프로세스 플랜트, 안전 계기 시스템은 진정 안전한가?

프로세스 플랜트에서의 안전 계기 시스템은 다른 어떠한 산업 애플리케이션에서 보다 중요한 역할을담당한다. 어찌 보면 사소하고 작은 계기 하나로 보일 수도 있다. 그러나, 이는 플랜트 전체의 안전과 직결되어 있다. 최신의 안전 표준에 부합하는 안전 계기 시스템을 구축하는 것이 필수적이다. 프로세스 플랜트에서의 안전을 위해 국제적인 노력들이 공유되면서, 국제 표준활동을 통해 플랜트 안전 시스템에 대한 표준기술이 작성되고 발전되어 왔다. 안전시스템의 기술이 발전하면서, 안전 표준 기술도 변화 발전해 나가고 있다. 때문에 최신의 안전 계기 시스템을 유지하기 위해서는 꾸준히 최신의 안전 표준을 확인하고, 각 안전 계기 시스템에 이를 즉시 적용하는 노력이 필요하다. <편집자 주>

1990년대부터 다양한 업계에서 안전시스템의 설계 및 구현을 위한 지침과 표준이 존재해 왔다. 많은 것들이 변했으며, 표준도 예외는 아니다. 그러나 전혀 변하지 않거나 거의 변하지 않는 것들도 많다. 수십 년 동안 가동되어 온 산업 프로세스가 그 중 하나다. 기업이 안전시스템을 가동하고 있다면, 이 시스템이 현행 표준을 충족하는지 확인하는 것이 중요하다. 프로세스 안전을 구현하는 이들이 반드시 알아야 할 몇가지 사항이 있다. 그 중 중요한 것은 (1)조부조항(grandfather clause), (2)안전 무결성 등급(SIL), (3)안전계기 기능(SIF), 그리고 (4)기존 설계의 분석이라는 개념이다.

1. 조부조항(Grandfather Clause)

ISA 84의 초판은 프로세스 업계를 위한 안전 계기 시스템의 애플리케이션(Application of Safety Instrumented Systems for the Process Industries) 이라는 이름으로 1996년 발표되었다. 이 표준은 2가지 기본 개념으로 이루어진다. 하나는 제품의 수명주기이고, 다른 하나는 안전 무결성 등급(SIL)이다. 1992년 미국 직업안전 보건국(OSHA)의 프로세스 안전관리 규정에서 유래된 조 부조항은 ISA 84의 초판에 포함되었다. ISA 84의 두번째판인 IEC 61511은 2004년에 발표되었다. IEC 61511과 ISA 84의 유일한 차이는 ISA 84에는 조부조 항(1.y)이 포함되었다는 것뿐이다.

많은 기업들은 조부조항이 적용되는 기존의 안전 계기 시스템(SIS)에 대해 여러가지 의문을 가져왔다. 1.y 항은 다음과 같이 기술되어 있다. 본 표준이 시행되기 전에 규정, 표준 또는 관습(예 : ANSI/ISA-84.01- 1996)에 따라 설계 및 구축된 기존 SIS와 관련하여, 소유주/운전자는 장비가 안전하게 설계, 유지보수, 검사, 테스트 및 운전되고 있는지를 판단해야 한다.” 이러한 조부조항은 대답이 되는게 아니라 오히려 더 많은 질문을 하게 만든다. OSHA 규정은 실질적인 지침을 제공하지 않으며, 표준은 규정되어 있지 않거나 그러한 개념을 이해시키려 하지 않는다.

ISA 84 위원회는 이 조부조항을 이해하려면 추가적인 지침이 필요하다는 사실을 깨달았다. 지난 15년간, 위원회는 시스템 모델링, 버너 관리 시스템(BMS), 화재 및 가스 시스템, 보안 등 다양한 이슈를 다룬 7개의 기술 보고서를 발간했다. 기술보고서 84.00.04의 제목은 ANSI/ ISA-84.00.01-2004(IEC 61511 Mod)의 구현을 위한 가이드라인이다. 2005년 초판이 발간된 이 보고서에는 다양한 주제에 대한 18개의 부속 문서가 포함되며, 한 부속 문서는 17페이지에 걸쳐 조부 조항에 대해서만 다룬다.

2. 허용 가능한 시스템

기존 시스템이 허용 가능한지를 판단할 수 있는 2가지 기본 단계가 있다. 첫 번째 단계는 모든 안전 계기 기능(SIF)을 파악하고, 이들이 어떤 성능 수준을 충족 해야 하는지 판단하는 것이다. 즉, 각 SIF의 안전 무결 성 등급(SIL)을 판단하는 것이다. 2번째 단계는 실제 하드웨어의 성능을 분석, 모델링 및 계산해서 이 하드웨어가 필요한 성능을 충족하는지 확인하는 것이다.

표 1은 첫번째 단계를 해결할 수 있도록 각 SIL을 위한 성능 요구사항을 보여준다. 이 표준의 Part 3에서 는 위험 매트릭스, 위험 그래프, 보호 분석 계층(LOPA) 등 전 세계적으로 SIL를 결정하는데 사용되는 여러 다른 기술들을 요약 설명한다. Part 3만 60페이지가 넘는 분량이지만, 소개 부분의 다음 구절은 주목해 볼만하다.

”제공된 정보는 이러한 접근 방식들을 구현할 수 있을 정도로 세부적이지 않다.”

미국 프로세스 안전관리 규정에 따르면 프로세스 위험 분석은 5년마다 검토되어야 한다. 검토 주기는 모든 안전 기능을 정식적으로 파악하고 요구되는 성능 목표를 결정하는데 적절한 기간이다.

두 번째 단계를 해결할 수 있도록, 하드웨어의 성능을 분석하여 요구되는 성능을 충족하는지 확인하는 방법에 대해서는 많은 표준, 기술 보고서 및 책자가 나와 있다. 예를 들어, 이 표준의 11.9항은 기능 하나의 성능이 하나의 계산으로 검증될 것을 요구한다. 이 표준에는 또한 어떤 로직 솔버와 현장 장치의 구성이 다양한 무결성 등급에 적합한지를 보여주는 Fault tolerant 표가 포함되어 있다. 표 2는 다양한 무결성 등급을 충 족할 수 있는 기술과 구성의 예를 보여준다.

예를 들어, SIL 선정/판단 조사 결과 어떤 기능이 SIL 1을 충족해야 한다고 결정했다고 해보자. 이 기능과 이 기능이 사용되는 현장 장치들은 제어시스템과는 별개다. 안전 하드웨어에는 하나의 압력 스위치가 있으며, 이 스위치는 릴레이 로직 패널에 배선된 후 솔레노이드로 가동되는 단일한 밸브에 연결되어 있다. 모든 컴포넌트가 해마다 테스트된다. 이러한 하드웨어는 SIL 1 성능 수준을 충족하므로 아무것도 변경할 필요가 없다.

그렇지만, 이 기능이 SIL 2를 필요로 하고, 하나의 표준 송신기로 구성되어 있다고 하자. 이 송신기는 범용 PLC에 배선이 된후 솔레노이드로 작동되는 하나의 밸브에 연결이 되어 있다. 이러한 구성은 SIL 2 성능 요구사항과 Fault tolerant 표의 요구사항을 충족하지 못하기 때문에 변경될 필요가 있다.

3. 인증 장치 및 규제 준수

우려스럽게도 모든 현장 장치가 SIL 정격이 되도록 하고 제 3자 인증이 될 것을 (대부분의 경우 SIL2의 요 구사항까지) 요구하는 사용자들이 점점 늘어가는 추세다. 또한 구형의 비인증 장치를 새로운 인증 장치로 교체하도록 사용자들에게 공포 분위기를 조성하는 공급 업체들도 있다.

이 표준은 장치 인증이 필요하지 않다고 명확하게 기술하고 있다. 표준은 항상 사용으로 입증된(Provenin-use) 기준에 부합하는 장치의 사용을 허용해 왔다. 그러나 많은 엔드유저들은 이 사용으로 입증된 기준을 완전하게 문서화하는 것이 쉽지 않은 일이라는 사실을 알고 있다.

인증된 장치를 사용하는 것은 어떤 면에서 혜택을 제공하지만, 완벽한 해결책은 아니다. 그러한 장치를 사용하는 것만으로 기업이 표준을 준수한다고 볼 수 없다.

4. 적합한 로직 솔버

삼중화 안전 PLC는 안전 표준과 제 3자 인증이 있기 전인 1980년대부터 사용되어 왔다. 안전시스템은 독일 표준을 기반으로 1990년대부터 인증을 받기 시작했다. IEC 61508은 1998년에서 2000년에 걸쳐 단계적으로 발표되었으며, 많은 공급업체들은 이 표준에 따라 시스템 인증을 받았다.

IEC 61508의 두 번째 판은 2010년 발표되었으며, 두 버전 사이에는 약간의 차이가 존재한다. 일부 공급 업체들은 이 표준 이전에 설계된 시스템 또는 IEC 61508의 초판에 따라 인증을 받은 시스템은 더 이상 적합하지 않다고 암시를 한다. 그러나 이는 사실이 아니다. 당시 최고의 삼중화 안전시스템을 구현했다면, 그걸로 충분하다.

5. 기타 고려 사항

기존 시스템에서 고려해야 할 몇 가지 사항은 다음과 같다.
1. 기존 안전 기능이 사전 위험 분석을 통해 파악된 특정 위험과 관련이 있는가?
2. 안전 기능(현장 장치 및 로직)은 제어 시스템과는 별도이고 독립적인가?
3. 수동 검증 테스트의 간격은 요구되는 성능을 충족하기에 적합한가?
4. 모든 안전 기능에 대해 검증 테스트 절차가 서면으로 마련되어 있는가?
5. 고장률은 유지보수 기록에 기반하여 결정 되는가?
6. 변경 절차가 마련되어 있으며 이행되고 있는가?

현재 사용 중인 안전 계기 시스템이 현행 표준을 충족하는지를 결정하려면 기존 설계를 검토할 필요가 있다. 프로세스 안전 담당자들은 인증을 받았다고 해서 반드시 장비가 표준을 충족하는 것은 아니라는 사실을 알아야 한다.

궁극적으로 SIS 공급업체는 기업이 사용 중인 장비가 현행 표준을 충족하는지 여부를 판단하도록 지원할 수 있다. 프로세스 안전을 전문으로 하는 제3자 공급업 체와 협력함으로써 기업은 비용, SIL, 성능 및 가용성에 기반하여 요구사항을 충족할 수 있는 솔루션을 선정할 수 있다.

[제공. 로크웰오토메이션 / www.rockwellautomation.co.kr]