기능 안전에 관한 다섯 가지 일반적인 오해

Mike Boudreaux

에머슨에서는, 북미, 유럽, 인도, 아시아, 호주를 포함한 전 세계 공정 산업 기업들을 대상으로 하여 안전 수명 주기(safety lifecycle) 세미나를 무상으로 제공해 왔다.
본 세미나는 원치 않는 공정 안전사고에 대비한, 효과적인 보호 수단으로서의 안전 수명 주기 관리에 대해 기업의 관리자 및 경영자의 이해도를 높이는 것을 목적으로 한다. 기능 안전 분야의 전문가들은 이 같은 개념에 익숙한 반면, 비전문가들 사이에서는 몇 가지 오해가 만연해 있다.
이하는 안전 수명 주기 세미나에 참여하는 동안 종종 듣게 되는 가장 일반적인 오해들이다.

오해 1 : SIS에 대한 작업 수행을 위해, CFSE는 필수이다

역량 관리는 안전 수명 주기 관리에 매우 중요한 부분을 차지한다. IEC 61511 국제 안전 표준은 개별 인력이 수행 직무에 대한 역량을 갖추어야 한다고 설명한다. 안전 계장 시스템(SIS)의 분석, 구현, 운영과 관련된 다수의 직무는 높은 수준의 전문성을 요구하지 않는 경우가 빈번하다. 안전 관리에 대한 현실적인 접근을 위해서는 각 직무별로 수행하는 활동에 따른 각기 다른 역량 요구 사항이 정의될 필요가 있다.
예를 들어 장치, 회로 기판(backplane), 배선, 전력, 캐비닛의 설치 및 트러블슈팅(troubleshooting)은 CFSE(인증된 기능 안전성 전문가)가 필요하지 않으며, CFSE는 해당 작업에 대해 적합한 경험, 지식, 교육 등을 갖추지 않았을 수도 있다. 이러한 직무에 보다 중요한 것은 제품에 대한 교육 훈련 및 업무 기술이다. 반면 CFSE는, 성공적인 SIS 엔지니어링을 위해 기능 안전성 개념에 대한 깊은 이해도가 필수적인 SIF(안전 계장 기능) 개념 설계 및 SIL(안전 무결성 수준) 검증과 같은 작업에서 우수한 역량을 발휘할 수 있다.

오해 2 : SIS는 SIL 3 인증이 가능하다

어떤 이들은 전체 SIS가 SIL 3 인증이 가능하고 공정을 위해 이는 필수적이라고 생각한다. SIL은 특정 공정 위험 요인에 대비한 개별 안전 기능별로 요구되는 보호 수준의 기준이라고 할 수 있다. SIS를 SIL 3 안전 기능 제품만으로 무장하는 것은, 이론적이라면 가능할 수도 있겠지만 현실의 공정 산업에서는 존재하지 않는다. 일반적인 공정의 경우 SIF의 10%만이 SIL 3를 확보하고 있으며, 실제로 대다수의 기업에서는 비-SIS 보호 장치를 추가하거나 공정 설계의 변경을 통해, SIL 3 요구 사항을 회피하려고 한다.
DeltaV SIS와 같은 안전 시스템 제품은, IEC 61508에 의거해 SIL 3 적용 부문에 사용할 수 있도록 인증되어 있다.
이에 따라, 이들 제품은 SIL 3 요구 사항으로 SIF를 구현하는데 사용할 수 있다. 하지만 해당 SIF에 요구되는 안전 무결성 수준은 센서, 논리 해석기, SIF에 사용되는 최종 구성 요소의 적합한 결합을 통해 제공되어야만 한다. 단순히 ‘SIL 3 인증’ 센서, 논리 해석기, 최종 구성 요소의 구매를 통해, 공정이 적정한 수준으로 보호되고 있다고 생각하는 것은 상당히 부족한 조치이다.

오해 3 : 안전성을 위해 중복성(Redundancy)은 필수적이다

중복성은 안전 무결성의 효과적인 수단이 될 수 있으나, 유일무이한 수단은 아니라고 할 수 있다. 다수의 경우 중복성은 안전성을 위한 필수 조건이 아닌, 가용성을 목적으로 활용된다. 예를 들어 단일 Rosemount 3051S 트랜스미터는 SIL 1 및 2의 안전 기능에 적합하다는 인증을 가지고 있다. 본 트랜스미터가 해당 안전 기능의 요구 사항을 90% 이상 충족하기 때문에, 대부분의 경우 중복성이 안전성을 고수하기 위해 필요하지 않게 된다. 중복성은 여전히 다수에 적용이 가능하지만 이는 안전성이 아니라 가용성을 증가시키게 되어, 한 장치의 고장으로 공정의 가동 정지가 유발되지 않도록 하기 위한 목적이다.

오해 4 : HART는 SIS에 사용할 수 없다

HART 디지털 공정 변수(PV)를 고정 배선 아날로그 신호나 이산 입력 신호 대신에 사용할 수 없다는 것은 올바른 정보이다. 하지만 SIF 고장 진단에는 HART 통신의 사용이 가능하다. 일예로 DeltaV SIS는 HART 디지털 PV를 아날로그 4~20mA 신호와 비교하여, 두 값이 일치하지 않는 경우 접지 누전 고장이라는 진단을 내리게 된다. HART는 또한, 현장 장치의 자동 진단 및 장치 고장의 통신 전달을 위해서도 사용할 수 있다. 대다수의 경우 논리 해석기는 공정 실행이 유지되도록 불량한 PV를 무시하고, 중복 장치들을 모니터링 하는 동시에 문제 해결이나 보수와 같은 후속 대처가 가능하도록 장치 상태 정보를 유지 보수 인력에게 전달할 수 있다.

오해 5 : FGS(화재 및 가스 시스템)과 BMS(연소기 관리 시스템)은 SIS에 해당하지 않는다.

ESD, BMS, FGS는 상이한 유형의 SIS 적용 분야라고 할 수 있다.
첫째, ESD[긴급 가동 정지 시스템]은, 위험한 사건의 발생 방지를 위해 공정을 긴급 정지하는 시스템이다. 둘째, BMS는 탄화수소의 위험한 축적을 방지하는 것을 통해 보일러, 노(furnace), 가열로의 폭발을 예방한다. 셋째, FGS는 화염 혹은 가스 방출을 감지하여 위험한 사건의 여파를 감소시킬 수 있는 대처 조치를 실행하는 시스템이다. 이와 같은 세 가지 시스템은 전체를 모두 구현할 수 있으며, 별도의 논리 해석기에 실행되고 통합 시스템을 통해 정보를 공유하는 상이한 시스템으로 단일 공정 안전 시스템 내에서 구현하는 것 또한 가능하다.

자료제공: 한국 에머슨 프로세스 매니지먼트

'HART는 또한, 현장 장치의 자동 진단 및 장치 고장의 통신 전달을 위해서도 사용할 수 있다. 대다수의 경우 논리 해석기는 공정 실행이 유지되도록 불량한 PV를 무시하고, 중복 장치들을 모니터링 하는 동시에 문제 해결이나 보수와 같은 후속 대처가 가능하도록 장치 상태 정보를 유지 보수 인력에게 전달할 수 있다.'