무엇보다 중요한건 안전! – Safety Instrumented System

이른 아침 쌀쌀한 아침공기를 맞으며 강의실에 도착했습니다. 먼 길을 달려온 만큼 하나라도 더 배우려는 마음에 맨 앞자리에 앉았지만 달콤한 잠의 유혹에 빠져 그만 첫 시간부터 졸고 말았습니다. 열심히 수업 받고 있을 거라 철석같이 믿고 계실 팀장님의 얼굴이 떠올랐지만, 밀려오는 잠을 이겨낼 수는 없었습니다. ^^; 하지만, 다행히도 투명한 유리창에 반사된 눈부신 아침햇살이 저를 깨워주었습니다. 주위를 둘러보니 둥그렇게 뜬 큰 눈으로 모두들 열심히 수업을 듣고 있었습니다. 창피함과 미안함이 뒤섞인 복잡한 마음, 다시 정신을 가다듬고 열심히 수업에 임했습니다.

이번 교육을 통해 알게 된 SIS, 여러분께 조금이나마 도움이 되었으면 하는 마음으로 배우고 느낀 것을 정리해보았습니다. 그럼 지금부터 SIS에 대한 설명을 시작하겠습니다. 정유나 가스, 석유화학, 원자력 등 위험요소가 산재한 공장에서 예상하지 못한 문제가 발생하여 공정을 제어할 수 없는 상태가 되면, 화재나 폭발 같은 사고가 발생하게 됩니다.

이와 같은 사고는 인명과 환경 그리고 재산에 막대한 피해를 입히는 대형사고로 발전하기도 합니다. 유독가스 누출로 하루 저녁에 수 천명의 목숨을 앗아간 인도의 보팔참사(1984년), 방사능 누출로 인간과 자연에 막대한 피해와 후유증을 남긴 러시아의 체르노빌원전사고(1986년), 원유 생산기지에서 발생한 화재로 167명이 사망한 영국의 파이퍼 알파 침몰사건(1988년) 등이 대표적인 사례라 할 수 있습니다.


체르노빌 원전사고

1986년 4월 26일 구소련(현재 우크라이나) 체르노빌 원자력 발전소에서 발생한 폭발에 의한 방사능 누출사고입니다. 이 사고로 수십만 명이 직간접적인 영향으로 사망하거나, 암 발병 또는 기형아를 출산하였고, 주변 생태계에 심각한 문제를 야기하였습니다.

SIS(Safety Instrumented System)는 위와 같은 대형참사가 발생하지 않도록 위험요소를 사전에 감지하여, 공정을 안전한 상태로 되돌리는 안전계장시스템입니다. 공정에서 위험한 요소가 있다고 생각되는 부분에 대해 분석하고, 위험한 요소를 없애도록 안전장치를 추가하여 시스템을 보완하는 것입니다.

정확히 말하면 위험한 요소를 없애는 것은 아니고, 위험한 사건이 발생할 확률을 낮추는 것입니다. 간단하게 설명 해보면 다음과 같습니다. 위험한 요소가 있다고 생각되는 부분을 분석해보니 사고가 발생할 확률이 0.0001(만분의 일)이었습니다. 그런데 우리가 생각하는 안전한 확률은 0.000001(백만분의 일)입니다. 그렇다면 사고의 확률을 0.000001(백만분의 일)이하로 낮출 수 있도록 최소 0.01(백분의 일)만큼 시스템을 보완해야 하는 것입니다. 그러면 아래의 예를 통해서 실제로는 SIS를 어떻게 구현하는지 좀 더 자세히 알아보도록 하겠습니다.

위험성평가 결과

LOPA분석 대상 “C4 Stripper의 압력을 조절하는 Process
LOPA분석 대상 “C4 Stripper의 압력을 조절하는 Process

LOPA 분석기법을 활용하여 위에서 지적된 문제를 해결해 보겠습니다. LOPA분석 시 가장 먼저 할 일은 LOPA 분석의 대상, 사건의 발단이 되는 Initial Event, 그리고 Initial Event로 예상되는 결과인 Scenario를 명확히 정의하는 것입니다.

위의 예를 살펴보면, 분석할 대상은 “C4 Stripper의 압력을 조절하는 Process”이고, Initial Event는 “C4 Stripper의 Feed Inlet Line의 Control Valve 고장”, 그리고 Scenario는 “Stripper에서 Leak된 C4 Gas가 폭발하여 사망사고 발생”이라는 것을 알 수 있습니다. 다음으로 할 일은 분석대상의 위험목표빈도를 구하는 일입니다. 표-1을 참고하면 직원의 사망사고가 발생할 경우의 S5의 심각수준을 가지므로, “C4 Stripper의 압력을 조절하는 Process”의 위험목표빈도는 0.000001(백반분의 일)입니다.

직원부상에 대한 위험목표빈도

다음으로 할 일은 Initial Event와 Scenario가 발생할 확률을 구하는 일입니다. Initial Event가 일어날 확률은 Control Valve가 오동작할 확률과 동일하므로 표-2를 참고하면 0.01이란 값을 쉽게 확인할 수 있습니다.

사고 원인

그런데 Scenario가 발생할 확률은 약간 복잡합니다. Stripper에서 Leak된 유체가 점화원을 만나 폭발해야 하고, 폭발 당시 Stripper 주변에 근무자가 있어야 합니다. 따라서, 이 두 가지 사건이 일어날 확률을 모두 곱해주어야 합니다. Stripper에서 Leak되는 유체는 C4이므로 표-3를 참고하면 Leak된 유체가 폭발할 확률은 0.3이란 걸 알 수 있습니다. 그리고 근무 동선을 고려할 때, 운전원이 Stripper 주변에 대략 하루에 2시간 이상은 머무른다고 보면, Stripper 주변에 근무자가 있을 확률은 표-4를 참고하여 0.5를 적용하면 됩니다. 따라서, Scenario가 발생할 확률은 0.3과 0.5를 곱한 0.15됩니다.

유체의 종류에 따른 점화/폭발 확률

주변에 근무자가 있을 확률

Initial Event와 Scenario가 발생할 확률을 모두 구한 다음에는 Scenario가 발생하는 확률을 낮출 수 있는, 즉 Scenario의 실패확률을 높일 수 있는 요소가 있는지를 검토합니다.

Stripper의 H, HH Alarm Logic
Stripper의 H, HH Alarm Logic

자세히 들여다보면 Stripper의 차압이 High 또는 High High일 때 DCS에서 Alarm이 동작하도록 Logic이 꾸며져 있습니다. 이런 경우에는 Control Valve의 고장으로 Stripper의 차압이 상승하더라도 운전원이 DCS에서 이를 인지하고 조치를 취할 수 있으므로, C4 Gas 누출로 인한 폭발사고를 사전에 막을 수 있습니다. 표-5를 참고하면, Alarm Logic으로 사고발생 확률이 0.1만큼 줄일 수 있다는 것을 알 수 있습니다.

안전방호계층에 따른 시나리오 실패 확률

위의 내용을 종합하면 다음과 같습니다.

프로세스

Stripper의 Feed Inlet Line의 Control Valve 고장으로 사망사고가 발생할 최종확률은 Initial Event가 일어날 확률, Scenario가 일어날 확률, Scenario의 실패 확률을 모두 곱한 0.00015가 됩니다. 분석대상에 대한 위험목표빈도가 0.000001이었으므로, Scenario가 발생할 최종확률과 위험목표빈도의 차이인 LOPA GAP은 0.00667 입니다.

이를 정량화된 안전등급인 SIL(Safety Integrity Level)로 변환하면, SIL2라는 값을 가지게 됩니다. IEC 61508-1, table2를 참고하시기 바랍니다. 그러므로 C4 Stripper의 압력을 조절하는 Process에서는 SIL2를 만족하는 SIF로 SIS를 구현해야 합니다.

기능 안전 상세과정

SIF(Safety Instrumented Function)는 SIS를 구현하는 구체적인 방법입니다. Sensor, Logic Solver, Final Element로 구성되므로, 이 세 구성요소를 적절히 활용하여 Control Valve가 고장 났을 때, Stripper의 압력 상승으로 인한 Leak가 발생하지 않도록 시스템을 보완하면 됩니다.

Safety Instrumented Function의 구성
Safety Instrumented Function의 구성

Pressure Transmitter(Sensors), PLC(Logic Solver), Shut-off Valve(Final Elements)를 추가하여 그림-4와 같은 SIF를 설계해보았습니다. PT가 Stripper의 압력을 측정하여 PLC로 전송하고, PLC에서는 PT로부터 받은 압력 값으로 차압을 계산하여 설정 값 이상이 되면 Shut-off Valve로 Close 신호를 보고, Close 신호를 받은 Shut-off Valve가 Stripper의 Feed Inlet Line을 차단하도록 Logic을 추가하였습니다.

PT와 PLC 그리고 Shut-off Valve를 활용한 SIF
PT와 PLC 그리고 Shut-off Valve를 활용한 SIF

설계가 완료되었으면, 설계한 SIF가 SIL2를 만족하도록 장치를 선정합니다. 이 때, IEC 61508 또는 IEC 61511중 하나를 활용하면 되는데 여기서는 표-7의 IEC 61508을 활용해보겠습니다. Sensor와 Final Element는 표-7의 IEC61508-Table2를 참고하고, Logic Solver는 표-7의 IEC61508-Table3를 참고하면 됩니다.

Hardware fault tolerance는 장치의 고장에 대비한 예비 장치의 숫자를 의미합니다. 그림-4에서는 Transmitter를 하나만 설치했으므로 Hardware fault tolerance는 0입니다. PLC, Shut-off Valve의 경우도 마찬가지로 Hardware fault tolerance는 0입니다. 만약, Transmitter를 1oo2(1 out of 2)로 구성했다면 Sensor의 Hardware fault tolerance는 1이 되고, 1oo3 (1 out of 3)로 구성했다면 2가 되는 것입니다. SFF(Safe Failure Fraction)은 장치의 안전한 정도를 나타내는 고유값으로 %값이 높을수록 안전한 장치를 의미합니다.

Hardware fault tolerance가 0인데, SIL2를 만족하려면, Transmitter와 Shut-off Valve는 SFF가 60% ~ 90%인 제품을 사용하고, PLC는 90% – < 99% 제품을 사용하면 됩니다. 여기서 주의할 점은 SIF와 관련된 장치는 기존의 장치들과 병행해서 사용해서는 안되고, 모두 독립적으로 추가해서 설치해야 한다는 점 입니다.

기능 안전 상세과정

기능 안전 상세과정

IEC61508이나 IEC61511을 참고하면 위에서 열거한 SIF뿐만 아니라, SIL2를 만족하는 다른 SIF도 설계할 수 있습니다. 표-8에 설계 가능한 SIF를 몇 가지 열거하였습니다. 그림-4에서 설계했던 SIF는 표-8의 SIF1 해당됩니다.

데이터표

그렇다면 SIF1으로 우리는 안전한 시스템을 구축한 것일까요? 다음과 같은 사항을 고려해볼 필요가 있습니다. 실제로 공정에는 아무런 문제가 없으나 Transmitter가 오동작하여 PLC로 잘못된 신호를 전송하고, PLC가 Pressure High로 해석하여 Shut-off Valve에 Close 신호를 전송했다고 가정해 보겠습니다. 그러면, Shut-off Valve가 Stripper의 Feed Line을 막아 공정을 Shut-down 시키게 됩니다.

SIS의 관점에서 보면 오동작하는 공정을 Shut-down 시키는 것이 안전할 수 있습니다. 왜냐하면 오동작하는 Transmitter는 위험징후가 있어도 이를 발견하지 못해 대형참사가 발생할 수 있으며, 대형참사로 인한 피해는 공정 Shut-down으로 인한 물질적 피해와는 비교할 수 없을 만큼 막대하기 때문입니다.

하지만 연관공정이 복잡하게 얽혀있고 24시간 쉼 없이 돌아가는 공장에서는 Unscheduled Shut-down은 영업이익에 막대한 손실을 가져옵니다. 실제로 Transmitter의 오동작, PLC Fail, Actuator 오동작 등의 문제로 공정을 Unscheduled Shut-down한 사례가 있습니다. 따라서, SIS를 구현할 때는 안전뿐만 아니라 OA(Operational Availability)도 함께 고려해야 합니다.

만약, 표-8의 SIF3를 선택해서 SIS를 구현했다면 어떻게 될까요? SIF3는 Transmitter를 2oo3(2 out of 3)로 구성합니다. 2oo3는 다수결 원칙에 따라 3개의 Transmitter 중 2개 이상의 Transmitter가 설정 값에 도달했을 때, PLC에서 Shut-off Valve로 Close 신호를 전송합니다. 그러므로, 1개의 Transmitter 오동작 한다고 할지라도 공정을 Shut-down시키지 않습니다.

뿐만 아니라, SIL2도 동시에 만족합니다. 마찬가지로 상황에 따라 Shut-off Valve나 PLC를 다중화 할 수도 있습니다. 따라서, 공정의 특성에 맞게 안전과 OA를 동시에 만족할 수 있도록 SIF를 설계하면 됩니다.

SIF없이 PSV설치로 안전한 확률을 만족함.
SIF없이 PSV설치로 안전한 확률을 만족함.

끝으로 한가지 더 고려할 사항이 남아있습니다. 만약 그림-5처럼 C4 Stripper의 압력을 조절하는 Process에 SIS를 구현하지 않고, PSV가 추가하면 어떻게 될까요? 이 경우 Control Valve의 고장으로 Stripper의 압력이 상승한다고 해도, PSV가 Popping하여 C4 Gas가 Leak되는 것을 막을 수 있습니다.

표-5를 참고하면 Relief Valve에 해당하는 PSV는 Scenario 실패확률을 0.01만큼 높여줍니다. 따라서, 이 내용을 바탕으로 LOPA 분석을 하면 아래와 같은 결과가 나옵니다.

분석 프로세스

LOPA GAP은 0.2이고, SIL 값은 0입니다. SIS를 추가하지 않았지만 PSV 설치만으로도 위험목표빈도를 만족을 한다는 이야기 입니다. SIS를 구성하려면 Transmitter, PLC, Shut-off Valve, Cable, Fittings, 배관 등의 자재비와 이에 대한 시공비가 필요하지만, PSV는 대게 이보다 적은 비용으로 설치가 가능합니다. 따라서, 투자비를 절감하면서도 위험목표빈도를 만족할 수 있는 방법이 있는지를 검토하는 것도 매우 중요합니다.

지금까지 SIS에 대해 간략하게 설명해 보았습니다. SIS에 대해 더 자세하게 이해하고, 이를 실제로 적용하기 위해서는 한국요꼬가와 또는 한국가스안전공사와 같은 전문기관의 교육을 받는 것도 좋은 방법이라고 생각됩니다. 위의 내용이 SIS의 개념을 이해하는데 조금이나마 도움이 되었으면 좋겠습니다. 그럼 안전하고 즐거운 하루 되세요~