시스템적 사고원인분석 기법인 STAMP를 이용한 화학공장 폭발 사고사례 분석
Analysis of Explosion Accidents in a Chemical Plant using STAMP, a Systematic Cause-and-effect Analysis Technique
Article information
Abstract
요 약
화학공장의 공정안전관리제도 도입 후 약 25년이 지난 시점이다. 화학공장의 안전한 운영을 위한 안전관리 수준은 지속적으로 향상되면서 중대산업사고의 건수도 점차 감소하고 있지만, 사고가 발생할 경우 피해도 커지고 있다. 사고의 원인도 설비적 요인과 인적 요인 외에 사회·문화적 요인을 포함한 여러 요인이 복합적으로 관련된 경우가 증가하고 있으며, 인간과 자동화시스템 간의 좀 더 복잡한 관계가 증가됨에 따라, 이러한 사고를 예방하기 위해서는 사고를 분석할 때 사고의 직접적인 원인을 찾아내는 순차적인 접근뿐만 아니라 사회, 기술, 조직 등과 관련된 전반적이고 통합적인 시스템적 접근 필요성이 커지고 있다. 이와 같은 이유로 국외에서는 시스템적 관점에서 통합적으로 사고를 분석 하는 기법을 도입하여 적용하고 있으나, 아직 국내에서는 적용된 사례나 연구결과를 찾아보기 어려운 실정이다. 본 연구에서는 국내 화학공장에서 시운전 작업중 발생한 폭발 사고사례를 시스템적 사고분석 기법의 하나인 STAMP를 이용하여 사고를 분석하여 일차적인 원인과 조직 및 운영상의 문제점을 밝혀 향후 다른 사고발생 시 조사에 활용할 수 있는 방안을 제시하였다.
Trans Abstract
ABSTRACT
The process safety management system for chemical plants was introduced approximately 25 years ago. With the improvement in the safety management levels for the safe operation of the chemical plants, the number of serious industrial accidents has gradually decreased; however, increased damages have been observed when accidents do occur. The cause of accidents has also increased in cases where several factors, including social and cultural factors, are complexly related, in addition to facility and human factors. The need for an overall integrated systemic approach related to society, technology, and organization, and a sequential approach for finding the direct cause of accidents, is growing while analyzing the accidents. For this reason, foreign countries have introduced and applied a method to analyze accidents in an integrated manner from a systemic point of view; however, reports of cases or research results used in Korea. In this study, the case of explosion accidents, which occurred during a trial operation at a domestic chemical plant, was analyzed using Systems-Theoretic Accident Model and Processes, a systematic accident analysis technique, to reveal the primary cause, organizational, and operational problems, so that it can be used for future investigations when other accidents occur.
1. 서 론
화학공장의 공정안전관리제도 도입 후 약 25년이 지난 시점이다. 화학공장의 시스템의 안전수준은 지속적으로 향상되면서 화재·폭발 및 독성물질의 누출로 인한 사고인 중대산업사고의 건수도 점차 감소 있지만, 사고가 발생할 경우 사업장과 인근지역 주민의 피해도 커지고 있으며 사회적인 문제가 되기도 한다(1,2). 사고의 원인도 설비적 요인과 인적 요인 외에 사회적 요인을 포함한 여러요인이 복합적으로 관련된 경우가 증가(3)하고 있으며, 시스템의 복잡성과 연계성의 증가, 인간과 자동화시스템 간의 좀 더 복잡한 관계가 확대됨에 따라, 이러한 사고를 예방하기 위해서는 사고를 분석할 때 사고의 직접적인 원인을 찾아내는 순차적인 접근뿐만 아니라 사회, 기술, 조직 등과 관련된 전반적이고 통합적인 시스템 접근 필요성이 커지고 있다. 이와 같은 이유로 국외에서는 시스템적 관점에서 통합적으로 사고를 분석하는 기법을 도입하여 적용하고 있으나(4) 아직 국내 산업안전분야에는 적용된 사례나 연구결과를 찾아보기 어려운 실정이다. 본 연구에서는 국내 화학공장에서 발생한 사고사례를 시스템적 사고분석 기법의 하나인 STAMP(4)를 이용하여 사고를 분석하였으며 향후 사고조사 시 활용할 수 있는 방안을 제시하고자 한다.
2. 사고조사 분석 기법의 변화 과정
사고조사 분석기법은 Figure 1과 Figure 2와 같이 1960년대 이전까지는 하드웨워적인 결함이 사고를 발생시킨다고 보는 제1세대인 선형적(linear) 모델, 1979년의 three mile island (TMI) 원자력발전소에서의 사고와같은 인적인 오류가 사고를 발생의 원인이라고 보는 제2세대인 역학적(epidemiological) 모델, 시스템 내의 다양한 영향 요소들과 방어벽의 잠재적 결함들이 조합되어 사고가 발생한다고 보는 제3세대의 시스템적(systematic) 모델로 발전해 왔다.
제1세대인 선형적 모델은 도미노 모델(domino model), fault tree analysis (FTA), event tree analysis (ETA) 등 여러 가지가 현재까지 사용되고 있고, 제2세대인 역학적 모델은 스위스 치즈 모델(swiss cheese model)이 대표적이다. 제3세대인 시스템을 기반으로 하는 모델로는 AcciMap (The map of an accident), system theoretic accident model and processes (STAMP), functional resonance analysis method (FRAM) 등이 대표적이다(5-7).
2.1 선형적인 인과관계 모델
1960년대 이전 시스템은 대부분 작업자의 업무 중 일부를 반자동화한 불완전한 시스템이었으며 하드웨어적인 구성 요소의 고장과 같은 기술적 문제로부터 발생하는 결함이 선형적(linear) 인과관계를 통해 사고가 발생하였다. 따라서 사고가 발생하면 이에 대한 조사와 대책의 제시는 도미노 모델(domino model)에 따라 인과관계를 추적하여 기계 오작동이나 방호장치 개선 등 표면적인 해결책을 찾는 데 집중하였다. 정량적 위험성평가기법인 fault tree analysis (FTA), failure mode and effect analysis (FMEA), ICI사에서 개발하였고 화학공장에서 많이 사용하고 있는 hazard and operability review (HAZOP) 등이 이 시기에 개발ㆍ보급 되었다(5-7).
2.2 인적요소를 반영한 모델
기계의 신뢰도가 안정화 되었음에도 불구하고 1979년의 three mile island (TMI) 원자력발전소에서의 사고와 같은 크고 작은 사고가 계속 발생하였고, 사고 분석결과 운전원(operator)의 개입이 있었다는 것을 발견하였다. 이에 따라 시스템 신뢰성을 평가하기 위하여 기기의 정상작동 확률(probability)과 함께 인적(human)인 요소를 고려한 시스템 및 교육을 통한 개선 등으로 인적인 오류의 제거 등에 초점을 맞추었다. 이 시기에는 technique for human error rate prediction (THERP), cognitive reliability and error analysis method (CREAM), root cause analysis (RCA), a technique for human error analysis (ATHEANA) 등 인적 신뢰도 평가 기법들이 등장하였다(5-7).
2.3 사회-기술 시스템(socio-technical system) 개념 도입
1986년의 체르노빌(Chernobyl) 원자력발전소 사고에서 기존 방법으로는 사고의 원인을 분석하고 대응함에 있어 한계에 직면하게 되었다. 이후 사회-기술 시스템 개념을 기반으로 시스템 내의 다양한 영향 요소들과 방어벽의 잠재적 결함들이 조합되어 사고가 발생한다는 관점이 나타났다. 이 시기에는 reason의 스위스 치즈 모델을 근간으로 human factors analysis and classification system (HFACS) 등의 사고분석 방법이 제시되었다(5-7).
3. STAMP와 CAST
3.1 개념
System theoretic accident model and processes (STAMP)는 사고 원인 모델과 분석과정으로 과학기술이 빠른 속도로 변화하고, 사고의 특성변화 및 새로운 형태의 위험이 나타나는 등 과거의 순차적 사고분석기법들이 가지고 있는 한계점을 극복하기 위하여 Leveson(4)이 2004년에 발표한 분석기법이다.
STAMP에서 사고는 설계(design)⋅개발(developement) 및 운영(operation)단계에서 상호 작용하는 시스템의 구성요소 사이에서 시스템 안전제약 조건을 부적절하게 시행한 결과라는 개념을 도입하고 있다. 즉, 안전을 실패(failure)의 예방 문제가 아닌 제어(control)의 문제로 보고 있으며, 제약조건(constraints)은 환경적 또는 재정적 조건, 규칙(regulation), 절차(procedure), 기술, 설계(design) 등이 될 수 있다.
Causal analysis on systems theory (CAST)는 시스템 이론 기반의 원인 분석방법으로 시스템 관점에서 사고 인과관계를 분석하는 구조화된(structured) 기술이다(9). CAST는 조사 기법이 아니라 분석방법으로 CAST 분석을 수행하면 조사가 진행됨에 따라 손실이 발생한 이유에 대한 포괄적인 설명을 작성하고, 향후 관련 사고를 예방하기 위한 권고사항을 공식화하는 데 도움을 주기 위한 조사 중에어떤 질문에 답해야 하고 어떤 정보를 수집해야 하는지 식별하는 데 도움이 된다(9).
STAMP에서는 사고의 원인을 “손실을 막지 못한 안전제어구조(safety control structure)”로 정의하고 있기 때문에, 사고조사의 목표(objects)는 안전제어구조가 훼손되어(violated) 있는 안전 제한 조건을 시행할 수 없는 이유를 식별하고, 향후 관련 손실을 방지하기 위해 제어구조의 어떤 변경이 필요한지 결정하는 것이다(4).
STAMP 모델의 기본 제어구조는 Figure 3에서와 같이 시스템 개발(system development) 구조 및 시스템 운영(system operation) 구조를 포함하고 있으며, 각 제어구조는 계층(hierarchy)으로 구성되어 있다. 상위 구조에서는 안전정책(policy), 표준(standard), 절차(procedure) 등을 결정하고, 하위 구조에서는 정책이나 절차를 실제로 수행하는 역할을 한다. 또한, 시스템의 구성요소를 계층별로 나타낸 후 상위 레벨의 결정사항과 하위레벨의 피드백을 표시하는 방식으로 시스템을 모형화한다. Figure 3은 STAMP의 일반적인 사회-기술 제어 모델을 나타내고 있다(4).
STAMP는 상향식이 아닌 하향식이므로 복잡한 시스템에 적용할 수 있고, 사고의 원인이 되는 소프트웨어, 사람, 조직(organization), 안전문화(safety culture) 등을 모두 포함하고 있어, 이러한 사항들을 다른 방법으로 별도로 다루지 않아도 되는 장점이 있다(4).
3.2 분석방법 및 절차
STAMP를 이용하여 사고를 분석하는 순서는 “CAST HANDBOOK(8)”에서 제시한 내용을 아래와 같이 정리하였으며, Figure 4에는 CAST의 구성요소 및 분석 절차를 나타내었다.
1) 분석에 필요한 기초자료 수집하는 단계로서 ①관련된 시스템과 분석의 경계를 정의, ②손실(사고)과 손실을 초래한 위험한 상태를 설명, ③위험을 방지하는 데 필요한 시스템 수준의 안전 제약사항 식별(시스템 안전 요구사항 및 제약), ④결론을 내리거나 비난하지 않고 무슨 일(사건)이 일어났는지 설명, ⑤물리적 손실, 설계 요구사항, 위험을 초래한 불안전한 상호작용 등 사고에 영향을 미치는 모든 상황적 요인을 분석하고
2) 앞에 언급된 종류의 위험과 관련하여 현재의 안전제어구조를 모형화하는 단계
3) 제어구조의 구성요소를 조사하여 손실(사고) 방지에 효과가 없었던 이유를 파악. 제어구조의 하단부터 시작하여 각 구성요소가 사고에 기여한 역할과 동작에 관해 설명
4) 전체 제어구조에서 손실(사고)에 기여한 결함 식별. 시스템적 요인은 개별 시스템 제어구조의 구성요소를 포함
5) 향후 유사한 손실을 방지하기 위해 제어구조 변경에 대한 권고사항을 작성. 가능하면 위험에 대한 지속적인 개선 프로그램을 설계의 순서로 분석한다.
3.3 적용사례
STAMP를 이용하여 사고를 분석한 MIT의 Leveson(9) 교수가 CAST HANDBOOK에서 참고문헌에 정리한 연구결과 또는 논문을 제시한 결과를 보면 STAMP를 이용한 분석은 항공, 화학공장, 해운, 철도 등 다양한 분야에 적용되고 있다.
4. STAMP을 이용한 사고분석
4.1 분석대상
4.1.1 사고개요
분석대상 사고는 A사 OO공장에서 유리제조공정 설비 시운전과정에서 원인 미상의 폭발이 발생하여 근로자 9명이 부상을 당하고 설비와 공장 구조물이 일부 파손된 재해이다.
4.1.2 사고 발생 공정
사고가 발생한 공정은 조합, 가마, bath, lehr 공정 순으로 진행되면 세부 내용은 다음과 같다.
① (조합) 유리 조성에 필요한 원료를 공급받아 계량하고 혼합하여 가마로 공급
② (가마) 계량되어 혼합된 원료를 고온의 용융로 내부에서 녹여서(액화) 유리 성형의 초기단계인 유리물을 형성
③ (bath) 용융된 유리를 성형화하여 판형태로 만듦
④ (lehe) 성형된 유리를 서냉하여 고강도의 유리 생산
4.1.3 사고발생 물질 및 설비
사고 발생 물질은 원료인 수소(H2)와 질소(N2), 분위기 가스인 혼합가스(H2 + N2)를 사용하며, 분위기 가스는 bath 상부의 노즐을 통해 공급되며 10개의 섹션으로 나누어져 있으며, 상압에서 운전되면 운전온도는 730 °C~1,200 °C에서 운전된다.
4.1.4 사고 발생원인 추정
① 폭발이 일어난 직접적인 원인을 살펴보면, 사고 발생물질은 수소로서 공정운전 시 bath (사고설비)에 산소제거를 목적으로 공급되는 일종의 분위기 가스로 디옥스룸(deoxo room)에서 질소와 혼합되어 배관을 통해 설비로 공급되고, 정상 운전 시에는 분위기 가스에 의해 설비 내부가 불활성화(inerting)되나 분위기 가스를 공급하는 초기에는 산소가 존재하므로 일정 기간 동안 가연성 혼합기를 형성할 수 있다. 설비의 결함이나 조작상의 오류가 있었을 경우 수소에 의해 가연성 혼합기를 형성할 수 있으며, 실제 사고 현장의 설비 조사 시 탄화수소류의 불완전 연소 시 발견할 수 있는 그을음(soot)이 관찰되지 않았으며, 사고 후 실시한 배관내부 가스측정에서 수소가 검출된 점과 사고 발생 전 수소공급 테스트 등 수소를 사용한 작업이 여러 번 있었던 점을 확인할 수 있었다. 점화원은 전기 스파크(spark), 정전기(static electricity), 고온의 표면, 나화(화염불꽃), 충격, 마찰 등 다양한 종류가 있음. 사고설비 및 주변 환경을 검토한 결과 히터(heater), 조명용 전등에 의한 고온표면 혹은 전기 스파크가 점화원으로 작용했을 가능성이 큰 것으로 추정된다.
결론적으로 디옥스(deoxo) 공정에서 설비 오조작 또는 결함으로 수소가 고농도로 혼합된 가스가 사고 설비인 bath 내부로 유입되었고, 유입된 가스는 가연성 혼합기를 형성하여 체류하였으며, 일부는 bath 상부의 개구부, 측면 배기구(vent) 등으로 누출되었다. 사고 설비에서 정전테스트를 진행하는 도중 설비 내부에 설치된 전기히터(electric heater) 중 일부에 전력이 오공급(miss-supply)되어 히터표면이 가열되었으며 이후 복전 중 임시 조명용 전등(lamp)에 상용전력을 공급하는 단계에서 전기 스파크 혹은 가열표면 등에 의해 착화되어 폭발이 발생하였다.
② 작업방법, 규정 및 이행ㆍ관리체계의 미흡하였다. 첫째, (관리체계)면에서 볼 때 정전 테스트, 혼합가스 믹싱 테스트 등 위험한 작업에 대해서 위험성 검토 시 작업절차 단계 및 작업내용을 구분하여 위험성 검토를 시행하지 않았으며, 설비유지관리지침에 의하여 수소 공급설비를 A급설비(중요설비)로 구분하여 관리하고 있으나 밸브류의 점검 및 관리내용을 구체적으로 규정하지 않아, 정기점검에서 외관검사만 시행하여 내부의 결함을 확인할 수 없었다.
또한, 안전운전절차서에 bath 설비 내부로 분위기가스 공급 시 불활성화에 관한 내용이 구체적으로 언급되지 않아 가연성 혼합기에 의한 위험 분위기가 발생할 가능성이 있었다.
(작업방법)면에서 볼 때 시설관리부서(공부)와 생산부서가 작업 및 점검 계획을 공유하고 있으나, 안전작업허가서 발행 등 안전성 확보 관련 검토 시 상호간 교차 검토가 규정되지 않아 설비 오조작 등이 발생할 우려가 있었다.
③ 취급 물질(촉매)은 공기 중에 노출 될 경우 자연발화하는 특성이 있지만, 안전밸브를 통한 용기 내부의 위험물질(촉매) 배출 시의 처리조치가 미흡하였다.
4.2 STAMP CAST 분석
A사의 안전제어구조를 모형화하면 Figure 5와 같이 나타낼 수 있으며, Figure 6에서는 안전제어구조를 구성하는 구성요소들 간의 의사결정사항과 그에 따르는 세부 피드백을 나타내었다. 안전제어구조 모델은 설비 운영 및 생산공정, 관리감독자, 생산팀, 정비보수팀, 정비보수업체 및 정비보수 작업자, 회사 경영진, 고용노동부와 안전보건공단으로 구성하였다. 정비보수 사업장은 여러 곳과 계약한 것으로 파악되었으나 사고와 관련된 사업장 1개소만 모델에 나타내었다.
설비 운영 및 생산 공정은 직접적으로 제품을 생산하기 위한 설비의 운영과 생산을 최적화하기 위한 공정이며, 관리감독자는 일본 주재 관리감독자와 한국주재 관리감독자가 함께 각자의 생산팀 직원을 관리 감독한다. 사고가 발생 후 설비를 보수하거나 생산설비의 정기보수를 위한 정비보수 협력업체는 경영진이 생산팀의 의견과 정비보수팀의 의견과 협력업체 안전작업계획서를 참조하여 선정하고 계약한다. 회사 경영진을 통하여 방침을 정하고 안전과 보건에 대한 기본계획을 수립하고 시행하며, 사고 예방과 사고 발생 시 조사 및 동종재해 예방을 위하여 국가기관인 고용노동부와 안전보건공단이 있다.
Figure 5와 Figure 6의 모형화 결과를 보면 각 단계별로 많은 부서와 인력이 관여함을 알 수 있으며, 각 단계의 안전 확보를 위해서는 일본의 관리감독자와 일본의 생산팀간, 한국 공장의 관리감독자 및 생산팀 간의 의사소통이 중요하게 작용할 것으로 판단되었다. 특히, 일본 생산팀 소속과 한국의 생산팀 소속 및 일본의 생산팀 소속의 정비팀과 한국의 정비보수팀, 한국의 정비보수 협력업체와 정비보수팀 간의 정보교류가 중요한 것으로 판단되었다. 그러나 관계자와의 면담을 통해서 확인해 본 결과 일본의 생산팀 소속과 생산팀 소속 정비팀의 작업자들은 작업 시 한국의 생산팀과 정비보수팀의 작업자를 배제한 상태에서 작업을 하였우며, 특히 밸브의 개폐작업시에는 상호 교차(cross) 체크하는 등 정보 공유가 중요한데 이러한 정보공유가 되지 않은 것도 사고의 원인으로 작용을 하였다.
이처럼 여러 단계로 구성되어 있는 복잡한 시스템에서는 STAMP를 이용한 모델링 결과만으로도 안전에 중요하게 작용할 수 있는 부분에 대한 예측이 가능할 것으로 판단된다. 이와 같이 STAMP를 이용하여 여러 단계에서 다양한 조직이 참여하는 복잡한 구조를 효율적으로 모형화 할 수 있었으며, 작성된 모형을 통해 각 단계 및 각 조직 간의 연관성을 파악하거나 추정할 수 있었다.
5. 결론 및 제언
화학공장과 같이 복잡ㆍ 고도화되어 있으며, 공정 간의 연관성이 높은 작업과 관련된 사고를 예방하기 위해서는 사고를 분석할 때 사고의 근원적인 원인을 찾아 제거하는 기존의 순차적 접근 방식뿐만 아니라 사회, 기술, 조직 등과 관련된 전반적인 시스템 측면에서 접근할 필요가 있다. STAMP 분석 모형을 통해 각 단계의 안전을 확보하기 위해서는 일본 관리감독자와 생산팀, 정비보수팀간의 상하 의사소통과, 한국의 관리감독자와 생산팀, 정비보수팀간의 상하 의사소통 및 양국 관리 감독자, 생산팀 및 정비보수팀간의 의사소통 및 정보전달이 더욱 중요하게 작용할 것으로 판단 되었다. 시스템 분석기법인 STAMP를 이용하면 시스템 구성 요소별 문제점과 구성요소 간의 상호관계 및 의사소통의 문제점을 파악함으로써 산업안전보건법, 고용노동부, 안전보건공단, 사업주(경영층), 기술 및 시스템 운영관리자, 작업자, 기술 및 생산 시스템 등 전체적인 측면에서 통합적 접근이 가능하고 시스템 전체의 구성 요소별로 사고를 예방하기 위한 대안 제시가 가능할 것이다.