An Allocation of Safety Integrity Level to Inductive Loop type Train Control System

This paper demonstrates the result of Safety Integrity Level (SIL) allocation for IL-type Train Control System(IL-TCS), by applying the semi-quantitative approach. IL-type TCS is defined in this paper as the set of Hardware and Software ATS equipment, Track-side ATP equipment, On-board ATP equipment, Track-side ATO equipment, On-board ATO equipment. SIL allocation is performed for these constituent subsystems of TCS. Based on three principles of the semi-quantitative method, the SIL allocation process is performed for the subsystems composing TCS. 키워드 Inductive Loop, Train Control System, Signalling, Safety Integrity Level 유도루프, 열차제어시스템, 철도신호, 안전무결성등급 * 우송대학교 대학원 박사과정(danice@hanmail.net) ** 우송대학교 철도전기시스템학과 교수 *** 교신저자(corresponding author) : 한국철도시설공단연구원(kamayun@kr.or.kr) 접수일자 : 2013. 10. 15 심사(수정)일자 : 2013. 11. 25 게재확정일자 : 2013. 12. 16 I. 서 론 본 논문에서는 인천국제공항에 설치된 유도루프식 열차제어시스템(Inductive Loop type-TCS)에 대한 안 전무결성 등급(SIL) 할당한 결과이다. 유도루프식 열 차제어시스템은 차상장치, 지상장치, 기계실장치, 관제 설비, 선로변설비 등으로 구성되어 있으며 각 서브시 스템의 기능을 고려하여 안전무결성 등급을 결정한다. SIL 할당은 시스템 수명주기 중 초기단계에서 설비의 기능요구사항에 기반하여 설비별 위험원(Hazard)을 식별하여 안전요구기능을 식별하고 위험도를 평가하 여 시스템의 위험조건 관리 및 후속 조치를 판단하기 위함이다. 또한 시스템의 위험원에 대하여 필요 시 위 험도 저감을 통하여 위험도를 허용할 수 있는 수준 이하로 유지하기 위한 방안의 일환으로 수행된다. http://dx.doi.org/10.13067/JKIECS.2013.8.12.1905 JKIECS, Vol. 8, No. 12, 1905-1910, 2013 1906 II. SIL 할당 방법 비교 연구 SIL 할당은 IEC 61508의 개발과정에서 시스템의 기능적 안전을 보증하기 위한 기준으로서 정의되었으 며[1] 일반적으로 허용 가능한 위험률 (Tolerable Hazard Rate, THR)과 시스템 운영을 고려한 정량적 인 방법과 상대적으로 간단한 Risk Graph[2]을 활용 한 정성적인 방법, 그리고 이들의 중간적 방법으로 준 정량적(Semi-quantitative) 방법 등으로 분류된다. IEC 61508과 연관된 SIL 할당 방법 외에 IEC 61511[3] 또는 IEC 61513[4] 등에서도 SIL 할당에 대 한 몇 가지 방법을 제시하여 각각 Process 산업분야 및 원자력분야에서 적용하고 있다. 또한 자동차분야에 서는 MISRA[5]에서 SIL 할당에 대한 방법을 제시하 고 있다. 철도분야에서의 SIL 할당은 안전-관련 시스템의 경우 설계 이전에 결정해야 할 중요한 요건 중의 하 나이고 이 수준에 따라 설계 및 그 이후 RAMS 활동 의 범위와 깊이에 크게 영향을 주는 요소이지만 위에 서 소개한 SIL 할당방법의 선택에 따라 서로 상이한 SIL 수준이 도출될 수 있기도 하다 [6]. 정성적인 방 법은 Risk Matrix와 Risk Graph를 활용하는 방법으 로서 과도하게 비관적인 결과를 초래하여 높은 안전 무결성 요건을 초래하는데, 이는 위험도 기준과 연계 하여 이 방법의 “Calibration”에 대한 어려움이 있어 보수적으로 접근하는 경향이 있기 때문이다. 반면에 정량적인 방법[7]은 상대적으로 낮은 수준 의 안전무결성 수준결과를 도출한다. 즉, 정량적인 방 법에서는 위험도 기준에 대해 상대적으로 용이하게 접근할 수 있지만, 사용되는 사건/사고의 자료가 충분 하지 못하여 실제 평균적 사고확률보다 통계적으로 낮은 사고확률이 도출될 경향이 있다. 준 정량적인 방법은 Risk Matrix와 Risk Graph을 조합하는 관점에서는 정성적인 방법과 동일하지만 정 량적 방법에서의 THR을 SIL 수준의 정의와 연계한다 는 점에서 정성적인 방법보다는 상대적으로 정량적 방 법에 접근하고 있다. 다만, THR 산출에 있어서 시스템 의 기능적 위험원을 식별하고 그 개별적인 위험원와 발생빈도를 추정하여 상위 위험원을 고장트리분석 등 의 방법으로 연결하여 THR을 산출하는 정량적 방법 대신에 THR/SIL 기준표를 활용하여, THR의 수준과 위험원의 심각도와의 관계식을 설정하여 위험도 저감 요소의 판단으로 SIL을 결정하는 방법이다. 이 방법은 정성적인 방법보다는 보수적인 것으로 알려져 있지만[8], 상세한 연구결과는 없다. 본 논문에서는 사건 또는 사고 자료가 가용하지 않 고 또한 설비의 고장률 등이 산출되기 이전이어서 정 량적 방법에 의한 THR 산출이 용이하지 않고, 유사 시스템에 대한 위험발생빈도 등에 대한 경험적 자료 가 가용하지 않은 상태에서 Risk Matrix를 기반으로 한 준 정량적(Semi-quantitative)인 방법을 적용한다. III. 준 정량적 SIL 할당 방법 및 절차 설비에 대한 SIL 할당은 만약 그 설비가 설치되지 않은 경우 초래되는 위험도를 허용위험도 수준으로 저감해야 하는 정도에 따라 결정된다. SIL 할당은 다 음의 절차를 따른다. (1) 기능 분석: 안전기능 식별 (2) 안전기능의 안전시스템 할당 (3) 안전기능에 부과되는 안전수준의 식별 (4) 위험도 저감 방안 식별 준 정량적 방법의 기본 원칙은 다음과 같다. 1) [원칙 1] 위험도는 아래와 같이 정의한다. 즉, 위험도=위험발생빈도위험심각도 2) [원칙 2] 위험 심각도 범주는 SIL 범주와 동일 하다. 즉,  이다. 여기서 n은 위험 심각도의 수준이다 (n=4 : 재난적, n=3: 심각한, n=2: 보통의, n=1: 무시할 만한). 3) [원칙 3] 위험발생빈도(f)는 다음과 같이 분해한 다. 즉,