FTA 분석절차와 내용

FTA 의 분석절차는 분석 목적이나 분석 수준에 따라 다르지만 일반적으로 다음과 같은 순서에 따라 진행된다. 즉, 분석범위의 정의 및 분석수준의 결정, 대상 제품의 특성파악, 정상사상의 설정, 결함수의 구성, 결함수의 정성적 분석, 결함수의 정량적 분석, 분석결과의 평가 및 보고라는 단계를 거치는 것이다.

1) 분석범위의 정의 및 분석수준의 결정 
분석되어야 할 제품, 분석목적과 범위, 제품 운용상의 초기조건들과 현재의 조건, 그리고 기본적인 가정사항들을 정의한다. 이 때 기본적인 가정들이란 모든 사용조건 하에서의 제품 성능뿐만 아니라, 예상되는 운용조건들과 보전조건들과 관련된 모든 가정사항들을 포함한다.

2) 대상제품의 특성 파악 
결함수 분석이 성공적으로 이루어지려면 분석자가 제품을 상세히 숙지하고 있어야 한다. 이 때 필요한 지식이란 생산공정의 구성, 기능, 작동 및 작업방법이나 동작 등 현장정보에 의한 제품의 안전보건상의 문제점을 파악하는 데 관계되는 지식들을 말한다. 또한 여기에는 부품, 구성품들의 고장률 자료와 신뢰도 구조를 입수하여, 신뢰도 블록 다이어그램 분석 (Reliability Block Diagram Analysis) 을 행하는 것도 포함되며, 인간과오의 요인, 형태, 발생확률 등의 자료도 확보되어야 한다.

3) 정상사상의 정의 
작업자의 과오나 기계설비로 인한 경과를 모형화하고 대책을 설정할 문제점들에 대해 중요도나 우선순위를 결정하여 분석할 대상이 되는 사항을 정상사상으로 선정한다. 이 때 분석대상이 되는 정상사상은 분석목적과 수준, 범위에 맞게 설정되어야 한다.

4) 결함수의 구성 
정해진 기호를 이용하여 재해사고의 발생과 관련된 요인들간의 논리적인 관계를 나무모양으로 구성한다. 사용기호에는 표 III.4.6 과 같이 여러 가지가 있으나, 분석자의 편의에 따라 첨삭이나 수정이 가능하다.

표 1. FTA 사용 기호 

수목을 구성하는 방법으로는, 우선 분석하려고 하는 제품 전체의 고장이라든가 결함과 같은 바람직하지 않은 사상을 정상사상으로 채택하여 최상단에 직사각형을 그리고 그 안에 내용을 기입한다. 이것이 결함수 최정상의 출력사상, 다시 말해 제 1 수준의 출력사항이라고 할 수 있다.

다음에는 정상사상의 하단에 그 재해의 직접원인이 되는 기계 등의 불안전 상태나 작업자의 과오인 결함사상들, 다시 말해 논리 게이트의 입력사상들을 나열한다. 이것은 제 2 수준에 해당한다. 그리고 나서, 입력사상들과 출력사상과의 관계를 고려하여 제 1 수준의 정상사상과 제 2 수준의 기초사상들과를 논리 게이트로 연결한다.

다음 단계에서는 반복적으로 제 2 수준의 결함사상들을 각각 하나의 중간사상으로 하여, 그것들의 직접원인이 되는 결함사상들을 각각 제 3 수준에 쓰고, 제 2 수준의 사상들과 관계를 고려하여 다시 제 2 수준의 사상들과 제 3 수준들과의 사이를 논리 게이트로 연결한다.
이와 같은 과정을 반복해서 위에서부터 아래로, 차례대로 써 나가 최종적으로 모든 나뭇가지의 끝이 모두 다음 중 어느 하나에 해당되면 분지(, branching) 작업을 종료한다.

• 통상사상 
• 기본사상 
• 미개발 (생략) 사상  
• 전이기호 

5) 결함수목의 정성적 분석 
결함수의 정성적 분석이란 정량적인 변수들을 이용하지 않고 제품의 구조적 특성이나 각 기본사상들이 정상사상의 발생에 미치는 상대적 중요도 등을 평가하는 분석을 말한다.
이 분석은 다음과 같이 3 단계로 나뉘어진다.

• 결함수의 타당성 조사 
• 결함수의 축약 
• 절단집합과 경로집합 

이 중 가장 중요한 것은 최소절단집합 (minimal cut sets) 의 도출이다. 최소절단집합이란, 정상사상, 즉 원하지 않는 재해사고가 발생하기 위해 동시에 발생하여야 하는 최소한의 기본사상들의집합을 말하는데, 이것은 이후 정량적인 분석을 진행해 나가는 데에도 매우 중요하다.

6) 결함수목의 정량적 분석 

• 사상 발생확률의 평가: 결함수에 대한 정량적 분석의 최대 장점 중의 하나로서, 각 기본사상들의 발생확률만 알고 있다면 몇 가지 가정사항들을 추가함으로써 중간사상들이나 정상사상의 발생확률을 계산할 수 있다. 
• 중요도 지수: 중요도란 어떤 기본사상의 발생이 정상사상의 발생에 어느 정도의 영향을 미치는가를 정량적으로 나타낸 것으로서, 재해예방책 선정의 우선 순위를 제시한다. 여기에는 구조중요도, 확률중요도, 치명중요도 등 여러 가지가 있으며, 이 척도들을 이용하면 재해사고의 예방을 위하여 어느 사상부터, 혹은 어떤 부품부터 개선하여야 할 것인가를 결정할 수 있다. 
• 평균고장률과 평균수리시간: 만약 제품이 수리가능한 제품이라면, 하위수준의 기본사상이나 중간사상들의 평균고장률 와 평균수리시간 로부터 정상사상으로 인한 제품의 평균고장률이나 평균수리시간도 쉽게 구할 수 있다. 
• 기타 신뢰도척도의 추정: 이 외에도 해당 제품의 여러 가지 신뢰도 특성이나 척도들을 추정할 수 있다. 이런 경우에 매우 유용한 것이 최소절단집합이다. 

7) 분석결과의 평가 및 보고 
이상의 과정을 거쳐 정성적 분석 또는 정량적 분석이 종료되면, 최종적인 보고서를 준비한다. 보고서에 포함되어야 하는 기본적인 사항들은 다음과 같이 정리될 수 있으며, 분석목적과 상황에 따라 약간씩 차이가 있을 수 있다.

• 목적과 범위 
• 제품 설명 
• 설계 설명 
• 제품 운용 
• 상세한 제품 경계정의 
• 가정사항
• 제품 설계 가정
• 운용, 보전, 시험 및 검사의 가정
• 신뢰도 및 가용도 모형의 가정
• 제품 결함의 정의 및 기준
• 결함수 분석
• 분석내용
• 자료
• 사용기호
• 결과 및 결론 

이 이외에 결과 보고서에 추가적으로 포함될 수 있는 자료는 아래와 같다.

• 제품 블록/회로 다이어그램 
• 사용된 신뢰도 및 보전도 자료의 요약 
• 컴퓨터 입력 양식의 결함수 표현 

끝으로 이렇게 분석보고까지 끝나면 효과적인 개선안을 검토한다. 최소절단집합은 재해를 예방하기 위한 노력이 어느 곳에 집중되어야 하는가를 나타내기는 하지만 실제적인 비용, 시간, 기술적 이유 등 여러 가지 면에서 제약이 있을 수 있으므로, 여러 가지 중요도 지수와 경제성, 보수성 등을 고려하고, 또 절충연구 (trade-off study) 의 결과와도 비교하여 대책을 수립한다.

FTA (Fault Tree Analysis)

FTA 는 결함수 분석, 결함수목분석, 고장수목분석 등 여러 가지 용어로 번역되어 사용된다. 고장 (failure) 이란 해당 부품이나 제품이 다시 정상적으로 작동하기 전에 수리를 요하는 기능장애를 말하고, 결함 (fault) 이란 일단 기능장애를 야기시킨 조건이 교정되면 저절로 치유될 수 있는 기능장애를 말한다. 이 차이를 고려하면 제품의 안전성을 향상시키기 위해 조사하고 분석해야 할 대상은 고장뿐만 아니라 결함도 망라하여야 하므로, 고장수목분석 이 아니라 결함수분석 또는 결함수목분석 이라고 부르는 것이 바람직하다.

원래 이 기법은 미국의 미닛트 맨 (Minute Man) 미사일 발사 시스템을 개발하던 도중 1962 년 벨 (Bell) 전화 연구소의 왓트슨 (Watson) 이라는 사람에 의해 제안되었는데, 초기의 개발 목적은 지금도 충족되고 있다.

• 정상 사건(top event)을 초래하는 원인이나 원인들 조합의 구명 
• 특정한 제품 신뢰성 척도가 서술된 요구사항을 충족시키는가 여부의 결정 
• 제품의 독립성과 고장의 비관련성에 대하여, 다른 분석들에서 이루어진 가정들이 위배되지 않는가에 대한 결정 
• 특정 신뢰도 척도에 가장 심각한 영향을 미치는 요인들과 그 척도를 개선하기 위하여 필요한 변경들의 결정 
• 공통적 사상이나 공통원인고장의 구명 

결함수란 ETA 의 나무모양의 구조를 말하는데, 다른 점이 있다면 ETA 의 나무는 촉발사상으로부터 시작되어 제품 상태를 나타내는 결과로 발전하여 가는 귀납적 구조였지만, FTA 의 나무는 정상 사상 (top event) 이라고 부르는 바람직하지 않은 사상을 시작으로 그 발생원인이나 거기에 기여하는 조건들이나 요인들을 찾아 시간적 흐름을 거슬러 분석해 가는 연역적 구조라는 점이다. 또한, 정성적인 분석과 정량적인 분석이 모두 가능하고, 제품 구성수준측면에서 보면 하향성 분석방법 (top-down approach) 이며, 수학적 논리는 부울 대수 (Boolean Algebra) 에 의해 지원되고 있다.

FMEA 분석절차

일반적으로 10단계의 절차를 따른다.

1. 제품과, 그 기능적 최소 운용요구조건의 정의 
2. 기능적 신뢰도 블록 다이어그램, 기타 다이어그램 또는 수학적 모형의 개발과 설명 
3. 분석 수행상의 기본원칙과 그에 상응하는 문서양식의 설정 
4. 고장모드, 그들의 원인과 영향, 상대적인 중요성, 그리고 그 연쇄들의 구명 
5. 고장검출과 격리규정 및 방법의 구명 
6. 특히 바람직하지 않은 사건에 대한 설계 및 운용규정의 구명 
7. 사건 치명도 (event criticality) 의 결정 
8. 고장확률의 평가   
9. 필요한 경우, 고려되어야 하는 특정조합의 다중고장에 대한 탐색 
10. 권장사항 

구체적 내용을 소개한다.

(1) 분석과제 정의 및 분석준비 

가장 먼저 이루어져야 할 것은, FMEA 에 포함되어야 할 구체적인 항목과, 그것들이 분석되어야 할 조건들을 규정하는 일로서, 적절한 분석수준과 분석의 경계 조건들을 정의하는 것을 말한다.  다음의 절차를 수행한다. 

• 제품을 효율적으로 다룰 수 있게 어셈블리로 분할한다. 
• 제품과 어셈블리의 기능 다이어그램, 구성도, 도면 등을 검토하여 그들의 연관관계를 결정한다. 
• 분석되어야 할 각 어셈블리에 대하여 완벽한 구성부품목록을 준비한다. 

(2) 분석의 실시 

분석 수행시 가장 중요한 것은, 치명적인 상호작용과 숨겨져 있는 제품 설계상의 상호작용을 도출하기 위하여 분석자가 부품의 구조와 기능에 관하여 충분한 지식을 가지고 있어야 한다는 점이다. 

FMEA 는 결함수 분석 (Fault Tree Analysis) 과 같이 제품 구성요소간의 상세한 기능적 연관관계나 종속성에 관한 정보를 제공하지는 않으므로 이 부족한 상세사항은 분석팀의 경험과 지식으로 보충되어야 한다. 분야 전문가를 포함한 여러 분야의 전문가들의 협력에 의하여 학제간 연구 (multidisciplinary study) 로 이루어져야 한다. 

그러므로, 최소한 분석 팀에는 다음의 전문가가 반드시 참여하여야 한다. 

• 제품의 설계와 운용을 잘 아는 제품 공학자나 사용 전문가 
• 전기적 제어설계, 논리, 사용장비 등을 잘 아는 제어 전문가 

 

직접 수행되는 구체적인 분석내용은 다음과 같다. 

• 제품에 영향을 미치는 운용상의 또는 환경적인 스트레스를 설정한다. 
• 공학적 도면이나 기능 다이어그램의 분석으로부터 구성요소에 영향을 미칠 수 있는 중요한 고장 메커니즘을 결정한다. 
• 모든 구성부품의 고장모드를 판명한다. 
• 운용, 스트레스, 인적반응조치, 사건들의 조합에 있어서 고장이나 손상의 가능성을 증가시키는 특별한 기간이 있는지, 구성부품에 영향을 미치는 각 조건들을 나열한다. 
• 위험성 범주를 평가한다. 
• 위험성을 제거하거나 최소화하기 위한 예방대책 또는 사후대책을 나열한다. 

 

작업의 결과는 표 1과 같은 형태로 문서화한다.  

표1. 분석결과 문서화 예

• 항목번호는 도면이나 블록 다이어그램에서 식별할 수 있는 식별기호를 나타낸다. 
• 장비특성에는 장비유형, 운용모드, 기타 고장모드와 효과에 영향을 미칠 수 있는 기능 특성, 예를 들어 고온, 고압, 부식 등을 기입한다. 
• 고장모드에는 장비특성과 관련된 부품의 모든 고장모드를 나열한다. 이 때 각각의 고장은 제품 내의 다른 고장들과 관계없이 독립적으로 발생한다고 가정한다. 
• 고장원인을 나열하는 이유는, 고장 시나리오를 함축적으로 서술함으로써 고장의 성질을 명확히 하기 위한 것이다. 

고장영향에는 고장위치에 미치는 부품고장의 직접적인 효과와, 다른 장비나 전체 제품에 영향을 줄 것으로 예상되는 결과를 모두 기입한다. 특히 제품의 사고를 예방하기 위해서는, 제품 설계내에 존재하는 안전방호장치가 정상적으로 작동하지 않는다고 가정하고, 그 결과 예견될 수 있는 최악의 상황을 염두에 두고 영향을 평가한다. 

고장검출방법은 고장모드를 어떻게 검출할 것인가 하는 방법을 말한다. 

시정조치에는 해당 고장모드와 관련된 효과의 발생 가능성을 감소시킬 수 있는 모든 사후조치를 나열한다. 만약 제품의 자동제어기능이 별다른 손실없이 고장의 영향을 흡수해 버릴 수 있다면 이 사실도 기입되어야 한다. 

FMEA 에서는, 피해규모의 경중에 차이없이 제품 기능 상실을 초래하는 고장들의 위중함이 모두 같다고 가정되지만, 실제로 고장이 제품에 미치는 영향은 서로 다르기 때문에 집중적으로 관리할 필요성이 대두되기 때문에, 이를 위해 제품 기능에 미치는 치명성을 언급하는 공란을 추가하거나 비고란을 추가하여 이에 대한 사항을 기록한다. 표 1의 치명도는 바로 이러한 목적을 위해 이용된다. 

(3) 분석결과의 정리 및 심층 분석 

이상의 분석이 끝나면 해당 구성요소의 고장이 각 제품 수준에 미치는 대략적인 영향을 파악할 수 있다. 그러나 좀 더 정확하고 비교가 가능한 척도를 얻기 위하여 고장확률을 계산할 수 있다. 구체적인 내용은 다음과 같다. 

• 각 구성부품의 고장발생확률을 기입한다. 
• 하부 어셈블리, 어셈블리, 제품의 고장확률을 계산한다. 
• 구성부품의 치명도를 계산하는 등 분석을 계속하고, 고장이 임무수행에 가져올 수 있는 영향을 분석한다. 

FMEA (Failure Modes and Effects Analysis) 개념

FMEA 는 What If 분석을 좀 더 체계화한 것이다. 즉, 만약 무슨 일이 벌어진다면 어떻게 될까 (what happens if ) ?" 라는 질문을 염두에 두어 하나의 재료, 부품, 장비 등이 고장났을 경우 그것이 전체 제품이나 사용자, 혹은 제품기능에 어떠한 영향을 미치는가, 생각의 범위를 점차 넓혀가면서 상위수준으로 분석하여 가는 것이다.

그러므로 이 기법은 전형적인 귀납적 분석방법이며 상향성 (bottom-up), 정성적인 위험성 분석기법의 대표라고 할 수 있다. 특히 결함과, 다음 상위 수준의 기능적 제품에 미치는 영향과 메커니즘을 연구하는 데 적합하다.

IEC 812 는 이 기법의 목적을 다음과 같이 밝히고 있다.

• 원인이 무엇이든 제품 기능적 구조의 다양한 수준에서, 각각의 규정된 품목의 고장모드가 초래할 수 있는 사건의 영향과 연쇄를 평가한다. 
• 각 고장모드가 제품의 정상적 기능이나 성능, 또는 관련된 과정의 신뢰도나 안전성에 미치는 중요성이나 치명도를 결정한다. 
• 판명된 고장모드를 검출성 (detectability), 진단성 (diagnosability), 시험성 (testability), 교체성 (replaceability), 보상 및 운용성, 기타 적절한 특성에 따라 분류한다. 
• 자료의 가용여부에 따라 중요도와 고장확률을 추정한다.  

시기적으로, 이 분석은 제품 구상, 계획, 정의단계에서 시행될 수는 있으나 제품의 구성과 기능에 관계된 구체적이고도 많은 자료를 필요로 하기 때문에 그 효과가 한정적이어서, 주로 제품 설계단계와 개발단계에서 이루어지는 것이 일반적이다.

자세히 보기 >>>

HAZOP 의 분석 순서

1) 목적 및 분석범위의 설정 
분석목적과 범위를 결정한다. 지나치게 많은 분석 대상은 많은 노력을 필요로 하기 때문에, 보통은 위험성이 높다고 판단되는 부분을 선정하여 분석을 집중하는 것이 보통이다.

2) 분석 팀의 구성 
분석 팀은 학제간 연구가 가능하여야 한다. 이것은 최초 ICI 사에서 규정한 HAZOP 의 정의에서도 분명히 규정하고 있는 사항이다. 그러므로 분석 팀은 전문가들이 참여하여야 하고, 아울러 관리가능하여야 하기 때문에 대체로 57 인 정도로 유지하는 것이 중요하지만, 작은 제품의 경우에는 경험많은 전문가 23 인으로도 가능하다.

분석팀의 구성원이 분석에 전념할 수 있도록 하기 위해서는 기록이나 보고서 작성을 위한 인원을 추가할 수 있다.

3) 예비조사 
예비작업은 일반적으로 다음과 같이 진행된다.

• 필요한 자료의 획득 
• 획득된 자료를 적절한 형태로 전환하거나 분석하기 위한 절차의 수립 
• 회의일정의 계획 

HAZOP 을 실시하기 위해서는 사전에 대상 제품에 대하여 충분히 숙지하고 있어야 한다. 또한 제품변수를 파악하고 그 결과를 예측하기 위해서는 제품설계도, 사용절차, 공정 흐름도 등 상세한 공정설명과 관계자료를 확보하고 있어야 한다. 이 때 확보되고 검토되어야 하는 자료들은 다음과 같다.

• P&IDs 
• 제품설계도 
• 제품흐름도 
• 선형 다이어그램 
• 제품설명 
• 사용설명서/절차 
• 제품재료정보 및 규격 
• 필요시 논리 다이어그램 추가 

4) 난상토론의 실시 

팀 구성원들이 함께 모여 난상토론을 한다. 난상토론 (brainstorming) 의 주된 장점은 팀 구성원들의 다양한 전문지식과 의견교환을 통하여 창조력과 상상력을 자극하여 다양한 아이디어를 만들어낸다는 점이다. 

이 때, 분석 및 검토대상은 보통 연구 절점 (study node) 이라고 부르는 제품변수들의 일탈이 조사될 제품 구조 및 기능상의 위치를 말한다. 일탈 (deviation) 이란 지침어를 체계적으로 적용시킴으로써 의도된 기능으로부터 벗어나는 상황을 가리킨다. 

안내 단어 (guide word) 란 HAZOP 만이 가지고 있는 독특한 기법으로, 난상토론을 통해 쉽게 일탈을 발견할 수 있도록, 의도된 기능을 정성화 또는 정량화하는 데 사용되는 간단한 용어들을 말한다. 각 안내 단어는 공정변수들과 적절히 결합될 수 있으며 연구절점, 제품의 일부, 사용단계 등 어떤 대상점에 대해서도 활용될 수 있다. 예를 들어 표 1과 같은 결합이 가능하다는 뜻이다. 

표 1. 안내 단어와 일탈  

공정변수들의 종류와 성격에 따라 많은 안내 단어들이 만들어질 수도 있고, 그렇지 않을 수도 있다. 예를 들어 온도의 경우에는 적정온도 이상 혹은 이하의 두 가지만 있을 뿐이다. 반면 어떤 변수들에 대해서는 이 안내 단어들이 적절하지 않을 수도 있으므로 약간의 수정을 가하여 활용하기도 한다.

5) 분석결과의 기록 
난상토론을 통하여 얻어지는 결과는 다음과 같다.

• 발견된 위험원 또는 제품 사용상의 문제 
• 안전성 향상을 위해 수행되어야 하는 설계 및 사용절차의 수정사항 
• 미진한 분석결과를 보완하기 위하여 수행되어야 하는 심층분석 

이 결과는 표2와 같은 양식으로 문서화한다.

표2. 분석결과 기록 양식의 예 

위험 분석 기법 - HAZOP (Hazard and Operability)

HAZOP 의 기본 전제는, 제품이 원래 설계된 대로 작동하는 한 근본적인 위험성이나 운용상의 문제는 없다는 것이다. 그러나, 만일 무엇인가의 이유로 인해 이상요인이 발생하게 되면, 제품이 그 충격을 감당할 수 있느냐 없느냐에 따라 사고가 발생한다는 것이다.

이 기법은 영국의 임페리얼 화학공업주식회사 (Imperial Chemical Industries Ltd., ICI) 에서 개발되어 미국 화공기술자협회 화학공정안전센터 (American Institute of Chemical Engineers Center for Chemical Process Safety) 에서 정리된 기법으로서, 여러 전문분야의 구성원들로 이루어진 분석 팀이 조직적으로 난상토론 (brainstorming) 을 하는 과정에서 시스템의 위험원들과 운용상의 문제점을 구명하는 것이다.

방법론과 분석내용으로 보아서는 앞에서 살펴 본 What If 분석과 크게 다르지 않지만, 분석을 연구 절점 (study nodes) 이라고 하는 특정부분에 집중시키며, 지침어 (guide words) 라고 하는 독특한 분석지침을 도입하기 때문에 좀 더 조직적이고 체계적으로 분석을 할 수 있다는 점에 차이가 있다.

HAZOP 의 분석 목적은 다음과 같이 정리할 수 있다.

• 의도된 설계기능이나 조건 등을 포함하여, 제품이나 시스템의 상세한 설명을 제공한다. 
• 시스템이나 제품의 모든 부분을 체계적으로 검토함으로써, 설계의도로부터의 일탈이 어떻게 발생하는가를 파악한다. 
• 이러한 일탈들이 위험이나 사용상의 문제들을 초래할 수 있는지 결정한다. 

HAZOP 에서는 기본적으로, 제품의 기능특성이 제품의 상태변수를 통해 표현되어야 한다. 제품의 상태변수 (process parameters) 란 제품의 기능이나 운용상태를 나타내기 위한 물리적 변수들을 말하는데, 표 1 에서 보는 바와 같이 온도, 습도, 압력, 유속, 반응속도 등이 그 예이다.

표1. 제품의 상태변수 예시 

SW 제어 구분(예시)

SW 는 제어 특성에 따라 6 개의 제어 범주로 구분할 수 있다.

범주 1

• 시스템의 기능을 독자적으로 제어하는 SW
• 해당 SW 의 오작동으로 인한 위험원 발생을 완화하기 위한 다른 독립 적인 하위 시스템이 없어서 해당 SW 의 고장이 직접적으로 시스템의 위험원을 발생시킨다. 

범주 2

• 시스템의 기능을 제어하는 SW
• 해당 SW 의 오작동으로 인한 위험원 발생을 완화하기 위한 다른 독립적인 하위 시스템이 있다. 

범주 3

• 시스템의 위험원을 탐지하고, 위험원을 완화하기 위한 사용자의 조치를 요구하는 기능을 수행하는 SW
• 해당 SW 의 오작동은 시스템의 위험원을 발생시킨다. 

범주 4

• 시스템의 기능을 제어하는 SW
• 해당 SW 의 오작동으로 인한 위험원을 방지할 수 있는 다중의 독립된 하위 시스템이 존재한다. 

범주 5

• 시스템의 위험원을 탐지하고, 위험원을 완화하기 위한 사용자의 조치를 요구하는 기능을 수행하는 SW
• 그러나 해당 SW 외에도 다중의 독립적인 상태정보를 제공하는 독립적인 하위 시스템이 있다. 

범주 6

• 시스템의 기능을 제어하지 않으며, 사용자 조치를 위한 정보를 제공하지도 않는 SW 

표는 SW 의 안전무결성 수준 결정을 위한 SW 위험원 심각성 매트릭스로 SW 의 안전무결성 수준은 SW 의 제어특성과 시스템의 안전무결성 수준의 조합으로 결정된다. 세로축은 SW 의 제어범주를 나타내며, 가로축은 시스템의 안전무결성 수준을 나타낸다. 예를 들어, 시스템의 안전무결성 수준이 4 이고 SW 의 제어범주가 ④이면, 해당 SW 의 안전무결성 수준은 최소한 2 이상으로 개발되어야 한다.