<특집: 플랜트의 안전을 뒷받침하는 기능 안전 시스템>싱글 SIL3 로직 솔버의 소개 > 전체기사

전체기사
Monthly Magazine of Automatic Control Instrumentation

기획특집 <특집: 플랜트의 안전을 뒷받침하는 기능 안전 시스템>싱글 SIL3 로직 솔버의 소개

페이지 정보

작성자 댓글 0건 조회 1,327회 작성일 20-05-11 14:34

본문

사진 1. ProSafe-RSSCS (이중화 구성


서론

당사의 안전 계장 시스템(Safety Instrumented System, 이하 SIS)1997년에 ProSafe 시리즈 판매를 시작했다. 초대 PmSafe-PLC를 시초로 2005년에는 ProSafe-RS를 판매하기 시작했으며 세계적으로 2,600 프로젝트, 일본 국내에서도 150 프로젝트를 넘는 실적이 있다.


여기에서는 기능 안전 규격(IEC 61508)의 안전 무결성 수준 3(Safety Integrity Level 3, 이하 SIL3)에 적합한 ProSafe-RS의 로직 솔버인 세이프티 컨트롤 스테이션(Safety Control Station, 이하 SCS)의 안전성 향상을 위해 채용한 테크놀로지, 싱글 및 이중화의 양쪽으로 구성하여 SIL3을 실현한 하드웨어 기술의 특징을 중심으로 소개하도록 한다.

 

ProSafe-RS의 특징

ProSafe-RSSCS(사진 1, 사진 2)IEC 61508의 요구를 만족하면서 분산 제어 시스템(Distributed Control System, 이하 DCS)과의 통합 등 사용자 관점에서의 기능을 담아 개발했다.

DCSSIS의 통합에 의한 장점이 있는 한편, 기능 안전 규격에서는 DCSSIS의 분리가 요구되고 있다. 이 때문에 ProSafe-RSDCS로부터의 영향에 의해 SCS의 안전 기능이 작동하지 않게 되는 현상이 발생하지 않는 구조를 가진다.


(1) 이중화 구성 시 한쪽에 고장이 나도 안전기능은 손상되지 않는다

SCS는 싱글 구성으로 SIL3을 실현하기 때문에 이중화 구성 시에 한쪽 프로세서 모듈 혹은 한쪽의 입출력 모듈이 고장나도 SIL3 수준의 안전성은 계속된다.

한편, 다중화하여 SIL3을 실현하는 타입의 로직 솔버에서는 하나의 모듈 고장이 발생하면 수리가 끝날 때까지 고장 검출률이 저하된다. 따라서 특정 시간 내에 수리를 끝낼 필요가 있으며, 완료되지 못한 경우에는 플랜트를 수동으로 정지하는 등 안전 대책을 두어야 한다. 사용자는 엔지니어의 대기와 증원, 단시간의 고장 부위 특정, 교환, 테스트를 실시하기 위한 구조 등, 수리 시간을 보증하기 위한 운용비용을 운전 기간 전체에서 고려할 필요가 있다. ProSafe-RS는 이 제한을 배제할 수 있기 때문에 운용비용 등의 절감을 기대할 수 있다.


(2) 싱글 구성 고장 시에도 유연하게 대응

SCS는 입출력 모듈이 싱글 구성일 때도 입출력 모듈 고장 시에 잘못 트립시키지 않는 기능을 구현했다. 디지털 입력 모듈의 경우에는 평소에는 1, 플랜트에 이상이 있을 때 0이 되는 신호 입력에서 입출력 모듈의 해당 채널에서 고장을 검출했을 때 1을 입력하도록 정의할 수 있다. 이 경우, 입출력 모듈이 고장났을 때에는 싱글 구성이더라도 해당 채널의 고장을 검출하여 잘못된 트립없이 고장의 발생만 알람으로 통지되기 때문에 플랜트의 불필요한 트립을 방지할 수 있다.

 

 31bad0e815d59689b3c51b0f2cb545e3_1589175115_43.jpg

사진 2. ProSafe-RSSCS (싱글 구성)

 


SCS에서의 안전 테크놀로지

SCS에서 SIL3의 안전성을 보장하기 위해 채용한 안전 기능(SCS 간 세이프티 통신, 메인터넌스 오버라이드)와 비안전 기능이 안전 기능을 간섭하지 않는 것을 보증하는(비안전 기능 간의 간섭 제어) 테크놀로지에 대해 소개한다.


(1) SCS 간 세이프티 통신

기능 안전 규격에서는 SIS와 타 시스템과의 공유를 허용하지 않지만 ProSafe-RSDCS(당사 DCSCENTUM, 이하 CENTUM)의 제어 네트워크(V net /IP)를 분리하지 않고 동일 제어 네트워크 상에서 SIL3 수준의 인증을 받은 안전통신이 가능하다(그림 1).

안전 통신인 SCS 간 세이프티 통신(V net/IP를 경유하여 여러 SCS에 걸쳐 SIL3까지의 세이프티 루프를 구축하는 통신)을 실시하기 위해 전용 SCS 간 세이프티 통신용 기능 블록(Function Block, 이하 FB)을 사용하여 로직을 기술한다. 통신에 의해 발생할 수 있는 위험 현상(데이터의 파괴, 누락, 지연 등)이 수신 측 SCSFB에서 모두 체크되고 이상 검출 시에는 지정된 페일 세이프티 값을 출력함과 더불어 이상 부분을 특정하는 정보와 이상 요인을 알람으로 통지한다.


(2) 메인터넌스 오버라이드

메인터넌스 오버라이드는 전용 오버라이드 FB를 사용하여 로직을 구축함으로써 CENTUM VP의 조작 감시 PC(Human Interface Station, 이하 HIS)를 통해 SCS에 대해 안전하게 필드 기기의 교환 작업을 실시할 수 있다(그림 2). 또한 오버라이드 허가 스위치가 있어 허가 상태가 아니면 HIS를 통한 오버라이드 조작을 할 수 없게 되어 있다.


31bad0e815d59689b3c51b0f2cb545e3_1589175203_11.jpg
그림 2. 메인터넌스 오버라이드

 


(3) 비안전 기능으로부터의 간섭 방어

SCS에서는 SCS 내에 함께 있는 비안전 기능 및 SCS와 통신으로 연결되는 안전하지 못한 기기로부터 SCS 내의 안전 기능에 대한 간섭을 방어하기 위한 구조를 구현했다.


1) 안전 기능 영역에 대한 메모리 프로텍트

SCS 내에서 안전 기능이 사용하고 있는 메모리 영역에 대해 비안전 기능에서 기입할 수 없도록 보호하고 있다.

2) 안전 기능의 실행을 최우선으로 한 설계

SCS 내에서 안전 기능의 실행 우선도를 비안전 기능보다 높게 설정했다. 더 나아가 SCS에서는 스캔 주기 별로 실행된 V net/IP 통신의 처리 시간을 계측하고 설정된 처리 시간의 상한을 넘지 않도록 제어하고 있다. 따라서, 만약 악의를 가지고 SCS에 통신 공격이 이루어졌다고 해도 안전 기능은 스캔 주기 별로 확실하게 실행할 수 있다.



 

...(후략)



高橋 利明 / 요꼬가와전기

본 기사는 2020년 5월호에 게재되었습니다. 

  

-------------------------------------------------------------------------------------------------------------------------

본 기사는 월간지[計側技術] (일본, 일본공업출판주식회사 발행)로부터 번역·전재한 것입니다.

전체 기사를 보기 원하시는 분께서는 아래 메일 주소로 문의 주시기 바랍니다.

autocontrol5@autocontrol5.co.kr / 031-873-5686


제어계측사     대표자  이윤성     사업자등록번호  107-19-58315     TEL  031-873-5686     FAX  031-873-5685
ADD  경기도 의정부시 신흥로258번길 25 해태프라자 1501호      E-mail  autocontrol5@autocontrol5.co.kr
Copyrights ⓒ 2020 제어계측사 All rights reserved.