Advanced
A Study on the Functional Safety Analysis of PES-based Electronic Interlocking Unit according to IEC 61508
A Study on the Functional Safety Analysis of PES-based Electronic Interlocking Unit according to IEC 61508
The Transactions of The Korean Institute of Electrical Engineers. 2014. Nov, 63(11): 1526-1532
Copyright © 2014, The Korean Institute of Electrical Engineers
  • Received : February 28, 2014
  • Accepted : October 21, 2014
  • Published : November 01, 2014
Download
PDF
e-PUB
PubReader
PPT
Export by style
Article
Author
Metrics
Cited by
TagCloud
About the Authors
명 철 이
Corresponding Author:Dept.of Railroad SystemEngineering, Woosong Univerity, Korea. E-mail:yk5397@hanmail.net

Abstract
The Electronic Interlocking unit in railway signalling system is safety-related facilities to determine route and speed for train running. In particular, the SSI(Solid State Interlocking) is Electronic Interlocking unit for high-speed railway, and it performs safety-critical function by MPM(Micro-Processor Module). Meanwhile, MPM is composed of the PES(Programmable Electronic System)-based system, and the PES-based system in railway safety-related facilities should be implemented by complying with the safety requirements defined in IEC 62425 and IEC 61508. In this paper, we performed modeling of failure rate and reliability for MPM implemented by fault tolerance methods and analyzed functional safety for MPM. Moreover, we determined SIL(Safety Integrity Level) for MPM according to the safety requirements defined in IEC 61508 based on an analyzed functional safety.
Keywords
1. 서 론
철도 안전설비에서 PES(Programmable Electronic System)기반 시스템은 전기/전자/프로그램 가능한 장치에 대한 안전관련 시스템의 기능 안전성에 대해 기술하고 있는 국제표준 규격인 IEC 61508의 안전 요구사항을 반드시 준수하면서 설계하도록 요구되고 있다 [1 - 2] . IEC 61508에서는 단일계(1oo1) 및 이중계(1oo2, 2oo2), 삼중계(2oo3)의 등의 하드웨어 여분을 이용한 결함-허용 방식에 따른 정량적인 안전성 분석 방식을 설명하고 있고, 이러한 정량적인 안전성 분석 결과에 따라 SIL(Safety Integrity Level)을 결정하도록 권고 하고 있다. SIL의 결정은 계통적 고장(Systematic failure)에 대한 정성적인 안전성 분석 방법과 임의적 고장(Random failure)에 대한 정량적인 안전성 분석 방법으로 구분된다. Random failure에 대한 정량적인 안전성 분석 방법은 Table 1 에서와 같이 4개의 등급으로 구분하여, 특정 시스템의 THR(Tolerable Hazard Rate)에 따른 안전성 등급을 할당한다 [1 , 3 - 4] . Table 1 에서와 같은 SIL의 결정 방법은 철도 안전설비의 안전성 분석 방법으로서 반드시 활용하도록 요구되고 있으며, 열차 충․추돌과 같이 대형 인명사고를 유발할 수 있는 안전-필수 기능일수록 높은 SIL을 부여하도록 하고 있다. 따라서 높은 신뢰성과 안전성이 요구되는 철도안전설비의 안전-필수 기능은 SIL 4의 안전등급이 할당되어야 하고, SIL 4를 입증하기 위해서는 IEC 61508에 제시된 정량적 안전성 분석 방법에 따라 시스템의 안전 기능 별 THR을 산출해야 한다 [5] .
THR에 따른 SIL의 할당Table 1 SIL assignment according to THR
PPT Slide
Lager Image
THR에 따른 SIL의 할당 Table 1 SIL assignment according to THR
2. 전자연동장치 개요
철도신호시스템에서 전자연동장치(Electronic Interlocking unit)는 역 구내에서 열차의 운행과 차량의 입환 작업을 안전하고 신속하게 수행하기 위하여 신호기, 선로전환기, 궤도회로 등의 신호보안장치를 전기적으로 연쇄하거나 컴퓨터 소프트웨어에 의한 데이터베이스화 및 로직을 상호 연쇄하여 열차에 대한 진로 취급이나 신호설비 취급 시 오동작이나 부정 동작을 방지하도록 구성한 장치이다.
전자연동장치의 기능은 운전정리와 같이 운용효율을 높이는 기능과 진로제어, 열차속도제어, 건널목제어 등의 안전성과 직접적인 관련이 있다. 전자연동장치의 기능과 관련되어 발생되는 주요사고는 충․추돌, 탈선 등이 있고, 사고결과는 사망, 부상 및 시설물 파손 등으로 나타난다. 역에서는 전자 연동장치에 의존하여 열차의 진로, 입환, 폐색 제어 등을 수행하고 있기 때문에 전자연동장치의 안전성 및 신뢰성이 매 우 높게 요구되고 있다. 진로제어, 열차속도제어 및 건널목 제어 등과 같은 안전-필수(Safety-Critical) 기능은 안전과 직접적인 관련이 있어, 이 기능들에 대해서 시스템 수명주기 전반에 걸쳐서 안전성확보 및 검증이 필요하다 [6] .
PPT Slide
Lager Image
전자연동장치 인터페이스 구성도 Fig. 1 Electronic Interlocking System Interface block diagram
특히 경부고속철도에 설치된 고속선 전자연동장치 SSI (Solid State Interlocking)는 역 구내 구간에서 열차의 충돌 및 탈선을 방지하기 위해 진로 및 신호 등을 일괄적으로 연동 처리하는 기능을 수행하는 장치로서 프랑스의 Alstom社에서 공급하여 운영되어 왔으나 수년 전부터 국산화를 위한 개발 사양이 도출되었다.
SSI는 크게 일반운영, 연동기능, 로깅 및 유지보수의 3가지 기능을 제공한다. SSI의 이러한 기능들은 기능 오동작 시 열차 사고로 이어질 수 있는 안전-필수 기능이므로 SSI의 내부구성은 어떠한 시스템의 결함(fault)으로부터 고장(failure)을 방지할 수 있는 결함-허용(fault-tolerant) 방식의 열차제어모듈로서 구성된다. SSI의 안전-필수 기능을 수행하기 위해서, 내부 구성은 Fig. 2 와 같이 2 out of 3(2oo3) 방식의 MPM (Micro-Processor Module)으로 구성된다.
PPT Slide
Lager Image
2oo3 방식의 MPM 모듈 구성 Fig. 2 MPM module composition applying 2oo3 method
2oo3 방식의 결함-허용 모듈은 시스템에서 발생되는 동일한 기능을 다중으로 구성하여 신뢰성 및 안전성을 향시키는 방법으로, 3개의 출력신호 중에 2개의 출력신호가 동일하면 정상동작을 출력하는 구조로 설계된다. 이러한 2oo3 방식은 SSI에 구성된 MPM과 같이 PES(Programmable Electronic System) 기반으로 구성된다 [5 , 7] .
3. 정량적인 안전성 분석 방법
정량적인 안전성 지표인 THR을 도출하기 위해서는 다음의 Fig. 3 과 같은 프로세스를 통해 THR을 계산할 수 있다 [8] .
PPT Slide
Lager Image
THR 분석 과정 Fig. 3 THR analysis process
첫 번째, 특정 장치 또는 시스템의 RAM(Reliability, Availability and Maintainability) 및 안전성(Safety)에 대한 목표 값을 수립한다. 두 번째, 수립된 RAM 목표 값을 입증하기 위해 신뢰성 블록다이어그램인 RBD(Reliability BlockDiagram)를 작성하여 고장률 λ 를 도출하고, 고장률 λ 를 근거로 평균 수리시간인 MTTR(Mean Time To Repair)을 계산한다. 세 번째, 특정 장치 및 시스템에서 발생 가능한 고장 유형 및 고장 원인을 식별하고, 고장 영향을 및 결과를 기록하는 FMECA(Failure Modes Effects and Criticality Analysis) 활동을 수행한다. FMECA 활동을 통해 분석된 고장 영향 및 결과 중 안전에 영향을 미치는 고장모드를 별도로 식별하여, IEC 61508에 정의된 검출되지 않은 위험측 고장률 λDU , 검출된 위험측고장률 λDD , 검출되지 않은 공통 원인고장(Common Cause Failure : CCF) 비율 β , 검출된 공통 원인고장 비율 βD , 등가평균 정지시간 tCE , 증명 시험 간격 T1 등의 인자들을 계산한다. 네 번째, 계산된 인자들을 활용하여 IEC 61508에 정의된 정량적인 안전성 계산 공식에 따라 최종 THR을 산출한다.
IEC 61508에서는 정량적인 안전성 지표로서 저요구 작동 모드에서의 평균 고장 확률인 PFD(Probability of Failure on Demand)와 고요구 작동 모드에서의 시간 당 고장 확률인 PFH(Probability of Failure per Hour)를 제시하고 있는데, 철도 안전 국제 표준 규격인 IEC 62425에서는 THR 값은 PFH 값을 활용하도록 권고하고 있다. 따라서 본 논문에서 계산되는 THR 값은 IEC 61508에서 언급된 PFH를 나타 낸다 [4 , 8 - 10] .
4. 결함허용모듈의 안전성 모델링
고속선 SSI에 구성되어있는 핵심 모듈은 2oo3 방식의 결함-허용 모듈로 구성되어 시스템의 신뢰성 및 안전성을 높이고 있다. 세 개의 결함허용모듈은 각각 하드웨어적으로 동일하며, 동일한 소프트웨어를 사용한다. 결함허용모듈의 안전성을 모델링하기 위해서 서론에서 제시된 정량적인 안전성 분석 방법을 사용한다.
먼저 RAM 분석 수준을 정의하기 위해 RBD (Reliability Block Diagram) 분석 기법을 사용한다. RBD는 논리적인 기호를 사용하여 시스템 내의 고장관계를 나타내며 일반적으로 RBD에서 사용되는 신뢰도는 고장율[ λ ]과 시간[t]로 계산된다. MPM의 높은 신뢰도를 확보하기 위해 하나의 Funcion Operation으로 구성된 n개의 병렬시스템을 사용한다. 이 경우, 전체 시스템 신뢰도 R(t) 과 시스템의 고장율 λ 는 식(1)과 식(2)와 같다 [3 , 11] .
PPT Slide
Lager Image
2oo3 결함허용모듈의 병렬 구성 RBD Fig. 4 Parallel-composition RBD for 2oo3 Fault-tolerant Module
PPT Slide
Lager Image
PPT Slide
Lager Image
유지보수도의 평가지표는 예측치 기반의 MTTR을 사용한다. MTTR은 현장에서 유지보수 인력에 의해 교체가 가능한 최하위현장 수리구성요소(Line Replaceable Units : LRU) 단위로, 시스템에서 발생된 고장을 발견에서부터 조치 및 시험 후, 기능 복귀까지의 시간을 정의한 것이다. MTTR의 계산은 식(3)과 같다 [3 , 11] .
PPT Slide
Lager Image
정량적인 안전성 분석 수준을 정의하기 위해 IEC 61508에 정의된 분석 기법을 사용한다. IEC61508-6에서는 1oo1, 1oo2, 2oo2, 1oo2D, 2oo3의 결함-허용(Fault Tolerant) 모듈에 따른 THR 분석 기법을 정의하고 있다 [1] .
PPT Slide
Lager Image
2oo3 결함허용모듈의 병렬 구성 Fig. 5 Parallel-composition for 2oo3 Fault-tolerant Module
위험측 고장율 λD 는 검출되지 않은 위험측 고장율 λDU 와 검출된 위험측 고장율 λDD 의 합으로 식 (4)와 같이 나타낼 수 있고, λDU와 λDD는 식(5)와 식(6)과 같다 [1] .
PPT Slide
Lager Image
PPT Slide
Lager Image
PPT Slide
Lager Image
식(5) 및 식(6)에서 언급된 진단범위 DC(Diagnostic Cover age)는 검출된 위험측 고장률 λDD 와 위험측 고장률 λD 의 비율로 나타내며, 식(7)과 같다 [1 , 12] .
PPT Slide
Lager Image
2oo3 모듈에 따른 등가 평균 정지 시간 tCE 는 증명시험간격 T1 과 평균복구시간 MTTR(Mean Time To Repair)을 근거로 계산되며, 식(8)과 같다 [1 , 12] .
PPT Slide
Lager Image
식(1)∼(8)에 주어진 파라메터를 근거로 2oo3 결함-허용 모듈의 THR은 식(9)와 같다 [1 , 12] .
PPT Slide
Lager Image
5. 시뮬레이션
THR2oo3 를 계산하기 위해 고속선 SSI MPM 모듈에 대한 각각의 파라메터에 대한 정의가 필요하다. 각각의 파라메터에 대한 정의는 Table 2 와 같으며, 시뮬레이션 도구로는 Matlab 프로그램을 사용하였다 [13 - 16] .
파라메터의 정의Table 2 Definition of parameter
PPT Slide
Lager Image
파라메터의 정의 Table 2 Definition of parameter
Table 2 로부터 고장률 1×10 -8 [/hour]를 가진 하나의 Function Operation으로 구성된 2oo3의 SSI 신뢰도를 분석하면, Fig. 6 과 같다
PPT Slide
Lager Image
2oo3에서 SSI 신뢰도[MATLAB] Fig. 6 Reliability of SSI in 2oo3[MATLAB]
Fig. 6 에서 보듯이, 시간이 흐를수록 신뢰도는 감소하며, 약 50,000시간(약 5.7년)이후에는 신뢰도가 급격이 감소한다.
Common Cause Factor(CCF)와 관련된 β βD 를 각각 2%, 1%라고 가정하면, 증명 시험 간격 T1 에 따른 THR2oo3 (1)은 Fig. 7 Fig. 8 과 같다.
PPT Slide
Lager Image
β(2%) 및 βD(1%) 일때의 THR2oo3(1)[MATLAB] Fig. 7 THR2oo3(1) applying β(2%) andβD(1%)[MATLAB]
PPT Slide
Lager Image
β(2%) 및 βD(1%) 일때의 THR2oo3(1)[MATLAB] Fig. 8 THR2oo3(1) applying β(2%) andβD(1%)[MATLAB]
진단범위 DC 및 증명 시험 간격 T1 에 따른 PFH2oo3(1)은 Table 3 과 같다. 증명 시험 간격을 1개월, 3개월, 6개월 단위로 수행하였으며, 증명 시험 간격이 증가할수록 THR2oo3 (1)은 약간씩 증가되었다. 또한 진단범위를 높게 책정할수록 THR2oo3 (1)도 감소되었고, 20% 진단 범위 책정 시에는 증명 시험 간격에 관계없이 비슷한 THR2oo3 결과 값을 도출하였다.
DC및 T1에 따른THR2oo3(1)Table 3THR2oo3(1)in the aspect of DC and T1
PPT Slide
Lager Image
DC 및 T1에 따른 THR2oo3(1) Table 3 THR2oo3(1) in the aspect of DC and T1
CCF와 관련된 β βD 를 각각 10%, 5%로 가정하여 시뮬레이션을 수행한 결과 THR2oo3 (2)는 Fig. 9 Fig. 10 과 같이 분석되었고, β βD 를 각각 20%, 10%로 가정하여 시뮬레이션을 수행한 결과, THR2oo3 (3)은 Fig. 11 , Fig. 12 와 같이 분석되었다. 한편 THR2oo3 (2), THR2oo3 (3)의 결과 패턴은 THR2oo3 (1)과 유사하게 분석되었다. 단, 6개월 증명 시험 간격에서 진단 범위가 높을수록 THR2oo3 (2), THR2oo3 (3)이 감소되는 점은 THR2oo3 (1)과는 상이하게 분석되었다.
PPT Slide
Lager Image
β(10%) 및 βD(5%) 일때의 THR2oo3(2)[MATLAB] Fig. 9 THR2oo3(2) applying β(10%) and βD(5%)[MATLAB]
PPT Slide
Lager Image
β(10%) 및 βD(5%) 일때의 THR2oo3(2)[MATLAB] Fig. 10 THR2oo3(2) applying β(10%) and βD(5%)[MATLAB]
DC및T1에 따른THR2oo3(2)ㅅTable 4THR2oo3(2)in the aspect of DC and T1
PPT Slide
Lager Image
DCT1에 따른 THR2oo3(2)ㅅ Table 4 THR2oo3(2) in the aspect of DC and T1
PPT Slide
Lager Image
β(20%) 및 βD(5%) 일때의 THR2oo3(3)[MATLAB] Fig. 11 THR2oo3(3) applying β(20%) and βD(10%)[MATLAB]
PPT Slide
Lager Image
β(20%) 및 βD(5%) 일때의 THR2oo3(3)[MATLAB] Fig. 12 THR2oo3(3) applying β(20%) and βD(10%)[MATLAB]
DC및T1에 따른THR2oo3(3)Table 5THR2oo3(3)in the aspect of DC andT1
PPT Slide
Lager Image
DCT1에 따른 THR2oo3(3) Table 5THR2oo3(3) in the aspect of DC and T1
시뮬레이션 결과 도출된 THR2oo3 (1), THR2oo3 (2), THR2oo3 (3) 결과값으로 Table 1 을 참고하여 SIL을 할당하면 Table 6 과 같다.
THR2oo3분석 결과에 따른 SIL의 할당Table 6 SIL assignment according toTHR2oo3analysis results
PPT Slide
Lager Image
THR2oo3 분석 결과에 따른 SIL의 할당 Table 6 SIL assignment according to THR2oo3 analysis results
THR2oo3 (2)와 THR2oo3 (3)는 SIL 2로 결정되었고, THR2oo3 (1)은 SIL 3으로 결정되었다. 만약 특정 시스템 또는 장치에서 요구되는 안전 요구사항이 SIL 3이라고 가정하면, 진단범위 DC 및 증명 시험 간격 T1 , 공통 원인 고장 β βD 등과 같은 설계 및 시험 인자를 적절하게 제어하여 Table 6 에서 언급된 THR2oo3 (1)을 도출할 수 있다.
6. 결 론
본 논문에서는 철도안전 국제 규격인 EN 50126, EN 50129에서 언급되는 THR과 관련된 SIL 요구사항을 만족하기 위해 IEC 61508에서 제시된 고 요구 작동모드에서의 THR을 분석하였다. 2oo3 모듈로 구성된 고속선 SSI의 MPM 모듈에 대한 고장률을 근거로 SSI의 신뢰도 및 IEC61508에서 제시된 THR2oo3 의 계산 공식을 적용하여 증명 시험 간격 T1 과 진단범위 DC 에 따른 THR2oo3 값을 계산하였고, 결과 값을 근거로 SIL을 결정하였다. 본 논문의 결론은 다음과 같다.
  • 1) PES 기반 안전-필수 열차제어시스템은 IEC 61508에서 권고하는 THR 분석 방법을 활용하여 단일계(1oo1) 및 이중계 (1oo2, 2oo2), 삼중계(2oo3)의 하드웨어 여분을 이용한 결함-허용 방식에 따른 정량적인 안전성 분석을 수행하고 정량적인 안전성 분석 결과에 따라 SIL(Safety Integrity Level)을 결정해야 한다.
  • 2) 2oo3 결함허용모듈의 THR 계산 시에는 고장률λ, 유지 보수도 MTTR, 검출되지 않은 위험측고장율λDU, 검출된 위험측고장율λDD, 등가평균정지시간tCE, 진단범위DC, 증명시험간격T1, 공통 원인 고장β및βD의 필요 인자를 먼저 예측 및 분석하여야 한다.
  • 3) 특히 진단범위 DC는 진단시험을 통해 검출되는 고장모드로써 결정된다. 단순한 부품(레지스터, 캐패시터, 트랜지스터 등)에 대한 단선 또는 단락은 100%로 결정되어야 하며, 보다 복잡한 유형의 부품은 60%, 80%, 99%로 제한을 두어 결정하는 것이 좋다[1,17-18].
  • 4) 또한 CCF와 관련된 공통 원인 고장β및βD의 결정은 시스템에 대한 다양성, 중복성, 복잡성, 데이터의 피드백, 인터페이스, 환경적 통제 등을 고려한 추정치로써 결정된다. 일반적으로β는 2×βD로써 가정되며βD의 결정은 논리시스템의 경우 0.5%에서 5% 사이로, 센서 또는 최종단의 출력시스템의 경우 1%에서 10% 사이로 제한을 두는 것이 좋다[1,19-20].
  • 5 본 논문에서는 최종THR2oo3(1)을 도출하여 SIL 3으로 결정하였지만, 최근 안전-필수 열차제어시스템에서 요구하고 있는 SIL 4를 결정할 수 있는 안전성 분석이 수행되어야 한다.
  • 6) 결함허용모듈에서 SIL 4를 도출하기 위해서는 설계 단계에서 장치의 고장률λ, 유지보수도 MTTR, 검출되지 않은 위험측고장율λDU, 검출된 위험측고장율 λDD, 등가평균정지시간tCE, 공통 원인 고장β및βD등의 요소를 고려하여 설계하여야 한다.
  • 7) 결함허용모듈에서 SIL 4를 도출하기 위해서는 시험 단계에서 증명시험간격T1요소를 고려하여 검증하여야 한다.
향후, SIL 결정 방식은 국내 철도시스템(열차제어, 통신 등)에서 보다 합리적인 안전성 평가 기법으로 활용될 수 있다.
BIO
이 명 철(Myung-Chul Lee)
1961년 11월 18일생. 2012년 서울과학기술대학교 철도전문대학원 철도전기신호공학과 졸업. 2012년∼현재 우송대학교 철도시스템학과 박사과정.
Tel : 02-830-7900
Fax : 02-830-7906
E-mail : yk5397@hanmail.net
References
2000 IEC 61508 40 - 100
Park Jaeyoung , Lee Jongwoo 2007 A Study on the Advanced Reliability Assessment Method about Hot-Standby Sparing System for Railway Signaling The Transactions of The Korean Institute of Electrical Engineers 56 (9) 1589 - 1595
2007 Committee European de Normalisation Electrotechnique, EN 50126-2 46 - 47
2003 Committee European de Normalisation Electrotechnique, EN 50129 39 - 41
Kang Shinju , Lee Jongwoo 2013 IEC 61508 into PES for Train Control Systems Journal of the Korean Institute of Electrical Engineers 62 (8) 1169 - 1176    DOI : 10.5370/KIEE.2013.62.8.1169
Hwang Jonggue , Joe Hyungjung , Shin Seungkuen , Jung Rockgoe 2009 Applying Method for Safety Activity Process of Railway Signaling Systems KIEE 1 - 5
Jang Seungho , An Gwangyeol , Lee Donggun , Lee Jue 2009 A Study on the SIL Application For Electronic Interlocking Equipment of High Speed Line The Korean society for railway 1 - 6
Ji Junggun , Kim Changhoon , Ki Nokyung , Kang Byungwook , Lee Seoungcheol , Lee Myungcheol 2012 The Quantitative Safety Analysis of Multiplex Railway Signaling Controller 1 - 7
2002 Safety Instrumented Functions(SIF) - Safety Integrity Level(SIL) Evaluation Techniques 1-7 1 - 687
Borcsok J. , Holub P. 2011 Considering and Comparing Safety Parameters-using Different Calculation Approaches of PFD/PFH/HR IEEE NY 2 - 6
2008 RAMS analysis of railway track infrastructure 5 - 26
Tao Chi-Chung 2009 A Two-Stage Safety Analysis Model for Railway Level Crossing Surveilance Systems IEEE 1 - 6
Tingos IKE C. , Raposa Frank L. 2004 A Safety Considerations with railroad Electrification: A Preliminary Review and Assessment IEEE 7 - 72
Ho Vincent 2006 Ph.D., P/E., C.S.P., A Risk-Based Approach to Verify the Guaranteed Emergency Brake Rate 1 - 18
2010 RAM Prediction Report of SSI type Interlocking Equipment 5 - 27
Schabe Hendik 2011 a Different Principles Used for Determination of Tolerable Hazard Rates 1 - 8
1991 Failure Mode/ Mechanism Distributions, Organization report Department of Defense, United States of America
1991 Qualiat und Zuverlassigkeit techischer Systeme, Theorie, Praxis, Management, Dritte Auflage 3 Aufl., 3 ed Allessandro Birolini, Springer-Verlag Berlin Heidelberg New York
1991 MIL-HDBK-217F, Military Handbook Reliability prediction of electronic equipment Department of Defense United States of America, Washington DC 20301
1887 Programmable electronic systems in safety-related applications, Part 2 : General technical guidelines, Health and Safety Executive HMSO