설비 자체나 사람, 환경에 잠재적 손상을 줄 수 있는 공장이나 설비에 대해서는 protective function이 필요하다. 즉, 이를 위해 trouble이 예상될 때 미리 sensing instrument를 이용하여 protective function을 수행하는 것이 IPF (Instrumented Protective Function)이라고 하며 이것이 SIF의 개념이다.
Safety function은 위험한 상황에서 안전을 확신시키는 메커니즘이라고 할 수 있으며 집안에서 흔히 볼 수 있는 압력밥솥은 일정 시간이 되어 미리 설정해둔 압력을 초과할 경우 rupture disk가 열려 스팀을 배출하므로서 밥솥이 폭발이 되지 않도록 보호할 수 있는데 이것도 safety function이라고 할 수 있다.
Safety function의 일부로서 instrument를 이용할 때 Safety Instrumented Function이라고 하며 간단히 SIF라고 부른다. SIF는 sensor/transmitter, safety logic solver, final control element로 구성되어 있다.
위 3개의 주요 구성 요소외에 실제 수행시에는 intrinsic safe barrier, isolator, safety relay등이 있을 수 있지만 이들은 보조설비로 보면 된다.
반면 SIS는 위와 같은 상황에서 안전하게 작동하여 사람, 환경, 설비 등에 해가 없도록 SIF 기능들을 모아 실제 구현하도록 하는 시스템으로 ESD (Emergency Shut Down) 혹은 PIS (Protective Instrument System)이라고도 한다. 이들은 process control system의 범위를 넘어선 HSE 관점에서 추가적인 protection layer가 되며, DCS처럼 SIS도 3개의 주요 component인 sensor, logic solver, final element로 구성된다.
Sensor는 BPCS sensor와 독립적으로, switch나 transmitter일 수 있으며, logic solver 또한 BPCS system과 독립적이어야 한다. Final element는 주로 on off valve이거나 motor 혹은 solenoid가 부착된 control valve일 수 있다. 최근의 대형 재난으로 인해 safety system은 더 진화하고 더 까다로워지고 있다.
SIS의 가장 큰 challenge가 경제성과 안전성을 조화시키는 것으로서, 위험한 상황이 전개되지 않도록 충분한 sensor 및 redundancy system이 설치되었더라도 false alarm이나 spurious trip에 의해 안전 시스템에 대한 신뢰도를 떨어트릴 수도 있다.
즉, safety system의 malfunction에 의해 공장 운전에 치명적 손실을 야기할 수 있으며, 이는 위험한 상황에서 자동 shut down을 하도록 설계된 시스템이 정상 운전 중에도 필요 이상으로 혹은 불필요하게 그리고 빈번하게 shut down할 수 있다는 의미이다. 반면에 어떠한 경우라도 대형 재난으로 발전되어서는 안되는 공정이라면 운전 중 원치 않은 trip을 감수해야 할 수도 있다.
Fail to safe 개념은 설비나 device가 failure될 경우 공정을 위험한 상황이 아닌 안전한 상태로 만드는 것을 의미한다.
Dependability는 위험한 상황에서 시스템을 shut off하여 안전한 상태로 만드는 개념이고, 반대로 security는 정상 운전중 계기의 오작동 없이 운전이 지속되어 후단 시스템에 영향이 가지 않도록 유지하는 개념으로 서로 상반되는 개념이다. 아래는 double block shut off valve가 배관상에 설치되어 있다.
의존성 (dependability)과 안정성 (security)의 관계로서 배관에서 leak나 rupture가 날 경우 valve를 차단하는 기능인데 이 경우 2개를 다른 type으로 설치하여, 닫혀야 하는 상황에서 혹시 모를 2개 중 하나가 닫히지 않아도 결국 다른 하나가 닫히게 되어 flow를 차단할 수 있다. 하지만 운전 중 하나만 설치되어 오작동에 의해 원치 않은 닫힘의 확률은 2개를 설치함으로서 더 커질 수 있다. 그래서 위와 같은 경우 안전성은 높일 수 있지만 운전성은 떨어지게 된다.
둘 다 ball type valve인데 첫번째는 전기로, 두번째는 air로 작동한다. 이는 common cause failure의 가능성을 최소화하기 위해 actuator redundancy개념이 적용하였으며, 둘 다 power로 작동할 경우 정전시에 두 밸브 모두 안전한 상태로 되지 않을 것이고, 반대로 둘 다 모두 air로 작동할 경우 air fail시 두 밸브 모두 작동하지 않을 것이다.
그래서 작동 매체가 서로 다른 type을 적용하므로서 double block valve system에 독립성을 보장할 수 있다. 또한 두 밸브가 직렬 배열되어 있어서 위험한 상황에서 power가 fail되더라도 후단의 pneumatic valve는 close상태로 될 것이며, 반대로 air system fail시에도 MOV는 close될 것이다.
한편 안전성은 확실하지만 운전성 측면에서 보면 두 밸브 모두가 open되어야 흐름이 유지되므로, 운전중 위험상황이 아님에도 불구하고 두 밸브중 하나라도 오작동되면 흐름이 막힐 가능성이 single valve일 때 보다 더 크게 되어 (불필요한 shut down 가능성이 커짐) security는 감소하게 된다.
따라서 최종 목적이 어떠한 위험 상황에서도 valve는 닫혀야 한다면 위 configuration과 같이 1 out of 2 redundancy로 배치해야 하며 (dependability), 그렇지 않고 정상 운전 중 valve가 닫히는 상황을 피해야 한다면 valve를 직렬이 아닌 병렬로 구성하여 2 out of 2를 적용해야 운전 중 하나가 닫히더라도 다른 하나는 열려 있어서 흐름성이 유지된다. (security)
위 경우 시스템 작동으로 인해 발생되는 예상되는 결과를 명확히 규명해야 하며, 위험상황시 shut down을 해야 하는 것이 top priority라면 system은 dependability를 위해 1OO2 redundant해야 하고, 즉, 2개의 valve중 하나라도 작동되면 safety 목적은 달성하게 된다. 반면 정상운전시 배관을 통해 흐름이 반드시 유지되어야 한다면 security를 위해 2OO2 redundant해야 한다. 즉, 정상 운전중 실수에 의해 오작동 signal이 올 경우 하나의 valve라도 닫혀서는 안된다는 의미로서, 두 개의 valve 모두 열려 있어야 유체를 이송시킬 수 있다.
SIS의 기준이 되는 ISA standard 84에 따르면 redundant system은 safety function을 위해서 security의 개념보다는 dependability의 개념으로 정의되어 있다. 즉, 몇 개의 element가 failure이 되어도 원하는 목적을 달성할 수 있는지 여부에 따라 redundancy개념이 정해진다.
위 경우 safety redundancy function인 dependability는 2OO2로서 즉, 위험상황 발생시 2개의 valve 모두 close되어야 흐름을 차단할 수 있다. (tolerance가 없다는 것임.) 하지만 정상 운전중 흐름이 지속되어야 하는 security (운전성) 측면에서는 1OO2가 되어 2개중 하나만 open되어도 흐름은 유지할 수 있다. 따라서 이러한 parallel arrangement는 dependability보다는 security개념이 더 우선이 되는 배열이다. 달리 표현하면 safety function에 대한 fault tolerance는 0이며, production (security) function에 대한 fault tolerance는 1이다.
Dependability와 security사이의 타협을 피하는 한 가지 방법은 보다 복잡한 배열을 구성하여 redundant component수를 늘리는 것이다. 아래의 4개의 valve구성을 보면,
Safety function을 수행하기 위해 2개의 parallel pipe는 shut off되어야 한다. 이는 2OO4 dependability로 보이며, 4개중 각 branch의 하나만이라도 잠기면 safety기능을 수행할 수 있기 때문이다. 하지만 하나의 branch에 있는 2개가 작동할 경우 다른 branch의 valve들은 열려 있어서 비상 상황시 safety 기능을 할 수 없게 된다. 그래서 이 경우 3OO4 dependability를 적용하여 (fault tolerance는 1임) 4개중 어떠한 valve라도 적어도 3개만 닫히면 흐름은 차단할 수 있다.
반면 security측면에서도 3OO4를 적용하여 (fault tolerance는 1임) 4개중 어떠한 경우라도 적어도 3개가 open되어 있다면 정상운전시 흐름은 유지할 수 있다. 마찬가지로 2OO4를 적용시 하나의 branch가 아닌 각 branch에서 하나가 close하게 되면 정상운전시 역시 흐름이 차단될 수 있다.
그래서 dependability이든 security이든 처음에는 2OO4이면 될 줄 알았는데 이것만으로는 충분하지 않아 3OO4 redundancy를 적용해야 비로서 만족할 수 있다.
SIF를 구성하는 아래 component (detection, decision, action)들의 능력을 통계적으로 수치화한 것이 SIL (safety integrity level )이다.
SIF의 예로는 고온에서 distillation column의 파손을 방지하기 위해 reboiler로 들어가는 steam을 cut off하거나, 압력이 증가시 tank의 파손을 방지하기 위해 relief system으로 vent valve를 열거나, 액체 level이 증가시 용기의 파열을 방지하기 위해 drain valve를 열어 잉여의 액체를 sump로 배출하거나, 심각한 over speed로 인해 기계가 파손되지 않도록 전원을 차단하는 시스템을 생각할 수 있다.
하지만 외부 화재가 발생했을 경우 화재 감지기를 통해 alarm을 울려 인명피해를 줄이도록 하는 것은 완벽한 SIF가 아니다. 왜냐하면 final element가 포함이 되어 있지 않아 safe state를 만족할 수 없기 때문이다.
SIF의 완벽성과 성능은 여러 변수에 의존하며 흔히 알려진 SIL에 의해 측정이 되는데 이에 대한 근거로는 IEC61508 (for all industries), IEC61511 (for the process industry), IEC62061 (for machinery safety), IEC61513 (for the nuclear industry), ISA84가 있다.
SIF성능에 영향을 주는 주요 요소로는 다음과 같다. 먼저 각 구성요소와 이들을 만드는 vendor의 quality, component의 failure rate, 자가진단 능력 등 기술력이 중요하며, component redundancy와 common cause failure등 system구조에도 영향을 받는다. 아울러 component의 응답시간, repair되는 시간 및 정상 운전으로 복귀하는 시간 등도 중요하다. 그리고 주기적인 test와 SIL level verification 그리고 이러한 failure 및 action들에 대한 documentation등도 중요한 요소이다.
SIF를 구성하는 좀더 detail한 safety function 요소들은 아래와 같다.
3개의 주요 component외에 외부 온도, 진동, 전자기 간섭, 분진, 전원 공급, 운전 및 유지관리 업무들은 공통적으로 SIL등급에 영향을 줄 수 있는 common cause failure들이므로 요구되는 SIL 수준의 저하를 피하고, SIF성능에 영향을 최소화하기 위해 깊게 분석되어야 한다.
여러 개의 safety function으로 구성된 SIS내에서 SIF는 작동이 되며, 각각의 SIF는 SIL level에 의해 protection level이 정의된다. SIL level은 IEC 61508/61511에서 정의되는 risk matrix, risk graph나 LOPA에 의해 결정된다.
SIF가 SIL1이라면 위험을 최소 10배 줄일 수 있고, SIL2라면 최소 100배 줄일 수 있고, SIL3라면 최소 1000배를 줄일 수 있다는 의미이다.
'공정위험성평가 컨설팅' 카테고리의 다른 글
| 화학 설비의 부식 관련 위험성 평가 사례 (0) | 2024.12.25 |
|---|---|
| LOPA 개론 (0) | 2024.12.24 |
| PSM 이행상태 평가 관련 방법 및 기준 (2) | 2024.12.22 |
| PSM 자체 감사 (1) | 2024.12.22 |
| 정량적 위험성 평가 (QRA: Quantitative Risk Assessment) (0) | 2024.12.20 |