LOPA의 기본적 이해

 

공정 위험성 평가의 tool중 하나인 LOPA (Layers of Protection Analysis)의 방법론, 중요성, 적용에 대해 알아보았다.

 

 

 

LOPA는 위험한 상황에 대해 보호할 수 있는 IPL (Independent Protection Layers)이라고 하는 독립적 보호계층의 적절성을 평가하는 반정량적 위험성 평가이다.

 

 

구성 요소로는 위험한 사고에 대한 극단적 결과, 목표 위험성, 사고로 이어지는 초기 사고, 사고 결과를 방지하는 IPL, 사고 빈도에 영향을 주는 CM (Conditional Modifier) 등이다.

 

 

간단히 말하면 LOPA는 위험한 사고의 원치 않은 결과로 이어지는 빈도를 계산하고 이에 대한 변수를 이해하기 위한 간단한 위험성 분석 모델이다. 즉 계산된 위험 크기 정도가 허용이 가능한 target 위험을 초과할 경우 이러한 risk gap에 대해 IPL을 도입하여 허용 가능한 수준으로 위험을 낮출 수 있다.

 

 

 

LOPA 방법론

 

flow diagram of the LOPA process

 

먼저 위험 시나리오를 선택하고 그로 인한 결과 (protection layer를 고려하지 않음)를 정의한다. 이후 사업장내 허용 위험기준에 근거한 target risk를 선택한다. 일반적으로 LOPA이전에 HAZOP을 수행하므로 HAZOP (Hazard and Operability) study에서 인지한 사고 원인과 결과를 LOPA에서 이용할 수 있다.

 

 

다음으로 IE (Initiating Events)라 불리는 초기 원인과 그 빈도를 규명한다. 이러한 초기 원인도 HAZOP을 통해 인지하며, LOPA에서는 이들에 대한 빈도를 운전경험, DB, best practise, 엔니지어링 판단에 기반하여 추정한다.

 

 

개별 IE에 대해 IPL을 확인하되 IPL은 시나리오가 원치 않은 결과로 진전되지 않도록 기능을 해야 하며 이는 IE나 다른 보호계층으로부터 독립적이어야 한다.

 

 

이 과정에서 중요한 사항이 있다. 즉 LOPA에서의 IPL은 HAZOP의 safeguard와는 다르다. 즉, 모든 IPL은 safeguard가 될 수 있지만, 모든 safeguard가 다음과 같은 이유로 IPL이 되는 것은 아니다. 이는 IEC61511에서 define한 것으로 이러한 requirement를 meet하지 못하기 때문이다.

 

 

즉, effectiveness (IPL은 적절하게 설계, 설치, 운전, 유지관리되고, 적어도 risk factor 10에 의해 risk를 줄일 수 있어야 함.), specificity (IPL은 하나의 특정 hazardous event의 consequence를 방지하도록 설계되어야 함), independence (IPL은 다른 protection layer와 독립적이어야 함), auditability (protection layer는 그 기능을 주기적으로 검증되어야 함)

 

Safeguarding Strategies in the Process Industry

 

LOPA에서 중요한 사항이 IPL requirement를 만족하기 위해 protection layer와 initiating event가 독립적이어야 하며 아래 예를 참고할 수 있다.

 

Independence between IPLs and Process Control System

 

 

CM (Conditional Modifier)은 시나리오와 관련된 risk에 영향을 줄 수 있는 factor이며 engineered device는 아니다. typical로는 hazardous event가 일어난 restricted area에 운전원이 존재하거나, flammable material의 release이후 점화하는 정도에 대해 factoring을 고려할 수 있다.

 

 

다음으로 hazardous scenario에 대한 TMEF (Total Mitigated Event Frequency)를 계산한다. 이는 IE frequency, 각 IPL의 PFD, 각 CM의 probability를 곱한 후 모든 IE의 TMEF에 대해 결과를 더한다. 이후 TMEF의 합과 target risk를 비교하여 risk가 acceptable한지 혹은 gap이 존재하여 어느 정도의 risk reduction이 요구되는지 결정한다.

 

 

risk gap을 인지한 후 이에 맞는 action을 하여 target risk범위내에 존재하도록 하며, 필요시 QRA와 같은 정량적 평가 방법을 통해 verify할 수도 있다.

 

 

LOPA는 risk관리에 있어서 매우 중요한 tool이며 이를 통해 hazardous scenario와 관련된 risk를 이해하고 risk절감을 위해 각 protection layer가 적절한지 판단할 수 있다. 또한 가장 critical한 protection layer에 집중함으로서 우선순위를 고려할 수 있다. significant risk reduction으로 고려한 IPL의 경우 SCE (Safety Critical Element) register에 등록하여 유지관리 및 test를 좀더 엄격히 관리할 수 있다. (선택과 집중)

 

 

 

LOPA와 관련된 주요 사항들에 대해 실무적 차원에서 아래와 같이 요약해 보았다.

 

SIF가 설비들을 안전하게 운전하는데 필요한 기능을 제공할 수 있도록 ensuring해야 하며, 이를 위해 모든 SIF에 대해 SIL target을 assign하기 위해 SIL classification study를 수행하며, SIL target은 위험상황이 되었을 때 SIF기능을 수행하도록 instrumented safeguard의 신뢰도 수준을 나타낸다.

 

 

1OO2는 위험한 상황을 감지하는데 적어도 하나 sensor라도 비정상 상황에 대해 작동하면 system을 보호할 수 있지만, 반대로 정상 조건임에도 불구하고 의도치 않은 malfunction으로 trip이 발생할 경우 (spurious trip)의 risk reduction의 이득보다 원치 않은 운전의 중단에 따른 impact이 더 심각하다고 결론이 나면 2OO2로 변경할 수도 있다.

 

 

SIF의 성공 기준은 몇 개의 final element가 동시에 성공적으로 작동해야 하는지 이며 예를 들어 valve도 close하고 pump도 trip해야 한다면 2OO2가 됨. 여러 final element중 primary를 인지하고 secondary는 위험상황을 해소하는데 큰 도움이 되지 않는다면 primary만 IPL로서 인정이 된다.

 

 

asset damage에 대한 LOPA target frequency는 너무 보수적인 결과가 되어 asset damage에 대해 acceptable과 tolerable 각각 고려함. 하지만 인명 및 환경에 대한 평가는 compromising될 수 없다.

 

 

Conditional modifier는 Consequence severity를 줄이기 위한 목적이며 released flammable의 probability로서 사고 발생시 operator가 위험지역에 있을 확률과 점화 가능성과 피할 수 있을 확률에 대해 1년 기준으로 비연속 공정에 대해 노출 위험을 적용하며 주요 내용은 아래와 같다.

 

점화 가능성: 휘발도 정도에 따라 결정하되 light한 성분은 상대적으로 점화가 용이하여 보통 1을 적용하고 heavy성분들은 0.1을 적용함. 한편 점화 위치와 관련하여 충돌의 가능성이 높거나 heater주변의 release는 가능성이 1이지만, process area로부터 떨어진 곳에서는 0.1을 부여함. 지연 점화는 0.3을 고려함.

 

점유 가능성: 시간의 10%이하 동안 있을 확률은 0.1이고, 10%이상이거나 operator가 사건을 야기한다면 1을 고려함. (personnel safety와 관련)

 

유해성의 조건적 modifier (운전원이 화재, 폭발, 독성에 노출될 경우): 운전원이 보호 지역에 있을 경우 확률은 0.1이고 비보호지역에 있을 경우에는 1임.

 

 

자산 손실 영향은 생산 중단에 따른 손실도 고려해야 하지만 이를 포함하면 너무 비이성적이며 받아들일 수 없는 PFD가 될 수 있음. 그래서 자산 손실 기준을 합리적으로 분석하기 위해 생산 손실을 포함한 분석과 설비 손상만 고려한 분석으로 나누고 SIL도 달리 부여함.

 

 

#신뢰도#LOPA#SIF#SIL#1OO2#2OO2#acceptable#tolerable#consequence#severity#점화가능성#점유가능성#유해성#반정량적#사고빈도계산