2017년 4월 17일 월요일

<위험 분석에 대한 접근> 시스템 안전 분석의 일부로서 SW 위험 분석

SW 는 시스템의 일부분으로 위험 분석은 전체 시스템의 설계 맥락에서 수행되어야 한다. SW 그 자체만으로는 안전성 문제를 발생시키지 않고, SW 가 시스템의 일부분으로 구성될 때 비로소 문제가 발생한다. 따라서 SW 안전성은 HW 와 결합되는 지점부터 위험분석이 시작되어야한다. 또한 관련된 HW, 주변 환경, 그리고 사람 등을 고려해야 한다. 때문에 SW 위험 분석을 수행하는 분석가는 시스템 안전 기능의 수행과 시스템 제어 및 감시 기능의 수행에 있어서 SW 역할을 이해해야 하고, 해당 시스템 안전성 달성에 있어서 SW 가 시스템에 미치는 영향을 잘 파악해야 한다.

시스템 설계에 있어 안전 특성들은 기본적으로 품질, 다양성, 그리고 심층방어의 세 가지 설계 원칙으로 결정된다. 이 원칙들이 여러 계층의 설계에 적용될 수 있으며, 어디에 어떻게 적용할 것인지를 결정하는 것이 설계 공정의 중요한 활동이고, 세 가지 원칙은 다양한 형태의 공정제어 장치에 적절하게 적용 가능하다.

물리적인 관점에서 심층방어 개념을 예를 들어 살펴보면, 핵분열 생성물의 누출을 통제 하기 위해 세 계층의 심층방어 설계가 마련되어 있다. 각 계층은 어느 정도 심각한 수준의 방사선으로부터 일반 대중의 피폭을 방지할 수 있어야 한다. 첫 번째 계층은 핵연료봉이 그 피복재로 싸여져 있다. 두 번 째 계층은 핵연료봉에서 세어나온 핵분열 생성물이 E/E/PES 시스템냉각재장치(RCS)에 의해 격리된다. 세 번째 계층은 E/E/PES 시스템 건물이 E/E/PES 시스템 냉각재 장치를 에워싸고 있다. 이들 각 계층은 기본적으로 서로 다른 설계이며, 각 계층마다 다양성을 부여하고 있다.

계측제어 관점에서 살펴본 심층방어 개념으로는 각 기능이 여러 개의 독립적인 시스템들에 의하여 작동될 수 있다. 예를 들면, 제어봉은 제어 장치, E/E/PES 시스템보호장치, ATWS 완화 장치, 공학적안전설비 작동 장치(ESFAS)에 의해 자동 또는 수동으로 작동될 수 있다. 또한 컴퓨터 기반 제어 및 보호장치들을 포함한 신형 E/E/PES 시스템 설계에서는 적어도 두 개의 자동시스템이 각 안전 기능을 개시할 수 있어야 한다. 그리고 운전원이 각 안전 기능을 시작, 가동, 종료할 수 있도록 충분한 정보와 수동 제어기능을 마련하여야 한다.

위험 분석 절차와 수행할 안전 요구사항


  1. 개념
    • EUC(Equipment Under Control) 이해 
    • 필요한 제어 기능 및 물리적 환경 정의 
    • 유해 사건 원인 결정, 위험원 정보, 현재 안전규정(법/제도) 등 파악 
  2. 범위 정의
    • EUC 와 제어시스템의 경계 결정 
    • 위험원과 리스크 분석 적용 범위(프로세스, 환경) 결정 
    • 고려할 외부 사건, 연관된 장비/시스템, 고려할 사건 유발 유형 결정 
  3. 위험원 및 위험 분석 
    • 위험원 식별 
      • 위험원, 위해 사건 식별 (위험원 제거/감소 도 고려) 
      • 위험한 상황(결함, 예상 가능한 오용, 악의, 비 허가) 결정 
    • 위험성 계산 
      • 결정된 위해 사건으로 이어지는 사건 순서를 결정 
      • 명시된 상황에서 위해 사건 발생 가능성 평가 
      • 결정된 위해 사건과 연관된 잠재 결과 확인(심각도) - 정량적 또는 정성적인 위험원 및 리스크 분석 기법 적용 
      • 위험한 사건과 관련된 위험 결정(평가/추정) 
  4. 안전 요구사항 명세
    • 기능 안전성 달성(위험 제거/감소) 전체 요구사항 명세 개발 
    • 안전 기능(Safety Function) 요구사항 명세 
    • 안전 무결성(SIL, safety Integrity Level) 요구사항 명세
      • 목표 안전 무결성 요구사항: 허용 리스크에 부합
      • 필요한 리스크 감소 : 허용 가능한 리스크 달성
      • 허용 가능한 사건 : 허용 가능한 리스크 충족 
  5. 안전 요구사항 할당 
    • 안전 기능 --> 안전관련 시스템, 위험 감소 수단에 할당 
      • 안전 기능이 허용 가능한 리스크 달성하도록 할당 지속
      • 달성이 어려우면 명세를 변경하면서 지속적으로 할당 반복 
      • 전체 안전 기능이 할당되고, 목표 고장 기준이 안전 기능에 할당 
    • 안전 무결성 수준(SIL) --> 각 안전 기능에 할당 
      • 확률을 조합하여 적절한 기법 이용, 공통 원인 고장 가능성 고려 
      • 목표 고장 기준 : 저요구/고요구/연속적 작동 모드 

위험 분석 절차

위험성은 위험원의 발생빈도와 심각도의 조합으로서 발생빈도가 빈번하거나 발생빈도가 빈번하지 않더라도 사고가 발생하면 치명적인 결과를 초래하는 위험원은 위험성이 크다고 정의한다. 사고관련 위험원의 위험성을 허용할 수 있는 수준으로 제어하고자 하는 안전성 관리는 시스템 수명주기의 요구사항 분석 단계부터 안전계획을 수립하여 도출된 안전 요구사항을 바탕으로 안전한 시스템이 되도록 설계, 구현 및 시험을 수행하여 위험원을 지속적으로 관리하고 확인 및 검증을 통해 시스템의 안전성을 확보한다.

안전성 확보를 위한 위험분석 절차는 대상 제어시스템에서 위험원을 중심으로 결과, 손실, 위험성을 파악하는 위험분석 단계와 해당 위험에 대한 원인 분석을 통해 위험 제거 및 감소를 위한 안전 기능을 도출하여 SIL 을 할당하고 이를 시스템 하위 서브시스템, HW, SW 에 할당하는 단계로 정의할 수 있다.

IEC61508 에서 제시하는 전체 안전 수명주기에서 위험분석 단계로 그림과 같은 개념정의(Concept), 범위 정의(Overall Scope Definition), 위험원 및 위험 분석(Hazard & Risk Analysis), 안전 요구사항 명세(Overall Safety Requirements), 안전 요구사항 할당(Overall Safety Requirements Allocation) 으로 구성 된다.

그림. IEC61508 기준 위험분석 절차



위험성은 위험원의 발생빈도와 심각도의 조합으로서 발생빈도가 빈번하거나 발생빈도가 빈번하지 않더라도 발생 시 치명적인 결과를 초래하는 위험원은 위험성이 크다. 사고관련 위험원의 위험성을 허용할 수 있는 수준으로 제어하고자 하는 안전성 관리는 시스템 수명주기의 위험분석 단계부터 안전계획을 수립하여 도출된 안전 요구사항을 바탕으로 안전한 시스템이 되도록 설계, 구현 및 시험을 수행하여 위험원을 지속적으로 관리하고 확인 및 검증을 통해 시스템의 안전성을 확보한다.