SIL (design) verification

SIL verification(검증)은 기기 보호의 신뢰성이 IEC 61511 및 IEC 61508 표준에 따른 SIL 요구 사항을 충족함을 입증하는 것이다. 

 

 

 

SIL (design) verification

Safety Integrity Level (SIL), SIFs (Safety Instrumented Functions), Safety Instrumented System(SIS)

 

SIL 검증 개요

SIL 검증은 기기 보호의 신뢰성이 IEC 61511 및 IEC 61508 표준에 따른 SIL 요구 사항을 충족함을 입증하는 것이다. 각 개별 SIL 1/2/3 또는 4 안전 가드에 대해 SIL 검증을 수행하여 다음 항목을 확인하여야한다:

• 안전 장치 식별(Identification of safeguard). 
• 안전 장치의 기능 확인.
• 보호 장치가 제어 시스템과 독립적인지(independent) 확인
• 아키텍처 요구 사항(architectural requirements)을 확인(예: 하나의 밸브로 충분?).
• 확률적 요구 사항(probabilistic requirements)을 확인(probability of failure on demand(요구 시 실패 확률) 계산)
• 시스템 오류를 확인

화학 플랜트, 정유공장 또는 석유 및 가스 생산 플랜트를 포함한 공정 산업은 유해한 사고를 방지하기 위해 점점 더 복잡한 안전 시스템에 의지하고 있다. 이러한 전기, 전자 및 프로그래머블 전자 안전 관련 시스템 (E/E/PES)은 국제적으로 인정된 표준 IEC 61508, parts 1-7에 의해 규제된다. 또한, IEC 61511 (IEC 61508에서 파생)은 공정 산업에서 해당 안전 계장 시스템 (SIS)의 적용 및 구현에 관한 요구사항을 규정하고 있다. 공정 산업의 기능 안전 (FS) 요구사항에 대해 초기 컨셉부터 시작하여 설계, 설치, 운영, 유지 보수 및 해체에 이르기까지 수명 주기 전반에 걸쳐 자세히 설명한다. 해당 규제를 올바르게 이해하고 적용하는 것은 규정 준수를 위해서 중요하며, 인명, 자산 및 환경을 보호하기 위해서도 중요하다.

 

 

기기 안전장치 설계를 위한 무결성 요구 사항

SIF 기능적 요구 사항
SIF는 바람직하지 않는 시나리오를 방지해야 한다. 이를 위한 기능적 요구사항은 다음과 같다:

• 적절한 프로세스 매개변수를 측정해야 한다.
• Setpoint는 올바르게 결정되어야 한다.
• 적절한 최종 요소가 활성화되어야 한다.
• SIF는 충분히 빠르게 응답해야 한다.

독립적인 방호 계층

SIF는 물리적 및 기능적으로 다른 보호/제어 시스템과 분리되어야 한다.

 

 

 

확률적 요구 사항

고장률은 PFD avg (Average Probability of Failure on Demand)로 표현되고, SIF의 PFD(Probability of Failure on Demand)는 다음과 같다.

 

SIL 1의 경우: PFD < 10^ -1
SIL 2의 경우: PFD < 10^ -2
SIL 3의 경우: PFD < 10^ -3
SIL 4의 경우: PFD < 10^ -4

PFD avg는 모든 SIL 보호 장치에 대해 계산 되어야 한다 . 중복 시스템의 경우 일반적으로 10~15%의 공통 원인 요인이 가정된다.

 

PFD avg는 다음 (간단한) 공식을 사용하여 계산할 수 있다.

 

 

 

아키텍처 요구 사항
아키텍처 요구사항은 SIF의 구성 요소/기기의 중복(redundancy) 수준과 관련이 있다.

하드웨어 내결함성(hardware fault tolerance, HFT)의 정의는 다음과 같다:
'HFT는 지정된 수의 하드웨어 오류가 발생하는 경우에도 안전 기능이 필요한 기능을 계속 수행할 수 있는 능력'으로 정의된다.

예를 들어, 밸브 구성이 1oo2(1-out-of-2) 아키텍처인 경우 안전 기능의 손실 없이 위험한 하드웨어 오류가 한 번 발생할 수 있다. 따라서 하드웨어 내결함성은 1로 정의된다.

표준 IEC 61508은 구성 요소의 두 가지 유형, 즉 유형 A와 유형 B를 정의하고 있다.

모든 구성 요소의 고장 모드가 잘 정의되어 있고 고장 조건에서 요소의 동작을 완전히 결정할 수 있으며 감지된 위험한 고장과 감지되지 않은 위험한 고장에 대해 청구된 고장률을 충족한다는 것을 보여주는 신뢰할 수 있는 고장 데이터가 충분할 경우 구성 요소는 유형 A로 간주할 수 있다. 유형 A 요구 사항을 충족하지 않는 계기를 유형 B 계기라고 한다.

아래 첫 번째 표에는 하드웨어 내결함성, 안전 고장 비율 및 SIL 등급 간의 관계가 유형 A 계측기(경로 1H)에 대해 표시되어 있다. 두 번째 표에는 유형 B 계기에 대한 내용이 나와 있다.

 

<표 1> Type A instruments HFT

 

<표 2> Type B instruments HFT

 

IEC 61511-1:2016에 따르면, SIS의 일부로 사용하도록 선택된 장치는 사전 사용 요건을 준수하거나 IEC 61508-2/3:2010에 따라야 한다. 계기 공급업체나 엔지니어링 계약업체가 아닌 플랜트 소유자/최종 사용자만이 '사전 사용'을 정의할 책임을 질 수 있다.

 

이전 사용 기기/구성 요소를 사용하는 경우 다음 표를 적용할 수 있다.

SIL	Demand mode	Minimum HFT	적용 가능한 구성
1	low/high/continuous	0	single
2	low	0	single
2	high/continuous	1	1oo2 of 2oo3 configuration
3	low/high/continuous	1	1oo2 of 2oo3 configuration
4	low/high/continuous	2	1oo3 configuration

 

 

시스템 장애 예방
IEC 61511-1:2016은 3.2.68항에서 "안전 무결성을 결정할 때 안전하지 않은 상태를 초래하는 임의의 하드웨어 및 시스템 고장의 모든 원인(예: 하드웨어 고장, 소프트웨어로 인한 고장, 전기 간섭으로 인한 고장)이 포함될 수 있다. 이러한 장애 유형 중 일부, 특히 무작위 하드웨어 장애는 평균 위험 장애 빈도 또는 PFD와 같은 측정(measures)을 사용하여 정량화할 수 있다. 그러나 안전 무결성은 정확하게 정량화할 수 없고 수명 주기 전반에 걸쳐 정성적으로 고려되는 많은 시스템적 요인에 따라 달라진다. 하드웨어 내결함성 또는 기타 방법과 기술을 통해 시스템 고장이 SIS의 위험한 고장을 초래할 가능성을 줄일 수 있다."

 

인적 오류를 포함한 시스템 실패 원인의 예는 다음과 같습니다.

• 안전 요구 사항 사양
• 하드웨어의 설계, 제조, 설치 및 운영
• 소프트웨어의 설계 및/또는 구현

IEC 61508:2010은 시스템적 안전 무결성이 지정된 안전 무결성 수준의 요구 사항을 충족한다는 확신과 관련하여 요소에 적용되는 '시스템적 기능'을 도입했다. 시스템적 기능(SC 1 ~ SC 4 척도로 표시)은 해당 요소에 대한 규격 준수 품목 안전 매뉴얼에 명시된 지침에 따라 요소를 적용했을 때 요소의 시스템적 안전 무결성이 지정된 요소 안전 기능과 관련하여 지정된 SIL의 요구 사항을 충족한다는 확신을 측정하는 척도이다.

 

시스템적 기능은 시스템적 결함의 방지 및 제어에 대한 요구 사항을 참조하여 결정된다(IEC 61508-2 및 IEC 61508-3 참조).

또한 HIPPS 시스템(High-Integrity Pressure Protection System)의 경우 SIL 검증을 수행해야 한다.

 

<그림 1> Schematic view of instrumented safeguard (SIS) for SIL verification (HIPPS)

 

Reference : https://www.consiltant.com/en/process-safety/sil-verification/