리스크 감소 요소를 통한 적정 SIL 수준 달성

리스크 감소 요소 RRF(Risk Reduction Factor)

by 현우민
Aug 16. 2025

안전 무결성 수준(SIL, Safety Integrity Level)을 충족하는 시스템 설계는 단순하지 않을 뿐만 아니라, 경제적 부담 또한 크다. 이러한 상황에서 리스크 감소 요소(RRF, Risk Reduction Factor) 는 중요한 역할을 수행한다. RRF를 적절히 적용할 경우 불필요한 과설계를 방지하면서도 요구되는 SIL을 만족할 수 있다. 단, RRF는 반드시 시스템 설계와 독립적이어야 하며, 안전 기능별 SIL 배분 과정에서도 반영되어야 한다.

MODSafe 프레임워크

RRF를 체계적으로 반영하기 위한 틀로는 MODSafe (WP4 – D4.2) 프레임워크가 유용하다. 해당 프레임워크는 RRF를 다음 세 가지 핵심 매개변수로 정의한다.


E – 노출(Exposure)
위험에 노출되는 빈도 및 인원 규모.
(예: 마을 건널목과 도시 건널목 비교)

P – 확률 감소(Probability reduction)
위험 발생 확률을 감소시키는 외부 요인.
(예: 경고 표지판)

C – 결과 감소(Consequence reduction)
사고 발생 시 피해의 심각성을 줄이는 방법.
(예: 엘리베이터 문에 충격 완화 패드를 설치하여 부상 경감)


예시1: 함정용 미사일 발사 시스템

QI%3D

시스템 개요

해군 함정에 탑재되는 미사일 발사 시스템(Missile Launch System, MLS) 은 전투 상황에서 즉각적인 대응이 가능해야 하며, 오작동 시 심각한 인명 및 자산 피해를 초래할 수 있다. 따라서 해당 시스템은 높은 수준의 SIL이 요구된다. 그러나 모든 구성 요소를 최고 수준으로 설계하는 것은 과도한 비용 및 중량 증가로 이어질 수 있다.

여기서 RRF(Risk Reduction Factor) 가 중요한 역할을 한다.


RRF 적용 예시

1. 노출(Exposure, E)

저위험 상황: 평시 항구 정박 상태에서의 MLS는 발사 명령이 내려질 가능성이 낮으며, 승조원도 엄격히 제한된 구역 내에서 활동한다. → 상대적으로 노출 빈도 낮음.

고위험 상황: 전투 임무 수행 중에는 MLS 작동 빈도가 급격히 높아지고, 주변에 다수 인원이 노출될 가능성도 존재한다. → 노출 빈도 및 규모 높음.

2. 확률 감소(Probability Reduction, P)

절차적 제어: 발사 명령은 다중 인증 절차(예: 지휘관 승인 + 무기 담당관 키 삽입) 없이는 실행 불가.

물리적 인터락: 시스템 내부에는 발사 회로를 기계적으로 차단하는 안전 핀(safety pin)이 존재하여, 이를 제거하지 않으면 발사가 불가능하다.
→ 이러한 절차와 인터락은 발사 오작동 확률을 효과적으로 감소시킨다.

3. 결과 감소(Consequence Reduction, C)

격리 구역 설계: 만약 오발사 또는 연료 누출 사고가 발생하더라도, 격리 구역 내에서 폭발 압력을 제어하도록 격벽(bulkhead)을 설계.

화재 진압 시스템: 자동 화재 억제 장치가 탑재되어, 사고 시 피해 확산을 최소화.


분석 결과

전투 상황에서 MLS는 높은 SIL이 요구되지만, RRF 요소(E, P, C) 를 고려하면 모든 하위 구성품에 동일하게 최고 수준의 SIL을 부여할 필요는 없다.

예를 들어, 발사 명령 인터페이스는 절차적 제어(P)에 의해 위험 확률이 낮아지고, 격리 구역(C)이 결과를 완화하므로, 특정 전자부품에는 중간 수준의 SIL을 적용해도 충분하다.

반대로, 발사 제어 소프트웨어와 같은 핵심 기능은 여전히 높은 SIL 수준이 요구된다.


예시2: 철도 건널목(Level Crossing, LC)

services-thumb-level-crossing.jpg

철도 건널목에 설치된 경고 표지판은 도로 이용자와 열차 운행자 모두에게 위험을 사전에 인지시키며, 사고 발생 확률을 감소시킨다. 이는 결과적으로 건널목 전체 안전성을 강화하는 역할을 한다. 따라서 건널목 제어 시스템의 SIL 수준을 결정할 때, 이러한 RRF를 고려하는 것이 타당하다.

또한, 건널목의 환경 조건에 따라 요구되는 SIL 수준은 달라질 수 있다.


저교통량 지역: 외딴 마을의 건널목은 노출 빈도 및 잠재적 피해 규모가 제한적이다.

고교통량 지역: 대도시의 건널목은 교통량이 많고 사고 발생 시 피해 규모가 크므로, 더 높은 수준의 SIL이 요구된다.

이는 동일한 시스템일지라도 운영 환경에 따른 차등적 SIL 설정이 필요함을 보여준다.


결론


RRF는 SIL 배분 시 실제 운용 환경을 반영할 수 있는 핵심 보완 요소이다.
E, P, C 세 가지 차원을 고려함으로써, 안전 기능별 SIL 수준을 합리적이고 실현 가능한 수준으로 설정할 수 있다. 이는 불필요한 과잉 설계를 방지하면서도 요구되는 안전성을 확보할 수 있는 효과적인 접근 방식이다.
keyword
작가의 이전글기능 안전 표준의 SIL(안전 무결성 수준) 비교