SIL1,2 또는 3 : IEC61511에 따라 실제 위험에 맞는 프로세스 안전 계기 선택
Moore Industries International사의 Software Engineering Manager Mr. Jonathan Berg씨가 International Society of Automation 잡지에 기고한 내용을 발췌 하였습니다.
SIL 결정은 현장별, 프로세스별 분석이며, IEC 61511에 따라 프로세스 소유자는 이를 엄격하게 수행할 책임이 있습니다.
IEC 61511에 따르면, SIL(안전성 레벨) 결정은 판단이나 관례가 아닙니다. 이는 위험 사건의 결과, 발생 빈도, 그리고 필요한 위험 감소 조치 및 안전장치를 연결하는 구조화된 위험 분석의 결과물입니다. 이 단계를 제대로 수행하면 이후의 모든 과정이 훨씬 수월해지지만, 이 단계를 소홀히 하면 모래 위에 건물을 짓는 것과 같습니다.
장비가 아니라 위험 요소부터 시작
SIL을 잘못 적용하는 가장 확실한 방법은 기기부터 시작해서 거꾸로 접근하는 것입니다. 올바른 출발점은 무엇이 잘못될 수 있는지, 그리고 그 결과가 무엇인지 파악하는 프로세스 위해 분석(PHA – Process Hazard Analysis)입니다. 그 다음 단계는 보호 계층 분석(LOPA – Layer Of Process Analysis)을 통해 압력 방출 장치, 기본 프로세스 제어, 운전자 대응, 물리적 밀폐 등과 같은 독립적인 안전장치가 이미 제공하는 위험 감소 효과를 정량화 하는 것입니다.
이러한 크레딧을 적용한 후 남는 것은 안전 계측 기능(SIF – Safety Instrumented Function)이 메워야 할 위험 격차입니다. 이 격차가 필요한 안전 수준(SIL)을 정의합니다.
SIL 1은 위험을 한 자릿수만큼, SIL 2는 두 자릿수만큼, SIL 3은 세 자릿수만큼 감소 시킵니다.
화학 물질 과다 투입으로부터 수처리 시설을 보호하는 SIL 1 기능은 고압 누출로부터 해상 가스 플랫폼을 보호하는 SIL 3 기능과는 근본적으로 다른 엔지니어링 문제입니다.
이 숫자는 함수의 요구되는 성능 수준을 정의하며, 이에 따라 함수의 구현 방식과 함수 구성에 사용되는 장치가 결정됩니다.
SIL이 계기 선정에 미치는 영향은 무엇일까요?
필요한 SIL(안전 무결성 레벨)이 설정되면 계기 선정은 제약 조건이 있는 엔지니어링 문제가 됩니다. SIF(보안 통합 기능) 루프의 각 계기는 필요할 때 기능이 제대로 작동하거나 작동하지 않을 전체 확률에 영향을 미칩니다. SIL 검증 프로세스는 선정된 계기, 고장률, 진단 범위, 사용상의 제약 조건 및 선택된 아키텍처가 함께 요구되는 성능 또는 완화 기준을 충족하는지 확인합니다.
IEC 61511은 하드웨어 내결함성 또는 이중화 요구사항을 활용하여 단일 구성 요소 오류가 전체 안전 기능의 감지되지 않은 위험한 오류에 얼마나 영향을 미칠 수 있는지를 제한하는 방법을 제시합니다. 일반적으로 높은 SIL 수준 애플리케이션에 사용되는 계기는 유사 제품에 대한 가정이나 유추가 아닌, 문서화된 고장률 데이터 및/또는 체계적인 성능 평가를 통해 규정 준수를 입증해야 합니다.
흔히 저지르는 실수는 특정 애플리케이션 및 구성에 적용되는지 확인하지 않고 공급업체의 SIL 등급에만 의존하는 것입니다.
예를 들어, SIL 2 사용에 대해 평가된 센서(종종 전송기라고도 함) 자체 만으로는 SIL 2 안전 계측 기능을 생성하지 않습니다. 전체 시스템, 즉 각 구성 요소의 신뢰성 데이터와 사용상의 제약 조건을 모두 검증해야 합니다. 이러한 차이점은 Audit가 진행되거나 사고가 발생하여 검토가 시작될 때 중요합니다.
산업 맥락을 파악하는 것은 도움이 되지만 분석을 대체할 수는 없습니다.
물론, SIL 요구사항은 모든 프로세스 산업에 고르게 분포되어 있지는 않습니다. 석유 및 가스 탐사 및 생산 분야에서는 SIL 2가 가장 일반적이며, SIL 3는 고장 발생 시 상당한 인명 손실이나 심각한 환경 재해로 이어질 수 있는 경우에 적용됩니다. 정유 및 석유화학 공정에서는 대부분 SIL 1과 SIL 2가 사용되며, SIL 3는 가장 심각한 결과를 초래할 수 있는 시나리오에 적용됩니다. 발전 분야에서는 일반적으로 터빈과 보일러 보호를 위해 SIL 1과 SIL 2가 요구됩니다. 상하수도 시설은 대개 SIL 1 수준에서 운영되지만, 염소나 불소와 같은 고농도 화학물질을 취급하는 시설은 특정 기능을 위해 SIL 2가 필요할 수 있습니다.
LOPA 기반의 정당성 없이 SIL 2를 일률적으로 적용하는 시설은 일부 루프를 과도하게 설계하고 다른 루프는 불충분하게 설계할 가능성이 있습니다. 위험 기반 SIL 결정은 안전 투자, 그에 걸맞은 위험에 대한 투자를 의미합니다.
예전의 SIL 과 지금의 SIL이 다를 수도 있습니다.
IEC 61511은 프로세스 또는 SIS(안전 계측 시스템)에 변경 사항이 발생할 경우 SIL(안전 무결성 레벨)을 재평가하도록 요구합니다. 예를 들어, 작동 압력을 높이거나, 새로운 위험 물질을 도입하거나, 안전 계측 기능의 요구율을 변경하는 수정 사항은 이전에 기술적으로 타당했던 판단을 무효화할 수 있습니다.
프로세스 변경을 실행하기 전에 기능 안전 검토를 거치는 공장은 이러한 문제를 조기에 발견합니다. 반면 변경 관리를 단순한 행정 절차로 취급하는 공장은 그렇지 않은 경향이 있습니다. 이러한 차이는 결국 드러나게 되며, 결코 편리한 시점에 나타나는 법이 없습니다.
위험 감수 우선, 하드웨어는 그다음
결론적으로, 안전 계기 또는 장치의 데이터 시트 만으로는 필요한 SIL(안전 무결성 레벨)을 알 수 없습니다. SIL 결정은 현장 및 프로세스 특성에 따른 분석이며, IEC 61511에 따라 공정 책임자는 이를 엄격하게 수행할 책임이 있습니다. 분석이 제대로 이루어지면 안전 계기 선택이 더 쉬워지고 타당성을 확보할 수 있습니다. 또한 문제가 발생하더라도 엔지니어링이 올바르게 수행되었음을 입증할 수 있습니다. 프로세스 산업에서 이러한 문서는 데이터 시트나 인증서에 기재된 SIL 등급보다 훨씬 더 중요한 가치를 지닙니다.
Moore Industries International 사의 Mr. Jonathan Berg 씨가 International Society of Automation 잡지에 기고한 내용을 의역하였습니다. 번역 오류가 있을수 있음을 혜량하여 주십시오.
더 자세한 협의가 필요하시면 오랜기간 이분야에서 경험을 쌓았으며, Moore Ind. Int’l사의 공인 대리점인 티엠솔루션(주)를 찾아 주십시오.
전화 02-2025-4280, 메일 sales@tmsolutions.co.kr 입니다.
감사 합니다.
