SW 는 시스템의 일부분으로 위험 분석은 전체 시스템의 설계 맥락에서 수행되어야 한다. SW 그 자체만으로는 안전성 문제를 발생시키지 않고, SW 가 시스템의 일부분으로 구성될 때 비로소 문제가 발생한다. 따라서 SW 안전성은 HW 와 결합되는 지점부터 위험분석이 시작되어야한다. 또한 관련된 HW, 주변 환경, 그리고 사람 등을 고려해야 한다. 때문에 SW 위험 분석을 수행하는 분석가는 시스템 안전 기능의 수행과 시스템 제어 및 감시 기능의 수행에 있어서 SW 역할을 이해해야 하고, 해당 시스템 안전성 달성에 있어서 SW 가 시스템에 미치는 영향을 잘 파악해야 한다.
시스템 설계에 있어 안전 특성들은 기본적으로 품질, 다양성, 그리고 심층방어의 세 가지 설계 원칙으로 결정된다. 이 원칙들이 여러 계층의 설계에 적용될 수 있으며, 어디에 어떻게 적용할 것인지를 결정하는 것이 설계 공정의 중요한 활동이고, 세 가지 원칙은 다양한 형태의 공정제어 장치에 적절하게 적용 가능하다.
물리적인 관점에서 심층방어 개념을 예를 들어 살펴보면, 핵분열 생성물의 누출을 통제 하기 위해 세 계층의 심층방어 설계가 마련되어 있다. 각 계층은 어느 정도 심각한 수준의 방사선으로부터 일반 대중의 피폭을 방지할 수 있어야 한다. 첫 번째 계층은 핵연료봉이 그 피복재로 싸여져 있다. 두 번 째 계층은 핵연료봉에서 세어나온 핵분열 생성물이 E/E/PES 시스템냉각재장치(RCS)에 의해 격리된다. 세 번째 계층은 E/E/PES 시스템 건물이 E/E/PES 시스템 냉각재 장치를 에워싸고 있다. 이들 각 계층은 기본적으로 서로 다른 설계이며, 각 계층마다 다양성을 부여하고 있다.
계측제어 관점에서 살펴본 심층방어 개념으로는 각 기능이 여러 개의 독립적인 시스템들에 의하여 작동될 수 있다. 예를 들면, 제어봉은 제어 장치, E/E/PES 시스템보호장치, ATWS 완화 장치, 공학적안전설비 작동 장치(ESFAS)에 의해 자동 또는 수동으로 작동될 수 있다. 또한 컴퓨터 기반 제어 및 보호장치들을 포함한 신형 E/E/PES 시스템 설계에서는 적어도 두 개의 자동시스템이 각 안전 기능을 개시할 수 있어야 한다. 그리고 운전원이 각 안전 기능을 시작, 가동, 종료할 수 있도록 충분한 정보와 수동 제어기능을 마련하여야 한다.
2017년 4월 17일 월요일
위험 분석 절차와 수행할 안전 요구사항
- 개념
- EUC(Equipment Under Control) 이해
- 필요한 제어 기능 및 물리적 환경 정의
- 유해 사건 원인 결정, 위험원 정보, 현재 안전규정(법/제도) 등 파악
- 범위 정의
- EUC 와 제어시스템의 경계 결정
- 위험원과 리스크 분석 적용 범위(프로세스, 환경) 결정
- 고려할 외부 사건, 연관된 장비/시스템, 고려할 사건 유발 유형 결정
- 위험원 및 위험 분석
- 위험원 식별
- 위험원, 위해 사건 식별 (위험원 제거/감소 도 고려)
- 위험한 상황(결함, 예상 가능한 오용, 악의, 비 허가) 결정
- 위험성 계산
- 결정된 위해 사건으로 이어지는 사건 순서를 결정
- 명시된 상황에서 위해 사건 발생 가능성 평가
- 결정된 위해 사건과 연관된 잠재 결과 확인(심각도) - 정량적 또는 정성적인 위험원 및 리스크 분석 기법 적용
- 위험한 사건과 관련된 위험 결정(평가/추정)
- 안전 요구사항 명세
- 기능 안전성 달성(위험 제거/감소) 전체 요구사항 명세 개발
- 안전 기능(Safety Function) 요구사항 명세
- 안전 무결성(SIL, safety Integrity Level) 요구사항 명세
- 목표 안전 무결성 요구사항: 허용 리스크에 부합
- 필요한 리스크 감소 : 허용 가능한 리스크 달성
- 허용 가능한 사건 : 허용 가능한 리스크 충족
- 안전 요구사항 할당
- 안전 기능 --> 안전관련 시스템, 위험 감소 수단에 할당
- 안전 기능이 허용 가능한 리스크 달성하도록 할당 지속
- 달성이 어려우면 명세를 변경하면서 지속적으로 할당 반복
- 전체 안전 기능이 할당되고, 목표 고장 기준이 안전 기능에 할당
- 안전 무결성 수준(SIL) --> 각 안전 기능에 할당
- 확률을 조합하여 적절한 기법 이용, 공통 원인 고장 가능성 고려
- 목표 고장 기준 : 저요구/고요구/연속적 작동 모드
위험 분석 절차
위험성은 위험원의 발생빈도와 심각도의 조합으로서 발생빈도가 빈번하거나 발생빈도가 빈번하지 않더라도 사고가 발생하면 치명적인 결과를 초래하는 위험원은 위험성이 크다고 정의한다. 사고관련 위험원의 위험성을 허용할 수 있는 수준으로 제어하고자 하는 안전성 관리는 시스템 수명주기의 요구사항 분석 단계부터 안전계획을 수립하여 도출된 안전 요구사항을 바탕으로 안전한 시스템이 되도록 설계, 구현 및 시험을 수행하여 위험원을 지속적으로 관리하고 확인 및 검증을 통해 시스템의 안전성을 확보한다.
안전성 확보를 위한 위험분석 절차는 대상 제어시스템에서 위험원을 중심으로 결과, 손실, 위험성을 파악하는 위험분석 단계와 해당 위험에 대한 원인 분석을 통해 위험 제거 및 감소를 위한 안전 기능을 도출하여 SIL 을 할당하고 이를 시스템 하위 서브시스템, HW, SW 에 할당하는 단계로 정의할 수 있다.
IEC61508 에서 제시하는 전체 안전 수명주기에서 위험분석 단계로 그림과 같은 개념정의(Concept), 범위 정의(Overall Scope Definition), 위험원 및 위험 분석(Hazard & Risk Analysis), 안전 요구사항 명세(Overall Safety Requirements), 안전 요구사항 할당(Overall Safety Requirements Allocation) 으로 구성 된다.
위험성은 위험원의 발생빈도와 심각도의 조합으로서 발생빈도가 빈번하거나 발생빈도가 빈번하지 않더라도 발생 시 치명적인 결과를 초래하는 위험원은 위험성이 크다. 사고관련 위험원의 위험성을 허용할 수 있는 수준으로 제어하고자 하는 안전성 관리는 시스템 수명주기의 위험분석 단계부터 안전계획을 수립하여 도출된 안전 요구사항을 바탕으로 안전한 시스템이 되도록 설계, 구현 및 시험을 수행하여 위험원을 지속적으로 관리하고 확인 및 검증을 통해 시스템의 안전성을 확보한다.
안전성 확보를 위한 위험분석 절차는 대상 제어시스템에서 위험원을 중심으로 결과, 손실, 위험성을 파악하는 위험분석 단계와 해당 위험에 대한 원인 분석을 통해 위험 제거 및 감소를 위한 안전 기능을 도출하여 SIL 을 할당하고 이를 시스템 하위 서브시스템, HW, SW 에 할당하는 단계로 정의할 수 있다.
IEC61508 에서 제시하는 전체 안전 수명주기에서 위험분석 단계로 그림과 같은 개념정의(Concept), 범위 정의(Overall Scope Definition), 위험원 및 위험 분석(Hazard & Risk Analysis), 안전 요구사항 명세(Overall Safety Requirements), 안전 요구사항 할당(Overall Safety Requirements Allocation) 으로 구성 된다.
그림. IEC61508 기준 위험분석 절차
피드 구독하기:
글
(
Atom
)