Embed Size (px)
Citation preview
64
공정안 향상을 한 Safety Integrity Level의 용 방향
권혁면†․박희철*․천영우*․박진형**
한국산업안전보건공단 산업안전보건연구원․*한국산업안전보건공단․**한국요꼬가와전기(주)(2012. 6. 13. 접수 / 2012. 9. 12. 채택)
Towards the Application of Safety Integrity Level for Improving Process Safety
Hyuck-Myun Kwon†․Hee-Chul Park*․Young-Woo Chun*․Jin-Hyung Park**
Occupational Safety & Health Research Institute, KOSHA․*Korea Occupational Safety & Health Agency **Yokogawa Elecric Korea Co., Ltd
(Received June 13, 2012 / Accepted September 12, 2012)
Abstract : The concept of SIL is applied in the most of all standards relating to functional system safety. However there are problems for the people to apply SIL to their plants. as these standards don’t include sufficient infor-mations. In this regards, this paper will suggest the direction of SIL application and concept based on IEC 61508 and IEC 61511. A Safety Integrity Level(SIL) is the discrete level(one out of possible fours), corresponding to a range of the probability of an E/E/PE (Electric/Electrical/Programmable Electrical) safety-related system satisfactorily per-forming the specific safety functions under all the stated conditions within a stated period of time. SIL can be divided into the target SIL(or required SIL) and the result SIL. The target SIL is determined by the risk analysis at the analysis phase of safety lifecycle and the result SIL is calculated during SIL verification at the realization phase of safety lifecycle. The target SIL is determined by the risk analysis like LOPA(Layer Of Protection Analysis), Risk Graph, Risk Matrix and the result SIL is calculated by HFT(Hardware Fault Tolerance), SFF(Safe Failure Fraction) and PFDavg(average Probability of dangerous Failure on Demand). SIL is applied to various areas such as process safety, machinery(road vehicles, railway application, rotating equipment, etc), nuclear sector which functional safety is applied. The functional safety is the part of the overall safety relating to the EUC and the EUC control system that depends on the correct functioning of the E/E/PE safety-related systems and other risk reduction measures. SIL is applied only to the functional safety of SIS(Safety Instrumented System) in safety. EUC is the abbreviation of Equip-ment Under Control and is the equipment, machinery, apparatus or plant used for manufacturing, process, trans-portation, medical or other activities.Key Words : SIS, SIL, safety lifecycle(SLC), functional safety, SIF, maintenance
1. 서 론*
1999년 IEC 61508이 제정되고, 2003년 IEC 61011
이 제정된 이후 세계 각국의 플랜트에서는 자율적
으로 Safety Integrity Level(SIL, 이하 SIL)을 도입
하려는 노력을 계속하고 있다. 유럽과 미국에서 먼
저 도입하기 시작해서 이제는 남미, 중동, 동남아,
중국 등도 적극적으로 SIL을 도입하고 있는 실정
이다. 일본과 한국의 경우는 이제 세계에서 SIL도입
이 가장 늦은 나라의 대열에 합류했다고 해도 과
†To whom correspondence should be [email protected]
언이 아니다. SIL은 Functional Safety(기능안전)을
통해 플랜트의 안전을 향상시키려는 노력에서 나왔
는데 플랜트의 정량화된 리스크 분석을 통해 보다
정교하게 Target SIL을 정하고 이 Target SIL을 만
족시킬 수 있는 SIS를 설치하기 위해서는 SIS의 고
장률을 어떻게 분석하여 Target SIL을 만족시켰는
지를 증명하는지가 SIL의 주요골자라 할 수 있다.
이전에 단순히 플랜트의 리스크를 분석하는 것으
로 끝나는 방식이 아니라 플랜트의 리스크를 이전의
방식보다 더 정교하게 분석하고 리스크를 감소시
키기 위한 구체적이고 수치적인 분석방법 및 증명
방법을 제시했다는 데서 SIL의 가장 큰 의의를 찾을
공정안전향상을 위한 Safety Integrity Level의 적용 방향
한국안전학회지, 제27권 제5호, 2012년 65
수 있다.
하지만 IEC 61508과 IEC 61511이 모든 상세한
것까지 다 설명해 주지 않기 때문에 IEC 61508과
IEC 61511만으로는 SIL을 제대로 이해하고 플랜
트에 적용하기는 쉽지 않다.이 논문에서는 SIL의 정의 및 종류, Target SIL의
결정방법, Result SIL의 증명방법, SIS의 정의, SIS의 종류에 대한 최신 경향을 설명함으로써 플랜트
에서 일반적으로 SIL을 어떻게 도입하고 적용할지
에 대한 방향을 제시하고자 한다.
2. SIL의 정의 및 종류
2.1. SIL의 정의
IEC 61508 PART 4의 용어정의 부분을 참고하
면 SIL은 Safety Integrity Level(안전무결수준)의 약
자로써 “안전무결(Safety Integrity)값의 범위를 4개의 불연속적인 수준으로 나타낸 것으로 4개의 수
준 중 SIL4가 가장 높은 수준이고 SIL1이 가장 낮
은 수준”으로 정의되어 있다1).안전무결(Safety Integrity)이란 “전기/전자/프로그
램 가능한 전자(E/E/PE) 안전관련 시스템(Safety-rela ted system)이 정해진 시간에 모든 조건 하에서 특
정안전기능을 만족스럽게 수행하는 확률”이라고 IEC 61508 PART4에 정의되어 있다1).
결국 SIL이란 “전기/전자/프로그램 가능한 전자
로 이루어진 안전관련 시스템이 정해진 시간에 모든 조건 하에서 특정안전기능을 만족스럽게 수행하는
확률의 범위를 4개의 불연속적인 수준으로 나타낸
것”을 말한다. 이때 4개의 불연속적인 수준은 Targer SIL의 경우는 이 논문의 Table 3을 참고하고 Result SIL의 경우는 이 논문의 Table 2와 Table 3 두 개
를 모두 참고하여 정할 수 있다.
2.2. SIL의 종류와 Safety Lifecycle (SLC)SIL은 Fig. 1에 표현된 Safety Lifecycle 중 Ana-
lysis단계에서 리스크분석을 통해 결정되는 Target SIL(또는 Required SIL)과 Realization단계에서 SIL verification을 통해 결정되는 Result SIL 두 개로 나
눌 수 있다. Fig. 1의 Analysis단계에서 세 번째에 해당하는
Hazard & Risk Analysis는 Hazard Analysis와 Risk Analysis로 분리할 수 있는데 Hazard Analysis(위험
분석)의 경우 정성적(Qualitative) 분석방법으로 구
체적 예로는 HAZOP(Hazard and Operability Study)
Fig. 1. Safety lifecycle(SLC)2).
이 가장 대표적인 분석방법이라 할 수 있고 Risk Analy-sis(리스크분석)의 경우는 정량적(Quantitative) 분석
방법으로 Hazard Analysis에서 위험하다고 판단된 SIF (Safety Instrumented Function, 안전계장기능)에 대
해 정량적 분석을 실시하여 Target SIL을 결정한다.Target SIL은 방호계층분석기법(Layer Of Protec-
tion Analysis), Risk Graph, Risk Matrix, ALARP(As Low as reasonably practicable) 등을 통해 결정되는
데 LOPA(Layer Of Protection Aalysis, 방호계층분
석기법)가 현재 가장 대표적인 분석방법이라 할
수 있다. Result SIL은 하드웨어고장허용치(HFT, Hard-ware Fault Tolerance), 안전고장비율(SFF, Safety Failure Fraction), 평균작동요구시 위험고장확률(PFD-avg, Average Probability of dangerous Failure on Demand)을 모두 계산해서 결정한다. Result SIL은
Target SIL보다 반드시 같거나 높은 결과가 나와야
안전하다고 말할 수 있다.
3. SIL의 결정방법
3.1. Target SIL을 결정하는 방법론
Target SIL을 결정하는 방법은 하기와 같은 방
법이 있다. ▹IEC 61508 edition 2 Part 5에 제시된 방법
ALARP(As Low As Reasonably Practicable)Risk GraphRisk MatrixLOPA(Layer Of Protection Analysis)2)
▹IEC 61511 edition 1 Part 3에 제시된 방법
FTA(Fault Tree Analysis)LOPA(Layer Of Protection Analysis)1)
위의 방법론 중 현재 세계적으로 가장 많이 이
권혁면․박희철․천영우․박진형
Journal of the KOSOS, Vol. 27, No. 5, 201266
용되고 있는 방법론이 LOPA(방호계층분석기법, La-yer Of Protection Analysis)이므로 본 논문에서는
LOPA의 방법론에 대해 간단하게 언급하도록 한다.상기 Table 1은 IEC 61511 PART 3에 나타난
LOPA 테이블 예를 번역한 KOSHA CODE P-45- 2009에 나타낸 테이블을 인용한 것이다3). 방호계
층은 IEC 61511 PART 1의 용어집에 의하면 “제어, 보호 또는 경감에 의하여 리스크를 감소시키는
독립적인 메카니즘”이라고 정의된다4). 공정의 방호
계층을 알기 쉬운 양파방호계층 모형으로 나타내
면 하기 Fig. 2와 같이 나타낼 수 있다.
Table 1. Example of LOPA3)
Fig. 2의 양파방호계층 모형이 LOPA에 그대로
일대일로 대응되는 것은 아니지만 공정의 안전이
일반적으로 상기 모형에 따라 실현되고 있다. 안타
깝게도 상기 모형 중 자동안전계장기능에 해당하
는 ESD는 국내 중대사고가 발생한 플랜트 중 아
직도 설치되지 않고 있는 플랜트가 많아 안전을
실현하기 위한 각 플랜트의 자율적인 노력이 무엇
보다도 아쉬운 실정이다.Table 1의 LOPA의 예에서 보았듯이 강도수준에
따라 완화된 사고빈도가 결정되고 각 방호계층란
에는 기준테이블에 나타난 PFD를 입력하고 초기
사고빈도부터 모든 방호계층의 PFD를 곱하여 중
간사고빈도를 계산한다. 마지막으로 완화된 사고
빈도를 중간사고빈도로 나눈 값이 안전계장기능
무결수준을 결정하는 PFD로 결정되고 이 PFD를
IEC 61508의 기준테이블에 따라 SIL로 환산하면
된다.LOPA는 인적안전(Personnel Safety), 환경, 재산
에 대해 모두 실시하여야 하며, 세 개의 Target SIL 중 가장 높은 SIL이 최종 Target SIL로 결정된다.
Fig. 2. Onion protection layer2).
LOPA는 리스크분석방법 중 플랜트의 리스크를
가장 정밀하고 쉽게 수치화할 수 있는 방법이고
Target SIL을 가장 경제적으로 산정할 수 있는 방
법이기도 하다.
3.2. Result SIL의 계산
Result SIL을 계산하는 방법은 안전고장비율(SFF, Safe Failure Fraction)과 하드웨어고장허용치(HFT, Hardware Fault Tolerance)에 의한 방법 그리고 평
균작동요구 시 위험고장확률(PFDavg, Average Pro-bability of dangerous Failure on Demand)에 의한 방
법을 모두 사용하여 두 가지 결과 중 더 낮은 결과
를 Result SIL로 결정한다.먼저 첫 번째 방법인 안전고장비율(SFF, Safe Fai
Table 2. Table 2 & Table 3 in IEC 61508 PART25)
공정안전향상을 위한 Safety Integrity Level의 적용 방향
한국안전학회지, 제27권 제5호, 2012년 67
lure Fraction)과 하드웨어고장허용치(HFT, Hardware Fault Tolerance)에 의한 방법은 IEC 61508에 의한
방법이 있고, IEC 61511에 의한 방법이 있는데 이
논문에서는 더 정밀한 방법인 IEC 61508에 의한
방법을 기준으로 설명하고자 한다. IEC 61508 PART 2에는 하기 Table 2와 같이 Table 2와 Table 3 두
가지 테이블이 있다.상기 Table 2에서 안전고장비율(SFF, Safe Fai-
lure Fraction)이란 하기의 공식으로 계산할 수 있다.
: Safe Failure Rate(안전고장률)Dd: Dangerous detected failure rate
(위험감지고장률)Du: Dangerous undetected failure rate
(위험불감지고장률)5)
하드웨어고장허용치(HFT, Hardware Fault Tole-rance)는 IEC 61508 PART 2 7.4.4.1항목에 하기와
같이 기술되어 있다5).“하드웨어고장허용치 N은 N+1개가 안전기능의
상실을 야기할 수 있는 최소한의 숫자의 고장이라
는 것을 의미한다.”IEC의 문구 중 상기 문구와 같이 쉽게 이해하기
힘든 문구도 많은데 쉽게 설명하면 고장이 나도
여전히 안전기능을 수행할 수 있는 최대숫자N이
하드웨어고장허용치(HFT)가되는 것이다.상기 Table 2의 Table 2는 Type A에 대한 테이
블이과 Table 3는 Type B에 대한 테이블인데 Type A와 Type B를 분류하는 가장 일반적인 방법 중 하
나는 회로도에 마이크로프로세서가 없는 경우
Type A로 분류되고 회로도에 마이크로프로세서가
있는 경우는 Type B로 분류된다.두 번째 방법인 평균작동요구 시 위험고장확률
(PFDavg, Average Probability of dangerous Failure on Demand)에 의한 계산은 공정안전의 경우 하기
Table 3에 나타난 바와 같이 IEC 61508 PART 1의
Table 2에 따라 SIL을 결정한다6).
Table 3. Table 2 in IEC 61508 PART16)
PFDavg의 계산공식 및 결과는 계산하는 사람에 따라 차이가 클 수 있기 때문에 PFDavg계산과 SFF/ HFT의 계산은 반드시 세계적으로 인정받는 Tool인 SILENTIA(미국 exida 판매)나 Yokogawa의 Tool인
GRC로써 했을 때 일반적으로 인정받을 수 있고
개인적으로 개발한 Tool이나 수동계산은 업무상
혼란을 초래하므로 인정되지 않는다. 요즘 해외에
서는 레포트의 신뢰성을 위해 CFSE(Certified Func-tional Safety Expert)의 검토를 받은 SIL calculation report 또는 SIL verification report만 인정되는 추세
이다. 참고로 SILENTIA는 미국의 대표적인 Safety컨설팅회사인 Exida에서 개발한 SIL Calculation Tool이며 GRC는 General Reliability Calculator의 약
자로 요꼬가와 네델란드 지사에 있는 Safety Assu-rance & Consultancy팀에서 개발한 SIL Calculation Tool이다.
4. SIS의 정의, 종류 및 구조
4.1. SIS의 정의
SIS는 Safety Instrumented System(안전계장시스
템)의 약자로써 공정이 안전상태를 벗어났을 때
미리 정해진 안전상태로 가게 하는 독립적인 시스템
을 말한다. IEC 61511 PART 14)에는 하기와 같이
SIS를 정의한다.“안전계장시스템(SIS)란 하나 또는 그 이상의 안
전계장기능(SIF, Safety Instrumented Function)을 이
행하기 위해 사용되는 계장시스템으로 센서(Sensor), 로직해결기(Logic Solver), 최종요소(Final Element)로 이루어져 있다4).”
상기 문구에서 사용된 안전계장기능(SIF)은 IEC 61511 PART 1에 하기와 같이 정의되어 있다.
“안전계장기능(SIF)은 기능안전(Functional Safety)을 달성하고 안전계장보호기능(Safety Instrumented Protection Function) 또는 안전계장제어기능(Safety Instrumented Control Function)이 될 수 있는 SIL을
가진 안전기능”으로 센서(Sensor), 로직해결기(Logic Solver), 최종요소(Final Element)는 하기와 같이
IEC 61511 PART 1에 정의되어 있다4).
Sensor(s) : 프로세스 컨디션을 측정하기 위한 장
치(예, transmitters, transducers, process switches, posi-tion switches)
Logic Solver(s) : 하나 이상의 Logic 기능을 수행
하는 장치(예, electrical systems, electronic systems,
권혁면․박희철․천영우․박진형
Journal of the KOSOS, Vol. 27, No. 5, 201268
programmable electronic systems, pneumatic systems, hydraulic systems)
Final Element(s) : 안전한 상태로 만들기 위해
필요한 물리적 작동을 하는 장치(예, valves, switch gear, motors including their auxiliary elements)
SIF의 예를 그림으로 나타내면 Fig. 3와 같이 나
타낼 수 있다.SIS는 BPCS(Basic Process Control System, 기본
공정제어시스템, DCS와 동일한 의미)와의 독립성
을 반드시 유지하여야 하며 서로 독립적인 BPCS와 SIS의 구성을 그림으로 표현하면 Fig. 4와 같이
나타낼 수 있다.
Fig. 3. Safety instrumented function7).
Fig. 4. Safety instrumented function7).
4.2. SIS의 종류
공정안전에 적용되는 SIS의 종류는 대표적으로
ESD(Emergency Shutdown System), PSD(Process Shut-down System), F&G(Fire & Gas System), HIPS(High Integrity Protection System), HIPPS(High Integrity Pressure Protection System)가 있으나 우리나라의
경우는 아쉽게도 Flare Stack, Scrubber, VCU(Vapor Combustion Unit) 등에 사용되는 HIPS에만 SIL이
제대로 적용되고 있고 나머지 ESD, PSD, F&G, HIPPS에는 일부 기업을 제외하고는 대부분 SIL을
적용하지 않고 있다. 이 부분 역시 국내 각 석유화
학기업들의 자율적인 SIL도입을 위한 노력이 아쉬
운 부분이다.
4.3. SIS의 구조
SIS의 대표적인 구조(Architecture)는 다음과 같다.
Single: 1oo1구조. 1960년대에 Software가 아닌
오로지 Hardware로만 Logic을 구성하는 구조. 마그
네틱 코일과 같이 신뢰성이 높은 Hardware로만 Logic
을 구성. SIL4까지 만족시키고 30년 정도의 긴 수
명을 보장한다는 장점이 있음.
TMR: Triple Modular Redundancy. 2oo3구조. 1970
년대에 개발되었고 과반수투표에 의해 제어되는
방식. SIL3까지 만족시킬 수 있고, 1991년도에 TUV
인증을 받음.
DMR: Dual Modular Redundancy. 1oo2D구조. 1980
년대에 개발되었고 최초로 자기진단회로를 적용한
구조. SIL3까지 만족시킬 수 있고 1986년에 TUV
인증을 받음.
QMR: Quadruple Modular Redundancy. 2oo4D구조.
SIL3까지 만족시킬 수 있음.
VMR: Versatile Modular Redundancy. 1oo1D구조.
세계 최초로 1oo1D로 SIL3를 만족시키는 자기진
단회로를 적용했음. 1oo1D를 다시 이중화시킬 경우
99.99999%의 Availability를 만족시킬 수 있음.
5. SIL의 유지 및 관리
최초에 SIL3로 인정받고 설치된 SIS라 하더라도
주기적으로 Proof Test를 하지 않으면 SIL은 지속
적으로 떨어질 수 밖에 없다. 이렇게 테스트하는 주
기를 Proof Test Interval이라 한다. 주기적으로 Proof Test를 한다고 해도 계기를 완전 분해하여 유지보
수 차원이 아니라 기능테스트로 끝나므로 Dange-rous Undetected Failure Rate가 완전히 없어지지는
않는다. 이렇게 불완전한 테스트에 의한 복구비율
을 Proof Test Coverage(PC)라 한다. 불완전한 테스
트와 Proof Test에 의한 영향을 그래프로 나타내면
하기 Fig. 5와 같이 나타낼 수 있다.Fig. 5에서 파란색 선이 매년 Proof Test를 실시
했을 때 SIL이 떨어지는 그래프를 그린 것이고 빨
간색 선이 Proof Test를 한 번도 실시하지 않을 때
SIL이 떨어지는 그래프를 그린 것이다.
공정안전향상을 위한 Safety Integrity Level의 적용 방향
한국안전학회지, 제27권 제5호, 2012년 69
Fig. 5. Proof Test와 SIL의 하락(degradation)2).
6. 결 론
SIL은 리스크를 어떻게 낮출 것인가에 대해 단
순히 방법을 제시하는데 그치지 않고 리스크를 실
질적으로 어떻게 낮추었는지 측정하고 증명하는 확
률적 기준을 제시했다는 데서 가장 큰 의의가 있
다고 할 수 있다. 플랜트를 설계하고 건설할 때 사
업주(End User), 건설사(EPC), 계장업체, 검사업체 간
에 각각 다른 기준을 가지고 접근한다면 프로젝트
진행 중 큰 혼란과 업무적 충돌은 물론이고 이에
따라 결국은 플랜트의 안전을 보장하기 힘든 수준에 도달할 것이다. 이에 따른 피해는 End User와 지역
주민들에게 갈 수 밖에 없다. SIL은 플랜트안전에
대해 사업주(End User), 건설사(EPC), 계장업체, 검사업체 간에 공통으로 사용할 수 있는 공용 언어
와 같은 역할을 하여 최종적으로 플랜트안전을 획
기적으로 향상시킬 수 있는 기준이 되었다.현재 우리나라의 SIL 적용현황은 일부 외국계 기업
을 제외하고는 대다수의 국내기업들이 Flare Stack, Scrubber, VCU 등에 사용되는 HIPS에만 SIL이 제
대로 적용되고 있다. 물론 SIL 적용에 따른 추가비
용이 발생하나 화학공장 사고의 피해크기를 고려할
때 우리나라도 선진국과 같이 SIL의 적극적인 도입
을 고려하여야 한다.SIL관련 업무를 세부적으로 살펴보면 매우 다양
한 방법론들이 있지만 플랜트의 리스크분석단계에
서 Target SIL을 결정하고 실현단계(Realization)에서 Result SIL을 계산하여 플랜트에 실제로 설치될
Sensor, Logic Solver, Final Element들이 Target SIL을 만족시킬 수 있는지 검증을 하고 현장에서 설치 후에는 계속 최초 설치 시의 SIL을 유지할 수 있
도록 주기적으로 시험하고 관리하는 것이 SIL관련
업무의 가장 중요한 골자라 할 수 있다.IEC 61511에서는 플랜트에서 SIS를 적용하기 위
한 전체적인 절차를 상세하기 설명하고, 정의된 SIL등급에 따라 요구되어지는 SIS의 구조를 명확히 설
명함에 따라 사업주는 플랜트안전에 대해 보다 보
편적인 표준에 따라 쉽게 접근할 수 있게 되었다. 따라서 안전관련 국제규격인 IEC 61508과 IEC 61511에 설명된 SIS와 SIL의 개념의 정확한 이해를 통해 사업주(End User), Licensor, 건설사(EPC)에서는 공
정의 안전향상을 위한 자율적인 노력을 해야 한다.
참고문헌
1) IEC 61508-4 Edition 2.0 “Functional safety of electrical/electronic/programmable electronic safety- related systems - Part 4: Definitions and Abbrevia-tions”, pp. 19~20, 2010.
2) 박진형, 기능안전상세과정, 한국요꼬가와전기, 2012.3) 이경성, “KOSHA CODE P-45-2009, 방호계층분석
(LOPA)기법에 관한 기술지침”, 한국산업안전보
건공단, 2009.4) IEC 61511 Part 1,3, First edition 2003.5) IEC 61508-2 Edition 2.0 “Functional Safety of
Electrical/Electronic/Programmable Electronic Safety- related Systems – Part 2: Requirements for Electrical/ Electronic/Programmable Electronic Safety- related systems, page 26 Table 2, page 27 Table 3, 2010-04”, pp. 26~27, 2010.
6) IEC 61508-1 Edition 2.0 “Functional Safety of Electrical/Electronic/Programmable Electronic Safety- related Systems – Part 1: General Requirements”, pp. 3, 2010.
7) 권혁면, 권현길, “SIL 도입을 통한 화학공정설비
의 신뢰도 향상방안”, 화학공학회특별심포지움
발표자료, 2012.
