SIL(Safety Integrity Level) 개요

현장에서는 허용하기 어려운 위험을 감소하기 위하여 여러 단계의 방호계층 (Protection Layers)을 적용하며, 안전무결성수준 (Safety Integrity Level, SIL)을 적용하는 안전계장기능 (Safety Instrumented Function, SIF)은 여러 방호계층의 하나로 사고 발생을 예방하거나 결과의 심각성을 줄이는 역할을 한다. 

 

 

 

SIL(Safety Integrity Level) 개요

 

용어의 정의

“안전무결성(Safety integrity)”이라 함은 안전 관련 시스템이 주어진 시간 동안 모든 운전상태에서 요구되는 안전기능을 만족스럽게 수행할 수 있는 확률을 말한다.

“안전시스템(Safety system)”이라 함은 운전설비의 안전상태를 유지하도록 안전기능을 수행하는 전기 전자 프로그램 가능형 시스템, 다른 기술로 구성된 시스템 또는 외부의 위험 감소 설비 등을 말한다.

“기능안전(Functional safety)”이라 함은 운전설비 또는 운전제어 시스템의 일부인 전기 전자 프로그램 가능형 안전시스템, 다른 기술로 구성된 안전시스템 또는 외부의 위험 감소 설비가 올바르게 동작하도록 하는 기능과 관련된 안전을 말한다.

“안전무결성등급(Safety integrity level, SIL)”이라 함은 전기 전자 프로그램 가능형 전자장치로 구성된 안전시스템에서, 기능안전의 안전무결성 요건(Safety integrity requirements)을 명시한 별개의 등급(1∼4)을 말하며 그중 등급 4가 가장 높고 등급 1이 가장 낮다.

“안전계장기능(Safety instrumented function, SIF)”이라 함은 기능안전에 필요한 명시된 안전무결성등급의 안전기능으로, 계장안전의 보호기능 또는 계장안전의 제어기능을 말한다.

“안전계장시스템(Safety instrumented system, SIS)”이라 함은 하나 또는 그 이상의 안전계장기능을 사용하는 계장시스템을 말하며, 안전계장시스템(SIS)은 센서, 논리시스템(Logic solver), 최종 구성요소(Final elements)의 조합으로 이루어진다.

 

 

SIL 필요성

화학 및 석유화학, 정밀화학, 특수화학, 가스 산업 등 기술 집약적이며 설비가 밀집되어 있어 중대사고가 발생할 때 피해 영향은 사고발생 현장에서 인근 지역까지도 인명 및 재산 피해를 일으킬 가능성이 높다.

국제전기기술위원회 (IEC)에서는 표준을 제정하여 장치산업에 SIF를 적용할 시 SIL을 선정하고 검증할 것을 제안하고 있으며, SIF에 의해 안전성이 향상되는지는 SIL기법 적용을 통해 확인되고 있다.

화학공장 등의 주요 설비는 유해위험물질을 다량으로 취급하고 있으며 복잡한 장치설비로 자동제어가 되도록 시스템화 되어 있다. 복잡한 화학장치 설비에 내재되어 있는 잠재적 위험요소를 식별 평가하여 위험요인을 제거하거나 대책을 마련하여 관리할 수 있는 공정위험성 평가로 ‘위험요인 및 운전성분석(HAZOP)’와 함께 ‘안전무결성기준(SIL) 검토’가 프로젝트 수행에 요구되고 있다.

 

안전무결성등급(SIL)은 안전계장기능(SIF)에 필요한 신뢰성의 지표를 나타낸다. 요구되는 SIL 값은 SIF를 통하여 방호되어야 할 위험 수준에 따라 다르며, 개발 프로세스 및 안전 수명주기 전 과정 관리를 포함한 여러 가지 요인에 따라 결정된다. IEC61508/IEC61511에 따라 SIL값은 1에서 4까지 나뉘어지며 높은 SIL 값은 높은 신뢰도 요건에 해당된다.

SIF에 대한 SIL 등급평가는 각 SIF가 감소시켜야 할 위험 수준을 결정하는 과정이다. 현장에서 허용할 수 없는 위험을 감소시키기 위하여 비정상 상태의 예측, 필요한 계기와 안전조치를 파악하여 여러 단계의 방호계층을 적용하며, SIL을 적용하는 SIF는 여러 방호계층의 하나이며 사고 발생을 예방하거나 심각성을 줄이는 역할을 한다.

 

방호 계층과 안전조치에 대해서는 기 포스팅한 다음 링크자료 참조.

https://sec-9070.tistory.com/232

방호 계층과 안전조치

 

SIL 수행 평가의 기대 효과(SIL Benefits)

① SIF의 수행은 위험(Risk)에 근거하기 때문에 보호장치(Safeguard)의 중복을 피하고, 낮은 위험을 위해 요구되는 과도한 보호조치(투자/비용)를 감소시켜 준다.

② 설계의 일부분으로서 또한 안전수명 주기 전반에 걸쳐 충분히 위험 감소를 가져오도록 보장하여 준다.

③ 안전 요구사항에 따라 계장시스템에 대한 적절한 유지보수를 가능하게 하도록 하여 준다.

 

 

SIS 개념

● SIS vs. BPCS

- 일부 SIS에서는 <그림 1>와 같이 제어시스템(control system)과 보호시스템(protection system)으로 이원화되어 사용될 수 있다. 제어시스템은 설비가 정상적으로 운전되도록 하는 시스템이고, 보호시스템은 고장 조건을 취급하거나, 위험상황의 피해 최소화를 위한 출력을 발생하거나, 또는 위험한 사고를 예방하기 위한 시스템이다.

 

 

● 안전계장시스템(SIS) 사례

- 위험을 사전에 예방하는 방호조치로서 SIS가 BPCS와 무엇이 다른 지 다음 <그림 2>으로부터 살펴보자.

 

<그림 2> SIS 설치 사례

 

상기 그림에서 정상상태에서 탱크 내의 레벨은 LT Control Loop 1(LT1-LC1)의 제어시스템으로 자동 운전이 되고 있다.(BPCS)

그러나 제어시스템이 그 기능을 발휘하지 못 할 경우(실패 시) 탱크 내의 위험을 사전에 예방하기 위해 LT1과는 별도로 설치된 보호시스템의 독립적인 SIS(LT2-LI2-LAHH2)에 의하여 탱크 내의 Level을 높이는 Fluid Feed를 차단하는 Valve가 Close 되게끔 설계가 되어 있다.(SIS)

BPCS와 SIS 모두 실패할 경우를 대비하여 또 다른 방호조치인 과압으로 인한 탱크의 위험을 사전에 예방하는 안전밸브(PSV)가 설치되어 있다.(Relief device)

 

AICHE(American Institute of Chemical Engineers)의 CCPS(Central for Chemical Process Safety) 8가지 방호 계층의 Layer 2, Layer 4, Layer 5에 해당된다.

 

- Layer 2: Basic controls, process alarms, and operator supervision;

- Layer 4: Automatic action (e.g. SIS or ESD);

- Layer 5: Physical protection (e.g. relief devices);

 

 

● 안전계장시스템(SIS) 구성.

SIS는 조치를 취하지 않는 경우 상기 사례에서 살펴본 바와 같이 위험이 증가하는 공장의 위험을 예방하거나 위험스러운 사고를 완화시키기 위한 조치를 수행하는 시스템을 말하는데, 다음과 같은 3가지 요소의 조합으로 구성이 된다.

- 공정 감지기(Field Sensor) : 온도, 유량, 레벨 등의 공정 조건을 측정하기 위한 장치

- 논리해결기(Logic Solver) : 공정의 상태로부터 논리 함수를 실행하는 장치

- 최종 요소(Final Elements) : 안전한 상태로 만들기 위해 필요한 물리적 작동을 하는 장치

 

Source : https://www.exida.com/Blog/back-to-basics-04-safety-instrumented-system-sis

 

SIL 결정

 

● SIL의 기준 및 적용

- 위험과 운전분석(hazard and operability, HAZOP) 등 정성적 위험성평가에서 확인된 모든 사고 시나리오에 대해 SIF의 필요 여부를 판단하고, 각 SIF에 대하여 규명된 SIL 값을 부여하여야 하므로 SIL 검토는 원칙적으로 위험과 운전분석(HAZOP) 등 정성적 위험성평가 후에 수행하는 것이 바람직하다.

- SIL 검토는 화학플랜트의 비상정지시스템(ESD system)과 같이 안전과 관련된 제어계통을 대상으로 수행한다. 

 

● SIL Classification (등급 평가)

SIF에 대한 SIL 등급 평가는 각 SIF가 감소시켜야 할 위험수준을 결정하는 과정이다.

이러한 평가는 다음의 세가지 형태의 위험에 대하여 진행된다.

- 안전 무결성 등급(SIL)에 의해 평가되는 개인의 건강 및 안전에 대한 위험

- 환경 무결성 등급(EIL)에 의해 평가되는 환경에 대한 위험

- 자산 무결성 등급(AIL)에 의해 평가되는 기업의 자산이나 상업적/재무적 이해관계에 대한 위험

 

● SIL Verification (검증)

SIL 검증은 SIL 등급 평가과정에서 확인된 SIF들에 대해 요구 SIL 등급의 만족 여부를 입증하는 것이 목적이다.

구체적으로 설계 기준에 부합 또는 신뢰성 있는 기준 적용을 위하여 현재 설계된 SIF의

- 작동이 요구 시 고장확률(Probability of Failure on Demand; PFD)을 평가하고

- 현 설계가 선행 SIL 등급 평가에서 결정될 요구 SIL등급을 만족시키는 지를 검증하게 된다.

 

 

 RGM과 LOPA는 사용 시기

위험그래프법(Risk Graph Method, RGM)은 상대적으로 신속한 방법이기는 하지만 요구되는 위험 감소를 보수적으로 평가하는 경향이 있어 무결성등급이 과대하게 평가될 수 있다.

SIL1을 상회하는 무결성등급은 자본비용(CAPEX)과 운영비용(OPEX)에 중요한 영향을 주므로 무결성등급이 불필요하게 높게 제시되는 상황은 바람직하지 않다.

따라서 RGM을 통해 SIL2+로 평가된 SIF들에 대해서는 방호계층분석법(Layer Of Protection Analysis, LOPA)을 이용하여 재평가하게 된다. LOPA는 시간 소모적인 방법이지만 RGM에 의하여 반영되지 않았던 위험 완화 요소를 추가적으로 고려할 수 있어 한층 차별화된 평가방법론으로 덜 보수적이며 종종 무결성등급을 감소시키게 된다.

 

<그림 3> 위험도 감소대책

Source : DNV ·GL HSE 컨설팅 정보

 

Reference : 1. KOSHA GUIDE E - 149 - 2015 (제어시스템에서의 안전무결성등급(SIL)결정에 관한 지침)

               2. DNV·GL HSE 컨설팅 정보 "안전무결성등급(SIL)"