IEC 61508 기능안전 표준에 대한 안내서

2025-09-21, G25DR

1. 기능안전의 초석, IEC 61508의 이해

1.1 기능안전(Functional Safety)의 정의와 현대 산업에서의 필요성

기능안전(Functional Safety)은 제어 대상 장비(Equipment Under Control, EUC) 및 EUC 제어 시스템과 관련된 전체 안전의 일부로서, 시스템이 지정된 입력에 대해 올바른 방식으로 응답하지 못할 경우 발생할 수 있는 허용 불가능한 수준의 리스크(risk)가 없음을 보장하는 상태를 의미한다.1 이는 단순히 시스템이 고장 나지 않는 상태, 즉 신뢰성(Reliability)을 넘어선 개념이다. 기능안전의 핵심은 시스템에 고장이 발생하더라도, 그 결과가 예측 가능하고 통제된 안전 상태(safe state)로 전환되어 인명, 환경, 자산에 대한 치명적인 피해를 방지하거나 허용 가능한 수준으로 완화하는 데 있다.3 예를 들어, 산업용 로봇의 제어 시스템이 오작동하여 작업자와 충돌하는 위험이 있다면, 안전 펜스나 라이트 커튼과 같은 안전 기능이 이를 감지하여 로봇의 동작을 즉시 정지시키는 것이 기능안전의 한 예이다.

현대 산업 환경에서 기능안전의 중요성은 전기/전자/프로그램 가능한 전자(Electrical/Electronic/Programmable Electronic, E/E/PE) 시스템의 보편화와 그 복잡성의 기하급수적인 증가에 기인한다. 과거의 안전 시스템은 검증된 기계식 또는 전기기계식 장치에 의존하는 경향이 있었다.6 이러한 시스템은 고장 모드가 비교적 단순하고 예측이 용이했다. 그러나 마이크로프로세서와 소프트웨어에 기반한 프로그래밍 가능 시스템이 산업 자동화, 공정 제어, 자동차, 의료기기 등 거의 모든 분야에 적용되면서 새로운 차원의 위험이 대두되었다.7 하드웨어 부품의 노후화나 마모로 인한 무작위적인 고장뿐만 아니라, 소프트웨어의 논리적 결함(버그), 사양의 불완전성, 전자기 간섭(EMI)과 같은 체계적 고장(systematic failure)의 위험이 크게 부각된 것이다.8 체계적 고장은 특정 조건에서 반드시 재현되며, 단순한 부품 교체만으로는 해결되지 않기 때문에 개발 프로세스 전반에 걸친 체계적인 관리를 요구한다.

이러한 기술적 변화는 안전 공학의 패러다임을 근본적으로 바꾸었다. 더 이상 ’고장 나지 않는 시스템’을 만드는 것만으로는 충분하지 않게 되었다. 대신 ’고장이 발생하더라도 안전을 유지하는 시스템’을 설계하는 것이 핵심 과제로 떠올랐다. 또한, 최종 제품의 성능을 시험하는 것만으로는 잠재된 체계적 결함을 모두 발견할 수 없으므로, 개념 설계부터 개발, 구현, 운영, 폐기에 이르는 전 과정, 즉 ’수명주기(Lifecycle)’에 걸쳐 안전을 체계적으로 관리하는 프로세스 중심의 접근법이 필수적이게 되었다. IEC 61508은 바로 이러한 현대 산업의 요구에 부응하여 탄생한 표준이다.

단, 기능안전의 범위를 명확히 할 필요가 있다. 이 표준은 제어 시스템의 기능적 오작동으로 인해 발생하는 위험에 초점을 맞춘다. 따라서 전기 충격, 유해 물질에의 장기간 노출, 기계적 구조물의 붕괴와 같은 본질적인 위험 요소는 직접적으로 다루지 않으며, 이는 다른 관련 표준의 영역에 속한다.9

1.2 IEC 61508의 역사, 목표 및 기본 철학

IEC 61508 표준은 1980년대와 1990년대에 걸쳐 E/E/PE 시스템의 안전 관련 적용이 급증함에 따라, 이에 대한 국제적으로 통용되는 일관된 접근법의 필요성이 제기되면서 개발되기 시작했다. 1995년에 초기 표준 초안이 개발되었으며, 위험 기반 접근법(risk-based approach)을 채택했다.10 이후 1998년과 2000년 사이에 여러 파트가 순차적으로 발행되었고, 2010년에 현재의 기반이 되는 제2.0판으로 개정되었다.10 국내에서는 이 2010년 판을 기반으로 KS C IEC 61508 표준이 제정 및 개정되어 국제 표준과 부합화되었다.11

이 표준의 핵심 목표는 명확하다: 신뢰할 수 있는 안전 기능을 통해 시스템에 내재된 리스크를 사전에 정의된 ’허용 가능한 수준(tolerable level)’까지 체계적으로 감소시키는 것이다.13 이를 달성하기 위해 IEC 61508은 다음과 같은 기본 철학에 기반을 둔다.

리스크 기반 접근법 (Risk-based Approach): 안전 요구사항은 임의로 정해지는 것이 아니라, 체계적인 위험원 분석 및 리스크 평가를 통해 결정된다. 즉, 리스크의 크기에 비례하여 안전 조치의 엄격성이 결정된다.8 이는 한정된 자원을 가장 효과적으로 배분하여 최적의 안전을 달성하기 위한 합리적인 접근법이다.
안전 수명주기 모델 (Safety Lifecycle Model): 안전은 프로젝트의 특정 단계에서만 고려되는 것이 아니라, 초기 개념 구상부터 시스템 폐기에 이르는 전 과정에 걸쳐 통합되고 관리되어야 한다. 이 공학적 프로세스는 설계 오류나 요구사항 누락과 같은 체계적 고장을 방지하고 발견하는 핵심적인 프레임워크를 제공한다.2
확률론적 고장 분석 (Probabilistic Failure Approach): 무작위 하드웨어 고장은 완벽하게 제거할 수 없다는 현실을 인정하고, 대신 고장의 발생 확률을 정량적으로 평가하고 관리한다. 이를 위해 안전 무결성 수준(SIL)이라는 개념을 도입하여, 각 안전 기능에 요구되는 신뢰성 목표를 명확히 제시한다.2
제로 리스크의 부정: 이 표준은 ‘완벽한 안전’ 또는 ’제로 리스크’는 존재할 수 없다는 현실적인 관점에서 출발한다.2 안전의 목표는 모든 리스크를 제거하는 것이 아니라, 사회적, 경제적, 법적 기준에 따라 합의된 ’허용 가능한 수준’까지 리스크를 낮추는 것이다. 이는 ALARP(As Low As Reasonably Practicable) 원칙과도 맞닿아 있다.

이러한 철학을 바탕으로 IEC 61508은 조직이 리스크 분석, 안전 요구사항 명세, 설계, 구현, 검증, 운영 및 유지보수에 이르는 모든 활동을 체계적으로 수행하도록 안내하며, 기능안전 준수 및 인증을 위한 명확한 프레임워크를 제공한다.13

1.3 ’모체 표준(Umbrella Standard)’으로서의 역할과 적용 범위

IEC 61508은 특정 산업이나 응용 분야에 국한되지 않고, E/E/PE 안전 관련 시스템이 사용되는 모든 산업 분야에 적용될 수 있도록 개발된 ’기본 기능안전 표준(Basic Functional Safety Standard)’이다.15 이러한 포괄적인 특성 때문에 종종 ‘모체 표준(Umbrella Standard)’ 또는 ’어머니 표준’이라고 불린다.3

이 표준의 가장 중요한 역할 중 하나는 다른 산업별 표준을 개발하기 위한 공통의 기반을 제공하는 것이다. 모든 산업 분야가 기능안전의 기본 원칙, 용어, 방법론을 공유하게 함으로써, 산업 간의 일관성을 확보하고 기술 교류를 촉진한다. 실제로 자동차 산업의 ISO 26262, 공정 산업의 IEC 61511, 기계류 안전의 IEC 62061, 철도 산업의 EN 50128 등 수많은 주요 산업 표준들이 IEC 61508의 프레임워크와 개념을 기반으로 파생되었다.3 이 파생 표준들은 IEC 61508의 일반적인 요구사항을 각 산업의 특수한 환경, 위험 요소, 규제 환경에 맞게 구체화하고 조정하는 역할을 한다. 이러한 구조는 기능안전 분야에 일관성과 유연성이라는 이중적 가치를 동시에 제공한다. 즉, 모든 안전 시스템이 공통된 철학 위에서 논의될 수 있는 ’공용어’를 제공하면서도, 각 분야의 특수성을 존중하여 기술 혁신을 저해하지 않는 균형을 맞추는 것이다.

IEC 61508의 적용 범위는 안전 기능을 수행하는 시스템 전체를 포괄한다. 이는 다음과 같은 구성 요소를 모두 포함한다 3:

입력 장치 (센서): 압력, 온도, 위치 등 물리적 상태를 감지하는 장치.
로직 장치 (제어기): 센서로부터 입력 신호를 받아 안전 로직을 처리하고 판단하는 장치 (예: 안전 PLC, 임베디드 컨트롤러).
출력 장치 (액추에이터): 로직 장치의 명령에 따라 최종적인 물리적 조치를 수행하는 장치 (예: 밸브, 모터 브레이크, 경보 시스템).
소프트웨어: 로직 장치 내에서 안전 기능을 구현하는 펌웨어 및 애플리케이션 로직.

이 표준은 광범위한 산업 분야에 걸쳐 적용된다. 구체적인 적용 사례는 다음과 같다 3:

공정 산업: 화학 플랜트의 비상 정지 시스템(ESD), 고압 용기의 압력 방출 장치.
전력 및 에너지: 발전소의 보호 계전기, 지능형 회로 차단기.
운송: 철도 신호 시스템, 자동 열차 제어(ATC) 장치, 자동차의 잠김 방지 브레이크 시스템(ABS) 및 엔진 관리 시스템.
의료기기: 인공호흡기, 방사선 치료기의 노출량 제어 시스템과 같은 생명 유지 장치.
기계 및 자동화: 산업용 로봇의 안전 가딩 시스템, 프레스 기계의 비상 정지 장치.

이처럼 IEC 61508은 현대 기술 사회의 안전을 지탱하는 근간이 되는 표준으로서, 복잡한 자동화 시스템의 안전 설계, 리스크 완화, 규제 준수 입증을 위한 핵심적인 로드맵을 제공한다.3

2. IEC 61508 표준의 구조적 해부

IEC 61508은 단일 문서가 아닌, 총 7개의 파트(Part)로 구성된 표준 시리즈이다. 이 구조는 시스템의 개념 정립부터 설계, 구현, 운영, 그리고 최종적인 폐기에 이르기까지 전체 안전 수명주기에 걸쳐 필요한 모든 지침을 체계적으로 제공하기 위해 설계되었다.2 표준의 각 파트는 고유한 역할을 수행하며, 이들을 종합적으로 이해하는 것이 표준을 올바르게 적용하기 위한 첫걸음이다.

2.1 표준의 전체 구성: 7개의 파트

IEC 61508의 7개 파트는 크게 두 가지 그룹으로 나눌 수 있다. Part 1부터 Part 3까지는 시스템이 준수해야 할 의무적인 요구사항을 담고 있는 ‘규범적(Normative)’ 문서이다. 반면, Part 4부터 Part 7까지는 규범적 요구사항을 이해하고 적용하는 데 도움을 주는 정의, 예시, 가이드라인을 포함하는 ‘정보 제공용(Informative)’ 문서이다.2 이러한 구분은 표준 준수 활동에서 무엇이 필수적이고 무엇이 권장되는지를 명확히 하는 데 매우 중요하다.

다음 표는 IEC 61508의 전체 구조와 각 파트의 핵심 내용을 요약한 것이다.

파트	제목 (영문/한글)	구분	핵심 내용 요약
Part 1	General Requirements 일반 요구사항	규범적	기능안전의 기본 개념, 전체 안전 수명주기 모델, 기능안전 관리(FSM), 문서화, 적합성 평가 등 표준 전체를 관통하는 기본 프레임워크를 정의한다.
Part 2	Requirements for E/E/PE safety-related systems E/E/PE 안전 관련 시스템 요구사항	규범적	하드웨어의 안전 수명주기, 무작위 하드웨어 고장 제어를 위한 정량적 목표(PFD/PFH), 구조적 제약(HFT, SFF), 체계적 고장 방지 및 제어 기법 등 하드웨어 안전 무결성에 대한 요구사항을 규정한다.
Part 3	Software Requirements 소프트웨어 요구사항	규범적	소프트웨어의 안전 수명주기(V-모델 등), SIL 등급별 소프트웨어 설계, 코딩, 검증 및 확인 기법 등 소프트웨어의 체계적 안전 무결성 확보를 위한 요구사항을 상세히 기술한다.
Part 4	Definitions and abbreviations 정의 및 약어	정보 제공용	표준 전반에 걸쳐 사용되는 모든 기술 용어와 약어를 명확하게 정의하여, 해석의 일관성과 명확성을 보장한다.
Part 5	Examples of methods for the determination of safety integrity levels SIL 결정 방법 예시	정보 제공용	리스크 그래프(Risk Graph)와 같은 정성적, 정량적, 준정량적 방법을 사용하여 특정 안전 기능에 요구되는 SIL 등급을 결정하는 구체적인 방법론과 예시를 제공한다.
Part 6	Guidelines on the application of Parts 2 and 3 Part 2 및 Part 3 적용 가이드라인	정보 제공용	PFD/PFH 계산, 공통 원인 고장(CCF) 분석, 진단 커버리지 계산 등 Part 2와 Part 3의 정량적이고 복잡한 요구사항을 실제 프로젝트에 적용하는 데 필요한 상세한 지침, 공식, 계산 예제를 제공한다.
Part 7	Overview of techniques and measures 기술 및 측정 방법에 대한 개요	정보 제공용	고장 형태 및 영향 분석(FMEA), 결함수 분석(FTA), 정형 기법 등 안전 공학 및 소프트웨어 공학에서 사용되는 다양한 기술과 측정 방법에 대한 개요와 추가 정보를 얻을 수 있는 참고 자료를 제공한다.

이러한 구조는 사용자가 추상적인 기능안전 개념에서 출발하여 구체적인 하드웨어 및 소프트웨어 설계, 그리고 실제 적용을 위한 계산 예제에 이르기까지 논리적인 흐름에 따라 표준을 이해하고 적용할 수 있도록 돕는다. 이는 표준이 단편적인 규칙의 나열이 아니라, ‘왜(Why)’, ‘무엇을(What)’, ’어떻게(How)’의 질문에 체계적으로 답하는 잘 설계된 공학적 프레임워크임을 보여준다.

2.2 규범적 요구사항 (Normative Parts)

Part 1: 일반 요구사항 (General Requirements)

Part 1은 IEC 61508 시리즈의 근간을 이루는 가장 핵심적인 문서이다. 이 파트는 기능안전을 달성하기 위한 전체적인 철학과 프레임워크를 제시한다.3 주요 내용은 다음과 같다.

안전 수명주기: 개념 구상부터 폐기까지 16개의 단계로 구성된 전체 안전 수명주기 모델을 정의하고, 각 단계에서 수행해야 할 활동과 목표를 규정한다. 이는 모든 안전 관련 활동의 기준점이 된다.14
기능안전 관리(FSM): 안전 목표를 달성하기 위해 필요한 조직의 책임, 권한, 절차, 자원 등을 포함하는 경영 시스템 요구사항을 명시한다. 이는 체계적 안전 무결성을 확보하는 데 필수적이다.24
문서화: 수명주기의 모든 단계에서 생성되는 산출물을 체계적으로 문서화하고 관리할 것을 요구한다. 이는 추적성, 검증 가능성, 유지보수성을 보장하는 기반이 된다.
기능안전 평가(FSA): 수명주기의 특정 시점에서 독립적인 평가자에 의해 기능안전이 달성되었는지를 평가하는 절차를 요구한다.

Part 2: E/E/PE 시스템 요구사항 (Requirements for E/E/PE safety-related systems)

Part 2는 Part 1의 일반 요구사항을 하드웨어의 관점에서 구체화한다.20 이 파트는 무작위 하드웨어 고장과 체계적 하드웨어 고장을 모두 다루는 것을 목표로 한다.

하드웨어 안전 수명주기: 하드웨어 개발에 특화된 수명주기 활동(설계, 구현, 통합, 테스트 등)을 정의한다.
무작위 고장 제어: 각 SIL 등급에 대해 달성해야 할 정량적인 목표 고장 척도(PFDavg 또는 PFH)를 제시하고, 이를 만족하는지 검증할 것을 요구한다.
구조적 제약: 하드웨어 결함 허용(HFT)과 안전측 고장 분율(SFF)을 기반으로, 달성 가능한 최대 SIL을 제한하는 아키텍처 요구사항을 규정한다. 이는 고장률 데이터의 불확실성을 보완하는 역할을 한다.14
체계적 고장 방지: SIL 등급에 따라 요구되는 설계 기법(예: 고장 감지, 이중화), 기술(예: 다양한 기술 사용), 테스트 전략 등을 명시하여 설계 단계에서 오류가 유입되는 것을 방지한다.

Part 3: 소프트웨어 요구사항 (Software Requirements)

Part 3은 현대 안전 시스템에서 가장 복잡하고 오류 발생 가능성이 높은 소프트웨어의 기능안전을 다룬다.20 소프트웨어 고장은 본질적으로 체계적 고장이므로, 이 파트는 고장 회피(fault avoidance)에 중점을 둔다.

소프트웨어 안전 수명주기: 일반적으로 V-모델로 알려진 개발 모델을 제시하며, 각 개발 단계(요구사항 분석, 아키텍처 설계, 상세 설계, 코딩)에 상응하는 검증 및 확인 활동(단위 테스트, 통합 테스트, 시스템 테스트)을 요구한다.28
SIL 기반 요구사항: 목표 SIL 등급이 높아질수록 소프트웨어 개발에 요구되는 기법과 조치의 엄격성(rigor)을 높인다. 예를 들어, SIL 3 소프트웨어는 SIL 1 소프트웨어보다 더 엄격한 설계 표기법, 코딩 표준, 테스트 커버리지, 정적 분석 등을 요구한다.14
지원 도구: 소프트웨어 개발, 테스트, 형상 관리에 사용되는 도구에 대한 신뢰성 요구사항도 정의한다.

2.3 정보 제공용 가이드라인 (Informative Parts)

규범적 파트들이 ’무엇을 해야 하는가’에 대한 답을 제공한다면, 정보 제공용 파트들은 ’어떻게 그것을 할 수 있는가’에 대한 구체적인 예시와 지침을 제공하여 표준의 실용성을 높인다.

Part 4: 정의 및 약어: 표준을 정확하게 이해하기 위한 필수적인 ‘사전’ 역할을 한다.20
Part 5: SIL 결정 방법 예시: 리스크 평가를 통해 필요한 SIL 등급을 도출하는 과정을 구체적인 예시를 통해 보여준다. 이는 리스크 기반 접근법을 실제로 어떻게 적용하는지에 대한 실질적인 이해를 돕는다.3
Part 6: Part 2 및 Part 3 적용 가이드라인: Part 2와 3의 복잡한 정량적 요구사항, 특히 PFD/PFH 계산, 공통 원인 고장(CCF) 분석, 진단 커버리지(DC) 계산 등을 위한 상세한 수학적 모델과 단계별 절차를 제공한다.22
Part 7: 기술 및 측정 방법에 대한 개요: FMEA, FTA, HAZOP 등 안전성 분석 및 설계에 유용한 다양한 공학적 기법들을 소개하고, 각 기법의 장단점과 적용 분야를 설명하여 사용자가 적절한 도구를 선택할 수 있도록 돕는다.23

규범적 파트와 정보 제공용 파트의 분리는 표준의 강제성과 적응성을 동시에 확보하는 전략적 장치이다. Part 1-3은 안전의 최소 기준을 보장하는 핵심 원칙을 강제하는 반면, Part 5-7은 기술 발전에 따라 새로운 분석 기법이나 설계 방법론이 등장하더라도 표준의 기본 틀을 유지하면서 유연하게 수용할 수 있는 여지를 제공한다. 이는 표준이 시대에 뒤처지지 않고 장기적인 생명력을 갖게 하는 중요한 요소이다.

3. 안전 수명주기 모델: 개념부터 폐기까지

3.1 전체 안전 수명주기(Overall Safety Lifecycle)의 개념과 중요성

IEC 61508의 핵심 철학은 안전이 단발적인 활동이 아니라, 시스템의 전 생애에 걸쳐 체계적으로 관리되어야 하는 지속적인 프로세스라는 것이다. 이를 구현하기 위한 구체적인 프레임워크가 바로 ‘전체 안전 수명주기(Overall Safety Lifecycle)’ 모델이다.3 안전 수명주기는 시스템의 초기 개념 구상 단계에서 시작하여 개발, 설치, 운영 및 유지보수를 거쳐 최종적인 해체 및 폐기에 이르기까지, 안전과 관련된 모든 활동을 16개의 논리적인 단계로 정의하고 관리하는 구조화된 접근법이다.2

이러한 수명주기 접근법의 가장 큰 중요성은 안전 활동이 프로젝트의 초기 단계부터 모든 과정에 내재되도록 보장한다는 점에 있다.13 과거에는 기능 개발이 완료된 후 안전성을 검토하거나 안전 장치를 추가하는 방식이 많았으나, 이는 근본적인 설계 결함을 해결하기 어렵고 막대한 비용을 초래할 수 있다. 안전 수명주기는 위험원 분석과 같은 안전 활동을 프로젝트의 가장 첫 단계에 배치함으로써, 잠재적 위험을 조기에 식별하고 이를 설계 요구사항에 반영하도록 강제한다.

또한, 안전 수명주기는 ’안전 계획(Safety Plan)’의 개발, 실행, 그리고 그 실행 결과를 ’문서화’하는 것을 기본 철학으로 삼는다.9 각 단계는 명확한 목표, 입력, 그리고 검증 가능한 산출물을 가지며, 이 모든 과정은 문서로 기록되어야 한다. 이 문서는 시스템이 요구되는 안전 목표를 달성했음을 입증하는 객관적인 증거, 즉 ’Safety Case’의 기반이 된다. 이는 추상적인 ’안전’이라는 개념을 구체적인 문서와 기록의 집합체로 변환하여, 객관적으로 검토하고 관리할 수 있는 공학적 자산으로 만드는 과정이다. 이를 통해 요구사항부터 설계, 코드, 테스트에 이르는 전 과정의 추적성(Traceability)이 확보되며, 이는 변경 관리와 최종적인 안전성 입증에 결정적인 역할을 한다.

전체 안전 수명주기는 크게 세 가지 주요 국면(phase)으로 구분할 수 있다: 분석(Analysis), 구현(Realization), 그리고 운영 및 유지보수(Operation & Maintenance)이다.13

3.2 1단계: 분석 (Analysis Phase)

분석 단계는 시스템의 안전 목표를 설정하고 구체적인 요구사항을 도출하는, 전체 수명주기에서 가장 근본적이고 중요한 과정이다. 이 단계의 결과물은 이후 모든 개발 활동의 방향을 결정한다.

위험원 분석 및 리스크 평가 (Hazard and Risk Analysis):

수명주기의 첫 번째 기술적 활동은 제어 대상 장비(EUC)와 그 제어 시스템에 대한 포괄적인 위험원 분석 및 리스크 평가를 수행하는 것이다.3 이 과정에서는 합리적으로 예측 가능한 모든 오용 시나리오를 포함하여 잠재적인 위험원(hazard)과 유해 사건(hazardous event)을 식별한다.15 식별된 각 유해 사건에 대해, 그 발생 가능성(빈도)과 결과의 심각도를 정성적 또는 정량적으로 평가하여 현재의 리스크 수준을 산정한다.15 HAZOP(Hazard and Operability Study)이나 FMEA(Failure Modes and Effects Analysis)와 같은 체계적인 분석 기법이 이 단계에서 활용될 수 있다.

전체 안전 요구사항 정의 (Overall Safety Requirements):

리스크 평가를 통해 산정된 현재 리스크와, 사회적/법적으로 ‘허용 가능한 리스크(tolerable risk)’ 수준을 비교한다. 만약 현재 리스크가 허용 가능한 수준을 초과한다면, 그 차이만큼의 ’필요한 리스크 감소(necessary risk reduction)’가 요구된다.15 이 필요한 리스크 감소를 달성하기 위해 수행되어야 할 구체적인 조치들이 ’안전 기능(Safety Function)’으로 정의된다.38 예를 들어, “과압 발생 시, 2초 이내에 방출 밸브를 완전히 개방하여 압력을 정상 범위로 낮춘다“와 같은 형태로 안전 기능이 명세화된다.

안전 요구사항 할당 (Safety Requirements Allocation):

정의된 각 안전 기능과 그에 필요한 리스크 감소량은 구체적인 안전 시스템에 할당된다. 하나의 안전 기능은 E/E/PE 안전 관련 시스템(예: 안전 PLC와 압력 센서, 밸브), 다른 기술의 안전 관련 시스템(예: 기계식 안전 밸브), 또는 외부 리스크 감소 설비(예: 방호벽, 교육 훈련)에 의해 단독으로 또는 조합하여 구현될 수 있다.1 이 할당 과정에서 E/E/PE 시스템에 할당된 각 안전 기능은 요구되는 신뢰성 수준, 즉 ’안전 무결성 수준(Safety Integrity Level, SIL)’을 부여받는다.13

3.3 2단계: 구현 (Realization Phase)

구현 단계는 분석 단계에서 도출된 안전 요구사항 명세서(Safety Requirements Specification, SRS)를 바탕으로 실제 하드웨어와 소프트웨어를 설계, 개발하고 통합하는 과정이다.

E/E/PE 시스템 설계 및 개발:

할당된 SIL 등급과 안전 기능 요구사항을 만족시키기 위해 E/E/PE 시스템의 상세 설계 및 개발이 진행된다. 이 과정은 IEC 61508의 Part 2(하드웨어)와 Part 3(소프트웨어)에 명시된 엄격한 요구사항을 따라야 한다.14 예를 들어, 하드웨어는 목표 SIL에 맞는 구조적 제약(HFT, SFF)을 만족해야 하며, 소프트웨어는 V-모델과 같은 체계적인 개발 프로세스와 SIL 등급에 따른 코딩 및 테스트 기법을 적용해야 한다.

검증 및 확인 (Verification and Validation):

검증 및 확인은 구현 단계 전반에 걸쳐 지속적으로 수행되는 핵심적인 품질 보증 활동이다.

검증(Verification): 각 개발 단계의 산출물이 해당 단계의 입력 요구사항을 올바르게 구현했는지를 확인하는 활동이다. “우리가 시스템을 올바르게 만들고 있는가?(Are we building the system right?)“에 대한 답을 찾는 과정이다. 예를 들어, 코드 검토, 정적 분석, 단위 테스트 등이 여기에 해당한다.
확인(Validation): 최종적으로 개발된 시스템이 최초에 정의된 전체 안전 요구사항을 만족하는지를 확인하는 활동이다. “우리가 올바른 시스템을 만들었는가?(Are we building the right system?)“에 대한 답을 찾는 과정이다.13

이러한 활동들은 설계 오류나 구현상의 결함을 조기에 발견하고 수정하기 위한 피드백 루프를 형성하며, 시스템의 안전성을 체계적으로 확보하는 데 결정적인 역할을 한다.

3.4 3단계: 운영 및 유지보수 (Operation & Maintenance Phase)

시스템이 개발 완료되어 현장에 설치된 이후부터 폐기될 때까지의 단계를 다룬다. 이 단계의 목표는 구현된 안전 무결성을 시스템의 수명 동안 지속적으로 유지하는 것이다.

설치, 시운전 및 안전성 확인 (Installation, Commissioning and Safety Validation):

개발된 안전 관련 시스템을 실제 공정에 설치하고, 정상적으로 작동하는지 시운전을 통해 확인한다. 마지막으로, 시스템이 의도된 안전 기능을 실제 환경에서 올바르게 수행하는지를 최종적으로 확인(Safety Validation)한다.35

운영, 유지보수 및 수정 (Operation, Maintenance and Modification):

시스템의 안전 무결성을 유지하기 위해 지속적인 모니터링, 고장 기록 관리, 그리고 주기적인 기능 검증 테스트(proof test)와 같은 유지보수 활동을 수행해야 한다.13 시스템의 일부를 변경하거나 수정할 경우에는, 반드시 공식적인 변경 관리 절차를 따라야 한다. 이 절차에는 변경이 안전에 미치는 영향을 분석하기 위해 수명주기의 초기 단계(위험 분석 등)로 돌아가 재평가하는 과정이 포함된다. 이는 수명주기가 선형적인 과정이 아니라, 필요에 따라 반복될 수 있는 순환적 모델임을 보여준다.

해체 또는 폐기 (Decommissioning or Disposal):

시스템의 설계 수명이 다하거나 더 이상 사용되지 않을 때, 다른 시스템이나 인력에 새로운 위험을 초래하지 않도록 안전하게 해체하고 폐기하는 절차를 수립하고 이행해야 한다.3

이처럼 안전 수명주기 모델은 일회성 개발 프로세스가 아니라, 시스템의 전 생애에 걸쳐 학습하고 적응하며 안전성을 지속적으로 관리하고 개선하는 동적인 프레임워크를 제공한다.

4. 안전 무결성 수준(SIL)의 정량적 및 정성적 접근

4.1 SIL(Safety Integrity Level)의 정의와 4가지 등급

안전 무결성 수준(Safety Integrity Level, SIL)은 IEC 61508의 핵심 개념 중 하나로, 특정 안전 기능이 요구되는 시간과 조건 하에서 의도된 안전 조치를 만족스럽게 수행할 확률, 즉 신뢰성의 목표 수준을 나타내는 척도이다.4 다시 말해, SIL은 안전 기능 자체가 지닌 속성이 아니라, 해당 안전 기능이 달성해야 할 리스크 감소 수준을 4개의 등급으로 구분한 것이다.13

IEC 61508은 다음과 같이 네 가지 SIL 등급을 정의하며, 등급의 숫자가 높을수록 더 높은 수준의 안전 무결성, 즉 더 낮은 위험측 고장 확률을 요구한다 6:

SIL 1: 가장 낮은 안전 무결성 등급.
SIL 2: 중간 수준의 안전 무결성 등급.
SIL 3: 높은 수준의 안전 무결성 등급.
SIL 4: 가장 높은 안전 무결성 등급.

각 SIL 등급은 잠재적인 사고의 결과와 정성적으로 연관 지어 이해할 수 있다. 예를 들어, SIL 1은 경미한 부상이나 재산 피해를 방지하는 수준, SIL 2는 심각한 부상, SIL 3는 사망이나 심각한 환경 피해, 그리고 SIL 4는 다수의 사망이나 대규모 환경 재앙을 방지하는 수준의 신뢰성을 요구하는 기능에 해당할 수 있다.22 그러나 이는 일반적인 예시일 뿐, 실제 SIL 등급은 체계적인 리스크 평가를 통해 결정되어야 한다. 특히 SIL 4는 극도로 높은 신뢰성을 요구하기 때문에 원자력 발전소, 항공 우주 산업 등 매우 특수한 분야에서만 제한적으로 적용된다.13

중요한 점은 SIL이 ’절대적인 안전’을 의미하는 것이 아니라는 것이다. IEC 61508은 제로 리스크는 불가능하다는 현실적인 관점에서 출발하며, 모든 시스템에는 잔여 리스크(residual risk)가 존재함을 인정한다.2 SIL은 이러한 리스크를 사회적, 법적, 경제적 기준에 따라 ’허용 가능한 수준(tolerable risk)’까지 낮추기 위해 필요한 리스크 감소량을 공학적으로 등급화한 타협점이다. 따라서 SIL 결정 과정은 “우리는 이 시스템으로 인해 발생하는 리스크를 어느 수준까지 감수할 수 있는가?“라는 사회적, 경제적 질문에 대한 공학적 답변을 찾는 과정이라 할 수 있다.

4.2 리스크 기반 SIL 결정 방법론

SIL 등급은 임의로 선택되는 것이 아니라, 안전 수명주기의 초기 단계에서 수행되는 ’위험원 분석 및 리스크 평가’의 결과를 통해 체계적으로 도출된다.3 그 핵심 원리는 현재 시스템의 리스크와 허용 가능한 리스크 수준 간의 차이, 즉 ’필요한 리스크 감소량(Required Risk Reduction)’을 정량화하고, 이 감소량을 만족시키는 SIL 등급을 해당 안전 기능에 할당하는 것이다.15

IEC 61508-5는 SIL을 결정하기 위한 다양한 정성적, 정량적, 준정량적 방법론을 예시로 제공한다.3 대표적인 방법은 다음과 같다.

정성적 방법 (Qualitative Method) - 리스크 그래프 (Risk Graph):

리스크 그래프는 리스크를 구성하는 여러 파라미터를 조합하여 SIL 등급을 도출하는 직관적이고 널리 사용되는 방법이다.40 일반적으로 다음과 같은 파라미터를 고려한다.

C (Consequence): 유해 사건 발생 시 결과의 심각도 (예: 경미한 부상, 심각한 부상, 사망).
F (Frequency of Exposure): 위험 상황에 노출되는 빈도 (예: 드묾, 빈번함).
P (Possibility of Avoidance): 위험 상황 발생 시 작업자가 회피할 수 있는 가능성 (예: 가능함, 거의 불가능함).
W (Probability of Unwanted Occurrence): 안전 기능 없이 유해 사건이 발생할 확률 (예: 매우 낮음, 높음).

이 파라미터들을 순서도로 따라가면서 최종적으로 요구되는 SIL 1, 2, 3 또는 4 등급을 결정하게 된다.

정량적 방법 (Quantitative Method) - LOPA (Layer of Protection Analysis):

LOPA는 공정 산업에서 주로 사용되는 준정량적 분석 기법으로, 각 보호 계층(Layer of Protection)의 독립성과 신뢰도를 정량적으로 평가하여 필요한 리스크 감소량을 계산한다.40 각 보호 계층은 다른 계층과 독립적으로 작동해야 하며, LOPA는 기본 제어 시스템, 경보 시스템, 작업자 개입, 안전 계장 시스템(SIS), 그리고 물리적 방호 설비(예: 방출 밸브) 등의 신뢰도를 종합적으로 고려하여 목표 SIL을 결정한다.

이러한 방법론을 통해 결정된 SIL은 해당 안전 기능이 갖추어야 할 최소한의 신뢰성 목표를 명확히 제시하며, 이는 후속 설계 및 검증 활동의 구체적인 지침이 된다.

4.3 SIL과 목표 고장 척도: PFDavg와 PFH

SIL 등급이라는 정성적인 목표는 구체적인 정량적 목표치, 즉 ’목표 고장 척도(Target Failure Measure)’와 직접적으로 연결된다. IEC 61508은 안전 기능의 작동 모드(mode of operation)에 따라 두 가지 다른 척도를 사용하도록 규정한다. 이는 시스템의 시간적 특성에 따라 리스크의 본질을 다르게 평가해야 한다는 깊은 통찰을 반영한다.

저빈도 요구 모드 (Low Demand Mode):

안전 기능에 대한 요구(demand)가 1년에 한 번 이하로 발생하는 경우에 해당한다.21 예를 들어, 공정 플랜트의 비상 정지 시스템은 평생 한 번도 작동하지 않을 수 있다. 이러한 시스템의 주된 위험은 평상시 대기 상태에 있는 동안 감지되지 않은 고장(dormant fault)이 누적되어, 정작 필요할 때 작동하지 못하는 것이다. 따라서 목표 척도는 **

PFDavg (Average Probability of Failure on Demand, 요구 시 평균 위험측 고장 확률)**를 사용한다.14 이는 시스템에 작동 요구가 발생했을 때, 시스템이 고장 나 있을 평균적인 확률을 의미한다.

고빈도 또는 연속 요구 모드 (High Demand or Continuous Mode):

안전 기능에 대한 요구가 1년에 한 번 이상 발생하거나, 시스템이 지속적으로 안전 기능을 수행하는 경우에 해당한다.21 예를 들어, 회전하는 기계의 가드 인터록 시스템은 작업자가 접근할 때마다 빈번하게 작동한다. 이러한 시스템의 위험은 작동 중에 위험한 고장이 발생하는 빈도 자체에 있다. 따라서 목표 척도는 **

PFH (Average Frequency of a Dangerous Failure per Hour, 시간당 평균 위험측 고장 빈도)**를 사용한다.14

다음 표는 각 SIL 등급에 대해 요구되는 PFDavg와 PFH의 목표 범위를 보여준다. 리스크 감소 계수(Risk Reduction Factor, RRF)는 1/PFDavg로 계산되며, 해당 SIL 등급이 제공하는 리스크 감소의 배수를 의미한다.

SIL 등급	저빈도 요구 모드 (PFDavg)	고빈도/연속 요구 모드 (PFH [failures/hour])	리스크 감소 계수 (RRF)
SIL 4	$ \ge 10^{-5} \text{ to } < 10^{-4} $	$ \ge 10^{-9} \text{ to } < 10^{-8} $	100,000 to 10,000
SIL 3	$ \ge 10^{-4} \text{ to } < 10^{-3} $	$ \ge 10^{-8} \text{ to } < 10^{-7} $	10,000 to 1,000
SIL 2	$ \ge 10^{-3} \text{ to } < 10^{-2} $	$ \ge 10^{-7} \text{ to } < 10^{-6} $	1,000 to 100
SIL 1	$ \ge 10^{-2} \text{ to } < 10^{-1} $	$ \ge 10^{-6} \text{ to } < 10^{-5} $	100 to 10

이 표는 추상적인 SIL 등급을 구체적인 엔지니어링 목표로 변환하는 핵심적인 다리 역할을 한다. 시스템 설계자는 이 정량적 목표를 만족시키기 위해 하드웨어 아키텍처, 부품 선정, 진단 기능, 테스트 주기 등을 결정하게 된다.

5. 하드웨어 안전 무결성 달성 전략

하드웨어 안전 무결성은 IEC 61508의 세 가지 핵심 요구사항(체계적 역량, 구조적 제약, 확률적 고장 목표) 중 하나로, 시스템의 물리적 구성 요소가 의도된 안전 기능을 신뢰성 있게 수행할 수 있는 능력을 의미한다. 이를 달성하기 위해서는 시스템 고장의 두 가지 근본적인 유형, 즉 무작위 하드웨어 고장과 체계적 고장을 이해하고 각각에 대한 적절한 제어 전략을 수립해야 한다. 이 장에서는 주로 무작위 하드웨어 고장을 제어하기 위한 전략에 초점을 맞춘다.

5.1 무작위 하드웨어 고장과 체계적 고장의 이해

시스템 고장은 그 원인과 특성에 따라 크게 두 가지로 분류된다. 이 둘을 구분하는 것은 적절한 안전 대책을 수립하는 데 매우 중요하다.

무작위 하드웨어 고장 (Random Hardware Failures):

이는 하드웨어 부품의 수명 주기 동안 다양한 물리적 또는 화학적 스트레스(예: 온도, 습도, 진동)로 인해 부품이 점진적으로 열화되거나 갑작스럽게 고장 나는 현상을 의미한다.8 이러한 고장은 시간적으로 예측이 불가능하며 확률적으로 발생한다. 따라서 고장률(

λ)과 같은 통계적 파라미터를 사용하여 모델링하고 정량적으로 분석할 수 있다. 무작위 고장은 이중화(redundancy)나 고품질 부품 사용을 통해 그 영향을 제어하거나 발생 확률을 낮출 수 있다.

체계적 고장 (Systematic Failures):

이는 시스템의 수명주기 중 특정 활동(예: 요구사항 명세, 설계, 제조, 설치, 운영 절차)에서 발생한 오류로 인해 시스템에 내재된 결함을 의미한다.14 소프트웨어의 버그, 하드웨어 설계의 논리적 오류, 부정확한 사양서, 부적절한 유지보수 절차 등이 모두 체계적 고장의 원인이 될 수 있다. 체계적 고장은 특정 조건이 주어지면 100% 확률로 재현된다는 특징이 있으며, 이중화만으로는 해결되지 않는다. 이러한 고장은 엄격한 개발 프로세스, 검토, 검증 및 확인 활동을 통해 회피(avoidance)하거나 제어(control)해야 한다.

하드웨어 안전 무결성은 이 두 가지 고장 유형을 모두 다루지만, 특히 무작위 하드웨어 고장을 제어하기 위한 정량적 접근법, 즉 ’구조적 제약’과 ’확률적 고장 목표(PFD/PFH)’를 핵심적인 요구사항으로 제시한다.43

5.2 구조적 제약(Architectural Constraints): 신뢰성 데이터의 불확실성에 대한 방어

IEC 61508 위원회는 시스템의 안전성을 PFD/PFH와 같은 확률 계산에만 전적으로 의존하는 것의 위험성을 인지하고 있었다. 부품의 고장률 데이터는 수집 환경, 운영 조건, 통계적 신뢰도 등 여러 불확실성을 내포하고 있기 때문이다.44 만약 지나치게 낙관적인(매우 낮은) 고장률 데이터를 사용하여 단일 채널(이중화 없음) 시스템으로도 높은 SIL 등급을 주장할 수 있게 된다면, 이는 잠재적으로 위험한 결과를 초래할 수 있다.

이러한 문제를 해결하기 위해 도입된 개념이 바로 ’구조적 제약(Architectural Constraints)’이다. 이는 PFD/PFH 계산 결과와는 별개로, 시스템 아키텍처가 특정 SIL 등급을 달성하기 위해 만족해야 할 최소한의 구조적 견고성(robustness) 요구사항이다.46 즉, “당신의 확률 계산이 아무리 우수하더라도, 높은 SIL을 달성하려면 최소한 이 정도 수준의 이중화(fault tolerance)는 갖추어야 한다“는 일종의 안전망 역할을 한다.

IEC 61508-2는 구조적 제약을 만족시키기 위한 두 가지 경로(Route)를 제시한다.

Route 1H: 부품의 안전측 고장 분율(SFF)과 하드웨어 결함 허용(HFT)을 기반으로 달성 가능한 최대 SIL을 결정하는 방법이다. 이는 부품의 고장 모드에 대한 상세한 분석(예: FMEDA)이 가능하고, 신뢰성 있는 현장 데이터가 부족한 신규 장비에 주로 사용된다.44
Route 2H: 해당 부품이 유사한 환경에서 충분한 시간 동안 사용되어 그 신뢰성이 입증된 경우(‘Proven in use’), SFF 계산 없이 HFT 요구사항만으로 SIL을 결정하는 방법이다. 이 경로는 신뢰할 수 있는 대규모 현장 운영 데이터가 필수적이다.44

5.3 핵심 파라미터 분석 (Route 1H 중심)

Route 1H는 세 가지 핵심 파라미터의 조합을 통해 시스템 아키텍처의 적절성을 평가한다.

하드웨어 결함 허용 (Hardware Fault Tolerance, HFT):

HFT는 시스템 내에 하드웨어 결함이 발생하더라도 요구되는 안전 기능을 계속해서 수행할 수 있는 능력을 의미한다.43 이는 주로 이중화(redundancy)를 통해 구현된다. HFT가 N이라는 것은, 시스템이 최대 N개의 결함을 견딜 수 있으며 (N+1)번째 결함이 발생했을 때 비로소 안전 기능의 상실로 이어질 수 있음을 의미한다.49

HFT = 0: 이중화가 없는 단일 채널 구조 (예: 1oo1, 1-out-of-1). 하나의 결함이 즉시 기능 상실을 유발할 수 있다.
HFT = 1: 최소 하나의 결함을 허용할 수 있는 이중화 구조 (예: 1oo2, 2oo3).
HFT = 2: 최소 두 개의 결함을 허용할 수 있는 다중화 구조 (예: 1oo3).
안전측 고장 분율 (Safe Failure Fraction, SFF):

SFF는 특정 부품의 전체 예상 고장 중에서 ‘안전한’ 고장의 비율이 얼마나 되는지를 나타내는 척도이다.40 여기서 ‘안전한’ 고장이란, 고장 발생 시 시스템이 저절로 안전 상태로 전환되는 고장(safe failure)과, 위험한 고장이지만 내장된 진단 기능에 의해 즉시 감지되는 고장(dangerous detected failure)을 모두 포함한다. SFF는 부품 자체의 안전 설계 수준과 진단 기능의 효율성을 종합적으로 보여주는 지표이다.51 SFF의 계산 공식은 다음과 같다.47

코드 스니펫

$$
SFF = \frac{\sum \lambda_{S} + \sum \lambda_{DD}}{\sum \lambda_{S} + \sum \lambda_{D}} = \frac{(\lambda_{SD} + \lambda_{SU}) + \lambda_{DD}}{(\lambda_{SD} + \lambda_{SU}) + (\lambda_{DD} + \lambda_{DU})}
$$

SFF 개념은 부품 제조업체에게 더 안전한 제품을 설계하도록 유도하는 강력한 인센티브로 작용한다. SFF가 높은 부품은 더 적은 이중화(낮은 HFT)로도 높은 SIL 등급의 시스템에 사용될 수 있어, 시스템 전체의 비용을 절감하고 시장 경쟁력을 높일 수 있기 때문이다.47

부품 유형 (Component Type):

IEC 61508은 부품의 복잡성과 고장 모드의 예측 가능성에 따라 두 가지 유형으로 분류한다.

Type A: 고장 모드가 명확하게 정의되고, 동작 특성이 완전히 파악되며, 신뢰성 있는 고장 데이터가 충분한 ‘단순한’ 부품. 예: 릴레이, 솔레노이드 밸브, 저항기 등.44
Type B: 고장 모드가 명확하지 않거나, 동작 특성을 완전히 파악하기 어려운 ‘복잡한’ 부품. 마이크로프로세서나 ASIC과 같은 프로그래밍 가능 전자 부품이 대표적이다. 예: 안전 PLC, 스마트 센서, VFD(가변 주파수 드라이브) 등.44

Type B 부품은 예측 불가능한 고장 모드의 가능성이 더 높기 때문에, Type A 부품에 비해 동일한 SIL 등급을 달성하기 위해 더 높은 SFF 또는 HFT를 요구받는다.

IEC 61508-2 구조적 제약 테이블 (Route 1H)

다음 표들은 IEC 61508-2의 Table 2와 Table 3에 명시된 내용으로, 부품 유형, SFF, HFT의 조합에 따라 달성 가능한 최대 SIL을 규정한다.

Type A 부품에 대한 최대 허용 SIL (IEC 61508-2, Table 2)

안전측 고장 분율 (SFF)	HFT = 0	HFT = 1	HFT = 2
< 60%	SIL 1	SIL 2	SIL 3
60% ~ < 90%	SIL 2	SIL 3	SIL 4
90% ~ < 99%	SIL 3	SIL 4	SIL 4
≥ 99%	SIL 3	SIL 4	SIL 4

Type B 부품에 대한 최대 허용 SIL (IEC 61508-2, Table 3)

안전측 고장 분율 (SFF)	HFT = 0	HFT = 1	HFT = 2
< 60%	허용 안 됨	SIL 1	SIL 2
60% ~ < 90%	SIL 1	SIL 2	SIL 3
90% ~ < 99%	SIL 2	SIL 3	SIL 4
≥ 99%	SIL 3	SIL 4	SIL 4

이 테이블들은 설계 과정에서 매우 실용적인 의사결정 도구로 사용된다. 예를 들어, SIL 3 안전 기능을 HFT=1 (예: 1oo2 또는 2oo3 구조)로 구현하고자 할 때, Type A 부품을 사용한다면 SFF가 60% 이상이면 되지만, Type B 부품을 사용한다면 SFF가 90% 이상이어야 함을 명확히 알 수 있다. 이처럼 구조적 제약은 정량적 계산과 더불어, 시스템 아키텍처의 근본적인 견고성을 보장하는 중요한 기준을 제공한다.

6. 체계적 안전 무결성: 설계와 프로세스를 통한 안전 확보

앞선 장에서 다룬 하드웨어 안전 무결성이 주로 예측 불가능한 ’무작위 고장’을 확률적으로 제어하는 데 초점을 맞추었다면, 체계적 안전 무결성(Systematic Safety Integrity)은 인간의 실수나 절차의 미비로 인해 발생하는 ’체계적 고장’을 방지하고 제어하는 것을 목표로 한다. 체계적 고장은 소프트웨어의 논리적 결함, 요구사항의 모호함, 설계상의 오류 등 시스템의 수명주기 전반에 걸쳐 유입될 수 있으며, 특정 조건 하에서는 반드시 실패를 유발한다.14 따라서 이는 확률로 모델링할 수 없으며, 엄격한 프로세스와 품질 관리를 통해서만 다룰 수 있다.

IEC 61508은 체계적 고장이 무작위 고장만큼이나, 혹은 그 이상으로 시스템 안전에 치명적일 수 있음을 인지하고 있다. 특히 소프트웨어와 복잡한 전자 장치에서는 체계적 고장이 지배적인 위험 요소가 된다. 따라서 표준은 체계적 안전 무결성을 달성하기 위한 두 가지 핵심 개념, 즉 ’체계적 역량(Systematic Capability)’과 ’기능안전 관리(Functional Safety Management)’를 제시한다.

6.1 체계적 역량(Systematic Capability, SC)의 개념

체계적 역량(Systematic Capability, SC)은 특정 부품(하드웨어 또는 소프트웨어)이 체계적 고장을 회피하고 제어하기 위해 얼마나 엄격하고 체계적인 프로세스에 따라 개발되었는지를 나타내는 척도이다.2 이는 부품의 ’개발 프로세스 품질’에 대한 신뢰도를 등급화한 것으로, IEC 61508 인증서에 명시된다.52 SC는 목표 SIL 등급과 연계되어 SC 1, SC 2, SC 3, SC 4로 표현되며, 이는 각각 SIL 1, SIL 2, SIL 3, SIL 4 수준의 안전 기능에 사용될 수 있는 역량을 갖추었음을 의미한다 (예: SC 3 = SIL 3 Capable).

SC의 가장 중요한 규칙은 ’가장 약한 고리의 법칙(Weakest Link Principle)’이다. 하나의 안전 기능을 구성하는 모든 부품들(센서, 로직 솔버, 액추에이터) 중에서 가장 낮은 SC 등급이 해당 안전 기능이 달성할 수 있는 최대 SIL 등급을 결정한다.52 예를 들어, PFDavg 계산과 구조적 제약(HFT)이 모두 SIL 3 요구사항을 만족하더라도, 그 기능에 사용된 센서의 SC 등급이 SC 2라면, 해당 안전 기능은 최종적으로 SIL 2로 제한된다.50

이 개념은 기능안전 평가의 패러다임을 ’결과(고장률)’에서 ’과정(개발 프로세스)’으로 확장시킨다. 이는 부품의 신뢰성이 단순히 고장률이라는 숫자만으로 결정되는 것이 아니라, 그것이 어떻게 만들어졌는지, 즉 개발 과정의 품질에 의해 근본적으로 결정된다는 철학을 반영한다. 특히 소프트웨어와 같이 확률적 고장률을 산정하기 어려운 대상에 대해, 개발 프로세스의 엄격성을 통해 신뢰도를 확보하려는 접근법이다.

6.2 체계적 고장 방지 및 제어 기법

체계적 역량을 달성하기 위해, IEC 61508은 수명주기 전반에 걸쳐 체계적 고장을 다루는 두 가지 상호 보완적인 접근법을 요구한다: 고장 회피와 고장 제어이다.52

고장 회피 (Fault Avoidance):

이는 개발 프로세스 자체를 개선하여 설계, 코딩, 제조 단계에서 오류가 유입될 가능성을 원천적으로 줄이는 것을 목표로 한다. SIL 등급이 높아질수록 더 엄격하고 정형화된 기법이 요구된다.52

요구사항 단계: 정형화된 명세 언어 사용, 요구사항 추적성 관리.
설계 단계: 모듈화, 정보 은닉, 설계 패턴 사용, 반정형 또는 정형 설계 방법론 적용.
구현 단계: 강력한 타입 체크를 지원하는 프로그래밍 언어 사용, 코딩 표준(예: MISRA C/C++) 준수, 정적 코드 분석 도구 활용.53
검증 단계: 독립적인 팀에 의한 설계 검토 및 코드 인스펙션, 엄격한 테스트 커버리지(예: SIL 3의 경우 100% 분기 커버리지) 요구.54
고장 제어 (Fault Control):

이는 고장 회피 노력을 통해 모든 오류를 제거할 수 없다는 현실을 인정하고, 시스템이 운영되는 동안 잠재적인 체계적 고장의 영향을 감지하고 통제하여 안전한 상태로 전환하는 기술적 메커니즘을 구현하는 것이다.

실행 흐름 모니터링: 워치독 타이머, 논리적 순서 확인 등을 통해 프로그램이 비정상적인 흐름으로 실행되는 것을 감지.55
데이터 유효성 검사: 입력 데이터의 범위 검사, 중복 데이터 비교, 오류 탐지 코드(CRC 등)를 통해 데이터 손상을 감지.
고장 반응: 고장이 감지되었을 때 시스템을 미리 정의된 안전 상태로 전환하거나, 성능을 저하시켜 운전을 계속하는(fail-operational) 등의 조치를 수행.

SIL 등급이 높아질수록 이러한 고장 회피 및 제어 기법들을 더 많이, 그리고 더 엄격하게 조합하여 적용해야 한다.

6.3 기능안전 관리 (Functional Safety Management, FSM)

체계적 안전 무결성은 개별 엔지니어의 노력만으로는 달성될 수 없다. 이를 위해서는 조직 전체의 체계적인 관리와 지원이 필수적이며, 이를 위한 프레임워크가 바로 ’기능안전 관리(Functional Safety Management, FSM)’이다.13 FSM은 기술적 문제를 해결하기 위해 조직 문화, 프로세스, 인적 요소를 관리하는 사회공학적 접근법이라 할 수 있다. 이는 안전이 기술의 영역에만 국한되는 것이 아니라, 경영, 인사, 조직 문화의 영역까지 확장되어야 한다는 현대 안전 과학의 원리를 반영한다.

FSM의 주요 요구사항은 IEC 61508-1에 명시되어 있으며, 다음과 같은 활동을 포함한다 13:

안전 계획 (Safety Planning): 프로젝트 시작 시점에 전체 안전 수명주기 활동, 각 단계의 책임자, 필요한 절차, 검증 및 평가 계획 등을 담은 포괄적인 안전 계획을 수립하고 문서화해야 한다.9
책임과 권한 할당: 안전 관련 모든 활동에 대해 개인 또는 부서의 역할, 책임, 권한을 명확하게 정의하고 문서화해야 한다.
역량 관리 (Competency Management): 안전 관련 업무를 수행하는 모든 인력은 해당 업무에 필요한 적절한 교육, 훈련, 경험을 갖추어야 한다. 조직은 인력의 역량을 관리하고 정기적으로 평가할 절차를 갖추어야 하며, 이는 관리자에게도 동일하게 적용된다.57
독립성 (Independence): 검증, 확인, 기능안전 평가(FSA)와 같은 중요한 안전 평가 활동은 해당 활동의 결과에 영향을 받지 않는 독립적인 인력 또는 부서에 의해 수행되어야 한다. 이는 개발자가 자신의 오류를 객관적으로 찾아내기 어렵다는 인간의 인지적 한계를 시스템적으로 보완하기 위한 장치이다.
문서 및 형상 관리 (Documentation and Configuration Management): 모든 안전 관련 문서와 시스템 구성 요소(하드웨어, 소프트웨어, 도구 포함)는 체계적으로 버전을 관리하고, 변경 사항을 추적할 수 있어야 한다.
기능안전 평가 (Functional Safety Assessment, FSA): 수명주기의 정해진 단계(예: 설계 완료 후, 설치 완료 후)에서 독립적인 평가팀이 시스템이 목표 SIL을 달성했는지를 종합적으로 평가해야 한다.

결론적으로, 체계적 안전 무결성은 단순히 좋은 기술을 사용하는 것을 넘어, 안전을 최우선으로 하는 조직 문화 속에서, 역량 있는 인력이, 잘 정의된 프로세스에 따라 개발하고, 이를 독립적으로 검증하는 총체적인 노력을 통해 달성될 수 있다.

7. 정량적 고장 분석: PFDavg 및 PFH 계산 심화

하드웨어 안전 무결성을 정량적으로 평가하기 위해, IEC 61508은 시스템의 구조(architecture)와 부품의 고장 특성을 기반으로 목표 고장 척도인 PFDavg 또는 PFH를 계산할 것을 요구한다. 이 계산은 안전 기능의 신뢰성을 수치적으로 입증하고 목표 SIL 등급을 만족하는지 확인하는 핵심적인 과정이다. 이 장에서는 계산에 사용되는 핵심 파라미터들을 정의하고, 대표적인 시스템 구조에 대한 계산 공식을 심도 있게 분석한다.

7.1 핵심 고장률 파라미터 정의

정확한 계산을 위해서는 먼저 고장률(λ, 람다) 파라미터의 의미를 명확히 이해해야 한다. 고장률은 단위 시간당 발생하는 고장의 횟수를 나타내며, 보통 FIT(Failures In Time, 1 FIT = 10^{-9} failures/hour) 단위로 표현된다. IEC 61508은 고장을 두 가지 차원으로 분류하여 4가지 유형의 고장률을 정의한다: ‘안전 기능에 미치는 영향’(Safe/Dangerous)과 ‘진단 시스템에 의한 감지 여부’(Detected/Undetected)이다.59

다음 표는 정량 분석에 사용되는 주요 파라미터들을 요약한 것이다.

파라미터	명칭 (영문/한글)	상세 설명	관련 고장 유형
$\lambda_{DU}$	Dangerous Undetected Failure Rate 위험 미감지 고장률	안전 기능을 상실시켜 위험한 상태를 초래할 수 있으나, 시스템의 자동 진단 기능으로는 감지되지 않는 고장의 발생률. 주기적인 수동 테스트(Proof Test)를 통해서만 발견 가능하다.	가장 위험한 유형
$\lambda_{DD}$	Dangerous Detected Failure Rate 위험 감지 고장률	위험한 상태를 초래할 수 있지만, 자동 진단 기능에 의해 감지되어 시스템이 안전 상태로 전환되거나 경보를 발생시키는 고장의 발생률.	진단으로 제어되는 위험
$\lambda_{SU}$	Safe Undetected Failure Rate 안전 미감지 고장률	고장 발생 시 시스템이 안전 상태로 전환되지만(예: 불필요한 정지), 이 고장 자체가 자동 진단으로는 감지되지 않는 경우의 발생률. 가용성(availability)에 영향을 준다.	안전하지만 미감지
$\lambda_{SD}$	Safe Detected Failure Rate 안전 감지 고장률	안전 상태로 전환되는 고장이면서, 자동 진단 기능에 의해 감지되는 경우의 발생률.	안전하며 감지됨
$TI$	Proof Test Interval 주기적 테스트 간격	숨겨진 위험 고장( $\lambda_{DU}$ )을 찾아내기 위해 수동으로 수행하는 전체 기능 테스트의 시간 간격. 보통 시간(hour) 단위로 표현된다.	저빈도 모드 핵심 변수
$MTTR$	Mean Time To Restoration 평균 복구 시간	감지된 고장(`$\lambda_{DD}$,` λSD`) 발생 후, 시스템이 완전히 수리되어 정상 기능으로 복원될 때까지 걸리는 평균 시간.	고장 감지 후 대응 시간
$\beta$	Beta Factor (for CCF) 베타 팩터 (공통 원인 고장)	이중화된 채널들에서 발생하는 전체 위험 고장 중, 단일 원인으로 인해 두 개 이상의 채널이 동시에 고장 나는 공통 원인 고장(CCF)의 비율.	이중화 효과 저감 요인

7.2 구조별 PFDavg 계산 공식 (저빈도 요구 모드)

저빈도 요구 모드에서 PFDavg는 숨겨진 고장( $\lambda_{DU}$ )이 테스트 주기( $TI$ ) 동안 누적될 확률과, 감지된 고장( $\lambda_{DD}$ )이 수리 시간( $MTTR$ ) 동안 시스템을 무력화할 확률의 합으로 근사할 수 있다. IEC 61508-6 Annex B는 여러 구조에 대한 간소화된 계산 공식을 제공한다.61

1oo1 (Single Channel) 구조:

가장 기본적인 구조로, 이중화가 없다. PFDavg 공식의 구조를 분석하면 ’숨겨진 위험’과 ’드러난 위험’에 대한 각기 다른 관리 전략을 수학적으로 파악할 수 있다. 첫 번째 항( $\lambda_{DU} \cdot TI/2$ )은 주기적인 점검( $TI$ )을 통해 관리되는 숨겨진 위험을, 두 번째 항( $\lambda_{DD} \cdot MTTR$ )은 신속한 복구( $MTTR$ )를 통해 관리되는 드러난 위험을 나타낸다. 이는 시스템 안전성을 높이기 위해 부품의 신뢰성 향상뿐만 아니라, 운영상의 노력(테스트 주기 단축, 신속한 수리)이 동등하게 중요함을 보여준다.

코드 스니펫

$$
PFD_{avg} \approx \lambda_{DU} \cdot \frac{TI}{2} + \lambda_{DD} \cdot MTTR
$$

1oo2 (1-out-of-2) 구조:

두 개의 채널 중 하나만 정상 작동하면 안전 기능이 수행되는 이중화 구조. 독립적인 고장에 대해 매우 높은 신뢰성을 제공한다. 하지만 공통 원인 고장(CCF)의 영향을 고려해야 하며, 이는 베타 팩터( $\beta$ )를 통해 모델링된다. 베타 팩터 항( $\beta \cdot \lambda_{DU} \cdot TI/2$ )은 선형적으로 남아, CCF가 전체 시스템 신뢰도의 하한선을 결정함을 보여준다. 이는 이중화가 만병통치약이 아니며, CCF를 줄이기 위한 설계(예: 물리적 분리, 기술적 다양성)가 중요함을 시사한다.

코드 스니펫

$$
PFD_{avg} \approx (1-\beta)^2 \cdot \frac{(\lambda_{DU} \cdot TI)^2}{3} + \beta \cdot \lambda_{DU} \cdot \frac{TI}{2}
$$

2oo3 (2-out-of-3) 구조:

세 개의 채널 중 두 개 이상이 정상 작동해야 안전 기능이 수행되는 구조. 안전성(Safety)과 가용성(Availability)을 동시에 높일 수 있어 공정 산업에서 널리 사용된다. 계산식은 더 복잡하지만, 기본 원리는 1oo2 구조와 유사하게 독립 고장과 공통 원인 고장의 영향을 조합하여 계산한다.

코드 스니펫

$$
PFD_{avg} \approx 6 \cdot (1-\beta)^2 \cdot (\lambda_{DU} \cdot TI)^2 + \beta \cdot \lambda_{DU} \cdot \frac{TI}{2}
$$

참고: 위 공식들은 이해를 돕기 위한 근사식이며, 실제 표준 63에서는 진단 커버리지, 수리 시간 등을 더 정밀하게 고려한 복잡한 형태의 공식을 제공한다.

7.3 구조별 PFH 계산 공식 (고빈도/연속 요구 모드)

고빈도 또는 연속 요구 모드에서는 시스템이 지속적으로 작동하므로, 숨겨진 고장이 누적될 시간이 거의 없다. 대신, 단위 시간당 위험한 고장이 발생할 빈도 자체가 중요한 척도가 된다. 따라서 PFH 계산은 주로 위험 고장률( $\lambda_{D}$ )과 진단 기능의 효율성, 그리고 수리 시간에 의해 결정된다.64

1oo1 (Single Channel) 구조:

진단 기능이 없는 가장 단순한 경우, PFH는 위험 미감지 고장률과 같다.

코드 스니펫

$$
PFH \approx \lambda_{DU}
$$

1oo2 (1-out-of-2) 구조:

한 채널에서 감지 가능한 위험 고장( $\lambda_{DD}$ )이 발생하고, 수리 시간( $MTTR$ ) 내에 다른 채널에서 추가적인 위험 고장( $\lambda_{D}$ )이 발생하는 시나리오가 주된 위험 요소가 된다.

코드 스니펫

$$
PFH \approx 2 \cdot (1-\beta) \cdot (1-\beta_D) \cdot \lambda_{D} \cdot \lambda_{DD} \cdot MTTR + \beta \cdot \lambda_{DU}
$$

참고: PFH 공식은 시스템의 상태 전이(state transition)를 모델링하는 마르코프 분석(Markov analysis) 등을 통해 더 정확하게 유도될 수 있으며, 표준의 공식은 이를 간소화한 형태이다.65

7.4 공통 원인 고장(Common Cause Failure, CCF)과 베타 팩터(β-factor)

공통 원인 고장(CCF)은 이중화 시스템의 신뢰성을 평가할 때 가장 중요하게 고려해야 할 요소 중 하나이다. CCF는 단 하나의 원인이 다수의 이중화된 채널을 동시에 또는 매우 짧은 시간 내에 고장시키는 현상을 말한다.62

CCF의 원인:
설계: 동일한 하드웨어 또는 소프트웨어의 공통된 설계 결함.
환경: 과도한 온도, 습도, 진동, 전자기 간섭(EMI) 등 모든 채널에 동일하게 영향을 미치는 외부 환경.
인적 오류: 잘못된 교정(calibration), 동일한 방식으로 잘못된 유지보수 수행, 잘못된 부품 동시 교체.
공통 전원: 모든 채널에 전력을 공급하는 단일 전원 공급 장치의 고장.

CCF는 이중화를 통해 방어하고자 했던 무작위 고장의 독립성 가정을 무너뜨려, 시스템의 신뢰도를 급격히 저하시킨다. 이를 정량적으로 모델링하기 위해 사용되는 가장 간단하고 널리 쓰이는 모델이 베타 팩터(Beta Factor) 모델이다. 베타 팩터( $\beta$ )는 특정 부품 그룹의 전체 고장 중에서 CCF가 차지하는 비율을 의미한다.62 예를 들어,

$\beta=0.05$ (5%)라면, 해당 부품에서 100번의 고장이 발생했을 때, 그 중 5번은 다른 이중화된 부품과 동시에 고장 나는 공통 원인에 의한 것이라고 가정하는 것이다.

PFDavg 및 PFH 계산 공식에서 베타 팩터는 이중화로 인해 얻는 신뢰도 향상 효과를 현실적인 수준으로 보정하는 역할을 한다. 베타 팩터를 낮추기 위해서는 설계 단계에서부터 다음과 같은 CCF 방지 대책을 적극적으로 고려해야 한다.

다양성 (Diversity): 서로 다른 제조사의 부품, 다른 기술(예: 압력 측정에 차압식과 초음파식 동시 사용), 다른 프로그래밍 언어나 개발팀을 사용하여 소프트웨어를 개발.
분리 (Separation): 이중화된 채널을 물리적으로 떨어뜨려 설치하고, 전원 공급 및 신호선을 분리하여 화재나 물리적 충격과 같은 공통의 위협으로부터 보호.
체계적인 관리: 유지보수 및 테스트 절차를 개선하여 인적 오류의 가능성을 줄임.

8. IEC 61508의 확장: 산업별 표준과의 연관성

8.1 IEC 61508의 파생 표준들

IEC 61508은 모든 산업 분야에 적용할 수 있는 포괄적이고 일반적인 원칙을 제공하는 ’모체 표준(Umbrella Standard)’이다. 그러나 이러한 일반성은 때로 특정 산업 현장의 고유한 위험, 기술적 특성, 규제 환경, 운영 관행 등을 충분히 반영하지 못하는 한계로 작용하기도 한다.67 예를 들어, 대량 생산되는 자동차의 안전 요구사항은 단일 플랜트로 운영되는 화학 공장의 요구사항과 근본적으로 다를 수밖에 없다.

이러한 간극을 메우기 위해, IEC 61508의 기본 철학과 프레임워크를 기반으로 하되 각 산업 분야의 특수성을 반영한 다수의 ‘산업별(sector-specific)’ 또는 ‘응용 분야별(application-specific)’ 파생 표준들이 개발되었다. 이 파생 표준들은 기능안전의 ’헌법’과 같은 IEC 61508의 원칙을 각 산업 분야의 현실에 맞는 구체적인 ’법률’로 구체화하는 역할을 한다. 이러한 생태계의 형성은 IEC 61508의 기본 원칙이 얼마나 견고하고 설득력 있는지를 보여주는 성공의 증거인 동시에, 단일 표준만으로는 모든 산업의 복잡성을 다룰 수 없다는 현실적인 한계를 인정하는 것이기도 하다.

대표적인 파생 표준들은 다음과 같다 13:

ISO 26262: 자동차 산업
IEC 61511: 공정 산업 (화학, 석유 및 가스 등)
IEC 62061 / ISO 13849: 기계류 안전
EN 50128 / EN 50129: 철도 산업
IEC 62304: 의료기기 소프트웨어
IEC 61513: 원자력 발전소

이 장에서는 가장 대표적인 파생 표준인 ISO 26262와 IEC 61511을 중심으로 IEC 61508과의 관계 및 주요 차이점을 심층적으로 비교 분석한다.

8.2 자동차 산업: ISO 26262

ISO 26262는 3.5톤 미만의 양산되는 승용차에 탑재되는 전기/전자(E/E) 시스템의 기능안전에 적용되는 국제 표준이다.10 IEC 61508을 자동차 산업의 특성에 맞게 재해석하고 구체화한 표준으로, 오늘날 자동차 개발에 있어 필수적인 규격으로 자리 잡았다.

주요 차이점:

안전 등급 체계 (SIL vs. ASIL):

IEC 61508의 SIL 대신, 자동차 산업 고유의 ASIL (Automotive Safety Integrity Level) 이라는 등급 체계를 사용한다. ASIL은 A, B, C, D의 4개 등급으로 나뉘며, ASIL D가 가장 높은 안전 요구 수준을 의미한다. ASIL은 리스크 평가 시 다음 세 가지 파라미터를 조합하여 결정된다는 점에서 SIL과 차별화된다 69:

심각도 (Severity): 고장 발생 시 인명 피해의 심각성.
노출 (Exposure): 해당 위험 상황에 노출될 확률.
제어 가능성 (Controllability): 고장 발생 시 운전자가 위험을 회피하거나 통제할 수 있는 능력. ’제어 가능성’은 훈련된 전문가가 아닌 일반 운전자가 시스템을 사용하는 자동차 산업의 고유한 특성을 반영하는 핵심적인 파라미터이다.
개발 접근법 및 용어:

IEC 61508에서 위험을 줄이기 위해 추가되는 ‘안전 기능(Safety Function)’ 개념은 ISO 26262에서 ‘안전 목표(Safety Goal)’ 개념으로 대체되었다.70 이는 안전을 기존 시스템에 ‘덧붙이는(bolt-on)’ 기능이 아니라, 시스템 개발 초기 단계부터 설계에 근본적으로 내재되어야 하는 최상위 목표로 정의하려는 의도를 반영한다.

적용 대상 및 환경:

IEC 61508이 주로 훈련된 전문가에 의해 운영되는 산업 설비를 대상으로 하는 반면, ISO 26262는 불특정 다수의 일반 운전자가 사용하는 대량 생산 제품을 대상으로 한다.1 또한, IEC 61508 기반 시스템은 특정 현장에 설치된 후 안전성을 검증(validation)하는 경우가 많지만, 자동차는 시장에 출시되기 전에 모든 개발 및 검증이 완료되어야 한다는 차이점이 있다.70

8.3 공정 산업: IEC 61511

IEC 61511은 화학, 정유, 발전 등 대규모 장치 산업, 즉 공정 산업(process industry)의 안전 계장 시스템(Safety Instrumented System, SIS)에 특화된 기능안전 표준이다.17

주요 차이점:

적용 대상의 관점 차이:

표준 간의 관계는 공급망(supply chain) 내에서 서로 다른 역할을 반영한다. IEC 61508은 주로 센서, PLC, 액추에이터와 같은 안전 관련 부품이나 장비를 개발하고 공급하는 **‘제조사(manufacturer)’ 또는 ‘공급자(supplier)’**의 관점에서 서술되어 있다.17 즉, ’안전한 부품을 만드는 방법’에 대한 표준이다. 반면,

IEC 61511은 이러한 부품들을 구매하여 실제 플랜트에 맞는 전체 안전 시스템(SIS)을 설계, 구축, 운영하는 **‘시스템 통합자(integrator)’ 및 ‘최종 사용자(end-user)’**의 관점에서 서술되어 있다.43 이는 ’안전한 부품들을 사용하여 안전한 시스템을 구축하고 운영하는 방법’에 대한 표준이라 할 수 있다.

비인증 부품 사용에 대한 접근법:

공정 산업 현장에는 수십 년간 사용되어 그 신뢰성이 충분히 검증되었지만, IEC 61508에 따른 공식적인 SIL 인증을 받지 않은 부품들이 많이 존재한다. IEC 61511은 이러한 현실을 반영하여 ‘사전 사용(Prior Use)’ 이라는 개념을 도입했다.73 이는 최종 사용자가 특정 부품이 자신의 운영 환경에서 충분한 운전 시간과 고장 이력 데이터를 통해 요구되는 안전성을 만족함을 입증할 경우, 공식 SIL 인증이 없더라도 해당 부품을 SIS에 사용할 수 있도록 허용하는 유연한 접근법이다. 이는 IEC 61508에서 제조사 관점의 신뢰성 입증 방식인 ’Proven in Use’와 구분된다.

프로그래밍 언어의 범위:

IEC 61508-3은 C/C++와 같은 완전 가변성 언어(Fully Variable Language, FVL)를 포함한 광범위한 소프트웨어 개발을 다루는 반면, IEC 61511은 공정 산업에서 널리 사용되는 PLC의 래더 로직(Ladder Logic)이나 기능 블록 다이어그램(Function Block Diagram)과 같은 **제한된 가변성 언어(Limited Variability Language, LVL)**에 더 초점을 맞춘다.73

다음 표는 세 가지 핵심 표준의 주요 특징을 비교 요약한 것이다.

특징	IEC 61508 (모체 표준)	ISO 26262 (자동차)	IEC 61511 (공정 산업)
주요 적용 산업	모든 산업 분야 (범용)	자동차 (양산 차량)	공정 산업 (화학, 정유 등)
주요 대상 사용자	부품/장비 제조사	자동차 OEM 및 부품 공급사	SIS 설계자, 통합자, 최종 사용자
안전 등급 체계	SIL (Safety Integrity Level) 1-4	ASIL (Automotive SIL) A-D	SIL (Safety Integrity Level) 1-4
핵심 개념 차이	안전 기능 (Safety Function)	안전 목표 (Safety Goal)	안전 계장 기능 (SIF)
비인증 부품 접근법	Proven in Use (제조사 입증)	Proven in Use	Prior Use (사용자 입증)

이처럼 파생 표준들은 IEC 61508의 기본 원칙을 각자의 산업적 맥락에 맞게 ’번역’하고 ’구체화’함으로써 기능안전의 실질적인 현장 적용성을 크게 향상시키는 역할을 수행한다.

9. 인증 및 Safety Case: 기능안전 준수 입증

IEC 61508 표준을 준수하는 것은 단순히 기술적 요구사항을 충족하는 것을 넘어, 시스템의 안전성을 객관적으로 입증하고 이해관계자들의 신뢰를 확보하는 과정이다. 이 과정의 핵심적인 두 가지 요소가 바로 ’인증(Certification)’과 ’세이프티 케이스(Safety Case)’이다.

9.1 IEC 61508 인증의 의미와 절차

IEC 61508 인증이란, TÜV, exida와 같은 독립적인 제3자 공인 인증 기관이 특정 제품, 프로세스 또는 시스템이 IEC 61508 표준의 모든 관련 요구사항을 충족했음을 공식적으로 평가하고 입증하는 절차를 의미한다.67 이 인증은 법적으로 항상 강제되는 것은 아니지만, 사실상의 산업 표준으로 기능하며 수많은 실질적인 이점을 제공한다.

인증의 이점:
객관적 신뢰성 확보: 독립적인 전문가 집단에 의해 안전성이 검증되었음을 의미하므로, 고객과 규제 기관에 높은 수준의 신뢰를 제공한다.3
시장 경쟁력 강화: SIL 인증을 받은 제품은 안전이 중요한 프로젝트에 입찰하거나 글로벌 시장에 진출할 때 강력한 경쟁 우위를 갖는다.3
법적 책임 완화: 사고 발생 시, 최신 기술 수준(state-of-the-art)의 안전 표준을 준수하기 위해 상당한 노력을 기울였음을 입증하는 중요한 법적 방어 근거가 될 수 있다.13
내부 프로세스 개선: 인증 준비 과정 자체가 조직의 개발 프로세스와 위험 관리 능력을 체계적으로 개선하는 계기가 된다.13
일반적인 인증 절차:

인증 절차는 일반적으로 다음과 같은 단계를 포함한다 13:

갭 분석 (Gap Analysis): 현재 개발 프로세스 및 산출물과 IEC 61508 요구사항 간의 차이를 분석하여 보완 계획을 수립한다.
문서 검토 (Documentation Review): 안전 계획, 요구사항 명세서, 설계 문서, FMEA, 테스트 계획서 등 수명주기 전반에 걸쳐 생성된 모든 문서를 평가한다.
현장 감사 및 기술 평가 (On-site Audit & Technical Evaluation): 인증 기관의 심사원이 개발 현장을 방문하여 실제 개발 프로세스가 문서화된 절차에 따라 수행되는지, 기능안전 관리 시스템이 효과적으로 운영되는지를 감사한다.
기능 및 성능 테스트: 제품의 기능 및 성능 테스트 결과, 특히 고장 주입 테스트(fault injection testing) 결과를 검토하여 시스템이 고장 상황에서 의도대로 안전하게 동작하는지 확인한다.
최종 평가 및 인증서 발급: 모든 평가가 성공적으로 완료되면, 인증 기관은 해당 제품의 SIL 등급(예: SIL 3 Capable)과 적용 조건을 명시한 공식 인증서를 발급한다.

또한, 인증은 신규 개발 제품뿐만 아니라, 충분한 현장 사용 이력을 가진 기존 제품에 대해서도 ’사전 사용 입증(Proven-In-Use Assessment)’을 통해 진행될 수 있다. 이 경우, 잘 관리된 현장 고장 데이터와 변경 이력 관리가 중요한 평가 요소가 된다.74

9.2 Safety Case의 역할과 핵심 구성 요소

**세이프티 케이스(Safety Case)**는 인증 프로세스의 핵심적인 결과물이자 제출물이다. 이는 단순히 표준의 요구사항을 충족했다는 체크리스트가 아니라, “왜 이 시스템이 주어진 적용 분야와 운영 환경에서 허용 가능한 수준으로 안전하다고 주장할 수 있는가“에 대한 구조화된 논증(structured argument)과 그를 뒷받침하는 증거(evidence)의 집합체이다.5

Safety Case의 본질은 법정에서의 변론과 유사하다. ’안전’이라는 판결을 얻기 위해, 개발자는 인증 기관이라는 심판에게 모든 증거를 체계적으로 제시하고 설득력 있는 논리를 펼쳐야 한다. 이 과정을 통해 개발자 스스로도 시스템의 안전성에 대한 깊은 확신을 갖게 되며, 이는 단순한 서류 작업을 넘어선 진정한 안전 공학 활동의 정점이라 할 수 있다.

Safety Case는 일반적으로 다음과 같은 계층적 구조를 가진다.

주장 (Claim): 가장 상위 수준의 선언. 예를 들어, “본 압력 트랜스미터는 IEC 61508:2010에 따라 SIL 2 안전 기능을 구현하는 데 사용하기에 적합하다.”
논증 (Argument): 상위 주장을 뒷받침하는 논리적 근거. 주장을 여러 개의 하위 주장으로 분해하여 논리를 전개한다. 예를 들어,
“체계적 고장에 대한 저항력(SC 2)을 갖추었다.”
“무작위 고장에 대한 목표(SIL 2)를 만족하는 구조적 제약과 PFDavg 값을 갖는다.”
“기능안전 관리 프로세스에 따라 개발되었다.”
증거 (Evidence): 각 논증이 사실임을 입증하는 구체적인 데이터와 문서. 이는 안전 수명주기 동안 생성된 모든 산출물을 포함한다.13
기능안전 관리 계획서, 역량 관리 기록
위험원 분석 및 리스크 평가 보고서
안전 요구사항 명세서 (SRS)
하드웨어/소프트웨어 설계 문서, FMEA/FMEDA 보고서
검증 및 확인 보고서 (코드 검토, 정적 분석, 단위/통합/시스템 테스트 결과)
안전 매뉴얼 (Safety Manual): 최종 사용자가 제품을 안전하게 통합하고 운영하는 데 필요한 정보를 담은 문서.74
맥락 (Context): 주장이 유효한 조건과 환경. 예를 들어, “이 주장은 안전 매뉴얼에 명시된 환경 조건 및 설치 지침을 따랐을 때 유효하다.”

이처럼 Safety Case는 모든 안전 활동의 결과를 하나의 일관된 논리 체계로 통합하여, 시스템의 안전성을 종합적이고 설득력 있게 제시하는 역할을 한다.

9.3 성공적인 기능안전 구현을 위한 제언

IEC 61508 표준을 성공적으로 구현하고 인증을 획득하기 위해서는 기술적 역량뿐만 아니라 전략적인 접근이 필요하다.

조기 계획 및 통합: 기능안전은 프로젝트 후반에 추가할 수 있는 기능이 아니다. 프로젝트 기획 초기 단계부터 안전 계획을 수립하고, 개발, 품질 보증, 프로젝트 관리 등 모든 활동에 안전 요구사항을 통합해야 한다.
전문성의 확보: 기능안전은 고도의 전문 지식과 경험을 요구하는 분야이다. 조직 내에 관련 전문가를 양성하거나, 필요시 외부 컨설팅 기관이나 인증 기관의 전문적인 지원을 받는 것이 효과적이다.
도구의 적극적인 활용: 요구사항 관리 도구, 모델 기반 설계(MBD) 도구, 정적/동적 분석 도구, 테스트 자동화 도구 등은 복잡한 수명주기 활동을 효율적으로 관리하고, 인적 오류를 줄이며, 방대한 문서화 부담을 경감시키는 데 필수적이다.53
안전 문화의 구축: 가장 중요한 것은 경영진의 강력한 의지를 바탕으로 조직 전체에 ’안전 우선’의 문화를 정착시키는 것이다. 안전은 특정 부서의 책임이 아니라 모든 구성원의 책임이라는 인식이 공유될 때, 비로소 FSM은 효과적으로 작동하고 지속 가능한 기능안전이 달성될 수 있다.

결론적으로, IEC 61508 인증은 최종 제품이 안전하다는 것을 증명하는 동시에, 해당 조직이 안전한 제품을 만들 수 있는 체계적인 역량과 프로세스를 갖추고 있음을 공인받는 과정이다. 이는 기업에게 단순한 인증서 이상의 가치, 즉 ’신뢰할 수 있는 개발 파트너’라는 명성을 부여하는 중요한 자산이 된다.# IEC 61508 기능안전 표준에 대한 종합 안내서

10. 기능안전의 초석, IEC 61508의 이해

10.1 기능안전(Functional Safety)의 정의와 현대 산업에서의 필요성

10.2 IEC 61508의 역사, 목표 및 기본 철학

리스크 기반 접근법 (Risk-based Approach): 안전 요구사항은 임의로 정해지는 것이 아니라, 체계적인 위험원 분석 및 리스크 평가를 통해 결정된다. 즉, 리스크의 크기에 비례하여 안전 조치의 엄격성이 결정된다.8 이는 한정된 자원을 가장 효과적으로 배분하여 최적의 안전을 달성하기 위한 합리적인 접근법이다.
안전 수명주기 모델 (Safety Lifecycle Model): 안전은 프로젝트의 특정 단계에서만 고려되는 것이 아니라, 초기 개념 구상부터 시스템 폐기에 이르는 전 과정에 걸쳐 통합되고 관리되어야 한다. 이 공학적 프로세스는 설계 오류나 요구사항 누락과 같은 체계적 고장을 방지하고 발견하는 핵심적인 프레임워크를 제공한다.2
확률론적 고장 분석 (Probabilistic Failure Approach): 무작위 하드웨어 고장은 완벽하게 제거할 수 없다는 현실을 인정하고, 대신 고장의 발생 확률을 정량적으로 평가하고 관리한다. 이를 위해 안전 무결성 수준(SIL)이라는 개념을 도입하여, 각 안전 기능에 요구되는 신뢰성 목표를 명확히 제시한다.2
제로 리스크의 부정: 이 표준은 ‘완벽한 안전’ 또는 ’제로 리스크’는 존재할 수 없다는 현실적인 관점에서 출발한다.2 안전의 목표는 모든 리스크를 제거하는 것이 아니라, 사회적, 경제적, 법적 기준에 따라 합의된 ’허용 가능한 수준’까지 리스크를 낮추는 것이다. 이는 ALARP(As Low As Reasonably Practicable) 원칙과도 맞닿아 있다.

10.3 ’모체 표준(Umbrella Standard)’으로서의 역할과 적용 범위

IEC 61508의 적용 범위는 안전 기능을 수행하는 시스템 전체를 포괄한다. 이는 다음과 같은 구성 요소를 모두 포함한다 3:

입력 장치 (센서): 압력, 온도, 위치 등 물리적 상태를 감지하는 장치.
로직 장치 (제어기): 센서로부터 입력 신호를 받아 안전 로직을 처리하고 판단하는 장치 (예: 안전 PLC, 임베디드 컨트롤러).
출력 장치 (액추에이터): 로직 장치의 명령에 따라 최종적인 물리적 조치를 수행하는 장치 (예: 밸브, 모터 브레이크, 경보 시스템).
소프트웨어: 로직 장치 내에서 안전 기능을 구현하는 펌웨어 및 애플리케이션 로직.

이 표준은 광범위한 산업 분야에 걸쳐 적용된다. 구체적인 적용 사례는 다음과 같다 3:

공정 산업: 화학 플랜트의 비상 정지 시스템(ESD), 고압 용기의 압력 방출 장치.
전력 및 에너지: 발전소의 보호 계전기, 지능형 회로 차단기.
운송: 철도 신호 시스템, 자동 열차 제어(ATC) 장치, 자동차의 잠김 방지 브레이크 시스템(ABS) 및 엔진 관리 시스템.
의료기기: 인공호흡기, 방사선 치료기의 노출량 제어 시스템과 같은 생명 유지 장치.
기계 및 자동화: 산업용 로봇의 안전 가딩 시스템, 프레스 기계의 비상 정지 장치.

11. IEC 61508 표준의 구조적 해부

11.1 표준의 전체 구성: 7개의 파트

다음 표는 IEC 61508의 전체 구조와 각 파트의 핵심 내용을 요약한 것이다.

파트	제목 (영문/한글)	구분	핵심 내용 요약
Part 1	General Requirements 일반 요구사항	규범적	기능안전의 기본 개념, 전체 안전 수명주기 모델, 기능안전 관리(FSM), 문서화, 적합성 평가 등 표준 전체를 관통하는 기본 프레임워크를 정의한다.
Part 2	Requirements for E/E/PE safety-related systems E/E/PE 안전 관련 시스템 요구사항	규범적	하드웨어의 안전 수명주기, 무작위 하드웨어 고장 제어를 위한 정량적 목표(PFD/PFH), 구조적 제약(HFT, SFF), 체계적 고장 방지 및 제어 기법 등 하드웨어 안전 무결성에 대한 요구사항을 규정한다.
Part 3	Software Requirements 소프트웨어 요구사항	규범적	소프트웨어의 안전 수명주기(V-모델 등), SIL 등급별 소프트웨어 설계, 코딩, 검증 및 확인 기법 등 소프트웨어의 체계적 안전 무결성 확보를 위한 요구사항을 상세히 기술한다.
Part 4	Definitions and abbreviations 정의 및 약어	정보 제공용	표준 전반에 걸쳐 사용되는 모든 기술 용어와 약어를 명확하게 정의하여, 해석의 일관성과 명확성을 보장한다.
Part 5	Examples of methods for the determination of safety integrity levels SIL 결정 방법 예시	정보 제공용	리스크 그래프(Risk Graph)와 같은 정성적, 정량적, 준정량적 방법을 사용하여 특정 안전 기능에 요구되는 SIL 등급을 결정하는 구체적인 방법론과 예시를 제공한다.
Part 6	Guidelines on the application of Parts 2 and 3 Part 2 및 Part 3 적용 가이드라인	정보 제공용	PFD/PFH 계산, 공통 원인 고장(CCF) 분석, 진단 커버리지 계산 등 Part 2와 Part 3의 정량적이고 복잡한 요구사항을 실제 프로젝트에 적용하는 데 필요한 상세한 지침, 공식, 계산 예제를 제공한다.
Part 7	Overview of techniques and measures 기술 및 측정 방법에 대한 개요	정보 제공용	고장 형태 및 영향 분석(FMEA), 결함수 분석(FTA), 정형 기법 등 안전 공학 및 소프트웨어 공학에서 사용되는 다양한 기술과 측정 방법에 대한 개요와 추가 정보를 얻을 수 있는 참고 자료를 제공한다.

11.2 규범적 요구사항 (Normative Parts)

Part 1: 일반 요구사항 (General Requirements)

안전 수명주기: 개념 구상부터 폐기까지 16개의 단계로 구성된 전체 안전 수명주기 모델을 정의하고, 각 단계에서 수행해야 할 활동과 목표를 규정한다. 이는 모든 안전 관련 활동의 기준점이 된다.14
기능안전 관리(FSM): 안전 목표를 달성하기 위해 필요한 조직의 책임, 권한, 절차, 자원 등을 포함하는 경영 시스템 요구사항을 명시한다. 이는 체계적 안전 무결성을 확보하는 데 필수적이다.24
문서화: 수명주기의 모든 단계에서 생성되는 산출물을 체계적으로 문서화하고 관리할 것을 요구한다. 이는 추적성, 검증 가능성, 유지보수성을 보장하는 기반이 된다.
기능안전 평가(FSA): 수명주기의 특정 시점에서 독립적인 평가자에 의해 기능안전이 달성되었는지를 평가하는 절차를 요구한다.

Part 2: E/E/PE 시스템 요구사항 (Requirements for E/E/PE safety-related systems)

하드웨어 안전 수명주기: 하드웨어 개발에 특화된 수명주기 활동(설계, 구현, 통합, 테스트 등)을 정의한다.
무작위 고장 제어: 각 SIL 등급에 대해 달성해야 할 정량적인 목표 고장 척도(PFDavg 또는 PFH)를 제시하고, 이를 만족하는지 검증할 것을 요구한다.
구조적 제약: 하드웨어 결함 허용(HFT)과 안전측 고장 분율(SFF)을 기반으로, 달성 가능한 최대 SIL을 제한하는 아키텍처 요구사항을 규정한다. 이는 고장률 데이터의 불확실성을 보완하는 역할을 한다.14
체계적 고장 방지: SIL 등급에 따라 요구되는 설계 기법(예: 고장 감지, 이중화), 기술(예: 다양한 기술 사용), 테스트 전략 등을 명시하여 설계 단계에서 오류가 유입되는 것을 방지한다.

Part 3: 소프트웨어 요구사항 (Software Requirements)

소프트웨어 안전 수명주기: 일반적으로 V-모델로 알려진 개발 모델을 제시하며, 각 개발 단계(요구사항 분석, 아키텍처 설계, 상세 설계, 코딩)에 상응하는 검증 및 확인 활동(단위 테스트, 통합 테스트, 시스템 테스트)을 요구한다.28
SIL 기반 요구사항: 목표 SIL 등급이 높아질수록 소프트웨어 개발에 요구되는 기법과 조치의 엄격성(rigor)을 높인다. 예를 들어, SIL 3 소프트웨어는 SIL 1 소프트웨어보다 더 엄격한 설계 표기법, 코딩 표준, 테스트 커버리지, 정적 분석 등을 요구한다.14
지원 도구: 소프트웨어 개발, 테스트, 형상 관리에 사용되는 도구에 대한 신뢰성 요구사항도 정의한다.

11.3 정보 제공용 가이드라인 (Informative Parts)

Part 4: 정의 및 약어: 표준을 정확하게 이해하기 위한 필수적인 ‘사전’ 역할을 한다.20
Part 5: SIL 결정 방법 예시: 리스크 평가를 통해 필요한 SIL 등급을 도출하는 과정을 구체적인 예시를 통해 보여준다. 이는 리스크 기반 접근법을 실제로 어떻게 적용하는지에 대한 실질적인 이해를 돕는다.3
Part 6: Part 2 및 Part 3 적용 가이드라인: Part 2와 3의 복잡한 정량적 요구사항, 특히 PFD/PFH 계산, 공통 원인 고장(CCF) 분석, 진단 커버리지(DC) 계산 등을 위한 상세한 수학적 모델과 단계별 절차를 제공한다.22
Part 7: 기술 및 측정 방법에 대한 개요: FMEA, FTA, HAZOP 등 안전성 분석 및 설계에 유용한 다양한 공학적 기법들을 소개하고, 각 기법의 장단점과 적용 분야를 설명하여 사용자가 적절한 도구를 선택할 수 있도록 돕는다.23

12. 안전 수명주기 모델: 개념부터 폐기까지

12.1 전체 안전 수명주기(Overall Safety Lifecycle)의 개념과 중요성

12.2 1단계: 분석 (Analysis Phase)

위험원 분석 및 리스크 평가 (Hazard and Risk Analysis):

전체 안전 요구사항 정의 (Overall Safety Requirements):

안전 요구사항 할당 (Safety Requirements Allocation):

12.3 2단계: 구현 (Realization Phase)

E/E/PE 시스템 설계 및 개발:

검증 및 확인 (Verification and Validation):

검증 및 확인은 구현 단계 전반에 걸쳐 지속적으로 수행되는 핵심적인 품질 보증 활동이다.

검증(Verification): 각 개발 단계의 산출물이 해당 단계의 입력 요구사항을 올바르게 구현했는지를 확인하는 활동이다. “우리가 시스템을 올바르게 만들고 있는가?(Are we building the system right?)“에 대한 답을 찾는 과정이다. 예를 들어, 코드 검토, 정적 분석, 단위 테스트 등이 여기에 해당한다.
확인(Validation): 최종적으로 개발된 시스템이 최초에 정의된 전체 안전 요구사항을 만족하는지를 확인하는 활동이다. “우리가 올바른 시스템을 만들었는가?(Are we building the right system?)“에 대한 답을 찾는 과정이다.13

12.4 3단계: 운영 및 유지보수 (Operation & Maintenance Phase)

설치, 시운전 및 안전성 확인 (Installation, Commissioning and Safety Validation):

운영, 유지보수 및 수정 (Operation, Maintenance and Modification):

해체 또는 폐기 (Decommissioning or Disposal):

13. 안전 무결성 수준(SIL)의 정량적 및 정성적 접근

13.1 SIL(Safety Integrity Level)의 정의와 4가지 등급

IEC 61508은 다음과 같이 네 가지 SIL 등급을 정의하며, 등급의 숫자가 높을수록 더 높은 수준의 안전 무결성, 즉 더 낮은 위험측 고장 확률을 요구한다 6:

SIL 1: 가장 낮은 안전 무결성 등급.
SIL 2: 중간 수준의 안전 무결성 등급.
SIL 3: 높은 수준의 안전 무결성 등급.
SIL 4: 가장 높은 안전 무결성 등급.

13.2 리스크 기반 SIL 결정 방법론

IEC 61508-5는 SIL을 결정하기 위한 다양한 정성적, 정량적, 준정량적 방법론을 예시로 제공한다.3 대표적인 방법은 다음과 같다.

정성적 방법 (Qualitative Method) - 리스크 그래프 (Risk Graph):

C (Consequence): 유해 사건 발생 시 결과의 심각도 (예: 경미한 부상, 심각한 부상, 사망).
F (Frequency of Exposure): 위험 상황에 노출되는 빈도 (예: 드묾, 빈번함).
P (Possibility of Avoidance): 위험 상황 발생 시 작업자가 회피할 수 있는 가능성 (예: 가능함, 거의 불가능함).
W (Probability of Unwanted Occurrence): 안전 기능 없이 유해 사건이 발생할 확률 (예: 매우 낮음, 높음).

이 파라미터들을 순서도로 따라가면서 최종적으로 요구되는 SIL 1, 2, 3 또는 4 등급을 결정하게 된다.

정량적 방법 (Quantitative Method) - LOPA (Layer of Protection Analysis):

13.3 SIL과 목표 고장 척도: PFDavg와 PFH

저빈도 요구 모드 (Low Demand Mode):

고빈도 또는 연속 요구 모드 (High Demand or Continuous Mode):

PFH (Average Frequency of a Dangerous Failure per Hour, 시간당 평균 위험측 고장 빈도)**를 사용한다.14

SIL 등급	저빈도 요구 모드 (PFDavg)	고빈도/연속 요구 모드 (PFH [failures/hour])	리스크 감소 계수 (RRF)
SIL 4	$ \ge 10^{-5} \text{ to } < 10^{-4} $	$ \ge 10^{-9} \text{ to } < 10^{-8} $	100,000 to 10,000
SIL 3	$ \ge 10^{-4} \text{ to } < 10^{-3} $	$ \ge 10^{-8} \text{ to } < 10^{-7} $	10,000 to 1,000
SIL 2	$ \ge 10^{-3} \text{ to } < 10^{-2} $	$ \ge 10^{-7} \text{ to } < 10^{-6} $	1,000 to 100
SIL 1	$ \ge 10^{-2} \text{ to } < 10^{-1} $	$ \ge 10^{-6} \text{ to } < 10^{-5} $	100 to 10

14. 하드웨어 안전 무결성 달성 전략

14.1 무작위 하드웨어 고장과 체계적 고장의 이해

시스템 고장은 그 원인과 특성에 따라 크게 두 가지로 분류된다. 이 둘을 구분하는 것은 적절한 안전 대책을 수립하는 데 매우 중요하다.

무작위 하드웨어 고장 (Random Hardware Failures):

체계적 고장 (Systematic Failures):

14.2 구조적 제약(Architectural Constraints): 신뢰성 데이터의 불확실성에 대한 방어

IEC 61508-2는 구조적 제약을 만족시키기 위한 두 가지 경로(Route)를 제시한다.

Route 1H: 부품의 안전측 고장 분율(SFF)과 하드웨어 결함 허용(HFT)을 기반으로 달성 가능한 최대 SIL을 결정하는 방법이다. 이는 부품의 고장 모드에 대한 상세한 분석(예: FMEDA)이 가능하고, 신뢰성 있는 현장 데이터가 부족한 신규 장비에 주로 사용된다.44
Route 2H: 해당 부품이 유사한 환경에서 충분한 시간 동안 사용되어 그 신뢰성이 입증된 경우(‘Proven in use’), SFF 계산 없이 HFT 요구사항만으로 SIL을 결정하는 방법이다. 이 경로는 신뢰할 수 있는 대규모 현장 운영 데이터가 필수적이다.44

14.3 핵심 파라미터 분석 (Route 1H 중심)

Route 1H는 세 가지 핵심 파라미터의 조합을 통해 시스템 아키텍처의 적절성을 평가한다.

하드웨어 결함 허용 (Hardware Fault Tolerance, HFT):

HFT = 0: 이중화가 없는 단일 채널 구조 (예: 1oo1, 1-out-of-1). 하나의 결함이 즉시 기능 상실을 유발할 수 있다.
HFT = 1: 최소 하나의 결함을 허용할 수 있는 이중화 구조 (예: 1oo2, 2oo3).
HFT = 2: 최소 두 개의 결함을 허용할 수 있는 다중화 구조 (예: 1oo3).

안전측 고장 분율 (Safe Failure Fraction, SFF):

코드 스니펫

$$
SFF = \frac{\sum \lambda_{S} + \sum \lambda_{DD}}{\sum \lambda_{S} + \sum \lambda_{D}} = \frac{(\lambda_{SD} + \lambda_{SU}) + \lambda_{DD}}{(\lambda_{SD} + \lambda_{SU}) + (\lambda_{DD} + \lambda_{DU})}
$$

부품 유형 (Component Type):

IEC 61508은 부품의 복잡성과 고장 모드의 예측 가능성에 따라 두 가지 유형으로 분류한다.

Type A: 고장 모드가 명확하게 정의되고, 동작 특성이 완전히 파악되며, 신뢰성 있는 고장 데이터가 충분한 ‘단순한’ 부품. 예: 릴레이, 솔레노이드 밸브, 저항기 등.44
Type B: 고장 모드가 명확하지 않거나, 동작 특성을 완전히 파악하기 어려운 ‘복잡한’ 부품. 마이크로프로세서나 ASIC과 같은 프로그래밍 가능 전자 부품이 대표적이다. 예: 안전 PLC, 스마트 센서, VFD(가변 주파수 드라이브) 등.44

IEC 61508-2 구조적 제약 테이블 (Route 1H)

다음 표들은 IEC 61508-2의 Table 2와 Table 3에 명시된 내용으로, 부품 유형, SFF, HFT의 조합에 따라 달성 가능한 최대 SIL을 규정한다.

Type A 부품에 대한 최대 허용 SIL (IEC 61508-2, Table 2)

안전측 고장 분율 (SFF)	HFT = 0	HFT = 1	HFT = 2
< 60%	SIL 1	SIL 2	SIL 3
60% ~ < 90%	SIL 2	SIL 3	SIL 4
90% ~ < 99%	SIL 3	SIL 4	SIL 4
≥ 99%	SIL 3	SIL 4	SIL 4

Type B 부품에 대한 최대 허용 SIL (IEC 61508-2, Table 3)

안전측 고장 분율 (SFF)	HFT = 0	HFT = 1	HFT = 2
< 60%	허용 안 됨	SIL 1	SIL 2
60% ~ < 90%	SIL 1	SIL 2	SIL 3
90% ~ < 99%	SIL 2	SIL 3	SIL 4
≥ 99%	SIL 3	SIL 4	SIL 4

15. 체계적 안전 무결성: 설계와 프로세스를 통한 안전 확보

15.1 체계적 역량(Systematic Capability, SC)의 개념

15.2 체계적 고장 방지 및 제어 기법

고장 회피 (Fault Avoidance):

요구사항 단계: 정형화된 명세 언어 사용, 요구사항 추적성 관리.
설계 단계: 모듈화, 정보 은닉, 설계 패턴 사용, 반정형 또는 정형 설계 방법론 적용.
구현 단계: 강력한 타입 체크를 지원하는 프로그래밍 언어 사용, 코딩 표준(예: MISRA C/C++) 준수, 정적 코드 분석 도구 활용.53
검증 단계: 독립적인 팀에 의한 설계 검토 및 코드 인스펙션, 엄격한 테스트 커버리지(예: SIL 3의 경우 100% 분기 커버리지) 요구.54
고장 제어 (Fault Control):

실행 흐름 모니터링: 워치독 타이머, 논리적 순서 확인 등을 통해 프로그램이 비정상적인 흐름으로 실행되는 것을 감지.55
데이터 유효성 검사: 입력 데이터의 범위 검사, 중복 데이터 비교, 오류 탐지 코드(CRC 등)를 통해 데이터 손상을 감지.
고장 반응: 고장이 감지되었을 때 시스템을 미리 정의된 안전 상태로 전환하거나, 성능을 저하시켜 운전을 계속하는(fail-operational) 등의 조치를 수행.

SIL 등급이 높아질수록 이러한 고장 회피 및 제어 기법들을 더 많이, 그리고 더 엄격하게 조합하여 적용해야 한다.

15.3 기능안전 관리 (Functional Safety Management, FSM)

FSM의 주요 요구사항은 IEC 61508-1에 명시되어 있으며, 다음과 같은 활동을 포함한다 13:

안전 계획 (Safety Planning): 프로젝트 시작 시점에 전체 안전 수명주기 활동, 각 단계의 책임자, 필요한 절차, 검증 및 평가 계획 등을 담은 포괄적인 안전 계획을 수립하고 문서화해야 한다.9
책임과 권한 할당: 안전 관련 모든 활동에 대해 개인 또는 부서의 역할, 책임, 권한을 명확하게 정의하고 문서화해야 한다.
역량 관리 (Competency Management): 안전 관련 업무를 수행하는 모든 인력은 해당 업무에 필요한 적절한 교육, 훈련, 경험을 갖추어야 한다. 조직은 인력의 역량을 관리하고 정기적으로 평가할 절차를 갖추어야 하며, 이는 관리자에게도 동일하게 적용된다.57
독립성 (Independence): 검증, 확인, 기능안전 평가(FSA)와 같은 중요한 안전 평가 활동은 해당 활동의 결과에 영향을 받지 않는 독립적인 인력 또는 부서에 의해 수행되어야 한다. 이는 개발자가 자신의 오류를 객관적으로 찾아내기 어렵다는 인간의 인지적 한계를 시스템적으로 보완하기 위한 장치이다.
문서 및 형상 관리 (Documentation and Configuration Management): 모든 안전 관련 문서와 시스템 구성 요소(하드웨어, 소프트웨어, 도구 포함)는 체계적으로 버전을 관리하고, 변경 사항을 추적할 수 있어야 한다.
기능안전 평가 (Functional Safety Assessment, FSA): 수명주기의 정해진 단계(예: 설계 완료 후, 설치 완료 후)에서 독립적인 평가팀이 시스템이 목표 SIL을 달성했는지를 종합적으로 평가해야 한다.

16. 정량적 고장 분석: PFDavg 및 PFH 계산 심화

16.1 핵심 고장률 파라미터 정의

다음 표는 정량 분석에 사용되는 주요 파라미터들을 요약한 것이다.

파라미터	명칭 (영문/한글)	상세 설명	관련 고장 유형
$\lambda_{DU}$	Dangerous Undetected Failure Rate 위험 미감지 고장률	안전 기능을 상실시켜 위험한 상태를 초래할 수 있으나, 시스템의 자동 진단 기능으로는 감지되지 않는 고장의 발생률. 주기적인 수동 테스트(Proof Test)를 통해서만 발견 가능하다.	가장 위험한 유형
$\lambda_{DD}$	Dangerous Detected Failure Rate 위험 감지 고장률	위험한 상태를 초래할 수 있지만, 자동 진단 기능에 의해 감지되어 시스템이 안전 상태로 전환되거나 경보를 발생시키는 고장의 발생률.	진단으로 제어되는 위험
$\lambda_{SU}$	Safe Undetected Failure Rate 안전 미감지 고장률	고장 발생 시 시스템이 안전 상태로 전환되지만(예: 불필요한 정지), 이 고장 자체가 자동 진단으로는 감지되지 않는 경우의 발생률. 가용성(availability)에 영향을 준다.	안전하지만 미감지
$\lambda_{SD}$	Safe Detected Failure Rate 안전 감지 고장률	안전 상태로 전환되는 고장이면서, 자동 진단 기능에 의해 감지되는 경우의 발생률.	안전하며 감지됨
$TI$	Proof Test Interval 주기적 테스트 간격	숨겨진 위험 고장( $\lambda_{DU}$ )을 찾아내기 위해 수동으로 수행하는 전체 기능 테스트의 시간 간격. 보통 시간(hour) 단위로 표현된다.	저빈도 모드 핵심 변수
$MTTR$	Mean Time To Restoration 평균 복구 시간	감지된 고장(`$\lambda_{DD}$,` λSD`) 발생 후, 시스템이 완전히 수리되어 정상 기능으로 복원될 때까지 걸리는 평균 시간.	고장 감지 후 대응 시간
$\beta$	Beta Factor (for CCF) 베타 팩터 (공통 원인 고장)	이중화된 채널들에서 발생하는 전체 위험 고장 중, 단일 원인으로 인해 두 개 이상의 채널이 동시에 고장 나는 공통 원인 고장(CCF)의 비율.	이중화 효과 저감 요인

16.2 구조별 PFDavg 계산 공식 (저빈도 요구 모드)

1oo1 (Single Channel) 구조:

코드 스니펫

$$
PFD_{avg} \approx \lambda_{DU} \cdot \frac{TI}{2} + \lambda_{DD} \cdot MTTR
$$

1oo2 (1-out-of-2) 구조:

코드 스니펫

$$
PFD_{avg} \approx (1-\beta)^2 \cdot \frac{(\lambda_{DU} \cdot TI)^2}{3} + \beta \cdot \lambda_{DU} \cdot \frac{TI}{2}
$$

2oo3 (2-out-of-3) 구조:

코드 스니펫

$$
PFD_{avg} \approx 6 \cdot (1-\beta)^2 \cdot (\lambda_{DU} \cdot TI)^2 + \beta \cdot \lambda_{DU} \cdot \frac{TI}{2}
$$

16.3 구조별 PFH 계산 공식 (고빈도/연속 요구 모드)

1oo1 (Single Channel) 구조:

진단 기능이 없는 가장 단순한 경우, PFH는 위험 미감지 고장률과 같다.

코드 스니펫

$$
PFH \approx \lambda_{DU}
$$

1oo2 (1-out-of-2) 구조:

코드 스니펫

$$
PFH \approx 2 \cdot (1-\beta) \cdot (1-\beta_D) \cdot \lambda_{D} \cdot \lambda_{DD} \cdot MTTR + \beta \cdot \lambda_{DU}
$$

16.4 공통 원인 고장(Common Cause Failure, CCF)과 베타 팩터(β-factor)

CCF의 원인:
설계: 동일한 하드웨어 또는 소프트웨어의 공통된 설계 결함.
환경: 과도한 온도, 습도, 진동, 전자기 간섭(EMI) 등 모든 채널에 동일하게 영향을 미치는 외부 환경.
인적 오류: 잘못된 교정(calibration), 동일한 방식으로 잘못된 유지보수 수행, 잘못된 부품 동시 교체.
공통 전원: 모든 채널에 전력을 공급하는 단일 전원 공급 장치의 고장.

다양성 (Diversity): 서로 다른 제조사의 부품, 다른 기술(예: 압력 측정에 차압식과 초음파식 동시 사용), 다른 프로그래밍 언어나 개발팀을 사용하여 소프트웨어를 개발.
분리 (Separation): 이중화된 채널을 물리적으로 떨어뜨려 설치하고, 전원 공급 및 신호선을 분리하여 화재나 물리적 충격과 같은 공통의 위협으로부터 보호.
체계적인 관리: 유지보수 및 테스트 절차를 개선하여 인적 오류의 가능성을 줄임.

17. IEC 61508의 확장: 산업별 표준과의 연관성

17.1 IEC 61508의 파생 표준들

대표적인 파생 표준들은 다음과 같다 13:

ISO 26262: 자동차 산업
IEC 61511: 공정 산업 (화학, 석유 및 가스 등)
IEC 62061 / ISO 13849: 기계류 안전
EN 50128 / EN 50129: 철도 산업
IEC 62304: 의료기기 소프트웨어
IEC 61513: 원자력 발전소

이 장에서는 가장 대표적인 파생 표준인 ISO 26262와 IEC 61511을 중심으로 IEC 61508과의 관계 및 주요 차이점을 심층적으로 비교 분석한다.

17.2 자동차 산업: ISO 26262

주요 차이점:

안전 등급 체계 (SIL vs. ASIL):

심각도 (Severity): 고장 발생 시 인명 피해의 심각성.
노출 (Exposure): 해당 위험 상황에 노출될 확률.
제어 가능성 (Controllability): 고장 발생 시 운전자가 위험을 회피하거나 통제할 수 있는 능력. ’제어 가능성’은 훈련된 전문가가 아닌 일반 운전자가 시스템을 사용하는 자동차 산업의 고유한 특성을 반영하는 핵심적인 파라미터이다.
개발 접근법 및 용어:

적용 대상 및 환경:

17.3 공정 산업: IEC 61511

주요 차이점:

적용 대상의 관점 차이:

비인증 부품 사용에 대한 접근법:

프로그래밍 언어의 범위:

다음 표는 세 가지 핵심 표준의 주요 특징을 비교 요약한 것이다.

특징	IEC 61508 (모체 표준)	ISO 26262 (자동차)	IEC 61511 (공정 산업)
주요 적용 산업	모든 산업 분야 (범용)	자동차 (양산 차량)	공정 산업 (화학, 정유 등)
주요 대상 사용자	부품/장비 제조사	자동차 OEM 및 부품 공급사	SIS 설계자, 통합자, 최종 사용자
안전 등급 체계	SIL (Safety Integrity Level) 1-4	ASIL (Automotive SIL) A-D	SIL (Safety Integrity Level) 1-4
핵심 개념 차이	안전 기능 (Safety Function)	안전 목표 (Safety Goal)	안전 계장 기능 (SIF)
비인증 부품 접근법	Proven in Use (제조사 입증)	Proven in Use	Prior Use (사용자 입증)

18. 인증 및 Safety Case: 기능안전 준수 입증

18.1 IEC 61508 인증의 의미와 절차

인증의 이점:
객관적 신뢰성 확보: 독립적인 전문가 집단에 의해 안전성이 검증되었음을 의미하므로, 고객과 규제 기관에 높은 수준의 신뢰를 제공한다.3
시장 경쟁력 강화: SIL 인증을 받은 제품은 안전이 중요한 프로젝트에 입찰하거나 글로벌 시장에 진출할 때 강력한 경쟁 우위를 갖는다.3
법적 책임 완화: 사고 발생 시, 최신 기술 수준(state-of-the-art)의 안전 표준을 준수하기 위해 상당한 노력을 기울였음을 입증하는 중요한 법적 방어 근거가 될 수 있다.13
내부 프로세스 개선: 인증 준비 과정 자체가 조직의 개발 프로세스와 위험 관리 능력을 체계적으로 개선하는 계기가 된다.13
일반적인 인증 절차:

인증 절차는 일반적으로 다음과 같은 단계를 포함한다 13:

갭 분석 (Gap Analysis): 현재 개발 프로세스 및 산출물과 IEC 61508 요구사항 간의 차이를 분석하여 보완 계획을 수립한다.
문서 검토 (Documentation Review): 안전 계획, 요구사항 명세서, 설계 문서, FMEA, 테스트 계획서 등 수명주기 전반에 걸쳐 생성된 모든 문서를 평가한다.
현장 감사 및 기술 평가 (On-site Audit & Technical Evaluation): 인증 기관의 심사원이 개발 현장을 방문하여 실제 개발 프로세스가 문서화된 절차에 따라 수행되는지, 기능안전 관리 시스템이 효과적으로 운영되는지를 감사한다.
기능 및 성능 테스트: 제품의 기능 및 성능 테스트 결과, 특히 고장 주입 테스트(fault injection testing) 결과를 검토하여 시스템이 고장 상황에서 의도대로 안전하게 동작하는지 확인한다.
최종 평가 및 인증서 발급: 모든 평가가 성공적으로 완료되면, 인증 기관은 해당 제품의 SIL 등급(예: SIL 3 Capable)과 적용 조건을 명시한 공식 인증서를 발급한다.

18.2 Safety Case의 역할과 핵심 구성 요소

Safety Case는 일반적으로 다음과 같은 계층적 구조를 가진다.

주장 (Claim): 가장 상위 수준의 선언. 예를 들어, “본 압력 트랜스미터는 IEC 61508:2010에 따라 SIL 2 안전 기능을 구현하는 데 사용하기에 적합하다.”
논증 (Argument): 상위 주장을 뒷받침하는 논리적 근거. 주장을 여러 개의 하위 주장으로 분해하여 논리를 전개한다. 예를 들어,
“체계적 고장에 대한 저항력(SC 2)을 갖추었다.”
“무작위 고장에 대한 목표(SIL 2)를 만족하는 구조적 제약과 PFDavg 값을 갖는다.”
“기능안전 관리 프로세스에 따라 개발되었다.”
증거 (Evidence): 각 논증이 사실임을 입증하는 구체적인 데이터와 문서. 이는 안전 수명주기 동안 생성된 모든 산출물을 포함한다.13
기능안전 관리 계획서, 역량 관리 기록
위험원 분석 및 리스크 평가 보고서
안전 요구사항 명세서 (SRS)
하드웨어/소프트웨어 설계 문서, FMEA/FMEDA 보고서
검증 및 확인 보고서 (코드 검토, 정적 분석, 단위/통합/시스템 테스트 결과)
안전 매뉴얼 (Safety Manual): 최종 사용자가 제품을 안전하게 통합하고 운영하는 데 필요한 정보를 담은 문서.74
맥락 (Context): 주장이 유효한 조건과 환경. 예를 들어, “이 주장은 안전 매뉴얼에 명시된 환경 조건 및 설치 지침을 따랐을 때 유효하다.”

이처럼 Safety Case는 모든 안전 활동의 결과를 하나의 일관된 논리 체계로 통합하여, 시스템의 안전성을 종합적이고 설득력 있게 제시하는 역할을 한다.

18.3 성공적인 기능안전 구현을 위한 제언

IEC 61508 표준을 성공적으로 구현하고 인증을 획득하기 위해서는 기술적 역량뿐만 아니라 전략적인 접근이 필요하다.

조기 계획 및 통합: 기능안전은 프로젝트 후반에 추가할 수 있는 기능이 아니다. 프로젝트 기획 초기 단계부터 안전 계획을 수립하고, 개발, 품질 보증, 프로젝트 관리 등 모든 활동에 안전 요구사항을 통합해야 한다.
전문성의 확보: 기능안전은 고도의 전문 지식과 경험을 요구하는 분야이다. 조직 내에 관련 전문가를 양성하거나, 필요시 외부 컨설팅 기관이나 인증 기관의 전문적인 지원을 받는 것이 효과적이다.
도구의 적극적인 활용: 요구사항 관리 도구, 모델 기반 설계(MBD) 도구, 정적/동적 분석 도구, 테스트 자동화 도구 등은 복잡한 수명주기 활동을 효율적으로 관리하고, 인적 오류를 줄이며, 방대한 문서화 부담을 경감시키는 데 필수적이다.53
안전 문화의 구축: 가장 중요한 것은 경영진의 강력한 의지를 바탕으로 조직 전체에 ’안전 우선’의 문화를 정착시키는 것이다. 안전은 특정 부서의 책임이 아니라 모든 구성원의 책임이라는 인식이 공유될 때, 비로소 FSM은 효과적으로 작동하고 지속 가능한 기능안전이 달성될 수 있다.

결론적으로, IEC 61508 인증은 최종 제품이 안전하다는 것을 증명하는 동시에, 해당 조직이 안전한 제품을 만들 수 있는 체계적인 역량과 프로세스를 갖추고 있음을 공인받는 과정이다. 이는 기업에게 단순한 인증서 이상의 가치, 즉 ’신뢰할 수 있는 개발 파트너’라는 명성을 부여하는 중요한 자산이 된다.

19. 참고 자료

IEC 61508과 ISO 26262 비교 - 허접.강기사의 재미없는 놀이 - 티스토리, https://hujubkang.tistory.com/entry/IEC-61508%EA%B3%BC-ISO-26262-%EB%B9%84%EA%B5%90
IEC 61508 - Wikipedia, https://en.wikipedia.org/wiki/IEC_61508
IEC 61508 설명: 기능 안전 및 안전 무결성 수준(SIL) 가이드 - ALEKVS Machinery, https://www.alekvs.com/ko/iec-61508-explained-functional-safety-and-safety-integrity-levels-sil-guide/
IEC 61508: A comprehensive guide to functional safety with FAQ - Spyrosoft, https://spyro-soft.com/blog/industry-4-0/iec-61508
Functional Safety and Safety Certification | QNX Ultimate Guides, https://blackberry.qnx.com/en/ultimate-guides/functional-safety
sil - 성공으로 가는길, 비즈피어, http://bizpeer.co.kr/sub02/01_02_03_01.php
IEC 61508 Commented Version.pdf, https://share.ansi.org/Shared%20Documents/News%20and%20Publications/Other%20Documents/IEC%2061508%20Commented%20Version.pdf
Overview of IEC 61508 & Functional Safety, https://assets.iec.ch/public/acos/IEC%2061508%20&%20Functional%20Safety-2022.pdf?2023040501
문서요약 – IEC 61508 개요 by exida - 소프트웨어 테스팅 노트 - 티스토리, https://grapevine9700.tistory.com/212
Functional Safety - 기능안전이란 - C&BIS, https://cnbis.co.kr/business/service/safety?disableScrollTop=true&focus=focus
IEC 61508-1 - e-나라표준인증, https://standard.go.kr/KSCI/standardIntro/getStandardSearchView.do?menuId=919&topMenuId=502&upperMenuId=503&ksNo=KSCIEC61508-1&tmprKsNo=KSCIEC61508-1&reformNo=01
KS C IEC 61508-1(2020 확인) 전기/전자/프로그램 가능한 전자장치 안전관련 시스템의 기능안전성－제1부：일반 요구사항 - 한국표준정보망, https://www.kssn.net/search/stddetail.do?itemNo=K001010128676
IEC 61508 기능 안전 표준이란 무엇인가요? - Visure Solutions, https://visuresolutions.com/ko/%EC%9E%90%EB%8F%99%EC%B0%A8/IEC-61508/
IEC 61508 (all parts) - Gt-Engineering, https://www.gt-engineering.it/en/insights/functional-safety-300321/iec-61508-all-parts/
IEC 61508, http://dslab.konkuk.ac.kr/Class/2013/13SEonSE/61508(%EA%B9%80%EC%9D%98%EC%84%AD).pdf
IEC 61508 Functional Safety Standard - TÜV SÜD, https://www.tuvsud.com/en-us/services/functional-safety/iec-61508
Functional Safety Standards - IEC 61508 vs. IEC 61511 - Exida, https://www.exida.com/blog/functional-safety-standards-iec-61508-vs.-iec-61511
기능 안전 | TI.com, https://www.ti.com/ko-kr/technologies/functional-safety.html
IEC 61508/61511, ISO26262, IEC61512, IEC62279…..ect… - Isograph, https://www.isograph.com/blog/iec-6150861511-iso26262-iec61512-iec62279-ect/
EN 61508: 컨트롤러의 기능 안전 - Pilz KR, https://www.pilz.com/ko-KR/support/law-standards-norms/functional-safety/en-iec-61508
IEC 61508 - 도리의 디지털라이프, https://blog.skby.net/iec-61508/
IEC 61508, 안전 무결성 등급 - gracefullight.dev, https://gracefullight.dev/pe/sw/iec-61508-security-integrity-level/
Structure of IEC 61508 - BYHON, https://www.byhon.it/structure-of-iec-61508/
What Is IEC 61508? IEC 61508 Standard Guide [Free PDFs Download] - LDRA, https://ldra.com/iec-61508/
IEC 61508-2:2010, https://webstore.iec.ch/en/publication/5516
Functional Safety FAQ - IEC, https://www.iec.ch/functional-safety/faq
IEC 61508-3:2010, https://webstore.iec.ch/en/publication/5517
KS C IEC 61508-3(2020 확인) 전기/전자/프로그램 가능한 전자장치 안전관련 시스템의 기능안전성－제3부：소프트웨어 요구사항 - 한국표준정보망, https://www.kssn.net/search/stddetail.do?itemNo=K001010128673
IEC 61508-3:2010 - Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements | Interoperable Europe Portal, https://interoperable-europe.ec.europa.eu/collection/ict-standards-procurement/solution/iec-61508-32010-functional-safety-electricalelectronicprogrammable-electronic-safety-related-systems
IEC 61508-4:2010, https://webstore.iec.ch/en/publication/5518
IEC 61508-5:2010, https://webstore.iec.ch/en/publication/5519
IEC 61508-6:2010, https://webstore.iec.ch/en/publication/5520
IEC 61508 Part7-4.0, http://www.cechina.cn/eletter/standard/safety/iec61508-7.pdf
[논문]기능안전을 위한 IEC 61508의 안전수명주기에 관한 연구, https://scienceon.kisti.re.kr/srch/selectPORSrchArticle.do?cn=JAKO201421762414238
기능 안전을 고려한 전자파적합성 표준 동향 - 정부조달우수제품협회, http://m.narangdesign.com/mail/jungwoo/202305/a2.html
IEC 61508 기반의 기능안전 달성을 위한 요구사항 분석, http://dcoll.ajou.ac.kr:9080/dcollection/jsp/common/DcLoOrgPer.jsp?sItemId=000000009692
IEC 61511이란? 공정 산업 기능 안전 가이드, https://www.alekvs.com/ko/what-is-iec-61511-a-guide-to-process-industry-functional-safety/
소프트웨어공학 포털 블로그: 4월 2017, http://korea-sw-eng.blogspot.com/2017/04/
수명주기별 안전성 관리 - 소프트웨어공학 포털, http://korea-sw-eng.blogspot.com/2017/04/blog-post_47.html
IEC 61508 기반 안전 무결성 레벨 평가 및 관리방안에 관한 연구, http://railway.or.kr/Papers_Conference/202112/pdf/KSR2021A018.pdf
visuresolutions.com, https://visuresolutions.com/ko/automotive/iec-61508/#:~:text=%EC%95%88%EC%A0%84%20%EB%AC%B4%EA%B2%B0%EC%84%B1%20%EC%88%98%EC%A4%80(SIL)%EC%9D%80%20%EC%95%88%EC%A0%84%20%EA%B8%B0%EB%8A%A5%EC%9D%B4%20%EC%A0%9C%EA%B3%B5%ED%95%98%EB%8A%94,%EA%B0%80%EC%A7%80%20SIL%20%EB%A0%88%EB%B2%A8%EC%9D%B4%20%EC%9E%88%EC%8A%B5%EB%8B%88%EB%8B%A4.
IEC 61508 안전 무결성 수준의 정량적 검증, https://www.ki-it.com/xml/15718/15718.pdf
안전계장시스템(SIS)을 이용한 화학설비 안전성 향상에 관한 기술지침 2020. 12. 한국산업안전보건공단, https://www.kosha.or.kr/extappKosha/kosha/guidance/fileDownload.do?sfhlhTchnlgyManualNo=D-69-2020&fileOrdrNo=2
SIL achievement Part 2: Architectural Constraints - PR electronics, https://www.prelectronics.com/support/pr-knowledge-library/tips-and-tricks/sil-part-2-architectural-constraints/
Safety Instrumented Function Verification: The Three Barriers White Paper exida 80 N. Main St. Sellersville, PA www.exida.com, https://www.exida.com/articles/Three-Barriers.pdf
Hardware safety integrity (HSI) in IEC 61508/ IEC 61511 - NTNU, https://lundteig.folk.ntnu.no/Presentations/ESREDA06_Lundteigen_final_modified.pdf
P3: Considerations on the Safe Failure Fraction in High and Low Demand - Gt-Engineering, https://www.gt-engineering.it/en/insights/process-safety-processi-gt-engineering/considerations-on-the-safe-failure-fraction-in-high-and-low-demand/
The difference between Route 1H and Route 2H - Gt-Engineering, https://www.gt-engineering.it/en/insights/process-safety-processi-gt-engineering/route-1h-and-route-2h-en/
SIL 검증에서 사용되는 기본 용어 - 초보 계장 이야기 - 티스토리, https://lolpqlol.tistory.com/entry/SIL-%EA%B2%80%EC%A6%9D%EC%97%90%EC%84%9C-%EC%82%AC%EC%9A%A9%EB%90%98%EB%8A%94-%EA%B8%B0%EB%B3%B8-%EC%9A%A9%EC%96%B4
P2: The Safe Failure Fraction and the Architectural Constraints - Gt-Engineering, https://www.gt-engineering.it/en/insights/process-safety-processi-gt-engineering/the-safe-failure-fraction-sff-what-is-it-and-how-to-use-it/
SIL 3 Mechanical Devices, Really? - Risknowlogy, https://risknowlogy.com/articles/detail/14073/
Back to Basics 14 - Systematic Capability - exida, https://www.exida.com/blog/Back-to-Basics-14-Systematic-Capability
IEC 61508: The Standard for Functional Safety from Concept to Operation - Promwad, https://promwad.com/news/iec-61508-standard
IEC 61508 Compliant Module Testing: Part 2 - exida, https://www.exida.com/blog/IEC-61508-Compliant-Module-Testing-Part-II
SIL 2 구성 요소를 사용하여 기능적으로 안전한 SIL 3 아날로그 출력 모듈을 설계하는 방법, https://www.analog.com/cn/lp/002/tech-articles-kr/designing-a-functionally-safe-sil-3-analog-output-module-with-sil-2.html
SIL 2 구성요소 사용해 안전한 SIL 3 아날로그 출력 모듈을 설계하는 방법 - 헬로티, https://www.hellot.net/news/article_print.html?no=85116
Functional Safety: the next edition of IEC 61511 - Wolters Kluwer, https://www.wolterskluwer.com/en/expert-insights/functional-safety-the-next-edition-of-iec-61511
What is IEC 61508 Functional Safety Standard? - Visure Solutions, https://visuresolutions.com/automotive/iec-61508/
Failure Rate (λ) - SIL Safe, https://silsafe.net/glossary/failure-rate/
Determining the SIL level of a Safety Instrumented Function (SIF) - TR Automatyka, https://www.trautomatyka.pl/files/16_10_14Determing%20SIL%20Level_ENG_TR.pdf
P5: Functional Safety - PFD Calculation Second part - Gt-Engineering, https://www.gt-engineering.it/en/insights/process-safety-processi-gt-engineering/p5-functional-safety-pfd-calculation-second-part/
SIL Calculations - The 61508 Association, https://61508.org/wp-content/uploads/2024/11/10B-SIL-Calculations-and-use-of-IEC-61508-6.pdf
Formulas SILcet 4.0, https://psymingenieria.com/wp-content/uploads/2019/05/SILcet_FORMULAS_4.0.pdf
Back to Basics 17 - PFH (Probability of dangerous Failure per Hour) | exida, https://www.exida.com/blog/back-to-basics-17-pfh
Chapter 8. Calculation of PFH - NTNU, https://www.ntnu.edu/documents/624876/1277046207/SIS+book+-+chapter+09+-+PFH/d3a561ca-7d0d-42fe-a38a-b320e5d794d2
New PFH-formulas For K-Out-Of-N F Systems - Jin, Lundteigen, Rausand - Scribd, https://www.scribd.com/document/732678129/New-PFH-formulas-for-k-out-of-n-F-systems-Jin-Lundteigen-Rausand
IEC 61508 기능안전 표준 - TÜV SÜD, https://www.tuvsud.com/ko-kr/services/functional-safety/iec-61508
What’s the difference between IEC 61508 and 61511 and ISO 26262 and 13849 functional safety standards? - Microcontroller Tips, https://www.microcontrollertips.com/whats-the-difference-between-iec-61508-and-61511-and-iso-26262-and-13849-functional-safety-standards/
Difference Between ISO 26262 and IEC 61508 - Hermes Solution, https://www.hermessol.com/2024/12/06/iec61508/
ISO26262 and IEC61508 Functional safety Overview - NXP Community, https://community.nxp.com/pwmxy87654/attachments/pwmxy87654/tech-days/160/1/AMF-AUT-T2713.pdf
What is the difference between IEC 61511 and IEC 61508? - Abhisam, https://www.abhisam.com/iec-61511-iec-61508/
CSChE IEC61511 2nd Edition Changes - The Chemical Institute of Canada, https://www.cheminst.ca/wp-content/uploads/2019/04/207-New-Updated-International-CSChE2017.pdf
IEC 61508 vs. IEC 61511 Requirements - BYHON, https://www.byhon.it/iec-61508-vs-iec-61511-requirements/
Back to Basics 12 – What is IEC 61508 Certification? - Exida, https://www.exida.com/blog/back-to-basics-12-what-is-iec-61508-certification
IEC 61508 Functional Safety Certification - Exida, https://www.exida.com/certification/functional-safety