LOPA 분석시 EC(Enabling Condition)과 CM (Conditional Modifier) 활용

 

SIL 결정 방법에는 LOPA와 Risk Graph가 있고, 주로 LOPA방법을 많이 적용하고 있으며, LOPA를 수행할 때 initiating event의 frequency에 IPL의 PFD나 conditional modifier가 고려될 수 있다.

 

 

IPL은 예방차원의 safeguard로서 hazardous event의 발생 빈도를 줄이는 역할을 한다. 반면 CM (conditional modifier)는 event가 일어나고 난 이후 consequence를 줄이는 역할을 하며, 어떤 conditional modifier는 특정 consequence category에만 적용되는데, 예를 들어 occupancy는 safety에만 적용된다. conditional modifier는 Vulnerability (취약성), Occupancy (점유), Probability of Ignition (점화가능성)와 같이 크게 3가지가 있다.

 

LOPA를 수행시 발생 확률에 대해 adjusting해주는 parameter인 EC (enabling condition)과 CM (conditional modifier)는 모든 LOPA에서 무조건 사용하는 것은 아니며, LOPA의 목적에 부합하고 risk criteria에 일치할 경우 적용할 수 있다.

 

 

LOPA수행시 enabling condition을 사용하는 기준은 아래와 같다.

• unit가 특별한 운전상황일 때에만 consequence가 일어나는 경우 ( 예를 들어 batch반응)
• unit가 특별한 원료, 촉매를 사용할 때에만 consequence가 일어나는 경우
• initiating event가 일어날 때 낮거나 높은 대기온도와 같은 환경이 존재할 경우에만 consequence가 일어나는 경우

 

 

위 경우처럼 비정상 상황이 consequencec로 진행되기 위한 필요한 조건으로 enabling condition을 고려한다. enabling condition은 매우 짧은 기간과 관련이 될 수 있으며 이때의 risk를 peak risk라고 하고 적절히 관리되어야 한다.

 

 

다음의 경우에서는 enabling condition을 피한다.

* EC을 적용함에 있어서 충분한 지식을 갖고 있지 않을 때

* EC을 적용할 때의 확률에 대해 정보가 충분하지 않을 때

* 사업장의 LOPA 절차상 EC를 사용해서는 안된다는 내용이 있을 때

* potential EC이 사업장의 기준을 만족하지 못할 때 (예를 들어, frequency의 크기를 0.1이상 줄일 수 있을 때만 EC을 인정함)

* EC을 평가하거나 document할 사람이나 능력이 부족할 경우

 

 

conditional modifier을 적용하는 기준은 아래와 같다.

* 사업장의 risk criteria가 보수적인 estimation이 아니라 best-estimation risk value에 토대를 둔 경우 conditional modifier를 적용할 수 있다.

 

 

이 경우 conditional modifier를 이용하지 않을 경우 사업장의 risk criteria와 일치하지 않는 risk estimation을 할 수 있다. 예를 들어 release이후 점화 확률이 100%보다 낮은 상황에서 100% 점화확률을 적용할 경우 보수적인 risk estimate이며, best-estimate value가 아니다. 지나치게 보수적으로 estimation할 경우 위험감소 대책을 잘못 고려할 수 있다. conditional modifier가 여러 개 관련되는 시나리오에서 이러한 과도하게 보수적인 방법은 더 증폭될 것이다.

 

 

어떤 사업장에서는 LOPA분석할 때 conditional modifier를 사용하지 않으며 그에 대한 이유로는 아래와 같이 판단할 수 있다.

* conditional modifier를 LOPA분석시 적용할 경우 불확실성이나 복잡성이 매우 커질 수 있어서 CM을 사용하는것에 대해 확신할 수 없음.

* CM을 검증하기 어렵고, initiating event나 IPL처럼 동일한 방법으로 기능을 테스트하기 어려움.

 

 

게다가 아래의 경우 LOPA분석시 CM사용을 피해야 하거나 제한해야 한다.

* LOPA 시나리오 평가를 위한 risk criteria는 화재나 VCE, 치명상이나 환경 영향과 같은 potential consequence라기 보다는 material이나 energy release의 크기에 준해 severity category를 이용한다, 예를 들어 10,000파운드의 인화성 액체 release는 하나의 severity category가 될 수 있음.

* CM에 대한 충분한 지식이 없을 경우

* CM를 적용할 때의 확률에 대해 정보가 충분하지 않을 때

* 사업장의 LOPA 절차상 CM을 사용해서는 안된다는 내용이 있을 때

* CM를 평가하거나 document할 사람이나 능력이 부족할 경우

 

 

 

다음은 CCPS 자료에 기반한 enabling condition과 conditional modifier에 관한 내용이다.

 

enabling condition은 주로 시나리오의 initiating event에 적용되며, 위험물이나 에너지가 release되기 까지의 사고 sequence의 부분과 관련되며, 반면 conditional modifier는 사고 sequence의 release이후와 관련된 확률이다. LOPA는 cause에 대한 frequency, IPL의 PFD, consequence에 대한 severity의 estimate값을 이용하여 분석할 수 있다.

 

 

enabling condition과 conditional modifier를 모든 LOPA에 사용하는 것은 아니며 시나리오의 특징에 따라 case by case로 적용하되 기준이 되는 risk criteria와는 일관성이 있어야 한다. risk criteria end point 범위는 release 크기에서 부상, 치명상, 환경적 피해, 재정적 영향에 까지 이른다.

 

 

LOPA enabling condition (EC)은 시나리오의 IE가 가능하도록 만드는 조건으로 failure나 protection layer가 아니다. 시나리오를 직접적으로 야기하지는 않지만 시나리오가 event로 진행하는데 있어서 active하거나 available한 운전이나 조건이다. 단, 사람이 사고 현장에 존재할 확률이나 비상 대피와 같은 mitigating factor는 EC가 아니라 CM (Conditional modifier)이다. 가끔씩 enabling event라고도 하지만 이는 event라기 보다는 conditional state가 더 적절함에 따라 enabling condition이라는 용어를 선호한다.

 

 

EC는 확률로 표현이 되며, IE 빈도와 EC 확률의 조합은 비정상 상황이 만들어지고 loss event로 이어질 수 있는 1년에 발생하는 회수로 표현되는 빈도의 개념이다. 대부분의 LOPA 시나리오는 EC을 가지고 있지 않다.

 

 

EC의 일반적인 예가 특정 시간대 (time at risk)로, 조건이 형성될 때인 특정 시간에 사고가 발생되는 것으로 이 revealed failure는 alarm이나 indicator system에 의해 즉각적으로 명백히 보여질 수 있으며, 예를 들어 공정의 연속운전 동안 flow가 급격히 줄 경우 유량계 alarm이나 indication에 의해 primary feed pump가 off된 것임을 알 수 있다.

 

 

하지만 unrevealed (latent) failure는 말 그대로 숨겨져 있는 failure로서 예를 들면 bypass line이 plugging이거나, shut off valve가 open상태로 failing stuck되어 정상운전시에는 발견되지 못한 채로 유지될 수 있다. 하지만 emergency상황이 발생되어 닫혀야 할 때 닫히지 않아 그때 비로서 failure를 알 수 있게 된다. 이 경우의 time at risk는 LOPA EC으로 고려되지 않는다.

 

 

그래서 LOPA EC로 인정받기 위해서는 시나리오를 야기할 수 있는 potentially unrevealed failure는 운전중 감지되고 수정되어야 하거나 공정 설계에 따라 failure가 자연스럽게 드러나야 한다.

 

 

공정의 다양한 조건에 의해 일정치 않은 risk를 나타낼 수 있다. 즉, 시간대별로 혹은 batch 유무에 따라 raw material의 농도, 유량, 종류, 촉매, 제품, 운전조건, 운전 모드에 따른 risk는 일정하지 않게 되며 이 때 EC을 적용하여 일정치 않은 risk에 대해 그 사고 빈도를 adjusting할 수 있다.

 

 

CM (Conditional Modifier)는 risk crieteria endpoint가 primary loss event terms인 release나 vessel rupture가 아닌 fatalities와 같은 impact terms로 표현될 때, 시나리오 risk계산에 포함되는 몇 개의 확률 중 하나로서 크게 5가지의 확률로 나눌 수 있으며, 이는 위험한 분위기, 점화, 폭발, 점유, 사고의 확률이다. 특히 사고의 확률은 부상이나 치명도의 확률과 환경 영향 확률, 설비 손상이나 다른 재정적 영향이다.

 

 

위험분위기 확률은 내용물 누출과 관련되며, 위험분위기는 운전원에 노출되는 독성, 산소결함, 산소과잉이거나 인화성 증기나 폭발성 분진분위기 등이다.

 

 

예를 들어 정상운전시 질소를 사용하는 분석계기가 설치된 작은 빌딩을 생각할 수 있다. 항상 사람이 상주하는 것은 아니지만 공정변수를 기록하기 위해 shift마다 몇번씩 빌딩에 들어가므로 질식사고는 항상 일어날 수 있다. 온도 조절 목적의 환기설비가 있고 매우 가는 tubing이 손상될 때 빌딩내 질소가 누출되며 그 영향은 질소 압력이나 누출구 크기에 따라 다를 수 있다. 만약 빌딩내 질소 누출이 IE라면 모든 질소 누출이 위험한 환경을 만드는 것은 아니므로 정확한 분석을 위해 위험분위기 확률인 CM를 적용하여 IE를 좀더 보완할 수 있다.

 

 

점화확률 관련 인화성 가스, 폭발성 분진운, 가연성 미스트 점화나 폭발성 분해반응으로 인한 점화 등에 대한 확률은 사업장마다 다르게 적용하고 있다. 가장 간단한 방법은 이를 보수적으로 보고 100%로 고려하여 실제 상황과 비교한다. 이 경우 risk를 너무 과하게 평가할 수도 있고 혹은 점화가능성이 매우 높은 시나리오와 매우 낮은 시나리오 사이에 차별화를 하기 어려울 수 있다.

 

 

폭발확률은 가능성은 있지만 항상 일어나는 것이 아닌 경우에 CM을 적용할 수 있다. 점유확률은 loss event가 일어날 경우 해당 지역에 운전원이 존재할 시간이며, 부상확률은 사고현장에 운전원 존재시 심각한 부상이나 치명상이 일어날 확률이다. 이는 독단적으로 결정할 수 없고 endpoint에 따라 영향을 받는다. 설비 손상이나 재정적 영향 확률은 IPL의 존재여부와 무관하게 경제적으로 미치는 영향에 대한 확률이다.

 

 

LOPA외에 EC이나 CM는 QRA (ETA, FTA, CA)에서도 사용되어 왔으며, 분석시 너무 보수적으로 접근하는 것을 지양하고, 개선된 risk estimate를 위해 system failure와 관련이 없는 factor들에 대해 고려를 한다.

 

initiating event frequency는 특정 사안에 대해 모두 똑같은 수치를 적용하지만 이에 대해 좀더 세분화하여 IE 빈도를 좀더 낮출 수 있는 요인이 있는지를 검토하여 위험성 평가시 반영하는 개념이 enabling condition이라고 이해할 수 있다.

 

다음 예는 GE의 risk관련 자료로서 conditional modifier를 이해하는데 도움이 될 수 있다. conditional modifier는 action이거나 event로서 원하지 않은 event의 확률을 줄일 수 있다.

Consequence Adjustment Probabilities records are available in GE Digital APM

 

conditional modifier의 발생확률과 IE 빈도를 곱한 값이 unmitigated consequence frequency이다.

 

 

예를 들어 valve A-1001이 fail되면 flammable gas가 대기로 배출되어 정전기, 전기스위치나 모터와 같은 점화원에 도달되면 VCE을 야기하여 주변 운전원에 치명상을 줄 수 있다.

 

risk scenario에서 운전원 치명상은 결국 valve failure로 인한 결과이며 이와 관련된 다음 action이나 event들이 conditional modifier가 될 수 있으며, 그 대상은 flame의 점화 가능성, vapor cloud의 폭발 가능성, 폭발 현장 주변에 운전원이 상주할 가능성이다.

 

 

즉, 운전원이 현장 근처에 없었다면 치명상의 가능성은 줄 것이며 이러한 내용들을 위험성 평가시 이용한다. 폭발현장에 운전원이 상주할 확률을 0.5로 적용하고 valve A-1001의 failure빈도는 0.2로 가정하면 시나리오의 unmitigated consequence frequency는 0.5*0.2=0.1이 된다.

 

 

#EC#CM#LOPA#enabling_condition#conditional_modifier#IE#initiating_event#IPL#risk_graph#consequence#vulnerability#occupancy#ignition#batch#대기환경#frequency#VCE#CCPS#endpoint#빈도#time_at_risk#revealed_failure#latent#unrevealed_failure#impact_terms#QRA#ETA#FTA#CA#unmitigated