2005년 12월 밤, 영국의 Buncefield 오일 탱크 농장의 하트 퍼 드셔 Oil Storage Limited (HOSL) 부분에서 탱크 (912)는 휘발유로 채워져 있었다. 탱크는 두 가지 형태의 Level Control을 하는데, Filling Operation(주입 작업)을 모니터링 하는 Guage와 독립적인 Independent High-level Wwitch(IHLS)로 탱크 level 수위가 초과 된 경우 자동으로 오일 주입을 차단하는 역할이다.
문제는, 첫 번째 게이지의 장애가 발생하고 IHLS가 작동할 수 없는 상태로 탱크가 위험 수위로 채워지는 것을 컨트롤 룸 직원에게 경고 할 수 없었다는 것이다. 다량의 휘발유가 탱크의 상부에서 넘쳐흘렀고, 거대한 폭발의 점화 원인인 증기 구름이 형성되고 이는 5일 동안 지속됐다.
탱크 912에는 2004년 7월 1일에 New Independent High-Level Switch를 장착했지만, 스위치 설계에서 설치 및 유지보수 방법까지 안정성의 문제가 있었다. 스위치 설치자는 작업 및 오퍼레이션 특성과 Padlock의 중요한 역할에 대해 충분히 이해하지 못했기 때문에 테스트 이후 작동 불가한 상태로 방치됐다.
ATG display의 노후로 Tank의 연료주입이 지속되었음에도 불구하고 연료 상승 Level의 기록이 중지 되었고, 결과적으로 3개의 ATG alarm(User level, high level, high-high level)은 Tank 수위가 경보 수준 이하로 유지된 채 작동되지 않았다.
잔잔한 증기 구름에서 점차 HOSL site 지역을 포함, 360미터의 직경으로 널리 확산됐다. 증기 구름은 인근 주민들과 차량 주유를 하기 위해 대기하던 운전자에 의해 발견되었고, 그들이 현장에서 신고를 했다. 화재 경보 버튼이 오후 6시 1분에 작동되었고 알람 소리와 Firewater pump가 시작됐다. 증기 구름 폭발은 Firewater pump 시작과 동시에 점화가 발생했다. 폭발이 발생한 시간으로, 휘발유 250,000리터가 저장탱크에서 분출됐다.
영국에서 5 번째로 큰 연료저장 터미널로 총 저장능력이 7700만 리터이며, 영국 자동차연료의 5%를 공급한다. 항공 유 파이프라인은 Heathrow 및 Gatwick 공항과 연결되어 있다.
이 사고로 인한 경제적 손실 비용은 1.4 조 원 달러로 항공, 물 공급, 보상기관, 정부개입, 보상, 등의 파급효과를 가져왔다.
사고 후 개선 사항 및 설계와 운영에 관한 조사위원회(영국 HSE : Health & Safety Executive)의 지시 사항으로 시스템의 안전 무결성 수준 확보 와 높은 안전 무결성을 지닌 시스템 기반의 오작동, 결함 등 사전 탐지, 오작동, 결함 등의 단계적 확대 시나리오에 대응하는 설계 및 개발 높은 신뢰도를 가진 조직의 운영 등이 요구되었다.
안전 관련 시스템의 기능 안전을 다루고 있는 규격 IEC 61508의 적용 배경이 되기도 하는데 기능 안전의 일반적인 요구사항으로 안전 계기 시스템의 무결성을 나타내는 통계적 기준의 SIL(Safety Integrity Level) 을 다루고 있다.
Pilz UK 에서 IEC 61508을 기반으로 하는 기능 안전의 표준 프로세스와 안전계기 시스템의 요구되는 안전 무결성(SIL) 수준을 달성하기 위한 솔루션을 제공하였고, 주요 안전 기능으로 다음과 같은 기능이 포함되어 있다.
탱크 하이 하이 (Tank Hi-Hing Level) 디텍션
- Liquiphant (Level Switch)
음차 검사형 타입의 프로브로 하이하이 레벨을 검출 하며, 이 하이 레벨은 프로브의 길이로 설정된다.엔드레스 하우저 시스템은 하이 하이 레벨 신호 및 장치 이상 시그널을 제공한다. SIL이 달성 될 수 있는 로직 솔버 및 ROSoV 통합 안전 루프의 일부로서 안전 무결성 등급 SIL 를 달성할 수 있다.
- 레이더
레이더 센서는 제품 또는 부동 루프에 의해 반사되는 전파의 펄스를 전송한다. 엔드레스 하우저 시스템은 4-20mA 레벨 신호를 제공한다. SIL이 달성 될 수 있는 로직 솔버 및 ROSoV 통합 안전 루프의 일부로서 안전 무결성 등급 SIL 2를 달성할 수 있다.
탱크 입, 출구 원격 밸브 셧 오프 장치 [ROSoV (Remotely Operated Shutoff Valve) Isolation
ROSoV 는 다음과 같은 조건을 모니터링 한다.밸브의 오픈 과 클로즈 피드백 시간의 적정성 확인을 위한 밸브의 개연성 체크
-밸브 결함 : 개폐 피드백을 확인하여 지정된 시간 범위 초과 상태 확인
-밸브 제어 : 로드 랙의 셧 다운 시 느린 압력 상승을 허용하기 위한 밸브의 오픈, 클로즈
-시간 컨트롤
-테스트 펄스를 사용하여 배선 오류 및 교차 단락 체크.
오디오 알람
오디오 알람은 탱크 저장 영역 내에서뿐만 아니라 원격 레일 사이딩과 부두 등 두 사이트 주위에 있다. 하이 하이 검출 상태에만 활성화되는 고유의 알람 소리로 SIL이 달성 될 수 있는 로직 솔버 및 높은 검출을 포함하는 안전 루프의 일부로서 안전 무결성 등급 SIL 2를 달성할 수 있다.
로딩 랙 오버 플로우 차단 장치
로드 랙은 증기 탱크를 사용하여 항상 모니터 되며 증기 탱크는 Liquiphant 프로브가 포함되어 있다. 유조선은 수량이 초과되는 경우, 증기 및 연료는 통 기관을 통해 흐름과 증기 탱크를 채운다.일반적으로 증기 탱크를 통해 흐르는 증기가 응축 및 VRU를 사용하여 회수한다.
유조선을 로드 하는 동안 그 스컬리 연결을 통해 모니터링 된다.
스컬리는 접지 연속성 및 과 충전 표시를 제공된다.
시스템 모니터링
로딩 랙의 상태와 알람 로그는 Pilz PMI 를 통해 실시간으로 감시되고 기록 된다.
프로세스 컨트롤 (안전 시스템)
하나의 고장이 다른 영향을 주지 않도록 듀얼 프로세서 구조의 독립적인 이중화 시스템이 중앙에서 컨트롤하며 로드 랙 및 각 밸브의 입구 및 출구 개소에는 분리된 분산 I/O 모듈에 의해 특정 개소의 시스템이 실패하더라도 로드 랙 밸브 등의 유량 유출을 차단할 수 있다.
하이 하이 레벨 또는 장치 오류를 오버라이드 (override) 할 수 있는 기능을 제공하며 오버라이드의 조작은 듀얼 채널 키 스위치와 키에 액세스하기 위한 작업의 안전 시스템을 사용하여 터미널 관리자 외에 허가되지 않은 임의 액세스를 차단한다. 포괄적인 기능 안전 규격인 IEC 61508에 기반하여 각 산업에 맞은 파생 규격이 존재하는데 IEC 61511은 프로세스 섹터에 해당되며 석유, 화학 및 가스 등이 해당 될 수 있다.
특히 고온이나 고압, 가연성, 유독성, 폭발성 물질을 다루는 프로세스 산업에서 안전 시스템의 고장이나 실패는 대형 사고로 이어질 수 있는 만큼 규격에서 요구하는 적합성의 만족은 더더욱 중요하다.
IEC 61511-1 조항 11.2.4 에서 BPCS(기본 공정 제어 시스템)는 SIS(안전계기 시스템) 의 기능 무결성이 손상되지 않는 범위 내에서 분리되고 독립적으로 설계되어야 한다고 명시되어있으며, 공통 원인에 의한 고장과 종속 고장 등, 실패를 방지하기 위한 요구사항에 대해 언급하고 있으며, 프로텍션 레이어 사이의 독립성과 BPCS (기본 공정 제어 시스템) 사이의 다양성을 고려해야 한다고 언급하고 있다.
하지만 일반적인 자동화 공급 업체들은 이러한 요구사항 들에 대한 적합성을 충분히 만족하지 못하고 있다. Pilz 는 이러한 요구사항을 충족하기 위해 독립적으로 프로세스를 진행하고, SIL(안전 무결성) 등급을 만족하는 솔루션을 제공하고 있으며, 안전 무결성을 정의하는 중요한 데이터는 공인된 신뢰성 데이터를 기반으로 계산된 값들과 함께 SIL achievement Report 에 포함되어야 한다.
시스템적 안전 무결성은 시스템 개발 프로세스 단계, 안전계기 시스템의 설계와 구축, 운영과 유지보수 등 모든 측면의 라이프 사이클에서 발생할 수 있는 오류와 관련이 있으며, 하드웨어 개발 및 소프트웨어 개발 단계에서의 검증 절차가 필요하다.
아울러 Pilz는 IEC 61508 기반의 엔지니어링 프로세스에 있어서 요구되는 안전 사양에 따른 하드웨어 설계, 모듈 설계, 소프트웨어 개발 등의 단계별 검증 절차인 V-model 등의 표준 프로세스구축을 통해 글로벌 하게 동일한 수준의 서비스를 제공하고 있으며, 신뢰성을 기반으로 하는 안전 필수 산업 군에서의 최적의 솔루션을 제공하고 있다.
IEC 61511-1 조항 11.2.4 에서 BPCS(기본 공정 제어 시스템)는 SIS(안전계기 시스템) 의 기능 무결성이 손상되지 않는 범위 내에서 분리되고 독립적으로 설계되어야 한다고 명시되어있으며, 공통 원인에 의한 고장과 종속 고장 등, 실패를 방지하기 위한 요구사항에 대해 언급하고 있으며, 프로텍션 레이어 사이의 독립성과 BPCS (기본 공정 제어 시스템) 사이의 다양성을 고려해야 한다고 언급하고 있다.