안전PLC 기능 안전 SIL 등급 완벽 이해 가이드

이 글의 목적은 제조·설비 현장에서 안전PLC를 활용하여 기능적 안전을 구현하고 SIL 등급 요구사항을 충족하기 위한 기본 개념과 설계·검증 절차를 체계적으로 정리하여, 안전 담당자와 설비 엔지니어가 실무에 바로 적용할 수 있도록 돕는 것이다.

1. 기능적 안전과 안전PLC의 기본 개념

1.1 기능적 안전이란 무엇인가

기능적 안전이란 설비나 시스템에 내장된 안전기능이 요구되는 순간에 제대로 작동하여 위험을 허용 가능한 수준으로 낮추는 것을 의미한다. 단순히 구조적으로 튼튼하게 만드는 수동적 안전이 아니라, 센서·로직·액추에이터가 연동되어 위험 상황을 감지하고 자동으로 설비를 정지하거나 안전 상태로 전환하는 능동적 안전을 말한다.

기능적 안전 시스템은 보통 다음 세 가지 요소로 구성된다.

센서(입력부) : 비상정지 버튼, 라이트 커튼, 도어 스위치, 압력·온도 센서 등
로직(제어부) : 안전PLC, 안전 릴레이, 안전 컨트롤러 등
액추에이터(출력부) : 안전 접촉기, 솔레노이드 밸브, 인버터 STO 입력 등

이 세 요소가 하나의 안전계장(SIF, Safety Instrumented Function) 또는 안전기능으로 묶이며, 이 안전기능의 신뢰 수준을 정량적으로 표현한 것이 SIL이다.

1.2 안전PLC의 역할

안전PLC는 기능적 안전 규격 요구사항에 따라 설계·제조·검증된 프로그래머블 로직 컨트롤러이다. 일반 PLC와 같은 형태이지만 다음과 같은 점에서 다르다.

이중화 CPU, 이중화 입·출력, 크로스체크 등 자기진단 기능을 통해 단일 고장에 대해 안전측으로 동작하도록 설계되어 있다.
시스템 내부 진단 주기, 고장 검출률, 시스템 반응 시간 등이 규격에서 요구하는 수준 이상이 되도록 설계·검증되어 있다.
안전 관련 명령어, 안전 펑션 블록, 보호된 다운로드·비밀번호 관리 등 소프트웨어 측면의 요구사항을 충족한다.
제조사에서 기능적 안전 규격에 따라 독립 인증기관의 인증을 받은 제품이다.

안전PLC는 안전 회로를 릴레이 배선이 아닌 소프트웨어 로직으로 구현할 수 있게 해주며, 복잡한 조건·시퀀스·진단 기능을 쉽게 추가할 수 있는 장점이 있다.

2. 기능적 안전 관련 주요 규격 개요

2.1 IEC 61508 – 기능적 안전의 기본 규격

IEC 61508은 전기·전자·프로그래머블 전자(E/E/PE) 시스템의 기능적 안전을 다루는 기본 규격이다. 산업 전반에서 공통적으로 적용 가능한 상위 규격의 역할을 하며, 안전PLC 제조사와 시스템 설계자가 따라야 할 기본 원칙을 제시한다.

핵심 내용은 다음과 같다.

위험성 평가를 통해 필요한 위험 감소량을 산정하고 이에 상응하는 SIL을 결정한다.
시스템을 라이프사이클 관점에서 계획·설계·실현·운전·유지보수·폐기까지 관리하도록 요구한다.
하드웨어 고장률(PFH 또는 PFDavg), 고장 모드, 진단 커버리지, 공통원인고장(CCF) 등을 고려하여 아키텍처 요구사항을 제시한다.
소프트웨어 개발 프로세스, 검증·확인, 변경관리, 형상관리 등 프로세스 요구사항을 규정한다.

2026년 1월 1일까지 영업허가 받아야하는 유해화학물질 리스트 →

2.2 IEC 62061 – 기계 분야용 기능적 안전 규격

IEC 62061은 특히 기계류에서의 안전 관련 제어 시스템(SRCS)을 대상으로 하는 기능적 안전 규격이다. 기계 설비 설계자는 IEC 61508의 개념을 기계 분야에 특화해서 적용할 때 IEC 62061을 많이 활용한다.

IEC 62061은 다음과 같은 특징이 있다.

위험성 평가를 통해 SIL 요구수준(SILr)을 결정하는 절차를 제공한다.
안전기능 단위로 구조를 나누어, 각 안전기능마다 PFH, 아키텍처, 진단 커버리지 등을 계산·검증하도록 요구한다.
안전PLC와 센서·액추에이터를 조합하여 전체 시스템의 SIL을 달성하는 방법을 제시한다.

2.3 ISO 13849 – PL(Performance Level) 개념

ISO 13849는 기계의 안전 관련 제어 시스템에 대해 PL(Performance Level)이라는 개념을 사용한다. PL은 a~e 수준으로 구분되며, IEC 62061의 SIL과 유사한 위험 감소 수준을 가진다. 실제 현장에서는 PL과 SIL을 혼용하여 사용하는 경우가 많으며, 설계자는 두 체계 간의 대응 관계를 이해할 필요가 있다.

규격	등급 표현	적용 분야	비고
IEC 61508	SIL1~SIL4	산업 전반 E/E/PE 시스템	기능적 안전 기본 규격
IEC 62061	SIL1~SIL3	기계류 안전 관련 제어 시스템	기계 분야에 특화
ISO 13849	PL a~e	기계 안전 관련 제어 시스템	카테고리, DC, MTTFd 사용

3. SIL(Safety Integrity Level)의 정의와 등급

3.1 SIL의 의미

SIL은 안전기능이 요구될 때 목표대로 작동하여 사고를 예방하거나 영향도를 줄일 확률을 정량적으로 표현한 지표이다. 즉, 안전기능의 신뢰도를 수치화한 수준이라고 할 수 있다. SIL 등급이 높을수록 요구되는 위험 감소 수준이 크고, 설계·검증에 필요한 비용과 노력이 증가한다.

SIL은 시스템이 위험한 상태로 실패할 확률을 기준으로 정의한다. 연속 모드(지속적으로 동작하는 시스템)에서는 시간당 위험고장률(PFH)로, 요구 시 동작 모드(요구 시에만 작동하는 트립 시스템)에서는 요구당 실패 확률(PFDavg)로 표현한다.

3.2 SIL 등급별 정량 기준 개념

아래 표는 일반적으로 알려진 SIL 등급별 위험고장률 범위를 개념적으로 정리한 것이다. 실제 설계 시에는 적용 규격과 최신 버전을 반드시 확인해야 한다.

등급	연속 모드 기준 위험고장률(PFH)	요구 시 동작 모드 기준 PFDavg	대표 적용 예(개념)
SIL1	대략 10^-6 ~ 10^-5 /h	대략 10^-2 ~ 10^-1	일반 기계의 기본 안전기능
SIL2	대략 10^-7 ~ 10^-6 /h	대략 10^-3 ~ 10^-2	산업 플랜트 주요 안전계장
SIL3	대략 10^-8 ~ 10^-7 /h	대략 10^-4 ~ 10^-3	고위험 공정, 연속 공정 트립
SIL4	대략 10^-9 ~ 10^-8 /h	대략 10^-5 ~ 10^-4	특수 분야(철도, 핵 등)에서 제한적 적용

주의 : 위 범위는 개념적 이해를 위한 값이며, 실제 설계·검증 시에는 적용하는 규격의 최신 표와 인증기관 가이드를 기준으로 해야 한다.

3.3 SIL 등급 선택의 균형

SIL 등급은 높을수록 좋은 것이 아니라, 위험성 평가 결과에 따라 필요한 수준만 설정하는 것이 원칙이다. 과도하게 높은 SIL을 요구하면 불필요한 비용과 복잡성이 증가하며, 오히려 인적 오류나 유지보수 실패로 인한 새로운 위험이 생길 수 있다. 반대로 필요한 수준보다 낮은 SIL을 목표로 하면 사고 위험을 충분히 줄이지 못한다.

4. 위험성 평가와 SIL 요구수준 결정

4.1 위험성 평가 절차 개요

SIL 요구수준 결정의 출발점은 위험성 평가이다. 일반적인 절차는 다음과 같다.

설비·공정의 한계상태, 이상상태, 고장 시나리오를 식별한다.
각 시나리오별로 발생 빈도, 노출 빈도, 위험 회피 가능성, 상해 정도를 평가한다.
현재 적용된 보호층(기계적 방호, 기본 제어, 인터록, 교육 등)을 검토한다.
잔여 위험이 허용기준보다 크면 추가 기능적 안전 시스템을 설계해야 한다.
필요한 위험 감소량에 따라 각 안전기능의 SIL 요구수준을 결정한다.

4.2 위험 그래프를 이용한 SIL 결정 개념

기계 분야에서는 위험 그래프를 사용하여 SIL 요구수준을 결정하는 방법이 널리 쓰인다. 위험 그래프는 일반적으로 다음 네 개의 요소를 평가한다.

상해 정도(S) : 경상, 중상·사망 등
노출 빈도(F) : 드물게, 자주 등
위험 회피 가능성(P) : 거의 불가능, 어느 정도 가능 등
발생 확률(W 또는 O) : 드물게, 자주 발생 등

각 요소를 조합하여 SIL1, SIL2, SIL3과 같이 각 안전기능에 필요로 되는 수준을 결정한다. 동일 설비라도 운전 방식·자동화 수준·작업자 개입 빈도에 따라 요구 SIL이 달라질 수 있다.

4.3 LOPA를 이용한 정량적 접근

공정 안전 분야에서는 LOPA(Layer of Protection Analysis)를 활용하여 정량적으로 요구 SIL을 산정하는 경우가 많다. LOPA는 압력 방출, 화재·폭발 등 시나리오에 대해 기본 발생빈도와 여러 보호층의 위험 감소 계수를 적용하여 최종 잔여 위험을 계산하고, 이를 통해 필요한 안전계장의 PFDavg와 SIL을 결정한다.

5. 안전PLC를 활용한 SIL 구현 방법

5.1 안전기능(SIF) 구조 정의

안전PLC를 이용해 SIL을 구현하려면 먼저 안전기능 단위로 구조를 정의해야 한다. 예를 들어, 사람이 방호문 안으로 들어왔을 때 위험 동작을 멈추는 기능은 하나의 안전기능이 된다.

전형적인 안전기능 구조는 다음과 같다.

센서 : 안전 도어 스위치(이중 접점), 라이트 커튼 등
로직 : 안전PLC 입력 모듈, 프로그램 내부 안전 펑션 블록
액추에이터 : 안전 접촉기 2중, 인버터 STO, 유압 밸브 차단 등

안전기능마다 요구 SIL을 정의하고, 해당 안전기능을 구성하는 각 요소의 데이터(고장률, 진단 범위, 시험 간격 등)를 확보해야 한다.

5.2 하드웨어 아키텍처와 이중화

SIL을 만족하려면 하드웨어 구조에 대한 요구사항을 충족해야 한다. 일반적으로 다음과 같은 요소를 고려한다.

1채널(1oo1), 1oo2, 2oo2, 2oo3 등 투표 구조
단일 고장에 대한 허용 여부, 고장 발견 가능성
진단 커버리지(DC)와 공통원인 고장(CCF) 저감 대책
주기적인 기능 시험(Proof Test) 수행 계획

예를 들어, 더 높은 SIL을 달성하기 위해 센서와 접촉기를 이중화하고, 안전PLC가 두 채널을 상호 모니터링하도록 설계하는 방식이 대표적이다.

주의 : 단순히 부품을 두 개 쓰는 것만으로 SIL 요구수준을 충족하는 것이 아니며, 고장 모드 분석, 공통원인고장 대책, 진단 기능이 함께 설계되어야 한다.

5.3 안전PLC 소프트웨어 설계

안전PLC 프로그램은 일반 프로그램보다 엄격한 요구사항을 따른다.

안전펑션 블록(Emergency Stop, Two-Hand Control, Guard Monitoring 등)을 표준 라이브러리 중심으로 활용한다.
안전 관련 변수는 별도 태그 그룹으로 관리하고, 주석과 신호명, 하드웨어 I/O 대응표를 체계적으로 작성한다.
비안전 기능(생산 제어 로직)과 안전 로직 사이에 인터페이스를 최소화하고, 안전 로직이 우선되도록 설계한다.
다운로드·수정 권한을 관리하여 승인되지 않은 변경을 차단한다.

제조업 환경안전 실무 가이드: 화학물질배출량조사 절차와 법적 기준 →

또한 변경관리 절차를 통해 프로그램 수정 시 영향평가, 검증시험, 문서 업데이트를 필수적으로 수행해야 한다.

5.4 시스템 PFH/PFDavg 계산과 문서화

안전PLC 기반 시스템이 특정 SIL을 만족하는지 평가하기 위해서는 시스템 수준의 PFH 또는 PFDavg를 계산해야 한다. 일반적인 절차는 다음과 같다.

각 구성요소(센서, PLC 입력·출력, 접촉기, 밸브 등)의 고장률, 진단 커버리지, 시험 주기 데이터 수집
안전기능별 블록 다이어그램 작성 및 고장 모드 가정
계산 도구 또는 스프레드시트를 이용한 PFH/PFDavg 계산
결과가 요구 SIL 범위 내에 있는지 확인
계산 과정과 입력 데이터 출처를 포함한 보고서 작성

주의 : 많은 설비에서 안전PLC와 주요 센서·액추에이터는 제조사에서 제공하는 기능적 안전 데이터시트를 통해 고장률과 SIL용 파라미터를 제공하므로, 반드시 해당 문서를 기반으로 계산해야 한다.

6. 안전PLC 적용 시 설계상의 핵심 포인트

6.1 안전 회로와 제어 회로의 분리

안전PLC를 도입할 때 많은 현장에서 일반 제어 로직과 안전 로직이 지나치게 섞여 설계되는 문제가 발생한다. 설계 시 다음 원칙을 지키는 것이 중요하다.

안전 관련 입·출력 모듈을 물리적으로, 논리적으로 구분한다.
위험 동작을 멈추는 출력(접촉기, STO 등)은 안전PLC에서 직접 제어하도록 하고, 일반 PLC를 경유하지 않는다.
네트워크 상에서 안전 프로토콜(Safety over EtherNet/IP, PROFIsafe 등)을 활용할 때에도 안전영역과 비안전영역을 명확히 구분한다.

6.2 기계적 방호와 기능적 안전의 조합

기능적 안전은 기계적 방호를 대체하는 것이 아니라 보완하는 역할을 한다. 예를 들어, 고속 회전체에 대한 고정 가드가 가능하다면 우선적으로 설치하고, 자주 개방이 필요한 부분에 대해서만 도어 스위치와 안전PLC를 이용한 인터록을 구성하는 것이 바람직하다.

이때 다음과 같은 사항을 고려해야 한다.

가드 개방 후 위험이 실제로 사라지거나 충분히 낮아질 때까지의 지연 시간에 맞춰 안전PLC의 정지 범주(Category 0, 1, 2 등)를 결정한다.
가드가 열려 있는 동안 재가동이 불가능하도록 로직을 구성하고, 강제 우회가 어렵도록 설계한다.
우회가 필요한 유지보수 작업은 별도 절차와 LOTO(Lockout-Tagout)를 적용한다.

6.3 진단 기능과 알람 설계

안전PLC의 장점 중 하나는 자체 진단 결과와 안전 관련 신호 상태를 상세하게 모니터링할 수 있다는 점이다. 이를 활용하기 위해 다음과 같이 설계하는 것이 좋다.

센서 불일치(예: 도어 스위치 이중 접점 불일치), 접촉기 용착 의심, 케이블 단선 등을 감지하는 진단 로직을 추가한다.
진단 결과를 HMI 또는 상위 시스템에서 알람으로 보여주어, 고장이 발생했을 때 정확한 위치와 원인을 파악할 수 있게 한다.
진단 알람에 대한 작업자 대응 절차를 표준작업서에 포함한다.

주의 : 진단 기능은 SIL 달성에 중요한 역할을 하지만, 진단 알람이 반복적으로 무시되는 문화가 형성되면 오히려 위험이 증가할 수 있으므로, 교육과 관리가 함께 이루어져야 한다.

7. 검증, 검증 시험, 유지보수

7.1 설계 검토와 검증

안전PLC 시스템의 설계가 완료되면 문서 검토와 설계 검증을 수행해야 한다.

안전 요구사항 명세서(SRS)에 정의된 모든 안전기능이 로직과 하드웨어 구성으로 구현되어 있는지 확인한다.
PFH/PFDavg 계산 결과와 아키텍처 요구사항이 SIL 요구수준을 만족하는지 검토한다.
배선도, I/O 리스트, 인터록 매트릭스, 시퀀스 다이어그램 등이 일관된지 확인한다.

사업장에서 ISO 14001 및 ISO 45001 인증 운영: 실무 가이드로 관리 체계 혁신 달성하기 →

7.2 기능 시험(Proof Test)

안전기능이 의도한 대로 동작하는지 확인하기 위해 시운전 단계에서 기능 시험을 수행해야 한다. 대표적인 시험 항목은 다음과 같다.

각 비상정지 버튼, 도어 스위치, 라이트 커튼 작동 시 기계가 안전하게 정지하는지 확인
재가동 절차가 요구사항대로 동작하는지 확인
센서 고장 또는 단선 시 시스템이 안전측으로 반응하는지 확인
전원 복귀, 통신 장애 등 비정상 상태에서 시스템의 동작 확인

시험 결과는 체크리스트와 시험 기록서로 문서화하여 보존해야 한다.

7.3 정기 점검과 변경관리

운전 중에도 주기적인 시험과 점검이 필요하다.

비상정지, 도어 스위치, 라이트 커튼 등 주요 안전기능에 대해 정기적인 기능 시험을 계획한다.
안전PLC의 진단 로그와 알람 기록을 주기적으로 검토하여 이상 징후를 조기에 발견한다.
프로그램, 배선, 구성요소 변경 시에는 반드시 위험성 평가 재검토와 SIL 영향평가를 수행한다.

주의 : 안전PLC 시스템은 초기 인증·검증으로 끝나는 것이 아니라, 변경관리와 정기 시험을 통해 평생주기 전체에 걸쳐 안전성을 유지해야 한다.

8. 실무 적용 체크리스트

8.1 프로젝트 초기 단계

대상 설비 범위와 안전 관련 기능 목록 정의
관련 규격(IEC 62061, ISO 13849 등) 및 회사 내부 기준 확인
위험성 평가 방법론 선택(위험 그래프, LOPA 등)
SIL 또는 PL 요구수준 설정 전략 수립

8.2 설계 단계

안전PLC, 센서, 액추에이터의 기능적 안전 데이터 확보
안전기능별 구조도와 I/O 할당표 작성
안전 회로와 제어 회로의 분리 설계
PFH/PFDavg 계산 및 아키텍처 검증
프로그램 규칙, 명명 규칙, 주석 표준 정의

8.3 시운전 및 운영 단계

기능 시험 계획 수립 및 시험 기록 관리
작업자·정비자 교육(우회 금지, 비상정지 사용법 등)
안전PLC 진단 알람 관리 절차 수립
정기 시험 주기와 방법 정의
변경관리 프로세스(요청→검토→시험→승인) 운영

FAQ

SIL과 PL(Performance Level)의 차이는 무엇인가?

SIL은 기능적 안전 규격에서 사용하는 안전무결성 수준 지표이고, PL은 ISO 13849에서 사용하는 성능 수준 지표이다. 둘 다 위험 감소 수준을 나타내지만, SIL은 PFH 또는 PFDavg와 같은 고장 확률을 기반으로 정의하며, PL은 카테고리 구조, 진단 커버리지, MTTFd 등 파라미터를 조합해 등급을 결정한다. 기계 분야에서는 두 체계가 비슷한 위험 감소 수준을 가지며, 규격에서 제시하는 매핑 표를 통해 개략적인 대응이 가능하다.

안전PLC를 사용하면 자동으로 SIL이 충족되는가?

그렇지 않다. 안전PLC는 SIL 요구사항을 만족할 수 있도록 설계·인증된 구성요소일 뿐이며, 전체 안전기능의 SIL은 센서, PLC, 액추에이터를 포함한 시스템 전체 설계와 PFH/PFDavg 계산 결과에 따라 결정된다. 안전PLC를 사용하더라도 센서 선택이 잘못되거나 접촉기 이중화가 부족하면 목표 SIL을 달성하지 못할 수 있다.

일반 PLC에 이중화 회로를 구성하면 SIL 시스템이 되는가?

일반 PLC는 기능적 안전 규격에 따라 설계·검증·인증되지 않았기 때문에, 단순히 이중화 회로를 구성했다고 해서 SIL을 만족했다고 보기 어렵다. 일부 특수 경우를 제외하면 안전 관련 제어 기능에는 안전PLC 또는 인증된 안전 컨트롤러를 사용하는 것이 원칙이다.

SIL3까지 설계하려면 항상 이중화가 필요한가?

일반적으로 높은 SIL을 달성하기 위해 이중화 및 높은 진단 커버리지가 요구되는 경우가 많지만, 모든 경우에 동일한 구조를 강제하는 것은 아니다. 요구 SIL, 고장 모드, 진단 기능, 시험 주기, 공통원인고장 대책 등을 종합적으로 고려하여 아키텍처를 결정해야 한다. 따라서 구체적인 구조는 규격 요구사항과 계산 결과를 바탕으로 설계해야 한다.

기존 설비에 안전PLC를 추가할 때 가장 먼저 검토해야 할 사항은?

먼저 기존 설비의 위험성 평가를 다시 수행하여 어떤 안전기능이 필요한지, 각 기능에 요구되는 SIL이 무엇인지를 명확히 해야 한다. 그 후에 안전PLC를 포함한 하드웨어·소프트웨어 구조를 설계하고, 기존 제어 시스템과의 인터페이스, 정지 범주, 가드 구조 등을 함께 검토하는 것이 바람직하다. 단순히 기존 릴레이를 안전PLC로 치환하는 방식은 충분하지 않은 경우가 많다.

SafeChem EHS Platform

이 블로그 검색

EOAT 엔드이펙터 날카로운 모서리 안전 기준과 리스크 저감 방법