개별 SIF에 대해 어떻게 SIL등급을 부여하는지 그리고 이를 위해 적용가능한 방법들인 Risk Graph, Layer of Protection Analysis (LOPA), Fault Tree Analysis (FTA)에 대한 비교를 통해 위험에 대한 관리측면에서 아래와 같이 간략히 정리하였다.
SIL study란 SIF에 대해 SIL requirement가 필요한지를 결정하기 위한 중요한 위험성 평가의 방법이다.
이 과정에서 원하지 않는 사고가 일어날 가능성과 그로 인한 영향을 평가하고, 기존에 설치되어 있던 protective measure를 통해 달성할 수 있는 위험 감소 여부를 계산하고 이후 잔여 위험 정도를 인지한다. 이 잔여 위험 정도가 허용할 수 없는 수준이라면 허용 가능한 수준과의 차이를 수치화하여 SIL 등급을 부여한다.
SIL (Safety Integrity Level) study는 SIF를 위해 요구되는 안전 무결도의 수준을 결정하기 위해 사용하는 조직적인 방법이며 이를 통해 hazardous event의 risk가 허용 가능한 수준으로 낮출 수 있는지 판단하게 된다.
먼저 위험인지 및 위험성을 평가한다. 공정이나 시스템내 잠재적 위험요소를 확인하기 위해 HAZOP이나 FMEA (Failure Modes and Effects Analysis), PHA (Preliminary Hazard Analysis)방법을 이용한다. 이 study를 통해 인지된 위험과 관계된 결과의 영향을 평가하며 risk matrix나 risk graph방법을 이용하여 발생빈도와 결과의 심각성을 결정한다.
다음으로 위험 감소 필요성을 결정한다. 위험도가 크지 않은데 추가적인 투자를 하여 위험도를 더 낮추는 것은 과도한 행위이며 그 기준이 사업장내에 가지고 있는 acceptable criteria이다. 즉, 계산된 위험도와 허용치 값과 비교하여 계산된 위험도가 크다면 이를 낮추기 위한 방법을 고려해야 한다. 그 차이가 클수록 더 높은 신뢰도의 instrumentation이 요구된다는 의미이며 이를 수치로 나타낸 값이 SIL값이다. 이 target SIL은 인지된 위험을 효과적으로 관리하기 위해 요구되어지는 safety system의 완결성을 보여준다.
이러한 target SIL값을 결정하기 위해 다양한 방법을 적용할 수 있다.
Risk Graphs (Qualitative Method)
safety function의 초기 screening을 위해 risk graph와 같은 방법을 적용할 수 있다. 이는 consequence severity, frequency of exposure, possibility of avoiding the hazard, probability of the unwanted occurrence의 변수들을 이용하여 SIL값을 결정한다.
- Consequence Severity (C): 사고 결과로서 사람, 환경, 자산에 미치는 잠재적 영향의 크기를 평가하되 minor, significant, major, catastropic의 카테고리로 나눈다.
- Frequency of Exposure (F): 이 factor는 사람, 환경, 자산이 얼마나 자주 위험에 노출되는지를 보여주며 범위는 rare exposure에서 continuous exposure이다.
- Possibility of Avoidance (P): 이 factor는 hazardous event를 피하거나 발생하더라도 완화시킬 수 있는 확률을 의미하며 impossible, rarely possible, easily avoidable의 카테고리로 나눌 수 있다.
- Probability of Occurrence (W): 이 factor는 hazardous event가 발생할 확률을 평가하며 unlikely에서 highly likely의 범위이다.
SIL결정을 위한 risk graph process
먼저 각 SIF에 대해 위험요소 (consequence severity, frequency of exposure, possibility of avoidance, probability of occurrence)를 인지하고 카테고리화한다. 이후 hazardous event의 특징에 근거한 risk factor로 카테고리를 assign시킨다.
예를 들어 Consequence Severity (c)는 Moderate (SA), Serious (SB), Very Serious (SC), Catastrophic (SD), Disastrous (SE)으로 분류하고 Occupancy (F)는 High Occupancy (FA), Low Occupancy (FB)으로 분류하고 Possibility of Avoidance (P)는 High Avoidance (PA), Low Avoidance (PB)으로 분류하며 Demand Rate (W)는 Rare (W0), Low (W1), Medium (W2), High (W3), Frequent (W4)으로 분류한다.
그래프상에 risk factor를 plotting한다. assign된 카테고리를 이용하여 risk graph상에 risk factor를 plotting하며 이 그래프는 한 축은 consequence severity이며 다른 축은 occupancy, possibility of avoidance, demand rate의 조합이다. 이후 교차점을 결정한다. risk graph상 plotted category의 교차점이 요구되는 SIL값이며 각각의 교차점이 SIL1~SIL4를 나타낸다.
Example of a Risk Graph
risk graph는 risk factor를 평가하고 카테고리화하기 위한 조직적 방법을 제공하여 SIL을 결정하는 초기 stage에서의 유용한 tool이다. 비교적 간단하고 효율적이지만 LOPA나 FTA와 같은 반정량 혹은 정량적인 방법으로 보완하여 좀더 detail한 SIL평가 및 검증을 할 수도 있다.
Risk graph분석은 정성적이고 category based의 SIL (safety integrity level) 평가방법으로 4가지 parameter를 이용하여 SIL등급을 결정하며 이들은 consequence, occupancy, probability of avoiding the hazard, demand rate이다. 이들 각각의 변수는 카테고리에 assign되고 이들을 조합시켜 SIL값을 부여한다.
어떤 경우 LOPA와 같은 반정량적 분석을 이용하여 어떤 카테고리를 이용할 것인지 결정하기도 하지만 카테고리 할당은 정성적으로 진행된다. 선택된 카테고리를 이용하여 연관된 path를 따라 최종 SIL 등급을 결정한다.
Safety Integrity Level (SIL) 등급 결정은 SIF (safety instrumented functions)에 risk reduction 규모를 부여하는 과정이며, SIF를 위한 SIL은 SIL1~SIL4로 분류하며 SIL4가 가장 높은 safety integrity이다. IEC-61508, IEC-61511 part1~part3에 따른 Risk Graph / Layer of Protection Assessment (LOPA) method을 이용, 조직적 접근 방법을 적용하여 SIL등급을 부여한다.
이중 risk graph를 이용한 방법은 정성적 방법이며 일반적으로 낮은 safety integrity level을 요구하는 system을 screen out하기 위해 사용된다. 반면 consequence severity가 큰 SIF의 경우 좀더 detail한 방법인 LOPA방법을 이용하여 SIL등급을 결정할 수 있다.
risk graph방법은 hazardous event와 그로 인한 잠재적 결과에 대한 인지를 통해 시작하되 일반적으로 HAZID/HAZOP study output을 이용한다. HAZOP study를 통해 인지된 hazardous event를 mitigation하기 위한 safety system이나 safety component를 확인 및 평가를 한다.
risk graph방법은 다음의 변수들의 조합을 통해 SIL등급을 결정한다.
C: Personnel Safety, Environment, Commercial Loss (production & asset) 측면의 위험 상황에 대한 결과
F: 위험에 노출되는 시간. occupancy로서 표현됨
P: 위험상황을 피하기 위한 확률
W: demand rate (SIF 부재시)
아래와 같은 과정을 통해 사람, 자산, 환경에 대한 SIL값을 부여한 뒤, SIF에 대한 overall SIL로서 가장 큰 값을 적용한다.
Risk Graph Assessment
RISK GRAPH APPROACH의 가장 큰 장점으로 많은 수의 safety function에 대해 쉽게 screening을 하여 safety수준이 낮거나 없는 function을 걸르고 safety level이 높은 function들을 highlight할 수 있다.
아울러 여러 분야의 전문가들을 포함한 tesm exercise로서 수행할 수 있으며, alarm이나 mechanical protection device와 같은 다른 위험 감소 방법을 적용하기 위한 다양한 방법으로 adjusting할 수 있다.
이러한 risk분석과정에서 평가를 위해 사용되는 input정보에 대해 검증을 하고, industry compliant methodology를 이용하여 SIL등급을 부여하고, SIS의 신뢰도 및 유지관리를 위한 advice를 제공하며 performance standard를 develop하고 failure analysis를 수행하고 SIF reliability를 위한 recommendation을 제공할 수 있다.
LOPA – Layer of Protection Analysis (Semi-Quantitative Method)
LOPA는 반정량적 방법으로 정성적 방법에 비해 좀더 detail하고 정확한 평가방법이며 SIL결정을 위해 가장 많이 사용되고 있다. 이 방법으로 initiating event와 intermediate event를 인지하고 IPL (independent protection layers)을 평가한다. 모든 IPL의 유효성을 감안하여 추가적인 risk reduction이 필요한지와 target SIL을 결정한다. 주요 구성 component는 아래와 같다.
- Initiating Events (IE): 위험한 상황을 야기할 수 있는 event로서 설비고장, 운전원 실수, 자연재난과 같은 외부 요인도 포함한다.
- Intermediate Events: 초기 사고와 그로 인한 결과 사이에서 발생할 수 있는 event로서, 이는 사고결과가 어떻게 전개되는지 이해하는데 도움이 된다.
- Independent Protection Layers (IPLs): 초기 사고가 최종 사고 결과로 전개되지 않도록 방지하는 안전장치로서 각각의 IPL은 초기사고나 다른 IPL과 독립적이어야 하며 예로서 PSV, alarm과 운전원 조치, SIS등이다.
- Consequence Severity (C): 사람, 환경, 자산측면의 치명적 결과로서 minor에서 catastorpic의 범위가 있다.
- Frequency of Initiating Event (FIE): 초기 사고가 얼마나 자주 발생되는지를 보여주며 이는 년간 발생건수로 표현한다.
- Probability of Failure on Demand (PFD): IPL의 작동 요구시 실패할 확률로서 각 IPL의 유효성을 평가할 때 매우 중요한 요소이다.
특정 SIF에 대한 LOPA를 이용한 SIL결정 방법
먼저 위험 시나리오를 인지한다. 주로 HAZOP study를 통해 유도된 LOC (Loss Of Containment)이며 이에 따라 초기사고와 이로 인해 전개되는 위험결과를 인지한다. 다음 target risk level을 설정한다. 즉 위에서 인지된 hazard에 대해 acceptable할 수 있는 risk의 level을 risk matrix나 risk tolerability framework을 이용하여 설정한다.
이후 초기사고를 분석하여 여러가지 정보나 공정에 대한 지식, 전문가의 판단을 이용하여 빈도를 결정한다. 각 IPL를 list-up하고 서로 독립적이며 위험이 전개되지 않도록 기능을 하는지 PFD값을 이용하여 평가한다. 즉, PFD값이 낮을수록 위험을 줄이는데 더 효과적이다.
다음으로 risk reduction을 결정한다. 유효한 IPL의 조합으로 달성할 수 있는 위험 감소를 계산하고 이 값과 tolerable criteria와 비교하여 잔여 risk가 acceptable level보다 높다면 추가적인 risk reduction이 필요하며 어느 정도 신뢰도가 필요할지는 계산된 SIL level을 참조한다.
FTA – Fault Tree Analysis (Quantitative Methods)
FTA는 시스템 신뢰도를 자세히 정량적으로 평가하고 잠재된 실패의 원인을 인지하여 SIL결정을 하는데 매우 유용하다. FTA 구성요소로는 아래와 같다.
- Top Event: 원치 않은 사고 결과로서 fault tree의 최상단에 위치함.
- Intermediate Events: basic event결과로서 일어나는 event로서, top event를 야기되는 tree내 node로서 표현됨.
- Basic Events: 더이상 development가 필요하지 않은 기본 원인으로 event발생의 근본적인 이유이며 tree의 bottom level에 표현됨.
- Logical Gates: fault tree내에서 다른 event와의 관계를 표현하는 symbol로서 and gate는 모든 input event가 발생해야 output event가 발생하는 경우이며 or gate는 어떠한 input event에 대해서도 output event가 발생되는 시나리오를 말함.
SIL 결정을 위한 FTA 단계
먼저 top event를 정의한다. 원치않은 event로서 폭발이나 system shut down 혹은 설비 고장과 같은 event일 수 있다. 다음, intermediate event와 basic event를 인지한다. 이를 위해 top event를 intermediate event로 break down하여 top event를 야기하는 중간적 원인들을 규명하고 이 intermediate event를 break down하여 basic event를 인지한다.
이후 top event와 logical gate를 이용하여 intermediate event와 basic event를 연결하면 failure pathway를 보여주는 fault tree를 만들수 있다. basic event에 대한 확률을 정량화한다. 즉 각 basic event에 대한 발생확률을 결정하되, 이는 과거 히스토리, 신뢰도가 높은 DB, 전문가 판단에 의해 얻을 수 있다. 이후 basic event와 이들을 연결하는 logic gate의 확률을 이용한 intermediate event의 확률을 계산한다.
top event의 확률을 정량화하기 위해 intermediate event의 확률을 조합하며 이를 통해 시스템의 전체 risk의 정량적 방법을 제공한다. fault tree 결과를 분석하여 가장 critical한 basic event와 failure pathway를 인지하고 risk reduction 방법의 우선순위를 결정하며 적절한 SIL값을 결정할 수 있다.
이러한 위험성 평가를 이해하고 적용하므로서 safety standard에 부합하고 maintenance plan을 최적화하며 safety performance를 높일 수 있다.
'안전설계' 카테고리의 다른 글
| Vacuum PSV water sealing 이해 (0) | 2025.03.28 |
|---|---|
| Generally Accepted HAZOP Rules in the Process Industry (0) | 2025.03.25 |
| Jet fire이해 (0) | 2025.02.16 |
| Flare system design (실무에 적용한 기준) (0) | 2025.01.21 |
| 압력용기 각인 분류 기준 - 인허가 사항 (0) | 2024.12.24 |