2014/05/30 21:18

사고의 진행 Views by Engineer

  세월호 건 때문에 사고 예방에 대한 관심이 높아진 상태다. 
  예전엔 나도 충분한 주의를 기울이고 시스템만 잘 짜면 큰 사고는 거의 막을 수 있다고 생각했는데... 지금은 과연 기대만큼 잘 될까에 대한 확신을 많이 잃은 상태다.  왜냐하면 사고는 아주 작은 틈새에서 시작할 수 있으며, 문제점을 발견했을 때 해결하기 위해 추가한 안전 조치가 또 다른 사고의 원인이 될 수도 있다는 속성이 있기 때문이다.
  Tim Harford의 'Adapt'에서 선진국에서 일어난 두 큰 사고의 전말을 옮겨 본다. 
  
 
(source; 'Piper Alpha before the fire')
  
  1988년 7월 6일 아침 북해에서 가장 크고 오래된 해상 유전 시추시설인 파이퍼 알파(Piper Alpha)는 안전밸브 점검을 위해 보조 펌프를 해체했다.  작업은 온종일 지루하게 계속되다가 근로자들이 관을 봉쇄하고 펌프가 사용할 수 없는 상태라는 내용의 문서를 작성한 초저녁에야 마무리되었다.  엔지니어 한 명이 그 문서를 제어실에 남겨두었으나 주위는 분주했고 끊임없이 다른 일이 끼어들었다.  그날 저녁 늦게 제1 펌프가 고장 났다.  시간에 쫓기기도 했고 유지보수에 대해 아는 바가 없었으며 보조 펌프를 사용하지 말아야 할 이유를 딱히 찾을 수 없었던 시추시설 기사들은 절반쯤 해체된 펌프를 가동시켰다.  가스가 새면서 불이 붙었고 폭발했다.
  폭발만으로도 심각한 일이었지만 몇 가지 다른 요인들로 인해 상황은 더욱 악화되었다.  보통 가스 시추시설은 방어벽을 설치해서 폭발물을 보관하지만 파이퍼 알파는 원래 석유를 퍼 올리도록 설계된 곳이었다.  석유는 불이 붙기는 쉬워도 폭발하는 경우는 드물다.  보강된 설계에서도 위험 물질을 제어실과 너무 가깝게 배치하는 바람에 폭발과 동시에 제어 기능이 마비되었다.  엄청난 양의 해수를
끌어오도록 설계된 소방펌프는 잠수부들이 펌프 입구로 빨려 들어가는 것을 막기 위해 만들어진 안전장치 때문에 자동으로 작동되지 않았다.  제어실이 안전 시스템을 통제할 수도 있었겠지만 제어실은 이미 파괴된 상태였다.  이는 시추 플랫폼에서 일하는 작업자들에게 숙소동으로 대피하라는 소개 명령을 내릴 수도 없었다는 뜻이다.
  근처의 다른 시추시설은 화염에 휩싸인 파이퍼 알파 쪽으로 계속 석유와 가스를 퍼 올렸다.  작업자들은 불길을 보았지만 생산 중단이라는 중대한 의사결정을 내릴 권한이 없었기 때문에 조바심칠 수밖에 없었다.  공급관에 이미 들어 있던 엄청난 양의 고압가스를 생각한다면 생산을 중단했더라도 별 차이는 없었을지도 모른다.  이 가스가 폭발하면서 에펠탑 절반 높이의 불덩이가 굴착 플랫폼을 에워쌌다.  이 폭발로 인해 근처 배에 타고 있던 구조대원 두 명과 그들이 물에서 구조한 시추시설 인부들까지 사망했다.  다른 파이프라인들까지 열기에 파열되어 불길은 더욱 거세어졌고 다시 투입된 또 한 척의 소방 구조선은 멀리 피해야 했다.  파이퍼 알파에 접근하는 것은 불가능했고, 첫 폭발 후 채 두 시간도 안 돼 숙소동 전체가 녹아내린 플랫폼 위에서 바다로 미끄러졌다.  총 167명이 사망했다.  생존자 59명 대부분은 10층 높이에서 죽음을 무릅쓰고 차가운 바다로 뛰어든 사람들이었다.  파이퍼 알파는 3주간 더 탄 후 말라비틀어진 꽃처럼 본래의 형체를 알아볼 수 없게 시들어갔다.
                       (source; BBC 'Piper Alpha: How we survived North Sea disaster)

 - '어댑트(Adapt)', Tim Harford, 강유리 역, 웅진지식하우스 간, p.263~64

  1979년 스리마일 섬 원전 사고는 미국 원자력산업 역사상 가장 큰 재난으로 기록되어 있다.  이 사고는 차단 필터를 청소하려던 엔지니어들이 실수로 한 컵 정도의 물을 엉뚱한 시스템에 흘러 들어가게 함으로써 시작되었다.  누수 자체가 해가 될 이유는 전혀 없었지만 이 때문에 자동 안전장치가 작동되면서 열 교환기, 증기 터빈, 냉각탑으로 물을 순환시키는 메인 펌프가 폐쇄되었다.  원자로는 다른 방법으로 냉각되어야 했다.  이후에 벌어진 일은 개별적으로 복구 가능한 오류들이 눈덩이처럼 커져버리는, 찰스 페로(Charles Perrow)식 시스템 사고의 고전적인 사례였다.[1]
  두 대의 보조 펌프가 가동되어 냉수를 원자로에 주입했어야 하지만 두 파이프의 밸브가 정비 후 실수로 잠겨 있었다.  발전소 직원들이 깜박이는 경고등을 보고 밸브가 잠겼음을 알아차려야 했지만 스위치에 종이 태그가 붙어 있어서 잘 보이지 않았다.  원자로가 과열되면서 마치 압력솥처럼 릴리프 밸브가 자동으로 열렸다.  압력이 정상적인 수준으로 다시 떨어지자 밸브는 다시 차단되었다.  그러나 밸브가 강제로 열리면서 원자로의 압력이 위험한 수준까지 떨어져버렸다.
  밸브가 열린 것을 발전소 직원들이 보았다면 파이프 아래쪽에 있는 또 다른 밸브를 잠갔을 것이다.  그러나 제어판에는 밸브가 정상적으로 잠겨 있는 것으로 나타났다.  사실 제어판에는 밸브를 정상 상태로 잠그라는 신호를 보냈다고만 나올 뿐, 밸브가 제대로 반응했는지는 나타나지 않았다.  발전소 직원들이 무엇이 잘못되었는지 파악하려고 애쓰는 동안 감독자는 릴리프 밸브가 열려 있을 가능성이 있다는 사실을 깨달았다.  그래서 그는 엔지니어 중 한 명에게 온도를 확인하라고 지시했다.  엔지니어는 모두 정상이라고 보고했다.  엉뚱한 측정기를 보았던 것이다.
  심각한 오류였지만 그 상황에서는 이해할 만하다.  시끄럽게 울리는 수백 개의 경고음을 배경으로 이 혼란스러운 대화가 진행되었던 것이다.  제어판은 혼란스러웠다.  750개에 가까운 경고등 각각에 문자 암호가 붙어 있었는데 관련된 전환 스위치와 가까운 것들도 있고 먼 것들도 있었으며, 붙여놓은 위치도 위, 아래, 제각각이었다.  붉은 경고등은 밸브가 열려 있거나 장비가 활성화되어 있음을 뜻했고, 녹색 경고등은 밸브가 닫혀 있거나 장비가 비활성화되어 있음을 뜻했다.  그러나 경고등 일부는 늘 녹색이거나 적색이었기 때문에 아무리 숙련된 직원이라도 수많은 경고등을 훑어보고 재빨리 문제를 알아차리기가 불가능했다.
   아침 6시 20분 마침내 새 근무조가 도착하고 새로운 시선과 인식으로 상황 파악이 다시 이루어진 뒤에야 비로소 과열된 냉각제가 압력이 떨어진 원자로에서 두 시간 이상 솟구쳐 나오고 있었다는 사실이 발견되었다.  새 근무조는 상황을 성공적으로 통제했으나 이후 12만 리터 이상의 오염된 냉각제가 흘러나와 노심이 완전히 녹아버렸다.  보다 효과적인 상황 지표계들이 있었더라면 사고는 훨씬 더 신속하게 수습되었을지도 모른다.

- Ibid. p.275~77

  
  보다시피 안전장치의 존재가 사고의 확대에 한 고리를 차지하고 있다..... OxzTL   
 
  하포드는 안전장치가 야기한 문제 사례를 더 열거하지만, 사실 더 심각한 사례는 파이퍼 유전 또는 (하포드가 같은 책 뒤편에 소개한) 딥워터 호라이즌(deepwater horizon)이 아니라 비행기였다.   

  조종사가 컴퓨터로 보내는 신호를 전기 신호로 바꾸는 완벽한 "전자 조종 장치" 기술은 에어버스 사에서 1988년 A-320 기종을 시장에 내놓을 때 처음으로 상업용 여객기에 적용시킨 것이다.  그렇지만 이 조종 장치를 채택한 A-320기종 몇 대가 추락하자 여기저기서 컴퓨터로 조종하는 비행기의 심장격인 소프트웨어의 신뢰성에 의문을 제기했고, 전자 조종 장치를 정밀하게 조사하는 작업에 들어갔다.
  에어버스에 설치한 전자 조종 장치에 대한 비평 가운데 하나는 비행기에 탑재한 컴퓨터는 일단 비행기에 너무 무리를 준다고 여겨지는 조종은 절대로 할 수 없게 한다는 것이었다.  즉 컴퓨터는 프로그램을 통해서 조종사가 요구할 수 있는 가속의 한계치를 미리 못박아 놓았기 때문에 비행기에 주는 과다한 부담을 없앨 수 있었다.  이 소프트웨어의 초기 버전을 쓰면 아주 낮은 속도로 낮게 날 때는 문제가 없었지만, 미처 예상치 못한 조건 때문에 착륙을 취소하게 되면 비행기의 엔진이 다시 완전한 힘을 낼 만한 충분한 시간적 여유가 없었다.  이런 약점은 A-320기종 두 대가 추락한 다음에야 없앨 수 있었다.

- 'Invention by design(디자인이 세상을 바꾼다)', Henry Petroski, 최용준 역, 지호 간, p.32~34

  물론 비행기에 과다한 부담을 없애는 것도 손상 가능성을 줄이므로, 장기적으로 보면 안전 조치에 들어갈 수 있다.  그러나 이 안전 장치가 비상시의 조작 때 선택권을 줄여서 사고를 유발하는 방아쇠가 되었던 것이다.

  =============

  그렇다고 안전 장치를 없애자는 얘기는 당연히 말이 안 된다.  하지만 이런 저런 안전 장치를 두껍게 쌓아 놓았다고 "충분히 안전하겠지"라고만 생각할 수도 없는 것이, 어떤 복잡한 장치나 체계를 다루는 경우의 딜레마다.[2]

  漁夫

  [1] 찰스 페로는 예일대 사회학과 명예 교수로 '정상 사고(Normal accidents)'란 책의 저자다.  하포드는 '복잡하면서, 변화의 진전이 빠른(강하게 결합되어 있는 도미노 같은) 체계는 위험하다'고 페로의 주장을 빌어 얘기한다.  유전 사고는 원래 유전 자체가 퍼올리는 석유와 가스 자체가 큰 위험 소인이며, 원자력발전소는 노심에 이상이 생겼을 때 빨리 손을 쓰지 못하면 대형 사고로 번진다.  그리고 복잡한 체계는 워낙 '부품'이 많기 때문에 어디선가에서는 고장난 것이 항상 있고, 이들이 잠재적인 위험으로 작용한다.  거기에 사람의 실수와 예상하지 못한 상황에서 뜻밖의 나쁜 역할을 할 수도 있는 안전장치는 덤... 
  [2] 원전 같은 경우 이모 저모로 모의 'stress test' 같은 것을 한다고 들었다.  여러 가지 가상 상황을 simulation하고 그에 대한 대처를 연습한다고.  그냥 듣기만 한 얘기니 더 잘 아시는 분께서 설명해 주시면 환영.
  

핑백

덧글

  • Charlie 2014/05/30 21:40 # 답글

    예전 환상특급 시리즈 중에서 엄청난 파괴력을 지닌 폭탄을 담당하게 된 요원의 멘탈을 테스트하기 위한 스트레스 테스트가 지나쳐서 이 요원이 이게 테스트인줄 모르고 폭탄을 작동시켜버리는 이야기가 있었죠.....
  • 漁夫 2014/05/31 11:35 #

    (묵념............)
  • BigTrain 2014/05/30 21:44 # 답글

    "뭐 별일이야 있겠어."싶다가 벌어지는 사고들이 후진국형 사고라면 "이것도 하고 저것도 했는데 설마 뭔일이 터질까."하다가 벌어지는 사고들이 선진국형 사고 같습니다.

    세월호 사고는 그 중간쯤인 것 같네요. 후진국형에 가까운듯 싶기도 하고, 선진국형인듯 싶기도 하고. 고급 승무원들이 워낙 예상을 뛰어넘은 outlier들이라 한국 사회의 문제로 싸잡기도 어렵고..
  • 漁夫 2014/05/31 11:39 #

    세월호 사고는 전 후진국형에 가깝다고 봅니다. 제가 몇 가지 중요한 분기점을 꼽아 봤는데, 안전 장치가 '제대로 돌아갔지만 오히려 문제를 일으킨' 경우는 나오지 않더군요. 오히려 안전 장치가 제대로 돌지 않은 건 갑판의 구명벌 고정시켜 놓은 게 있었지요.

    하지만 인명 손실에서 당연히 결정적인 문제는 막장 승무원들이란 데는 이의가 없습니다. 배를 버리는 데 상부 허가가 필요했을지라도 그게 승객을 다 버리고 도망간 걸 정당화하지는 못하죠.
  • StarSeeker 2014/05/30 22:07 # 답글

    구소련의 원자력 이야기를 생각해본다면............

    걔들은 실수하면 그냥 교도소 가는걸로 끝나는게 아닌데, 그런데도 벌어지는 사건의 상당수가... "뭔일 있겠나? ㅎㅎ" 이러다가 사고가 났으니....아님 안전장치라는 개념의 희박하던가! (K-19사건도 그러했는데, 몇몇 원자로 사고도 그렇게 사고가!!!)
  • 漁夫 2014/05/31 11:43 #

    안전이라는 개념 자체가 좀 무식했다는 생각이 듭니다. 체르노빌은 완전히 원자로 갖고 장난 친 데 가깝던데요.

    '교도소'보다는 돈 물어내는 게 더 효과적일지도 ㅎㅎㅎ
  • 일화 2014/05/30 22:16 # 답글

    저도 adapt를 꽤 감명있게 읽은 기억이 나네요. 다만 그 책의 결론은 쓸데없이 한 두가지 안전장치에 의지하면서 자만하지 말고 위기를 상정하여 세부적인 면까지 고려하여 제대로 설계하면 사고를 충분히 막을 수 있다는 쪽에 가까웠던 것으로 기억합니다.
    이번 세월호 사건의 경우에도 (제가 아는 수준의 정보만으로는) 일단 과적이 어떤 위험을 초래하는지에 대한 고려나 경계가 전혀 없었고, 위기시 어떻게 행동하는지에 대한 대비도 전혀 없었으니 어찌보면 당연한 사고라고 봐야 하지 않을까 싶네요.
  • 漁夫 2014/05/31 12:01 #

    '안전판'을 군데군데 세워 놓자는 것도 다 돈 얘기인데, 사실 그리 간단한 문제가 아니라서 그 부분은 설득력이 약간 떨어진다는 감이 들더라고요.

    그랬건 아니건 세월호 건은 평형수 빼고 과적 등 의도적인 안전요소 감소까지 들어 있으니... 인명 손실이 얼마건 간에 뒤집어질 요소는 충분히 갖추고 있지 않았나 싶습니다.
  • ㄱㄷㅂㅁ 2014/06/03 07:39 # 삭제

    0. ㄱㄷ이라고 하셔서 박멸만 빼면 되는 줄 알았습니다.

    1. 예전엔 나도 충분한 주의를 기울이고 시스템만 잘 짜면 큰 사고는 거의 막을 수 있다고 생각했는데... 지금은 과연 기대만큼 잘 될까에 대한 확신을 많이 잃은 상태다. 왜냐하면 사고는 아주 작은 틈새에서 시작할 수 있으며, 문제점을 발견했을 때 해결하기 위해 추가한 안전 조치가 또 다른 사고의 원인이 될 수도 있다는 속성이 있기 때문이다.
    //
    가능하다고 봅니다. 호수 콴타항공 등은 회사 역사상 사고가 없습니다.

    2. 작업자들은 불길을 보았지만 생산 중단이라는 중대한 의사결정을 내릴 권한이 없었기 때문에 조바심칠 수밖에 없었다.
    //
    권한 있는 사람이 현장에 없으면, 자동으로 현장에 있는 사람에게 권한이 넘어오게 하면 됩니다. 군 조직이 이렇습니다.

    3. 보강된 설계에서도 위험 물질을 제어실과 너무 가깝게 배치하는 바람에 폭발과 동시에 제어 기능이 마비되었다. 엄청난 양의 해수를 끌어오도록 설계된 소방펌프는 잠수부들이 펌프 입구로 빨려 들어가는 것을 막기 위해 만들어진 안전장치 때문에 자동으로 작동되지 않았다.
    //
    요즘은 거의 문제가 안 생기는 분야가 있습니다. 이 분야도 초기에는 별의 별 문제가 다 생겨서 사람이 무더기로 죽고 다치고 난리난 시절이 있습니다. 그럼에도 그런 경험을 바탕으로 점점 나아져서 요즘은 거의 문제가 안 생깁니다.
  • net진보 2014/05/31 12:38 # 답글

    ..세월호선장이나 선박직들이... 기울여져갈대진작 위ㅗㄱ으롣 ㅐ피시켰다ㅏ면..아쉬움이 남는건 어쩧수없죠...뭐... ㅠㅡ 해경이야... 어쩧수없으니..
  • 漁夫 2014/05/31 17:05 #

    해경도 신고 접수에서 문제라든가, 좀 더 적극적으로 배 버리라고 강요할 수 있지 않았을까 싶긴 합니다만, 그 결정적 순간에 가장 문제라면 누가 뭐래도 선장을 위시한 승무원이겠죠.
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


내부 포스팅 검색(by Google)

Loading

이 이글루를 링크한 사람 (화이트)

834

통계 위젯 (화이트)

6127
839
1201051