네이버 공식블로그
인터뷰 더보기
Technical Report 더보기
공정제어시스템과 안전시스템은 어느 경우에 현장장치를 공유할 수 있을까? 공정제어시스템과 안전시스템은 어느 경우에 현장장치를 공유할 수 있을까?
정요희 2012-08-08 00:00:00
HOME Technical Report

공정제어시스템과 안전시스템은 어느 경우에 현장장치를 공유할 수 있을까?
SIS와 BPCS는 구성요소들을 공유할 수 있는 경우가 있으나, 면밀한 분석이 먼저 필요하다

Ed Marszal, Gary Hawkins


안전계장시스템(Safety Instrumented System: SIS)과 기본 공정제어시스템(Basic Process Control System: BPCS)은 현장장치를 공유할 수 있을까? 공유가 가능하다면, 분명히 비용 절감을 할 수 있다. LNG 플랜트의 대형 극저온 밸브의 비용은 $500,000에 달할 수 있다는 점을 생각해 보자. 하지만 어떻게 SIS와 BPCS가 밸브 및 기타 구성요소들을 공유하면서도 여전히 표준을 준수할 수 있을까? 이 기사에서는 관련 표준을 검토하고, 올바른 실행 방법과 그렇지 못한 방법을 살펴볼 것이다.

 

적용 가능한 표준들

SIS는 일반적으로 국가규정(ISA 84.00.01은 IEC 61511의 미국 버전)의 요구사항을 준수하기 위해 IEC 61511을 준수하도록 설계된다. 이 표준은 안전과 기본 공정제어시스템이 장치를 공유할 수 있음을 언급하고 있지만, 장치 공유가 허용되는 경우와 그렇지 않은 경우에 대한 특정 요건도 제시하고 있다. 이런 요구사항은 잘못 이해되고 무시되는 경우가 많다. 궁극적으로 그러한 요구사항의 목적은 단일 고장점(single point of failure)을 예방하는 것인데, 이는 단일 장치의 고장이 공정 제어에 이상을 가져와 안전시스템 기능을 요구하고 동시에 차단시스템이 올바로 반응하지 못하게 하는 상황을 말한다.
현장 장치들을 성공적으로 공유하기 위해서는 안전 장비와 전자장치뿐만 아니라, 제어 대상 화학 공정을 포함한 제어 대상 공정에 대한 이해가 필수적이다. 공정, 장치들의 사용방법, 그리고 이들의 고장원인과 그 결과에 대해 이해해야 한다.
장치의 공유에 대한 IEC 61511의 8.2.1 항을 고려해 볼 필요가 있다.
‘안전 무결성 요구사항의 결정에 있어, 요구(demand)를 발생시키는 시스템들과 이들 요구에 응답하도록 설계된 보호 시스템들간의 공통 원인(common cause)의 영향을 고려해야 한다.’
이는 규범적 요구사항은 아니지만, 전반적 위험이 허용 가능한 한계 내에서 유지되도록 하려면 BPCS와 SIS 간의 구성요소를 공유하기 이전에 신중히 검토할 필요가 있다. 또한, 11.2.10항과 비고는 다음과 같은 추가적 조언을 하고 있다.
‘안전 계장 기능의 일부를 수행하는 데에 사용되는 장치는, 분석을 통해 전반적 위험이 허용 가능한 수준임이 확인되지 않는다면, 기본 공정 제어 목적을 위해 (해당 장치의 고장이 기본 공정 제어 기능의 고장을 일으켜 안전 계장 기능을 요구하게 되는) 사용해서는 안 된다.’
‘비고: SIS의 일부가 제어 목적에도 사용되고, 공통 장비의 중대한 고장이 SIS에 의해 수행되는 기능을 요구할 경우에는 새로운 위험이 발생한다. 추가적 위험은 공유 요소의 위험 고장률(dangerous failure rate)에 의존하는데, 공유 요소에 고장이 발생하면 SIS가 응답할 수 없는 요구가 즉각 생성되기 때문이다. 따라서 공유 장비의 위험 고장률이 충분히 낮게 유지되도록 하기 위해 추가적 분석이 필요할 것이다. 센서와 밸브는 BPCS와의 장비 공유가 자주 고려되는 예다.’
즉, 어떤 장치의 고장이 BPCS 루프로 하여금 SIS에 대한 요구를 발생시키도록 하는 동시에 해당 SIF가 위험한 상태로 전환되는 경우, 그러한 장치를 안전계장기능(SIF, 기본적으로 안전 목적용 제어 루프)에 사용해서는 안 된다는 뜻이다. 이는 단일 고장점 예방을 위한 요구사항의 출발점이다.
11.2.10 비고에 따르면 단일 고장점은 관련 이상의 발생빈도가 허용 가능한 정도로 낮은 경우 허용할 수 있다. 여기에는 상세한 계량 분석이 요구되며, 이것은 대부분의 사람들이 잘 하지 못하며 흔히 간과하는 것들이다. 하지만 대부분의 경우 수학적 분석의 결과는 공유가 가능하지 못하다는 결론에 도달하게 될 것이다.

 

FMEA 공정

공유에는 공유 대상 장비에 대한 FMEA(failure modes and effects analysis, 고장모드 및 효과 분석)가 요구된다. 즉, 트랜스미터, 밸브 또는 전체 제어루프 등 모든 공유 장비에 대해 각각의 공유요소가 고장을 일으킬 수 있는 모든 방법들, 그리고 각 고장모드가 단일 고장점을 구성하는지의 여부를 파악해야 한다. 표준에서 명시적으로 요구하지는 않지만, 연구를 공식적으로 문서화하고 검증할 것을 권장한다.
FMEA 공정은 주어진 루프 또는 기능에 대해 공유할 항목의 목록 작성으로부터 시작된다. 각 항목에 대한 모든 고장모드를 목록에 명시하며, 각 고장모드에 대해 고장의 영향을 기술한다. 1차 고장이 안전장치를 작동 불능이 되게 하는 경우, 이것은 단일 고장점을 구성하게 된다. 그런 다음 이러한 단일 고장점은 재설계 또는 고장의 빈도가 충분히 낮다는 것을 입증하는 계량분석을 통하여 제거해야 한다.

 

과도한 공유
- Hydrocarbon to Further Processing  탄화수소 후처리
- Feed                                                  공급
- Water KO Drum                                  물 KO 드럼
- Water Product                                    물 생성물

 

<그림 1>

 

그림1은 상당량의 공유가 존재하는 예를 보여준다. 이 공정은 물 제거 드럼(water knockout drum)으로, 탄화수소와 물간의 경계면은 액위 트랜스미터 LT-101에 의해 모니터링된다. 이 트랜스미터는 액위 제어밸브 LV-101(드럼 내의 수위를 설정값으로 유지하는)을 조절하는 제어시스템 내의 제어기능블록 LIC-101에 공정 측정을 제공한다. 기능블록 LSLL-101(저액위 한계)은 이 예에서 안전 기능을 제공한다. 예상되는 고장모드 및 이에 따른 결과는 아래의 표와 같다.

 

<표1> 가능한 고장모드와 결과


이 예는 단순화시켜, 2개의 공유 요소만을 예시하고 있다. 실제로는 DCS 입력 카드, DCS CPU, DCS 출력 카드와 액위 밸브 모두 공유되어 있으며, 고장 분석에 포함되어야 할 것이다.

 

- Hydrocarbon to Further Processing 탄화수소 후처리
- Feed                                                공급
- Water KO Drum                               물 KO 드럼
- Atmospheric Storage Tank              대기 저장 탱크

 

<그림 2>

 

이러한 배치는 분명히 사용이 불가능하지만, 최소한 부분적으로 안전 기능이 분리되어 있다면 어떻게 될까?
그림2에서는 별도의 액위 트랜스미터 LT-102가 추가되었다.
이는 솔레노이드 밸브의 전원을 차단하여 제어밸브 LV-101에서 공기를 배출, 닫히게 함으로써 저-액위 조건에 응답하는 자체 논리분석기에 대해 액위 측정 신호를 공급한다. 이 경우 유일한 공유 요소는 제어밸브이다. 고장모드 분석은 아래의 표와 같다.

<표2> 개선되었으나 여전히 개선의 여지는 존재

다시 말하지만, 제어밸브만의 공유는 충분한 보호수단을 제공하지 못한다.

<그림 3>

- Hydrocarbon to Further Processing 탄화수소 후처리
- Feed                                                 공급
- Water KO Drum                                물 KO 드럼

 

그림3은 추가적인 별도의 차단밸브를 사용했을 때의 상황이다. 이 경우의 분석은 간단한데, 공유 요소가 없으므로 단일 고장점이 존재할 수 없다.

 

작동 요소의 공유

일부 구성요소의 공유가 허용되는 예로, 수첨분해기 또는 중유 수첨개질기를 고려할 필요가 있다. 이러한 공정의 경우 100psig의 낮은 공급시스템 압력에서 1,000~2,000psig의 매우 높은 반응기 압력에까지 이르는 공급 펌프가 존재할 것이다.
그림 4에 표시된 차단시스템은 펌프 고장에 의한 전방향 흐름(forward flow)의 상실을 탐지하기 위한 것이다.

<그림 4>

- Feed Tank              공급탱크

 

그 후, 차단시스템은 고압 반응기 시스템이 공급 펌프를 통해 저압 공급시스템으로 역류하여 압력이 저하되는 것을 방지하기 위해 차단밸브를 폐쇄하게 된다.
펌프 이상 발생시에 펌프의 방출측 유량 제어기는, 측정된 유량(영점)이 공급 흐름 설정 값 이하로 감소되었기 때문에 유량을 증가시키기 위해 제어밸브를 개방하여 저-유량 조건에 대응하게 된다.
따라서 차단시스템에 의해 제어되는 솔레노이드 밸브가 유량 제어밸브에 장착된다. 전 방향 흐름이 상실되면 차단시스템은 솔레노이드 밸브의 전원을 차단하여 제어밸브를 폐쇄하게 된다.
이 경우 제어밸브는 요구(demand)를 발생시키고 보호기능의 중대한 고장을 발생시키지 않아, 단일 고장점을 구성하지 않으므로 공유가 가능하다.
유량 제어기의 고장은 역류를 발생시킬 수 없다. 오직 펌프 고장만이 역류를 발생시킨다. 밸브가 현 위치, 개방, 폐쇄 등 임의의 위치에서 정지되어도 펌프가 계속 동작하면 역류를 발생시키지 않는다. 차단 동작은 위험상황의 원인에 대해 독립적이므로 안전과 차단 양 용도를 위한 밸브의 공유가 가능하다.
솔레노이드 밸브의 고장 또는 제어밸브의 고착으로 인해 솔레노이드 밸브 전원 차단 시에 유량제어밸브가 닫히지 않는 경우 이중화(redundancy)를 구현하기 위해 별도의 차단밸브가 설치되는 경우가 많다.
단일 고장점이 허용되는 경우의 사례에 대해서는 다루지 않았다. 이는 가능한 고장의 빈도에 대한 상세한 수학적 분석이 요구되는데, 그 비용이 별도 장비의 구입비용보다 높을 수 있다.
다시 말해서, IEC 61511은 SIS와 BPCS 간의 현장장비 공유를 허용하지만, 안전하지 못한 방법에 의한 공유를 방지하기 위한 요건을 명시하고 있다.
이들 요건 중 하나는 공유요소들에 대한 상당히 복잡한 분석인데, 이는 흔히 잘못 이해되거나 올바르게 실행되지 않는 경우가 있다.
마지막으로, 모든 공유 요소들에 대한 문서화 및 입증된 FMEA가 수행되어야 한다.

 

사례 연구

 

가열기 저역 흐름

미국 북동부에 위치한 정유소의 공정 가열기에서는 그림 5에서 제시된 안전차단시스템을 보유하고 있었다.
안전 PLC 내의 독립적 논리장치에 의해 제어되는 연료가스 배관 내에는 2개의 차단밸브(XV-21, XV-22)가 있었다.
가열기에 대한 공정 액체의 유량이 과도하게 감소한 경우, 안전시스템은 연소기에 대한 연료가스 공급을 차단했다. 가열기는 문제없이 장시간 안정적으로 동작했다. 그러나 안전루프와 공정제어 모두 동일한 유량 트랜스미터(FT-101)에 의존했다.
또한, 유량 트랜스미터는 공정 액체 배관 위가 아니라 아래에 설치되어, 습기가 임펄스선에 응축되었다. 겨울에는 저온 기간이 장기간 지속되었다.
절연 백이 트랜스미터에서 떨어져나가 임펄스선에 응축된 습기가 동결되고, 트랜스미터의 신호에 잠금현상이 발생했음을 아무도 인식하지 못했다.

<그림 5>

- Feed Tank          공급탱크

 

이 시점에는 운영상의 변화가 있었으며, 플랜트 제어시스템에서는 가열기에 대한 공정 액체의 유량 감소가 필요했다. 유량 루프 제어기 FIC-101은 공정 액체 유량 제어밸브 FV-101을 닫기 시작했다.
유량은 감소했지만 현장에서 고정된 유량 트랜스미터는 이에 응답하지 않았다.
이에 따라 유량 제어 루프에 이상이 발생하여, 유량 제어밸브가 완전히 폐쇄되었다. 유량이 하한 이하로 감소되면서 안전 루프가 응답해야 했으나, 유량 입력은 유량 제어 루프와 동일한 잠금이 발생한 유량 트랜스미터에서 송신되었다.
안전시스템은 응답하지 않으며 가열기 내의 배관이 과열, 파손되어 나프타와 수소가 가열기 연소상자에 유입되었다.
가열기는 전부 손실되었고, 여타 장비는 손상되었으며 공정의 가동이 중단되었다. 총 손실은 $1000만 이상이었으나, 다행히도 사상자는 발생하지 않았다.
여기서 문제는 제어 루프와 정지 루프에 의해 공유되는 유량 트랜스미터가 단일 고장점을 구성하여, 안전하지 못한 상황을 초래하고 이에 대한 안전시스템의 응답을 방지한다.
이는 IEC 61511의 11.2.10에 대한 명백한 위반이었다. 올바른 설계는 이러한 단일 고장점을 예방하기 위해 제어기와 정지시스템 각각에 대한 별도의 트랜스미터를 요구했을 것이다.

 

물 제거 드럼

이 사건은 중동지역의 해상 생산 플랫폼에서 1990년대에 발생했다. 물 제거 드럼은 액체 탄화수소와 물을 분리하여, 이 물을 유수(oily water) 배수관을 통하여 저장 탱크로 보냈다.
그림 2에서와 같이, 액위 트랜스미터 LT 101은 제어기 LIC-101과 유량 제어밸브 LV-101을 이용하여 배수에 대한 물/탄화수소 경계면과 제어 물 흐름을 모니터링 했다.
안전시스템은 독립적 액위 트랜스미터 LT-102, 독자적인 안전 PLC와, 전력이 차단되면 가동 공기를 제어밸브에서 방출하여 이를 폐쇄하는 솔레노이드 밸브를 사용했다.
이 시스템은 공정 조건 변화 없이 일정기간 동안 작동해왔다. 이는 알려진 오염(fouling) 및 침전 서비스였지만 밸브는 부분행정 시험을 거친 적이 없으며, 플랜트 운전자들은 그 고장발생 사실을 인식하지 못하고 있었다.
그런 다음 공정 조건이 변하여 물 성분이 감소했다. 물 제거 드럼 내의 액위가 하락하기 시작했으며, 액위 제어 루프는 유량 감소에 대해 유량 제어밸브에 신호를 전달했다.
밸브가 고착되었으므로 유량이 감소되지 않았으며, 드럼 내의 액위가 계속 감소했다. 액위가 하한에 도달하면서 안전시스템이 대응하여 솔레노이드 밸브의 전력을 차단했으나, 고착된 제어밸브는 응답하지 않았다.
드럼의 액위는 액체 탄화수소가 배수구에 유입될 때까지 하락했다. 결국, 탄화수소는 점화원에 접촉하여 배수구에서 폭발이 발생하여 생산이 중단되었으며 수리에 많은 비용이 필요하게 되었다. 총 손실은 $100만을 초과했으며, 다행히도 사상자는 발생하지 않았다.
앞의 예에서와 같이 단일 고장점이 존재했는데, 이 경우에는 제어밸브였으며 이는 11.2.10을 위반한 것이었다. 이 경우, 올바른 설계는 SIS 전용의 차단밸브를 BPCS와 별도로 설치하는 것이다.
공정 제어와 안전 기능에 대해 각각 별도의 밸브를 설치하더라도, 이와 같이 알려진 오염 공정에서는 부분행정 시험이 고려되어야 할 것이다.


 

디지털여기에 news@yeogie.com <저작권자 @ 여기에. 무단전재 - 재배포금지>