ProSafe-RS 소개

[산업일보]
New Safety System Prosafe-RS
2005년 3월 Yokogawa에서는 국제안전 규격 IEC61508의 안전도 SIL(Safety Integrity Level)3 Grade에 적합한 SIS(Safety Instru mented System:안전계장 시스템)인 ProSafe-RS를 새롭게 개발, 출시하였다. 본 ProSafe-RS 시스템은 Yokogawa 자체시스템이며, 단독으로 SIS 분야에 적용 가능한 제반 조건을 만족하고 있을 뿐만 아니라, Yokogawa의 Process 제어 System인 CENTUM CS3000과 강력한 친화성을 갖고 있다. Process 및 Plant를 설계하는 User에 대하여, 통합된 Total Solution 구현이 용이한 Platform을 제공한다. 본고에서는 이러한 Yokogawa의 새로운 개념의 New SIS인 ProSafe-RS를 소개한다.

머리말
최근 Process 제어분야에서는, 중대한 안전사고의 발생으로 사람은 물론 환경과 관련한 피해가 심각하여 이러한 사고를 방지하는 것에 대한 국제적인 인식이 점차 고조되고 있는 실정이다. IEC (International Electrotechnical Commissio n)의 국제 안전 규격 IEC61508 및 IEC61511에서도, 중대한 사고를 방지하기 위해서는 Pro cess 제어계층에 Protection Layer를 구축하는 것과 더불어, SIS(안전 계장 시스템)에 의한 Risk 감소를 필수사항으로 권고하고 있다. 따라서 안전계장에 적용되는 안전시스템은 안전성과 함께 높은 신뢰성이 요구된다. 일반적으로 안전성과 신뢰성은 유사한 의미 입니다만, SIS에 있어서의 안전성은 공정이 위험한 상황으로 진행 되었을 시에 공정, 혹은 Plant를 미리 정해놓은 수순에 의해 안전하게 Shutdown시키는 것을 의미하며, 신뢰성은 시스템 자체 고장으로 인하여 Plant가 Shutdown 확률이 낮음을 의미한다. User의 관점에서는 Process 제어는 물론 안전계장 또한 동일한 Plant에서 실행되기 때문에, 양측 모두를 고려한 Total Solution을 요구하고 있다.



Yokogawa의 SIS인 ProSafe-RS는 이러한 요구에 의해, 아래의 특징을 갖고 있는 Safe ty Instrument System으로 개발되었다.
● DCS와 통합 Solution 제공
● Single 구성으로 SIL3를 만족하는 High Safety와 High Reliability 구현
● IEC61131-3에 준거한 엔지니어링 Tool

System 구성



<그림 1>은 안전계장 시스템 ProSafe-RS와 생산제어 시스템 CENTUM CS3000의 통합시스템 구성 예이다. ProSafe-RS는 Safety Engineeri ng PC(SENG)와 SCS(Safety Control Stati on)으로 구성되며, CS3000의 Control Networ k인 Vnet으로 CS3000과 별도의 통신모듈이나 Communication Gateway없이 직접 연결이 가능하다. SENG는 Enginee ring 기능 및 보수기능을 제공하는 Software가 동작하는 PC이며, SCS는 SENG로 작성한 Application을 Downlo ad하여, Shutdown 등의 Logic을 실행하는 Safety Controller이다. SCS의 기본 Architect ure는 CS3000 FCS의 Architecture를 승계하고 있으며, I/O Module 및 CPU Module은 이중화 구성 및 Single 구성이 가능하여 Plant 및 Process에 적합하게 선택할 수 있다. 또한 SCS간에는 TUV에서 인증을 받은 Safety 통신을 채용, CS3000과 Vnet을 공유하면서도 CS3000측의 간섭없이 SCS간의 Safety Communication을 실현하고 있다.
SENG로 CS3000의 Tag Engineering을 하여, 이를 SCS에 Down load하여 CS3000의 HI S(Human Interface Station)로부터 CS3000의 FCS와 동일한 방법으로 SCS의 조작 및 운용이 할 수 있어 통합 Operation이 가능하게 된다.

SCS Hardware 구성
SCS(Safety Control Station)은 1대의 Safety Controller Unit과 최대 9대까지 확장 가능한 Safety Node Unit으로 구성되어, 제어 Bus와 I/O Bus에는 CENTUM CS3000과 같은 Vnet 및 ESB/SB Bus를 채용하고 있다. <그림 2>에 ProSafe-RS의 SCS의 구조를 나타낸다. 개발 당시 높은 안전성과 신뢰성을 갖춘 CS3000의 Architecture를 Base로 개발하여, CS3000과의 통합화 운용 및 유지 보수성에 뛰어난 강점이 있다. 이러한 연유로 ProSafe-RS 시스템의 외형은 CS3000의 Field Control Station인 FFCS의 FIO와 거의 동일하다.
(1) Unit 구성
Safety Control Unit은 8매의 Processor 입출력 Module의 실장이 가능하고, Unit 단독으로 SCS를 구성하는 것이 가능하다. 또한 확장시에는 입출력 Module이 6매로, ESB Bus Coupler Module(SEC401)을 실장한 Safety Node Unit로 확장하는 구성도 가능하다. Safety Control Unit의 동작시 주위 온도는 -20°C~50°C가 표준입니다만, Max 70°C까지 운전 가능하고, 냉각 Fan으로 고온에도 대응하고 있다.
또한, SCS간의 정확한 시간 동기를 실행하기 위해 IRIG-B(GPS접속) Interface도 Option으로 있다. Safety Node Unit은 최대 8매까지의 입출력 Module을 실장하는 것이 가능하고, 표준으로 -20°C~70°C의 온도에서 동작한다.
(2) I/O Bus
I/O Bus (ESB/SB Bus)의 사양은, Yokoga wa의 DCS(Distributed Control System)인CENTUM System과 동일하다. 앞서 언급된 Safety Layer에 의해 동일한 Bus상에 안전통신과 비 안전 통신의 Isolation이 실현되어 있기 때문에 종래의 FIO를 동일한 Bus에 접속 하여 사용하는 것이 가능하다. 단, 안전기능의 비 간섭은 TUV의 인증을 취득할 필요가 있어, 현재는 RS 통신 Module만 접속 가능하게 되어 있다.
(3) Processor Module



<그림 3>에 Processor Module의 구성을 나타낸다.(Redundant 구성) Processor Module은 Pair & Spare방식을 채용하고 있는 CS3000의 CPU Module (CP401)을 Base로 개발했다. CP 401의 Pair & Spare 방식은, 2개의 Pro cessor가 동일한 연산을 하고, 그 연산 결과를 1개의 조합기(照合器)에 의해 신호선 Level로 비교하여, 일과성 연산 Error의 검출이 가능하다. 이것만으로도 충분히 높은 신뢰성을 얻을 수 있지만, Pro Safe-RS에서는 조합기와 주기억 및 관련 레지스터군과 WDT 등도 완벽하게 이중화 하여, 공통되는 고장 원인을 철저히 배제하고, 검출 불능 고장율(λdu)를 최소화 하는 설계로 되어 있다. 이러한 기능을 CP401과 동일한 Size에 수용하기 위해, 고 집적회로 ASIC을 신규로 개발하여 Micro Processor Unit(MPU)과 주기억(ECC Memo ry)장치를 제외한 대부분의 이중화 관련기능을 이 한 개의 ASIC Chip상에 탑재하고 있다. 물론 이러한 ASIC의 설계에 관해서도 IEC61508에 규정되어 있는 각종 안전설계 요건이 만족되도록 설계되어 있다. 또한 CP401에는 정전시의 주기억 Back Up에 충전 가능한 2차 전지를 사용하고 있으며, Back Up 가능한 시간은 약 48시간 정도이다. 그러나 IEC61131-2에서는 Application Program의 유지시간을 상온에서 1,000시간 이상, 고온하에서 약 300시간이상을 요구하고 있다. 따라서, Application Program은 비휘발성 Mem ory에 Loading하는 방식을 채용하고 있다.





(4) 입출력 Module
<표 1>에 입출력 Module의 종류를 표시한다.
<그림 4>는 입력 Module, <그림 5>는 출력 Mod ule의 구성을 나타낸다. 각각의 입출력 Module은 MPU(Micro Processor Unit)가 2개씩 탑재되어 있고, Processor Module로부터의 Comma nd 및 입출력 Data의 정확성을 MPU간에 비교 조합하면서 동작하고 있다. 입출력 Module에 있는 MPU간의 비교 조합 동작은 Processor Module과 같이 Hard적인 비교기로 하는 것이 아니라, 각각의 MPU에 탑재되어 있는 Firmwar e에 의해서 MPU간에 통신을 하고, 고정도의 동기를 하면서 조합동작을 실현하고 있다. 이 방식이 안전입출력 Module의 큰 특징이다.<그림 5>
1)입력 Module
입력 Module은 2개의 Processor (MPU)와 1 Channel 당 2계통의 입력회로, 그리고 입력회로와 주변회로를 진단하는 진단회로로 구성되어 있다. Field로부터의 입력신호는 독립된 2개의 입력회로를 경유하여 2개의 MPU에 입력된다. MPU는 각각 입력된 Data가 일치하는가를 상호 비교하여, 입력회로 및 MPU의 정확성을 검증하고 있다. Data가 불일치 하는 경우, 그 Data는 Firmware로 구축되어 있는 Safety Layer를 통해 Processor Module로 송신된다. 또한, 안전시스템에서 다루어지는 입력신호는 Shutdown 요구가 발생하지 않는 한 변화가 없는 것이므로, 혹시 입력 Channel의 회로부분이 고착되어 고장 난 경우, 그것의 검출이 불가능하게 되면, Shut down Demand가 발생하여도 출력을 Shut down하는 것이 불가능하게 된다. 이러한 위험 상태에 빠지지 않도록 하기 위해, 입력 Channel회로를 정기적으로 활성화함으로써, 평상시 고착으로 인한 고장 유무를 진단하고 있다.



2) 출력 Module
출력 Module에는 Processor Module로부터 I/O Bus를 경유하여 받은 출력 지시 Command를 2개의 MPU로 수신하여, Safety Layer에 따라 그 Command의 정확성을 각 MPU로 Check하고, 그 결과를 MPU간에 비교한다.
Command의 정확성이 확인되면, 지시치를 출력한다. 출력치는 2개의 MPU로 읽어 들이고, 지시치와 일치하는가 그렇지 않은가를 평상시에 진단하고 있다. 또한, 출력신호도 Shut down 요구가 발생하지 않는 한 변화하지 않기 때문에, 출력 Switch와 읽어 들인 회로가 고착으로 인한 고장인가 아닌가를 회로의 정기적인 활성화에 의해 진단하고 있다. 혹시 출력 Switch가 ON으로 고착 고장되어 있는 경우는 출력 Switch와 직렬로 배치되어 있는 또 하나의 Switch를 OFF로 하여, 출력을 강제적으로 OFF시킬 수 있도록 되어있다.
3) Field 배선 진단
ProSafe-RS와 Field계기 간의 배선의 정확성도, 안전 Loop를 구성하는 것 이상으로 중요한 Point이다. ProSafe-RS 자신이 정확한 경우라도, 배선이 단락, 혹은 단선되어 있다면, 안전 Loop가 바로 동작하는 것을 기대할 수 없다. 이를 위해 ProSafe-RS의 입출력 Module에는 배선의 단락 및 단선을 검출하는 기능이 실장 되어 있어, 이상을 검출한 경우 Alarm으로 운전자에게 통지하여, 복구가 가능하도록 해주는 기능이 있다.

DCS와의 통합
(1) Architecture 통합
ProSafe-RS는 오랜 기간 Process Automa tion Market에서 그 안전성과 신뢰성이 검증된 Yokogawa DCS인 CS3000의 Architecture를 기본으로 채용하고 있어, CS3000과 동일한 시스템의 안전성 과 신뢰성을 확보하고 있다. 현장에서는 ProSafe-RS와 CS3000을 동일한 Plant에 적용함으로써, Hardware의 설치 및 보수 등의 기본적인 사상을 DCS와 SIS에 동일하게 적용할 수 있는 이점이 있다. 또한 Architec ture의 통합으로, SIS와 DCS를 동일한 Control Network인 Vnet에 접속하는 구성이 가능하게 되었으며, 이로 인해 System Integration이 간단해지고, 시스템 설계에서 구현까지 Total Engineering의 효율이 대폭 개선되었다. 또한 이러한 장점으로 향후 상위 시스템을 확장하는 경우에도 DCS와 SIS의 별도 구분 없이 Total Solution 제공의 기반 구축이 된다.
(2) Operation 통합
SIS는 Plant에 이상이 발생하여 Operator나, DCS의 대응이 불가능한 경우, Process 혹은 Plant를 안전하게 정지시키는데 그 목적이 있다. 통상 Plant의 운전 중에는 Operator가 DCS의 운전 화면에 집중하고 있어 별도의 안전시스템이 구축되어 있는 경우에도 안전시스템의 상태 또한 DCS의 운전화면으로 감시가 가능하도록 하는 현장의 요구가 많다. 현재 대부분의 SIS는 DCS 화면에서의 감시를 위해 DCS와 Modbus통신 등으로 Integration되어 있는 경우가 많다. 그러나 이 경우 통신속도 및 SIS 시스템 자체 감시 등에 여러 제약조건이 있다. 이에 현장에서는 DCS와의 Integration이 보다 효율적이고, 운전 및 감시가 용이한 High Tech nology가 적용된 안전시스템을 요구하게 되었다. 본 고에서 소개하는 ProSafe-RS는 이러한 요구를 만족시키기 위해 개발, 출시된 시스템으로 아래와 같은 특징을 갖는 운전 환경을 제공한다.
● 운전원이 SIS로부터 오는 System, Pro cess Alarm을 동시에 CS3000(DCS)의 HMI(Human Machine Interface)에서 확인 가능.
● 정기점검시, 운전원이 CS3000과 동일한 방법으로 ProSafe-RS Operation 가능.
● SCS의 Data를 CS3000의 HIS및 FCS가 간단히 참조 할 수 있는 구조로, DCS와 SIS의 통합 Application의 용이한 구축이 가능. 예를 들면 SIS와 DCS의 Sensor정보를 DCS측에서 비교하여 DCS측 Sensor의 정확성을 Check하는 등, SIS의 Data를 유용하게 사용할 수 있는 Application이 가능.
● OPC에 의한 상위관리를 DCS와 동등하게 구축 가능.
●DCS와 SIS의 Event 정보(Sequence of Event : SOE)를 통괄하여 분석하는 것에 의해, Plant전체의 이상원인 분석 가능.
(3) DCS와 SIS의 통합과 분리
DCS와 SIS를 통합하는 것에 의해 상기와 같은 장점이 있지만, 국제 안전 규격에서는 DCS와 SIS의 분리를 요구하고 있다. 이것은 복수의 Pro tection Layer에 의한 Risk 평가분석(LOPA)에도 있듯이, DCS의 제어기능이 상실되어도 Safe ty Protection Layer의 기능이 상실되어서는 안 된다는 것을 의미한다. ProSafe-RS에는 DCS와 SIS의 기능의 분리를 보장하고, 그 위에 Vnet로 통합한 시스템을 구성하고 있다. DCS와 SIS의 분리를 고려하는 경우, DCS로부터 SIS에 간섭을 어떻게 방지하느냐가 관건이다. 이하에 ProSafe -RS와 DCS간의 갑섭 방지에 관하여 설명한다.
(4) DCS로부터 SIS 간섭 방지
예로, 2대의 SCS와 3대의 FCS가 동일한 Vnet에 접속되어 있는 경우를 가정한다. Vnet Bus를 경유하여 FCS가 SCS를 간섭하는 경우는 대량의 Data가 Vnet Bus의 오송신 및 잘못된 Frame의 오송신에 의한 SCS의 Attack 등이 고려된다. 그러나, Vnet Bus와 FCS의 신뢰성은 CS3000의 Field Proven 실적 Data로 증명되어 있기 때문에, FCS로부터 SCS에 악영향을 줄 확률은 CS3000의 경우와 같이 매우 적다. 만일 Vnet Bus 이상이 발생해도, Vnet Bus 이상을 감지한 안전대책기구(Safety Measures)에 의해 통신 Attack을 방어하거나, SCS간에 구성되어 있는 Safety Loop를 Shutdown하는 것이 가능하다. 이러한 기능은 Vnet을 경유한 DCS로부터의 어떠한 영향도 ProSafe-RS에는 위험측 고장을 일으키지 않는 것을 의미한다. 결국 DCS로부터 SIS로의 비간섭성 (DCS로부터의 영향에 의해 SIS의 안전기능이 간섭 받는 현상이 발생하지 않는 것)이 보장된다. 이러한 Safety Measure의 내용은 TUV에 의해 검증 및 인증을 받은 내용이다.

Single SIL3 구성의 안전성 및 신뢰성
ProSafe-RS에는 한 개의 I/O Module 및 CPU Module 내부에 이중화 구조와 자기진단 기능을 내장하고 있어, 1개의 Component로 IEC 61508에 정의된 SIL3에 적용 가능한 수준을 달성하고 있으며, 이것은 TUV로부터 인증 받은 사항이다. 이에 CPU Module, I/O Module 공히 Single 구조로 SIL3을 만족하는 Safety Loop의 구성이 가능하다. 따라서 하기와 같이 Engin eering의 선택의 폭이 증가하는 장점이 있다.
(1) 이중화 구성시 한쪽의 고장에도 Degra dation이 발생치 않음
ProSafe-RS는 Single 구성으로 이미 SIL3가 실현되고 있어, 이중화 구성시에 한쪽의 CPU Module 혹은 한쪽의 I/O Module에 고장이 발생해도 SIL3 Level의 안전성이 지속적으로 확보된다. 일반적으로 이중화 구성으로 SIL3을 실현한 System에 대해서는 한쪽에 고장이 발생하면, 수리완료 전까지는 고장 검출율이 떨어져 Degradation이 일어나게 된다. 이로인해 고장난 Hardware를 수리하는 시간에 제한(8시간등)이 있으며, 제한된 시간 내에 수리하지 않으면, 시스템 전체의 안전성을 해치게 된다. 따라서 User는 규정된 시간 내에 고장이 발생한 부분을 수리하지 않으면 안되고, 수리가 되지 않는 경우, Plant의 수동정지 등의 안전대책을 실시하지 않으면 안된다. 따라서 User는 Engineer의 대기 및 증원, 빠른 시간내에 고장부위 검출, 교환, Test 등의 실시를 위한 조직 등, 제한된 수리시간을 지키기 위한 Running cost를 운전기간 전체에 상시 고려할 필요가 있다. ProSafe-RS는 이러한 제한이 없기 때문에 안전성의 사람에 대한 의존도가 적어지고, 상기의 Running cost의 감소가 기대됩니다. 따라서 보수가 어려운 장소(원거리 등)에 설치가 가능하게 되고, Enginee ring의 선택의 폭이 확대된다.
(2) 높은 신뢰성의 실현
CPU Module의 이중화 구성으로 SIL3을 만족하는 시스템에는 2개의 CPU Module의 Data 참조에 의해 안전성을 확보하고 있는 경우가 많다. Data 참조 시 양측 CPU의 불일치가 검출된 경우에는 어느 쪽의 CPU Module이 이상인가 판단이 불가능하기 때문에 통상 양측 고장으로 간주하여 시스템을 Shutdown하는 방향으로 작동한다. 요컨대 조합 불일치를 야기하는 고장은 1개의 고장으로 잘못된 Trip을 일으킨다.
그러나 ProSafe-RS는 각 Module내에 SIL3 Level의 진단이 실행되고 있기 때문에(CPU Module내 두 CPU간의 비교 참조), 2개의 CPU Module내부의 2개의 CPU에 동시고장이 발생하지 않는 한 잘못된 Trip은 발생하지 않아, 대단히 높은 신뢰성을 실현하고 있다.
(3)유연한 시스템 구성
ProSafe-RS에는 I/O Module이 Single 구성으로 된 경우에도 I/O Module의 고장으로 잘못된 Trip을 방지하는 기능을 실장하고 있다. Digital 입력 Module(DI)의 경우, 통상 ‘1’, Plant 이상시 ‘0’가 되는 신호 입력에 대해, I/O Module의 해당 Channel 고장을 감지한 때에 ‘1’이 입력 된 것으로 정의하는 것이 가능하다. 이 경우, I/O Module의 고장발생시에는 Single 구성으로 되어도 잘못된 Trip을 하지 않고, 고장의 발생만을 Alarm으로 통지하기 때문에 Plant의 신뢰성을 확보 할 수 있다. 또한 User는 규정된 수리시간 이내에 고장부위를 교환하는 것에 의해, 안전성을 확보하는 것이 가능하다.



IEC61131-3에 준거한 Engineering 기능
ProSafe-RS의 Engineering 기능은 국제 표준 규격 IEC61131-3에 준한 언어를 지원하고 있다. 이에 의해 계층구조의 Application의 작성이 가능하고, 재 이용성 등, IEC61131-3이 갖는 장점이 있다.
ProSafe-RS는 효율이 좋은 Engineering 및 보수를 위해 이하의 기능을 지원하고 있다.<그림 6>
(1) IEC61131-3언어와 CS3000의 통합 Tool
CS3000 통합을 위한 기능으로 IEC61131-3의 Function Block과 CS3000 Tag의 대응을 하여, CS3000의 Engineering 기능과 연결된 Tool을 지원하여, CS3000과의 통합 Engineering의 효율을 도모하고 있다.
(2) On Line 변경 지원
ProSafe-RS에는 Safety Controller를 정지하지 않고, 즉 Plant를 Shutdown하지 않고 Application을 변경하는 기능이 정식으로 인증되어 있다. 또한, On Line 변경 시에 Test 개소를 최소화하기 위한 Engineering Tool (Cross Reference Analyzer)이 준비되어 있다. 이로 인해 SIS 인증상 강제 되어 있는 Application의 부분적 변경후의 전 Application을 모두 다시 Test할 필요가 없다.
(3) 신속한 보수작업을 위한 기능
SCS의 Hardware 고장 시에 고장부위의 검출을 용이하게 하기위해, 보수전용 HMI(SCS Maintenance Support)를 지원하고 있다.

맺음말
본고에서는 Process Automation 분야에서 Field Proven된 DCS의 기술력을 바탕으로 Yokogawa에서 개발, Release된 ‘ProSafe-RS’라는 새로운 개념의 Safety Instrumented System을 간략하게 소개하였다. 기존의 SIS와는 달리 최근 PA시장에서 그 중요성이 고조되는 DCS와의 Integration 측면에 대단히 강력한 Solution을 가지고 있는 ‘ProSafe-RS’는 개발 초기부터 Yokogawa DCS의 High Technology를 채용, Yokogawa DCS와의 효율적인 Inte gration에 그 목적을 두고 개발되었다. 따라서 사용자에게는 친숙한 DCS환경의 조작, 운영, 및 유지 보수환경을 제공하며, System Integ rator에게는 보다 폭넓은 Total Solution을 제공할 수 있게 되었다.



Safety 시장의 역사는, 초기 Hard Relay와 공기식 계기에서 PLC (Programmable Logic Controller)를 거쳐 최근에는 본고에서 소개한 ‘ProSafe-RS’같은 DCS와의 True Integration을 제공하는 High Technology를 갖춘 새로운 개념의 SIS의 출현으로 향후 Safety 시장은 또 한번의 기술혁신을 예고하고 있고, Safety Market의 상황 또한 많은 변화가 있으리라 사려된다.
향후 Yokogawa는 DCS와 더불어 SISMarket에도 지속적인 기술 개발 및 공급으로 PA Market이 한단계 더 발전하는데 큰 공헌을 하리라 기대한다.

정 성 안 / 한국요꼬가와 전기(주)

<저작권자 ⓒ 자동제어계측(www.autocontrol.co.kr) 무단전재 및 재배포 금지 >