위험 분석 기법 - HAZOP (Hazard and Operability)

HAZOP 의 기본 전제는, 제품이 원래 설계된 대로 작동하는 한 근본적인 위험성이나 운용상의 문제는 없다는 것이다. 그러나, 만일 무엇인가의 이유로 인해 이상요인이 발생하게 되면, 제품이 그 충격을 감당할 수 있느냐 없느냐에 따라 사고가 발생한다는 것이다.

이 기법은 영국의 임페리얼 화학공업주식회사 (Imperial Chemical Industries Ltd., ICI) 에서 개발되어 미국 화공기술자협회 화학공정안전센터 (American Institute of Chemical Engineers Center for Chemical Process Safety) 에서 정리된 기법으로서, 여러 전문분야의 구성원들로 이루어진 분석 팀이 조직적으로 난상토론 (brainstorming) 을 하는 과정에서 시스템의 위험원들과 운용상의 문제점을 구명하는 것이다.

방법론과 분석내용으로 보아서는 앞에서 살펴 본 What If 분석과 크게 다르지 않지만, 분석을 연구 절점 (study nodes) 이라고 하는 특정부분에 집중시키며, 지침어 (guide words) 라고 하는 독특한 분석지침을 도입하기 때문에 좀 더 조직적이고 체계적으로 분석을 할 수 있다는 점에 차이가 있다.

HAZOP 의 분석 목적은 다음과 같이 정리할 수 있다.

• 의도된 설계기능이나 조건 등을 포함하여, 제품이나 시스템의 상세한 설명을 제공한다. 
• 시스템이나 제품의 모든 부분을 체계적으로 검토함으로써, 설계의도로부터의 일탈이 어떻게 발생하는가를 파악한다. 
• 이러한 일탈들이 위험이나 사용상의 문제들을 초래할 수 있는지 결정한다. 

HAZOP 에서는 기본적으로, 제품의 기능특성이 제품의 상태변수를 통해 표현되어야 한다. 제품의 상태변수 (process parameters) 란 제품의 기능이나 운용상태를 나타내기 위한 물리적 변수들을 말하는데, 표 1 에서 보는 바와 같이 온도, 습도, 압력, 유속, 반응속도 등이 그 예이다.

표1. 제품의 상태변수 예시 

SW 제어 구분(예시)

SW 는 제어 특성에 따라 6 개의 제어 범주로 구분할 수 있다.

범주 1

• 시스템의 기능을 독자적으로 제어하는 SW
• 해당 SW 의 오작동으로 인한 위험원 발생을 완화하기 위한 다른 독립 적인 하위 시스템이 없어서 해당 SW 의 고장이 직접적으로 시스템의 위험원을 발생시킨다. 

범주 2

• 시스템의 기능을 제어하는 SW
• 해당 SW 의 오작동으로 인한 위험원 발생을 완화하기 위한 다른 독립적인 하위 시스템이 있다. 

범주 3

• 시스템의 위험원을 탐지하고, 위험원을 완화하기 위한 사용자의 조치를 요구하는 기능을 수행하는 SW
• 해당 SW 의 오작동은 시스템의 위험원을 발생시킨다. 

범주 4

• 시스템의 기능을 제어하는 SW
• 해당 SW 의 오작동으로 인한 위험원을 방지할 수 있는 다중의 독립된 하위 시스템이 존재한다. 

범주 5

• 시스템의 위험원을 탐지하고, 위험원을 완화하기 위한 사용자의 조치를 요구하는 기능을 수행하는 SW
• 그러나 해당 SW 외에도 다중의 독립적인 상태정보를 제공하는 독립적인 하위 시스템이 있다. 

범주 6

• 시스템의 기능을 제어하지 않으며, 사용자 조치를 위한 정보를 제공하지도 않는 SW 

표는 SW 의 안전무결성 수준 결정을 위한 SW 위험원 심각성 매트릭스로 SW 의 안전무결성 수준은 SW 의 제어특성과 시스템의 안전무결성 수준의 조합으로 결정된다. 세로축은 SW 의 제어범주를 나타내며, 가로축은 시스템의 안전무결성 수준을 나타낸다. 예를 들어, 시스템의 안전무결성 수준이 4 이고 SW 의 제어범주가 ④이면, 해당 SW 의 안전무결성 수준은 최소한 2 이상으로 개발되어야 한다. 

안전 무결성 수준(SIL) 결정

IEC61508 에서는 안전 무결성수준(SIL)을 주어진 조건하에 있는 안전관련 시스템이 주어진 시간 내에 요구되는 안전 기능을 만족스럽게 수행할 수 있는 확률로 정의하며, 크게 네가지 등급으로 분류하고 있으며, SIL 4 가 가장 높은 수준이고 SIL 1 이 낮은 수준이다. 안전 무결성은 안전 기능을 수행하는 안전관련 시스템의 성능과 관계되어 있다.

SW 안전 무결성 수준은 모 시스템의 안전 무결성 수준을 하위시스템으로 할당하는 과정을 통해서 결정된다. 즉, 시스템의 안전 무결성 수준을 SW 를 하나의 구성요소로 갖고 있거나 또는 SW 가 유일한 구성요소일 수 있는 하위시스템으로 할당하므로 하위 SW 시스템에 대한 안전 무결성 수준은 상위의 시스템 안전 무결성 수준과 같은 수준으로 배정한다. 그림 1은 할당 과정을 보여준다.

그림1. 안전 무결성 할당 과정

이와 같은 조건은 SW 안전 무결성 수준이 다음과 같은 사항들을 고려하여 감소될 때까지 그대로 유지된다.

위험 완화 기능을 수행하는 하위 시스템에서 단일 또는 복수 고장이 발생하여도 위험한 사건(hazardous Event)이 감소되도록 안전 기능을 복수 이상 제공하는 구조적 설계를 시스템에 반영한다. 하위 시스템이 도출된 위험한 사건 또는 감소 기능에서 어떤 역할을 수행하는지 파악한다. 하위 시스템들의 역할과 그 연계를 파악할 수 있도록 충분히 상세하게 시스템의 구조적 특징이 정의되어야 한다.

SW 의 무결성 수준을 결정하기 위해 필요한 내용은 다음과 같다.

• 시스템 안전 무결성 수준 
• 위험원 목록과 각 위험원에 대한 다음과 같은 정보 
• 위험원을 초래한 수 있는 개시 사건들 
• 각 개시 사건에 대한 발생 예상 빈도 또는 확률 
• 각 하위시스템의 역할을 결정하고 완화 기능을 파악하기 위해 충분히 상세한 시스템 구조의 정의  

하위 시스템에 안전 무결성 수준을 할당하는 방법은 아래와 같다.

• 대상 시스템을 구성하는 모든 하위 시스템들을 규명한다.  
• 어떤 하위시스템의 고장이 단일 또는 복합적으로(다른 하위시스템의 상태와 조합해서) 시스템의 위험원이 되는지 결정한다. 복합 구성에서 만약 한 하위 시스템의 고장이 독자적으로 시스템의 위험원이 된다면 그 하위 시스템의 안전 무결성 수준은 시스템의 안전 무결성 수준과 동일하게 할당된다. 만약 그 하위시스템의 고장이 다른 하위시스템들의 상태와 조합해서 시스템의 위험원이 된다면 그 하위시스템의 무결성 수준은 다음에 정의된 평가결과에 따라 감소될 수 있다. 다음에 언급된 평가는 강제 사항은 아니나, 하위시스템의 무결성 수준을 감소시키기 위해 수행한다. 
• 어떤 하위시스템의 고장이 독립적으로 또는 다른 하위시스템의 상태와 조합해서 시스템의 완화 기능의 수행 여부에 영향을 줄 수 있는지 결정한다. 그림 2는 시스템 사이의 관계를 개념적으로 보여준다. 

 그림 2. 시스템 사이의 관계 

• 하나의 하위 시스템의 고장이 독자적으로 시스템의 완화 기능을 수행하지 못하게 한다면 그 하위시스템의 무결성 수준은 시스템의 무결성 수준과 동일하게 할당된다. 만약 그 하위시스템의 고장이 다른 하위시스템들의 상태와 조합해서 시스템의 완화 기능을 수행하지 못하게 한다면 그 하위시스템의 무결성 수준은 다음에 정의된 평가결과에 따라 감소될 수 있다. 다음에 언급된 평가는 강제사항은 아니나, 하위 시스템의 무결성 수준을 감소시키기 위해 수행한다. 
• 고장이 시스템의 위험원이 되지 않거나, 시스템 사건의 완화 기능과 관계가 없는 SW 가 탑재된 하위시스템들이 있는지를 결정한다. 그러한 SW 는 가장 낮은 무결성 수준을 할당한다. SW 고장이 위험원을 초래할 수 없도록 하기 위하여 결함 격리(fault isolation)가 필요하다. 시스템의 설계 담당자와 안전(또는 품질보증) 담당자는 결함이 적절하게 격리되도록 하기 위하여 시스템의 구조가 적합한지 조사해야 한다. 만약 결함 격리가 고장처리방법으로 가능하다면 그 방법은 시스템과 동일한 SW 무결성 수준이 할당된다. 

위의 네 가지 절차는 SW 만으로 이루어진 모든 하위시스템들의 무결성 수준이 결정될 때까지 또는 SW 를 하나의 구성요소로 하는 모든 하위시스템들의 무결성 수준이 설계 담당자와 안전 담당자에게 적절하다고 인정될 때까지 반복적으로 적용한다.