Reliablility를 높이기 위해 system이나 component는 redundancy로 설계될 수 있다.
Schematic view of instrumented safeguard (SIS) for SIL verification
Safety에 대한 fault tolerance
hardware fault tolerance에 대한 level은 IEC 61508, 61511에 정의되어 있으며 SIL 수준이 높을 경우 설계시 hardware fault tolerance (HFT) 역시 높게 요구된다.
예를 들어 HFT가 0인 system이나 function의 경우 하나의 dangerous failure에 대해서도 용인하지 않는다. 반면 HFT가 1인 경우 하나의 dangerous failure에 대해서는 용인할 수 있으며 이러한 예로서 dual redundancy 혹은 triple redundancy이다. HFT가 작을수록 복잡도, 설치비, 유지관리비 등도 낮출 수 있다.
반면, SIL 수준이 높게 요구되는 SIF일 경우 SIL target을 만족하기 위해 redundancy가 요구될 수도 있다. 그래서 SIL2 SIF의 경우 redundant sensor, logic solverm final element가 요구될 수 있으며, SIL3 SIF에 대해서는 반드시 redundant element가 요구된다. 실무에서 SIL3 SIF는 흔한 경우가 아니므로 HFT가 SIL1과 SIL2 requirement에 대해 충분한지를 check해야 한다.
Fault tolerance for availability
availability가 높다는 의미는 fault tolerant system이 하나의 hardware failure일지라도 plant가 운전될 수 있도록 유지할 수 있다. availability에 대해 redundancy를 추가할 경우 plant를 shut down없이 운전하면서 test를 할 수 있다.
single channel SIF는 하나의 active device가 서로 연결되어 있으며 sensor에서 final element까지 series로 연결되어 있다. 반면 cable이나 terminal block과 같은 non-active component는 설계에 포함되어 있지만 이들은 무작위로 고장나지 않아 표현되지는 않는다. 아래 block diagram level에 3개의 typical active element가 있다.
1OO2 voted sensor
동일한 공정 변수를 측정할 때 두번째 sensor를 추가하여 설계의 redundancy를 고려할 수 있다.
예를 들어 1OO2 voting은 하나의 sensor가 fail될 수 있지만 어떠한 하나의 failure는 용인될 수 있게 된다. 하나의 overall system에서 safety목적을 위해 일부분만 redundant일 경우 나머지 non-redundant component는 dominant weak point가 될 것이다.
HFT for valves (final element)
하나의 fail close valve는 actuator나 다른 failure일 경우 비상상황시 이 밸브를 close해야 할 때 기능을 발휘하지 못할 수 있다. HFT 개념에서 이는 fault tolerance가 0이다.
하지만 fail close valve 2개가 series로 설치될 경우 이는 HFT가 1이며 하나가 fail되더라도 다른 하나는 아직 작동이 되도록 남겨져 있기 때문에 fault tolerant하다.
위 경우 두개의 valve에 동시 영향을 주는 common cause failure는 없다라고 간주한 것으로 실제적으로는 common cause failure도 고려해야 한다.
SIS는 아래 그림에서 engineering control의 단계이며, 이는 elimination이나 substitution을 보완하는 관계이다.
Redundancy Architecture in SIL
1oo1 (Single Channel): redundancy가 없으며 하나의 failure는 system failure를 야기함. SIL1이나 간혹 SIL2에 적용함.
1oo2 (One out of Two): 둘 중 하나만 작동해도 shut down이 되므로 safety는 높지만 반면 운전중 하나가 오작동으로 trip을 야기하면 원치 않은 shut down이 될 수 있어서 availability는 낮다. SIL2나 간혹 SIL3에 적용함.
2oo2 (Two out of Two): 2개중 하나라도 오작동되면 shut down이 작동되지 않아 safety는 낮지만 shut down하기 위해서는 반드시 2개가 trip point가 되어야 하고 하나라도 운전중 오작동이 되더라도 shut down은 일어나지 않아 availability는 높다.
2oo3 (Two out of Three): safety와 availability가 균형을 이루며 system은 하나의 failure에 대해 용인하면서 functioning을 유지하며 주로 SIL3에 적용함.
HFT (Hardware Fault Tolerance)
HFT는 hardware failure인 상황에서도 운전을 지속할 수 있는 system의 능력을 의미하며 즉, safety function을 잃지 않고 system이 용인할 수 있는 hardware fault의 개수를 나타낸다.
- HFT of 0: The system can tolerate zero faults (single channel, no redundancy).
- HFT of 1: The system can tolerate one fault (dual channel, single fault tolerance).
- HFT of 2: The system can tolerate two faults (triple channel, double fault tolerance).
HFT, redundancy logic, SIL의 관계는 아래와 같다.
SIL1
SIL2
SIL3
complex SIL3
Calculating PFD for SIL Rating
safety instrumented loop의 PFD를 계산하기 위해서는 개별 component의 failure rate data를 고려해야 한다.
non-redundant component와 redundant component에 대한 PFD 계산식이 아래와 같이 적용할 수 있다.
non-redundant 1oo1 Configuration
SIF를 구성하는 개별 component의 failure rate가 아래와 같고 test interval이 1년일 때,
redundant 2oo3 Configuration
아래는 2OO3 configuration에 대한 계산 절차이다.
참고로 SIF 구성요소중 sensor가 SIL2, logic solver가 SIL3, actuator가 SIL1이고 2OO3 배열일 때, 2개의 sensor를 적용하여 redundancy를 높여 신뢰도를 개선하였지만 overall SIL rating은 가장 낮은 actuator SIL1에 의해 결정이 된다.
#reliablility#SIL#HFT#redundancy#IEC61508#IEC61511#Fault#tolerance#availability#PFD#Architecture#1OO2#2OO3#1OO1#2OO2
'공정위험성평가 컨설팅' 카테고리의 다른 글
| LOPA 분석시 EC(Enabling Condition)과 CM (Conditional Modifier) 활용 (0) | 2025.08.20 |
|---|---|
| LOPA (Layer Of Protection Analysis) 이해 특강 개설 (0) | 2025.05.27 |
| SIF (Safety Instrumented Function) 이해 (0) | 2025.01.06 |
| 화학 설비의 부식 관련 위험성 평가 사례 (0) | 2024.12.25 |
| LOPA 개론 (0) | 2024.12.24 |