이 글의 목적은 생산설비·자동화 라인에서 비상정지 버튼(E-Stop)과 안전게이트 인터록을 기능적으로 올바르게 연계하는 방법을 정리하여, 기계안전 규격에 부합하는 설계·점검 기준을 현장에서 바로 활용할 수 있도록 돕는 것이다.
1. E-Stop과 안전게이트 인터록 연계가 중요한 이유
많은 사업장에서 비상정지(E-Stop) 회로와 안전게이트 인터록 회로를 각각 별도로 설치해 두고 실제 동작 연계는 느슨하게 구성하는 경우가 많다. 그러나 위험기계에서 사람의 출입과 기계의 정지 기능은 하나의 안전 기능 체계(Safety Function)로 통합적으로 설계해야 한다. 그렇지 않으면 다음과 같은 문제가 발생할 수 있다.
- E-Stop 이후 재가동 조건과 게이트 닫힘 조건이 일관되지 않아 예상치 못한 자동 재시작이 발생한다.
- 게이트가 열린 상태에서도 일부 위험운동이 잔류 속도, 관성, 축분리 불량 등으로 계속 움직이는 경우가 있다.
- 다수의 E-Stop, 다수의 게이트가 혼재할 때 어느 구역이 실제로 안전한지 작업자가 직관적으로 인지하기 어렵다.
따라서 비상정지 기능과 안전게이트 인터록 기능은 각각 독립적으로 신뢰성을 확보하되, 위험원과 노출구역 관점에서 연계 로직·재가동 절차·표시 및 진단까지 포함하여 하나의 안전구성으로 계획해야 한다.
2. 기본 개념 정리
2.1 비상정지(Emergency Stop)의 목적
- 예상치 못한 위험 상황에서 가능한 한 빠르게 위험운동을 정지시키는 기능이다.
- 일반 정지(정상 정지)와 달리, 기계·제품 보호보다 사람 안전을 우선하는 정지 기능이다.
- 보통 카테고리0(전원 차단 즉시 정지) 또는 카테고리1(제어를 통한 통제 정지 후 전원 차단) 형태로 구현한다.
2.2 안전게이트 인터록(Safety Gate Interlock)의 목적
- 위험구역으로 작업자가 진입할 때 위험운동이 허용되지 않도록 하는 출입 관리 기능이다.
- 게이트가 열릴 경우 위험운동을 정지시키거나, 최소한 위험수준이 허용 가능한 수준까지 낮아진 상태에서만 게이트를 열 수 있도록 설계한다.
- 인터록 스위치의 조작·우회·고장을 고려해 안전무결성 수준(PL, SIL 등)에 맞는 구조를 선택한다.
2.3 연계 설계의 핵심 원칙
- E-Stop과 게이트 인터록은 동일한 위험원에 대해 동등한 안전수준을 달성해야 한다.
- 어느 기능이 먼저 작동하더라도 결과적으로 위험운동은 안전하게 정지해야 한다.
- 정지 후 재가동 시에는 게이트 상태, E-Stop 리셋, 별도 재시작 명령이 모두 만족되어야 한다.
- 고장·우회·센서 불일치가 발생할 경우, 가능한 한 안전측(정지 또는 재시작 불허)으로 귀결되도록 한다.
주의 : E-Stop과 게이트 인터록 회로를 단순 병렬 접점처럼 배선하는 것만으로는 충분하지 않다. 정지 범위, 잔류 에너지, 재가동 절차를 함께 정의해야 한다.
3. E-Stop과 안전게이트 인터록의 논리 연계 구조
3.1 대표적인 논리 구조
기본적으로 위험운동을 허용하는 조건은 다음과 같이 정의하는 것이 일반적이다.
- 모든 E-Stop 스위치가 해제 상태(Reset)이다.
- 해당 구역의 모든 안전게이트가 닫힘·락 상태이다.
- PLC 또는 안전릴레이가 내부 자기진단을 통과한 상태이다.
- 작업자가 의도적으로 재시작 버튼을 눌러 재시작을 지령했다.
이를 단순화한 논리식으로 표현하면 다음과 같다.
RUN 허용 = (E_STOP_OK) AND (GATE_CLOSED_OK) AND (SAFETY_OK) AND (RESTART_CMD)3.2 안전릴레이 기반 연계 예시
안전릴레이를 사용하는 단순 시스템에서는 다음과 같이 설계할 수 있다.
- E-Stop 스위치 2채널을 안전릴레이의 채널1에 입력한다.
- 게이트 인터록 스위치(잠금형)를 안전릴레이의 채널2에 입력한다.
- 안전릴레이의 안전출력 접점(NO)을 메인 접촉기, 서보 온전원, 모터 드라이브 Enable 회로 등에 직렬로 삽입한다.
- 리셋 버튼은 안전릴레이 전용 Reset 단자에 연결하여 지연·에지감지 방식으로 설정한다.
이 구조에서는 E-Stop 또는 게이트 인터록 어느 쪽이 열리더라도 안전출력이 끊어지고, 모든 입력이 정상으로 돌아온 후 리셋 버튼을 누를 때에만 다시 위험운동이 허용된다.
3.3 안전PLC 기반 연계 예시
안전PLC를 사용하는 경우에는 개별 안전함수 블록으로 구성한 뒤, 상위 논리에서 통합 관리하는 방식이 일반적이다. 예시 구조는 다음과 같다.
- SF1: E-Stop 기능 블록(입력: E-Stop 스위치, 출력: ES_OK)
- SF2: 안전게이트 인터록 기능 블록(입력: 게이트 스위치, 락 모니터링, 출력: GT_OK)
- SF3: 속도·정지 모니터링(입력: 엔코더, 드라이브 상태, 출력: STO_OK 또는 SS1_OK)
- 상위 로직: RUN_EN = ES_OK AND GT_OK AND STO_OK AND RESTART_CMD
// 예시 의사코드 ES_OK = SF_ESTOP(E_STOP_CH1, E_STOP_CH2); GT_OK = SF_GUARD(GATE_SW1, GATE_SW2, LOCK_FEEDBACK); STO_OK = SF_STO(DRIVE_STO1, DRIVE_STO2);
RUN_EN = ES_OK AND GT_OK AND STO_OK AND RESTART_CMD;주의 : 안전PLC에서 E-Stop과 게이트 인터록을 한 블록에 무분별하게 묶으면 나중에 위험구역 분리, 구역별 정지(Category 0/1) 구현이 어렵다. 기능별 블록을 분리하고 상위에서 논리 연계하는 방식이 바람직하다.
4. 구역별 안전설계: E-Stop과 게이트 인터록의 범위
4.1 구역 구분 개념
복수의 기계·로봇·컨베이어가 연속 배치된 라인에서는 다음과 같은 구역 개념으로 나누어 설계하는 것이 유리하다.
- 위험구역(Zone): 동일 종류의 위험운동이 존재하고, 하나의 게이트 또는 둘 이상의 게이트가 출입을 관리하는 영역이다.
- 안전-제한 구역: 일부 저위험 작업(조정, 청소 등)을 허용하기 위해 제한 속도·토크 모드로 운전하는 구역이다.
- 전체라인: 공용 E-Stop이 전체 라인을 정지시키는 범위이다.
4.2 구역별 E-Stop 및 게이트 연계 원칙
| 구역 유형 | E-Stop 영향 범위 | 게이트 인터록 영향 범위 | 비고 |
|---|---|---|---|
| 개별 장비 구역 | 해당 장비 전체 정지 | 해당 장비 및 인접 위험운동 정지 | 상호 간섭하는 구역까지 포함 검토한다. |
| 라인 구간 구역 | 해당 구간 + 상·하류 보안정지 | 해당 구역 내부만 정지 | 제품 손실을 고려해 최소 범위 정지를 설계한다. |
| 전체라인 공용 | 전체 설비 정지 | 필요 시 별도 락아웃 절차 적용 | 공용 E-Stop은 항상 최우선 정지를 수행한다. |
주의 : 게이트가 열렸을 때 정지해야 할 범위를 단순히 해당 장비로 한정하면, 제품 반송 장치나 상류 장비의 관성운동이 계속되어 작업자에게 위험을 줄 수 있다. 공정 흐름과 물리적 이동 경로를 함께 고려해야 한다.
5. 재가동 로직과 절차 설계
5.1 안전 재시작 기본 절차
비상정지 또는 게이트 개방 후 재가동 절차는 최소한 다음 단계를 포함하도록 표준화하는 것이 좋다.
- 위험원 제거: 모든 운동부, 잔류 에너지, 공압·유압 상태를 확인·감압한다.
- 게이트 상태 확인: 해당 구역의 모든 게이트가 닫힘·락 상태인지 확인한다.
- E-Stop 리셋: 작동된 E-Stop 스위치를 원위치로 복귀한다.
- 재시작 전 시각·청각 신호: 경광등·부저 등으로 재시작 예정임을 주변 작업자에게 알린다.
- 지정된 재시작 버튼 조작: 위험구역 외부, 시야가 확보되는 위치에서 재시작 버튼을 누른다.
5.2 자동 재시작 금지
E-Stop 스위치가 해제되었다고 해서 자동으로 기계가 재시작되는 구조는 피해야 한다. 게이트가 닫히는 순간 자동으로 운전이 재개되도록 설계하는 것 역시 금지하는 것이 바람직하다. 재시작은 항상 작업자의 의도적인 별도 조작을 통해 이루어져야 한다.
주의 : 유지보수 중 게이트를 닫아두고 설비 내부에 머무르는 경우, 게이트 닫힘 신호만으로 설비가 자동 재시작되면 치명적인 협착·충돌 사고로 이어질 수 있다.
5.3 복수 구역에서의 재시작 조건
복수 구역에 걸쳐 하나의 E-Stop이 영향을 미치는 경우, 재가동 조건을 다음과 같이 나누어 설계할 수 있다.
- 공용 E-Stop: 영향을 받는 모든 구역에서 게이트 닫힘 + 구역별 재시작 버튼 조작을 요구한다.
- 구역 전용 E-Stop: 해당 구역 내 조건만 충족되면 부분 재시작을 허용한다.
- 라인 재시작: 상류-하류 간 인터록 체인을 점검한 뒤 순차 재시작 로직을 구성한다.
6. 하드웨어 선택과 배선 시 고려사항
6.1 E-Stop 스위치 선정
- 푸시-풀 또는 푸시-턴 구조로, 비상 시 즉각적인 조작이 가능해야 한다.
- 2채널(2NO 접점) 구조를 사용하여 안전릴레이·안전PLC에 듀얼 채널로 입력한다.
- 기계 주변에서 쉽게 접근 가능한 위치에 설치하며, 장애물을 피해 설치한다.
6.2 안전게이트 인터록 장치 선정
- 단순 도어 스위치(비접촉형, 기계식), 솔레노이드 락(Guard Locking), 코딩형 인터록 등을 사용한다.
- 위험도가 높은 경우, 게이트가 열린 상태에서는 물리적으로 설비가 움직일 수 없도록 락 기능이 포함된 장치를 사용하는 것이 좋다.
- 스위치와 액추에이터 사이의 정렬, 간극, 기계적 보호를 고려해 임의 조작·우회가 어렵도록 배치한다.
6.3 배선 및 회로 구성 팁
- 각 채널별로 독립 배선을 사용하고, 동일 케이블 내에서도 쌍꼬임 구조로 잡음을 줄인다.
- 피복 색상 또는 라벨링으로 E-Stop 회로와 게이트 인터록 회로를 명확히 구분한다.
- 안전 출력은 반드시 메인 접촉기 코일, 드라이브 Enable, STO 입력 등에 직렬로 삽입한다.
주의 : E-Stop 회로를 단순히 PLC의 일반 입력으로만 넣고, 실제 출력 차단을 PLC 내부 논리에만 맡기는 설계는 반드시 피해야 한다. 항상 하드웨어 수준의 에너지 차단 경로를 확보해야 한다.
7. 진단 기능과 유지보수 관점
7.1 고장 진단
E-Stop과 게이트 인터록 연계 시스템에서는 다음과 같은 진단 기능을 구현하는 것이 좋다.
- 채널 간 불일치(예: CH1은 ON, CH2는 OFF) 감지 및 오류 표시
- 게이트 락 피드백과 게이트 스위치 상태 불일치 감지
- 출력 접점 용착 감지(출력 Off 명령에도 여전히 전원이 공급되는 경우)
7.2 정기 점검 항목
| 점검 항목 | 점검 방법 | 주기 예시 |
|---|---|---|
| E-Stop 동작 여부 | 전 구역 스위치 작동 → 즉시 정지·알람 확인 | 월 1회 이상 |
| 게이트 인터록 동작 여부 | 게이트 개방 → 정지 범위·정지시간 확인 | 월 1회 이상 |
| 재가동 절차 준수 | 체크리스트 기반 모의 재시작 시험 | 반기 1회 이상 |
| 우회·임시 점프 유무 | 전기실·제어반 내부 육안 점검 | 분기 1회 이상 |
주의 : 안전회로 점검 중 발견된 임시 점프선, 임의 배선 변경, 비인가 스위치 추가 등은 즉시 제거·원복하고, 재발 방지를 위한 관리 절차를 마련해야 한다.
8. E-Stop과 게이트 인터록 연계 시 흔한 오류 사례
8.1 E-Stop과 게이트 인터록을 일반 입력으로만 처리
각 신호를 PLC 일반 입력에만 연결한 뒤, 소프트웨어적으로만 모터 출력을 차단하는 경우이다. 이 경우 PLC 고장, 프로그램 오류, 출력 모듈 이상 시 위험운동이 계속될 수 있어 안전성이 크게 저하된다.
8.2 게이트 닫힘만으로 자동 재기동
게이트를 닫는 순간 자동으로 컨베이어나 로봇이 다시 움직이도록 해 놓은 사례이다. 작업자가 설비 내부에 남아 있거나, 근접 위치에서 도구를 치우고 있는 중에 예기치 않은 재기동이 발생해 사고로 이어질 수 있다.
8.3 구역 범위를 고려하지 않은 정지 설계
게이트가 열리면 해당 장비만 정지시키고, 상류 반송 장치나 인접 장비는 계속 운전하도록 구성하는 경우이다. 이로 인해 제품 또는 파츠가 계속 공급·배출되면서 작업자와 충돌하거나 협착 위험을 초래한다.
8.4 우회 스위치의 관리 부재
셋업·디버깅을 위해 설치한 우회 스위치, 서비스 키 스위치를 평상시에 상시 On 상태로 두는 경우이다. 이러한 우회는 엄격한 절차와 관리하에 일시적으로만 허용해야 한다.
주의 : E-Stop과 게이트 인터록은 설비 입고·개조 단계에서부터 설계 검토를 해야 하며, 나중에 현장에서 임시로 추가 배선하는 방식으로는 충분한 안전성을 확보하기 어렵다.
FAQ
E-Stop과 안전게이트 인터록은 서로 독립 회로로 설계해야 하나?
하드웨어 구성과 내부 진단 측면에서는 독립성을 유지하는 것이 바람직하다. 다만 최종적으로 위험운동을 허용하거나 차단하는 상위 논리에서는 두 기능을 함께 고려하여 설계해야 한다. 예를 들어, E-Stop 회로와 게이트 인터록 회로 각각이 안전릴레이 또는 안전PLC에 별도 채널로 들어가고, 상위에서 AND 조건으로 RUN 허용을 판단하는 구조가 적절하다.
게이트가 열릴 때마다 무조건 카테고리0 정지를 해야 하나?
위험원 특성에 따라 카테고리0(전원 차단) 또는 카테고리1(통제 정지 후 차단)을 선택한다. 인체가 접근 가능한 회전 부품, 고속 프레스 등은 대부분 카테고리0 정지가 요구되지만, 관성·제품 손실·설비 특성을 고려해 카테고리1 정지와 속도 모니터링을 조합하는 경우도 있다. 중요한 것은 게이트 개방 시 허용 가능한 위험 수준을 달성할 수 있도록 정지 범위·정지시간·잔류 에너지를 평가하는 것이다.
한 구역에 E-Stop과 게이트 인터록이 여러 개 있을 때 재시작 조건은 어떻게 설정하나?
해당 구역에 영향을 주는 모든 E-Stop 스위치와 모든 게이트 인터록이 정상 상태여야 하며, 그 후에 지정된 위치의 재시작 버튼을 통해서만 재가동을 허용하도록 설계한다. 어느 한 스위치라도 작동 중이거나 일부 게이트가 열린 상태라면 재시작이 허용되지 않도록 해야 한다.
유지보수 작업 시 E-Stop과 게이트 인터록 중 어느 것을 우선 활용해야 하나?
사람이 설비 내부에 들어가서 작업하는 경우, 우선 설비를 완전 정지하고 격리하기 위해 E-Stop 또는 정규 정지 후 락아웃·태그아웃을 적용해야 한다. 게이트 인터록은 출입 관리와 비정상 출입 방지에 도움이 되지만, 에너지 격리까지 대신할 수는 없다. 따라서 유지보수 시에는 E-Stop과 게이트 인터록을 병행하되, 최종적으로는 에너지 차단 절차를 반드시 적용해야 한다.