Journal of the Korean Society for Aviation and Aeronautics

The Korean Society for Aviation and Aeronautics

J. Korean Soc. Aviat. Aeronaut. 2020; 28(2):63-70

pISSN: 1225-9705, eISSN: 2466-1791

DOI: https://doi.org/10.12985/ksaa.2020.28.2.063

Original Article

시스템안전 관점에서의 사고 모형 고찰:

김대호^*

A Study on the Accident Model from the System Safety Perspective

Dae Ho Kim^*

^*공군 항공안전단 서기관

연락저자 E-mail : daehoda@hanmail.net 연락저자 주소 : 서울 동작구 여의대방로 22길 77

© Copyright 2020 The Korean Society for Aviation and Aeronautics. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/4.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Jun 03, 2020; Revised: Jun 22, 2020; Accepted: Jun 23, 2020

Published Online: Jun 30, 2020

ABSTRACT

Many organizations apply reactive safety management to prevent the same or similar types of accidents by through investigation and analysis of the accident cases. Although research on investigation techniques has contributed a lot to the objective results of safety accidents and the preparation of countermeasures, many accident investigation techniques currently in use treat accidents from a linear perspective, revealing limitations in reflecting current systems dominated by complexity and uncertainty. In order to overcome these limitations, this study will review recent studies and concepts from a system safety perspective and predict future research trends through a case analysis of aviation accident. The models used in the analysis are STAMP, HFACS, and FRAM, and the characteristics of each technique are presented so that analysts who perform related tasks in the field can refer to them.

Keywords: Aviation Safety(항공안전); Accident/Incident Investigation Method(사고모형); System Safety(시스템안전); STAMP; HFACS; FRAM

Ⅰ. 서 론

많은 조직이 사고·사례 발생 시 철저한 안전조사, 분석을 통해 동일 또는 유사한 종류의 사고·사례가 발생하지 않도록 노력하는 사후적 관리 (reactive management)를 적용하여 안전관리를 하고 있다[1]. 이러한 사후적 관점의 안전관리는 안전 확보를 위해서 안전조사와 분석을 통해 사고에 대응하는 것으로부터 출발하며, 사고대응은 안전조사를 통한 재발 방지대책 마련과 조사된 결과를 통해 입수한 안전정보를 조직 내 전파하는 절차와 그 내용이다.

안전프로그램 운영 시 안전정보는 사고를 통해서 교훈을 얻게 하는 등 사고 예방을 위한 핵심적인 역할을 하게 된다. 그러나 미흡한 안전조사와 분석을 통해 생성된 안전정보는 그 효과성이 떨어지게 되므로, 안전조사와 분석에는 과학적이고 체계적인 도구를 적용하여 객관성 있는 자료가 획득되어야 한다. 조사분석시 사고모형은 수집한 자료나 증거를 구성하는데 필요한 틀(Frame)을 제공하고, 조사 진행 과정을 파악하게 하며, 또한 조사 및 분석 시 간과하거나 생략된 부분들을 확인할 수 있도록 한다[2]. 사고모형을 통해 조사된 결과는 원인 분석이나 권고사항 마련 등에 있어서 체계적인 분석이 가능하고, 시각적으로나 논리적으로 잘 표현할 수 있어, 이해당사자들이 이해하기 쉽다. 조사 분석에 적용된 논리나 내용은 안전대책을 수행해야 할 담당자가 관련 내용을 충분히 파악할 수 있게 할 뿐 아니라, 대책 마련 시 참조할 수 있는 많은 정보를 제공할 수 있다.

그동안의 사고모형에 관한 연구가 안전사고의 합리적 해석과 대책 방안 모색에 많은 기여가 있었지만, 현재 사용되고 있는 많은 사고모형이 복잡성과 불확실성이 지배하는 현시대를 반영하는데 여러 한계점을 드러내고 있다. 대표적인 한계점으로 사고의 원인과 결과를 선형적인 사고로 해석을 단순화하고, 복잡한 시스템에서의 다양한 맥락정보를 고려하지 못하고 있는 것을 들 수 있다[3]. 이러한 한계점은 현재 우리 사회 시스템이 점차 복잡해지고 다양해지면서 더욱 극대화되고 있다고 할 수 있다. 이에, 본 연구에서는 이러한 한계점을 극복하고자 시스템안전 관점에서 최신 연구와 개념들을 검토·고찰하고, 항공분야 사고사례에 적용하여 그 특징을 제시하고자 한다.

Ⅱ. 항공사고와 조사

항공기 사고란 ICAO(International Civil Aviation Organization, 국제민간항공)의 협약(Annex 13)에서 ‘유인 항공기의 경우 비행을 목적으로 사람이 탑승한 때부터 탑승한 모든 사람이 항공기에서 내릴 때까지 또는 무인 항공기의 경우 비행을 목적으로 이동할 준비가 완료된 때로부터 비행이 종료되고 주 추진장치가 정지되는 순간까지 항공기의 운항과 관련하여 발생한 사람이 치명상이나 중상을 입은 경우, 항공기가 중대한 손상이나 구조상의 결함이 발생한 경우, 그리고 항공기가 실종되거나 항공기에 완전히 접근이 불가능한 경우’로 정의하고 있다[4]. ICAO와 우리나라(항공안전법)의 경우, 이러한 항공사고를 사고결과가 실제 발생한 경우와 사고가 일어날 수 있었던 위험한 상황까지 포함하여 사고, 준사고, 항공안전장애 등과 같이 구체화하여 정의하고 있다[5]. 국제적 규약이나 국내 항공안전법에서는 항공사고 조사의 궁극적인 목적이 사고를 예방하기 위함으로, 사고당사자와 조직에 대한 비난이나 책임을 묻기 위한 목적으로 사용하여서는 아니된다고 규정하고 있다. 항공사고와 관련한 개념을 구체화한 것은 향후 발생 가능성이 있는 항공사고의 예방에 중점을 두고 있기 때문이다.

항공사고는 3차원 공간, 항공기의 고속환경, 그리고 운항 특수성에 있으며, 사고 발생 시 항공기 등 막대한 재산 손실과 탑승자 전원이 사망하는 심각도(Severity)가 높은 특성이 일반사고와는 구분되고 있다[6]. 항공사고는 대부분 사고 항공기와 인명이 화재, 폭발 등으로 인해 충분한 과학적 사고조사가 불가능한 경우가 발생할 수 있으며, 조사결과로써 추정된 원인만을 제시하는 사고도 있다. 항공기 사고는 하나의 원인으로 발생하는 경우는 극소수이며, 다수의 사고 잠재요인으로 인한 연관성이 있는 시스템이나 조직 전체의 결함에서 비롯되는 경우가 많다고 할 수 있다. 조사의 범위는 사고에 직·간접적으로 관련된 모든 요소(인적, 물적, 환경)를 포함하며, 조사결과는 사고원인 제거에 필요한 기초자료와 근거가 된다[7]. 예를 들면, 조직 개편, 훈련요구량 재설정, 항공기 재질 개선이나 설계 변경까지도 포함된다. 조사는 사람의 고의 및 과실 행위 그 자체보다는 그러한 행위를 발생하게 한 원인 및 사고에 이르게 된 인과과정 등을 포함한 다양한 원인을 바탕으로 사고에 이를 수 있는 잠재적 위험요소를 총괄적으로 검토하여야 한다[8]. 원인과 결과 발생과의 연관 가능성을 여러 방면에서 검토하면 개연성의 정도, 조사과정 자체의 과학적 타당성을 높인다.

Ⅲ. 모형 및 사례 분석

3.1 분석 모형의 변천

대부분 사고·사건의 행동이나 결과는 하나씩 순서대로 진행, 발전한다고 생각하는데, 이런 관점을 선형적인 관점이라고 할 수 있다[9]. 이런 관점은 시스템이 계획된 대로 실행되며, 반복적이며, 일정하고, 일률적인 현상을 나타내는 단순한 시스템의 특성을 잘 나타낸다. 그러나 현대 사회에서는 시스템이 점점 복잡해지면서, 반복적이지 않고, 같은 상황이 두 번 일어나지 않는 등 불규칙하며 변화가 큰 현상을 보이기 때문에, 과거 단순 시스템에서 정의하고 이해할 수 있었던 수행방법 등으로는 정의하기가 쉽지 않게 되었다[10].

안전학자들은 사회가 발전하고 시스템이 복잡해지면서 기존에 정의하고 분석하는데 활용했던 사고분석 모형이 제한적이기 때문에 시스템 측면에서 관련 모형을 발전시켜 왔는데[11], 발전현황은 sequential model(순차적 모형), epidemiological model(역학적 모형), systemic model(시스템적 모형)로 구분할 수 있으며, Fig. 1과 같이 정리하여 설명하였다[12].

Fig. 1. A timeline of the development of methods for sociotechnical systems and safety (Waterson, P. et al., 2015)

Download Original Figure

Hollnagel(2012), Yoon(2019), Waterson(2015) 등의 연구결과를 통해서 사고모형의 특징을 재 기술하면 다음과 같다.

3.1.1 Sequential model

순차적 모형은 선형적 관점으로 이벤트가 순차적 파급을 통해 사고가 발생한다고 가정한다. 순차적 모형은 반복적이고 일률적인 단순 시스템에서의 조사 분석에 많이 활용되었는데, 어떤 안 좋은 사건을 근본 원인(root cause)으로 간주하고 일련의 문제를 일으키는 시작점으로 보며, 사고는 그 근본 원인의 결과로 간주하게 된다. 이러한 방식 때문에 원인과 결과의 관계는 선형적이고 결정론적이다. 순차적 모델에서는 사고를 예방하거나 재발 방지를 위해서 근본 원인을 차단하면 사고가 일어나지 않는다고 가정하게 된다.

3.1.2 Epidemiological model

역학적 모형에서 사고는 관련 요인과 행위자 간 상호작용의 산물로 묘사하고 있는데, 질병의 발생과 전파되는 형태와 유사하다. 역학적 모형에서 사고는 잠복성(latent) 실패(오류)와 활동성(active) 실패(오류)가 복합되어 발생한다고 가정하는데, 이때 잠복 조건은 관리방식이나 조직 문화 등이다. 역학적 모형은 조직요인이 현장과 불안전한 행동에 영향을 주는 전제 조건에 영향을 미쳐 불안정한 행동(에러와 위반)에 최종 영향을 준다고 가정한다. 즉, ‘조직요인’이 현장 ‘감독요인’에 영향을 주며, 현장 ‘감독요인’은 ‘개인 수행의 전제 조건’에 영향을 주며, ‘개인 수행의 전제 조건’은 ‘불안전 행동’에 영향을 준다. 이런 잠복 조건의 실패(오류)는 행동 실패(오류)가 일어날 때 드러나기 때문에 예방적 안전관리를 하는데 제약이 있다. 역학적 모형에서의 사고유발 과정 또한 선형적 관점을 가졌다.

3.1.3 Systemic model

시스템 모형에서 사고는 시스템의 예측하지 못한 행동으로 나타나며, 국지적으로 볼 때는 괜찮은 행동이 시스템 전체의 불안전한 결과로 나타낼 수 있다고 가정한다. 선형적 관점의 근본 원인을 제거하는 활동만으로는 사고의 재발을 막지 못하기 때문에, 시스템 전체의 약점을 찾는 접근방식이 필요하다고 전제한다. 시스템 모형에서 사고는 시스템 내에서 시스템 구성요소와 상황 간 상호작용의 결과로 설명하고 있어, 선형적 관점과 비선형적 관점을 모두 다루고 있어, 사고 발생 과정에 대한 심층적 이해가 가능하다. 시스템 모형에서 사고 발생 과정을 이해하기 위해서는 상호작용에 대한 피드백 루프를 적용하고 이해하는 것이 중요하다.

3.2 시스템안전 관점의 사고모형

연구자들이 사고모형을 순차적 모형, 역학적 모형, 시스템적 모형으로 분류하는 것에 있어서는 학자마다 일부 다른 관점에서 분류하고 있다. Hollnagel(2012), Yoon(2019)의 연구에 따르면 대표적인 순차적 모형은 도미노(Domino), FTA(Fault Tree Analysis) 등이고, 역학적 모형은 Swiss Cheese model, HFACS (Human Factors Analysis Classification System), 그리고 대표적인 시스템적 모형은 STAMP(Systems Theoretic Accident Model & Process), FRAM (Functional Resonance Analysis Method), Accimap 등으로 분류하고 있다. Wienen 등(2017)의 연구에서는 기존 분류연구를 그대로 따르고 있으나, 일부 기법의 경우, 예를 들면 AcciMap, TEM(Threat Error Management) 등의 기법은 역학적 모형으로, HFACS는 기타모형으로 분류하는 등 약간의 차이가 있는 것으로 나타났는데, 이는 적용되는 분야와 사건 사고의 특성에 기인한다고 할 수 있겠다[13]. 최근 사고모형에 관련된 최근 연구 추이를 분석해 보면, Fig. 2와 같이 STAMP, Accimap, HFACS, FRAM 순으로 많이 적용되고 있다.

Fig. 2. The number of times a method(Wienen, H. C. et al., 2017)

Download Original Figure

2000년대 이후로는 역학적 모형과 시스템적 모형 방법이 대부분 사용되고 있으며, 여전히 일부 단순 시스템에서는 순차적 모형이 적용되고 있다. 최근 연구 경향은 시스템적 모형에 의한 사고분석이 많이 이루어지는데, 이는 현대 사회가 시스템의 복잡성에 대응하는 사고분석 모형이 필요했기 때문이다. Perrow(1999)의 정상사고(normal accidents) 개념은 시스템안전 측면에서의 접근방법 필요성이 대두된 대표적인 사건이다. ‘정상사고’는 예측하거나 통제할 수 없는 복잡한 기술 간 상호작용에서 발생하는 피할 수 없는 사고로써, 사람들은 많은 훈련과 높은 숙련도에도 불구하고 오류(과실)를 범하며, 조직의 실패가 기술의 실패보다 더 많은 경향을 보인다[14].

3.3 항공사고 분석 사례

최신 연구결과를 바탕으로 현재 안전분야에서 가장 많이 사용하고 있는 상위 4개 중 시스템적 모형인 STAMP, FRAM과 항공분야 도메인에서 많이 사용하고 있는 HFACS를 중심으로 사고사례를 분석, 고찰하였다. 단, Accimap의 경우, 시스템 모형 중 선형적 관점에 가깝기 때문에, 본 연구에서는 제외한다. 본 연구에서 대상으로 한 항공기 사고사례는 2012년에 발생한 T-50B 사고사례이다. 본 사고사례는 강원도 횡성군 야산에 특수비행팀 훈련기가 추락한 사고이다. 본 사고사례는 우측 수평꼬리날개 작동에 관계하는 연결 로드의 조립 오류로 인해, 항공기의 비정상적인 상승 자세로 항공기 자세가 회복 불가하여 일어난 사고로서, 정비사의 인적오류와 감독자의 상호확인 실패 등이 주요 원인으로 그 이외에 설계요인과 안전인증요인 그리고 정비요인 등 복잡한 이해관계가 얽혀져 있는 사례이다.

3.3.1 STAMP

STAMP는 Leveson(2011)에 의해 소개되었으며, 시스템 설계단계부터 위험을 식별하여 관리하는 개념이다[15]. 시스템, 소프트웨어 및 사이버 보안 분야에 사용하는 기법으로 다수의 산업 분야로 확장 적용 중이다. STAMP는 사건을 중심으로, 다층구조, 소통 및 통제(Control) 위주로 분석하기 때문에, 사건의 발생은 부적합한 통제로 인해 기인하는 것이며, 구성품이나 개인의 결함이 근본 원인은 아닌 것으로 판단한다. 기법 적용을 위해서 식별해야 할 사항은 다음과 같다. 우선 안전 요구 및 제한사항(safety requirement & constraint)과 부적합한 통제를 유발한 요인, 안전 관련 책임을 위반한 부적합한 통제 행위, 그리고 부적합한 통제를 유발한 처리 과정(process, mental model flaw)이다.

사례 분석을 위해 우선, 항공기와 정비시스템 간의 다층구조 및 정보 흐름을 파악하고, 관련 부서별 업무분석 결과(예, 정비 Tower와 작업장 간 등)와 계기반과 정비 작업자 간 업무분석을 맵핑한다. 본 연구에서 대상으로 한 사고사례를 STAMP에 적용하여 Fig. 3과 같이 다층구조를 구조화하여 나타낼 수 있다.

Fig. 3. Multi-layered structure of accident cases by STAMP

Download Original Figure

사례를 적용해 본 결과, 사고요인으로 작용한 정비작업자간 의사소통 문제 및 상호확인(double check) 미흡 등의 관리적 요인간의 상호관계성을 잘 이해할 수 있었다. 즉, STAMP 기법의 특성은 사고와 관련된 조직간, 구성원 간, 계통/구성품 간 상호관계의 정밀분석이 가능하고, 사고 관련 ”의사결정 전/후 관계“ 등을 검토할 수 있음으로써 사고 예방 대책의 도출 시 활용이 가능하였다. 그리고 안전조사 후 정보 feed back 상태와 실패(오류) 부분의 식별을 통해, 사고에 이르는 원인을 시스템적으로 비교적 정확하게 도출 가능할 것으로 판단되었다.

3.3.2 HFACS

Shappell과 Wiegmann(1996)에 의해 개발된 HFACS는 Reason(1990)의 Swiss Cheese 모델을 근간으로 하여 300여건의 미 해군 항공사고를 분석하여 분류체계를 발전시켰다[16],[17]. 이후 미 육·공군, 그리고 NTSB, FAA의 자료를 통해 재정립되었으며, 세계 여러 항공조직에서 널리 사용되고 있다[18]. HFACS 분류에서 대분류(Tier)로는 조직의 문제/영향, 불안전한 감독(감독의 문제), 불안전 행위 전제 조건, 그리고 불안전한 행위이다. 조직의 문제/영향의 소분류(category)는 자원 관리, 조직 문화, 조직 과정으로 나눈다. 자원 관리는 성과 위주의 비행자원운영, 장비 유지 상태 등이며, 조직 문화는 조직 안전문화, 의식 정착 등이며, 조직 과정은 관리자의 의사결정, 교범/규정의 적절성 등으로 하부 분류(sub-category)한다. 불안전한 감독(감독의 문제)의 경우는 부적절한 감독, 계획된 부적절한 운영, 문제 교정 실패, 그리고 감독자 위반으로 소분류한다. 부적절한 감독은 감독관 역할 수행 미흡, 임무 과포화 상태 제거 등이며, 계획된 부적절한 운영은 규정에 근거하지 않은 비행 운영, 규정이해 미흡, 문제 교정 실패는 위험요소 건의/조치 상태, 망각방지 활동 등이며, 그리고 감독자 위반은 감독자의 규정 위반 등의 내용이다. 불안전 행위의 전제 조건은 환경적 요인, 운영자 상태, 개인적 요인으로 소 분류한다. 환경적 요인은 정신적/육체적 피로, 약물복용, 능력초과 등이며, 운영자 상태는 운영자의 불안전한 신체 및 정신상태, 개인적 요인은 의사소통, 협조 및 비행 준비 등의 내용이다. 불안전한 행위는 실수(오류)와 위반으로 소분류하고, 실수(오류)는 기량 미숙, 잘못된 상황인식, 의사결정 미숙 등이며, 위반의 경우는 지시사항 위반, 규정·절차 미준수, 허용범위 초과비행, 비인가 저고도 비행 등이다. HFACS 분류에 의한 세부 원인은 단순한 사고의 요인으로만 작용하지 않고, 상호 인과관계가 있다는 것이다. 그래서 원인을 분석하기 위해서는 행위자, 유발자, 감독자, 그리고 조직의 문제 등 다양한 수준에서 각 요인 간의 상관관계를 복합적으로 고려해야 한다는 것이다[19]. HFACS는 Schmidt 등(1998)에 의해 정비 분야의 HFACS_ME로 확장하여 사용하고 있는데, 분류체계의 하부분류에서 정비작업의 특성을 고려하여 코드화하고 있다[20].

본 연구에서 대상으로 한 사고사례를 HFACS 다층구조를 적용하여 보면 Fig. 4와 같이 구조화하여 나타낼 수 있다. 사고사례를 적용해 본 결과, J-Wire 체결 결함 등의 정비사 에러는 정비작업현장의 관리요소 등 불안전한 행위의 전제조건에 의해 기인하게 되는 것을 알 수 있다. 이로써 Human Error, 유발환경, 감독자 문제, 그리고 조직의 문제 등의 다양한 수준에서 잠재적인 영향요인의 파악에 도움이 되었다. 사고의 일차적 원인인 불안전한 행위(unsafe acts)는 불안전 행위 전제(유발) 조건(preconditions for unsafe acts), 감독의 문제(unsafe supervision), 그리고 조직의 문제/영향(organizational influences)에 의해 영향을 받는다. 불안전 행위의 전제 조건은 감독의 문제와 조직의 문제에 의해, 감독의 문제에는 조직의 문제에 영향을 받는다. HFACS에 비추어 보면, 사고의 일차적 원인이 되는 행위자(조작자)의 불안전 행위(가령 절차 누락이나 오조작과 같은 오류와 시간 압박이나 감독자 압력 등에 의한 위반 행위)에만 초점을 두어서는 사고를 근원적으로 막을 수 없다는 사항에 대해 알 수 있다. HFACS 기법의 특성은 사고와 관련된 전체적인 문제점을 이해하기 쉽도록 표현 가능하였다. 다만, 다층구조 내에서 이루어진 상호관계, 사건이 일어난 앞뒤 관계에 대한 깊은 분석은 다소 부족한 편이다.

Fig. 4. Hierarchical structure of accident cases by HFACS

Download Original Figure

3.3.3 FRAM

FRAM은 Hallnagel(2012)에 의해 소개되었으며, 사고 발생 과정 중 시스템 기능의 비선형적인 상호작용을 모형화하여, 분석자가 전체 시스템을 기능적으로 이해하기에 도움을 주는 방법으로, Resilience Engineering (Safety Ⅱ)의 개념을 바탕으로 하고 있다[21].

FRAM 기본원리는 등가성(equivalence), 근사조정(approximate adjustments), 발현(emergence), 그리고 공명(resonance)이다. 등가성이란 실패와 성공은 같은 기원을 갖는다는 의미로, 사람들은 항상 일이 올바른 방향으로 진행될 것을 의도하고 있고, 잘못되는 상황을 의도하지 않는다. 이런 관점에서 볼 때 성공 결과의 원인/설명과 실패 결과의 원인/설명이 다르지 않다는 것이다. 근사조정이란 때로는 시스템의 자원, 인력, 정보, 시간 등과 같은 것들은 불충분하고 한계가 있을 수 있는데, 이러한 환경 속에서 개인과 조직이 임무를 할 때 불가피하게 이 조건에 적합하도록 조정하는 활동을 의미한다. 발현의 의미는 사고의 현상은 결과(resultant)가 아니라 발현된 현상이라는 것으로, 기존의 조사기법으로 설명할 수 없는 과정과 전개의 결과를 설명하는 것이다. 이런 발현 결과는 비선형적이며, 시스템을 부분적으로 다루어서는 대응하기가 어렵기에, 전(total) 시스템 관점에서 고려해야 한다. 공명의 의미는 시스템의 기능 간 결합(coupling)이나 의존성은 어느 특정 상황에서 전개된 것으로서 설명되어야 한다. 작업수행과 주변 상황(환경)의 변동이 불균형적이고 비선형적인 결과를 초래한다는 것이다. 각 기능이 어떻게 서로 연결되어 공명현상을 일으키면서 각각의 기능을 강화하거나 약화하면서 변동성을 초래하는가를 설명하고 있다. 그래서 미리 정해진 인과관계에 의해서가 아닌 각 기능의 밀접한 관련성을 통해 안전사고를 설명한다. FRAM은 인간의 수행이 다수의 내적 외적 요인에 의해서 항상 변동되고 있기에 수행 변동성(performance variability)을 고려하고 있다.

Woltjer and Hollnagel(2008)에 의하면 FRAM 분석 단계는 다음의 네 단계를 거쳐서 이루어진다[22]. 첫 번째 단계에서는 시스템의 필수적 기능을 파악하고, 이 기능들을 6개의 요인(입력(input), 출력(output), 선행조건(pre-condition), 자원(resource), 조정(control), 시간(time))으로 특성화하여 기술한다. 두 번째 단계는 각 기능의 잠재적인 변동성을 추정하고 특성한다. 변동 또는 변동의 결과가 어떻게 시스템 내에서 확산하는지, 다른 기능에 어떻게 영향을 주는지를 파악하는 것이다. 세 번째 단계는 기능 공명이 발생할 수 있는 영역을 파악하는 것으로, 변동성의 확장과 증대에 관한 것이다. 즉, 변동성이 전이되는 경로와 변동성 상황 파악이다. 마지막 단계에서는 효과적인 대처방안을 설정한다. 시스템을 안전하고 바람직한 방향으로 유지하기 위해서 변동성을 약화(dampening) 또는 강화(amplifing)하는 것이다.

FRAM 절차를 적용하여 본 연구에서 대상으로 한 사고사례를 분석하면 Fig. 5와 같이 다층구조를 구조화하여 나타낼 수 있다. 구조화 결과, 변동적 요인으로 나타난 J-Wire 체결, 상호확인 미흡 등의 요인간 관계를 잘 확인할 수 있었다. FRAM의 경우, 해당 기능의 변동성을 잘 표현할 수 있었고, 각 기능 간 비선형적인 상호관계성을 보다 시스템적으로 묘사할 수 있었다. 다만, 관련 기법이 전문적이어서 적용하는데 다소 어려운 부분이 있다.

Fig. 5. Resonance structure of accident cases by FRAM

Download Original Figure

Ⅳ. 토론 및 결론

본 연구에서는 항공사고 사례를 중심으로 3가지 모형을 적용하여 분석하여 보았다. 우선 STAMP 적용은 정비시스템에서의 정보 흐름과 부서별 업무절차를 구조화하여 시현할 수 있는 장점이 있었으며, HFACS 적용은 사고요인의 다층구조를 구조화하여 나타낼 수 있어, 전반적인 문제점을 이해하기 쉬웠으며, FRAM 적용은 각 기능의 변동성 요인을 파악하기 쉬웠으며, 비선형적인 상호관계의 표현이 가능하여 시스템적 관점에서 변동요인을 관리할 수 있었다. 사례 분석 결과에서 살펴보았듯이 복잡한 항공사고 사례의 조사 및 분석에 3가지 모형 모두 활용될 수 있었다. 본 연구의 사례 분석 도구로 사용한 STAMP, HFACS, FRAM의 일반적인 특징을 고찰해 보면 Table 1과 같다.

Table 1. General characteristics of accident analysis methods

Methods	Characteristics
STAMP	• Useful for analyzing the cause of accidents on complex systems • Useful to express the relationship between the stakeholders involved before and after the decision • Difficult to come up with countermeasures due to the large number of stakeholders • Specialized programs for each function should be prepared
HFACS	• Based on the cause-and-effect relationship model • The causal relationship from organization factors to error can be systematically identified • Data-driven Statistical models can be applied (safety indicators management) • Aviation-specific model • Insufficient consideration of human error and cognitive cause of accident
FRAM	• Useful in Job analysis, Functional allocation, accident analysis, and risk/hazards assessment • Useful for analysis the effects fo variation, such as design changes and improvements. • Understanding basic principles • Requires analyst expertise, Difficult to apply to practice

Download Excel Table

본 논문에서 소개된 모형은 향후 안전조사 및 분석 시 분석자가 활용에 있어서 염두해야 할 주요 개념과 절차를 제공해 주었다. 본 논문에서 사례로 검토한 시스템안전 측면에서의 안전조사 기법(모형)은 기존 선형적 관점에서 인과관계를 설명하던 타 기법(모형)과 비교하면 항목과 관계를 구조적으로 설명하고, 또한 빠짐없이 그 관계를 확인할 수 있게 하였다. 시스템안전 기법은 새로운 패러다임으로써 사고 예방을 위한 방지벽 등 대책을 마련하는데 변화를 제공하였으며, 변동성의 파급을 이해하게 되어서 변화분석, 변화관리 측면에서 타당한 근거를 제시할 수 있게 하였다. 시스템안전 관점에서 검토된 모형의 전반적인 장점을 활용성 및 기대효과를 기준으로 살펴보면, 관련 모형의 적용으로 심층적인 근본 원인 규명 및 사고방지 대책 수립이 가능하며, 조사보고서 작성 및 유발요인들이 사고 발생에 미치는 영향요인에 대한 객관적 설명이 가능하다.

본 논문은 시스템안전 관점에서의 최신 사고 모형을 바탕으로 항공 사고사례에 적용하고, 각 기법의 특징을 제시함으로써 현장에서 관련 업무를 수행하는 분석자가 참고할 수 있도록 하여 그 기여점이 있다고 하겠다. 본 연구에서 소개하고 사례로 적용해 본 모형은 기존 사고모형과는 개념과 철학적 사고방식이 다르고, 또한 전문성이 요구되며, 기법 적용이 어렵기에 아직 현장에서 활용하기에 제한이 있다. 그러나 관련 기법을 적용하는 분야와 사례가 많아진다면, 시스템안전 측면에서의 새로운 관점의 사고 예방 관련 정책과 대책 방안 마련에 도움을 줄 수 있을 것으로 사료된다.

References

ICAO, Safety Management Manual, ICAO Doc 9859, 2018.

ICAO, Manual of Aircraft Accident and Incident Investigation, ICAO Doc 9756 Part III, 2012.

Underwood, P., and Waterson, P., “Accident Analysis Models and Methods: Guidance for Safety Professionals, Loughborough University”, 2013.

ICAO, Aircraft Accident and Incident Investigation, ICAO Annex 13, 2016.

MOLT, Aviation Safety Act, 2020.

Kim, D. H., “An research into the reactive safety action program for promoting aviation safety culture”, Journal of Ergonomics Society of Korea, 35(3), 2016, pp. 165-173.

ICAO, Manual on Aircraft Accident and Incident Investigation Policies and Procedures, ICAO Doc 9962, 2011.

Kim, B. J., Choi, Y. C., and Choi, J. Y., “The research on trend and safety management concept in aviation”, Journal of the Korean Society for Aviation and Aeronautics, 25(4), 2017, pp. 141-153.

Ham, D. H., “Research trends of cognitive systems engineering approaches to human error and accident modeling in complex systems”, Journal of Ergonomics Society of Korea, 30(1), 2011, pp. 41-53.

10.

Hollnagel, E., Woods, D. D., and Leveson, M. C., “Resilience Engineering: Concept and Precepts, Ashgate”, 2006.

11.

Yoon, W. C., “Accident Analysis”, Korean Society of System Safety Tutorial & Conference, 2019.

12.

Waterson, P., Robertson, M. M., Cooke, N. J., Militello, L., Roth, E., and Stanton, N. A., “Defining the methodological challenges and opportunities for an effective science of sociotechnical systems and safety”, Ergonomics, 58(4), 2015, pp. 565-599.

13.

Wienen, H. C. A., Bukhsh, F.A., Vriezekolk, E., and Wieringa., R. J., “Accident Analysis Methods and Models - A Systematic Literature Review”, 2017.

14.

Perrow, C., “Normal Accident: Living with High Risk Technologies”, Princeton University Press, 1999.

15.

Leveson, N., “Engineering a Safer World: Systems Thinking Applied to Safety”, MIT Press, 2011.

16.

Shappell, S. A., and Wiegmann, D. A., “US Naval aviation mishaps 1977-92: Differences between single- and dual-piloted aircraft”, Aviation Space and Environmental Medicine, 67, 1996, pp. 65-69.

17.

Reason, J., “Human Error”, Cambridge University Press, 1990.

18.

Shappell, S. A., and Wiegmann, D. A., “The Human Factors Analysis and Classification System-HFACS”, DOT/FAA/AN-00/7, 2000.

19.

Yu, T. J., and Song, G. H., “The effect of organizational influence on precondition for unsafe acts in pilot - Focused on HFACS”, Journal of the Korean Society for Aviation and Aeronautics, 25(4), 2017, pp. 161-169.

20.

Schmidt, J., Schmorrow, D., and Hardee, M., “A preliminary human factors analysis of naval aviation maintenance related mishap”, SAE Technical Paper 983111, 1998.

21.

Hollnagel, E., “FRAM: The Functional Resonance Analysis Method Modeling Complex Socio-technical Systems”, Ashgate, 2012.

22.

Woltjer, R., and Hollnagel, E., “Functional modeling for risk assessment of automation in a changing air traffic management environment”, Proceedings of the 4th International Conference Working on Safety, Crete, Greece, 2008.