프로그램 가능형 안전시스템의 기능안전 확보에 관한 기술지침(KOSHA GUIDE E-183-2021) - 1장
1. 목적
이 지침은 전기 전자 프로그램 가능형 안전시스템의 기능안전 확보에 관하여 기 술함을 목적으로 한다.
2. 적용범위
(1) 이 지침은 사업장에서 여러 개의 전기 전자 프로그램 가능형 장치를 사용 하여 안전시스템을 구축하는 경우에 적용한다.
(2) 이 지침은 다음의 경우에는 적용하지 아니한다.
(가) 단독의 전기 전자 프로그램 가능형 장치로써 필요한 위험감소가 가능한 경우
(나) 안전시스템에서 요구하는 안전무결성 수준이 1 이하인 경우
3. 정의
(1) 이 지침에서 사용하는 용어의 뜻은 다음과 같다.
(가) “유해(Harm)”라 함은 자산이나 환경에 대한 손상의 결과로서 직간접 적인 부상 혹은 건강에 대한 손상을 말한다.
(나) “위험(Hazard)”이라 함은 잠재적 유해 요소를 말하며, 화재폭발과 같 은 단기간 범위 내에서 발생하는 위험과 독성물질의 누출과 같은 근로 자의 건강에 장기간 영향을 주는 위험이 있다.
(다) “위험사건(Hazardous event)”이라 함은 유해로 나타나는 위험한 상황을 말한다.
(라) “위험도(Risk)”라 함은 유해 상황의 발생확률과 유해의 심각도를 조합한 위험의 정도를 말한다.
(마) “허용가능한 위험도”라 함은 현 사회의 가치관을 기초로 하여, 주어진 조건에서 허용되는 위험도를 말한다.
(바) “잔존위험도”라 함은 안전조치를 취한 후 남아 있는 위험도를 말한다.
(사) “기능안전(Functional safety)”이라 함은 운전설비 또는 운전제어 시스템의 일부인 전기 전자 프로그램 가능형 안전시스템, 다른 기술로 구성된 안전 시스템 또는 외부의 위험감소 설비가 올바르게 동작하도록 하는 기능과 관 련된 안전을 말한다.
(아) “프로그램 가능형 전자장치(Programmable electronic devices)”라 함은 하드웨어, 소프트웨어 및 입출력 장치로 구성된 컴퓨터 기술을 기반으 로 한 전자장치를 말한다.
(자) “전기 전자 프로그램 가능형 전자장치(Electric/Electronic/Programmable electronic devices)”라 함은 전기 전자 프로그램이 가능한 전자기술을 기반으로 한 장치를 말한다.
(차) “안전시스템(Safety system)”이라 함은 운전설비의 안전상태를 유지하 도록 안전기능을 수행하는 전기 전자 프로그램 가능형 시스템, 다른 기 술로 구성된 시스템 또는 외부의 위험감소 설비 등을 말한다.
(카) “외부 위험감소 설비(External risk reduction facility)”라 함은 전기전 자프로그램 가능형 안전시스템이나 다른 기술의 안전시스템을 사용하 지 않고 위험을 격리 또는 완화시킬 수 있는 방화벽과 같은 설비를 말 한다.
(타) “안전무결성(Safety integrity)”이라 함은 안전시스템이 주어진 시간동안 모든 운전상태에서 요구되는 안전기능을 만족스럽게 수행할 수 있는 확
률을 말한다.
(파) “안전수명주기(Safety lifecycle)”라 함은 안전시스템 구성의 개념단계에 서부터 기능안전이 더 이상 유효하지 못할 때까지의 안전시스템 이행 에 필요한 모든 활동을 말한다.
(2) 그 밖에 이 기술지침에서 사용하는 용어의 정의는 이 기술지침에서 특별히 규정하는 경우를 제외하고는 산업안전보건법, 같은 법 시행령, 같은 법 시행 규칙 및 안전보건규칙에서 정하는 바에 따른다.
4. 문서화
(1) 문서화는 전기 전자 프로그램 가능형(Electric/Electronic/Programmable electronic, 이 하 "E/E/PE"라 한다.) 전자장치 및 소프트웨어로 구성된 안전시스템이 안전수명주 기의 각 단계별로 안전기능을 수행하는데 필요한 정보를 문서로 작성하는 것이다.
(2) 문서에는 안전수명주기 각 단계별로 안전기능이 효과적으로 수행되었음을 검증하는 내용이 기록되어야 한다.
(3) 문서에는 다음의 5.1절의 “기능안전을 위한 정보”에서 규정한 정보가 포함 되어야 한다.
(4) 문서에는 과거에 수행한 기능안전 평가결과와 신규평가를 수행하기 위한 정보가 포함되어 있어야 한다.
5. 기능안전
5.1 기능안전을 위한 정보
(1) E/E/PE 시스템 및 소프트웨어의 안전수명주기 동안 기능안전을 유지하기 위하여, 다음의 기술․관리적 사항을 규정하여야 한다.
(가) 기능안전을 확보하기 위한 정책과 전략
(나) E/E/PE 시스템 및 소프트웨어의 기능안전을 책임지는 담당자, 부서, 조직 등
(다) E/E/PE 시스템 및 소프트웨어에 적용할 각각의 수명단계
(라) 문서로 작성할 내용과 범위
(마) 기능안전을 확보하기 위한 방법과 기술
(바) 기능안전의 평가절차
(사) 담당자의 업무능력 확인절차 및 다음의 교육내용을 규정
- 시스템의 시험, 진단, 고장수리 담당자에 대한 교육내용
- 운전자에 대한 교육내용
- 정기교육의 내용
(아) 위험사건 및 잠재적 위험사건을 분석하는 절차
(자) 기능안전을 위협하는 시스템 고장분석과 설계 시의 고장률을 유지하기 위한 정비과정 평가절차
(차) 기능안전 확보를 위한 정기 감사 시의 요구사항
(카) 안전시스템의 변경절차
(2) 기능안전을 확보하기 위하여 상기 (1)항의 내용을 이행하고, 이의 진행과정 에 대하여 감독하여야 한다.
(3) 기능안전을 책임지는 모든 부서 및 담당자에게 상기 (1)항의 내용을 알리 고, 책임사항을 할당하여야 한다.
(4) E/E/PE 시스템 및 소프트웨어에 대한 부품이나 서비스를 공급하는 자는 해 당 시스템에서 요구하는 수준의 부품 또는 서비스를 제공하여야 한다.
5.2 전체 안전수명주기의 요구조건
5.2.1 전체 안전수명주기의 기본구조
(1) 기본구조
(가) 안전시스템에 필요한 안전무결성 수준을 체계적으로 확보하기 위하여 <그림 1>과 같은 전체 안전수명주기를 사용한다.
(나) 전체 안전수명주기에서 검토되는 위험감소대책은 다음의 것을 포함한다.
- E/E/PE 안전시스템
- 다른 기술의 안전시스템
- 외부 위험감소설비
(다) 전체 안전수명주기의 일부분인 E/E/PE 안전시스템을 <그림 2>에 제시하였 다. 이는 E/E/PE 시스템 안전수명주기로 불리며, 하드웨어에 대한 기술 적 기본구조를 나타낸다. 소프트웨어 안전수명주기가 <그림 3>에 제시 되고 있으며, 이는 소프트웨어에 대한 기술적 기본구조를 나타낸다. 안 전시스템을 위한 전체 안전수명주기와 E/E/PE 시스템 그리고 소프트웨 어 안전수명주기 사이의 관계를 <그림 4>에 나타내었다.
<그림 4> 전체 안전수명주기와 E/E/PE 시스템 및 소프트웨어의 안전수명주기와의 관계
(2) 기본구조의 목적
(가) 기본구조를 단계별로 구분한 목적은 안전시스템의 전체 기능안전을 확보하기 위하여 단계별로 요구되는 기능안전을 체계적으로 구성하기 위한 것이다.
(나) 기본구조를 단계별로 구분한 또 다른 목적은 안전시스템의 전체 안전수 명주기 동안 기능안전과 관련된 주요 정보를 체계적으로 문서화하기 위 한 것이다.
(3) 기본구조의 단계별 요구조건
(가) 전체 기능안전을 확보하기 위한 요구조건은 기본구조 단계별로 요구되는 조건을 만족시켜야 한다.
(나) 기본구조의 단계별로 지정한 업무범위, 입력, 출력 등이 검토되어야 한다. (다) 각각의 단계에서 달성할 목표, 범위, 입력 등은 <별표 1>에 규정되어 있다.
(라) 계획단계에서 기능안전을 지정하지 않은 경우 또는 현장적용 규격에 지정되어 있지 않은 경우, 각 단계에서 요구되는 출력은 <별표 1>과 같아야 한다.
(마) 안전수명주기의 각 단계별 결과는 각각의 단계에서 지정하는 목적과 요구조건을 만족시켜야 한다.
5.2.2 개념
(1) 개념의 목적
개념의 목적은 안전수명주기 각 단계별로 안전기능을 수행할 수 있도록 운 전설비에 대한 물리적, 규제적 여건 등에 대한 이해를 증진시키는 것이다.
(2) 개념단계의 요구조건
(가) 운전설비의 제어기능과 물리적 환경에 대하여 이해하여야 한다.
(나) 위험원이 될 수 있는 모든 사항을 결정하여야 한다.
(다) 결정된 위험원의 유독성, 폭발 조건, 부식성, 반응성, 인화성 등의 정보 를 확보하여야 한다.
(라) 해당 국가 및 국제적인 안전규제에 대한 정보를 확보하여야 한다.
(마) 운전설비와 다른 운전설비간의 상호작용에 의한 위험성을 검토하여야 한다.
(바) 상기 (가)항부터 (마)항까지의 정보와 검토결과는 문서로 작성되어야 한다.
5.2.3 전체범위의 정의
(1) 전체범위 정의의 목적
(가) 본 단계의 목적은 운전설비와 제어시스템의 경계를 명확히 하는 것이다.
(나) 본 단계에서의 또 다른 목적은 위험원 파악 및 위험성평가의 범위를 지정하는 것이다.
(2) 전체범위 정의 단계의 요구조건
(가) 위험원 파악 및 위험성평가를 수행할 운전설비와 제어시스템을 지정하여야 한다.
(나) 위험원 파악 및 위험성평가 수행시 고려할 외부 사건을 규명하여야 한다. (다) 위험원과 관련된 하부시스템을 규명하여야 한다.
(라) 사고를 발생시킬 수 있는 부품의 고장, 잘못된 절차, 인적오류 등과 같 은 사고 초기사건을 규명하여야 한다.
(마) 상기 (가)항부터 (라)항까지의 정보와 검토결과는 문서로 작성되어야 한다.
5.2.4 위험성평가
(1) 위험성평가의 목적
(가) 본 단계의 목적은 논리적으로 예측 가능한 고장상태와 오작동에 의한 운전설비 또는 운전제어시스템의 위험성과 위험사건을 규명하는 것이다.
(나) 본 단계에서의 또 다른 목적은 위험사건으로 전개될 수 있는 일련의 과정을 파악하는 것이다.
(다) 본 단계에서의 마지막 목적은 위험사건과 관련된 운전설비의 위험도를 결정하는 것이다.
(2) 위험성평가 단계의 요구조건
(가) 위험성평가는 전체범위 정의의 단계에서 결정한 모든 정보를 포함하도 록 수행되어야 한다. 만일 초기 결정이 이루어진 이후 E/E/PE 시스템 또는 소프트웨어의 안전수명주기의 후기 단계에서 새로운 변경사항이 발생하게 되면 추가적인 위험성평가를 수행하여야 한다.
(나) 위험성평가는 위험원을 제거하는 방향으로 검토되어야 한다.
(다) 논리적으로 예측 가능한 모든 상황 하에서 운전설비 또는 제어시스템의 위 험원과 위험사건을 규명하여야 한다. 여기에는 모든 인적요소가 포함되어야 하며, 운전설비의 비정상 또는 가끔 운전하는 형태도 검토되어야 한다.
(라) 상기 (다)항의 위험사건을 유발시키는 일련의 사건을 규명하여야 하며, 위험사 건의 발생가능성과 피해결과를 평가하여 정량적 또는 정성적으로 나타 내어야 한다.
(마) 운전설비의 위험도는 각각의 위험사건에 대하여 평가하여야 한다.
(바) 위험성평가 기법이 적절한지는 다음의 요소를 고려하여 결정한다.
- 특정사건의 위험성과 그 피해결과
- 적용분야와 현장에서의 우수사례
- 법적인 안전규제 사항
- 운전설비의 위험도
- 위험성평가를 수행하기 위한 자료의 확보 가능성
(사) 위험성평가에는 다음의 사항이 포함되어야 한다.
- 위험사건과 이를 구성하는 요소
- 위험사건과 연관된 일련의 사건에 대한 발생가능성과 그 피해결과
- 각각의 위험사건에 대한 위험감소 수준
- 위험도를 감소시키거나 제거하기 위한 대책
- 위험성평가를 위해 전제한 가정의 내용
- 각각의 안전수명주기 단계에서 안전시스템과 관련된 주요 정보 및 참 고자료
(아) 위험성평가를 위한 각종 정보와 검토결과는 문서로 작성되어야 한다.
(자) 위험성평가의 정보와 결과는 파악된 문제점을 해결하는 중요한 수단이 되므로, 위험성평가 단계부터 사용종료 혹은 폐기될 때까지 관리하여야 한다.
5.2.5 전체 안전수준
(1) 전체 안전수준의 목적
본 단계의 목적은 안전시스템 및 외부 위험감소 시설에서 필요로 하는 기 능안전과 안전무결성 수준을 만족시키기 위하여 전체안전에 대한 안전사양 을 개발하는 것이다.
(2) 전체 안전수준 단계의 요구조건
(가) 위험 각각에 대한 기능안전을 확보하기 위하여 필요한 사항을 규명하 여야 한다. 이를 통하여 전체 안전기능의 사양이 구성된다.
(나) 위험사건 각각에 대해 필요한 위험도 감소량을 정량적 또는 정성적 방 법으로 결정하여야 한다.
(다) 현장에서 사용하는 국제규격 중 위험도 감소량을 결정하는 방법이 있 으면 이를 본 단계에서의 요구조건을 만족하기 위한 기준으로 사용할 수 있다.
(라) 제어시스템 고장으로 E/E/PE 또는 다른 기술의 안전시스템, 외부 위험 감소시설 등이 필요한 경우에는 다음의 사항을 만족하여야 한다.
① 제어시스템의 고장률은 다음 중 하나의 방법에 따라 제공되어야 한
다.
- 유사 환경에서 적용된 실제 운전자료
- 검증된 절차로 수행한 신뢰도 분석자료
- 상용 신뢰도 데이터베이스의 자료
② 제어시스템이 안전시스템을 필요로 하지 않은 경우의 고장률은 시 간당 10-5 값보다 작아야 한다. 이는 안전무결성 수준이 <표 2>에 서 1인 경우를 의미한다.
③ 제어시스템의 예측가능한 고장형태를 결정하여야 하며, 이를 전체 안전사양에 포함시켜야 한다.
④ 제어시스템은 E/E/PE 또는 다른 기술의 안전시스템, 외부 위험감 소 시설과는 분리되어 독립적으로 구성되어야 한다.
(마) 상기 (라)항의 ①부터 ④까지의 요구조건이 만족되지 않는다면, 해당 제어시스템을 안전시스템으로 설계하여야 한다.
(바) 제어시스템의 안전무결성 수준은 기능안전별로 할당되어야 하며, 이 값 을 합산하여 전체 안전시스템의 안전무결성 수준을 결정한다.
(사) 안전기능에 관한 사양과 안전무결성의 사양을 합하여 전체안전 요구사 양이 구성된다.
5.2.6 안전수준의 할당
(1) 안전수준 할당의 목적
(가) 본 단계의 목적은 전체 안전시스템의 요구사양에 포함된 안전기능을 E/E/PE 또는 다른 기술의 안전시스템, 외부 위험감소 시설 등에 할당하 는 것이다.
(나) 본 단계에서의 또 다른 목적은 각각의 안전기능에 대한 안전무결성 수 준을 할당하는 것이다.
(2) 안전수준 할당 단계의 요구조건
(가) 기능안전을 확보하기 위한 안전시스템을 규명하여야 하며, 기능안전은 다음의 방법에 의해 확보된다.
- 외부 위험감소 시설
- E/E/PE 안전시스템
- 다른 기술의 안전시스템
(나) E/E/PE 또는 다른 기술의 안전시스템, 외부 위험감소 시설 등에 안전 기능을 할당하는 경우 안전수명주기의 각 단계에서 사용할 수 있는 기 술과 자원이 고려되어야 한다.
(다) 안전시스템의 안전무결성 수준 확보를 위하여 안전기능을 수행하는 각각 의 E/E/PE 안전시스템에 안전무결성 수준이 할당되어야 한다. 이때 다른 기술의 안전시스템과 외부 위험감소 시설에 의해 달성된 위험감소도 고 려되어야 한다.
(라) 안전수준의 할당으로 요구되는 위험감소를 달성하지 못한 경우, 시스템 을 수정한 후 할당과정을 다시 반복하여야 한다. <그림 5>는 본 단계 에서의 안전 수준 할당방식을 보여주고 있다.
(마) 안전수준의 할당은 각각의 안전기능에 대하여 할당되어야 하며 안전무 결성 수준도 만족되어야 한다.
(바) 각각의 안전무결성 수준은 다음과 같이 정량화되어야 한다.
- 필요 시 안전기능이 수행되지 않는 평균 고장확률(운전을 가끔 하는 경우)
- 시간당 고장확률(연속운전 또는 운전을 자주 하는 경우) (사) 안전수준의 할당은 공통고장원인을 고려하여야 한다.
(아) E/E/PE 또는 다른 기술의 안전시스템, 외부 위험감소 시설 등을 독립 적으로 운영하는 경우에는 다음의 모든 조건이 만족되어야 한다.
- 완전히 다른 제어방식을 사용하여 동일한 결과를 얻을 수 있어야 한다.
- 서로 다른 기술의 장비를 사용하여 동일한 결과를 얻을 수 있어야 한다.
- 정전사고처럼 공통원인고장으로 전체 시스템이 위험한 상태가 되지 않도록 조치하여야 한다.
- 공통으로 적용되는 운전, 정비 혹은 시험절차가 없어야 한다.
- 고장에 의하여 병렬 구성된 안전시스템 또는 외부 위험감소 시설이 영향을 받지 않도록 분리되어야 한다.
(아) E/E/PE 안전시스템에 할당된 각각의 안전기능에 대하여 <표 1> 및 <표 2>와 같이 안전무결성 수준이 지정되어야 하며, 안전무결성 수준에 따 른 고장률은 다음의 값으로 정량화되어야 한다.
- 필요 시 안전기능이 수행되지 않는 평균 고장확률(운전을 가끔 하는 경우)
- 시간당 고장확률(연속운전 또는 운전을 자주 하는 경우)
<표 1> 안전무결성 수준 : 운전을 가끔 하는 경우의 고장률
| 안전무결성 수준 | 운전을 가끔 하는 경우 (필요 시 안전기능이 수행되지 않는 평균 고장확률) |
|||
| 4 | ≥ 10-5 | 에서 | < | 10-4 |
| 3 | ≥ 10-4 | 에서 | < | 10-3 |
| 2 | ≥ 10-3 | 에서 | < | 10-2 |
| 1 | ≥ 10-2 | 에서 | < | 10-1 |
<표 2> 안전무결성 수준 : 운전을 자주 하는 경우의 고장률
| 안전무결성 수준 | 연속운전 또는 운전을 자주 하는 경우 (시간당 고장확률) |
|||
| 4 | ≥ 10-9 | 에서 | < | 10-8 |
| 3 | ≥ 10-8 | 에서 | < | 10-7 |
| 2 | ≥ 10-7 | 에서 | < | 10-6 |
| 1 | ≥ 10-6 | 에서 | < | 10-5 |
(카) E/E/PE 안전시스템이 서로 다른 안전무결성 수준으로 구성된 경우 이 들 사이에 충분한 독립성이 없으면, 안전관련 하드웨어와 소프트웨어는 안전무결성 수준 중 최고의 값을 적용하여야 한다.
(타) 안전무결성 수준 4의 단일 E/E/PE가 아래의 ①을 만족하거나, ②와 ③ 을 동시에 만족할 경우 안전시스템으로 사용할 수 있다.
① 안전무결성 수준을 분석과 시험 등의 방법으로 명시적으로 증명한 경우
② 유사한 운전환경과 복잡성을 갖는 시스템에서 E/E/PE 안전시스템 으로 운전한 경험이 있는 경우
③ E/E/PE 안전시스템으로 사용된 하드웨어 고장이 안전무결성 수준 을 충분히 만족함을 확인한 경우
(파) 단일 E/E/PE 안전시스템은 <표 1>과 <표 2>에서 지정한 값 이하의 안전무결성 수준으로 할당하면 안 된다.
- 운전을 가끔 하는 경우, 필요 시 안전기능이 동작하지 않을 고장률 의 하한치는 평균 고장확률 10-5로 설정된다.
- 연속운전 또는 자주 운전하는 경우, 위험고장확률의 하한치는 시간 당 10-9으로 설정된다.
(하) 상기 (가)항부터 (파)항에서 얻은 정보, 검토결과, 가정과 증명내용 등 은 문서로 작성되어야 한다.
5.2.7 운전 및 정비계획
(1) 운전 및 정비계획의 목적
본 단계의 목적은 필요한 기능안전을 유지하기 위하여 E/E/PE 안전시스템 을 운전하고, 정비하기 위한 계획을 개발하는 것이다.
(2) 운전 및 정비계획 단계의 요구조건
(가) 다음의 사항을 규명한 운전 및 정비에 관한 계획을 수립하여야 한다. ① E/E/PE 안전시스템의 기능안전을 유지시키기 위한 정규작업
② 불안전한 운전상태를 줄여 E/E/PE 안전시스템의 사용빈도를 줄이 고, 피해결과를 감소시키기 위한 조치와 제한사항
③ 기능안전의 감사 및 시험결과에 대한 내용
④ 위험사건 및 잠재적 위험사건에 관한 내용
⑤ 정비작업의 범위
⑥ 위험사건 발생 시의 조치내용
⑦ 운전 및 정비작업 시 시간대별 조치내용
(나) 잠재 고장원인을 파악하기 위한 체계적인 정비절차가 수립되어야 한다.
(다) E/E/PE 안전시스템의 정비계획은 E/E/PE 또는 다른 기술의 안전시스템, 외 부 위험감소설비, 안전시스템이 아닌 일반설비의 정비담당자와 사전 합의가 있어야 한다.
5.2.8 안전검증계획
(1) 안전검증계획의 목적
본 단계의 목적은 E/E/PE 안전시스템의 안전검증을 위한 계획을 개발하는 것이다.
(2) 안전검증계획 단계의 요구조건
(가) 안전검증계획에는 다음의 내용이 포함되어야 한다.
① 검증 수행시기에 대한 내용
② 검증 수행인원에 대한 내용
③ 아래 운전과정에 대한 E/E/PE 안전시스템의 제어사양
- 설정, 조정 등을 포함한 설치준비 및 시운전과정
- 운전훈련과정
- 자동, 수동 및 반자동 운전과정
- 정상운전과정
- 재설정, 정지 및 정비과정
- 비정상 운전상태
④ 설비의 정상운전을 위하여 검증할 필요가 있는 E/E/PE 안전시스템 의 사양
⑤ 검증을 위한 분석방법, 통계처리 등의 기술적 방법
⑥ 안전기능의 할당이 적정함을 확인할 수 있는 방법 및 절차
⑦ 측정장비의 보정 등 검증에 필요한 사항
⑧ 합격과 불합격의 기준
⑨ 검증결과의 평가방법과 절차
(나) 상기 (가)항의 안전검증계획은 문서로 작성하여야 한다.
5.2.9 설치 및 시운전 계획
(1) 설치 및 시운전 계획의 목적
(가) 본 단계의 목적은 필요한 기능안전을 확보하기 위하여, E/E/PE 안전시 스템의 설치계획을 개발하는 것이다.
(나) 본 단계에서의 또 다른 목적은 필요한 기능안전을 확보하기 위하여 E/E/PE 안전시스템의 시운전계획을 개발하는 것이다.
(2) 설치 및 시운전 계획단계의 요구조건
(가) E/E/PE 안전시스템의 설치를 위한 계획에는 다음의 사항이 포함되어야 한다.
- 설치계획 및 절차
- 설치되는 설비별 책임한계
- 다양한 부품을 통합 설치하는 절차
- E/E/PE 안전시스템의 설치준비 또는 설치작업이 완료되었음을 확인하 는 절차
- 고장 또는 부적합 사항을 해결하는 절차
(나) E/E/PE 안전시스템의 시운전계획에는 다음의 사항이 포함되어야 한다.
- 시운전계획 및 절차
- 시운전 되는 설비별 책임한계
- 시운전 단계별 상호 연관관계
- 검증과의 상호관계
(다) 설치 및 시운전계획은 문서로 작성하여야 한다.
5.2.10 E/E/PES의 실현
(1) E/E/PES 실현의 목적
본 단계의 목적은 E/E/PES 안전기능과 안전무결성 수준에 적합한 E/E/PE 안전시스템을 개발하는 것이다.
(2) E/E/PES 실현단계의 요구조건
E/E/PES는 본 지침의 요구조건과 하드웨어에 관한 안전 요구사양을 만족시켜야 한다.
5.2.11 다른 기술의 실현
(1) 다른 기술 실현의 목적
본 단계의 목적은 다른 기술에 의한 안전기능과 안전무결성 요구사양에 적 합한 시스템을 개발하는 것이다.
(2) 다른 기술 실현단계의 요구조건
다른 기술에 의한 안전기능과 안전 무결성 수준은 본 지침에서 취급하지 않 는다.
5.2.12 외부 위험감소설비의 실현
(1) 외부 위험감소설비 실현의 목적
본 단계의 목적은 외부 위험감소설비의 안전기능과 안전무결성 수준에 적 합한 위험감소설비를 개발하는 것이다.
(2) 외부 위험감소설비 실현단계의 요구조건
외부 위험감소설비의 안전기능과 안전무결성 수준은 본 지침에서 취급하지 않 는다.
5.2.13 설치 및 시운전
(1) 설치 및 시운전의 목적
(가) 본 단계의 목적은 안전기능을 확보하기 위하여 E/E/PE 안전시스템을 설치하기 위한 것이다.
(나) 본 단계에서의 또 다른 목적은 E/E/PE 안전시스템을 시운전하기 위한 것이다.
(2) 설치 및 시운전 단계의 요구조건
(가) 설치작업은 E/E/PE 안전시스템의 설치계획에 따라 수행되어야 한다.
(나) 설치 시 다음의 내용을 문서로 기록하여야 한다. - 설치작업에 관한 내용
- 고장 또는 부적합 사항 발생 시의 해결방안
(다) 시운전 작업은 E/E/PE 안전시스템의 시운전계획에 따라 시행되어야 한다.
(라) 시운전 시 다음의 내용을 문서로 작성하여야 한다.
- 시운전 작업에 관한 사항
- 고장에 관한 사항
- 고장 또는 부적합 사항 발생 시의 해결방안
5.2.14 안전검증
(1) 안전검증의 목적 본 단계의 목적은 E/E/PE 안전시스템의 안전수준을 검증하는 것이다.
(2) 안전검증 단계의 요구조건
(가) 검증작업은 E/E/PE 안전시스템 안전검증계획에 따라 수행되어야 한다.
(나) 검증작업에 사용되는 장비는 국가규격 또는 공급업자 규격에 따라 보정되어야 한다.
(다) 검증 시 다음의 내용이 문서화되어야 한다. - 시간대별 검증작업에 관한 사항
- 검증에 사용된 안전사양의 버전
- 검증한 안전기능
- 사용된 공구, 장비 및 보정 값
- 검증 작업의 결과
- 시험품목, 사용절차, 시험결과 등에 관한 내용
- 예상치와 실제 결과치의 차이
(라) 예상치와 실제 결과가 차이가 발생한 경우에는 검증을 계속할 것인지
혹은 변경요청 후 초기상태에서 다시 검증할지를 결정하고 이를 문서로 작성하여야 한다.
5.2.15 운전 및 정비
(1) 운전 및 정비의 목적
본 단계의 목적은 필요한 기능안전을 유지하기 위하여 E/E/PE 안전시스템 을 운전 및 정비하는 것이다.
(2) 운전 및 정비단계의 요구조건
(가) 운전 및 정비를 위하여 다음의 사항이 구비되어야 한다.
- E/E/PE 안전시스템의 운전 및 정비계획
- E/E/PE 안전시스템의 운전 및 정비절차
- 소프트웨어의 운전 및 보수절차
(나) 운전 및 정비 시 다음 사항을 실행하여야 한다.
- 정비계획 및 절차에 따른 작업수행
- 문서의 갱신 및 보관
- 기능안전에 관한 정기적 감사실행
- E/E/PE 안전시스템에서 변경된 사항을 기록
(다) 운전 및 정비작업의 사례를 <그림 6>에 제시하였고, 운전 및 정비관리 의 사례를 <그림 7>에 나타내었다.
(라) E/E/PE 안전시스템의 운전 및 정비에 관한 시간대별 문서에는 다음의 내용이 포함되어야 한다.
- 기능안전에 대한 감사내용
- E/E/PE 안전시스템이 필요한 경우 및 그 원인에 대한 내용, 안전시 스템의 성능, 정비 시 확인된 고장사항 등
- 제어시스템 또는 E/E/PE 안전시스템에서 변경된 사항
5.2.16 변경과 확충
(1) 변경과 확충의 목적
본 단계의 목적은 E/E/PE 안전시스템의 변경 또는 확충하는 경우 기능안 전이 적절한지를 확인하는 것이다.
(2) 변경과 확충단계의 요구조건
(가) 변경 또는 확충작업을 수행하기 전 작업절차를 수립하여야 한다. 변경 절차의 한 사례를 <그림 8>에 제시하였다.
(나) 변경과 확충은 기능안전 확보를 위하여 사전 승인요청에 의해 시행되 어야 하며, 요청 시 다음과 같은 사항이 제시되어야 한다.
- 변경과 확충에 의한 새로운 위험
- 하드웨어와 소프트웨어의 변경내용
- 변경하는 사유
(다) 제안된 변경 또는 확충작업이 E/E/PE 안전시스템의 기능안전에 미치 는 영향을 평가하여야 한다. 평가에는 E/E/PES 또는 소프트웨어 안전 수명주기 각 단계에서의 위험성평가가 포함되어야 하며, 함께 진행 중 인 다른 변경 또는 확충작업의 영향, 변경과 확충작업을 하는 동안 또 는 수행된 이후의 기능안전도 평가되어야 한다.
(라) 변경과 확충작업의 수행여부는 영향평가의 결과에 따라 결정된다.
(마) 다음의 내용을 포함한 변경과 확충 시의 작업내용을 시간대별로 문서 화하여야 한다.
- 변경 또는 확충작업의 승인요청 내용
- 영향평가의 결과
- 입력과 결과에 대한 재검증 및 확인 결과
- 변경 또는 확충으로 영향을 받은 문서목록
5.2.17 사용종료 혹은 폐기
(1) 사용종료 혹은 폐기의 목적
본 단계의 목적은 운전설비의 사용종료 혹은 폐기작업 중 또는 그 이후에 도 E/E/PE 안전시스템의 기능안전을 확보하기 위한 것이다.
(2) 사용종료 혹은 폐기단계의 요구조건
(가) 사용종료 혹은 폐기에 앞서 다음의 내용이 포함된 작업절차를 수립하여야 한다.
- E/E/PE 안전시스템의 정지절차
- E/E/PE 안전시스템의 분해절차
(나) 사용종료 혹은 폐기작업을 수행하기 전 폐기되는 운전설비 관련 안전 시스템이 다른 E/E/PE 안전시스템에 미치는 영향을 평가하여야 한다. 평가에는 E/E/PES 및 소프트웨어 안전수명주기 각 단계에서의 위험성 평가가 포함되어야 한다.
(다) 사용종료와 폐기작업의 수행 여부는 영향평가의 결과에 따라 결정된다.
(라) 사용종료 혹은 폐기작업은 기능안전의 확보를 위한 관리절차에 따라 승인요청에 의해서만 시행되어야 한다.
(마) 다음의 내용을 포함한 사용종료와 폐기 시 작업내용을 시간대별 문서 로 작성하여야 한다.
- 사용종료 혹은 폐기작업에 관한 계획
- 영향분석의 결과
5.2.18 확인
(1) 확인의 목적
본 단계의 목적은 E/E/PES 및 소프트웨어의 안전수명주기 각 단계에서 지 정한 목적과 요구조건을 만족시키고 있음을 확인하는 것이다.
(2) 확인단계의 요구조건
(가) E/E/PES 및 소프트웨어의 안전수명주기 단계별로 확인작업을 수행하 기 위한 계획을 수립하여야 한다.
(나) 확인계획에는 적용될 기준, 기술, 시험장비 등의 내용을 포함시켜 문서 로 작성하여야 한다.
(다) 확인과정이 모든 측면에서 완벽하게 수행되었음을 증명할 수 있는 정 보와 자료를 수집하고 이를 문서로 작성하여야 한다.
5.3 기능안전의 평가
(1) 기능안전 평가의 목적
기능안전의 평가는 E/E/PE 안전시스템에 의한 기능안전이 적절한 지를 판 단하기 위한 것이다.
(2) 기능안전 평가의 요구조건
(가) E/E/PE 안전시스템에 의한 기능안전을 평가하기 위하여 복수의 담당 자를 임명하여야 한다.
(나) 기능안전 평가를 수행하는 담당자는 E/E/PES 및 소프트웨어의 안전수명주기 각 단계에서의 작업자, 관련 설비의 정보 등에 대해 조사할 수 있는 권한을 가져야 한다.
(다) 기능안전 평가는 E/E/PES 및 소프트웨어 안전수명주기의 모든 단계에 대해 수행되어야 한다. 기능안전 평가를 수행한 담당자는 안전수명주기 각각의 단계에서 평가한 결과가 단계별 목적과 요구조건을 만족하는지를 판단하여야 한다.
(라) 위험성평가를 통해 파악된 위험원이 여러 단계에 걸쳐 영향을 미치는 경우의 기능안전 평가는 각각의 안전수명주기 단계 및 여러 단계의 안 전수명주기 전체에 대하여 수행되어야 한다.
(마) 일부 장비가 E/E/PES 및 소프트웨어의 안전수명주기 동안 설계나 평가 도 구로서 사용되는 경우 그 장비에 대한 기능안전 평가도 포함되어야 한다.
(바) 기능안전 평가는 다음의 내용을 포함하여야 한다.
- 기존의 기능안전 평가 이후 수행된 작업내용
- E/E/PES 및 소프트웨어에 대하여 추가적인 기능안전 평가가 필요 한 경우 이를 위한 계획 및 전략
- 기존의 기능안전 평가에 의한 권장사항과 이에 따라 변경된 사항
(사) E/E/PES 및 소프트웨어의 서로 다른 수명단계에서 수행한 기능안전 평가 간에 상호 일관성이 있어야 한다.
(아) 기능안전 평가계획에는 다음의 내용이 규명되어야 한다.
- 기능안전 평가를 수행하는 담당자
- 기능안전 평가에 의한 결과
- 기능안전 평가의 범위
(자) 기능안전 평가는 기능안전을 책임지고 있는 담당자와 평가를 수행하는 담당자의 승인을 받은 후 시행되어야 한다.
(차) 기능안전의 평가를 수행한 후 인증, 조건부 인증 또는 불합격의 결정을 내려야 한다.
(카) 기능안전 평가자는 안전시스템에 대한 지식과 현장경험, 관계법령의 숙 지, 안전 요구조건 및 안전무결성 수준, 설계 등에 대한 평가능력을 갖 추어야 한다.
(타) 기능안전을 수행하는 담당자는 <표 3> 및 <표 4>에서 지정하는 최소 수준의 독립성을 보장받아야 한다.
(파) <표 3> 및 <표 4>의 HR1 또는 HR2의 선정은 평가할 변수의 수에 의해 결정된다. HR1을 채택하면 HR2는 적용되지 않으며, HR2를 채택 하면 HR1은 NR로 간주한다. 적용할 규격이 없는 경우에는 HR1 또는 HR2를 선정한 이유를 명기하여야 하며, HR1보다 HR2를 선택하는 경우 는 다음과 같다.
- 유사한 설계경험이 없을 경우
- 더 복잡한 설계의 경우
- 새로운 설계의 경우
- 새로운 기술에 의한 경우
- 설계된 기능의 적용 규격이 없는 경우
(하) <표 4>에서 독립성의 최소 수준은 E/E/PE 안전시스템의 안전무결성 수 준을 기반으로 하여 지정된다.
<표 3> 기능안전 평가 수행자에 대한 최소 수준의 독립성
(<그림 1>의 1번~8번 및 12번~16번 해당)
| 최소 수준의 독립성 | 피해결과 | |||
| A | B | C | D | |
| 독립 담당자 | HR | HR1 | NR | NR |
| 독립 부서 | - | HR2 | HR1 | NR |
| 독립 조직 | - | - | HR2 | HR |
(주) 피해결과 A : 경미한 부상 피해결과 B : 다수의 중상 또는 한 명의 사망 피해결과 C : 다수의 사망 피해결과 D : 많은 인명의 사망
• HR : 독립성이 매우 높은 수준이며, 이는 피해결과 또는 <표 4> 의 안전무결성 수준이 최소인 경우
• NR : 독립성이 충분하지 않은 수준이며, 이를 적극적으로 권장하 지 않음.
• - : 독립성 수준을 권장할 수 없거나, 사용을 금지하는 경우
<표 4> 기능안전 평가수행자에 대한 최소 수준의 독립성
(<그림 2 및 3>의 모든 단계와 그림 1의 9번 해당)
| 최소 수준의 독립성 | 안전무결성 수준 | |||
| 1 | 2 | 3 | 4 | |
| 독립 담당자 | HR | HR1 | NR | NR |
| 독립 부서 | - | HR2 | HR1 | NR |
| 독립 조직 | - | - | HR2 | HR |
개요
| 안전수명 단계 | 목적 | 범위 | 입력 | 출력 | |
| <그림 1> 번호 |
제목 | ||||
| 1 | 개념 | 안전수명주기 동안 안전 기능을 확보할 수 있도 록 운전설비와 해당 환경 에 대한 이해수준 제고 | 운전설비와 해당 환경 | 개념단계의 요구조 건에 필요한 정보 | 개념단계의 요구 조건을 만족하는 정보 |
| 2 | 전체 범위 정의 | 운전설비와 제어시스템 의 경계 구분, 위험성평가 범위의 지정 | 운전설비와 해당 환경 | 개념단계에서 얻은 정보 | 전체범위 정의의 요구조건을 만족 하는 정보 |
| 3 | 위험성 평가 |
운전설비 및 제어시스템 의 위험성과 위험 사건, 위험사건으로 전개되는 과정, 위험사건과 관련 된 운전설비의 위험도를 결정 |
E/E/PES 및 소프트 웨어 안전수명주기의 각각의 단계, 사전 위험성평가의 경 우 운전설비 및 제어 시스템, 인적 요소 등 이 포함 | 전체범위 정의에서 얻은 정보 | 위험성평가에 관 한 설명 및 관련 정보 |
| 4 | 전체 안전 수준 | 필요한 기능안전을 확보 하기 위한 전체안전에 대한 안전사양의 개발 | 운전설비 및 제어시스 템, 인적 요소 | 위험성평가에 관한 설명 및 관련 정보 | 안전기능과 안전 무결성 수준을 만 족하는 전체 안전 사양 |
| 5 | 안전 수준 할당 | 안전사양에 있는 안전기 능과 안전무결성 수준을 E/E/PE 또는 다른 기술 의 안전시스템, 외부 위 험감소 시설 등에 할당 | 운전설비 및 제어시스 템, 인적 요소 | 안전기능과 안전무 결성 수준을 만족 하는 안전사양 | 안전수준의 할당 결과와 관련 정보 |
| 6 | 운전및 정비 계획 | E/E/PE 안전시스템의 운 전 및 정비를 위한 계획 의 개발 | 운전설비 및 제어시스 템, 인적 요소, E/E/PE 안전시스템 | 안전기능과 안전 무 결성 수준을 만족하 는 안전사양 | E/E/PE 안전시스 템의 운전 및 정 비계획 |
| 7 | 안전 검증 계획 | E/E/PE 안전시스템의 안전 검증을 위한 계획의 개발 | 운전설비 및 제어시스 템, 인적 요소, E/E/PE 안전시스템 | 안전기능과 안전무 결성 수준을 만족하 는 안전사양 | E/E/PE 안전시스 템 검증을 위한 계획 |
개요(계속)
| 안전수명 단계 | 목적 | 범위 | 입력 | 출력 | |
| <그림 2> 번호 |
제목 | ||||
| 8 | 설치 및 시운전 계획 |
필요한 기능안전을 확보 하기 위한 E/E/PE 안전시 스템의 설치 및 시운전계 획 개발 | 운전설비 및 제어시스 템, 인적요소, E/E/PE 안 전시스템 |
안전기능과 안전무 결성 수준을 만족 하는 안전사양 | E/E/PE 안전시스 템의 설치계획, E/E/PE 안전시스 템의 시운전 계획 |
| 9 | E/E/PE 안전 시스템 실현 |
E/E/PES 안전사양에 적 합한 E/E/PE 안전시스템 의 개발 |
E/E/PE 안전시스템 | E/E/PES 안전사양 | E/E/PES 안전사양 을 만족하는 안전 시스템개발 |
| 10 | 다른 기술 안전 시스템 실현 |
해당 시스템의 안전기능과 안전무결성 수준을 만족하 는 다른 기술의 안전시스 템 개발 | 다른 기술의 안전시스템 | 다른 기술의 안전 사양 | 해당시스템의안전 사양을 만족하는 안전시스템 개발 |
| 11 | 외부 위험 감소 설비 실현 | 해당 시스템의 안전기능과 안전무결성 수준을 만족 하는 외부 위험감소 설비 의 개발 | 외부 위험감소설비 | 외부 위험감소설비의 안전사양 | 해당 설비의 안전 사양을 만족하는 외부 위험감소설 비의 개발 |
| 12 | 설치 및 시운전 | E/E/PE 안전시스템의 설 치 및 시운전 |
운전설비 및 제어시스템, E/E/PE 안전시스템 | E/E/PE 안전시스템 의 설치 및 시운전 을 위한 계획 | E/E/PE 안전시스 템의 완전한 설치 및 시운전 |
| 13 | 안전 검증 | E/E/PE 안전시스템의 안 전사양 충족여부를 검증 | 운전설비 및 제어시스템, E/E/PE 안전시스템 | E/E/PE 안전시스템 검증을 위한 계획, 안전기능과안전무결성 수준을 만족하는 안 전사양, 안전수준의 할당 | E/E/PE 안전시스 템에 할당된 각각 의 안전기능과 안 전무결성 수준이 안전사양의 충족 여부를 확인 |
개요(계속)
| 안전수명 단계 | 목적 | 범위 | 입력 | 출력 | |
| <그림 2> 번호 |
제목 | ||||
| 14 | 운전 및 정비 | 필요한 기능안전 확보를 위하여 E/E/PE 안전시스 템의운전및정비 | 운전설비 및 제어시스템, E/E/PE 안전시스템 | E/E/PE 안전시스 템의 운전 및 정비 계획 | E/E/PE 안전시스템 의기능안전유지, E/E/PE 안전시스 템의 운전 및 정 비에 관한 시간 대별 문서 |
| 15 | 변경과 확충 |
변경과확충단계에서E/E/PE 안전시스템의 기능안전이 적 절한 지를 확인 | 운전설비 및 제어시스템, E/E/PE 안전시스템 | 기능안전의 관리 절 차에 의한 변경 혹은 확충 승인 요청서 | 변경과확충시E/E/PE 안전시스템의 기능 안전 확보, E/E/PE 안전시스템의 변 경과 확충작업에 관한시간대별문서 |
| 16 | 사용 종료 혹은 폐기 | 운전설비의 사용종료 혹 은 폐기작업 중 또는 그 이후에도 E/E/PE 안전 시스템의 기능안전을 확보 | 운전설비 및 제어시스템, E/E/PE 안전시스템 | 기능안전의 관리 절 차에 의한 사용종료 혹은 폐기작업 승인 요청서 | 사용종료 또는 폐기 작업시 E/E/PE안전 시스템의 기능안전 확보, 사용종료 또는 폐 기작업에 관한 시 간대별 문서 |