본문 바로가기

산업안전

안전관련 시스템의 공통원인고장의 영향 정량화에 관한 기술지침(X-76-2018)

728x90
반응형

o 관련규격 및 자료
   - IEC 61508-6 Edition 2.0 2010-04 Functional safety of electrical/electronic/programmable electronic safety related systems–

     Part 6 Annex D: Guidelines on the application of IEC 61508-2 and IEC 61508-3


안전관련 시스템의 공통원인고장의 영향 정량화에 관한 기술지침(X-76-2018)

 

 

1. 목 적

2. 적용범위

3. 용어의 정의

4. 공통원인고장의 일반사항

5. β-factor를 이용한 공통원인고장의 확률 계산



1. 목 적
이 지침은 산업안전보건기준에 관한 규칙 제327조(전자파에 의한 기계설비의 오작동 방지) 등에 따라, 사업장에서 설비, 공정제어 또는 안전장치를 위해 전기/전자/프로그램 가능형 전자장치 기반으로 구성된 안전관련 시스템의 공통원인고장의 영향 정량화에 필요한 사항을 정함을 목적으로 한다.


2. 적용범위
(1) 이 지침은 전기/전자/프로그램 가능형 전자장치 기반으로 구성된 안전관련 시스템의 하부시스템내 각 채널에서 발생할 수 있는 공통원인고장의 영향에 한하여 적용한다.
(2) 이 지침은 다음의 가이드를 보완 또는 인용하여 적용할 수 있다.
(가) X-76(안전관련 시스템의 하드웨어 고장확률 계산에 관한 기술지침)
(나) E-149(제어시스템에서의 안전무결성등급(SIL) 결정에 관한 지침)
(다) M-191(안전제어시스템 설계를 위한 평균위험고장시간 계산지침)
(라) M-192(기계안전을 위한 제어시스템의 안전관련부품류 설계 기술지침)


3. 용어의 정의
(1) 이 지침에서 사용되는 용어의 정의는 다음과 같다.

(가) “전기/전자/프로그램 가능형 전자장치(Electric/Electronic/Programmable electronic devices)”라 함은 전기/전자/프로그램이 가능한 전자기술을 기반으로 한 장치를 말한다.
(나) “프로그램 가능형 전자장치(Programmable electronic devices, PED)”라 함은 하드웨어, 소프트웨어 및 입출력 장치로 구성된 컴퓨터 기술을 기반으로 한 전자장치를 말한다.
(다) “안전관련 시스템(Safety-related system)”이라 함은 운전설비의 안전상태를 유지하도록 안전기능을 수행하는 전기/전자/프로그램 가능형 시스템, 기타 다른 기술로 구성된 시스템 또는 외부의 리스크 감소 설비 등을 말한다. 이 지침에서는 안전계장기능 또는 안전계장설비를 말한다.
(라) “안전기능(Safety function)”이란 안전계장기능, 또는 다른 기술적 안전(관련)시스템 또는 외부 리스크 저감설비에 의한 수행되는 기능으로 안전한 상태를 유지하거나 성취하기 위한 기능을 말한다.
(마) “안전계장기능(Safety instrumented function, SIF)”이라 함은 높은 안전무결성수준(safety integrity level, SIL)을 지닌 안전기능으로, 여러 가지의 하부시스템의 조합으로 구성되어 있는 것을 말한다.
(바) “하부시스템(Subsystem)”이라 함은 안전계장기능의 작동을 위한 시스템으로써 감지부(sensor), 논리부(logic solver), 조작부(final element) 등으로 개별 채널과 이를 연결을 위한 전자인터페이스를 포함한 조합을 말한다.
(사) “채널(Channel)”이라 함은 안전계장기능의 하부시스템을 구성하는 감지부(들)(sensors), 논리기(logic solver) 및 조작부(들)(final elements) 중의 하나를 말한다.
(아) “랜덤 하드웨어 고장(Random hardware failures)”이라 함은 안전계장기능의 하부시스
템내 채널 등에서 임의적인 시간에 독립적으로 개별 채널에서 고장이 발생하여 안전관련 시스템 기능의 이상을 초래하게 하는 고장을 말한다.

(자) “시스템적 고장(Systemic failures)”이라 함은 하부시스템 또는 채널이나 관련 지원요소들에서 하나의 원인에 의한 고장이 동시에 공통으로 발생하여 안전관련 시스템 기능의 이상을 초래하는 고장을 말한다.
(차) “공통원인고장(Common cause failure, CCF)”이라 함은 안전계장설비에 전원공급중단과 같이 한가지의 고장원인이 설비 전체의 고장으로 이어지는 원인고장이나, 하부시스템의 채널 모두에 공통의 영향을 미치는 원인고장을 말한다. 이 지침에서는 채널에 공통의 영향을 미치는 원인고장에 한한다.
(2) 기타 이 지침에서 사용하는 용어의 정의는 특별한 규정이 있는 경우를 제외하고는 산업안전보건법, 같은 법 시행령, 같은 법 시행규칙, 산업안전보건기준에 관한 규칙에서 정하는 바에 의한다.


4. 공통원인고장의 일반사항


4.1 전형적인 공통원인고장의 주요 원인
(1) 안전관련 시스템의 하부시스템 요소들의 불충분한 설계 및 시방(예, 신뢰도등이 과소평가된 부품들)
(2) 하부시스템 요소(부품)의 생산 제조과정에서의 불량
(3) 안전관련 시스템 작동에 필요한 지원설비의 부족이나 고장요인(예, 공통 전원, 계장공기 등)
(4) 안전관련시스템이 설치되어 있는 장소의 열약한 운전조건(예, 공정온도, 습도, 진동 등)
(5) 기타 안전관련 시스템이 설치되어 있는 장소의 외부 요인(예, 화재, 지진, 날씨 등)


4.2 잠재적 공통원인고장의 감소 방법
(1) 랜덤 하드웨어 고장과 시스템적 고장의 수를 전체적으로 감소시킨다. <그림 1>과
같이 2개의 타원형 부분을 감소시키면, 궁극적으로 중복되는 부분을 감소를 가져올 수 있다.
(2) 채널의 독립성을 최대화하고, 각 채널의 연결을 분리하거나 다양성을 준다. <그림 1> 의 2개 타원형을 중복부분을 최소화 한다.
(3) 두 번째 채널에서 공통의 원인에 의한 고장에 발생하기 전에 첫 번째 채널고장을 발견할 수 있도록 자가진단 시험기능을 갖춘다.
(4) 제조자 매뉴얼에 따른 주기적인 보증시험을 실시하여 채널 1의 고장을 찾아내어 채널 2까지 영향을 주기전에 보수한다.

 


<그림 1> 개별 채널에서의 고장과 공통원인고장과의 관계


4.3 공통원인고장의 확률값 추정방법
(1) 공통원인고장의 확률을 추정하는 대부분의 방법론은 랜덤 하드웨어 고장확률을 통
하여 예측한다.
(2) 하부시스템의 랜덤 하드웨어 고장이 높을수록 다음과 같은 사항을 알 수 있다.
(가) 하부시스템에 요구되는 유지관리가 더욱 요구되어 유지보수하는 동안 시스템적 고장확률은 높아진다. 따라서 공통원인고장을 가져올 다음과 같은 휴먼에러의 확률을 높아진다.

① 랜덤 하드웨어 고장이 발생할 때마다 수리, 시험 및 교정 등이 요구됨
② 안전무결성수준이 높을수록 더 많은 보증시험 등이 요구되어 더 많은 간섭 초래
(나) 더 복잡한 채널로 구성된 하부시스템이다. 채널 수가 많으면 많을수록, 또는 복잡성에 따라 랜덤 하드웨어 고장확률은 높아진다.
(3) 하부시스템의 공통원인고장의 확률값은 β-factor 모델을 활용한 접근법이 가장 많이 활동되고 있다.


5. β-factor를 이용한 공통원인고장의 확률 계산


5.1 일반사항
(1) β-factor 모델은 랜덤 하드웨어 고장이 공통원인고장과 연계된다고 가정한다.
(2) 안전관련 시스템 전체와 관련된 공통원인고장의 확률은 시스템 복잡성에 영향을 받는다. 특히 하드웨어뿐만 아니라 소프트웨어와 연관되어 있다.
(3) 소프트웨어 고장을 모델화하는 것은 매우 어렵기 때문에 본 지침에서는 하드웨어 고장에 국한한다.
(4) 감지부, 논리기 및 조작부 등 하부시스템내 개별 채널로 분리하여 β-factor 모델화 한다. 이는 논리기 설치의 환경조건과 감지부와 조작부의 설치 위치의 환경조건이 다르고, 또한 자가진단 시험주기 등도 다르기 때문이다.
(5) 프로그램 가능형 전자장치(논리기)는 정교한 자가진단 시험기능을 수행하여야 하므로 다음과 같은 조건을 충족한다.
(가) 채널 내에서 높은 자가진단 범위를 가질 수 있다.
(나) 추가적으로 중복성 채널들로 감시할 수 있다.

(다) 높은 반복율을 가질 수 있다.
(라) 고장이 증가함에 따라, 감지부 및 조작부들도 감시할 수 있다.
(6) 공통원인고장이 모든 채널들에 동시에 고장을 일으키는 비율은 높지 않다. 그러므로 자가진단 시험의 반복횟수가 충분히 많다면, 다른 채널에 영향을 받기 전에 대부분의 공통원인고장은 밝혀질 것이다.
(7) 각 채널이 영향을 받는 독립적으로 2개의 채널에 비해 3개 채널이 공통원인고장이 적게 발생할 수 있으나, 본 지침에서는 2개 채널에 한하여 X와 Y로 각각 구분한다.


5.2 가정 및 계산방법
(1) β-factor 모델을 이용한 위험한 공통원인고장확률은 λDβ이다. 여기서 λD는 각 채널의 위험한 랜덤 하드웨어 고장확률이며, β는 자가진단 시험을 하지 않을 경우 β-factor이다. 이는 모든 채널에 영향을 미치는 단일 채널 고장 비율이다.
(2) 공통원인고장은 모든 채널에 영향을 미치는 시간적 간격은 없는 것으로 가정한다.
(3) 모든 채널에 자가진단 시험을 실시한다면, 위험한 공통원인고장확률로 인한 총 고장률은 λDuβ + λDdβD 이다.
(가) λDu는 단일 채널의 검출되지 않는 고장확률로서 자가진단 시험에서도 검출되지 않는 고장확률이다. 이는 반복적인 자가진단 시험을 실시해도 β-factor의 감소는 없다.
(나) λDd는 단일 채널의 검출되는 고장확률로서 자가진단 시험에서 검출되는 고장확률이
다. 이는 반복적인 자가진단 시험을 실시하면 βD는 감소된다.
(다) 자가진단 시험이 반복율이 증가하면 할수록 βD값는 β 이하로 점점 낮아진다.


5.3 표를 활용한 추정 방법
(1) β-factor 계산은 감지부, 논리기, 조작부에 대하여 분리하여 계산한다.
(2) 안전관련 시스템에서 공통원인고장 발생 방지를 하기위한 공학적, 관리적 및 운전적 조치가 효과적으로 수행된다면 β-factor 값은 감소할 것이다.
(3) <표 1>은 공학적 조치 등을 각 항목으로 구분하였으며, 이들의 방법 및 조치에 따라 공통원인고장의 감소에 미치는 영향을 나타낸다. <표 1>의 활용 방법은 다음과 같다.
(가) 감지부와 조작부는 설치 위치 등 환경조건이 동일함으로, 동일한 점수항목으로 하고, 논리기의 점수항목은 분리하였다.
(나) X값과 Y 값의 비율은 자가진단 시험에 의한 공통원인고장의 검출 등 개선에 대한 각 항목이 기여하는 정도를 나타낸다.

(다) 각 항목의 점수는 최고 점수를 나타내며, 각 하부시스템의 채널 평가 시 조건에 따라 이 점수 이하를 줄 수 있다

(라) XLS와 YLS는 논리기에 관한 각 열을 나타내고, XSF 와 YSF는 감지부 및 조작부에 관한 각 열을 나타낸다. 이 합계는 X와 Y로 언급된다.
(마) X열은 직접적인 영향을 고려한 것이며, Y열은 간접적인 영향을 고려한 것이다. 예를들면 온라인에 의한 공통원인고장을 검출하는 시험 등은 X열이며, 현장에서 이루어지는 점검 등은 Y열이다.
(4) <표 2>와 <표 3>은 자가진단 시험의 빈도와 범위에 따른 Z factor를 결정하는데 사용한다. 자가진단 시험 주기가 길어지면(1 주 이상) Z값이 0에 가깝다.
(가) Z 값이 0이 아닌 값으로 사용되려면, 비동시적 공통원인고장이 모든 채널에 영향을 미치기 전에 안전관련 시스템이 안전한 상태로 놓여 있도록 보장되어야 한다.


<표 1> 논리기, 감지부 및 조작부의 β-factor 값 결정을 위한 점수표

 

(나) Z 값이 0이 아닌 값은 오직 다음의 경우에만 사용될 수 있다.
① 결함이 발견되자마자 안전관련 시스템이 자동으로 운전이 중단되거나.
② 자가진단 시험을 통해 결함의 위치를 확인하고, 결함을 한부분에 제한하고 안전관련 시스템은 안전한 상태로 유지될 수 있어야 한다.
③ 2oo3 voting의 경우 <표 2>와 <표 3>의 시간 이내에 간단한 고장은 정지(또는 보수)하고, 단일 고장은 확인한다. 이렇게 하지 않으면 두 번째 채널에 고장이 발생하여 정상 채널에도 영향을 미칠 수 있다.


<표 2> 논리기의 Z 값

진단 범위 자가진단 시험 주기
1 분 이하 1분과 5분사이 5분 이상
≥ 99 % 2.0 1.0 0
≥ 90 % 1.5 0.5 0
≥ 60 % 1.0 0 0

 

<표 3> 감지부와 조작부의 Z 값

진단 범위 자가진단 시험 주기
2시간 이하 2시간과 2일 사이 2일과 1주 사이 1주 이상
≥ 99 % 2.0 1.5 1.0 0
≥ 90 % 1.5 1.0 0.5 0
≥ 60 % 1.0 0.5 0 0

 

<표 4> β값 및 βD값의 결정(계산)

점수(S 또는 SD) β 값 및 β D값
논리기 감지부나 조작부
120점 이상 0.5 % 1 %
70점 이상 ~ 120점 미만 1 % 2 %
45점 이상 ~ 70점 미만 2 % 5 %
45점 미만 5 % 10 %

* 논리기에 대한 0.5 %이하, 감지부에 대한 1 % 이하의 βD값은 증명하기 어렵다.


5.4 β-factor 표의 사용방법의 예
(1) 프로그램 가능형 전자장치(논리기)로 단순한 예를 <표 5> 와 같이 β-factor 값을 구한다.
(2) 논리기는 다양성과 중복성을 고려되지 않는 부분에 X와 Y에 대한 대표적인 값들이 이용되었다. 이들의 값은 최고 값의 반 수준이다.
(3) 다양성 유무와 양호한 진단시험, 미흡한 진단시험 등으로 구분하였다.
(4) 다양성/중복성 항목에 다음과 값을 고려하였다.
(가) 하나의 전자장치와 다른 하나는 고전적인 릴레이(relay) 시스템 기술을 사용한다.
(나) 하드웨어 자가진단 시험은 상이한 기술을 사용한다.
(다) 설계하는 과정에서 여러 설계자간에 정보교환이 없었다.
(라) 시운전 중에 상이한 시험 방법과 시험 종사자가 수행하였다.
(마) 유지보수는 여러 시간에 상이한 점검자가 수행하였다.


<표 5> 프로그램 가능형 전자장치(논리기)에 대한 β값 및 βD값의 결정의 예

 


<별표 1> 안전계장기능의 요구시 고장확률 계산에 필요한 용어의 정의


[첨부자료] 안전관련 시스템의 공통원인고장의 영향 정량화에 관한 기술지침(X-76-2018)

X-76-2018 안전관련 시스템의 공통원인고장의 영향 정량화에 관한 기술지침.pdf
0.17MB



728x90
반응형