2017년 4월 5일 수요일

안전기능 요구사항과 안전무결성 요구사항

안전기능 요구사항은 위험원 분석을 통해 도출되고, 안전무결성 요구사항은 위험성 평가를 통해 도출된다. 안전 무결성(Safety Integrity)은 주어진 모든 조건하에 있는 안전관련 시스템이 주어진 시간 내에 요구되는 안전기능을 만족스럽게 수행할 수 있는 확률로 정의된다. 안전무결성수준이 높을수록 해당 장비 또는 시스템의 고장 발생 가능성은 낮아진다.

이와 같이 어떠한 기술로 구현된 시스템이 안전기능을 수행하면 안전관련시스템(SRS, Safety Related System)이라고 한다. 안전관련시스템은 장치 또는 시스템을 제어하는 기존 시스템과 분리하여 작동하거나, 그 안에 포함되어 일부로서 작동하거나, 기존 제어시스템 그 자체가 안전관련시스템의 역할을 하기도 한다. 안전무결성 요구사항 수준이 높을수록 안전관련 시스템이 더욱 엄격하게 적용해야 한다. 표는 기능안전성 관련 시스템의 사례를 보여준다.

표. 기능 안전에 의존하는 안전관련시스템 예시 

이러한 시스템은 보통 복잡하고, 모든 고장 모드를 완전하게 사전에 예측하거나 발생 가능한 모든 경우를 사전에 테스트하는 것은 현실적으로 불가능하다. 테스트는 항상 필수적으로 수행해야 하지만, 안전을 위한 충분한 성능을 예측 및 시험하는 것은 매우 어려운 일이다. 기능 안전성을 달성하기 위해서는 위험한 고장을 방지하거나, 고장이 발생할 때 그것을 제어하는 방식으로 시스템을 설계해야 한다. 

기능안전성과 안전한 시스템

기능안전성은 시스템이나 장비에 의해 좌우되는 전체적인 안전성의 일부분으로 안전 기능을 수행하는 시스템이나 장치는 조건 입력에 대해 사전에 정의한 대로 의도된 반응이 올바르게 수행되어야 한다.

전기 모터의 권선에 열 센서를 달아 과열되기 전에 동력을 차단하기 위한 고온 방지 장치는 기능안전성의 한 예로 볼 수 있다. 그러나 고온을 견디기 위해 특수화된 절연체를 입히는 것은 기능 안전성에 포함되지 않는다. 안전의 예시이고 동일한 위험원에 대해 방어 또는 보호할 수 있는 위험 방지 대책에는 해당하지만 기능안전성이라고 말하지는 않는다.

기능안전성은 시스템 전체적인 측면과 상호 작용하는 환경을 고려하지 않고서는 결정될 수 없다. 안전 기능은 그 입력에 응답하여 시스템 또는 올바르게 작동하는 장치로 구성되며 유해 사건을 방지하거나 유해 사건의 결과를 감소, 방지하기 위하여 제어 기기 및 장치를 활성화하여 잠재적으로 발생 가능한 위험한 상황을 사전에 검출하는 활성화된 기능이다.

그림. 기능안전성과 안전관련 시스템(SRS)의 관계 


그림은 기능안전성과 안전관련 시스템의 관계를 보여준다. Non-Safety System 에서는 별도의 Functional Safety 를 요구하지 않지만 안전관련시스템(SRS, Safety Related System)에서는 안전기능이 반드시 필요하다.

일반적으로 안전 설비 및 사전 정의된 환경에서 작동하도록 만들어진 안전 기능인 제어 시스템의 주요 위험원은 분석자 또는 개발자에 의한 위험원 분석을 통해 사전에 식별되어야 한다. 이 분석을 통해서 주요 위험원에 대한 적절한 보호를 위해 기능안전성이 꼭 필요한 것인지 결정하여 설계 시에 적절한 방법을 고려하여 구현할 수 있도록 해야 한다. 기능안전성은 위험원을 다루는 하나의 방법일 뿐이고 설계를 통해 고유의 안전성을 확보하는 것과 같이 위험원을 제거하거나 감소시키는 방법이 가장 중요한 것이다.

안전관련(Safety Related)이라는 용어는 특정한 기능을 수행하거나 위험성을 허용 가능한 수준으로 유지되도록 보증하는 안전 기능들을 수행하는 시스템을 설명하는데 사용한다.

수용 또는 허용 가능한 위험(Risk)

안전하다고 해도 반드시 약간의 위험성이 남아 있기 마련이기 때문에 절대적으로 안전하다는 의미의 절대 안전을 주장할 수는 없다. 반드시 어떤 크기의 위험성이 남아 있고 항상 사고는 일어날 수 있다는 것을 의미를 포함한다. 남아 있는 위험성, 즉 수용할 수 있거나 허용할 수 있는 위험성은 일반적으로 잔류 위험성(residual risk)이라고 일컬어진다.

여기에서 무엇을 가지고 안전하다고 할 것인가 할 때에 두 개의 다른 단어가 나온다. 하나는 「수용 가능한 위험성」(Acceptable Risk)이고, 다른 하나는 「허용 가능한 위험성」(Tolerable Risk)이다.

그림. 수용 또는 허용 가능한 위험성과 안전 

제품 또는 시스템을 설계하는 초기 단계에서는 여러 가지 큰 위험성(risk)이 존재하고 안전상 불안한 상황이다. 그래서 각각의 위험성에 대하여 설계, 제작 및 운영 단계에서 각종 안전 기능 또는 안전 대책을 마련하여 위험성의 크기를 줄여야 한다. 

누가 생각하더라도 이 정도 크기의 위험성만 존재한다면 문제가 되지 않는 상태를 수용 가능한 위험성이라고 할 수 있다. 한 마디로 위험성이 매우 적거나 낮아졌기 때문에 문제가 되지 않은 위험성 영역이 바로 진정으로 안전한 상태(Safety State)라고 말할 수 있다.