ISO 13849-1 및 IEC 62061 기능안전 표준 통합 안내서

2025-09-21, G25DR

1. 기능안전의 서막: 원칙과 진화

1.1 기능안전의 정의와 기계류 안전에서의 중요성

기능안전(Functional Safety)은 제어 시스템의 올바른 작동 여부에 안전이 직접적으로 좌우되는 상황을 다루는 공학적 원칙이다.1 기계가 점점 더 복잡해지고 자동화됨에 따라, 전통적인 물리적 방호책만으로는 모든 위험을 통제할 수 없게 되었다. 이에 따라 제어 시스템 자체가 안전 기능을 수행하는 역할이 중요해졌으며, 기능안전은 이러한 안전 관련 제어 시스템이 요구되는 신뢰성 수준을 충족하도록 보장하는 체계적인 접근법을 제공한다. 위험성이 클수록 제어 시스템에 대한 요구사항은 비례하여 높아지며, 이는 기능안전의 핵심 철학을 이룬다.1

기능안전의 도입은 전통적인 제품 안전 평가를 넘어서, 현대적인 제조 환경에서 발생하는 새로운 유형의 위험을 식별하고 그에 대한 보호 수단을 마련하는 것을 가능하게 한다.3 예를 들어, 고속으로 움직이는 로봇 팔이나 강력한 힘을 내는 프레스 기계에서 작업자의 안전을 보장하기 위해서는, 비상 정지 버튼, 안전 도어 스위치, 라이트 커튼과 같은 장치들이 정확한 시점에, 그리고 고장 없이 확실하게 작동해야 한다. 기능안전 표준은 이러한 안전 기능들이 얼마만큼의 신뢰도를 가져야 하는지 정량적으로 규정하고, 그 신뢰도를 달성하기 위한 설계, 구현, 검증의 전 과정을 안내한다. 이는 결국 기계 제조자가 해외 기술 장벽을 넘고, 국내 산업 현장의 안전사고를 선진화된 기준을 통해 관리하는 데 필수적인 기반이 된다.4

1.2 결정론적 접근법에서 확률론적 접근법으로: EN 954-1의 유산과 한계

기능안전 개념이 현재와 같이 정립되기 이전, 기계류 안전 관련 제어 시스템(SRP/CS, Safety-Related Parts of Control System)의 설계는 주로 EN 954-1 표준에 의존했다.5 1996년에 제정된 이 표준은 위험도를 분석하여 시스템이 따라야 할 구조적 요구사항을 ’카테고리(Category)’라는 5개의 등급(B, 1, 2, 3, 4)으로 분류했다. 이는 특정 위험에 대해 특정 구조(예: 단일 채널, 이중화 채널)를 적용하면 안전이 확보된다고 보는 결정론적(Deterministic) 접근법에 기반한다.5 EN 954-1은 오랫동안 기계 안전 분야의 기틀을 마련하며 큰 공헌을 했으나, 기술의 발전은 이내 그 한계를 드러냈다.

가장 큰 한계는 전자 기술과 프로그래머블 시스템의 확산에서 비롯되었다. 복잡한 로직을 수행하는 PLC나 마이크로컨트롤러 기반의 안전 시스템은 단순한 하드웨어 배선 구조만으로 그 신뢰성을 평가할 수 없었다. 더구나 EN 954-1은 시스템의 ’고장 확률’이라는 개념을 정량적으로 다루지 않았기 때문에, 시간이 지남에 따라 부품이 고장 날 가능성이나 소프트웨어의 잠재적 오류 등을 체계적으로 평가할 방법이 없었다.5 기술이 발전함에 따라 이 표준은 더 이상 개발되는 시스템과 부품에 적용하기에 적합하지 않게 되었고 6, 이는 보다 정교하고 신뢰성을 수치화할 수 있는 확률론적(Probabilistic) 접근법을 도입한 새로운 표준의 등장을 촉발했다. 이러한 배경 속에서 EN 954-1의 후속 표준으로 ISO 13849-1과 IEC 62061이 탄생하게 된 것이다.5

1.3 상위 표준 IEC 61508의 역할과 기계류 분야 표준의 파생

현대 기능안전의 모든 개념은 IEC 61508이라는 상위 표준(Basic Safety Standard)에서 비롯된다.5 이 표준은 특정 산업 분야에 국한되지 않고 전기/전자/프로그래머블 전자(E/E/PE) 안전 관련 시스템 전반에 적용되는 포괄적인 요구사항을 담고 있다. IEC 61508은 안전 수명주기(Safety Lifecycle)의 모든 단계를 다루며, 안전 무결성 수준(SIL, Safety Integrity Level)이라는 개념을 도입하여 안전 기능의 신뢰도를 정량적으로 평가하는 확률론적 접근법의 기틀을 마련했다.9

그러나 IEC 61508의 요구사항은 매우 포괄적이고 복잡하여 일반적인 기계 설계자가 모든 세부 사항을 직접 적용하기에는 현실적인 어려움이 있었다.11 이러한 문제를 해결하기 위해, IEC 61508의 원칙을 특정 산업 분야에 맞게 구체화하고 단순화한 분야별 표준(Sector-specific Standard)들이 파생되었다. ISO 13849-1과 IEC 62061은 바로 기계류(Machinery Sector) 분야에 특화된 대표적인 파생 표준이다.3 즉, 이 두 표준은 복잡한 IEC 61508의 개념을 기계 안전 분야의 실무자들이 보다 용이하게 적용할 수 있도록 만들어진 맞춤형 가이드라인이라 할 수 있다.8 이로써 기계 설계자들은 기능안전의 핵심 원칙을 유지하면서도 보다 실용적인 방법으로 안전 제어 시스템을 설계하고 평가할 수 있게 되었다.

1.4 유럽 기계 지침(MD) 및 기계 규정(MR)과의 연관성

유럽 연합(EU) 시장 내에서 기계를 제조하거나 유통하기 위해서는 반드시 유럽의 법규를 준수해야 한다. 이 중 가장 핵심적인 법규가 바로 기계 지침(Machinery Directive, 2006/42/EC)이다.3 이 지침은 기계가 인간의 건강과 안전을 위협하지 않도록 제조사가 충족해야 할 필수 보건 및 안전 요구사항(EHSR, Essential Health and Safety Requirements)을 규정한다.3 제조사는 CE 마크를 부착함으로써 자신의 제품이 이 요구사항을 만족함을 선언해야 한다.

ISO 13849-1과 IEC 62061은 이러한 기계 지침의 요구사항을 충족하는 구체적인 기술적 방법을 제시하는 ’조화 표준(Harmonised Standard)’으로서의 지위를 가진다.14 조화 표준을 준수하여 제품을 설계하고 제작하면, 해당 제품이 기계 지침의 관련 EHSR을 충족한 것으로 추정(Presumption of Conformity)받게 된다.6 이는 제조사가 복잡한 법규 요구사항을 일일이 해석할 필요 없이, 공인된 기술 표준을 따름으로써 법적 준수를 용이하게 입증할 수 있음을 의미한다. 따라서 이 두 표준의 적용은 유럽 시장에 진출하려는 국내외 기계 제조업체에게 사실상 필수적인 요건이 된다.4

한편, 기술 발전과 사회적 요구 변화에 따라 법규 또한 진화한다. 2027년 1월 20일부터는 기존의 기계 지침이 새로운 기계 규정(Machinery Regulation (EU) 2023/1230)으로 전면 대체된다.15 이 규정은 사이버 보안, 인공지능 등 새로운 기술적 위험 요소를 포함하며 더욱 강화된 요구사항을 담고 있다. 이러한 법규의 변화는 조화 표준의 개정 및 적용에도 직접적인 영향을 미치며, 예를 들어 ISO 13849-1:2015의 유예 기간이 실질적으로 단축되는 결과를 낳기도 한다.15

1.5 최신 개정 동향: ISO 13849-1:2023 및 IEC 62061:2021의 주요 변경점

기능안전 표준은 기술의 ’최신 기술 수준(State of the Art)’을 반영하기 위해 주기적으로 개정된다.1 최근 ISO 13849-1과 IEC 62061 모두 중요한 개정을 거쳤으며, 이는 현대 기계가 마주한 새로운 도전과 기회를 반영한다.

ISO 13849-1:2023의 주요 변경점은 다음과 같다 15:

설계 프로세스 중심의 구조 개편: 표준의 전체적인 구조를 안전 기능의 설계 및 개발 과정에 맞춰 재구성하여 사용자의 이해도와 적용 편의성을 높였다.17
소프트웨어 요구사항 강화: 안전 관련 소프트웨어(SRESW, SRASW)에 대한 요구사항을 대폭 강화하고, V-모델에 기반한 체계적인 개발 및 검증 절차를 제시하여 소프트웨어의 신뢰성 확보를 강조했다.15
안전 요구사항 명세서(SRS) 상세화: 리스크 평가 결과를 설계 단계로 명확하게 전달하기 위한 SRS의 중요성을 강조하고, 작성에 필요한 구체적인 지침을 제공했다.15
검증(Validation) 프로세스 통합: 기존에 별도의 표준(ISO 13849-2)에 있던 검증 절차를 Part 1으로 통합하고 내용을 상세화하여, 설계부터 검증까지의 과정을 하나의 표준 내에서 완결성 있게 다룰 수 있도록 했다.18
기능안전 관리(FSM) 도입: 체계적 고장을 줄이기 위한 기능안전 관리의 개념을 부속서에 도입하여 프로젝트 전반에 걸친 관리적 접근의 중요성을 제시했다.16

IEC 62061:2021의 주요 변경점은 다음과 같다 20:

적용 범위 확대: 기존의 전기/전자/프로그래머블 전자(E/E/PE) 시스템에 국한되었던 적용 범위를 유압, 공압 등 모든 기술로 확대하여 ISO 13849-1과의 적용 영역 중첩을 크게 늘렸다.20
소프트웨어 요구사항 세분화: 응용 소프트웨어에 대한 요구사항을 더욱 상세히 규정하고, 복잡도에 따라 소프트웨어 레벨을 나누어 차등적인 접근을 가능하게 했다.21
사이버 보안 고려: 기능안전에 영향을 미칠 수 있는 사이버 보안 위협을 평가하고 관련 대책을 고려하도록 요구하여, 네트워크로 연결된 현대 제어 시스템의 새로운 위험에 대응했다.22
저빈도 요구 모드(Low Demand Mode) 명확화: IEC 61508의 고장 확률 한계(PFD)를 정의하여, 저빈도 요구 안전 기능에 대해서도 기계 규정의 적합성 추정을 받을 수 있는 길을 열었다.22

이러한 개정의 흐름은 두 표준이 나아가는 방향성을 명확히 보여준다. 초기의 표준이 특정 기술 영역에 대한 결정론적 접근에서 출발했다면, 이후 두 표준은 각자의 강점 영역(ISO 13849-1은 모든 기술 포괄, IEC 62061은 복잡한 전자/소프트웨어)을 중심으로 발전해왔다. 그러나 최신 개정에서 IEC 62061은 모든 기술로 범위를 확장하고, ISO 13849-1은 소프트웨어와 관리적 측면을 대폭 강화했다. 이는 현대 기계가 더 이상 단일 기술로 구성되지 않고, 기계, 유공압, 전자, 소프트웨어가 복잡하게 얽힌 통합 시스템이라는 현실을 반영한 필연적인 수렴 과정이다. 기술별로 표준을 구분하는 것이 무의미해짐에 따라, 두 표준은 공통의 과제인 ’복합 시스템의 안전’을 해결하기 위해 서로의 개념을 흡수하며 융합하는 방향으로 진화하고 있다. 결과적으로 두 표준 간의 경계는 점차 모호해지고 있으며, 설계자는 기술 유형보다는 프로젝트의 복잡성, 팀의 경험, 고객 요구사항 등에 따라 더 적합한 표준을 선택할 수 있는 유연성을 갖게 되었다.14

2. ISO 13849-1 심층 분석: 성능 수준(PL) 기반 접근법

2.1 성능 수준(Performance Level, PL)의 개념과 등급

ISO 13849-1의 핵심은 성능 수준(PL, Performance Level)이라는 개념에 있다. PL은 “예측 가능한 조건 하에서 안전 기능을 수행하는 제어 시스템의 안전 관련 부품(SRP/CS)의 능력“을 나타내는 이산적인 척도이다.24 이는 단순히 시스템이 특정 구조를 갖추었는지를 넘어, 해당 안전 기능이 얼마나 신뢰성 있게 작동하는지를 확률적으로 평가하는 지표다.

PL은 시간당 평균 위험측 고장 확률(PFHD, Probability of Dangerous Failure per Hour)이라는 정량적 값을 기준으로 5개의 등급으로 나뉜다. PFHD는 해당 안전 기능이 한 시간 동안 작동했을 때, 위험을 초래하는 방향으로 고장 날 평균적인 확률을 의미한다. 등급은 ’PL a’부터 ’PL e’까지 있으며, ’a’가 가장 낮은 신뢰도(가장 높은 고장 확률)를, ’e’가 가장 높은 신뢰도(가장 낮은 고장 확률)를 나타낸다.2 위험이 클수록 더 높은 PL, 즉 더 낮은 PFHD 값을 갖는 제어 시스템이 요구된다.15

각 PL 등급에 해당하는 PFHD 범위는 다음 표와 같이 정의된다. 이 표는 정성적인 PL 등급과 정량적인 PFHD 값을 연결하는 핵심적인 기준으로, 모든 후속 설계 및 계산 과정의 목표치를 설정하는 데 사용된다.

표 2-1: PL 등급별 PFHD 범위

성능 수준 (PL)	시간당 평균 위험측 고장 확률 (PFHD) [1/h]
a	$\geq 10^{-5}$ to $< 10^{-4}$
b	$\geq 3 \times 10^{-6}$ to $< 10^{-5}$
c	$\geq 10^{-6}$ to $< 3 \times 10^{-6}$
d	$\geq 10^{-7}$ to $< 10^{-6}$
e	$\geq 10^{-8}$ to $< 10^{-7}$

출처: 14

2.2 요구 성능 수준(PLr) 결정: 리스크 그래프를 이용한 정성적 평가

안전 제어 시스템을 설계하는 첫 단계는 각 안전 기능이 달성해야 할 목표 성능 수준, 즉 요구 성능 수준(PLr, required Performance Level)을 결정하는 것이다. ISO 13849-1은 이를 위해 표준의 부속서 A에 제시된 리스크 그래프(Risk Graph)를 사용하는 정성적 평가 방법을 제공한다.2 이 과정은 기계의 전반적인 리스크 평가(ISO 12100에 따름)의 일부로 수행되며, 안전 기능이 없는 상태를 가정하고 해당 위험의 잠재적 결과를 평가한다.24

리스크 그래프는 세 가지 핵심 파라미터를 순차적으로 평가하여 PLr을 도출한다:

상해 심각도 (S: Severity of injury): 위험 상황 발생 시 예상되는 인명 피해의 정도를 평가한다.

S1 (Slight): 경상. 일반적으로 회복 가능한 부상(타박상, 찰과상 등)을 의미한다.14
S2 (Serious): 중상. 일반적으로 회복이 불가능한 부상(절단, 실명 등) 또는 사망을 의미한다.14

위험 노출 빈도 및/또는 시간 (F: Frequency and/or exposure to hazard): 작업자가 해당 위험에 얼마나 자주 또는 오랫동안 노출되는지를 평가한다.

F1 (Seldom to less often): 드물거나 간헐적으로 노출되거나, 노출 시간이 짧은 경우이다.2
F2 (Frequent to continuous): 빈번하게(예: 시간당 1회 이상) 또는 지속적으로 노출되거나, 노출 시간이 긴 경우이다.2

위험 회피 가능성 (P: Possibility of avoiding hazard or limiting harm): 위험한 상황이 발생했을 때 작업자가 이를 인지하고 피하거나 피해를 줄일 수 있는 가능성을 평가한다.

P1 (Possible): 특정 조건 하에서 회피가 가능한 경우이다.26
P2 (Scarcely possible): 회피가 거의 불가능한 경우이다.26

특히 P 파라미터는 평가자의 주관이 개입될 여지가 크기 때문에, 2023년 개정판에서는 이를 보다 객관적으로 판단할 수 있도록 상세한 가이드를 추가했다. 이 가이드는 기계 사용자가 전문가인지 비전문가인지, 위험 발생 속도가 빠른지 느린지, 위험을 인지하고 피할 수 있는 물리적 가능성, 작업의 복잡성 등 다섯 가지 세부 요인을 고려하여 P1과 P2를 선택하도록 돕는다.2 이 세 가지 파라미터를 리스크 그래프의 흐름에 따라 순서대로 선택하면 최종적으로 PLr ’a’부터 ’e’까지의 목표 등급이 결정된다.

2.3 PL 달성을 위한 핵심 파라미터 분석

요구 성능 수준(PLr)이 결정되면, 다음 단계는 그 목표를 만족하는 안전 관련 제어 시스템(SRP/CS)을 실제로 설계하고, 설계된 시스템이 달성한 PL을 정량적으로 평가하는 것이다. ISO 13849-1에서 달성 PL은 네 가지 핵심 파라미터의 유기적인 조합으로 결정된다: 카테고리(Category), 평균 위험측 고장 시간(MTTFd), 평균 진단 범위(DCavg), 그리고 공통 원인 고장(CCF) 대책이다.29

2.3.1 지정 아키텍처: 카테고리(Category B, 1, 2, 3, 4)의 구조적 요구사항

카테고리는 SRP/CS의 구조적 특징과 고장에 대한 내성을 규정하는 가장 기본적인 분류 체계이다.15 이는 EN 954-1에서 계승된 개념이지만, ISO 13849-1에서는 전체 시스템이 아닌 개별 서브시스템(입력, 로직, 출력 등)에 적용된다는 차이점이 있다.33

카테고리 B (Category B): 가장 기본적인 구조로, ’기본 안전 원칙’에 따라 설계된다. 별도의 고장 감지 기능이 없으므로, 부품에 고장이 발생하면 즉시 안전 기능이 상실될 수 있다.27
카테고리 1 (Category 1): 카테고리 B의 요구사항에 더하여 ’신뢰성 있는(Well-tried) 부품’과 ’신뢰성 있는 안전 원칙’을 사용해야 한다. 구조적으로는 카테고리 B와 동일하지만, 사용된 부품의 신뢰도가 높아 고장 발생 확률이 더 낮다.27
카테고리 2 (Category 2): 단일 채널 구조에 진단 기능이 추가된 형태이다. 제어 시스템은 주기적으로 안전 기능(Functional Channel)의 이상 유무를 점검(Test Equipment, TE)한다. 하지만 점검과 점검 사이에 고장이 발생하면 안전 기능이 상실될 수 있으며, 이 고장은 다음 점검 시에만 발견된다.24
카테고리 3 (Category 3): 이중화(Redundancy)된 구조를 기본으로 한다. 두 개의 채널이 서로를 교차 감시(Cross-monitoring)하여, 하나의 채널에서 단일 고장이 발생하더라도 다른 채널이 안전 기능을 유지한다. 모든 고장이 검출되는 것은 아니므로, 검출되지 않은 고장이 누적되면 안전 기능이 상실될 가능성이 있다.25
카테고리 4 (Category 4): 카테고리 3과 같이 이중화 구조를 가지며, 진단 능력이 더욱 강화된 형태이다. 단일 고장은 다음 안전 기능 요구 이전에 반드시 검출되어야 하며, 합리적으로 예측 가능한 고장의 축적이 안전 기능 상실로 이어지지 않도록 설계되어야 한다. 가장 높은 수준의 구조적 안전성을 제공한다.27

2.3.2 신뢰성 지표: 평균 위험측 고장 시간(MTTFd) 계산

MTTFd(Mean Time To Dangerous Failure)는 부품이나 서브시스템이 위험한 상태를 유발하는 고장에 이르기까지의 평균 시간을 통계적으로 나타낸 값이다.15 이는 부품 자체의 신뢰성을 나타내는 핵심 지표로, 단위는 보통 ’년(year)’을 사용한다. MTTFd 값은 세 가지 등급으로 분류되어 PL 계산에 사용된다.29

Low: 3년 이상 10년 미만
Medium: 10년 이상 30년 미만
High: 30년 이상 100년 미만 (단, 계산된 값이 100년을 초과하더라도 PL 평가 시에는 100년으로 제한하여 사용)

MTTFd를 구하는 방법은 부품의 종류와 제조사가 제공하는 데이터에 따라 다르다.

B10d 값을 이용한 계산: 접촉기, 밸브 등 마모성 부품의 경우, 제조사는 B10d 값을 제공한다. B10d는 해당 부품 샘플의 10%가 위험측 고장에 도달하는 누적 동작 횟수(사이클)를 의미한다. 이 값을 연간 평균 동작 횟수( $n_{op}$ )와 함께 다음 공식에 대입하여 MTTFd를 계산할 수 있다.24
$MTTF_d = \frac{B_{10d}}{0.1 \times n_{op}}$
‘Parts Count’ 방법을 이용한 계산: 반도체나 저항과 같은 전자 부품의 경우, 각 부품의 고장률( $\lambda_d$ ) 데이터를 기반으로 계산한다. 하나의 채널이 여러 부품으로 구성된 경우, 채널 전체의 MTTFd는 각 부품 MTTFd의 역수(즉, 고장률)를 모두 더한 값의 역수와 같다.30

$\frac{1}{MTTF_{d,channel}} = \sum_{i=1}^{n} \frac{1}{MTTF_{di}} = \sum_{i=1}^{n} \lambda_{di}$

2.3.3 진단 능력: 진단 범위(DC) 및 평균 진단 범위(DCavg) 산출

진단 범위(DC, Diagnostic Coverage)는 시스템 내에 발생한 위험측 고장 중에서 진단 기능에 의해 얼마나 효과적으로 검출되는지를 나타내는 비율이다.24 DC 값이 높을수록 시스템은 스스로의 결함을 잘 감지하여 안전한 상태로 전환할 수 있다. DC는 다음과 같이 네 등급으로 분류된다.27

None: 60% 미만
Low: 60% 이상 90% 미만
Medium: 90% 이상 99% 미만
High: 99% 이상

하나의 SRP/CS는 여러 부품(예: 센서, 릴레이, 접촉기)으로 구성되므로, 전체 시스템의 진단 능력을 평가하기 위해서는 각 부품의 DC 값을 종합한 평균 진단 범위(DCavg)를 계산해야 한다. DCavg는 단순히 DC 값들을 산술 평균하는 것이 아니라, 각 부품의 신뢰도(MTTFd)를 가중치로 고려하여 계산한다. 이는 신뢰도가 낮은(고장이 잦은) 부품의 진단 능력이 전체 시스템의 안전성에 더 큰 영향을 미친다는 합리적인 원리를 반영한다.24

핵심 수식 2-1: 다중 부품으로 구성된 SRP/CS의 DCavg 계산 공식

하나의 SRP/CS를 구성하는 N개의 부품 각각에 대해 MTTFd 값과 DC 값이 주어졌을 때, 전체 SRP/CS의 평균 진단 범위(DC_{avg})는 다음 공식으로 계산된다. 이 공식은 각 부품의 고장률(MTTFd의 역수)을 가중치로 사용하여 DC 값을 평균내는 방식이다.24

$DC_{avg} = \frac{\sum_{i=1}^{N} \frac{DC_i}{MTTF_{di}}}{\sum_{i=1}^{N} \frac{1}{MTTF_{di}}}$

2.3.4 공통 원인 고장(CCF) 방지 대책 및 평가

공통 원인 고장(CCF, Common Cause Failure)은 이중화된 시스템의 안전성을 저해하는 가장 큰 위협 요소 중 하나이다. 이는 온도, 습도, 진동, 전자기 간섭(EMC)과 같은 단일한 외부 요인이나 설계상의 오류로 인해 두 개 이상의 채널이 동시에 고장 나는 현상을 의미한다.29 아무리 정교한 이중화 구조를 갖추었더라도 CCF에 대한 대책이 없다면 시스템은 단일 채널과 다를 바 없이 취약해진다.

따라서 ISO 13849-1은 카테고리 2, 3, 4와 같이 진단이나 이중화에 의존하는 시스템에 대해 CCF 방지 대책을 의무적으로 평가하도록 요구한다. 평가는 표준의 부속서 F에 제시된 체크리스트를 통해 이루어진다. 이 체크리스트는 다음과 같은 항목들에 대해 점수를 부여하는 방식이다 4:

분리/격리: 물리적 분리(배선 경로, 전원 공급), 전기적 분리(차폐, 절연)
다양성: 서로 다른 기술이나 원리를 사용하는 부품 사용(예: 기계식 스위치와 근접 센서 조합)
설계/적용/경험: 과전압, 과압력 등으로부터의 보호, 신뢰성 있는 부품 사용
평가/분석: 고장 모드 및 영향 분석(FMEA) 수행
역량/훈련: 설계 및 유지보수 인력에 대한 교육
환경: 온도, 충격, 진동, 습도, 오염, 전자기 간섭(EMC) 등 환경적 영향 고려

각 항목에 대해 적용된 대책의 수준에 따라 점수가 부여되며, 총점 100점 만점에서 65점 이상을 획득해야 CCF 요구사항을 만족한 것으로 간주한다.4

2.4 달성 PL 평가: 파라미터 조합을 통한 정량적 검증

앞서 분석한 카테고리, MTTFd, DCavg 파라미터들이 결정되면, 이들의 조합을 통해 설계된 SRP/CS가 실제로 달성한 PL을 평가할 수 있다. ISO 13849-1은 복잡한 확률 계산 과정을 단순화하기 위해, 이 파라미터들의 조합과 그에 따른 PL 결과를 보여주는 그래프(표준의 그림 5) 또는 표를 제공한다.

이 표를 통해 설계자는 자신이 선택한 아키텍처와 부품, 진단 방법의 조합이 목표했던 PLr을 만족하는지 직관적으로 확인할 수 있다. 만약 달성 PL이 PLr보다 낮다면, 어느 파라미터를 개선해야 목표를 달성할 수 있는지 전략적으로 판단하는 근거가 된다. 예를 들어, 카테고리 3, 각 채널의 MTTFd High, DCavg Medium인 시스템은 PL d를 달성할 수 있다. 만약 PL e가 필요하다면, DCavg를 High 수준으로 높이거나(예: 더 정교한 진단 루틴 추가), 카테고리를 4로 상향하는 방안을 고려해야 한다.27

표 2-2: 카테고리, MTTFd, DCavg 조합에 따른 PL 결정표 (ISO 13849-1 Table 5 요약)

Category	MTTFd (각 채널)	DCavg	PL
B	Low	None	a
B	Medium	None	b
1	High	None	c
2	Low	Low	b
2	Medium	Medium	c
3	High	Medium	d
4	High	High	e

(주: 위 표는 대표적인 조합 예시이며, 실제 표준의 전체 표를 참조해야 함). 출처: 27

2.5 다중 서브시스템의 통합: 직렬 연결 시 전체 PFHD 및 PL 계산법

하나의 완전한 안전 기능은 일반적으로 여러 개의 서브시스템(SRP/CS)이 직렬로 연결된 형태로 구현된다. 예를 들어 ’안전 도어 개방 시 기계 정지’라는 안전 기능은 ‘안전 스위치(입력 서브시스템)’, ‘안전 릴레이(로직 서브시스템)’, ’접촉기(출력 서브시스템)’의 조합으로 이루어진다.30 이 경우, 전체 안전 기능의 신뢰도는 구성 요소 중 가장 약한 고리의 신뢰도에 의해 결정된다. 즉, 입력, 로직, 출력 중 어느 하나라도 위험측 고장이 발생하면 전체 안전 기능은 실패하게 된다.

따라서 전체 안전 기능의 최종 PL을 평가하기 위해서는 각 서브시스템의 PFHD 값을 먼저 구한 뒤, 이들을 모두 합산하여 총 PFHD 값을 계산해야 한다. 직렬 시스템의 전체 고장 확률은 각 구성 요소의 고장 확률의 합과 근사하기 때문이다.25

핵심 수식 2-2: 다중 서브시스템의 총 PFHD 계산 공식

N개의 서브시스템(SRP/CS_i)이 직렬로 연결되어 하나의 안전 기능을 구성할 때, 전체 안전 기능의 총 시간당 평균 위험측 고장 확률( $PFH_{D,total}$ )은 각 서브시스템의 $PFH_{Di}$ 값을 모두 더하여 계산한다.11

$PFH_{D,total} = \sum_{i=1}^{N} PFH_{Di}$
이렇게 계산된 $PFH_{D,total}$ 값을 다시 표 2-1의 PFHD 범위와 비교하여 전체 안전 기능의 최종 달성 PL을 결정한다. 이 최종 PL이 리스크 평가를 통해 결정된 PLr보다 같거나 높아야( $PL \geq PLr$ ) 해당 안전 기능은 표준의 요구사항을 만족한 것으로 검증된다.24

만약 각 서브시스템의 정확한 PFHD 값을 알 수 없는 경우에는, 표준의 Table 11에 제시된 더 보수적인 방법을 사용할 수 있다. 이 방법은 각 서브시스템의 PL 등급만을 이용하여 전체 PL을 추정하는 방식으로, 가장 낮은 PL을 가진 서브시스템의 개수(Nlow)를 고려하여 전체 PL을 결정한다.25 하지만 이는 최악의 경우를 가정한 대안적인 방법이며, SISTEMA와 같은 도구를 사용하여 각 서브시스템의 PFHD 값을 계산하고 합산하는 것이 훨씬 정확하고 일반적인 접근법이다.45

3. IEC 62061 심층 분석: 안전 무결성 수준(SIL) 기반 접근법

3.1 안전 무결성 수준(Safety Integrity Level, SIL)의 개념과 등급

IEC 62061은 IEC 61508의 원칙을 기계류 분야에 적용한 표준으로, 안전 기능의 신뢰도를 평가하기 위해 안전 무결성 수준(SIL, Safety Integrity Level)이라는 척도를 사용한다.7 SIL은 특정 안전 기능(Safety Function)이 요구되는 리스크 감소 수준을 얼마나 잘 수행하는지를 나타내는 이산적인 등급이다.9 즉, SIL이 높을수록 해당 안전 기능의 무결성, 즉 신뢰도가 더 높음을 의미한다.46

IEC 61508은 SIL 1부터 SIL 4까지 네 등급을 정의하지만, 일반적인 기계류 분야에서는 극도로 높은 위험을 다루는 경우가 드물기 때문에 IEC 62061은 주로 SIL 1, SIL 2, SIL 3까지의 세 등급을 다룬다.8 SIL 4는 원자력 발전소나 항공기의 플라이 바이 와이어(fly-by-wire) 시스템과 같이 막대한 잠재적 손실이나 인명 피해가 예상되는 초고위험 분야에 적용된다.8

ISO 13849-1의 PL과 마찬가지로, SIL 역시 시간당 평균 위험측 고장 확률(PFH 또는 PFHD)을 기준으로 등급이 정의된다. 이는 두 표준이 신뢰도를 평가하는 근본적인 척도를 공유함을 의미하며, 상호 비교 및 변환의 기반이 된다.

표 3-1: SIL 등급별 PFHD 범위 (High/Continuous Demand Mode)

안전 무결성 수준 (SIL)	시간당 평균 위험측 고장 확률 (PFH 또는 PFHD) [1/h]
1	$\geq 10^{-6}$ to $< 10^{-5}$
2	$\geq 10^{-7}$ to $< 10^{-6}$
3	$\geq 10^{-8}$ to $< 10^{-7}$

출처: 21

3.2 요구 SIL 결정: 리스크 매트릭스를 이용한 반-정량적 평가

각 안전 기능에 대해 요구되는 SIL을 결정하기 위해, IEC 62061은 부속서 A에서 반-정량적(Semi-quantitative) 평가 방법을 제시한다.20 이 방법은 ISO 13849-1의 리스크 그래프보다 더 많은 파라미터를 고려하여 각 요소에 점수를 부여하고, 이를 조합하여 최종 SIL을 결정하는 방식이다.

평가에 사용되는 파라미터는 다음과 같다:

상해 심각도 (Se: Severity of injury): 예상되는 상해의 정도를 4개 등급으로 평가한다.

Se 4: 사망, 팔/눈의 상실 등 회복 불가능한 중상.21
Se 3: 손가락 절단, 팔다리 골절 등 회복 후 작업 복귀가 가능한 중상.48
Se 2: 의료적 처치가 필요한 회복 가능한 상해.48
Se 1: 응급 처치만으로 충분한 경미한 상해.48

노출 빈도 및 시간 (Fr: Frequency and duration of exposure): 위험에 노출되는 빈도와 지속 시간을 조합하여 5개 등급으로 평가한다.20
위험 사건 발생 확률 (Pr: Probability of occurrence of a hazardous event): 위험한 사건이 발생할 가능성을 5개 등급으로 평가한다. 이 파라미터는 ISO 13849-1에는 명시적으로 존재하지 않는 요소이다.21
상해 회피 또는 제한 가능성 (Av: Probability of avoiding or limiting harm): 위험 발생 시 이를 피하거나 피해를 줄일 수 있는 가능성을 3~5개 등급으로 평가한다.21

위험의 발생 가능성을 나타내는 세 파라미터(Fr, Pr, Av)의 점수를 합산하여 클래스(Class, Cl)를 산출한다: $Cl = Fr + Pr + Av$ .21 최종적으로, 계산된 Cl 값과 상해 심각도 Se 값을 매트릭스에 대입하여 요구되는 SIL(또는 PLr)을 결정한다. 이 방법은 더 많은 변수를 고려하므로 리스크 그래프 방식보다 더 세분화된 평가를 가능하게 한다.

3.3 SIL 달성을 위한 핵심 파라미터 분석

요구 SIL이 결정되면, 이를 만족하는 안전 관련 제어 시스템(SCS, Safety-related Control System)을 설계해야 한다. IEC 62061에서 시스템의 SIL 달성 여부는 두 가지 주요 기준, 즉 ’구조적 제약사항’과 ’확률론적 요구사항’을 모두 만족해야 결정된다.8 이를 평가하기 위한 핵심 파라미터는 다음과 같다.

3.3.1 아키텍처 및 하드웨어 내고장성(HFT: Hardware Fault Tolerance)

하드웨어 내고장성(HFT)은 시스템이 안전 기능을 상실하지 않고 견뎌낼 수 있는 하드웨어 고장의 최대 개수를 의미한다.51 이는 시스템 아키텍처의 견고함을 나타내는 직접적인 지표이다.

HFT = 0: 내고장성이 없음을 의미한다. 이는 단일 채널 구조(1-out-of-1, 1oo1)에 해당하며, 하나의 고장이 발생하면 즉시 안전 기능이 상실될 수 있다.51
HFT = 1: 하나의 고장을 견딜 수 있음을 의미한다. 이는 이중화(Redundant) 구조(1-out-of-2, 1oo2)에 해당하며, 한 채널이 고장 나도 다른 채널이 안전 기능을 수행할 수 있다.51

3.3.2 고장 형태 분석: 안전측 고장 분율(SFF: Safe Failure Fraction)

안전측 고장 분율(SFF)은 부품이나 서브시스템에서 발생할 수 있는 전체 고장 중에서, 시스템을 위험한 상태로 이끌지 않는 고장의 비율을 나타낸다.8 여기서 ’위험하지 않은 고장’이란 두 가지 경우를 포함한다:

안전측 고장 (Safe Failure, $\lambda_S$ ): 고장 자체가 시스템을 안전한 상태(예: 정지)로 만드는 경우.
검출된 위험측 고장 (Dangerous Detected Failure, $\lambda_{DD}$ ): 고장 자체는 위험을 초래할 수 있으나, 시스템의 진단 기능에 의해 즉시 검출되어 안전 조치가 취해지는 경우.

SFF가 높다는 것은 해당 시스템이 고장이 나더라도 그 사실이 즉시 드러나거나, 혹은 고장 자체가 안전한 방향으로 발생할 확률이 높다는 것을 의미한다. 이는 시스템의 고장 투명성(transparency)을 나타내는 지표로 볼 수 있다.51

핵심 수식 3-1: 고장률(λ)을 이용한 SFF 계산 공식

SFF는 부품의 고장 모드를 분석하여 얻어지는 각종 고장률( $\lambda$ ) 값을 이용하여 계산된다. SFF는 안전측 고장률( $\lambda_S$ )과 검출된 위험측 고장률( $\lambda_{DD}$ )의 합을 전체 고장률( $\lambda_{S} + \lambda_{D}$ )로 나눈 값이다.51

$SFF = \frac{\sum \lambda_{S} + \sum \lambda_{DD}}{\sum \lambda_{S} + \sum \lambda_{D}} = \frac{\sum \lambda_{SD} + \sum \lambda_{SU} + \sum \lambda_{DD}}{\sum \lambda_{SD} + \sum \lambda_{SU} + \sum \lambda_{DD} + \sum \lambda_{DU}}$
여기서 $\lambda_{SD}$ 는 검출된 안전측 고장률, $\lambda_{SU}$ 는 미검출 안전측 고장률, $\lambda_{DU}$ 는 미검출 위험측 고장률을 의미한다.54 이 SFF 값은 HFT와 함께 시스템이 구조적으로 달성할 수 있는 최대 SIL 등급을 결정하는 데 사용된다.

3.3.3 공통 원인 고장 계수(β-factor)

이중화 시스템(HFT=1 이상)에서 두 채널이 독립적으로 고장난다는 가정은 공통 원인 고장(CCF)의 위협 앞에서는 유효하지 않다. β-factor는 전체 위험측 고장 중에서 공통 원인으로 인해 발생하는 고장의 비율을 나타내는 계수이다.8 예를 들어, β가 10% (0.1)라면, 이중화 채널에서 발생하는 위험측 고장 10건 중 1건은 두 채널에 동시에 영향을 미치는 공통 원인에 의한 것임을 의미한다. 이 값은 ISO 13849-1의 CCF 평가와 유사한 체크리스트를 통해 결정되며, 이중화 시스템의 PFHD 계산에 중요한 변수로 사용된다.55

3.4 달성 SIL 평가: 아키텍처별 PFHD 계산

IEC 62061은 시스템의 구조적 특성에 따라 4가지 기본 서브시스템 아키텍처(A, B, C, D)를 정의하고, 각 아키텍처에 대한 PFHD 계산 공식을 제공한다.8 이 공식들은 앞서 설명한 파라미터들(고장률 $\lambda$ , 진단 범위 DC, 진단 주기 $T_2$ , 공통 원인 고장 계수 $\beta$ 등)을 사용하여 각 서브시스템의 정량적인 신뢰도를 계산한다.

핵심 수식 3-2: 아키텍처별 PFHD 계산 공식

이 공식들은 각 아키텍처의 구조적 특성을 수학적으로 모델링하여, 설계자가 데이터 기반의 체계적인 안전 설계를 수행할 수 있도록 돕는다.55

아키텍처 A (1oo1, HFT=0): 단일 채널, 비진단 구조. PFHD는 미검출 위험측 고장률( $\lambda_{DU}$ )의 합과 거의 같다.

$PFH_A \approx \sum_{i=1}^{N} \lambda_{DUi}$

아키텍처 B (1oo2, HFT=1): 이중 채널, 비진단 구조. PFHD는 두 채널이 동시에 고장 날 확률(CCF 포함)에 의해 결정된다.

$PFH_B \approx (1-\beta)^2 \sum_{i=1}^{N} (\lambda_{Di1} \lambda_{Di2} T_1) + \beta \sum_{i=1}^{N} \frac{\lambda_{Di1}+\lambda_{Di2}}{2}$

아키텍처 C (1oo1D, HFT=0): 단일 채널, 진단 구조. ISO 13849-1의 카테고리 2에 해당한다.

$PFH_C \approx \sum_{i=1}^{N} \lambda_{DUi} + \sum_{j=1}^{M} \lambda_{DUj}$

아키텍처 D (1oo2D, HFT=1): 이중 채널, 진단 구조. ISO 13849-1의 카테고리 3 또는 4에 해당한다.

$PFH_D \approx (1-\beta_D)(1-\beta) \sum_{i=1}^{N} (DC_{i1}\lambda_{Di1} + DC_{i2}\lambda_{Di2}) \lambda_{DU,eq} T_2 + \beta \sum_{i=1}^{N} \frac{\lambda_{DUi1}+\lambda_{DUi2}}{2}$

(주: 위 공식들은 표준에 제시된 단순화된 형태이며, 완전한 공식은 더 복잡할 수 있음. T_1은 수명 또는 검증 시험 주기 중 짧은 값, T_2는 진단 시험 주기를 의미함)

출처: 8

3.5 구조적 제약사항: HFT와 SFF에 따른 최대 달성 가능 SIL (SIL Claim Limit)

IEC 62061에서는 PFHD 계산 결과가 특정 SIL 등급의 요구사항을 만족하더라도, 시스템의 구조적 견고함이 뒷받침되지 않으면 해당 SIL 등급을 주장할 수 없다. 이 구조적 한계를 SIL Claim Limit(SILCL)이라고 부른다.8 SILCL은 하드웨어 내고장성(HFT)과 안전측 고장 분율(SFF)의 조합에 의해 결정된다.

이 원칙은 “아무리 계산상의 신뢰도가 높아도, 구조적으로 취약한 시스템은 높은 수준의 안전을 보장할 수 없다“는 기능안전의 핵심 철학을 반영한다. 예를 들어, HFT=0(단일 채널)이고 SFF가 60% 미만(대부분의 고장이 미검출 위험측 고장)인 시스템은 PFHD 계산 값이 아무리 낮게 나오더라도 SIL 1을 초과하여 주장할 수 없다. 이는 설계자에게 단순히 고신뢰성 부품을 사용하는 것을 넘어, 고장을 견디고 진단할 수 있는 견고한 아키텍처를 구축하도록 강제하는 중요한 요구사항이다.

표 3-2: HFT와 SFF에 따른 SIL CL 결정표 (IEC 62061 Table 6 요약)

Safe Failure Fraction (SFF)	HFT = 0	HFT = 1	HFT = 2
< 60%	SIL 1	SIL 2	SIL 3
60% to < 90%	SIL 2	SIL 3	SIL 3
90% to < 99%	SIL 3	SIL 3	SIL 3
$\geq 99\%$	SIL 3	SIL 3	SIL 3

출처: 48

따라서 최종적으로 달성된 SIL은, PFHD 계산을 통해 만족하는 SIL 등급과 SILCL에 의해 허용되는 SIL 등급 중 더 낮은 값으로 결정된다.

4. 두 표준의 비교 분석 및 통합적 활용

4.1 적용 범위 및 기술적 차이점

ISO 13849-1과 IEC 62061은 모두 기계류 안전 제어 시스템 설계를 위한 조화 표준이지만, 그 출발점과 강조점에 차이가 있다.

ISO 13849-1은 그 적용 범위에 있어 기술 중립적이다. 즉, 전기, 전자, 프로그래머블 전자 시스템뿐만 아니라 유압, 공압, 순수 기계식 안전 장치 등 기계에 사용되는 모든 종류의 기술과 에너지원에 적용될 수 있다.5 이는 다양한 기술이 혼합된 일반적인 기계 시스템에 포괄적으로 적용하기에 용이하다는 장점을 가진다.

반면, IEC 62061은 전통적으로 E/E/PE(전기/전자/프로그래머블 전자) 시스템에 초점을 맞춰 개발되었다.11 이는 복잡한 전자 제어 시스템이나 안전 PLC와 같은 프로그래머블 장치의 기능안전을 다루는 데 더 특화되어 있음을 의미한다. 그러나 2021년 최신 개정판에서 IEC 62061은 적용 범위를 비전기적 기술까지 공식적으로 확대했다.20 이로써 두 표준의 적용 범위는 상당 부분 중첩되게 되었다. 그럼에도 불구하고, 유압이나 공압 시스템에 대한 구체적인 설계 및 고장 데이터 예시는 여전히 ISO 13849-1이 더 풍부하게 제공하고 있어, 비전기 기술이 핵심인 시스템에는 ISO 13849-1이 더 실용적인 선택이 될 수 있다.14

4.2 리스크 평가 방법론 비교: 리스크 그래프 vs. 리스크 매트릭스

요구되는 안전 수준(PLr 또는 SIL)을 결정하는 리스크 평가 단계에서 두 표준은 서로 다른 방법론을 제시한다.

ISO 13849-1은 **리스크 그래프(Risk Graph)**를 사용한다. 이는 3개의 파라미터(S: 상해 심각도, F: 노출 빈도, P: 회피 가능성)를 순차적으로 따라가며 결론을 도출하는 정성적(Qualitative) 접근법이다.2 이 방법의 가장 큰 장점은 직관적이고 비교적 간단하여 신속하게 PLr을 결정할 수 있다는 점이다.19

IEC 62061은 리스크 매트릭스(Risk Matrix) 방식을 사용한다. 이는 4개의 파라미터(Se: 심각도, Fr: 노출 빈도, Pr: 발생 확률, Av: 회피 가능성) 각각에 점수를 부여하고, 이를 합산하여 클래스(Cl)를 결정한 뒤, 심각도(Se)와 조합하여 최종 SIL을 찾는 반-정량적(Semi-quantitative) 접근법이다.20 더 많은 요소를 고려하고 각 요소에 가중치를 부여하므로, 리스크 그래프 방식보다 더 상세하고 세분화된 평가가 가능하다는 장점이 있다.19

두 방법론은 접근 방식에 차이가 있지만, 동일한 위험 상황에 대해 유사한 수준의 안전 요구사항을 도출하도록 설계되었다.14

4.3 핵심 개념의 상호 관계: PL과 SIL의 변환 및 등가성

두 표준이 서로 다른 용어(PL과 SIL)와 방법론을 사용함에도 불구하고, 그 근간에는 공통된 척도가 존재한다. 바로 ’시간당 평균 위험측 고장 확률(PFHD 또는 PFH)’이다.58 PL과 SIL 모두 이 PFHD 값의 특정 범위에 따라 등급이 정의되기 때문에, PFHD를 기준으로 두 척도를 직접적으로 비교하고 상호 변환하는 것이 가능하다.14

이 변환 가능성은 실무적으로 매우 중요하다. 예를 들어, 한 안전 기능이 ISO 13849-1에 따라 설계된 PL d 수준의 센서 서브시스템과 IEC 62061에 따라 설계된 SIL 2 수준의 로직 서브시스템으로 구성될 수 있다. 이 경우, 각 서브시스템의 안전 수준을 PFHD라는 공통의 척도로 변환하여 전체 시스템의 안전성을 통합적으로 평가할 수 있다.

표 4-1: PL과 SIL의 PFHD 기준 비교 및 변환표

PFHD [1/h]	성능 수준 (PL)	안전 무결성 수준 (SIL)
$\geq 10^{-5}$ to $< 10^{-4}$	a	해당 없음
$\geq 3 \times 10^{-6}$ to $< 10^{-5}$	b	1
$\geq 10^{-6}$ to $< 3 \times 10^{-6}$	c	1
$\geq 10^{-7}$ to $< 10^{-6}$	d	2
$\geq 10^{-8}$ to $< 10^{-7}$	e	3

출처: 14

4.4 장단점 분석 및 표준 선택 가이드라인

순수 전기/전자/프로그래머블 전자(E/E/PE) 시스템의 경우, 설계자는 두 표준 중 어느 것을 선택해도 무방하다.58 선택은 프로젝트의 특성, 팀의 전문성, 고객의 요구사항 등 여러 요소를 고려하여 전략적으로 이루어져야 한다.14

ISO 13849-1 선택을 고려할 경우:

장점:
친숙함: 과거 EN 954-1의 ‘카테고리’ 개념을 계승하여, 기존 기계 설계자들에게 상대적으로 익숙하고 진입 장벽이 낮다.5
범용성: 유압, 공압 등 비전기적 기술을 포함한 모든 종류의 기술에 대한 명확한 가이드를 제공한다.14
도구 지원: 계산 및 문서화를 지원하는 SISTEMA와 같은 무료 소프트웨어가 널리 보급되어 있어 실무 적용이 용이하다.59
단점:
과거에는 복잡한 프로그래머블 시스템이나 소프트웨어 설계에 대한 상세한 가이드가 부족하다는 지적이 있었으나, 2023년 개정판에서 이 부분이 대폭 보강되었다.

IEC 62061 선택을 고려할 경우:

장점:
체계성: 복잡한 E/E/PE 시스템 및 소프트웨어의 전체 수명주기에 대한 요구사항이 매우 체계적이고 상세하게 기술되어 있다.19
상위 표준과의 정합성: 상위 표준인 IEC 61508과의 구조적 일관성이 높아, 공정 산업(IEC 61511) 등 다른 SIL 기반 표준이 적용되는 분야와의 연계가 수월하다.14
복잡한 시스템에 적합: 대규모 공장이나 여러 기계가 연동되는 복잡한 시스템의 안전성을 통합적으로 관리하는 데 더 적합할 수 있다.58
단점:
데이터 요구사항: 계산에 필요한 부품별 고장률( $\lambda$ ) 데이터를 확보하는 것이 상대적으로 어려울 수 있다.51
복잡성: SFF, HFT 등 추가적인 개념과 계산 과정이 ISO 13849-1에 비해 더 복잡하게 느껴질 수 있다.

결론적으로, 단일 기계나 비전기 기술이 포함된 시스템에는 ISO 13849-1이, 여러 기계가 통합된 대규모 시스템이나 소프트웨어의 비중이 매우 큰 복잡한 시스템에는 IEC 62061이 더 적합한 선택일 수 있다.58

4.5 최신 개정판을 통해 본 두 표준의 융합 동향

최신 개정 동향은 두 표준이 서로의 장점을 흡수하며 경계가 점차 허물어지고 있음을 명확히 보여준다. IEC 62061은 적용 기술의 범위를 모든 기계 기술로 확장했으며, ISO 13849-1은 소프트웨어, 기능안전 관리 등 시스템적 접근법을 대폭 강화했다.19 이는 더 이상 특정 기술에 따라 표준을 선택하는 것이 아니라, 프로젝트의 요구사항에 맞춰 더 적합한 방법론을 제공하는 표준을 선택하는 시대로 변화하고 있음을 의미한다.

이러한 융합 현상은 현대 기계가 기계, 전기, 전자, 소프트웨어, 네트워크가 결합된 복합 시스템이라는 현실을 반영한다. 과거에는 분리되어 있던 기술 영역들이 서로 융합하면서, 안전 표준 역시 통합적인 관점을 요구하게 된 것이다. 두 표준은 한때 하나의 통합 표준(ISO/IEC 17305)으로 합치려는 시도가 있었을 만큼 61 공통된 목표를 지향하고 있다. 비록 통합이 무산되기는 했으나, 현재의 개정 방향은 여전히 상호 보완과 융합을 향해 나아가고 있다. 이는 장기적으로 두 표준의 방법론이 더욱 유사해지거나, 특정 기능에 대해서는 상호 참조가 더욱 활발해질 것임을 시사한다. 현재 설계자는 두 표준이 제공하는 도구상자에서 프로젝트에 가장 적합한 도구를 선택하여 사용할 수 있는, 과도기적이지만 유연성이 극대화된 환경에 놓여 있다.

5. 설계부터 검증까지: 기능안전 구현 프로세스

5.1 안전 요구사항 명세서(SRS: Safety Requirements Specification) 작성

성공적인 기능안전 시스템 구현의 첫 단추는 무엇을, 왜, 어떻게 보호할 것인지를 명확히 정의하는 것이다. 안전 요구사항 명세서(SRS)는 바로 이 역할을 수행하는 핵심 문서로, 리스크 평가 단계에서 도출된 추상적인 안전 목표를 구체적인 엔지니어링 요구사항으로 변환하는 다리 역할을 한다.15

SRS는 설계자, 검증자, 사용자 등 모든 관련자가 안전 기능에 대해 동일한 이해를 갖도록 보장하는 의사소통의 기반이 된다. 특히 리스크 평가와 실제 SRP/CS 설계가 서로 다른 팀이나 개인에 의해 수행될 경우, SRS의 명확성은 프로젝트의 성패를 좌우할 수 있다.18 최신 표준 개정판(ISO 13849-1:2023, IEC 62061:2021)에서는 이러한 SRS의 중요성을 더욱 강조하며 작성에 대한 상세한 지침을 포함하고 있다.18

각각의 안전 기능에 대해 SRS는 최소한 다음의 정보를 포함해야 한다 15:

기능 설명: 안전 기능의 목적과 동작을 명확히 기술한다.
트리거 이벤트: 안전 기능을 활성화시키는 조건(예: 가드 도어 열림, 비상 정지 버튼 눌림).
시스템 반응 및 안전 상태: 트리거 이벤트 발생 시 제어 시스템이 수행해야 할 동작(예: 모터 전원 차단)과 그 결과로 도달해야 할 최종적인 안전한 상태(예: 위험원 정지).
요구 성능 수준 (PLr) 또는 안전 무결성 수준 (SIL): 리스크 평가를 통해 결정된 목표 신뢰도 등급.
반응 시간: 위험 감지부터 안전 상태 도달까지 허용되는 최대 시간.
고장 처리 방식: 시스템 고장 시의 동작(예: 안전측으로 정지, 경고 발생).
우선순위 및 인터페이스: 다른 안전 기능 또는 일반 제어 기능과의 상호작용 및 우선순위.

5.2 소프트웨어의 역할과 요구사항

현대 기계 제어 시스템에서 소프트웨어의 역할은 더 이상 부수적이지 않다. 안전 PLC, 안전 기능이 내장된 드라이브, 프로그래머블 센서 등 소프트웨어는 안전 기능의 핵심 로직을 담당하는 경우가 많다. 따라서 하드웨어의 신뢰성만큼이나 소프트웨어의 신뢰성을 확보하는 것이 중요하며, 두 표준 모두 소프트웨어 개발 및 검증에 대한 요구사항을 강화하고 있다.

ISO 13849-1은 2023년 개정판에서 소프트웨어 관련 내용을 대폭 보강했다. 표준은 소프트웨어를 안전 관련 임베디드 소프트웨어(SRESW)와 안전 관련 응용 소프트웨어(SRASW)로 구분하고, V-모델 개발 프로세스를 도입했다.15 V-모델은 요구사항 정의, 설계, 코딩, 테스트, 검증의 각 단계를 체계적으로 연결하여 개발 과정에서 발생할 수 있는 체계적 오류(Systematic Failure)를 최소화하는 것을 목표로 한다.16 또한, 프로그래밍 언어를 제한된 가변성 언어(LVL, 예: 펑션 블록 다이어그램)와 완전 가변성 언어(FVL, 예: C언어)로 구분하여, 언어의 복잡성에 따라 차등화된 요구사항을 적용한다.15

IEC 62061은 전통적으로 소프트웨어 생명주기 전반에 걸친 체계적인 접근을 강조해왔다. 2021년 개정판에서는 응용 소프트웨어의 복잡도에 따라 ’소프트웨어 레벨’을 정의하여, 요구되는 개발 및 검증 활동의 엄격함을 차등화했다.22 또한, 네트워크 연결성이 증대됨에 따라 발생할 수 있는 사이버 보안 위협이 기능안전에 미치는 영향을 반드시 고려하도록 명시했다. 이는 특정 보안 조치를 규정하기보다는, IEC 62443과 같은 전문 보안 표준을 참조하여 리스크 평가를 수행하고 필요한 대책을 마련할 것을 요구하는 방식이다.22

5.3 검증(Verification) 및 타당성 확인(Validation) 프로세스

설계와 구현이 완료된 안전 기능은 반드시 두 가지 핵심적인 확인 절차를 거쳐야 한다: 검증과 타당성 확인이다.

검증 (Verification): “우리가 시스템을 올바르게 만들었는가?“라는 질문에 답하는 과정이다. 이는 설계 결과물(회로도, 계산서 등)이 요구사항(PLr 또는 SIL)을 만족하는지를 분석과 계산을 통해 확인하는 활동이다. 예를 들어, 계산된 PL이 요구 PLr 이상인지( $PL \geq PLr$ ) 확인하는 것이 대표적인 검증 활동이다.6
타당성 확인 (Validation): “우리가 올바른 시스템을 만들었는가?“라는 질문에 답하는 과정이다. 이는 실제로 구현된 안전 기능이 SRS에 명시된 요구사항대로 정확하게 동작하는지를 분석과 실제 테스트를 통해 확인하는 활동이다.6 타당성 확인은 설계에 참여하지 않은 독립적인 인력에 의해 수행되는 것이 권장되며, 이는 객관성을 확보하기 위함이다.18 ISO 13849-1:2023 개정판에서는 이 타당성 확인 절차를 표준의 본문으로 통합하여 그 중요성을 더욱 강조했다.18

이론적인 계산만으로는 실제 현장에서 발생할 수 있는 모든 문제를 예측할 수 없다. 배선 오류, 부품의 예상치 못한 동작, 소프트웨어 버그 등은 오직 실제 테스트를 통해서만 발견될 수 있다. 따라서 체계적인 타당성 확인은 서류상의 안전을 실제의 안전으로 전환하는 필수적인 최종 관문이다.

핵심 자료 5-1: 기능안전 타당성 확인 계획(Validation Plan) 예시

성공적인 타당성 확인을 위해서는 사전에 체계적인 계획을 수립해야 한다. 타당성 확인 계획은 무엇을, 어떻게, 어떤 기준으로 시험하고 문서화할 것인지에 대한 명확한 청사진을 제공한다.16 계획에는 일반적으로 다음 항목들이 포함된다.

대상 식별:

타당성 확인 대상 안전 기능 명칭 (예: 안전 도어 인터록 기능)
관련 SRP/CS 및 서브시스템 목록 (예: 안전 스위치, 안전 릴레이, 접촉기)

참조 문서:

안전 요구사항 명세서(SRS) 문서 번호
전기/유압/공압 회로도, 기구 설계 도면
PL/SIL 계산 보고서

시험 원칙 및 환경:

적용 표준: ISO 13849-2 (또는 ISO 13849-1:2023), IEC 62061
시험 장소 및 조건 (온도, 습도 등)
사용될 시험 장비 목록 (멀티미터, 오실로스코프 등)

시험 절차 (분석 및 테스트):

분석: 설계 문서가 SRS 및 표준 요구사항(예: CCF 65점 이상)을 만족하는지 검토.
정상 동작 시험:
시험 항목: 가드 도어 개방 시, 500ms 이내에 모터 전원이 차단되는가?
시험 방법: 스톱워치로 시간 측정.
합격 기준: 500ms 이내 차단.
고장 주입 시험 (Fault Injection Test):
시험 항목: 안전 스위치 채널 1의 배선을 단선시켰을 때, 시스템이 고장을 감지하고 안전 상태로 전환하며 재시작을 방지하는가?
시험 방법: 의도적으로 배선 단선 후 시스템 동작 관찰.
합격 기준: 고장 감지 및 재시작 방지 기능 정상 동작.
소프트웨어 시험:
시험 항목: 안전 PLC 프로그램 로직이 SRS와 일치하는가?
시험 방법: 코드 리뷰 및 시뮬레이션.
합격 기준: 로직 불일치 없음.

문서화:

각 시험 항목에 대한 결과(Pass/Fail), 측정값, 관찰 사항 기록
발견된 부적합 사항 및 수정 조치 내역
최종 타당성 확인 보고서 작성 및 승인

출처: 16

5.4 실제 적용 사례 연구

5.4.1 사례 1: 프레스 기계 안전 도어 인터록 시스템 (ISO 13849-1 기반)

안전 기능 정의 (SRS): 작업자가 프레스의 위험 구역에 접근하기 위해 가드 도어를 열면, 프레스의 위험한 동작(램 하강)이 즉시 정지되어야 한다. 도어가 완전히 닫히고 별도의 리셋 버튼을 누르기 전까지는 재시작이 불가능해야 한다.25
리스크 평가 및 PLr 결정:
S (심각도): 프레스에 신체가 협착될 경우, 회복 불가능한 중상 또는 사망에 이를 수 있으므로 S2.28
F (노출 빈도): 작업 공정상 작업자가 부품을 투입/제거하기 위해 빈번하게 도어를 열어야 하므로 F2.28
P (회피 가능성): 프레스 램의 하강 속도가 매우 빨라 일단 동작하면 피하는 것이 거의 불가능하므로 P2.28
결과: 리스크 그래프에서 S2 → F2 → P2 경로를 따라가면 PLr = e가 요구된다.
SRP/CS 설계 (아키텍처 및 부품 선정):
PLr e를 만족하기 위해 높은 수준의 고장 내성과 진단이 가능한 카테고리 4 아키텍처를 선택한다.
입력: 이중 채널을 지원하는 강제 개리형(Positive Opening) 안전 도어 스위치 2개 또는 Type 4 안전 스위치 1개.
로직: 카테고리 4, PL e 등급의 안전 PLC 또는 안전 릴레이 모듈.
출력: 미러 컨택(Mirror Contact) 기능이 있는 접촉기 2개를 이중으로 구성하여 모터 전원을 차단. 접촉기의 미러 컨택은 안전 로직으로 피드백되어 접촉기 용착 여부를 감시한다.25
PL 계산 및 검증:
MTTFd: 각 부품(스위치, 릴레이, 접촉기) 제조사로부터 B10d 또는 MTTFd 데이터를 받아 각 채널의 MTTFd를 계산한다. 모든 채널이 ‘High’(30년 이상) 등급을 만족해야 한다.
DCavg: 이중 채널 스위치의 상호 감시, 안전 로직의 내부 진단, 접촉기 미러 컨택을 이용한 외부 진단 등을 통해 각 부품의 DC를 평가한다. 표준 부속서 E를 참조하면 ‘직접 감시’ 등은 99%의 DC를 인정받을 수 있다.68 이를 종합하여 DCavg가 ‘High’(99% 이상)임을 계산한다.
CCF: 배선 경로 분리, 다양한 제조사의 부품 사용, EMC 대책 등을 적용하고 부속서 F 체크리스트를 통해 65점 이상을 확보한다.68
최종 평가: 카테고리 4, MTTFd High, DCavg High 조건을 모두 만족하므로, 달성 PL = e이다. 이는 요구 PLr e를 만족하므로 설계는 검증된다.

5.4.2 사례 2: 협동 로봇 셀 안전 시스템 (IEC 62061 기반)

안전 기능 정의 (SRS): 로봇과 작업자가 공간을 공유하는 협업 애플리케이션이다. 작업자가 로봇에 접근하는 거리에 따라 로봇의 속도를 동적으로 제어한다. ‘경고 구역’ 진입 시 로봇은 안전 제한 속도(Safely-Limited Speed, SLS)로 감속하고, ‘정지 구역’ 진입 시 안전 감시 정지(Safety-Monitored Standstill, SMS) 상태가 되어야 한다.70
리스크 평가 및 요구 SIL 결정:
Se (심각도): 고속으로 움직이는 로봇과 충돌 시 골절 등 중상을 입을 수 있으므로 Se = 3.48
Fr (노출 빈도): 협업 작업이므로 작업 시간 내내 위험 구역 근처에 상주하므로 Fr = 4 또는 5.20
Pr (발생 확률): 안전 기능 고장 시, 작업자가 구역 내에 있을 확률이 높으므로 Pr = 5 (매우 높음).48
Av (회피 가능성): 로봇의 움직임이 빠르고 예측이 어려울 수 있으므로 Av = 3 (드묾) 또는 5 (불가능).48
결과: 예를 들어 Se=3, Fr=4, Pr=5, Av=5로 평가하면 Cl = 4+5+5 = 14가 된다. 리스크 매트릭스에서 (Se=3, Cl=14)에 해당하는 요구 SIL = 3이 결정된다.21
SCS 설계 (아키텍처 및 부품 선정):
요구 SIL 3을 만족하기 위해 높은 신뢰성과 고장 내성을 갖는 시스템을 구성한다.
입력: 작업자의 위치와 거리를 정밀하게 감지할 수 있는 SIL 3/PL e 등급의 안전 레이저 스캐너 또는 3D 안전 카메라.
로직: SIL 3/PL e 등급의 안전 PLC. 스캐너로부터 받은 거리 정보를 바탕으로 SLS 및 SMS 기능을 로직으로 구현한다.
출력: SIL 3/PL e 등급의 안전 기능(예: STO, SLS, SMS)이 내장된 서보 드라이브 시스템. 안전 PLC의 명령을 받아 로봇 모터의 속도와 정지를 안전하게 제어한다.70
SIL 계산 및 검증:
아키텍처 및 HFT/SFF: 각 서브시스템(스캐너, PLC, 드라이브)은 제조사로부터 SIL CL(Claim Limit) 데이터를 제공받는다. 일반적으로 SIL 3급 부품은 HFT=1의 이중화 구조를 갖거나, HFT=0이더라도 SFF가 99% 이상인 고신뢰성 설계를 가진다.
PFHD 계산: 각 서브시스템 제조사가 제공하는 PFHD 값을 사용한다. 예를 들어 스캐너 $PFHD = 1.5 \times 10^{-8}$ , PLC $PFHD = 1.0 \times 10^{-8}$ , 드라이브 $PFHD = 2.0 \times 10^{-8}$ 이라 가정한다.
최종 평가:
구조적 제약: 모든 서브시스템의 SIL CL이 3이므로, 전체 시스템의 SIL CL은 3이다.
확률적 계산: $PFH_{total} = (1.5 + 1.0 + 2.0) \times 10^{-8} = 4.5 \times 10^{-8}$ 1/h. 이 값은 SIL 3의 범위( $\geq 10^{-8}$ to $< 10^{-7}$ )에 속한다.
두 조건을 모두 만족하므로 달성 SIL = 3이며, 이는 요구 SIL 3을 만족한다.

5.5 계산 지원 도구 활용: SISTEMA 소프트웨어 소개 및 예제 풀이

ISO 13849-1에 따른 PL 계산은 여러 파라미터를 포함하고 복잡한 공식을 사용하기 때문에 수동으로 수행할 경우 시간이 많이 걸리고 실수가 발생하기 쉽다. 이러한 어려움을 해결하기 위해 독일 산업재해보험조합(DGUV) 산하 산업안전보건연구원(IFA)에서 개발하여 무료로 배포하는 소프트웨어가 바로 SISTEMA(Safety Integrity Software Tool for the Evaluation of Machine Applications)이다.59

SISTEMA는 사용자가 안전 기능의 구조를 모델링하고, 각 부품의 신뢰성 데이터(MTTFd, B10d, DC 등)를 입력하면, 표준에 따른 복잡한 계산(채널별 MTTFd, DCavg, 전체 PFHD 및 PL)을 자동으로 수행하고 결과를 보고서 형태로 출력해주는 강력한 도구이다.59 사용자는 부품 제조사들이 제공하는 SISTEMA 라이브러리를 활용하여 정확한 데이터를 손쉽게 입력할 수 있다.

SISTEMA 계산 예제: 프레스 기계 안전 도어 (사례 1 재구성)

프로젝트 생성: SISTEMA를 실행하고 새 프로젝트를 생성한다. 안전 기능(SF) 항목에 ’안전 도어 인터록’을 추가하고, 리스크 평가 결과를 바탕으로 $PLr = e$ 를 설정한다.74
서브시스템(SB) 구성: 안전 기능은 입력, 로직, 출력의 세 서브시스템으로 구성된다. 각 서브시스템을 생성한다.

SB 1: 입력 (안전 스위치): 카테고리 4로 설정. 채널 1과 채널 2를 생성하고, 각 채널에 안전 스위치 블록(Block)을 할당한다. 제조사 라이브러리에서 해당 스위치 모델을 찾아 B10d, DC 값을 불러온다. 연간 동작 횟수( $n_{op}$ )를 입력하면 MTTFd가 자동으로 계산된다.74
SB 2: 로직 (안전 릴레이): 카테고리 4, PL e 등급의 안전 릴레이는 제조사가 이미 모든 계산을 완료하여 단일 PFHD 값과 PL 등급을 제공하는 ’캡슐화된 서브시스템’으로 취급할 수 있다. 라이브러리에서 해당 릴레이를 선택하면 PFHD 값이 바로 입력된다.76
SB 3: 출력 (접촉기): 카테고리 4로 설정. 채널 1과 채널 2에 각각 접촉기 블록을 할당한다. 접촉기의 B10d 값을 입력하고, $n_{op}$ 를 입력하여 MTTFd를 계산한다. DC는 미러 컨택을 통한 직접 감시이므로 99%(High)로 설정한다.74

CCF 평가: 각 다중 채널 서브시스템(입력, 출력)에 대해 부속서 F의 체크리스트를 기반으로 점수를 입력하여 65점 이상임을 확인한다.74
결과 확인: 모든 데이터 입력이 완료되면, SISTEMA는 각 서브시스템의 PFHD와 PL, 그리고 이들을 합산한 전체 안전 기능의 최종 PFHD와 PL을 자동으로 계산하여 보여준다. 예를 들어, $PFHD = 1.3 \times 10^{-7}$ 1/h, $PL = d$ 와 같이 결과가 표시된다.74 만약 계산된 PL이 PLr보다 낮다면, 빨간색으로 경고가 표시되므로 설계자는 어떤 부분(예: MTTFd가 낮은 부품)을 개선해야 하는지 쉽게 파악할 수 있다.

이처럼 SISTEMA는 이론적 계산과 실제 부품 데이터 사이의 간극을 메워주며, 기능안전 설계 및 검증 프로세스의 효율성과 정확성을 획기적으로 향상시키는 필수적인 도구이다.

6. 결론: 기능안전의 미래와 엔지니어의 역할

ISO 13849-1과 IEC 62061은 단순한 기술 규격을 넘어, 기계 안전에 대한 패러다임의 전환을 상징한다. 과거의 결정론적이고 구조 중심적인 접근법(EN 954-1)에서 벗어나, 이 두 표준은 시스템의 신뢰성을 확률적으로 평가하고 정량화하는 현대적 기능안전의 시대를 열었다. 이는 기계 설계자에게 더 큰 책임과 함께, 데이터에 기반한 체계적인 방법으로 안전을 설계하고 입증할 수 있는 강력한 도구를 제공했다.

본 안내서에서 심층적으로 분석한 바와 같이, 두 표준은 각각 PL과 SIL이라는 고유한 개념을 통해 안전 목표를 설정하고, 이를 달성하기 위한 상세한 경로를 제시한다. ISO 13849-1은 모든 기술을 아우르는 범용성과 카테고리라는 친숙한 개념을 바탕으로 폭넓은 적용성을 가지며, IEC 62061은 복잡한 전자 및 소프트웨어 시스템에 대한 심도 있는 접근법을 제공한다. 그러나 최신 개정판에서 나타난 ’융합’과 ’확장’의 흐름은 두 표준의 경계가 점차 허물어지고 있음을 보여준다. 이는 현대 기계가 다양한 기술이 융합된 복합 시스템이라는 현실을 반영한 필연적인 진화이며, 미래에는 두 표준이 더욱 긴밀하게 상호 작용하거나 하나의 통합된 프레임워크로 수렴할 가능성을 시사한다.

이러한 변화의 중심에서 기능안전 엔지니어의 역할은 더욱 중요해지고 있다. 성공적인 기능안전 구현은 단순히 표준의 공식을 따르는 것을 넘어, ’이론적 설계(Verification)’와 ’실증적 검증(Validation)’이라는 두 축을 모두 아우르는 종합적인 역량을 요구한다. 정밀한 계산을 통해 목표 신뢰도를 달성하는 능력과 함께, 체계적인 시험 계획을 수립하고 실행하여 실제 시스템의 안전성을 입증하는 능력이 모두 필요하다. SISTEMA와 같은 소프트웨어 도구는 이 과정에서 인간의 실수를 줄이고 효율성을 높이는 필수적인 보조 수단이 되었으며, 이러한 도구를 능숙하게 활용하는 것 또한 현대 엔지니어의 핵심 역량으로 자리 잡았다.

결론적으로, ISO 13849-1과 IEC 62061은 기계 안전의 미래를 şekillendiren 살아있는 표준이다. 소프트웨어의 신뢰성, 사이버 보안, 인공지능과 같은 새로운 도전 과제에 대응하며 끊임없이 발전할 것이다. 이 변화의 흐름 속에서 엔지니어는 단순히 표준의 ’사용자’가 아니라, 그 원칙과 철학을 깊이 이해하고 창의적으로 적용하여 더 안전하고 신뢰성 있는 기계를 만들어내는 ’구현자’로서의 역할을 충실히 수행해야 할 것이다.

7. 참고 자료

기능 안전 규격 - Pilz KR, https://www.pilz.com/ko-KR/support/law-standards-norms/functional-safety
EN ISO 13849-1 - 기능 안전 규격, 퍼포먼스 레벨(PL)의 기준, https://www.pilz.com/ko-KR/support/law-standards-norms/functional-safety/en-iso-13849-1
산업용 기계를 위한 기능안전 EN ISO 13849-1 & IEC 62061 - TÜV SÜD, https://www.tuvsud.com/ko-kr/industries/manufacturing/seguridad-de-maquinas/functional-safety-industrial-machinery
Case studies of comparing EN 954-1 and EN ISO 13849-1 standard for countermeasure of Korean Safety Certification System - 대한인간공학회, https://www.esk.or.kr/conference/2012_spring/file/P1/P1.5.pdf
기계 제작을 위한 머신 세이프티 국제 규정 해설 – ISO 13849 안전도(Functional Safety), https://incomm.wordpress.com/2016/03/02/%EA%B8%B0%EA%B3%84-%EC%A0%9C%EC%9E%91%EC%9D%84-%EC%9C%84%ED%95%9C-%EB%A8%B8%EC%8B%A0-%EC%84%B8%EC%9D%B4%ED%94%84%ED%8B%B0-%EA%B5%AD%EC%A0%9C-%EA%B7%9C%EC%A0%95-%ED%95%B4%EC%84%A4-iso-13849-%EC%95%88/
ISO 13849 and IEC 62061 - Manufacturing and Machinery | TÜV SÜD, https://www.tuvsud.com/en-us/services/functional-safety/iso-13849-iec-62061
Safety of Machinery, https://sahkolehto.fi/wp-content/uploads/2021/01/Euchner-Safety-of-Machinery.pdf
How is the safety integrity level determined in accordance with IEC 62061? - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/safety-integrity-level.html
Safety integrity level - Wikipedia, https://en.wikipedia.org/wiki/Safety_integrity_level
Functional Safety – SIL - Endress+Hauser, https://portal.endress.com/wa001/dla/5000639/2936/000/01/CP01008Z11EN_0313_SIL-Brochure_X4_.pdf
Useful Lifetime of a Machinery Safety Control System - Rockwell Automation, https://literature.rockwellautomation.com/idc/groups/literature/documents/wp/safety-wp040_-en-p.pdf
EN ISO 13849 및 EN IEC 62061 성능 레벨 및 SIL 요구 사항입니다., https://www.phoenixcontact.com/ko-kr/industries/functional-safety/gigye-anjeon-pyojun
EN ISO 13849 and EN IEC 62061 Performance Level and SIL requirements. - Phoenix Contact, https://www.phoenixcontact.com/en-no/industries/functional-safety/safety-of-machinery-standards
Session 14: SIL or PL? What is the difference? - LC Automation, https://www.lcautomation.com/wb_documents/pilz/sil%20or%20pl,%20what%20is%20the%20difference.pdf
EN ISO 13849-1 – Functional safety standard, basis for Performance Level (PL) - Pilz, https://www.pilz.com/en-INT/support/law-standards-norms/functional-safety/en-iso-13849-1
EN ISO 13849-1 updated | Phoenix Contact, https://www.phoenixcontact.com/nl-be/events-en-nieuws/machineveiligheid/en-iso-13849-1-updated
Webinar // Updates on ISO 13849 1 - YouTube, https://www.youtube.com/watch?v=m3ItE1ohGdU
New Edition of ISO 13849-1: 2023 - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iso-standards/en-iso-13849-1-performance-level-estimation/iso-13849-1-new-edition-2023/
Machinery Functional Safety using IEC 62061 and ISO 13849 - The 61508 Association, https://61508.org/wp-content/uploads/2024/11/09A-T6A-Symposium-Presentation-IEC-62061-and-ISO-13849.pdf
IEC 62061 - 안전 무결성 등급으로 위험 평가 - Pilz KR, https://www.pilz.com/ko-KR/support/law-standards-norms/functional-safety/en-iec-62061
IEC 62061– Safety integrity level (SIL) - Pilz, https://www.pilz.com/en-US/support/law-standards-norms/functional-safety/en-iec-62061
Standards EN ISO 13849 & IEC 62061 | Blogs - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/Standards-EN-ISO-13849-and-IEC-62061-Blog-Eaton.html
EN IEC 62061 updated | Phoenix Contact, https://www.phoenixcontact.com/nl-be/events-en-nieuws/machineveiligheid/en-iec-62061-updated
How do you determine the performance level in accordance with EN ISO 13849-1? - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/performance-level.html
Group safety standards / ISO13849-1 | USA - IDEC Corporation, https://us.idec.com/RD/safety/law/iso-iec/iso13849
What are performance levels? - SICK AG, https://www.sick.com/us/en/what-are-performance-levels/w/blog-safety-standard-performance-levels
Help on the Application of ISO 13849-1 - Siemens, https://assets.new.siemens.com/siemens/assets/api/uuid:23ce849b-fca0-4402-b88b-91adef4139e8/hilfetexte-iso-en-211221.pdf
Safety in control systems according to EN ISO 13849-1 - ABB, https://search.abb.com/library/Download.aspx?DocumentID=2TLC172003B02002
PL Parameters ：Safety Knowledge - keyence, https://www.keyence.eu/ss/products/safetyknowledge/performance/parameter/
ISO 13849 PL Calculations Simplified | PDF | Relay | Switch - Scribd, https://www.scribd.com/document/393584185/ISO-13849-PL-Calculations-Simplified
3 - Implementing ISO 13849-1 - Mark Fessler.pptx - SESHA, https://sesha.org/wp-content/uploads/2019/12/fessler_proceedings_2011.pdf
ISO 13849-1 Revisions：Safety Knowledge | KEYENCE America, https://www.keyence.com/ss/products/safetyknowledge/performance/
P7: Functional Safety in High demand - ISO 13849-1 categories - Gt-Engineering, https://www.gt-engineering.it/en/insights/process-safety-processi-gt-engineering/p7-functional-safety-in-high-demand-iso-13849-1-categories/
Annex C: MTTF calculation - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iso-standards/en-iso-13849-1-performance-level-estimation/introduction/
ISO13849-1 | Safety Standard, https://www.smcworld.com/assets/overseas/international/en-jp/iso/pdf/ISO13849-1en.pdf
Design Verification - Safety Function Verification Example - Ross Controls, https://www.rosscontrols.com/en/safety/mttfd-and-diagnostic-coverage-example
Annex C: MTTF calculation - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iso-standards/en-iso-13849-1-performance-level-estimation/ciao/
안전규격 ISO13849-1의 대응 - 한국SMC, https://www.smckorea.co.kr/homepage/ver3.5/file/ISO13849-1_(P-K11-4B).pdf
Design of safety-related parts of control systems (SRP/CS) - CCP Engineering, https://www.ccpengineering.com/uploads/2/3/9/5/23951004/graphical_representation_of_13849-1_method.pdf
Difference between EN/ISO 13849 and EN/IEC 62061, https://ckm-content.se.com/ckmContent/sfc/servlet.shepherd/document/download/0691H00000FKdkSQAT
Design Verification | Safety Function Verification | ROSS Controls, https://www.rosscontrols.com/en/safety/design-verification
Case Studies of Comparing EN 954-1 and EN ISO 13849-1 Standard for Design of Industrial Machinery Safety Control System, https://jesk.or.kr/archive/download?study_id=43&dn_type=pdf
PT 11: Functional safety in high demand: Categories 3 and 4 according to ISO 13849-1, https://www.gt-engineering.it/en/insights/process-safety-processi-gt-engineering/pt-11-functional-safety-in-high-demand-categories-3-and-4-according-to-iso-13849-1/
Introduction to Hardware Architecture and Evaluation According to EN ISO 13849-1 - DiVA portal, https://www.diva-portal.org/smash/get/diva2:1282544/FULLTEXT01.pdf
SISTEMA - little guidence | PLCS.net - Interactive Q & A, https://www.plctalk.net/threads/sistema-little-guidence.135802/
What is SIL (Safety integrity Level)? - ORS Consulting, https://www.ors-consulting.com/what-is-sil-safety-integrity-level
기계에 대한 기능 안전 (Functional Safety) - TUV Rheinland, https://www.tuv.com/korea/ko/%EA%B8%B0%EB%8A%A5-%EC%95%88%EC%A0%84%EC%84%B1-(functional-safety).html
EN IEC 62061 - Everything you need to know - Unique Safety Products, https://uniquesafetyproducts.com/laws-and-regulations/en-iec-62061/
Help on the Application of IEC 62061 - Siemens, https://assets.new.siemens.com/siemens/assets/api/uuid:eac7a782-fb43-4e3c-8d51-4ce6418cf628/hilfetexte-iec-en-211221.pdf
Determination of the required SIL (SILr) according to IEC 62061 - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iec-standards/iec-62061-functional-safety-of-machineries469677178/determination-of-the-required-sil-silr-according-to-iec-62061/
The key Parameters - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iec-standards/iec-62061-functional-safety-of-machineries469677178/the-key-parameters608244919/
Back to Basics 20 – Safe Failure Fraction, SFF - Exida, https://www.exida.com/blog/back-to-the-basics-20-safe-failure-fraction-sff
P3: Considerations on the Safe Failure Fraction in High and Low Demand - Gt-Engineering, https://www.gt-engineering.it/en/insights/process-safety-processi-gt-engineering/considerations-on-the-safe-failure-fraction-in-high-and-low-demand/
Back to Basics: Failure Rates - λ - exida, https://www.exida.com/blog/back-to-basics-failure-rates1
The four Architectures - Gt-Engineering, https://www.gt-engineering.it/en/technical-standards/en-iec-standards/iec-62061-functional-safety-of-machineries469677178/the-four-architectures2019550094/
How to Quantify Common Cause Failures - EngineerZone Spotlight - EZ Blogs, https://ez.analog.com/ez-blogs/b/engineerzone-spotlight/posts/how-to-quantify-common-cause-failures
Chapter 7 - The Architectures of IEC 62061 - Gt-Engineering, https://www.gt-engineering.it/en/pubblications/functional-safety-of-machinery/chapter-7/
How do Performance Level (PL) and Safety Integrity Level (SIL) differ? - Eaton, https://www.eaton.com/gb/en-gb/markets/machine-building/service-and-support-machine-building-moem-service-eaton/blogs/difference-between-sil-and-pl.html
DGUV - Sistema: a Tool for the Easy Application of the Control Standard EN ISO 13849-1, https://www.dguv.de/medien/ifa/en/pra/softwa/sistema/paper_e.pdf
IFA - Practical solutions: EN ISO 13849, Safety of machine controls - DGUV, https://www.dguv.de/ifa/praxishilfen/practical-solutions-machine-safety/sicherheit-von-maschinensteuerungen/index.jsp
IEC 62061 - Gt-Engineering, https://www.gt-engineering.it/en/insights/functional-safety-300321/iec-62061/
EN ISO 13849 and EN IEC 62061 Performance Level and SIL requirements. - Phoenix Contact, https://www.phoenixcontact.com/en-pc/industries/functional-safety/safety-of-machinery-standards
Understanding ISO 13849: The Foundation of Functional Safety in the Machinery Sector, https://www.jamasoftware.com/requirements-management-guide/industrial-manufacturing-development/understanding-iso-13849-the-foundation-of-functional-safety-in-the-machinery-sector/
Chapter 8 - Validation - Gt-Engineering, https://www.gt-engineering.it/en/pubblications/functional-safety-of-machinery/chapter-8/
Validation of machines under consideration of the new EN ISO 13849-2 - IRSST, https://medias.irsst.qc.ca/videos/1210_mp_co_HD_becker_en_pdf.pdf
Validation of the safety functions according to EN ISO 13849-2 - Wieland Electric, https://www.wieland-electric.com/en/support/services-for-machine-safety/ce-marking/ce-services/validation-safety-functions-en-iso-13849-2/
IEC 61508 and ISO 13849 Functional Safety Assessment - Precision Sensors, https://precisionsensors.com/wp-content/uploads/2021/11/W-Series-Pressure-Switch-Assessment-Report.pdf
Safety Function: Door Monitoring Products: SensaGuard™ / GSR DI - Rockwell Automation, https://literature.rockwellautomation.com/idc/groups/literature/documents/at/safety-at069_-en-e.pdf
ISO 13849-1 - Everything you need to know - Unique Safety Products, https://uniquesafetyproducts.com/laws-and-regulations/en-iso-13849-1/
Chapter 3.9 – Axelent Safety Book – Robot safety, https://www.axelent.com/safety-book/machine-safety/robot-safety/
Safe Robotics – Safety in collaborative robot systems | 8020621 - SICK AG, https://www.sick.com/media/docs/6/96/996/whitepaper_safe_robotics_en_im0072996.pdf
Safety in Collaborative Robotics - Gt-Engineering, https://www.gt-engineering.it/en/insights/machinery-safety/safety-in-collaborative-robotics/
Collaborative robot safety standards you must know - Standard Bots, https://standardbots.com/blog/collaborative-robot-safety-standards
SISTEMA Report - ISSA Section Machine and System Safety, https://www.safe-machines-at-work.org/fileadmin/user_upload/pdf/control_devices/Seminars_Functional_Safety_and_Validation/Example_ISSA_FP.pdf
Example how to apply ISO13849-1/2 (Sistema) including validation Detroit, USA Toronto, Canada - ISSA Section Machine and System Safety, https://www.safe-machines-at-work.org/fileadmin/user_upload/pdf/control_devices/Seminars_Functional_Safety_and_Validation/ISO_13849_2_2022_Detroit__Toronto__Becker.pdf
SISTEMA-Cookbook 4: When the designated architectures do not fit - DGUV, https://www.dguv.de/medien/ifa/en/pra/softwa/sistema/kochbuch/sistema_cookbook4_v2_en.pdf
SISTEMA Report - Parker Hannifin, https://www.parker.com/content/dam/Parker-com/Literature/Electromechanical-Europe/Reports/compax3s_sto_with_fieldbus_eng.pdf