Current Issue

Journal of the Society of Naval Architects of Korea - Vol. 59 , No. 3

[ Article ]
Journal of the Society of Naval Architects of Korea - Vol. 59, No. 3, pp. 164-172
ISSN: 1225-1143 (Print) 2287-7355 (Online)
Publication date 20 Jun 2022
Received 25 Jan 2022 Revised 17 Mar 2022 Accepted 31 Mar 2022
DOI: https://doi.org/10.3744/SNAK.2022.59.3.164

해지드/보우타이 기법의 한계와 개선에 대하여
김성훈
네레이드 안전 컨설팅

A Review of HAZID/Bowtie Methodology and its Improvement
Sung-Hoon Kim
Nereid Safety Consulting
Correspondence to : Sung Hoon Kim, dr.sunghoon.kim@nereidsafetyconsulting.kr


This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons.org/licenses/by-nc/3.0) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Abstract

A HAZID is a brainstorming workshop to identify hazards in an early phase of a project. It should be flexible to capture all probable accidents allowing experienced participants to exploit their expertise and experiences. A bowtie analysis is a graphical representation of major accident hazards elaborating safety measures i.e. barriers. The result of these workshops should be documented in an organized manner to share as good as possible details of the discussion through the lifetime of the project. Currently results are documented using a three-step representation of an accident; causes, top event and consequences, which cannot capture correctly sequence of events leading to various accidents and roles of barrier between two events. Another problem is that barriers would be shown repeatedly leading to a misunderstanding that there are an enough number of safety measures. A new bowtie analysis method is proposed to describe an accident in multiple steps showing relations among causes or consequences. With causes and consequences shown in a format of a tree, the frequencies of having the top event (Fault tree analysis) and various consequences (Event tree analysis) are evaluated automatically based on the frequency of initiating causes and the probabilities of failure of barriers. It will provide a good description of the accident scenario and help the risk to be assessed transparently.


Keywords: Bowtie analysis, HAZID(Hazard Identification), Chain of events, Fault tree analysis, Event tree analysis
키워드: 보우타이 분석, 위험도식별, 연쇄반응, 결함수 분석, 사건수 분석

1. 서 론

신개념 설계 또는 대체 설계를 활용한 선박/해양시스템을 승인하기 위해서, 각 선급은 위험도기반 승인(Risk-based Certification, RBF) 절차를 개발하여 적용하고 있다 (KR, 2015; LR, 2018; DNV, 2022ABS, 2017). RBF를 위해서는 우선 시스템의 위험요소들을 식별하고 이들이 사고로 이어지는 시나리오를 수립하여 위험도를 평가하는 과정이 필요하다.

위험도 평가에는 다양한 정성적 혹은 정량적 기법이 사용되는 데, 화재, 폭발 등 중대사고의 규모를 평가하기 위해서 정밀한 CFD 도구와 여러 이론적인 모델들이 사용되기도 하지만, 어떠한 위험요소가 존재하며 이들이 발생하지 않도록 제어하는 수단을 어떻게 구현해야하는 지 등의 주요 이슈들은 워크숍을 기반으로 하는 정성적 분석에 의해 다루어지고 있다. 그 중에서도 프로젝트의 초기에 다양한 위험도를 식별하기 위한 HAZID(Hazard identification)와 중대사고의 관리 상태를 점검하는 보우타이기법(bowtie analysis)이 가장 많이 활용되고 있다. 본 논문에서는 현재 산업전반에 걸쳐 일상적으로 수행되는 두 기법이 공통적으로 가지고 있는 특징과 한계를 검토하고 이를 개선한 다단계 보우타이 방법론을 제시하였다.


2. 배 경

프로젝트의 초기에 위험요소를 식별하고 이를 관리하기 위한 계획을 세우는 것은 매우 중요하다. 식별되지 않는 위험요소는 평가되지 않으며 이는 프로젝트의 위험도를 과소평가하도록 만들기 때문이다. 위험요소 식별을 위한 다양한 기법이 존재하지만, 어느 기법이 가장 우수하다고 특정되지도 않으며, 동일한 기법이라도 수행되는 방법과 조건에 따라 다른 품질의 결과를 가져온다. HAZID는 선주의 지침 혹은 ISO 17776 (ISO, 2002; ISO, 2016) 과 같은 국제 지침에 따라 수행되기는 하지만, 구체적인 수행방법과 결과의 문서화 수준은 워크숍 진행자의 경험, 기량, 워크숍 일정, 선주 및 엔지니어링사의 내부규정, 참석자의 구성, 역량, 경향 등 다양한 요소의 영향을 받게 된다. Rouhiainen (1993)은 분석의 기법과 수행자에 따라 위험요소 식별 결과가 달라질 수 있다는 것을 보여주었으며, 분석의 품질에 영향을 미치는 8가지 요소 중 사고 모델링과 문서화가 포함된다고 주장하고 있다. 2~3년 동안 지속되는 개발 및 건조 과정 그리고 20년의 운용 기간 동안, 사고 시나리오와 위험도 평가 결과는 반복적으로 검토/참고 되며, 위험도가 적절하게 관리되고 있는지 점검된다. 이때 초기에 식별되었던 시나리오의 타당성이 도전받기도 하는데, 이는 설계정보가 부족했던 당시의 인식 오류에 의한 것도 있지만, 사고 시나리오가 잘못 이해되어 발생하기도 한다. 또한 워크숍을 참석하지 않은 프로젝트 담당자가, 위험요소에 대한 묘사와 평가가 미흡하다고 판단하는 경우도 자주 발생한다. 이 이유 중의 하나는, 실제 토론의 결과를 실시간으로 문서화하기 위해 위험상황에 대한 표현이 간소화되기도하는 데, 워크숍 참석자들은 위험상황의 맥락을 충분히 이행한 상태여서 문서화된 내용이 다르게 해석될 가능성을 파악하지 못할 수 있기 때문이다. 또 다른 중요한 이유는 결과표 형식이 유연하지 않아, 비록 HAZID 수행지침이 각 사건 사이의 연관관계를 자세하게 표현할 것을 요구하지만 이를 구현하는 데 한계가 있기 때문이다.

2.1 HAZID

HAZID는 “a systematic review of the possible causes and consequences of hazardous events”라고 정의되어있는데(John, 1999), 다양한 분야의 풍부한 경험을 가진 전문가들과 설계자들이 참여하는 워크숍 형태로 수행된다. 워크숍 수행 전에 논의의 대상, 지시어 집합, 위험도평가표, 프로젝트 특징에 대한 정보를 공유하고, 워크숍은 최소한의 규칙 아래 비교적 자유로운 분위기에서, 프로젝트 전체를 조망하며 위험요소를 찾아내고, 위험도를 평가하며, 결과를 문서로 제출한다.

HAZID는 일종의 난상토론의 형태로 수행되게 된다. 진행자는 대상 시스템의 기능과 설치 장소 등을 고려하여 여러 개의 노드로 구분한 후, 참석자들이 각 노드에 존재하는 위험요소와 발생 가능한 사고에 대해 토론하도록 유도한다. 이 때 참석자들은 본인들의 지식과 경험을 참고하여, 다양한 사고의 양상과, 원인 혹은 결과를 제시한다.

자유로운 분위기의 난상토론은 필연적으로 사고가 발생하게되는 여러 원인과 발달 과정을 보여주게 되는데, 논의 결과를 문서화하는 과정은 진행자의 경험과 요약 능력과 더불어 결과표의 표현 양식에 영향을 받게된다. 그런데 기계/전기 시스템의 고장 모드를 분석하는 FMEA(Failure Mode Effect Analysis) 기법이 결과를 두 단계로 표현하여 사고의 발달 과정을 네 단계로 표현하는 것을 제외하고, 다른 모든 정성적 분석 기법은 사고를 세 단계로 단순화하여 표현해 왔다. 보통 여러 단계로 구성된 연쇄반응(chain of events)을, 원인/위험(cause/threat) - 주요사건/위험요소(top event/hazard) - 사고/결과(accident/consequence)의 세 단계로 구분하고, 주요 사건의 발생을 방지하는 예방적 안전장치(Preventive measure)와 사고의 결과를 방지하거나 최소화하는 제어적 안전장치(Mitigative measure)를 식별하여 결과표(HAZID worksheet, Fig. 1)에 나열하는 것이다. HAZID 진행자는 토론 내용을 충실하게 반영하기 위해 최선을 다하지만, 결과표 형식이 각 사건(event) 사이의 인과관계를 표현할 수 없다는 근본적인 한계를 가지고 있다.


Fig. 1 
HAZID worksheet with 3-steps accident description (Sample)

2.2 보우타이 기법

사고결과가 심각한 중대사고에 대해서는, 안전장치들을 재검토하고 그들의 효과를 재평가하기 위한 Barrier-based risk assessment 기법이 사용되고 있는데, 이 기법으로서 보우타이기법이 활용되어 왔다 (CCPS and EI, 2018). 이 기법은 해지드를 수행하여 잠재적인 중대사고를 파악한 후, 해지드 결과를 참고하되 이 위험요소를 제어할 수 있는 안전장치에 집중하는 분석이라 할 수 있다. 그림으로 표현된 사고와 안전장치의 관계는, 위험요소의 특징과 관련된 정보를 여러 관계자들에게 효율적으로 전달해주는 장점을 가지고 있다(Fig. 2).


Fig. 2 
Typical bowtie diagram

보우타이도는 직관적으로 이해될 수 있는 간단한 형태를 가지고 있어, 쉽고 오류가 없는 형태로 그릴 수 있다고 생각될 수 도 있지만, 표현하고자 하는 사건들의 동적인 관계를 가지고 있거나 안전장치들의 기능과 역할이 정확히 이해되지 않아 잘못 구성되는 경우도 많다. 대표적인 오류는 직접원인/결과와 간접원인/결과를 구분하여 표현할 방법이 없어 인과관계가 순환구조를 갖는다거나 동일한 안전장치가 여러 곳에 중복되어 나타나, 안전장치의 기능이 오해되고 실제보다 많은 안전장치가 사용되고 있다고 착각하게 되는 것이다.

보우타이 기법에 대한 많은 지침서와 소프트웨어(CGE- Bow Tie XP, Bow Tie PRO, DNV – Synergi, ABS – BowtieMaster)가 있지만, 모두 3단계 표현법을 사용하고 있어, 원인들 사이의 관계와 결과들 사이의 관계를 표현할 수 없다 (Fig. 3). 개별 보우타이를 연결(cascading)하여 연쇄과정을 표현하는 방법이 사용되기도 하지만, 각 보우타이마다 대표되는 결과를 파악하고 위험도를 평가해야하므로, 전체 연쇄과정의 위험도가 얼마가 되는 지를 평가하기에는 부적합하다.


Fig. 3 
Bowties of BowtieXP(Top), Bow Tie Pro(Mid-Top), Synergi(Mid-Bottom) & Bowtie Master(Bottom). All use 3 steps representation for an accident scenario.

2.3 HAZID 작업표와 보우타이도의 한계

대부분의 사고는 초기사건이 발생한 이후, 안전장치가 실패하거나 작업자의 실수 등이 반복되면서 다음단계로 발전하며 최종사건으로 이어지곤 한다.

Fig. 4은 작업자의 실수나 압축기의 진동에 의해 LNG 배관의 고정장치가 헐거워진 것이 제트화재로 이어지고 구조물의 파괴까지 발전하는 모습을 보여주고 있다. 사고가 발생한 이후 수행된 사고조사라면 이러한 연쇄반응은 곁가지가 없는 단선적인 모습으로 표현되겠지만, 사고의 발생 가능성을 다루는 HAZID라면 다양한 원인과 결과를 동시에 표현할 수 있어야한다.


Fig. 4 
A typical sequence of events

Fig. 5는 이 사고를 전형적인 보우타이도로 표현한 것이다. 사고를 가장 잘 표현할 수 있는 주요사건을 선정하여 그림의 가운데 배치하고, 주요사건 이전과 이후의 상태를 각각 좌우에 배치한다. ‘LNG leak’을 주요사건으로 선정하였고, 이를 가져올 수 있는 Operator error, Vibration of compressor, 등 누출 이전의 모든 사건들이 주요사건의 왼쪽에 그리고 누출 이후 가능한 결과들 - Embrittlement & failure, Gas dispersion, Frostbite 등 - 이 오른쪽에 놓여져 있다.


Fig. 5 
A bowtie representation of a multi-stage accident

보우타이도는 안전장치들을 포함하여 보여주는 데, LNG leak을 가져오는 주 원인 중의 하나로 Vibration of compressor이 파악되어있고, 이를 제어하는 것은 간접적으로는 Loosened bolt 사건이나 Flange failure 사건을 모두 방지하는 것을 의미한다. 그런데 이러한 전통적인 보우타이도는, 사고를 원인―주요사건―결과의 3단계로 단순화하여 표현하고 있으므로, 직접원인-Flange failure-과 간접원인-Vibration, loosened bolt-을 구분할 수 없다. 따라서 해지드를 수행한 이후 독립적으로 수행되는 보우타이 분석의 참가자들은 진동 제어의 효과가 해당되는 모든 원인들에, 진동제어를 유효한 안전장치라고 표시하게 되는 데, 이는 안전장치가 하나가 아니라 세 개가 사용되고 있다는 착각을 하게 만들 수 있다. 사고의 결과로서, 확산된 가스가 점화되어 플래쉬화재가 발생하고 이는 누출원에서의 제트화재의 형태로 발달할 수 있는 데, 제트화재를 방지하기 위해서는 확산된 가스구름에 플래쉬화재가 발생하지 않도록 점화원을 제어하는 것이 필요하다. 그런데 보우타이도에 플래쉬화재와 제트화재를 독립적인 결과로서 표현하면 점화원 제어를 플래쉬화재뿐만 아니라 제트화재의 제어 수단으로 중복 표현하게 된다. 제트화재로 인해 발생하는 구조적인 손상을 방지하는 장치로서 역시 점화원제어가 언급될 수 있다. 이 역시 동일한 제어장치를 중복 언급하게되어 실제보다 더 많은 제어장치가 제공되고 있다는 오해하게 만들 수 있다. Fig. 5를 HAZID 결과표로 표현하면 Fig. 6이 되는 데, Vibration control과 Ignition control과 같은 제어장치들이 중복 표현된 것을 볼 수 있다.


Fig. 6 
Worksheet of conventional 3-stages representation


3. 다단계 보우타이 기법

본 논문은, 사건을 다단계로 표현하고 결과수 분석과 사건수 분석을 통합한 다단계 보우타이 기법을 제시하고 장점을 소개하고자한다.

3.1 다단계 사건 표현

Fig. 7은 사고를 다단계로 표현하고 안전장치인 Vibration control과 Ignition control을 정확한 위치에 표시한, 개선된 보우타이도이다. 이 보우타이도를 결과표로 작업한 것이 Fig. 8인데, Cause와 Consequence 항목은 Fig. 5와 동일하지만 안전장치들이 한 번씩만 표시되었다.


Fig. 7 
Multi-stage representation of LNG leak and various consequences


Fig. 8 
Worksheet of multi-stages representation

어떤 사건의 발달을 다단계로 표현하기 위해서는 사건들이 원인과 결과로 연결되어야 한다. 이때 주의할 점은, 주요사건의 원인이 되는 모든 사건들-실선 사각형으로 표현-의 결과는 모두 주요사건-검은 사각형으로 표현-으로 이어져야하며, 주요사건의 결과들은 모두 주요사건에서 시작된다. 어떤 원인은 다양한 원인에 의해 발생할 수 있으며, 어떤 결과는 다양한 결과로 발달될 수 있다. 안전장치-쇄선 사각형-들은 특정한 두 사건 사이에 위치하여 그 장치가 막고자하는 사건과 실패했을 경우의 결과를 정확히 표현할 수 있다.

Fig. 9의 제일 왼쪽에 위치한 두 개의 간접 원인, [1.Cause-Initial]과 [3.Cause-Additional]이 직접 원인 [2.Cause-Secondary]로 발달하여 주요사건 [4.Topevent]로 발달할 수 있음을 보여준다. 또한 [4.Topevent]는 [8.Cause-Secondary-Alternative]로부터 발생할 수도 있다. 이 인과관계에서 안전장치 [1.P1]은 [1.Cause-Initial]이 [2.Cause-Secondary]로 발달하는 것을 막을 수가 있고 [2.P2]는 [1.P1]이 실패했거나 [3.Cause- Additional]이 발생했을 때 [2.Cause-Secondary]가 [4.Topevent]로 발달하는 것을 방지하는 역할을 한다. [4.Topevent] 이후의 사고 결과를 분석하는 데도 동일한 논리를 적용할 수 있다.


Fig. 9 
Multi-stage representation of accident sequence

Fig. 9에서는 안전장치가 특정 사건들 사이에 위치하고 있어 각 장치의 역할을 명확하게 기술할 수 있는 데, 만약 이러한 다단계 표현법을 취하지 않을 경우 안전장치 [3.P3]은 사건 [5.Consequence-Immediate]만이 아니라 [6.Consequence-Ultimate]과 [9.Consequence-Ultimate-Alternative]에도 해당하는 것으로 문서화 되어, 이 장치가 중복 설치되어있다는 오해를 줄 수도 있고, 이 장치의 역할을 정확히 이해하는 데 방해가 될 수 있다.

3.2 결함수 분석 기능

다양한 원인들의 조합이 주요사건 [4.Topevent]로 발달하는 모습을 보여주는 Fig. 9의 좌측 그림은 사고의 원인을 파악하고 빈도를 분석하는 결함수 분석과 유사하다.

이 다이어그램에서 초기사고에 해당하는 [1.Cause-Initial], [3.Cause-Additional] 그리고 [8.Cause-Secondary-Alternative]의 발생빈도를 모두 1.0E-0/year라고 가정하면, [2.Cause-Secondary]의 발생빈도는 [1.Cause-Initial]이 발생하고 [1.P1]이 실패했을 경우의 빈도와 [3.Cause-Additional]이 발생할 빈도의 합으로 구해지며, 이는 그림에서 확인되는 바와 같이 1.5E-0/year가 된다. 동일한 연산을 반복 적용하면 [4.Topevent]의 발생빈도를 계산할 수 있다.

3.3 사건수 분석 기능

사건수 분석(event tree analysis)은 다양하게 발현되는 사고 결과를 파악하고 빈도를 계산하는 것이다. Fig. 9에서 [4.Topevent]의 우측에 배치된 사건들이 다양한 사고 결과들을 보여준다. 보통의 사건수 분석이 분기조건(branch condition) 즉 점화여부, 소방장치 작동여부, 등을 고려하고 이 조건의 만족 여부에 따라 다양한 사고 결과들의 빈도가 계산되는 것과 다르게, Fig. 9은 분기 조건 대신 안전장치의 작동여부와 실패확률을 이용하여 사고 결과를 분석하고 빈도를 유도하고 있다. 분기조건을 적용하는 ETA가 정량적위험도분석(quantitative risk assessment)에 적합하다면, 개별 안전장치의 효과를 고려하는 방법은 난상토론 중 논의의 대상이 된 사고결과의 발생빈도를 직접 계산해 준다는 점에서 HAZID에 더 적합하다고 판단된다.

3.4 위험도 평가 개선

HAZID의 주요 작업 중 하나는 사고의 발생 빈도와 규모를 조합하여 위험도를 평가하는 것이다. 다단계 보우타이기법은 두 가지 측면에서 위험도 평가법을 개선한다. 첫째로 결함수 분석과 사건수 분석을 통합함으로써 각 사고의 발생빈도에 대한 정량적 지침을 제공한다. 이는 사고발생 빈도를 평가할 때 객관적인 자료를 사용할 수 있게 해준다. 위험도를 평가할 때, 특정 위험요소/대표 사고로 인해 발생하는 모든 사고결과의 위험도를 평가하거나 이들 중 ‘발생할만한 최악(credible-worst)의 사고’의 위험도만 평가할 수 있다. 전자의 방법은 ‘자주 발생하는 사소한 사고’와 ‘드물게 발생하지만 심각한 결과를 초래하는 사고’ 중 어떠한 것이 그 위험요소를 더 잘 표현하고 있는 지에 대한 정보는 주지 못한다. 한편 ‘발생할만한 최악(credible-worst)의 사고’를 워크숍 참석자들이 우선 선정하도록 하고 위험도를 평가하면 참석자들의 의견을 두 단계로 평가하게 되어 평가 결과에 신뢰성을 더해주는 효과가 있다.

Fig. 10은 드릴링 리그에서 발생한 블로우아웃 사고가 침몰 및 사상자의 추가발생으로 이어지는 과정을 묘사하고 있다. 블로우아웃이 발생한 후 모든 제어장치가 실패한다면 리그뿐만 아니라 사고의 직/간접 결과로 선원들을 잃을 수 있다. 그러나 PFP(Passive Fire Protection)라는 신뢰할 수 있는 제어장치의 효과를 고려한다면, PFP 실패로 리그를 통째로 잃는 것은 너무 보수적인 평가일 수 있다. 따라서 ‘발생할만한 최악’의 상황으로서 화재가 지속되는 도중 비상대응을 하는 것을 선정하고 위험도를 평가하는 것이 타당할 것이다. 여기서 다단계 보우타이도는, 위험도 평가의 대상이 된 ‘발생할만한 사고’는 ‘궁극적인 결과 – 리그 손실’이 아니란 것을 직관적으로 보여줄 수 있다.


Fig. 10 
Risk ranking of the credible worst consequence, which is not a final but an interim one.


4. 활용 예제

다단계 사건표현과 빈도분석의 활용 예제로서 액화수소(Liquid hydrogen, LH2) 운반선 화물창 내 액화수소누출 위험을 분석해 보았다. 액화수소는 동일한 수준의 강도와 보냉설계가 적용된 이중방벽 탱크에 보관되어있다고 가정하였다 (Fig. 11).


Fig. 11 
Bowtie analysis of hazard leaking liquid hydrogen in a cargo hold

액화수소의 누출은, 이중방벽을 동시에 파손시킬 수 있는 강한 충격- “1.External impact to fail double barrier”, 액체수소 배관의 파손-“13.Failure of piping in the cargo hold” 혹은 각 방벽이 순차적으로 손상되는 경우에 발생할 수 있다. 순차적 손상의 경우 내부의 1차 방벽이 먼저 손상될 수도 있고-“3. Crack on the internal shell” → “17. Crack on the outer shell” -외부의 2차방벽이 먼저 손상-“14. Thermal fatigue load on the outer shell”→“16. Thermal fatigue on the inner shell”-될 수도 있다.

내부 방벽이 먼저 손상된 경우, “Secondary barrier”가 있어 “LH2 leak”을 방지할 수 있고 단열공간 내에 설치된 누출감지기가 내부 방벽의 손상을 알려줄 수 있다. 그런데 이들은 외부 방벽의 손상에는 효과가 없는 안전장치들이며, 외부방벽의 손상 여부는 눈으로 살펴보는 방법 밖에 없는 것으로 파악된다. 그러나 외부 방벽은 단열을 위해 보온재로 덮여있을 것이기에 크랙 등을 파악할 수 없어 안전장치로서 효과는 의문시 되므로 유효한 안전장치로 기입되지 않았다.

LH2가 화물창 내로 누출이 된다면 사고는 점화 여부에 따라 달라지며, 점화의 시점에 따라 또 다른 결과를 가져온다. 또한 기화된 가스와 액체 상태로 바닥에 쌓인 경우의 결과가 다르다. 이렇게 복잡한 사고결과는 가연성 가스를 생성하거나, 제트화재로 이어지거나, 화물창 바닥에서 풀화재를 일으킬 수도 있다. 안전장치로서 점화원 제어, 환기, 가스감지장치, 화재감지장치, 이중저(double bottom) 구조, 손상복원성, 등을 생각할 수 있는 데, 독립형 Type C 탱크를 갖는 화물창은 누출 위험과 그로 인한 화재위험이 매우 작은 것으로 여겨지므로 화재에 대한 안전장치는 없거나, 최소한으로만 구비될 가능성이 높다. 한편 LH2의 경우 누출과 동시에 격렬하게 기화가 이루어져 바닥면에 액면을 형성할 가능성이 거의 없다는 연구도 있으나, 본 검토에서는 다양한 사고결과를 보여주고 주의를 환기하기 위해 포함하였다.

화물창 내 액화수소 누출을 대표할 결과로서, 가스운 폭발이 발생하여 국부적인 구조손상이 발생하는 것을 선정하였고, 이 결과의 위험도는 ‘Medium’ 등급으로 평가되었다. 비록 액화수소 저장 탱크의 종류와 크기는 다르지만 수소 누출로 인한 사고가 종종 발생하고 있으며(likelihood level ‘A’) 구조 손상이 국부적이라고는 하더라도 선박의 운항에 심각한 차질을 가지고 올 수 있다고 (‘Major damage’ with respect to ‘Asset’) 판단되었기 때문이다.

사고 발생빈도가 계산되는 것을 확인하기 위해 각 사고원인의 빈도와 안전장치의 실패확률은 임의로 기입하였다. 가스확산 혹은 액면 생성은 누출이 발생한다면 필연적으로 발생하는 결과로 1.0E-4/year의 수준의 빈도를 갖는데, 플래쉬, 제트, 액면화재의 경우 1.0E-5/year로 한 오더가 낮아진다. 폭발과 그로 인한 구조손상은 1.0E-6/year 수준의 발생 빈도를 갖으며, 초저온 파괴로 침수가 발생하고 선박을 잃는 사고는 1.0E-8/year 정도로 평가되었다. 이 숫자들은 각 사고 빈도들이, 정도의 차이(difference in order of magnitude)를 가질 수 있음을 보여주기 위한 예제이며, 가용한 안전장치의 수와 종류 및 실패확률에 따라 달라질 수 있다.


5. 결 론

많은 정성적 위험도 분석 기법이 워크숍을 이용해 참석자들의 경험과 의견을 활용한다. 이들 중 프로젝트의 초기에 위험요소를 식별하는 HAZID 분석과 중대사고 및 그 제어요소들에 초점을 두는 보우타이분석은 그 결과가 프로젝트 전주기에 걸쳐 참고되는 매우 중요한 분석인데, 사고를 원인-사건-결과의 3단계로 단순화하여 표현함으로써 워크숍에서 논의된 여러 사건들의 관계와 안전장치들의 역할을 정확하게 표현하지 못하는 한계가 있다. 직접원인/결과와 간접원인/결과를 구분하여 표현할 방법이 없어 사건들의 인과관계가 순차적으로 표현되지 않거나, 하나의 안전장치가 여러 곳에 중복되어 나타나 안전장치의 기능이 오해되고 실제보다 많은 안전장치가 사용되고 있다고 착각하게 될 수도 있다. 또한 이들은 정량적인 요소를 갖고있지 않기에, 위험도평가의 결과가 참가자들의 주장에 영향을 받기도 한다.

본 논문은 사고를 다단계로 표현하고 결함수 분석과 사건수 분석을 통합한 다단계 보우타이 방법을 제시하였다. 이 방법은 사고의 연쇄발생을 충실히 표현할 수 있어, 전문가들의 난상토론 결과를 더 정확하게 전달될 수 있도록 하며, 안전장치의 역할을 정확히 표현함으로써 위험요소와 사건들이 적절하게 방지/제어될 수 있도록 해준다. 또한 위험도평가의 한 요소인 발생빈도를 정량적으로 제시함으로써, 위험도평가의 불확실성을 감소시킬 수 있다.


References
1. ABS, 2017. Guidance Notes on Review and Approval of Novel Concepts.
2. ABS, BOWTIE MASTER, https://www.abs-group.com/content/documents/Market_Fact_Sheets/Bowtie-Master-Software-Solutions.pdf [Accessed 4 March 2022].
3. Bow Tie Pro Limited, Features of BowTie Pro, https://bowtiepro.com/software/features.aspx [Accessed 4 March 2022].
4. CCPS & EI, 2018. Bow ties in risk management: A concept book for process safety, Wiley.
5. CGE, BowTieXP, https://www.bowtiexp.com/ [Accessed 4 March 2022.
6. DNV, 2022. Risk Based Certification, URL: https://www.dnv.com/assurance/Management-Systems/risk-based-certification.html [Accessed 14 January 2022].
7. DNV, SYNERGI LIFE Barrier Management module, https://www.dnv.com/Images/Synergi-Life-Barrier-Management-Module-flier_tcm8-58731.pdf [Accessed 4 March 2022].
8. ISO 17776:2002. Petroleum and natural gas industries – Offshore production installations – Guidelines on toold and techniques for hazard identification and risk assessment.
9. ISO 17776:2016. Petroleum and natural gas industries – Offshore production installations – Major Accident hazard management during the design of new installations.
10. John S., 1999. A guide to quantitative risk assessment for offshore installations, CMPT.
11. Korean Register, 2015. Guidance for Approval of Risk-based ship design.
12. Lloyd’s Register, 2018. ShipRight Design and Construction: Additional Design Procedure – Risk Based Designs (RBD).

김 성 훈