방호 계층과 안전조치

공장은 여러 사고 들로부터 보호하기 위해 2중, 3중의 안전조치(Safeguards)들이 되어 있다.

금번에는 이러한 안전조치 또는 방호 계층(Layers of Protection)에 대해 알아보고자 한다.

이는 위험성평가 시 필히 알아두어야 할 개념이다.

 

 

 

방호 계층과 안전조치

 

방호 계층(Layers of Protection) 개념

 

공정의 시설은 여러 층의 안전장치(방호 계층)에 의해 그 시설을 위험에서 보호하고 있는데, 이런 형태를 양파 껍질이 싹을 겹겹이 보호하고 있는 모양에 가끔 비유한다.

방호 계층은 위험한 사건(Event)이 원하지 않는 결과(사고)로 전파되는 것을 방지하는 조치로서 하나의 방호 계층이 실패하면 사고가 발생할 수 있다는 의미이다.

 

AICHE(American Institute of Chemical Engineers)의 CCPS(Central for Chemical Process Safety)는 다음 그림과 같이 8가지 방호 계층을 제시하였다.

 

● Layer 1: Process Design (e.g. inherently safer designs);

● Layer 2: Basic controls, process alarms, and operator supervision;

● Layer 3: Critical alarms, operator supervision, and manual intervention;

● Layer 4: Automatic action (e.g. SIS or ESD);

● Layer 5: Physical protection (e.g. relief devices);

● Layer 6: Physical protection (e.g. dikes);

● Layer 7: Plant emergency response; and 

● Layer 8: Community emergency response(not shown).

 

 

 

방호 계층은 예방 계층(Preventive layers)과 완화 계층(Mitigative layers)으로 구분할 수 있다.
예방 계층은 공정 운전, 공정 제어 시스템 및 안전 시스템 등이 해당되고, 완화 계층은 물리적 격납 조치, 공장 대피 절차 및 일반적인 비상 대응 등이 있다. 

 

사고 발생 계통도

위험(Hazard): 상해, 기계/장치 손상, 화재, 폭발, 생산손실, 환경오염 등 원하지 않은 사건을 일으킬 수 있는 요인(기계적 고장, 시스템의 상태, 작업자 실수 등 물리, 생물학적, 심리적, 행동적 원인 등)

개시 사건(Initiating Event): 원하지 않는 사고 결과(Consequence)로 이어지는 일련의 사건을 개시하는 장치 고장, 시스템 고장, 외부 사건 (External Event) 또는 잘못된 동작

이탈(Deviation): 가이드 워드(Guideword)와 공정 변수(Process Parameter)의 조합으로 설계 의도(정상 운전상태)에서 벗어난 가상의 운전상태 (No Flow, High Pressure, Low Temperature 등)

원인(Cause): 이탈(Deviation)이 일어나는 이유 (장치/설비의 오동작, 오조작, 고장, 진동, 부식, 이상반응, 설계/관리 불량 등)

결과(Consequence): 이탈(Deviation)이 일어남으로써 야기되는 상태(장치/설비의 손상/파손, 상해, 누출, 화재/폭발, 환경오염, 품질 저하 등), 일반적으로 안전 및 보건 영향, 환경영향, 자산 손실, 사업지장 초래비용(Business Interruption Costs) 등으로 측정되는 원하지 않는 사고 결과

 

 

안전조치 vs. 독립 방호 계층

 

그러나 공장의 위험성을 평가하는 데에는 공통 원인 고장(Common Cause Failure, 같은 원인에 기인하는 하나 이상의 장치, 기능, 또는 시스템의 고장)에 대한 위험성(빈도)의 구분이 필요하여 방호 계층(위험조치)의 독립성 여부를 판단할 필요가 있다.

따라서 기존의 안전조치 개념과 달리 독립 방호 계층 개념이 도입되었고, 이러한 독립 방호 계층은 사고를 예방하거나(Preventive layers), 사고의 심도를 경감시키는 역할(Mitigative layers)을 한다.

 

 

안전조치(Safeguards): 발생원인(Cause)의 예방 또는 그 발생 결과를 최소화하기 위한 보호장치/설비 또는 대책(PSV, Alarm, Interlock 관리절차 등), 개시 사건(Initiating Event) 이후에 일어나는 사건의 사슬을 저지하거나 결과(Consequence)를 완화하는 어떤 장치, 시스템 또는 동작 행위를 말함.

  *모든 안전조치는 독립 방호 계층(IPL)의 요구사항을 충족시키지는 못함

독립 방호 계층(Independent Protection Layer, IPL): 사고 시나리오가 그 시나리오와 관계된 개시 사건(Initiating Event)이나 다른 방호 계층의 동작에 의해서 불리하게 영향을 받지 않고 원하지 않는 사고 결과로 전개되는 것을 방지할 수 있는 독립적인 장치, 시스템 또는 동작

 

초기 사건이 정의되면, 초기사건이 사고로 이어지는 것을 차단할 수 있는 독립 방호 계층이 분석되어야 한다.

독립 방호 계층은 효과성, 독립성, 검증성의 조건을 만족시켜야만 인정된다. 즉, 독립 방호 계층은 설계대로 동작되면 사고를 예방하는데 효과적이고, 초기사건에 대해 다른 방호계층과 독립적이며, 사고예방 및 고장률 관점에서 효과성이 검증되어야만 인정한다.

따라서 모든 독립방호계층은 안전장치이나, 모든 안전장치가 독립 방호 계층이 될 수 있는 것은 아니다.

예를 들어 교육 및 훈련, 작업절차, 일반적인 검사 및 시험 등의 안전관리는 독립방호계층이 아니다.

 

 

위험성 평가와 방호 계층

 

위험성을 평가하는 방법으로는 단순하고 정성적인 기법부터 정밀하고, 정량화된 기법까지 다양한 기법이 존재한다.

모든 위험성평가는 위험을 분석하고 예방과 경감조치들로 인해 합리적으로 판단하여 위험도(Risk)를 허용 가능한 위험 수준(ALARP, As Low As Reasonably Practicable) 이하를 유지하기 위하여 위험성평가를 실시한다.

현장에서는 허용하기 어려운 위험을 감소하기 위하여 여러 단계의 방호 계층 (Protection Layers)을 적용하며, 안전 무결성 수준 (Safety Integrity Level, SIL)을 적용하는 안전계장 기능 (Safety Instrumented Function, SIF)은 여러 방호 계층의 하나로 사고 발생을 예방하거나 결과의 심각성을 줄이는 역할을 한다.

 

위험도(Risk): 특정한 위험요인이 위험한 상태로 노출되어 특정한 사건으로 이어질 수 있는 사고의 빈도(가능성)와 강도(중대성) 조합으로 써 위험의 크기 또는 위험의 정도(잠재적인 경제손실, 상해, 환경 영향 등)

안전계장 기능(Safety Instrumented Function, SIF): 인식된 사고 시 나리오에 대하여 요구되는 위험도(Risk) 감소를 달성하는데 필요한 안 전무결도수준(SIL)를 갖는 안전계장시스템(SIS)에 할당된 안전기능으로써, 비정상적인 조건을 감지하거나, 공정을 인간의 개입 없이 기능적으로 안전한 상태로 유도하거나 경보에 대하여 훈련받은 운전원이 대응하도록 하는 특정한 안전무결도수준(SIL)을 가진 센서(Sensor), 논리 해결기(Logic Solver), 최종조작요소(Final Element)의 조합을 말함.

안전계장시스템(Safety Instrumented System, SIS): 하나 이상의 안전계장기능(SIF)을 수행하는 시스템

안전무결도수준(Safety Integrity Level, SIL): 각 안전계장기능 (SIF) 과 안전계장시스템(SIS)의 통합의 수준을 나타내기 위하여 사용되는 4개의 불연속 범위중의 하나로서 SIL 4은 가장 높고, SIL 1은 가장 낮은 수준을 나타내며, 작동 요구 시 안전계장기능(SIF)의 고장 확률 범위에 따라 그 성능 수준을 나타냄.

 

방호계층분석기법(LOPA)에서 본 개념은 사용되었지만 화학물질관리법에서 기존의 장외영향평가 시 이러한 독립방호계층 개념이 본격적으로 도입되어 사용하였다. 지금은 화학사고관리계획서로 변경되었지만 여전히 사고 빈도에서의 경감에는 독립방호계층 개념이 사용되고 있다고 보아야 할 것이다

 

독립방호계층의 조건을 만족한 방호계층에는 고장률이 입력된다. 여기에서 주의할 점은 사고예방 방호 계층과 사고경감 방호계층의 차이이다. 사고예방 방호계층이 성공적으로 작동되면 초기사건이 사고로 이어지지 않지만, 사고경감 방호계층이 성공적으로 작동되면 사고가 발생하여도 사고의 피해크기가 작아지므로 허용할 수 있는 위험도를 가진 시나리오가 된다. 초기사건의 빈도에 각각의 독립방호계층의 고장률이 배가되면 시나리오에 관련된 사고의 빈도가 계산된다. 여기에 점화확률, 사고반경 안에 사람이 있을 확률, 사고에 노출된 사람이 사망할 확률 등이 고려되어 개인적인 위험이 결정되고, 여기에 노출된 사람의 수가 곱해지면 사고로부터 사망한 사람의 수가 예측된다. 이와 같이 사고의 위험도를 구하는 방법 이외에 심도분류, 최종빈도 등 수치에 의한 매트릭스 또는 표를 통해 사업장의 위험관리기준에 의해 의사결정에 사용될 수 있다. 허용 할 수 없는 위험을 가진 시나리오에 대해서는 독립방호계층이 추가되거나, 독립방호계층의 고장률을 낮추어 재평가되어 안전도를 확보하게 된다

 

Reference : 박형준, Sour Water Stripper Unit의 Liquid Ring Compressor에 대한 안전무결도 기반 안전계장시스템 설계