IEC 61508, EN 50129, MIL-STD-882E
기능 안전(Functional Safety)은 기술 시스템에서 발생할 수 있는 위험으로부터 사람, 자산, 환경을 보호하기 위한 핵심 개념이다. 여러 산업에서는 각기 다른 기능 안전 표준을 사용하지만, 이들 중 상당수가 공통적인 기반을 공유하고 있다. 산업 전반에 사용되는 IEC 61508 이하 IEC는 다양한 산업 분야에서 기능 안전을 위한 기반 표준이다. 이 일반적인 프레임워크를 기반으로, 철도 분야의 EN 501xx 시리즈, 공정 산업, 원자력, 의료기기 등 각 산업별로 특화된 표준이 개발되어 왔으며, 이러한 도메인 특화 표준은 IEC의 원칙을 각 분야의 요구에 맞게 조정한 것이다.
그러다 보니 철도 산업에서 어려운 안전 관련 문제에 직면했을 때, CENELEC에 해답이 없는 경우, 많은 경우 다시 IEC를 참고하게 되는 것은 자연스러운 일이다.
또한 방위 산업의 기준인 MIL-STD-882E에서는 SIL(Safety Integrity Level)을 어떻게 다루는지를 비교해 보자.
IEC 61508은 다양한 산업에서 전기, 전자, 프로그램 가능한 시스템의 기능 안전을 평가하고 확보하기 위한 표준이다. SIL을 기준으로 정량적인 위험 평가 및 시스템 설계 방식을 제공한다. 이 표준을 바탕으로 여러 분야에 특화된 표준이 개발되었다:
CENELEC EN 50129 (철도 제어 및 신호 시스템)
IEC 61511 (공정 산업)
IEC 60601-1 (의료기기)
원자력, 자동차 등 각 분야별 안전 표준
각 표준은 IEC 61508의 핵심 원칙을 유지하면서 해당 분야의 요구사항에 맞게 조정된 형태이다.
철도 안전 설계 중 CENELEC EN 50129만으로 해결이 어려운 경우, 종종 IEC 61508으로 돌아가 해답을 찾아야 한다. 하지만 IEC의 개념이 CENELEC에 그대로 적용되지는 않다.
수요 모드(Demand Mode)의 구분 (High, Low, Continuous Demand)
진단 커버리지(Diagnostic Coverage)에 대한 요구사항
아키텍처 제약 조건 (Architecture Constraint Condition):
① 고장 허용 수준(Fault Tolerance Level)
② 안전 고장 비율(Safe Failure Fraction)
IEC 61508은 안전 기능이 얼마나 자주 사용되는지를 기반으로 Safety Integrity Level(SIL)을 분류한다:
Low Demand Mode: 1년에 한 번 이하로 드물게 작동하는 보호 기능 (예: 비상 차단 시스템)
High/Continuous Demand Mode: 자주 또는 상시 작동하는 기능 (예: 철도 신호 시스템)
하지만 CENELEC 표준(EN 50129 등)에서는 Low Demand Mode 개념이 빠져 있다. 이유는 다음과 같다:
1️⃣ 철도 신호 시스템은 대부분 지속적으로 작동하는 Continuous Demand Mode이다.
EN 50129:2018 기준, 철도 신호 시스템은 항상 중단 없이 작동하므로, 비상 상황에만 작동하는 시스템은 거의 없으니 Low Demand 개념이 불필요하다.
2️⃣ Low Demand 시스템을 Continuous Demand 시스템으로 모델링할 수 있다
IEC 61508의 SIL 목표 테이블(표 2: Low, 표 3: High/Continuous)을 비교하면, 최대 허용 고장 확률이 약 10,000배 차이가 난다는 걸 알 수 있다. 이는 Low Demand가 연 1회(약 10⁴ 시간)에 한 번 정도 작동할 것으로 가정하기 때문이다.
방위산업: 위험 발생 확률에 따라 수요를 모델링
철도: 항상 작동 시스템 → Low Demand 개념 불필요
Low Demand Mode는 의료, 화학 플랜트 등 드물게 작동하는 보호 시스템에 적합한 개념이다.
하지만 철도 신호 시스템은 Continuous Demand Mode가 기본이며, 따라서 CENELEC 표준에서는 Low Demand 관련 조항이 생략되어 있다.
방위산업에서는 MIL-STD-882E (System Safety), MIL-STD-810 (환경시험), MIL-STD-1472 (Human Factor Engineering) 등 다양한 군용 표준이 사용되며. 이 중 MIL-STD-882E가 기능 안전과 가장 밀접한 관련이 있다.
SIL 개념이 없다. 대신 위험 행렬(Risk Matrix)을 사용하여 발생 확률과 피해 수준을 조합해 위험 등급을 산정한다.
ALARP(합리적으로 실현 가능한 최소 위험) 원칙에 따라 위험을 줄인다.
수요 모드 개념은 명시적이지 않지만, 위험의 발생 가능성과 빈도를 통해 간접적으로 반영된다.
MIL-STD는 "SIL" 대신 "Risk Severity & Probability Matrix"를 사용하여 발생 확률과 피해 수준을 조합해 위험 등급을 산정한다. 고장 확률 및 영향도를 등급화하여 위험을 정의하고, 이에 기반해 위험 완화 조치를 설계한다.
ALARP(합리적으로 실현 가능한 최소 위험) 원칙에 따라 위험을 줄인다.
수요 모드 구분이 명시적으로 표현되지는 않지만, 위험 발생 가능성과 그 빈도를 구분하는 방식은 IEC의 Demand Mode 개념과 유사하다.
CENELEC EN 50129는 철도 산업의 연속 운용 특성을 반영해 Continuous Demand Mode 중심으로 구성되어 있다. 이로 인해 IEC에서 중요하게 다루는 Low Demand나 Architectural Constraints (아키텍처 제약) 개념은 생략되어 있다.
반면, MIL-STD-882E는 전혀 다른 방식으로 안전을 다룬다. 수치 기반의 SIL 개념 없이, 위험 평가와 완화 전략 중심의 정성적 접근 방식을 사용한다. Demand Mode(수요 모드)는 분명히 구분하지 않지만, 위험 발생 빈도와 영향도를 통해 간접적으로 고려된다.
결론적으로, CENELEC은 IEC를 철도에 맞게 특화된 표준, MIL-STD는 완전히 독립된 위험 중심 프레임워크를 사용하는 위험 중심 시스템 접근 방식이라고 이해하면 된다.