2005년 12월 발생한 영국 바운스필드 연료 탱크 터미널의 화재는 2차 세계 대전 이후 최악의 화재 사고로 기록되고 있다. 이러한 사고의 재발을 방지하기 위해 필츠는 영국석유저장고에 안전 솔루션을 공급하고 있다. 자료제공 | 필츠코리아(www.pilz.co.kr)

2005년 12월 밤 바운스필드 HOST(Hertfordshire oil storage terminal) 탱크(912)는 휘발유로 가득 채워져 있었다. 적용된 수위 제어 시스템이 제대로 동작하지 않은 까닭이다.
주입 작업(Filling operation)을 모니터링하는 Guage와 탱크 수위가 초과될 때 자동으로 오일 주입을 차단하는 독립적인 IHLS 등을 갖추고 있었지만, 첫 번째 게이지의 장애가 발생하고 IHLS가 작동할 수 없는 상태로 탱크가 위험 수위로 채워지는 것을 막을 수 없었다. 스위치 설치자가 작업 및 오퍼레이션 특성과 Padlock의 중요한 역할에 대해 충분히 이해하지 못해 테스트 이후 작동 불가한 상태로 방치됐을 뿐 아니라 ATG 디스플레이의 노후로 인해 탱크 연료주입이 지속되었음에도 연료 상승 레벨 기록이 중지됨으로써 3개의 ATG 알람(User level, high level, high-high level)이 작동되지 않았기 때문이다.

다량의 휘발류가 넘쳐 형성된 증기구름은 인근 주민들에 의해 발견됐지만, Firewater pump 동작과 동시에 점화가 발생해 대규모 폭발을 일으켰다. 폭발이 발생할 때 휘발유 25만 리터가 저장탱크에서 일시에 분출됐으며, 이는 전례 없는 대규모 화재 사고로 기록되고 있다.

최악의 화재, 안전규제 강화 촉진
바운스필드는 총 저장능력이 7700만 리터에 달하며, 영국 자동차연료의 5%를 공급하고, Heathrow 및 Gatwick 공항과 항공유 파이프라인도 연결돼 있는 핵심 저장소다. 이 연료 터미널의 화재 폭발 사고는 무려 1.4조 달러의 경제적 손실을 가져온 것으로 평가된다.

사고 후 개선 사항 및 설계와 운영에 관한 조사위원회(영국 HSE : Health & Safety Executive)의 지시 사항으로 시스템의 안전 무결성 수준 확보와 높은 안전 무결성을 지닌 시스템 기반의 오작동·결함등의 사전 탐지 및 단계적 오류 확대 시나리오에 대응하는 설계 및 개발, 그리고 높은 신뢰도를 가진 조직 운영 등이 요구됐다. 나아가 안전 관련 시스템의 기능 안전을 다루고 있는 규격 IEC 61508을 등장시키는 적용 배경이 됐으며, 안전 계기 시스템의 무결성을 나타내는 통계적 기준의 SIL(Safety Integrity Level)도 촉발시켰다.

다계층 제어로 안전 확보
필츠(Pilz)는 영국 석유저장고에 IEC 61508을 기반으로 하는 기능 안전의 표준 프로세스와 안전 계기 시스템에서 요구되는 안전 무결성(SIL) 수준을 달성하기 위한 솔루션을 제공하고 있다. 이 솔루션에는 주요 안전 기능으로 ▲Liquiphant(Level switch)와 레이더로 구성된 탱크 하이-하이 레벨 디텍션 ▲탱크 입/출구 원격 밸브 셧오프 장치(ROSoV : Remotely Operated Shutoff Valve) ▲오디오 알람 ▲로딩 랙 오버 플로우 차단 장치 ▲시스템 모니터링 ▲프로세스 컨트롤(안전 시스템) 등이 포함돼 있다.

각 안전 기능의 역할을 살피면, 먼저 하이-하이 레벨 디텍션의 Liquiphant는 음차 검사형 타입의 프로브로, 하이-하이 레벨을 프로브의 길이로 설정·검출한다. 레이더 센서는 제품 또는 부동 루프에 의해 반사되는 전파의 펄스를 전송하며, 엔드레스 하우저 시스템은 4-20mA 레벨 신호를 제공한다.

다음으로 ROSoV는 ▲밸브의 오픈 과 클로즈 피드백 시간의 적정성 확인을 위한 밸브의 개연성 체크 ▲밸브 결함 : 개폐 피드백을 확인하여 지정된 시간 범위 초과 상태 확인 ▲밸브 제어 : 로드 랙의 셧 다운 시 느린 압력 상승을 허용 하기 위한 밸브의 오픈, 클로즈 시간 컨트롤 ▲테스트 펄스를 사용하여 배선 오류 및 교차 단락 체크 등의 기능을 수행한다. 오디오 알람은 하이-하이 검출 상태에만 활성화되는 고유의 알람 소리를 발생시키며, 로딩 랙 오버 플로우 차단 장치는 증기 탱크를 모니터링하고, 위험한 증기를 회수한다.

더불어 하나의 고장이 다른 영향을 주지 않도록 듀얼 프로세서 구조의 독립적인 이중화 시스템이 중앙에서 제어하는 안전 시스템은 로드 랙 및 각 밸브의 입/출구에서 분리된 분산 I/O 모듈에 의해 특정 개소의 시스템이 실패하더라도 로드 랙 밸브 등의 유량 유출을 차단할 수 있는 역할을 수행한다. 그리고 모든 로딩 랙의 상태 와 알람 로그는 필츠 PMI 시스템 모니터링을 통해 실시간으로 감시·기록된다.

IEC 61508/61511·SIC·SIL 만족
포괄적인 기능 안전 규격인 IEC 61508에 기반하여 각 산업에 맞은 파생 규격이 존재하는데 IEC 61511은 프로세스 섹터에 해당되며, 석유, 화학 및 가스 등이 이에 해당된다. IEC 61511-1 조항 11.2.4에서 기본 공정 제어 시스템(BPCS)는 안전 계기 시스템(SIS)의 기능 무결성이 손상되지 않는 범위 내에서 분리되고 독립적으로 설계돼야 한다고 명시돼 있으며, 공통 원인에 의한 고장과 종속 고장 등 실패 방지를 위해 필요한 사항을 갖춰야 한다.

일반적인 자동화 공급 업체가 이러한 요구사항에 대한 적합성을 충분히 제공하지 못하는 반면, 필츠는 독립적으로 프로세스를 진행하고, SIL 등급을 만족하는 솔루션을 제공하고 있다. 아울러 필츠는 IEC 61508 기반의 엔지니어링 프로세스에 있어서 요구되는 안전 사양에 따른 하드웨어 설계·모듈 설계·소프트웨어 개발 등의 단계별 검증 절차인 V-model 등의 표준 프로세스구축을 통해 전세계적으로 동일한 수준의 서비스를 제공하고 있으며 신뢰성을 기반으로 하는 안전 필수 산업군을 위한 최적의 솔루션을 제공하고 있다.