2017년 4월 21일 금요일

<위험 분석 절차> 안전 기능 할당

시스템의 위험원에 대하여 위험성이 정해진 후 해당 위험성을 수용할 수 없을 경우에 어떻게 위험원의 발생빈도를 허용 가능한 발생빈도로 낮출 것인지, 제어시스템의 위험성을 허용 가능한 목표치에 도달시키기 위한 안전 기능은 무엇인가에 대한 문제를 해결한다. 이러한 문제를 해결하기 위해서는 다음 사항을 만족 해야한다.


  • 모든 위험원과 관련된 발생원인을 세부적으로 도출한다. 
  • 발생 원인이 위험원으로 진전되지 않도록 하는 안전기능을 도출한다. 
  • 발생 원인을 나눌 경우 가능한 한 최소한으로 나누어야 한다. (Minimal Cut Set) 

각 안전기능은 개발된 관련 안전무결성 요구사항을 하나 이상의 지정된 E/E/PE 안전관련 시스템 및/또는 기타 리스크 감소 설비에 할당하여 안전기능을 위한 허용 가능 리스크가 달성될 수 있도록 한다. 

이런 할당은 반복적이며, 허용 가능 리스크가 달성되기 어렵다고 판단되면 위험요인을 감소하기 위한 기능을 추가로 개발하여 EUC 제어 시스템, 지정된 E/E/PE 안전관련 시스템 및 기타 리스크 감소 설비를 위한 명세를 변경하고, 할당을 반복한다. 명세된 안전기능을 모두 할당하고 목표고장 기준으로 각 안전기능을 정의한다. 그림 1은 위험원 제거를 위한 안전기능 할당의 절차를 보여준다. 

그림 1.  위험원 제거을 위한 안전 기능 할당 절차


제어시스템의 안전 기능을 도출하여 해당 위험성을 낮추려고 할 경우에는 가능한 한 최악의 경우를 고려한다. 그러나 제어시스템과 같이 복잡한 시스템의 안전기능의 정도를 설정함에 있어서 다음과 같은 어려움이 있다. 
  • 시스템의 갖가지 기능들이 고장날 경우 그 고장 정도는 매우 다양하다. 
  • 시스템의 고장을 방지할 안전 기능은 일반적으로 몇 가지 위험원에만 영향을 미친다. 
  • 위와 같은 특성을 가지는 안전기능에 단순히 안전 무결성 수준을 설정하여 평준화하는 것은 주관적이며, 모호한 작업일 수 있다. 
 
이러한 SIL 할당의 어려움을 보완하기 위하여 다음과 같은 절차를 적용한다. 
  • 조치를 취해야 하는 위험원에 대하여 최대로 수용 가능한 발생 빈도 또는 허용 가능한 위험률을 적용한다. 
  • 어느 고장측 고장이 어떤 기능에 영향을 미쳐 잠재적으로 위험원이 발생하는지 확인한다. 이는 어느 고장측 고장이 다른 고장측 고장과 And 게이트로 연결되어 있는지 확인하는 것이다. 
  • 잠재적인 위험원 중 가장 낮은 값을 선택한다. 
  • 해당 안전 기능을 안전무결성 수준으로 전환한다. 

제어시스템을 운영하는 동안 다양한 상황이 발생한다. 매우 다양한 위험원이 발생할 수 있으나 그 발생 빈도를 평가한다는 것은 매우 어려운 작업이다. 예를 들어 인적 요인과 관련된 위험원이 그런 경우이다. 따라서 각각의 위험원을 보완하는 안전기능들이 필요한지, 필요하지 않은지를 결정하는 문제부터, 안전기능에 필요한 레벨은 어느 정도인지를 결정하기 위해서 주어진 운영환경의 특징 및 통계값을 살펴보고, SIL 에 기반을 두어 좀더 자세히 위험성 분석을 수행해야 한다.