LOPA(보호 계층 분석)

LOPA(Layers of Protection Analysis)는 단순화된 형태의 위험 평가기법으로서, 위험 시나리오(hazard scenarios)에 대한 보호 계층의 적절성을 식별하고 결정하는 데 도움이 된다. 금번 LOPA에 대한 개념을 정립하고자 한다.

 

 

 

LOPA(보호 계층 분석)

 

LOPA 소개

LOPA(Layers of Protection Analysis)는 단순화된 형태의 위험 평가기법으로서, 위험 시나리오에 대한 보호 계층의 적절성을 식별하고 결정하는 데 도움이 된다.

LOPA의 목표는 충분한 보호가 있는지, 즉 위험을 허용할 수 있는지를 결정하는 것이다. 보호 계층(protection layer)이라는 용어는 프로세스 위험을 제어하기 위해 다른 계층과 함께 작동하는 장비 및/또는 관리 및 절차 제어 그룹(예: barrier layer) 또는 개별 보호 조치(예: 방류벽(dike))를 의미한다.

 

<그림 1> Protection Layers for a Process

 

LOPA는 규칙과 잘 정의된 기준을 사용하여 분석함으로써 의사 결정 과정에서 주관성을 줄인다. 따라서 프로세스 위험 분석(PHA)에서 제공하는 것보다 더 방어적인 결정을 내릴 수 있다. LOPA는 한정된 자원을 가장 중요한 안전장치(safeguards)에 집중하고 직원 교육, 일상 운전 및 유지보수 활동 중에 강조해야 할 안전장치를 식별하는 데 도움이 된다. 그러나 LOPA는 위험을 허용 가능한 수준(tolerable levels)으로 줄이기 위해 어떤 특정 안전 조치를 추가하거나 어떤 설계를 선택해야 하는지 제안하지는 않지만, 대안(alternatives) 중 하나를 결정하는 데는 도움이 된다.

LOPA가 없으면 안전장치를 더 많이 추가할수록 프로세스가 더 안전하다는 믿음으로 계속 추가하는 경향이 있을 수 있다. 그러나 이는 잘못된 가정일 수 있다. 결국 불필요한 안전장치가 추가될 수 있어, 허용 가능한 위험을 달성하는 데 중요한 안전장치에 대한 집중력을 떨어뜨리고 복잡성을 가중시켜 새로운, 어쩌면 확인되지 않은 위험 시나리오(unidentified, hazard scenarios)를 초래할 수 있다.

 

 

LOPA는 개별 위험 시나리오의 위험을 평가하는 데 사용된다. 각 위험 시나리오는 위험의 실현으로 인해 바람직하지 않은 결과(undesirable consequence)를 초래하는 일련의 계획되지 않은 특정 사건(specific, unplanned events) 또는 일련의 사건(sequence of events)으로 구성된다. 다른 형태의 위험 분석과 마찬가지로, LOPA에서 위험에 기반한 의사 결정은 위험 추정치(risk estimates)와 공정 안전 목표 수준이라고도 하는 위험 허용 기준(risk tolerance criteria)을 비교하여 위험 격차(gap)가 있는지, 위험 허용 기준을 충족하기 위해 기존 위험 수준을 낮춰야 하는지 판단하는 방식으로 이루어진다.

LOPA는 위험 감소를 위한 PHA 권고 사항을 이행해야 할 필요성을 해결하는 데 사용할 수 있다. IEC 61511 / ISA 84와 같은 안전 계장 시스템(Safety Instrumented Systems, SISs)에 대한 산업 표준 준수를 지원하기 위해 안전 계장 기능(Safety Instrumented Functions, SIFs)에 필요한 안전 무결성 수준(Safety Integrity Levels, SILs)을 결정하는 데도 점점 더 많이 사용되고 있다.

LOPA는 프로세스 변경이 보다 쉽게 이루어질 수 있는 초기 설계부터 프로세스 수명 주기의 모든 단계에서 사용할 수 있다. LOPA는 시나리오 위험을 정량화하기 위한 단계이지만, 단순화된 가정을 사용하기 때문에 정량적 위험 분석(QRA)에 비해 훨씬 적은 노력으로 가능하다. 단순화 가정은 보수적이기 때문에 QRA가 LOPA보다 시나리오에 대한 위험이  더 낮게 나타난다.

 

 

LOPA 접근 방식(Approaches)

LOPA 접근법은 심각도(severity)와 가능성(likelihood)을 평가하는 방법에 따라 다르다. 

가장 간단한 접근 방식은 심각도와 가능성 모두에 대해 정성적 추정치를 사용하는 것이다. 그러나 이러한 접근 방식은 본질적으로 PHA의 위험 순위(risk ranking)와 동일하다. LOPA의 목표는 PHA 위험 추정치에 대한 신뢰도를 높이는 것이므로 어느 정도 정량화하는 것이 바람직하지만, 안타깝게도 결과의 심각도를 정량화하는 것은 어려운 일이다. 계산을 단순화하기 어렵고 상당한 노력과 전문 지식이 필요하다. 따라서 결과 정량화는 LOPA에서 일반적으로 사용되지 않지만, 일부 실무자는 PHA에서 사용되는 단순 심각도 추정치(simple severity estimates)를 개선하기 위해 누출량 추정치(estimates of release quantities)를 사용한다.

반면에 합리적인 근사치를 사용하는 경우 시나리오 가능성에 대한 단순화된 정량화가 가능하다. 따라서 가장 일반적인 LOPA 접근 방식은 정성적 결과 심각도 추정치(qualitative consequence severity estimates)과 정량적 가능성 추정치(quantitative likelihood estimates)를 사용한다. 일반적으로 규모 추정치만 사용된다. 이 접근 방식은 QRA에 사용되는 상세한 모델링 및 계산보다 훨씬 적은 노력으로 가능하다.

 

 

시나리오 위험 계산(Calculation of Scenario Risk)

위험 시나리오의 요소는 다음 <그림 2>에 나와 있다. 시나리오는 스크리닝 기준(예: 위험 순위가 가장 높은 시나리오)을 사용하여 PHA와 같이 LOPA에 선행하는 연구로부터 선택된다.

 

<그림 2> Elements of a Hazards Scenario

 

시나리오의 개시 사건(Initiating events), 안전장치(safeguards) 및 결과(consequences)는 이러한 선행 연구에 의해 정의된다. 인에이블러(enablers)는 이전 연구에서 기록되지 않았을 수 있지만, 위험 감소에 크게 기여할 수 있으므로 LOPA 연구의 한 부분으로 간주할 수도 있다.

인에이블러는 시나리오를 진행하기 위해 반드시 존재하거나 활성화되어야 하는 이벤트 또는 조건(예: 우회되는 경보(bypass alarm))이다. 인에이블러는 그 자체로 위험 시나리오를 시작하는 것이 아니라 시나리오를 가능하게 만든다.

몇 가지 특별한 유형의 인에이블러가 있다.

위험 요인(at-risk factors)은 프로세스가 위험에 처한 기간이 된다. 예를 들어 회분식 반응의 폭주는 반응이 진행되는 동안에만 발생할 수 있다.

조건부 수정자(conditional modifiers)는 시나리오 결과에 영향을 미친다. 예를들어 인화성 또는 폭발성 물질이 점화될 확률, 사람이 위험에 노출될 확률 및 개인이 노출될 경우 피해가 발생할 확률 등이 영향을 준다.

 

 

시나리오 결과 심각도의 위험도는 빈도(frequency), 즉 일반적으로 연간 발생률로 표현된. 일반적으로 시나리오 빈도는 시나리오의 개시 사건 빈도에 안전장치 실패 및 인에이블러의 존재를 포함한 시나리오의 다른 이벤트 발생 확률을 곱하여 계산된다. 각 위험 시나리오(hazard scenario)의 결과 심각도는 일반적으로 정성적으로 추정된다. PHA 위험 순위 프로세스에서 추정된 심각도 수준을 사용하거나, 누출량 추정치를 사용하여 범주(category)에 심각도를 할당함으로써 이 추정치를 구체화할 수 있다.

심각도(severity)는 일반적으로 정성적 범주 또는 수준(qualitative category or level)으로 표현되고 가능성(likelihood)은 숫자로 표현되므로 위험(risk)은 단일 숫자가 아닌 심각도-가능성 커플릿(severity-likelihood couplet)로 표시된다. 예를들어 어떤 시나리오 위험이 심각도 수준은 2(severity level 2)이고 발생 빈도는 연간 1E-4(frequency of occurrence of 1E-4 per year)일 경우, 이는 시나리오의 LOPA 위험을 나타낸다.

 

확률은 차원이 없는 숫자이다. LOPA의 맥락에서 확률은 가능한 총 발생 횟수 중 이벤트가 발생할 것으로 예상되는 횟수를 나타낸다. 일반적으로 이러한 확률은 보호 시스템이 필요에 따라 지정된 기능을 수행하지 못할 확률, 즉 보호 시스템이 있음에도 불구하고 시나리오가 원치 않는 결과를 향해 계속 진행될 확률을 나타내는 데 사용되기 때문에 주문형 실패 확률(Probabilities of Failure on Demand, PFDs)로 설명된다. 따라서 PFD는 보호 시스템의 효율성을 정량화한다. 프로세스가 보호 시스템이 작동하도록 호출되는 조건에 도달할 때마다 요구(demand)가 발생한다. PFD 값이 낮을수록 보호시스템이 올바르게 작동하고 시나리오에서 일련의 이벤트를 중단할 수 있다는 확신이 커지며, 바람직하지 않은 결과의 빈도가 감소한다. 즉, 사고가 날 확률이 감소한다.

 

 

LOPA에서는 위험에 대한 추정치를 사용하지만 반올림 오류를 허용해야 하므로 PFD는 일반적으로 두 자릿수 이하로 표현된다. 때로는 보호 시스템 장애 데이터는 다른 방식으로 표현되는 경우도 있다. 예를 들어 안전 가용성(Safety Availability, SA)(즉, 성공 확률) 및 위험 감소 계수(Risk Reduction Factor, RRF)로 표시된다.

SA = 1 - PFD 및 RRF = 1 / PFD.

따라서 PFD가 0.01이면 SA는 0.99이고 RRF는 100이 된다.

 

일반적으로 LOPA는 모든 보호 계층이 실패하는 시나리오를 분석하는 데 사용된다.

이는 다음 <그림 3>에서 아래쪽 실선을 따르는 이벤트 트리의 경로로 확인할 수 있다. 이 그림에서 시나리오의 빈도는 모든 이벤트가 서로 독립적이라는 가정 하에 개시 사건 빈도에 시나리오 경로에 있는 다른 이벤트의 확률을 곱하여 계산할 수 있다. LOPA는 이 가정에 따라 달라진다.

따라서 LOPA에서 보호 계층으로 인정되는 모든 보호 조치는 독립 보호 계층(Independent Protection Layer, IPL)이어야 한다. 즉, 해당 조치는 개시 사건 또는 시나리오와 관련된 다른 보호 계층의 동작 또는 실패와 같은 시나리오의 다른 측면에 의존하지 않아야 한다. 실제로 safeguards를 IPL로 인정받으려면 추가 기준을 충족해야 한다. 따라서 모든 safeguards가 IPL은 아니지만 모든 IPL은 safeguards이다. LOPA는 IPL에 대해서만 인정한다.

 

<그림 3> Event Tree Showing the hazard Scenario Typically Analyzed in LOPA

 

지금까지 인에이블러는 PHA 워크시트에서 자주 식별되지 않았다. 이제 경우에 따라 LOPA를 수행할 경우 인에이블러가 포함되기도 한다. 그러나 대부분의 경우 LOPA 팀은 분석에 포함하려면 시나리오에 대한 인에이블러를 식별해야 한다.

인에이블러는 개시 사건 빈도를 조정하거나 시나리오에서 영향을 받는 이벤트의 확률을 조정하여 시나리오 빈도를 수정하기 위해 해당 확률 또는 승수를 사용하여 LOPA에 반영된다.

인에이블러를 두 번 계산하지 않도록 주의해야 한다. 예를 들어, 운영자가 존재할 확률을 사용하여 결과를 조정하는 등 결과 추정치에 통합되었을 수 있다. 이중 계산은 시나리오 위험을 과소평가하게 된다. 마찬가지로, 위험 요인에 대한 조정은 개시 사건 빈도에서 이루어졌을 수 있다. 예를 들어, 매일 4시간 동안 펌프를 사용하고 시간이 지남에 따라 펌프에 대한 고장률 데이터를 수집할 수 있다. 이 고장률은 이미 펌프의 주기적 작동에 대한 적절한 고장률이므로 위험 시간에 대해 이 고장률을 조정하는 것은 적절하지 않다.

 

 

인에이블러가 확실히 발생하는 경우(예: 안전 시스템이 운영자에 의해 영구적으로 바이패스되는 경우) 확률은 1이다.  인에이블러가 발생할 필요성에 대한 크레딧은 없습니다. 이는 시나리오 설명의 일부로 간주된다. 즉, 주어진 것이다.

 

조건부 수정자(conditional modifiers)의 경우 점화 확률(probability of ignition) P(ignition, 점화)는 물론 화재 및 폭발 시나리오에만 적용된다. 사람이 영향을 받는 구역에 있을 확률 P(present, 현재)와 노출로 인한 피해 확률 P(injury, 부상)는 원칙적으로 모든 시나리오에 적용된다. 시작(startup)과 같은 일부 작동 모드에서는 운영자가 항상 있을 수 있으므로 P(현재) = 1이 된다. 위험한 이벤트가 누적되는 동안 더 많은 사람이 참여할 수 있으므로 누출이 발생하면 P(현재) = 1이 될 가능성이 높다. 사람의 존재는 유해 사건의 원인과 상관관계가 있을 수 있으며, 사람이 개시 사건에 기여한 경우(예: 작업자가 블리드 밸브를 열어 방출이 발생한 경우) P(존재) = 1이 될 수 있다. 개시 사건, P(점화), 및 P(존재)는 모두 연결될 수 있다. 예를 들어, 크레인 작업자가 프로세스에 하중을 증가시켜 누출을 유발할 수 있다. 그리고 금속 간 스파크 또는 크레인 엔진이 점화원을 제공하면, 개시 사건의 특성으로 인해 P(점화) = 1 및 P(현재) = 1이 된다.

 

일반적으로 기업은 LOPA 연구에 사용할 개시 사건 빈도, 인에이블러 실패 확률/승수 및 IPL PFD의 표준 값 데이터베이스를 개발한다. 사용된 값은 특정 프로세스에 적용 가능해야 한다. 예를 들어, 파울링, 폴리머 또는 부식성 서비스에서 릴리프 밸브 또는 센서와 같이 가혹한 조건에 설치된 IPL의 경우 더 높은 값을 고려해야 한다.

 

 

적격 보호 장치(Qualifying Safeguards) 및 IPL

LOPA의 핵심은 어떤 보호 장치가 IPL에 해당되는지 결정하는 것이다. 이를 결정하기 위해서는 기준을 지정해야 한다. 지금까지는 세 가지 주요 기준이 사용되었다:

● 유효성(Effectiveness)

    - safeguard는 시나리오가 설계된 대로 작동할 때 원치 않는 결과가 발생하지 않도록 보호한다.

● 독립성(Independence)

    - Safeguard effectiveness는 다음의 각각과 독립적이어야 한다.

      · 개시 사건의 발생 또는 결과(The occurrence, or consequences, of the initiating event)

      · 시나리오에 이미 반영된 IPL 구성 요소의 실패(Failure of any component of an IPL already credited for the scenario)

      · 다른 IPL 실패를 초래한 조건(Conditions that caused another IPL to fail)

      · 시나리오의 다른 모든 요소(Any other element of the scenario)

● 감사 가능성(Auditability)

    - safeguard는 다음과 같은 주기적 검증(validation)할 수 있도록 설계되었다.

      · 설계된대로 작동하면 결과를 예방하는 데 효과적이다.

      · 지정된 PFD를 달성한다.

      · safeguard의 설계, 설치, 기능 테스트 및 유지 보수 시스템이 마련되어 있고 작동한다.

 

 

Additional criteria

때때로 추가 기준이 사용된다.

IPL의 식별은 PHA의 일부로 수행하거나 LOPA의 일부로 수행될 수 있다. 필요한 논의는 LOPA 팀이 시나리오를 이해하고 분석을 수행하는 데 도움이 되므로 LOPA 중에 식별하는 것이 바람직하다.

IPL 자격 기준은 각 safeguard에 적용된다. 일반적으로 가이드라인은 팀이 각 자격 기준을 충족하는지 판단하는 데 도움이 된다. 예를 들어, safeguard가 효과성 기준을 충족하는지 여부와 사람의 행동이 IPL로 인정될 수 있는 조건을 결정하기 위해 checklist가 개발되었다.

IPL의 독립성을 판단할 때는 공통 원인 실패(CCF)의 가능성을 고려해야 합니다. CCF는 하나의 공유된 원인으로 인해 동시에(또는 거의 동시에) 여러 장애가 발생하는 특정 유형의 종속 장애입니다. 실패의 원인은 시작 이벤트와 하나 이상의 IPL 또는 서로 다른 IPL 간에 공통적일 수 있습니다. CCF의 영향을 받는 IPL 중 하나에 대해서만 크레딧을 받아야 합니다. 세이프가드가 종속적이고 그 중 하나만 IPL로 인정할 수 있는 경우, 가장 높은 PFD를 가진 IPL을 보수적으로 선택할 수 있습니다. 

 

 

IPL의 독립성을 판단할 때 공통 원인 실패(common-cause failures, CCFs)의 가능성을 고려해야 한다. CCF는 단일 공유 원인으로 인해 동시(또는 거의 동시) 여러 오류가 발생하는 특정 유형의 종속 오류(장애)이다. 실패 원인은 개시 사건과 하나 이상의 IPL 사이 또는 서로 다른 IPL 사이에서 공통적일 수 있다. CCF의 영향을 받는 IPL 중 하나에 대해서만 크레딧을 받아야 한다. safeguard가 종속되어 있고 그 중 하나만 IPL로 인정될 수 있는 경우 가장 높은 PFD를 가진 IPL을 보수적으로 선택할 수 있다. 예를 들어, 독립적으로 작동하지 않는 emergency vent(PFD = 0.01)와 릴리프 밸브(PFD = 0.001)로 보호되는 공정의 경우, emergency vent에 대해 크레딧을 받을 수 있다. 또는 첫 번째 요구 사항을 수신하는 safeguard에 대해 크레딧을 받을 수 있다.

일부 LOPA 워크시트에서는 확인란을 사용하여 자격 기준이 충족되었음을 표시한다. 각 후보 IPL에 대한 자격 기준을 신중하게 고려해야 한다. 성급한 판단은 피해야 한다. 이러한 절차는 PHA에서 각 보호조치에 대해 어떤 크레딧을 적용할지 결정하는 데 필요한 시간보다 더 많은 시간이 소요됩니다.

 

일부 LOPA 워크시트는 확인란을 사용하여 자격 기준이 충족되었음을 보여줍니다. 각 후보 IPL의 자격 기준을 신중하게 고려해야 합니다. 성급한 판단은 피해야 한다. 이 프로세스는 PHA의 각 safeguard에 대해 어떤 크레딧을 받을지 결정하는 데 필요한 것보다 더 많은 시간이 소요된다.

 

 

위험 허용 기준(Risk Tolerance Criteria)

일반적으로 활동 자체를 제거하지 않는 한 활동에서 모든 위험을 제거하는 것은 불가능하다. 따라서 허용 가능한 위험 수준을 지정하는 기준이 필요하다. 위험 허용 기준은 예상 위험(estimated risk)과 비교하여 수용 가능성을 결정하고 위험을 줄이기 위한 추가 노력이 필요한지 여부를 결정하는 데 사용되는 기준이다. 어떤 수준의 위험도 진정으로 수용 가능한 것으로 간주되는 사람은 없으므로 일반적으로 허용 가능하다는 용어를 사용한다. 잔류 위험은 통제가 시행된 후에도 남아있는 위험을 말합니다. 활동을 지속하기 위해 허용 가능한 수준이어야 합니다.

일반적으로 활동 자체를 제거하지 않는 한 활동에서 모든 위험을 제거하는 것은 불가능합니다. 따라서 허용할 수 있는 위험 수준을 지정하기 위한 기준이 필요합니다. 위험 허용 기준은 수용 가능성을 결정하고 위험을 줄이기 위한 추가 노력이 필요한지 여부를 결정하는 데 도움이 되도록 추정된 위험과 비교하는 데 사용되는 표준입니다. 어떤 수준의 위험도 어떤 사람들에게는 진정으로 수용 가능한(acceptable) 것으로 간주되지 않으므로 일반적 으로 허용 가능한(tolerable) 용어가 사용된다. 잔류 위험(residual risk)은 통제가 시행된 후에도 남아있는 위험을 말한다. 활동을 지속하기 위해 허용 가능한 수준이어야 한다.

위험 허용 기준은 본질적으로 정성적 또는 정량적일 수 있지만 LOPA에서 사용되는 위험 추정(risk estimates) 형식과 일치해야 한다. 예를 들어 정의된 수치 기준을 사용하여 명시적으로 표시할 수도 있고, 위험 매트릭스와 같이 암시적으로 표시할 수도 있다. 일반적으로 위험 허용 기준은 위험 시나리오의 각 결과 심각도 수준에 대한 허용 가능한 빈도로 정의된다(예: 사망에 대해 연간 1E-5의 허용 가능한 빈도).

특정 위험 사건에 기여하는 시나리오 또는 프로세스 또는 시설에 동일한 결과를 초래하는 시나리오 등 여러 시나리오의 위험 합계에 대한 한계(limits) 를 설정하는 보다 복잡한 위험 허용 기준이 필요할 수 있다. 이러한 기준은 허용 가능한 최대 누적 위험을 나타낸다. 시나리오 위험 기준은 이해하기 쉽지만 누적 위험 기준은 전체 위험을 더 잘 대표하며, 이를 사용하면 부적절한 위험 감소 결정을 초래할 수 있는 개별 시나리오에만 의존하여 의사 결정을 내리지 않도록 한다.

 

 

위험 허용 기준과 위험 추정치의 비교(Comparison of Risk Estimates with Risk Tolerance Criteria)

시나리오 위험 추정치를 위험 허용 기준과 비교하여 허용 가능한 수준에 도달하기 위해 추가적인 위험 감소가 필요한지 여부를 결정한다. 일반적으로 필요한 위험 감소율(risk reduction required, RRR)은 위험 허용 기준(Risk Tolerance Criteria) 또는 허용 가능한 위험(tolerable risk, TR)과 위험 시나리오의 빈도 또는 추정 위험(estimated risk, ER)의 비율(즉, RRR = TR / ER)을 취하여 계산한다. 추정 위험이 위험 허용 기준보다 낮으면 해당 상황은 충분히 낮은 위험, 즉 더 이상의 보호가 필요하지 않을 정도로 충분한 보호가 있는 것으로 판단된다. 예상 위험이 위험 허용 기준을 초과하는 경우, 시나리오는 더 강력한 보호 또는 추가 보호가 필요한 것으로 판단된다. 즉, 프로세스를 더 안전하게 만들기 위해 설계 변경이 필요하다.

위험 갭이 결정되면 LOPA의 1차 목표는 달성된 것이다. 그러나 어느 시점에서는 위험을 허용 가능한 수준으로 줄이기 위한 수단을 결정해야 한다. 일부 기업은 이러한 노력을 LOPA 연구에 통합하고 위험 감소를 위한 권장 사항을 개발하여 위험 갭을 제거한다.

 

Reference : https://www.primatech.com/technical/layers-of-protection-analysis