STPA 적용 예제(작업장 안전) - 항공기 조립

항공기 조립 관련 작업장 안전 분석

작업장(workplace) 또는 직업 안전(occupational safety)은 주로 근로자의 행동에만 초점을 맞춰왔고 그 이상으로는 수행되지 않았다. 작업장 안전에 대한 시스템 접근 방식은 사람의 행동이 사람이 포함되어 있는 시스템에 영향을 받는다고 가정한다. 이 접근법의 목표는 인적 오류 (human error)를 줄이기 위해 작업 환경을 설계하는 방법을 찾는 것이다. 이러한 환경에서의 STPA 적용은 보다 기술적인 시스템에 STPA를 적용하는 방법과 동일하다. 본 분석은 고도로 자동화된 작업을 하는 사람들에 관한 것이다. 이 분석의 경우, 작업장 안전에 대한 STPA와 기존 접근법의 주요 차이점은 STPA는 단지 사람이 따르는 절차를 만드는 것에 초점을 맞추기보다 전체 시스템을 보며 위험한 시나리오를 식별하고 그것들을 완화 또는 제거하는 방법에 초점을 맞추고 있다는 것이다. 아래의 예제는 제조 환경에서의 STPA 실제 적용에 대한 내용이기 때문에 실제로 사용된 평가 절차와 비용에 대한 세부 정보가 포함되어 있다.

Nancy G. Leveson & John P. Thomas, “STPA handbook : Chapter 4 : Workplace Safety using STPA”, U.S, 2018

시스템 정보

이 STPA 분석단계의 목적은 항공기 조립 관련 작업장 STPA 안전분석의 대략적인 개요가 제시되는 시스템 정보 분석 단계입니다. 아래 화면은 VisualPro SA – STPA 의 시스템 정보 화면입니다.

그림1. 항공기 조립 관련 작업장 STPA에 대한 시스템 정보

1. 손실 및 위험원 식별

STPA는 총 네 단계로 이루어져 있으며, 그 첫 번째 단계인 손실 & 위험원 식별단계입니다. 아래 화면은 손실을 식별하는 단계 화면입니다.

그림2. 손실의 식별

표1. 항공기 조립 관련 작업장 STPA 에 대한 손실 표

항공기 조립 관련 작업장 STPA에 대해서는, 5개의 주 위험원이 식별될 수 있으며 그 중 3개의 주식별원은 하위 식별원을 가집니다. 또한 각 위험은 손실과 추적가능한 관계성을 가지게 됩니다. 식별된 위험원은 다음과 같습니다.

그림3. 위험원 식별

표2. 항공기 조립 관련 작업장 STPA 에 대한 위험원 표

2. Control Structure 모델링

다음으로, STPA의 네 단계중 두 번째 단계는 제어 구조 모델을 구축하는 것입니다. 제어 구조는 하나의 전체 시스템을 상호 피드백 제어 루프로 모델링하여 각 구성물의 기능적 관계와 상호작용을 표현합니다. 제어 구조는 보통 매우 추상적인 수준에서 시작하여 여러 반복을 통해 시스템에 대한 디테일한 부분까지 표현해 낼 수 있도록 다듬어집니다. STPA를 안전, 보안, 프라이버시, 그 어떤 다른 산업군에 적용한다고 해도 이 제어 구조를 모델링하는 단계는 반드시 필요합니다. 현재 우리가 다루고 있는 항공기 조립 관련 작업장 STPA 에 대한 몇 가지 ‘루프’를 포함하고 있는 다계층 제어 구조가 아래에 제시되어 있습니다. 이 루프는 ‘AGV 조작원’과 ‘모듈들’ 사이에서, ‘모듈들’과 ‘모터들’ 사이에서, 그리고 ‘모터들’과 ‘바퀴 조립’ 사이에서 적용하는 루프이며 이 다계층 제어 구조는 많은 CA(Control Action)을 포함하고 있습니다.

그림4. 항공기 조립 관련 작업장 STPA 제어 구조 다이어그램

3. UCA 도출

세 번째 단계에서는 안전하지 않은 컨트롤 액션 (UCA)를 식별합니다. STPA 방법론에 따르면, UCA는 4가지 타입으로 분류되며 (Not providing causes hazard / Providing causes hazard / Too early, too late, out of order / Stopped too soon, applied too long). 한 가지 제어 행동(CA) 에 대한 UCA 가 예시로서 아래 제시 되어 있습니다.

그림5. 항공기 조립 관련 작업장 STPA 에 대한 UCA 식별

표3. 항공기 조립 관련 작업장 STPA 에 대한 UCA 표

4. 손실 시나리오 도출

마지막 단계로, UCA 식별 후에 UCA를 발생 시킬 수 있는 손실 시나리오를 식별 해야합니다. STPA 는 이 시나리오를 ‘손실 시나리오’ 라고 명명하고 있으며 손실 시나리오를 발생 시킬 수 있는 가능성에 대해 기술하는 ‘핸드북’의 가이드워드를 참조하여 작성될 수 있습니다. 아래 사진은 UCA1 – 자동차의 움직임이 물체와의 최소이격거리를 위반할 예정일 때, 드라이브 컨트롤 모듈이 드라이브 명령을 제공함‘ 에 대한 몇 가지 손실 시나리오에 대한 예시입니다.

그림6. 항공기 조립 관련 작업장 STPA 에 대한 손실 시나리오 식별

표4. 항공기 조립 관련 작업장 STPA 에 대한 손실 시나리오 표

결론

위에서 제시된 STPA 분석 프로세스는 전체 시스템의 시각적 표현을 가능하게 하여 문제의 추적 가능성, 이전 컨텍스트 및 이에 대한 대응책을 기록할 수 있게 함으로써 도메인 지식 공식화에 기여한다. 그러나 위의 항공기 조립 작업장 프로세스는 STPA 프로세스와 결과의 일부 예에 불과하지만, 이 프로세스의 전체 역학과 특성이 항상 유사한 것은 아닙니다. 동시에, 우리는 항공기 조립 프로세스 시스템이 더 복잡하고 기능적으로 향상되더라도 신뢰할 수 있을 것으로 예측할 수 있는 결과를 이 분석에서 얻었습니다.

Nancy G. Leveson & John P. Thomas, “STPA handbook : Chapter 4 : Workplace Safety using STPA”, U.S, 2018