산업 기능 안전을 위한 전원 공급 장치 설계 — 1부: IEC 61508 요구사항

글: 브라이언 안젤로 보레스(Bryan Angelo Bores) 제품 애플리케이션 선임 매니저, 노엘 테노리오(Noel Tenorio) 제품 애플리케이션 매니저 / 아나로그디바이스(Analog Device, Inc.)


개요

전원 공급 장치는 그 동작이 전체 시스템의 기능에 영향을 미칠 수 있기 때문에 전자 시스템에서 가장 핵심적인 구성 요소 중 하나로 여겨진다. IEC 61508에서 규정하는 산업 기능 안전(functional safety, FS)의 맥락에서, 전원 공급 장치는 전기/전자/프로그래밍 가능한 전자(E/E/PE) 안전 관련 시스템(safety-related systems, SRS)과 기타 하위 시스템에 대한 요소 및 지원 서비스로 간주된다. IEC 61508의 기능 안전 준수를 위한 세 가지 핵심 요구사항과 권장되는 진단 조치로 인해, 산업 기능 안전(FS)을 위한 전원 공급 장치 개발은 어려운 작업일 수 있다. 이러한 이유로 이 시리즈의 1부에서는 기본 기능 안전 표준이 전원 공급 장치에 대해 어떤 요구사항을 제시하는지 살펴본다.

머리말

산업 기능 안전의 맥락에서 전원 공급 장치 설계에 대한 이 시리즈의 1부에서는 전기/전자/프로그래밍 가능한 전자(E/E/PE) 안전 관련 시스템(SRS)의 이러한 요소와 관련된 안전 요구사항을 중점적으로 다룬다. 이를 위해 기본 기능 안전 표준이 전원 공급 장치에 대해 요구하는 핵심 항목들을 살펴본다.

E/E/PE 안전 관련 시스템의 전원 공급 장치

IEC 61508-4는 E/E/PE 시스템을 제어, 보호 또는 모니터링을 위해 하나 이상의 E/E/PE 장치를 사용하는 시스템이라고 정의한다. 여기에는 전원 공급 장치, 센서 및 기타 입력 장치, 데이터 하이웨이 및 기타 통신 경로, 액추에이터 및 기타 출력 장치 등 시스템의 모든 요소를 포함한다.

한편, 안전 관련 시스템은 제어되는 장비(equipment under control, EUC)의 안전 상태를 달성하거나 유지하는 데 필요한 필수 안전 기능을 구현하도록 고안된 시스템과, 필수 안전 기능에 필요한 안전 무결성을 자체적으로 또는 다른 E/E/PE SRS 및 기타 위험 저감 조치들과 함께 달성하도록 하는 시스템이라고 정의된다.

이는 그림 1에서 볼 수 있는데, 여기에서 전원 공급 장치는 지정된 안전 기능을 수행하는 데 필요한 하드웨어 및 소프트웨어 외에, E/E/PE SRS에 대한 지원 서비스의 예로 볼 수 있다.

Figure 1. E/E/PE system—structure and terminology.
그림 1. E/E/PE 시스템 - 구조 및 용어

전원 공급 장치와 공통 원인 고장(CCF)

기본 기능 안전 표준은 공통 원인 고장(common cause failure, CCF)을 다음과 같이 정의한다. 즉, 하나 이상의 사건으로 인해 다채널 시스탬 내 두 개 이상의 채널에서 동시에 고장이 발생하여 시스템 전체 고장으로 이어지는 경우를 공통 원인 고장(CCF)이라 한다. 일례로 SRS에 여러 가지 위험한 고장을 초래할 수 있는 전원 공급 장치의 고장을 들 수 있으며, 이는 그림 2에서 볼 수 있다. 그림에서는 24V 입력이 출력 12 VCC 및 5 VCC로 단락되었다고 가정할 때, 24V 전원에서 발생하는 고장이 이어지는 회로에 위험한 고장을 초래할 수 있다는 것을 보여준다.

Figure 2. Example of a power supply CCF scenario.
그림 2. 전원 공급 장치 CCF 시나리오의 예

CCF는 기능 안전 준수 시 고려해야 할 중요한 사항이다. 왜냐하면 CCF는 IEC 61508의 세 가지 핵심 요구사항인 시스템 안전 무결성, 하드웨어 안전 무결성, 구조적 제약의 준수에 영향을 미치기 때문이다. 이들 표준이 특정 환경에서 CCF 및 전원 공급 장치와 관련하여 언급하는 요구사항은 다음과 같다:

  • IEC 61508-1 섹션 7.6.2.7은 전체 안전 요구사항을 배정할 때 CCF의 가능성을 고려한다. 또한 이 섹션은 배정 시 독립적으로 취급되는 EUC 제어 시스템, E/E/PE SRS 및 기타 위험 저감 조치는 장치의 고장이 모든 시스템의 위험한 고장 모드를 초래할 수 있는 공통 전원 공급 장치를 공유해서는 안 된다고 규정하고 있다.
  • 이와 유사하게, 요구되는 체계적 능력(systematic capability, SC)을 달성하기 위한 요소들의 합성 하에서, IEC 61508-2 섹션 7.4.3.4 각주 1은 모든 시스템의 위험한 고장 모드를 초래할 수 있는 공통 전원 공급 장치의 고장이 없도록 보장하는 것이 충분한 독립성을 달성하기 위해 가능한 접근 방법 중 하나라고 언급하고 있다.
  • 온칩 이중화를 지원하는 IC에 대해, IEC 61508-2 부속서 E는 무엇보다 전원 공급 장치와 같은 입력과 출력의 분리, 전원 공급 장치 결함으로 인한 위험한 고장의 방지 조치 사용 등 여러 가지 규범적 요구사항을 언급하고 있다.

이들 조항은 장치의 고장이 모든 시스템의 위험한 고장 모드를 초래할 수 있는 공통 전원 공급 장치를 공유하는 것을 금지하고 있지만, 시스템을 설계할 때 이러한 관행을 구현할 경우 보드 면적과 비용 증가로 이어질 수 있다. 그래도 공통 전원 공급 장치를 사용해야 한다면, 한 가지 방법은 전원 공급 장치 모니터링을 충분히 활용하는 것이다. 이렇게 하면 안전 요구 사항에 따라 전원 공급 장치로 인해 E/E/PE SRS에 발생하는 위험한 고장을 제거하지는 못하더라도 허용 가능한 수준으로 감소시킬 수는 있다. 전원 공급 장치 모니터링이 공통 원인 고장을 어떻게 효과적으로 해결하는지에 대한 자세한 내용은 ADI 엔지니어 커뮤니티의 블로그 포스트 “전원 기능 안전(Functional Safety for Power)”에서 확인할 수 있다.

전원 공급 장치의 고장과 진단

전원 공급 장치의 고장 감지 필요성 때문에, 기본 기능 안전 표준은 체계적 및 임의 하드웨어 고장 모두를 해결하기 위한 요구사항과 권장사항을 규정하고 있다.

체계적 결함 제어를 위한 요구사항과 관련하여, IEC 61508-2 섹션 7.4.7.1은 E/E/PE SRS 설계가 전자기 교란(EMI)을 포함하여 환경적 스트레스에 대한 내성을 갖도록 요구한다. 이 조항은 IEC 61508-2 표 A.16에 나와 있으며, 여기에는 전원 공급 장치의 결함(전압 항복, 전압 변동, 과전압(OV), 저전압 및 기타 현상)에 대한 몇 가지 조치를 SIL 수준에 관계없이 의무적으로 규정하고 있다(표 1 참조).

표 1. IEC 61508-2 표 A.16의 전원 공급 장치 모니터링 요구사항
기법/조치 SIL 1 SIL 2 SIL 3 SIL 4
위험한 고장으로 이어질 수 있는 전압 항복, 전압 변동, 과전압, 저전압 및 AC 전원 공급 장치 주파수 변동 등에 대한 조치 M
낮음		 M
중간		 M
중간		 M
높음

표 A.1은 디스크리트 하드웨어 구성요소에 대해 임의 하드웨어 고장의 영향을 정량화할 때 전원 공급 장치에 가정할 수 있는 결함과 고장을 보여준다(표 2 참조). 한편, IEC 61508-2 표 A.9는 전원 공급 장치에 권장되는 진단 조치와 함께 각각의 최대 요구 가능한 진단 범위를 보여준다. 표 3은 IEC 61508-7 섹션 A.8의 더 자세한 내용과 함께 이를 보여준다.

표 2와 표 3은 모두 구성요소별 고장 모드로서 안전 분석을 수행할 때 유용하며, 사용되는 진단 기술의 진단 범위는 람다값(lambda value) 계산에 대한 입력이 되므로 SIL 지표는 위험 고장 확률과 안전 고장 비율(safe failure fraction, SFF)이 된다.

표 2. IEC 61508-2 표 A.1에 의해 가정되는 전원 공급 장치 결함 및 고장
구성요소 낮음
(60%)		 중간
(90%)		 높음
(99%)
전원 공급 장치 고착(Stuck-at) DC 고장 모델

드리프트 및 발진		 DC 고장 모델

드리프트 및 발진

표 3. 전원 공급 장치의 권장되는 진단 조치
진단 조치 목표 설명 달성 가능한 최대 DC
안전 차단으로 과전압(OV) 보호 OV에 대해 SRS 보호 OV가 충분히 조기에 감지되므로 전원 차단 루틴으로 모든 출력을 안전 상태로 전환하거나 2차 전원 장치로 전환 가능 낮음(60%)
전압 제어(2차) 2차 전압을 모니터링해서 전압이 지정된 범위에 있지 않으면 안전 상태를 초기화 2차 전압이 모니터링되고, 지정된 범위에 있지 않을 경우 전원 차단이 시작되거나 2차 전원 장치로 전환 높음(99%)
안전 차단으로 전원 차단 모든 안전에 대한 모든 핵심 정보가 저장된 상태에서 전원을 차단 OV 또는 저전압(UV)이 충분히 조기에 감지되므로 필요 시 내부 상태를 비휘발성 메모리에 저장하고 전원 차단 루틴을 통해 모든 출력을 안전 상태로 설정하거나 2차 전원 장치로 전환 가능 높음(99%)

그림 3a는 전압 제어 진단 조치의 예를 보여준다. 이 예에서는 로직 컨트롤러 서브시스템(일반적으로 포스트 레귤레이터 또는 LDO 형태)의 전원 공급 장치가 MAX16126에 의해 모니터링된다. OV든 UV든 범위를 벗어난 전압이 감시기에 의해 감지 시 마이크로컨트롤러와 기타 로직 장치로 구성된 로직 컨트롤러 서브시스템이 전원 공급 장치로부터 분리되고 MAX16126의 FLAG 핀이 활성화(assert)된다. 이를 통해 로직 컨트롤러 서브시스템은 안전 상태로 전환될 수 있다. 이와 유사하게, 이 회로는 UV 감지가 없는 경우 안전 차단 진단 조치를 이용하여 OV 보호로도 사용될 수 있다.

그림 3b는 안전 차단 진단 조치를 사용하는 전원 차단의 예를 보여준다. 이 예에서 LTC3351 의 핫스왑 컨트롤러는 전원 공급 장치를 로직 컨트롤러 서브시스템에 연결하고 동기 스위칭 컨트롤러가 스텝다운 모드로 작동하면서 적층된 수퍼커패시터를 충전한다. 전원 공급 장치가 OV 또는 UV 임계 전압을 벗어나면 LTC3551은 로직 컨트롤러 서브시스템을 전원 공급 장치로부터 분리하고, 동기 컨트롤러는 적층된 수퍼커패시터에서 로직 컨트롤러 서브시스템에 전원을 공급하기 위해 역방향으로 스텝업 컨버터로 동작한다. 이를 통해 로직 컨트롤러 서브시스템이 내부 상태를 비휘발성 메모리에 저장하고 전원 차단 루틴으로 모든 출력을 안전 상태로 설정할 수 있는 충분한 시간이 확보된다.

Figure 3. Illustration of recommended diagnostic measures for a power supply.
그림 3. 전원 공급 장치에 대해 권장되는 진단 조치의 예

전원 공급 장치 동작

CCF, 전원 공급 장치 고장 및 권장되는 진단 조치 외에도, IEC 61508은 E/E/PE SRS에서 전원 공급 장치 동작의 중요한 요소로 규정하고 있다. 이 내용은 표준의 6번째 부분, 부속서 B.3에서 볼 수 있으며 일정한 고장률을 가정하여 하드웨어 고장 확률을 평가하기 위한 신뢰성 블록 다이어그램 방법 활용에 대해 설명한다. 여기에는 센서, 로직 및 최종 요소 서브시스템의 범위 외에, 전원 공급 장치의 동작도 포함되어 있으며, 다음 예에서 볼 수 있다:

  • 전원 공급 장치 고장으로 DTT(de-energize-to-trip) E/E/PE SRS으로부터 전원이 제거되고 시스템 트립이 안전 상태로 전환되는 경우, 전원 공급 장치는 SRS의 PFDavg에 영향을 미치지 않는다.
  • 시스템이 ETT(energized-to-trip)되거나 전원 공급 장치에 E/E/PE SRS의 안전하지 않은 동작을 초래할 수 있는 고장 모드가 있는 경우, 전원 공급 장치를 평가에 포함시켜야 한다.

이와 같은 가정은 전원 공급 장치가 IEC 61508의 핵심 요구사항 중 하나인 위험한 고장의 확률을 계산하는 데 영향을 미칠 수 있는지 여부를 전원 공급 장치 동작이 결정할 수 있기 때문에 E/E/PE SRS에서 전원 공급 장치의 동작은 중요하다.

결론

지금까지 E/E/PE 안전과 관련한 시스템의 전원 공급 장치에 대한 기본 기능 안전 표준의 규범적 및 정보적 요구사항에 대해 자세히 살펴보았다. 먼저 E/E/PE SRS에서 전원 공급 장치의 역할을 다루었으며, 다음으로 공통 원인 고장은 공통 전원 공급 장치의 사용을 금지하지만, 전원 공급 장치 모니터링을 사용하여 CCF를 어떻게 없앨 수 있는지 알아보았다. 또한 전원 공급 장치와 관련된 체계적 및 임의 하드웨어 고장에 대한 요구사항과 함께 전원 공급 장치에 권장되는 진단 조치도 살펴보았다. 마지막으로 전원 공급 장치 동작(DTT 또는 ETT)에 따라 SRS의 위험한 고장 확률이 전원 공급 장치에 의해 영향을 받을 수 있다는 것도 다루었다.

참고문헌

Foord, Tony and Colin Howard. "Energise or De-Energise to Trip?" Measurement and Control, Vol. 41, No. 9, November 2008.

IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. International Electrotechnical Commission, 2010.

Meany, Tom. “Functional Safety for Power.” Analog Devices, Inc., March 2019.

저자 소개

브라이언 안젤로 보레스(Bryan Angelo Borres)는 TÜV 인증 기능 안전 엔지니어로서, 현재 여러 산업 기능 안전 제품 개발 프로젝트에 참여하고 있다. 그는 전원 애플리케이션 선임 엔지니어로서 시스템 통합 사업자가 IEC 61508과 같은 산업 기능 안전 표준을 준수하는 기능적으로 안전한 전원 아키텍처를 설계하도록 돕고 있다. 최근에는 IEC TC65/SC65A 및 IEEE 기능 안전 표준 위원회의 IEC 필리핀 국가 위원회 위원이 되었다. 브라이언은 전력전자공학 대학원 졸업 후 효율적이고 견고한 전력 전자 시스템 설계 분야에서 7년 여 간 폭넓은 경험을 쌓았다.

노엘 테노리오(Noel Tenorio)는 아나로그디바이스(ADI) 필리핀에서 고성능 감시기 제품을 담당하고 있는, 멀티마켓 전력 사업부의 제품 애플리케이션 매니저이다. 그는 2016년 8월에 ADI에 입사했으며, 그 전에는 SMPS 연구개발 회사에서 6년간 설계 엔지니어로 근무했다. 바탕가스 주립대학에서 전자통신공학 학사 학위를, 마푸아 대학 전력전자공학과에서 전기공학 전공으로 대학원을 졸업하고 전자공학 석사 학위를 취득했다. 감시기 제품 담당 전에는 열전기 냉각기 컨트롤러 제품을 위한 애플리케이션 지원을 맡았다.