STPA 기법을 활용한 위험분석 방법 (2)
작성자
관리자
작성일
2022-01-27 15:17
조회
607
1. STPA 절차
STPA를 활용한 위험분석은 크게 4단계로 수행된다
위의 표에서 알 수 있듯이 STPA 활용한 위험분석은 총 4단계로 수행된다
오늘은 그 4단계 중 1 단계에 해당하는 사고 및 위험 정의에 대해 알아본다
1-1. 1 단계: 사고 및 위험 정의
1 단계는 STPA 위험 분석 목적이 어떠한 종류의 사고(인명 피해, 환경오염, 임무실패, 막대한 재산 손실 등)를 예방하기 위한 것인지 결정하고, 분석 대상이 되는 시스템 범위를 결정하는 단계이다.
분석 목적에 대한 정의는 다시 사고 정의, 시스템 수준 위험 정의, 시스템 수준 안전 제약사항 도출 등 세부 단계로 구분된다.
● 사고 정의 (Identifying accidents or losses)
시스템에 발생할 수 있는 사고를 정의한다. 사고 종류로는 인명 손실 또는 부상, 재산 손실, 환경 오염 뿐만 아니라 중요 정보 손실 또는 유출, 목표 달성 실패, 명성 손실 등도 다양하게 포함될 수 있다. 시스템 이해관계자들은 분석하고자 하는 사고 범위를 정의해야 하며, 해당 사고는 추적이 가능하도록 ID를 부여하여야 한다.
(예시) Door Interlock System의 사고
Door Interlock System은 고압전류가 흐르는 특정 공간을 차단하기 위한 시스템으로, 사람이 고압 전류에 노출된 공간에 입장하고자 문을 열면, 해당 고압전류가 차단되어 사람이 고압전류에 노출되지 않게 하는 안전 시스템이다. 이 시스템에서는 사람이 고압전류에 노출되어 사망 또는 부상당하거나, 물체가 고압전류에 노출되어 손실되는 경우를 사고로 식별할 수 있다
A1: Accident 1
●시스템 수준 위험 정의(Identifying system-level hazards)
위험분석을 위해서는 먼저 대상 시스템을 선정하고 시스템 범위를 정의할 필요가 있다. 시스템 범위는 설계나 운영관리 등을 통해 제어(Control)가 가능한 부분을 범위로 정의하는 것이 좋다. 제어가 불가능한 부분을 위험분석 범위에 포함하면 위험을 관리할 수 있는 수단을 사실상 마련할 수 없기 때문이다. 가령, 원자력 발전소 시스템의 경우 사고에 영향을 미칠 수 있는 요인은 원자로 정지 시스템 제어 문제, 도시 위치, 풍향, 풍속 등 다양하다. 이 때 도시 위치나 풍향, 풍속과 같은 요인은 시스템 엔지니어가 제어할 수 없는 부분이므로 위험분석 범위에서 제외한다.
위험 분석 대상 범위를 정의한 후에는 위험을 정의한다. 위험 정의는 사고를 일으킬 수 있는 시스템 상태 또는 조건을 식별하는 것을 의미하며 다음과 같은 사항을 고려하여 정의한다.
첫째, 하나의 컴포넌트를 대상으로 위험을 정의하지 않고, 시스템 수준의 상위 개념에서 위험을 정의해야 한다. 위험은 시스템 내 특정 컴포넌트 문제에서 발생하기보다 여러 컴포넌트들이 상호 작용하는 가운데 발생하므로 컴포넌트 수준이 아닌 시스템 수준에서 위험을 식별해야 한다.
둘째, 시스템 설계자에 의해 제어할 수 없는 부분(예: 외부 환경적 조건)은 위험 범위에서 제외해야 한다. 이유는 앞서 시스템 범위 선정 시 제어 가능한 부분만을 범위에 포함하는 것과 같은 이유이다.
셋째, 위험이 항상 사고를 유발하는 것은 아니므로 항상 사고로 연결되지 않더라도 최악의 경우 사고를 일으킬 수 있는 상황에 대해서도 위험으로 정의한다. 가령, ‘독성 물질의 유출’ 은 바람이 도시로 불지 않는 경우에는 사고로 연결되지 않을 수 있으나, 풍향이나 기상조건에 의해 치명적 피해를 끼칠 수 있으므로 위험으로 포함할 수 있다.
넷째, 시스템의 일반적 상황이나 상태를 위험으로 정의할 수 없다. 예를 들어, ‘비행 중인 비행기’를 위험으로 정의하게 되면 위험을 제거하기 위해서는 비행 자체를 하면 안된다는 결과가 도출된다. 따라서, ‘비행기 간 최소 이격거리를 위반함’과 같이 시스템의 특정 환경과 조건이 적용된 상황을 위험으로 정의해야 한다.
시스템 수준 위험은 시스템, 시스템의 불안전한(Unsafe) 상태, 이로 인해 유발되는 사고 등 3가지 요소를 포함하여 정의한다. 위험 개수는 보통 5 ~ 7개 정도로 정의하며 최대 10개를 넘어가지 않는 것이 좋다. 정의한 모든 위험은 앞서 정의한 사고 중 하나 이상과 반드시 연결시킬 수 있어야 한다.
위험 = 시스템 & 시스템의 불안전한 상태 또는 행위 & [유발될 수 있는 사고]
[시스템 수준 위험 정의 사례]
- Vehicle does not maintain safe distance from terrain and other obstacles. UAV does not complete surveillance mission.
- The aircraft leaves the designated taxiway, runway or apron on the ground.
- Aircraft comes too close to other objects on the ground.
- Nuclear power plant releases dangerous materials.
(예시) Door Interlock System의 위험
Door Interlock System에서 위험은 사람 또는 물체가 고압 전류에 노출된 경우로 식별할 수 있다
H1: Hazard 1
[참고] 사고(Accident)와 위험(Hazard)1)
1): CAST(Causal Analysis Using System Theory) Accident Analysis, Robert Fletcher p 46.
● 시스템 수준 안전 제약사항 도출(Identifying system-level safety constraints)
시스템 수준의 안전 제약 사항이란 앞서 정의한 위험과 대응되는 개념으로서 사고나 손실을 막기 위한 시스템의 상태 또는 행동을 의미한다. 안전 제약사항은 정의한 각 위험 발생을 방지하기 위한 상태나 행동으로 정의한다. 예를 들어, 정의한 위험이 “비행기가 최소 이격 거리를 위반함”일 경우, 안전 제약사항은 “비행기는 다른 비행기나 물체 사이의 최소 이격 거리를 반드시 준수하여 운행해야 함”으로 정의할 수 있다.
안전 제약사항 = 시스템 & 지켜야 할 상태 또는 행위 & [관련 위험]
(예시) Door Interlock System의 안전제약 사항
Door Interlock System에서 위험은 사람 또는 물체가 고압 전류에 노출된 경우로 식별할 수 있다
SC1: Safety Constraint 1
지금까지 STPA를 활용한 위험분석 4단계 중, 그 첫번째 해당하는 사고 및 위험 정의에 대해 알아보았다. 다음은 2단계로서 Control Structure 도식화에 알아보기로 한다.
[출처 및 참고: STPA를 활용한 위험분석 가이드(TTA, 2018.12)]
https://blog.naver.com/vway_news/222459659401
STPA를 활용한 위험분석은 크게 4단계로 수행된다
| 단계 구분 | 단계 명 | 주요 수행 내용 |
| 1 단계 | 사고 및 위험 정의 | - 관련 사고 도출 - 위험 정의 - 위험을 안전 제약사항으로 변환 |
| 2 단계 | Control Structure 도식화 | - 제어 관계에 따른 개체(컴포넌트) 식별 - 제어명령, 피드백, 프로세스 모델 등 도식화 |
| 3 단계 | Unsafe Control Action 도출 | - 4가지 유형에 따른 Unsafe Control Action 도출 [4가지 유형] 1) CA is not provided 2) UCA is provide 3) CA is too early, too late, out of sequence 4) CA is stopped too soon, applied too long CA: Control Action, UCA: Unsafe Control Action |
| 4 단계 | 원인 시나리오 도출 | -Unsafe Control Action 발생 원인 도출 |
오늘은 그 4단계 중 1 단계에 해당하는 사고 및 위험 정의에 대해 알아본다
1-1. 1 단계: 사고 및 위험 정의
1 단계는 STPA 위험 분석 목적이 어떠한 종류의 사고(인명 피해, 환경오염, 임무실패, 막대한 재산 손실 등)를 예방하기 위한 것인지 결정하고, 분석 대상이 되는 시스템 범위를 결정하는 단계이다.
분석 목적에 대한 정의는 다시 사고 정의, 시스템 수준 위험 정의, 시스템 수준 안전 제약사항 도출 등 세부 단계로 구분된다.
● 사고 정의 (Identifying accidents or losses)
시스템에 발생할 수 있는 사고를 정의한다. 사고 종류로는 인명 손실 또는 부상, 재산 손실, 환경 오염 뿐만 아니라 중요 정보 손실 또는 유출, 목표 달성 실패, 명성 손실 등도 다양하게 포함될 수 있다. 시스템 이해관계자들은 분석하고자 하는 사고 범위를 정의해야 하며, 해당 사고는 추적이 가능하도록 ID를 부여하여야 한다.
(예시) Door Interlock System의 사고
Door Interlock System은 고압전류가 흐르는 특정 공간을 차단하기 위한 시스템으로, 사람이 고압 전류에 노출된 공간에 입장하고자 문을 열면, 해당 고압전류가 차단되어 사람이 고압전류에 노출되지 않게 하는 안전 시스템이다. 이 시스템에서는 사람이 고압전류에 노출되어 사망 또는 부상당하거나, 물체가 고압전류에 노출되어 손실되는 경우를 사고로 식별할 수 있다
| ID | 설명 |
| A1 | 사람이 고압 전류에 노출되어 사망 또는 부상당함 |
●시스템 수준 위험 정의(Identifying system-level hazards)
위험분석을 위해서는 먼저 대상 시스템을 선정하고 시스템 범위를 정의할 필요가 있다. 시스템 범위는 설계나 운영관리 등을 통해 제어(Control)가 가능한 부분을 범위로 정의하는 것이 좋다. 제어가 불가능한 부분을 위험분석 범위에 포함하면 위험을 관리할 수 있는 수단을 사실상 마련할 수 없기 때문이다. 가령, 원자력 발전소 시스템의 경우 사고에 영향을 미칠 수 있는 요인은 원자로 정지 시스템 제어 문제, 도시 위치, 풍향, 풍속 등 다양하다. 이 때 도시 위치나 풍향, 풍속과 같은 요인은 시스템 엔지니어가 제어할 수 없는 부분이므로 위험분석 범위에서 제외한다.
위험 분석 대상 범위를 정의한 후에는 위험을 정의한다. 위험 정의는 사고를 일으킬 수 있는 시스템 상태 또는 조건을 식별하는 것을 의미하며 다음과 같은 사항을 고려하여 정의한다.
첫째, 하나의 컴포넌트를 대상으로 위험을 정의하지 않고, 시스템 수준의 상위 개념에서 위험을 정의해야 한다. 위험은 시스템 내 특정 컴포넌트 문제에서 발생하기보다 여러 컴포넌트들이 상호 작용하는 가운데 발생하므로 컴포넌트 수준이 아닌 시스템 수준에서 위험을 식별해야 한다.
둘째, 시스템 설계자에 의해 제어할 수 없는 부분(예: 외부 환경적 조건)은 위험 범위에서 제외해야 한다. 이유는 앞서 시스템 범위 선정 시 제어 가능한 부분만을 범위에 포함하는 것과 같은 이유이다.
셋째, 위험이 항상 사고를 유발하는 것은 아니므로 항상 사고로 연결되지 않더라도 최악의 경우 사고를 일으킬 수 있는 상황에 대해서도 위험으로 정의한다. 가령, ‘독성 물질의 유출’ 은 바람이 도시로 불지 않는 경우에는 사고로 연결되지 않을 수 있으나, 풍향이나 기상조건에 의해 치명적 피해를 끼칠 수 있으므로 위험으로 포함할 수 있다.
넷째, 시스템의 일반적 상황이나 상태를 위험으로 정의할 수 없다. 예를 들어, ‘비행 중인 비행기’를 위험으로 정의하게 되면 위험을 제거하기 위해서는 비행 자체를 하면 안된다는 결과가 도출된다. 따라서, ‘비행기 간 최소 이격거리를 위반함’과 같이 시스템의 특정 환경과 조건이 적용된 상황을 위험으로 정의해야 한다.
시스템 수준 위험은 시스템, 시스템의 불안전한(Unsafe) 상태, 이로 인해 유발되는 사고 등 3가지 요소를 포함하여 정의한다. 위험 개수는 보통 5 ~ 7개 정도로 정의하며 최대 10개를 넘어가지 않는 것이 좋다. 정의한 모든 위험은 앞서 정의한 사고 중 하나 이상과 반드시 연결시킬 수 있어야 한다.
위험 = 시스템 & 시스템의 불안전한 상태 또는 행위 & [유발될 수 있는 사고]
[시스템 수준 위험 정의 사례]
- Vehicle does not maintain safe distance from terrain and other obstacles. UAV does not complete surveillance mission.
- The aircraft leaves the designated taxiway, runway or apron on the ground.
- Aircraft comes too close to other objects on the ground.
- Nuclear power plant releases dangerous materials.
(예시) Door Interlock System의 위험
Door Interlock System에서 위험은 사람 또는 물체가 고압 전류에 노출된 경우로 식별할 수 있다
| ID | 설명 |
| H1 | 고압 전류가 유출됨[A1] |
[참고] 사고(Accident)와 위험(Hazard)1)
| Accident | Hazard |
| - 손실(loss)을 야기하는 예기치 않은 이벤트 *손실: 부상, 재산손실, 환경오염, 중대 임무 실패 등 -통제할 수 없는(Outside our control) 환경적 요인을 포함할 수 있음 |
- 사고 또는 손실(loss)을 야기할 수 있는 시스템 상태나 컨디션(예: Worst-case environment condition) - 설계를 통해 컨트롤 가능한 것 |
| 인공위성이 실종되거나 심각하게 파손됨 | 인공위성이 궤도를 이탈하도록 제어됨 |
| 사람이 화학독성 물질에 노출됨 | 화학적 독성물질이 대기중에 유출됨 |
| 사람이 피폭됨 | 원자력 발전소 노심이 녹음 |
| 사람이 식품 독성물질에 의해 사망함 | 병원균이 포함된 식품이 판매됨 |
● 시스템 수준 안전 제약사항 도출(Identifying system-level safety constraints)
시스템 수준의 안전 제약 사항이란 앞서 정의한 위험과 대응되는 개념으로서 사고나 손실을 막기 위한 시스템의 상태 또는 행동을 의미한다. 안전 제약사항은 정의한 각 위험 발생을 방지하기 위한 상태나 행동으로 정의한다. 예를 들어, 정의한 위험이 “비행기가 최소 이격 거리를 위반함”일 경우, 안전 제약사항은 “비행기는 다른 비행기나 물체 사이의 최소 이격 거리를 반드시 준수하여 운행해야 함”으로 정의할 수 있다.
안전 제약사항 = 시스템 & 지켜야 할 상태 또는 행위 & [관련 위험]
(예시) Door Interlock System의 안전제약 사항
Door Interlock System에서 위험은 사람 또는 물체가 고압 전류에 노출된 경우로 식별할 수 있다
| ID | 설명 |
| SC1 | 문이 완전히 닫히지 않은 경우 고압전류는 차단되어야 함[H1] |
지금까지 STPA를 활용한 위험분석 4단계 중, 그 첫번째 해당하는 사고 및 위험 정의에 대해 알아보았다. 다음은 2단계로서 Control Structure 도식화에 알아보기로 한다.
[출처 및 참고: STPA를 활용한 위험분석 가이드(TTA, 2018.12)]
https://blog.naver.com/vway_news/222459659401