<위험 분석 절차> 안전 기능 할당

시스템의 위험원에 대하여 위험성이 정해진 후 해당 위험성을 수용할 수 없을 경우에 어떻게 위험원의 발생빈도를 허용 가능한 발생빈도로 낮출 것인지, 제어시스템의 위험성을 허용 가능한 목표치에 도달시키기 위한 안전 기능은 무엇인가에 대한 문제를 해결한다. 이러한 문제를 해결하기 위해서는 다음 사항을 만족 해야한다.

• 모든 위험원과 관련된 발생원인을 세부적으로 도출한다. 
• 발생 원인이 위험원으로 진전되지 않도록 하는 안전기능을 도출한다. 
• 발생 원인을 나눌 경우 가능한 한 최소한으로 나누어야 한다. (Minimal Cut Set) 

각 안전기능은 개발된 관련 안전무결성 요구사항을 하나 이상의 지정된 E/E/PE 안전관련 시스템 및/또는 기타 리스크 감소 설비에 할당하여 안전기능을 위한 허용 가능 리스크가 달성될 수 있도록 한다. 

이런 할당은 반복적이며, 허용 가능 리스크가 달성되기 어렵다고 판단되면 위험요인을 감소하기 위한 기능을 추가로 개발하여 EUC 제어 시스템, 지정된 E/E/PE 안전관련 시스템 및 기타 리스크 감소 설비를 위한 명세를 변경하고, 할당을 반복한다. 명세된 안전기능을 모두 할당하고 목표고장 기준으로 각 안전기능을 정의한다. 그림 1은 위험원 제거를 위한 안전기능 할당의 절차를 보여준다. 

그림 1.  위험원 제거을 위한 안전 기능 할당 절차

제어시스템의 안전 기능을 도출하여 해당 위험성을 낮추려고 할 경우에는 가능한 한 최악의 경우를 고려한다. 그러나 제어시스템과 같이 복잡한 시스템의 안전기능의 정도를 설정함에 있어서 다음과 같은 어려움이 있다. 

• 시스템의 갖가지 기능들이 고장날 경우 그 고장 정도는 매우 다양하다. 
• 시스템의 고장을 방지할 안전 기능은 일반적으로 몇 가지 위험원에만 영향을 미친다. 
• 위와 같은 특성을 가지는 안전기능에 단순히 안전 무결성 수준을 설정하여 평준화하는 것은 주관적이며, 모호한 작업일 수 있다. 

 

이러한 SIL 할당의 어려움을 보완하기 위하여 다음과 같은 절차를 적용한다. 

• 조치를 취해야 하는 위험원에 대하여 최대로 수용 가능한 발생 빈도 또는 허용 가능한 위험률을 적용한다. 
• 어느 고장측 고장이 어떤 기능에 영향을 미쳐 잠재적으로 위험원이 발생하는지 확인한다. 이는 어느 고장측 고장이 다른 고장측 고장과 And 게이트로 연결되어 있는지 확인하는 것이다. 
• 잠재적인 위험원 중 가장 낮은 값을 선택한다. 
• 해당 안전 기능을 안전무결성 수준으로 전환한다. 

제어시스템을 운영하는 동안 다양한 상황이 발생한다. 매우 다양한 위험원이 발생할 수 있으나 그 발생 빈도를 평가한다는 것은 매우 어려운 작업이다. 예를 들어 인적 요인과 관련된 위험원이 그런 경우이다. 따라서 각각의 위험원을 보완하는 안전기능들이 필요한지, 필요하지 않은지를 결정하는 문제부터, 안전기능에 필요한 레벨은 어느 정도인지를 결정하기 위해서 주어진 운영환경의 특징 및 통계값을 살펴보고, SIL 에 기반을 두어 좀더 자세히 위험성 분석을 수행해야 한다.
 

<위험 분석 절차> 안전 요구사항 할당

지정된 E/E/PE 안전관련 시스템 및 기타 리스크 감소 설비에 전체 안전 요구사항(전체 안전기능 요구사항과 안전무결성 요구사항 모두)에 대한 명세를 포함하여 안전기능을 할당하고, 각 안전 기능에 목표고장 기준과 안전무결성 수준을 할당한다.

필요한 기능안전성을 달성하기 위해 사용될 지정된 안전관련 시스템을 명시한다. 허용가능 리스크 감소는 E/E/PE 안전관련 시스템 및 기타 리스크 감소 설비에 의해 충족될 수 있다.

각 안전기능과 안전무결성 요구사항을 하나 이상의 지정된 E/E/PE 안전관련 시스템 또는 기타 리스크 감소 설비에 할당하여 안전기능을 위한 허용 가능 리스크가 달성될 수 있도록 한다. 이런 할당은 반복적이며, 허용 가능 리스크가 달성되기 어렵다고 판단되면 EUC 제어 시스템, 지정된 E/E/PE 안전관련 시스템 및 기타 리스크 감소 설비를 위한 명세를 변경하고, 할당을 반복한다.

안전무결성 요구사항 할당은 확률을 조합하는 적절한 기법을 이용하여 수행한다. 할당이 충분히 진행되면 E/E/PE 안전관련 시스템(들)에 할당된 각 안전기능에 대한 안전무결성 요구사항을 안전무결성 수준으로 명시한다. 표를 참고한다.

• 저요구 작동모드(low demand mode of operation)에 대한 안전 기능의 요구 시 위험측 고장평균 확률(PFDavg, Probability of Failure on Demand) 
• 고요구 작동모드 (high demand mode of operation)에 대한 안전 기능의 위험측 고장 평균 빈도(PFH, Probability of Failure per Hour) 
• 연속적인 작동모드(continuous mode of operation)에 대한 안전 기능의 위험측 고장 평균빈도(PFH). 

위와같이 세가지 유형의 작동 모드를 구분하는 이유는 빈번한 호출이 이루어지지 않는 경우에는 확률적으로 정확한 측정이 어렵기 때문에 이를 보완하기 위한 별도의 측정 변수 및 기준이 필요하기 때문이다.

서로 다른 안전무결성 수준을 가지는 안전기능들을 구현하는 E/E/PE 안전관련 시스템의 경우 특정 안전기능들 간의 구현 독립성이 충분하다는 것을 보여줄 수 없다면, 이렇게 구현 독립성이 불충분한 안전관련 하드웨어와 소프트웨어의 각 부분(Part)들은 가장 높은 안전무결성 수준을 가지는 안전기능에 속하는 것으로 취급한다. 그러므로 가장 높은 관련 안전무결성 수준에 적용 가능한 요구사항들을 모든 부분(Part)에 적용한다.

<위험 분석 절차> 안전 요구사항 명세

이 단계에서는 E/E/PE 안전관련 시스템 및 기타 리스크 감소 설비에 대해 필요한 기능안전성을 달성하기 위해 안전기능 요구사항 및 안전무결성 요구사항의 측면에서 전체 안전 요구사항에 대한 명세를 개발한다.

위험원 및 위험 분석으로부터 얻은 위험한 사건에 기초하여 필요한 모든 전체 안전기능 요구사항에 대한 명세를 개발한다. 보안 위협이 확인된 경우 보안 요구사항을 규정하기 위해 취약점 분석을 수행한다.

각각의 전체 안전기능을 위해 목표 안전무결성 요구사항을 허용 리스크에 부합되도록 결정하고 각각의 요구사항은 정량적 또는 정성적 방법으로 결정하며, 이는 전체 안전무결성 요구사항의 명세를 구성되며, 전체 안전무결성 요구사항은 다음중 하나의 관점에서 규정한다.

• 허용 가능 리스크를 달성하는 데 필요한 리스크 감소 
• 허용 가능 리스크를 충족하기 위한 허용 가능 위험한 사건 

EUC 리스크를 평가할 때 단일 EUC 제어 시스템 기능의 위험측 고장의 평균 빈도가 시간당 10－5 이하일 경우 그 EUC 제어 시스템은 요구사항에 따르는 안전관련 제어 시스템으로 간주한다.

EUC 제어 시스템의 고장으로 하나 이상의 E/E/PE 안전관련 시스템 및/또는 기타 리스크 감소 설비가 필요한 경우, 그리고 EUC 제어 시스템을 안전관련 시스템으로 지정하지 않는 경우, 다음의 요구사항을 적용한다.

• 위험측 고장률은 다음에서 얻은 데이터로써 확인 
• 유사한 응용에서의 EUC 제어 시스템의 실제 운영 경험 
• 인정되는 절차에 의해 수행된 신뢰도 분석 
• 일반 장비의 신뢰성있는 산업 데이터베이스 
• 위험측 고장률은 시간당 10의 (-5)승 보다 높아야 함 
• 합리적으로 예측 가능한 모든 위험측 고장 모드는 전체 안전 요구사항에 대한 명세의 개발을 고려 
• E/E/PE 안전관련 시스템 및 기타 리스크 감소 설비로부터 독립적 

위 요구사항을 충족할 수 없는 경우, EUC 제어 시스템을 안전관련시스템으로 지정해야 한다. EUC 제어 시스템 기능의 안전무결성 수준에 따라서 EUC 제어 시스템에 대해 요구되는 위험측 고장률에 의해 결정된다. 그러한 경우, 할당된 안전무결성 수준에 해당되는 요구사항을 EUC 제어 시스템에 적용한다.

자세히 보기 >>>