Alarm System Practices
Alarm Philosophy
Rationalization
Design
Training
Monitoring
Management of Change
Alarm System Problems
Nuisance Alarms
Stale Alarms
Alarm Floods
Alarm Clarity
Alarms for Safety
18.1 서론(Introduction)
Alarm Management 알람 관리
“알람 관리(Alarm Management)”라는 용어는 공정 자동화 및 안전 시스템에서 발생하는 알람 메시지를 결정하고, 문서화하며, 설계하고, 모니터링하고, 유지 관리하는 일련의 절차와 관행을 의미합니다. 알람 시스템의 성능 문제는 공정 산업에서 많은 중대한 사고의 원인이 되었으며, 미국 내에서만 연간 약 130억 달러(USD) 이상의 비용이 발생한 것으로 추정됩니다 [참조 1].
알람 시스템과 관련된 문제는 잘 알려져 있으며, 이를 해결하기 위한 관행도 존재합니다. 본 장에서는 먼저 이러한 관행을 설명한 후, 알람 관리의 주요 문제와 해당 관행이 어떻게 적용되는지를 다룹니다. 마지막 섹션에서는 위험 감소를 위한 알람의 한계에 대해 언급합니다.
18.2 알람 시스템 관리 관행(Alarm System Practices)
알람 시스템의 성능을 개선하기 위한 필수 단계로 자주 언급되는 관행은 다음과 같습니다:
알람 철학(alarm philosophy), 합리화(rationalization), 설계(design), 교육(training), 모니터링(monitoring), 변경 관리(management of change)
18.2.1 알람 철학(Alarm Philosophy)
알람 관리 시스템의 기초는 알람 철학(alarm philosophy)의 수립입니다. 이는 알람 시스템을 지속적으로 관리하기 위한 원칙과 절차를 정의한 문서입니다. 알람 철학은 개별 알람의 세부 사항을 명시하지 않으며, 알람 시스템을 관리하는 데 사용되는 주요 프로세스—합리화, 설계, 교육, 모니터링, 변경 관리—를 정의합니다. 알람 시스템 개선 프로젝트는 철학 없이도 실행할 수 있지만, 이러한 경우 시스템이 이전의 성능 수준으로 되돌아가는 경향이 있습니다. 효과적인 알람 시스템을 유지하려면 이러한 관행을 지속적으로 따르는 규율이 필요합니다.
알람 철학은 기본 정의에서 시작하여 운영 정의 및 알람 시스템의 원칙으로 확장됩니다. 철학에는 알람의 단계 수, 허용되는 알람 유형, 알람 우선순위 등이 정의되어야 합니다.
알람(Alarm): 장비 또는 공정의 이상 상태나 고장을 플랜트 운영자에게 청각 또는 시각적으로 알리는 수단 [참조 2]
다음은 알람 철학의 원칙 예시입니다:
• 각 알람은 명확한 운영자 조치(operator action)를 가져야 합니다.
• 각 알람은 설치 전에 합리화되어야 합니다.
• 각 알람은 현장 지침에 따라 설계되어야 합니다.
• 각 알람은 설치 전에 운영자 교육이 이루어져야 합니다.
• 안전 관련 알람은 시운전 전 반드시 시험되어야 하며, 이후에는 명시된 주기로 시험되어야 합니다.
• 알람 시스템의 성능은 매일 모니터링되어야 하며, 성능 기준을 충족하지 못할 경우 시정 조치가 이루어져야 합니다.
• 모든 알람의 추가, 수정, 삭제는 “변경 관리(management of change)” 절차를 따라야 합니다.
이러한 원칙은 알람 철학의 핵심이며, 모든 잠재적 알람을 평가하는 기준을 제공합니다. 잘 정의된 원칙은 일관되고 유용한 알람 세트를 만들어냅니다.
18.2.2 합리화(Rationalization)
합리화는 알람 철학에서 정의된 원칙과 기준에 따라 개별 알람을 하나씩 검토하는 과정입니다. 합리화의 결과물은 일관되고 문서화된 알람 세트이며, 이는 설계 과정과 운영자 교육을 지원합니다.
합리화는 신호(signal)의 식별, 알람의 근거(rationale), 관련 조치(action)를 정의하는 것으로 시작됩니다. 알람이 철학과 일치하면, 결과 및 응답 시간(response time)에 따라 우선순위가 지정됩니다. 알람 설계에 필요한 추가 요구사항도 함께 기록됩니다.
알람 철학에는 각 알람에 대한 기본 제어 시스템 정보가 포함됩니다:
• 태그(Tag)
• 알람 유형(Alarm type)
• 설명(Description)
• 단위/상태(Units/states)
• 설정/알람 상태(Setting/alarm state)
태그는 데이터베이스에서 알람의 태그 번호를 의미합니다. 알람 유형은 알람이 고(high), 저(low), 또는 이산 상태(discrete state)인지 설명합니다. 설명은 태그에 대한 설명이며, 동일한 태그 데이터베이스에서 가져옵니다. 단위는 아날로그 값의 공학 단위이며, 상태는 디지털 값의 이산 상태입니다. 설정은 알람을 발생시키는 아날로그 한계값 또는 이산 상태를 의미합니다.
절차 및 교육을 위해 알람을 문서화할 때 필요한 정보는 다음과 같습니다:
• 편차 발생 시 결과(Consequence of deviation)
• 시정 조치(Corrective action)
• 응답 시간(Time for response)
• 결과 범주(Consequence category)
• 근거(Basis)
이 정보는 운영자가 알람에 어떻게 대응해야 하는지, 그리고 결과가 발생하기 전에 얼마나 빠르게 조치를 취해야 하는지를 교육하는 데 필요합니다. 알람의 근거를 문서화하면 공정 변경 시 결과를 재평가할 수 있습니다.
요구사항 사양을 완성하기 위해 필요한 기타 정보는 다음과 같습니다:
• 우선순위(Priority)
• 보존 기간(Retention period)
• 보고서 요구사항(Report requirements)
• 알림 요구사항(Notification requirements)
이 정보는 알람의 속성을 정의합니다. 운영자 인터페이스에서의 우선순위는 알람의 중요도를 지정하는 데 있어 매우 중요한 요소입니다. 알람 기록은 특정 기간 동안 보존되어야 할 수도 있고, 특정 보고서에 포함되어야 하거나, 이메일, 호출기(pager), 음성 메시지(voice mail) 등을 통해 알림을 전송하도록 설정될 수도 있습니다. 이러한 기능은 알람 철학에서 정의되며, 합리화 과정에서 개별 알람이 이러한 기능을 필요로 하는지를 식별합니다.
예시
가연성 물질을 포함한 신규 탱크에 대해 다음과 같은 알람이 식별되었습니다:
18.2.3 설계(Design)
설계 단계에서는 합리화된 알람과 설계 지침을 기반으로 작업이 이루어집니다. 설계 관행은 일반적으로 제어 시스템의 유형과 세대에 따라 별도의 지침 문서로 작성됩니다. 시스템이 변경됨에 따라 해당 지침도 제어 시스템의 기능과 한계를 반영하여 업데이트되어야 합니다.
설계 관행은 다음 세 가지 영역으로 나뉩니다:
• 알람의 기본 구성(Basic configuration of alarms)
• 인간-기계 인터페이스(Human-Machine Interface, HMI)
• 알람 관리를 위한 고급 기법(Advanced techniques)
기본 구성에 대한 지침에는 다음과 같은 항목이 포함될 수 있습니다:
• 알람 데드밴드(deadband)의 기본 설정
• 이중 송신기(redundant transmitters)에 대한 알람 처리 방식
• 이산 밸브(discrete valves)의 타이밍 설정
• 모터 제어 로직에 대한 알람 처리 방식
• 오류 신호 값(bad signal values)에 대한 알람 처리 방법
많은 알람 시스템 문제는 이러한 기본 구성 관행을 잘 적용함으로써 예방할 수 있습니다.
데드밴드(Deadband): 알람 상태를 해제하기 위해 공정 값이 알람 발생 지점에서 반대 방향으로 변화해야 하는 범위
HMI에 대한 지침에는 다음과 같은 항목이 포함될 수 있습니다:
• 알람 우선순위 정의
• 알람 색상 코드(color codes)
• 알람 음향(tones)
• 알람 그룹 구성
• 알람 요약 화면 설정
• 알람 상태를 나타내는 그래픽 심볼
알람 기능은 HMI의 일부에 불과하므로, 이러한 요구사항이 전체 HMI 설계 철학에 부합되도록 하는 것이 중요합니다. 알람에 대해 일관된 색상 사용은 종종 설계 원칙으로 명시됩니다.
HMI 설계 지침의 일반적인 구성 요소 중 하나는 알람 우선순위, 색상, 음향에 대한 표입니다. 일부 시스템은 알람 옆에 도형이나 문자 등을 표시할 수 있는 기능을 제공하며, 이는 색각 이상(color blind) 운영자가 알람 우선순위를 인식하는 데 유용한 기법입니다.
알람 우선순위 기능 예시:
기본 구성 및 HMI 설계를 넘어, 운영자의 알람 부담을 줄이고 알람 메시지의 명확성을 높이기 위한 다양한 기법들이 존재합니다. 이러한 기법은 최초 발생 알람(first-out alarming)부터 상태 기반 알람(state-based alarming), 고장 진단을 위한 전문가 시스템(expert systems)까지 다양합니다. 허용되는 기법은 알람 철학(alarm philosophy)에 정의되어야 하며, 설계 지침(design guide)에는 구현 방식이 포함되어야 합니다.
최초 발생 알람(First-out 또는 First-up): 여러 알람 포인트 중 어떤 알람이 가장 먼저 발생했는지를 표시하는 순서 기능 [참조 3]
알람 억제(Alarm suppression): 조건 기반 로직을 사용하여 기본 알람 조건이 존재하더라도 알람이 발생하지 않도록 하는 방식
상태 기반 알람(State-based alarming): 장비 또는 플랜트의 운전 상태를 측정하거나 모델링하여, 필요하지 않은 경우 알람을 억제하고, 관련된 운전 상태에서만 알람을 활성화하는 방식
동적 우선순위(Dynamic prioritization): 장비 또는 플랜트의 운전 상태를 측정하거나 모델링하여, 현재의 운전 상태에 따라 알람의 우선순위를 변경하는 방식입니다.
시험 요구사항은 알람의 유형에 따라 달라지며, 초기 시험(initial testing)과 주기적 시험(periodic testing)의 요구사항은 합리화 문서에 기록되어야 하며, 설계 단계에서 시험을 위한 준비가 이루어질 수 있도록 해야 합니다.
설계가 구현되는 단계에서는 시험(Testing)이 일반적인 요구사항입니다. 시험에 대한 요구사항은 경보(Alarm)의 유형에 따라 달라집니다. 초기 및 주기적인 시험 요구사항은 합리화(Rationalization) 문서에 기록되어야 하며, 이를 통해 시험을 위한 준비가 설계 단계에서 이루어질 수 있도록 해야 합니다.
18.2.4 교육(Training)
교육은 경보 시스템을 개발하는 데 있어 필수적인 단계입니다. 경보는 운영자에게 조치를 취하라는 알림을 제공하기 위해 존재하므로, 운영자는 각 경보에 대해 어떤 조치를 취해야 하는지를 반드시 알고 있어야 합니다. 이러한 조치는 경보 합리화(Alarm Rationalization) 과정에서 정의됩니다. 운영자가 이러한 조치를 숙지할 수 있도록 교육 프로그램이 마련되어야 합니다.
모든 경보에 대한 문서는 운영자가 쉽게 접근할 수 있어야 합니다. 개별 경보에 대한 교육 외에도, 운영자는 경보 철학(Alarm Philosophy)과 HMI(Human-Machine Interface, 인간-기계 인터페이스) 설계에 대해서도 교육을 받아야 합니다. 완전한 교육 프로그램에는 초기 교육과 주기적인 재교육이 포함되어야 합니다.
18.2.5 모니터링(Monitoring)
경보 시스템을 모니터링하는 것은 경보 관리에서 매우 중요한 단계입니다. 각 경보는 운영자의 조치를 필요로 하므로, 운영자에게 과도한 부담이 가해지면 경보 시스템의 효과가 저하됩니다. 계측기 문제, 제어기 성능 저하, 운영 조건의 변화 등은 시간이 지남에 따라 경보 시스템의 성능을 떨어뜨릴 수 있습니다. 문제를 일으키는 요소들을 모니터링하고 이에 대한 조치를 취함으로써 시스템을 원하는 성능 수준으로 유지할 수 있습니다.
경보 철학에서는 보고 빈도, 측정 지표, 조치 기준(threshold)을 정의해야 합니다. 일반적인 측정 항목은 다음과 같습니다:
• 경보 발생 빈도(예: 하루 동안 발생한 총 경보 수)
• 태그별 경보 발생 빈도(예: 하루 동안 특정 태그에서 발생한 경보 수)
• 태그별 경보 지속 시간(예: 특정 태그가 경보 상태에 있는 시간)
• 경보 발생률(예: 10분 간격당 발생한 경보 수)
• 경보 폭주(Alarm Flood) 횟수(예: 10분 동안 10건 이상의 경보가 발생한 횟수)
측정 도구를 통해 다양한 빈도로 지표를 보고할 수 있습니다. 일반적으로는 조치를 담당하는 인력에게는 일일 보고가 이루어지고, 경영진에게는 주간 또는 월간 보고가 제공됩니다. 보고되는 데이터의 유형은 제어 시스템 또는 안전 시스템의 종류와 측정 도구에 따라 달라집니다.
측정 항목에 대해 조치를 유도할 수 있는 명확한 기준값(limit)을 설정해야 합니다. 이러한 기준값은 공정의 유형과 시정 조치를 취할 수 있는 자원에 따라 달라집니다. 기준값이 너무 느슨하면 효과가 없고, 너무 엄격하면 무시될 수 있습니다. 성능 지표는 일반적으로 운영자 위치 또는 운영자 콘솔 단위로 계산됩니다.
예시:
• 경보 측정 기준값 및 조치 항목:
• 태그별 경보 발생 빈도가 하루 10건 초과
• 태그별 경보 지속 시간이 24시간 초과
• 경보 발생률이 분당 10건 초과
• 경보 발생률이 하루 300건 초과
Engineering Equipment Materials and Users Association(EEMUA)의 간행물 191, Alarm Systems: A Guide to Design, Management, and Procurement에서는 성능 분류를 위한 지표에 대한 지침을 제공합니다. 앞서 언급한 바와 같이, 이러한 지표는 운영자가 경보를 처리할 수 있는 능력과 관련되어 있으므로 운영자 단위로 계산됩니다.
18.2.6 변경 관리(Management of Change)
알람 시스템을 유지하기 위한 또 하나의 핵심 절차는 변경 관리입니다. 일반적으로 공정 안전 관리(Process Safety Management, PSM) 또는 최신 우수 제조 관리 기준(current Good Manufacturing Practices, cGMP)에 따라 하나 이상의 변경 관리 프로세스가 이미 수립되어 있으며, 이러한 프로세스는 알람 변경도 포함합니다. 알람 철학에서는 변경 절차와 알람를 변경하기 위해 필요한 단계들을 정의합니다. 이러한 단계들은 일반적으로 프로젝트에서 수행되는 단계와 유사하지만, 범위는 더 작을 수 있습니다.
18.3 알람 시스템의 문제점(Alarm System Problems)
알람 관리에서 주요 문제는 불필요 알람(Nuisance Alarms), 오래된 알람(Stale Alarms), 알람 홍수(Alarm Floods), 그리고 운영자가 알람를 명확히 인식하지 못하는 경우입니다. 알람 철학에서 정의된 절차를 운영 규율과 함께 적용하면 이러한 문제들을 해결할 수 있습니다.
18.3.1 불필요 알람(Nuisance Alarms)
불필요 알람이란 실제로 이상 상태가 없거나 공정 조건에 변화가 없는데도 이상 상태를 나타내는 알람을 말합니다. 이러한 알람은 운영자의 알람에 대한 민감도를 떨어뜨려 모든 알람에 대한 대응력을 저하시킵니다. 계측기 문제나 정상 운전 범위 내에서 설정된 알람이 불필요한 알람의 주요 원인입니다. 태그별 알람 발생 빈도를 측정하여 알람 철학에서 정의된 기준값(예: 하루 10건)을 초과하는 경우 불필요한 알람로 판단할 수 있습니다. 불필요한 알람이 감지되면 가능한 한 빨리 조사하고 수정해야 합니다. 일반적인 알람 보고서에서는 소수의 태그가 대부분의 알람을 유발하는 것으로 나타납니다. 모니터링과 신속한 후속 조치가 없으면 불필요한 알람은 알람 시스템의 성능을 급격히 저하시켜 하루 수만 건의 알람이 기록되는 상황으로 악화될 수 있습니다.
18.3.2 오래된 알람(Stale Alarms)
오래된 알람이란 이상 상태가 존재하지 않거나 운영자의 조치가 필요하지 않음에도 불구하고 알람 상태가 지속되는 경우를 말합니다. 이러한 알람은 조치가 필요 없는 알람의 기준선을 형성하며, 운영자가 특정 알람를 무시하도록 학습하게 만듭니다.
이러한 알람은 알람 설정 오류나 정상 운전 범위 내에서 설정된 알람로 인해 발생하는 경우가 많습니다. 태그별 알람 지속 시간을 측정하여 알람 철학에서 정의된 기준값(예: 24시간)을 초과하는 경우 오래된 알람로 판단할 수 있습니다. 모니터링과 후속 조치가 없으면 오래된 알람의 수는 점차 증가하여 알람 시스템의 효과를 저하시킵니다.
18.3.3 알람 홍수(Alarm Floods)
알람 홍수는 일반적으로 공정 이상과 같은 사건과 관련된 일시적인 알람의 급증 현상을 말합니다. 알람 홍수는 운영자를 압도하여 중요한 알람을 가리게 되고, 이상 상황에 대해 적절히 대응할 수 있는 능력을 저하시킵니다.
알람 홍수는 하나의 사건에 대해 여러 개의 알람이 설정되어 있을 때 자주 발생합니다. 알람 철학에서 정의된 기준값(예: 10분 동안 10건 이상의 알람)을 기준으로 일정 시간 간격 내의 알람 발생률을 측정하여 알람 홍수를 감지할 수 있습니다.
알람 홍수는 해결하기 어려운 문제 중 하나이며, 플랜트 재해와 밀접한 관련이 있습니다. 모니터링을 통해 알람 홍수를 감지하고 보고할 수 있지만, 이를 줄이기 위해서는 공정에 대한 깊은 이해와 우수한 알람 설정 관행이 필요합니다. 합리화(Rationalization)를 통해 중복 알람을 줄일 수 있으며, 고급 알람 기술을 활용하면 이상 상황 발생 시 알람 수를 줄일 수 있습니다.
18.3.4 알람의 명확성(Alarm Clarity)
알람의 명확성은 알람을 설정하는 방식과 운영자가 알람에 대응하도록 교육받는 방식 모두와 관련된 문제입니다. 합리화(Rationalization) 과정에서 생성된 알람 문서는 교육에 필요한 정보를 제공합니다. 알람의 명확성 문제는 측정하기 어려운 경우가 많습니다. 운영자 교육은 이러한 명확성 문제를 식별할 수 있는 기회를 제공할 수 있습니다.
경우에 따라 기본적인 알람 설정을 변경함으로써 문제를 해결할 수 있으며, 고급 알람 기술을 활용하여 의미가 명확한 알람의 수를 줄이는 방식도 자주 사용됩니다.
18.4 안전을 위한 알람(Alarms for Safety)
알람은 공정에서 정상 상태와 비정상 상태의 경계를 표시합니다. 알람은 운영자에게 공정을 정상 상태로 되돌리기 위한 조치를 취하라고 알립니다. 알람은 운영자의 개입과 연결되어 있기 때문에, 때때로 위험한 상황에 대한 보호 계층으로 사용되기도 합니다. 공정 자동화 시스템에서 알람을 안전 계층으로 평가할 때는 신중을 기해야 합니다.
일부 알람은 안전 경고를 제공하지만, 알람 시스템과 안전 시스템 사이에는 중요한 차이가 있습니다. 알람 기능은 항상 운영자의 조치를 필요로 하는 반면, 안전 기능은 거의 대부분 운영자의 개입 없이 작동하도록 설계됩니다. 이러한 차이점의 결과로, 알람 시스템의 효과는 운영자가 각 알람에 대해 올바르게 대응할 수 있는 능력에 의해 제한됩니다.
알람 발생률이 높거나 대응이 복잡해질 경우, 운영자는 압도되어 적절한 대응을 하지 못할 수 있습니다. 공정 제어 시스템에서 안전 관련 알람을 사용하는 경우, 모니터링을 통해 알람 시스템의 성능을 유지할 수 있습니다. 그러나 모니터링이 이루어지더라도, 공정 알람을 포함한 기본 공정 제어 시스템(BPCS)의 위험 감소 계수(Risk Reduction Factor)는 해당 시스템이 안전 계측 시스템(Safety Instrumented System)으로 간주되지 않는 한 최대 10으로 제한됩니다 [참고문헌: ANSI/ISA-84.00.01-2004-Part 2 (IEC 61511-2 Mod) – Functional Safety: Safety Instrumented Systems for the Process Industry Sector].