기술자료
기술자료
IEC 61508 – 안전 무결성 수준(SIL: Safety Integrity Level)
IEC 61508 – 안전 무결성 수준(SIL: Safety Integrity Level)
얼마나 위험한가? 안전 무결성 수준으로 분류
IEC 61508은 전기/전자/프로그래밍 가능한 전자장치의 기능 안전성에 대해 다루고 있으며 시스템 안전성을 확보하기 위해 수행해야 하는 활동에 대해 정의하고 있다. 안전성 확보 활동은 공통적으로 수행해야 하는 활동과 안전 무결성 수준(SIL: Safety Integrity Level)에 따라 세부적으로 수행해야 하는 활동으로 정의된다. 안전 무결성 수준은 위험원 분석 및 리스크 평가를 기반으로 결정되며(※ 자세한 내용은 이전 게시물 “위험원 분석 및 리스크 평가란 무엇인가?”를 참고) 시스템이 사람의 안전에 미치는 영향을 고려하여 결정된다. 그림 1과 같은 IEC 61508의 안전 생명주기에서 4번째 단계에서 안전 무결성 수준이 결정되게 된다.
<그림 1> IEC 61508 안전 생명주기
이번 게시물에서는 안전 무결성 수준이 무엇이며, 어떻게 결정되는지 아래에서 상세하게 알아보도록 하겠다.
안전 무결성 수준(SIL: Safety Integrity Level) 정의
안전 기능이 정상 동작할 수 있는 확률은?
IEC-61508에서 안전 무결성 수준은 “주어진 조건하에 있는 안전 관련 시스템이 주어진 시간 내에 요구되는 안전 기능을 만족스럽게 수행할 수 있는 확률” 이라고 정의되며 SIL4가 가장 높은 등급이고 SIL1이 가장 낮은 등급이다. 위 정의를 해석 하자면 시스템이 오류로 인해 오 동작하였을 때 그 피해가 아주 미약하고, 어떠한 상황에서든 그에 관련된 안전기능이 완벽하게 설계되어 있다면 피해는 발생하지 않을 것이기 때문에 안전 무결성 등급은 낮게 책정될 것이다. 하지만 상황에 따라 안전기능의 구현이 어렵거나 동작하지 않을 확률이 있다면, 그 시스템은 인명피해를 초래할 가능성을 가지고 있기 때문에 안전 무결성 수준이 높게 책정 되어야 하고 시스템 개발 및 검증에 대해 더욱 주의를 기울여야 할 것이다. 또한 시스템 오 동작은 연쇄적으로 발생하는 경우가 많기 때문에 안전 기능을 수행하는데 간접적으로 영향을 미치는 부분도 안전 무결성 수준이 높게 책정되어야 할 것이다. IEC 61508에서는 안전 무결성을 하드웨어적 요소와 시스템적 요소로 분류하여 정의한다. 상세 내용은 아래와 같다.
- 하드웨어 안전 무결성: Random Failure와 관련된 안전 무결성을 말한다. Random Failure는 환경적인 요소에 의한 하드웨어의 성능 저하, 부품 제작상의 허용오차 등과 같은 우발적 고장과 관련된 것을 의미한다. 이러한 Random Failure가 원인이 되어 발생하는 하드웨어 평균 고장 발생율은 측정이 가능하며 이를 활용하여 안전 무결성 수준을 결정한다.
- 시스템 안전 무결성: Systematic Failure와 관련된 안전 무결성을 말한다. Systematic Failure는 안전 요구사항 명세, 소프트웨어 설계, 소프트웨어 구현 오류 등과 같은 인적 오류와 관련된 것을 의미한다. Systematic Failure는 고장 분포를 예측하기 어렵기 때문에 평균 고장 발생율을 측정할 수 없다. 따라서 이러한 불확실성을 최소화할 수 있는 방법을 적용하여 안전 무결성 수준을 결정한다.
안전 무결성 수준(SIL: Safety Integrity Level) 결정 방법
IEC 61508에서 안전 무결성 수준을 결정하는 방법으로 크게 정량적 방법, 정성적 방법을 제시하고 있다. 정량적 방법은 시스템이 오 동작하여 위험한 상황이 발생하는 사항에 대한 원인을 합리적인 수치로 표현하여서 안전 무결성 수준을 결정하는 방법을 말한다. 하지만 시스템의 오 동작에 대한 원인을 언제나 수치적으로 정량화 할 수는 없다. 이러한 상황에서는 정성적 방법을 적용한다. 정성적 방법은 시스템 오 동작에 대한 원인을 일으킬 수 있는 여러 개의 리스크 파라미터를 분석하여 안전 무결성 수준을 결정한다. 각 방법에 대한 상세 내용은 아래에서 설명하도록 하겠다.
수치 데이터에 기반한 정량적 안전 무결성 수준 결정 방법
IEC 61508에서 수치적 데이터에 기반하여 안전 무결성 수준을 결정하는 정량적 방법은 아래 표1과 같이 안전 무결성 수준에 대해 기능 동작 상황별로 고장확률을 측정하여 상세하게 제시하도록 정의하고 있다.
<표 1> 요구 작동모드별 안전 기능 고장 기준
예를 들어 저 요구 작동 모드에서 운영되는 안전 무결성 수준이 3인 제어기가 있다고 가정한다면, 제어기의 고장확률은 1천분의 1미만이면서 1만분의 1이상의 신뢰도를 가지는 것을 말한다. 즉, 제어기의 신뢰도가 99.999% 이상이면서 99.9999% 미만인 것을 의미한다. 일반적으로 정유플랜트, 석유화학 및 화학플랜트, 가스플랜트, 발전플랜트, 제철플랜트 등에서의 제어계통 설계기준은 “안전 무결성 수준 3” 이상을 요구하며, 아울러 기기공급업자(Vendor)로부터 제3자
인증(Certificate)을 요구하기도 한다. IEC 61508에서는 고장 기준을 결정하는 수식도 제시하고 있으며 그에 대한 상세한 내용은 IEC 61508(5부: 안전 무결성 수준 결정 방법의 예)을 참고하도록 한다.
리스크 파라미터에 기반한 정성적 안전 무결성 수준 결정 방법
리스크 파라미터에 기반하여 안전 무결성 수준을 결정하는 정성적 방법은 표 2와 같이 리스크 파라미터에 따른 등급을 정의하여 대상에 대한 분류를 수행한다. 리스크 파라미터는 사고 발생에 영향을 줄 수 있는 항목들로 구성된다.
(후략)
* 위의 글은 슈어소프트테크에서 제공되었습니다.
