 운전 모드에서도 다른 모든 기능을 무시하고 최우선으로 작동해야 한다는 절대적 원칙을 제시하는 데 있다. 또한, 재설정과 재시작의 엄격한 분리, 직관적인 식별을 위한 물리적 요구사항(적색/황색 조합), 그리고 기계의 동역학적 특성을 고려한 정지 범주(0 또는 1)의 선택은 모두 인간의 실수 가능성을 최소화하고 예측 불가능한 상황에서의 피해를 줄이기 위한 심도 있는 고려의 산물이다.

그러나 성공적인 비상정지 시스템의 구현은 ISO 13850의 조항을 기계적으로 따르는 것만으로는 완성되지 않는다. 진정으로 안전한 시스템은 통합적인 접근을 통해 탄생한다. 첫째, ISO 12100에 기반한 철저한 위험성 평가를 통해 기계 고유의 위험을 완벽히 이해해야 한다. 둘째, 인간공학적 원리를 적용하여 작업자가 위급 상황에서 망설임 없이, 그리고 실수 없이 장치를 조작할 수 있도록 설계해야 한다. 셋째, ISO 13849-1 또는 IEC 62061과 같은 기능 안전 표준을 적용하여, 설계된 시스템이 요구되는 신뢰성 목표(PL 또는 SIL)를 정량적으로 만족함을 입증해야 한다.

현대의 제조 환경이 점차 복잡한 통합 생산 라인으로 진화함에 따라, ’제어 범위(Span of Control)’와 같은 개념이 표준에 도입된 것처럼, 기계 안전 표준 역시 기술의 발전에 발맞추어 끊임없이 진화하고 있다. 따라서 기계 안전 전문가는 특정 표준의 요구사항을 암기하는 것을 넘어, 그 배경에 있는 근본 원리를 이해하고, 여러 표준을 유기적으로 연결하여 실제 현장에 적용할 수 있는 통찰력을 갖추어야 한다. 결국, 가장 안전한 기계는 표준의 문구를 넘어, 그 안에 담긴 안전 철학을 깊이 이해하고 실천하는 엔지니어의 손에서 만들어진다.

6. 참고 자료

  1. TS en Iso 13850 | PDF | Machines | International Organization For Standardization - Scribd, https://www.scribd.com/document/856268225/TS-EN-ISO-13850
  2. 산업용기계설비의 비상정지장치 설계에 관한 기술지침 2011. 12. 한국산업안전보건공단, https://www.kosha.or.kr/extappKosha/kosha/guidance/fileDownload.do?sfhlhTchnlgyManualNo=E-96-2011&fileOrdrNo=3
  3. Understanding Emergency Stop Systems: Compliance with EN ISO 13850, https://eshield.pl/en/for-engineer/understanding-emergency-stop-systems-compliance-with-pn-en-iso-13850/
  4. Insights of GT Engineering | Design of the Emergency Stop Function, https://www.gt-engineering.it/en/insights/machinery-safety/the-emergency-stop-function/
  5. ISO 13850:2015 - e-standart, https://e-standart.gov.az/Standard/Details/ceaf75a2-8f3f-4b83-b14b-8e6ca2600ea2
  6. ISO13850 - IDEC - APAC, https://apac.idec.com/idec-apac/en/SGD/RD/safety/law/iso-iec/iso13850
  7. EN ISO 13850: Emergency Stop - Safety of machinery - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iso-standards/emergency-sto-en-13850/
  8. EN ISO 13850:2015 - Safety of machinery - Emergency stop function - Principles for design (ISO - iTeh Standards, https://standards.iteh.ai/catalog/standards/cen/89fbceeb-793e-44b8-be4c-4876559eb4e3/en-iso-13850-2015
  9. Safety of machinery — Emergency stop function — Principles for design - ANSI Webstore, https://webstore.ansi.org/preview-pages/bsi/preview_30265059.pdf
  10. IS0 13850 - iTeh Standards, https://cdn.standards.iteh.ai/samples/22579/21de142f92f34a559b5c916bcdc1e335/ISO-13850-1996.pdf
  11. ISO13850 | USA - IDEC Corporation, https://us.idec.com/RD/safety/law/iso-iec/iso13850
  12. ISO 13850 - iTeh Standards, https://cdn.standards.iteh.ai/samples/39078/161b50f101dc44dd869b507d05119e6b/ISO-13850-2006.pdf
  13. ISO 13850 Emergency Stop Function Ensuring Safety in Machinery - Megalab Group Inc., https://megalabinc.com/safety/iso-13850-emergency-stop-function-ensuring-safety-in-machinery/
  14. 비상 정지 푸시 버튼 - 표시등, https://ko.indicatorlight.com/blog/emergency-stop-push-button/
  15. Stop Types, https://ckm-content.se.com/ckmContent/sfc/servlet.shepherd/document/download/0691H00000FKj3YQAT
  16. ISO 13850: Safety of Machinery - Emergency Stop Function - The ANSI Blog, https://blog.ansi.org/ansi/iso-13850-safety-of-machinery-emergency-stop/
  17. Emergency Stop Push Buttons - Rockwell Automation, https://literature.rockwellautomation.com/idc/groups/literature/documents/wp/800-wp008_-en-p.pdf
  18. E-Stop Question : r/PLC - Reddit, https://www.reddit.com/r/PLC/comments/12qqylc/estop_question/
  19. STOP FUNCTIONS - Gt-Engineering, https://www.gt-engineering.it/en/insights/machinery-safety/stop-functions/
  20. What is the difference between Stop Category 0 , Stop Category 1 and Stop Category 2 ? | Schneider Electric Egypt and North East Africa, https://www.se.com/eg/en/faqs/FA225420/
  21. E Stop Categories ISO13850 - YouTube, https://www.youtube.com/watch?v=3kJPOxTG6iQ
  22. Emergency stop/e-stop - standards and differences - RAFI Group, https://www.rafi-group.com/en/emergency-stop/
  23. Emergency stop and emergency switching off | Blogs - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/emergency-stop-and-emergency-switching-off—blogs—eaton.html
  24. 목 차, https://www.standard.go.kr/KSCI/ct/ptl/download.do;jsessionid=aE6YNJnjA6bia796CGQTJY8s.node01?fileSn=50063
  25. NFPA 79 & OSHA Emergency Stop Requirements With Checklist, https://constructandcommission.com/emergency-push-button-requirements/
  26. Emergency Stop Push Buttons from Sprecher + Schuh, https://www.sprecherschuh.com/content/dam/sprecher-schuh/downloads/tech-docs/TECH-EmStop.pdf
  27. Understanding Symbols: Emergency Stop - In Compliance Magazine, https://incompliancemag.com/understanding-symbols-emergency-stop/
  28. Short Body E-stop compliant with ISO 13850 - IDEC, https://tw.idec.com/media/twProduct/EP1818-XA-XW-estop.pdf
  29. Emergency Stop Devices Technical Data - Literature Library, https://literature.rockwellautomation.com/idc/groups/literature/documents/td/440-td001_-en-p.pdf
  30. 완벽한 비상정지를 위한 5 원칙, http://www.msdkr.com/news/articleView.html?idxno=10276
  31. Emergency stop circuit | Blogs - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/emergency-stop-circuit—blogs—eaton.html
  32. Fail-safe Design | Ladder Logic | Electronics Textbook - All About Circuits, https://www.allaboutcircuits.com/textbook/digital/chpt-6/fail-safe-design/
  33. 4.1: General requirements - Emergency Stop - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iso-standards/emergency-sto-en-13850/4-1-general-requirements/
  34. An overview of the generic standards (A+B standards) - Pilz US, https://www.pilz.com/en-US/support/law-standards-norms/iso-standards
  35. Practical Application of ISO 13849-1 - ISSA Section Machine and System Safety, https://www.safe-machines-at-work.org/fileadmin/user_upload/pdf/control_devices/Seminars_Functional_Safety_and_Validation/ISO_13849-1_Functional_Safety_-_ISSA_Seminar_May_2022.pdf
  36. EN ISO 13849 및 EN IEC 62061 성능 레벨 및 SIL 요구 사항입니다., https://www.phoenixcontact.com/ko-kr/industries/functional-safety/gigye-anjeon-pyojun
  37. How do you determine the performance level in accordance with EN ISO 13849-1? - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/performance-level.html
  38. PL (Performance Level) :Safety Knowledge | KEYENCE America, https://www.keyence.com/ss/products/safetyknowledge/performance/level/
  39. EN ISO 13849-1 – Functional safety standard, basis for Performance Level (PL) - Pilz, https://www.pilz.com/en-INT/support/law-standards-norms/functional-safety/en-iso-13849-1
  40. PL Parameters :Safety Knowledge - keyence, https://www.keyence.eu/ss/products/safetyknowledge/performance/parameter/
  41. How is the safety integrity level determined in accordance with IEC 62061? - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/safety-integrity-level.html
  42. What is SIL (Safety integrity Level)? - ORS Consulting, https://www.ors-consulting.com/what-is-sil-safety-integrity-level
  43. Safety integrity level - Wikipedia, https://en.wikipedia.org/wiki/Safety_integrity_level
  44. Determination of the required SIL (SILr) according to IEC 62061 - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iec-standards/iec-62061-functional-safety-of-machineries469677178/determination-of-the-required-sil-silr-according-to-iec-62061/
  45. EN IEC 62061 - Everything you need to know - Unique Safety Products, https://uniquesafetyproducts.com/laws-and-regulations/en-iec-62061/