2.1 철도시스템 사고위험 평가

Hale과 Hovden에 따르면 20세기 이후부터 안전과 사고에 대한 이해가 시작되었으며 해당 연대를 기술 오류, 인적 오류, 사회적 기술 소통 오류의 시기로 구분하였다^[1]. 그 후, 1998년부터 예상하지 못한 상황을 고려한 레질리언스 시대가 네 번째로 추가되었으며, 이 시기에는 Hollnagel의 ‘안전-2 (Safety-II)’와^[3] Dekker의 ‘Safety differently’에서^[4] 비롯되어 안전에 대한 큰 개념의 전환이 일어나게 된다. 이러한 안전 패러다임의 변화는 안전에 대한 세계관 변화를 뜻하며, 지금까지도 안전성(위험성) 평가와 안전관리 측면에서 크게 진보한 시기로 평가되고 있다. 이 패러다임 이후, 사고 및 시스템의 모델들은 크게 발전했고, Hollnagel은 해당 시기의 발전을 선형적, 역병적, 시스템적 모델로 구분하기 시작하였다^[5]. 사고 전조 기반 위험성 평가 방법들 중 FTA로 대표되는 1세대(선형적) 사고 모형 평가방법와 2세대(역병적)의 스위스 모델을 거쳐 다양한 사고요인들 간의 상호작용을 고려하는 시스템적(3세대) 평가방법인 FRAM(function resonance analysis method)은 철도와 같은 복잡한 시스템의 기능을 모형화하여 사고분석 및 위험도평가에 활용할 수 있고^[6], 새로운 패러다임인 ‘안전-2’와 레질리언스 공학의 개념과 원칙을 잘 반영하고 있는 것으로 알려져 있다^[7]. 시스템적 접근 방식은 거의 정성적이기 때문에 정량적 접근에 의한 정확한 고장 또는 사고 확률을 제공하기 어렵지만, 안전과 관련된 위험 정보 기반의 의사 결정 측면에서 수많은 가상 위험 시나리오에 대한 비교 분석 결과를 제공하는 것이 가능하다^[8].

Functional resonance analysis method (FRAM)은 Hollnagel(2004)이 제안한 체계적인 방법으로 기능, 결합 및 가변성을 통해 시스템을 설명한다. 물리적 구성 요소에 제한되지 않고 시스템이 실제로 어떻게 작동하는지 이해할 수 있는 장점이 있으며, 이 모형 내에서 잠재적 위험은 기능적 공명으로 설명되며, 이는 실패로 시작하는 것이 아닌 기능의 전파 및 집계된 성능 변동에 의해 창발적으로 발생한다. FRAM은 철도시스템과 같이 긴밀하게 결합되고 다루기 힘든 시스템을 분석할 수 있는 강점을 가지고 있으며^[9], FRAM이 위험 평가에 효과적으로 사용될 수 있음이 이미 많은 연구에서 입증된 바 있다^[10].

2.2 위험성 평가 기능 요구사항 도출

FRAME을 통한 분석에서 모델과 현상화 구분이 필요하며 실제 결합은 현상화를 통해 표현되며 특정 상황/시나리오에서 FRAM 일부 기능이 상호결합되어 영향을 주고받는가를 표현하게 된다. 그림 1은 FRAM 기능 변동 과정을 설명한 그림이다. Digital Safety Chain에 활용되는 시나리오 개발을 위해 위험분석 및 평가를 해야 한다. 정량적·정성적 분석이 가능하며 사고의 시간적 흐름에 따른 사고발생경 위를 원활하게 표현 가능한 ESD를 활용하며 ESD 구성은 그림 2와 같다. 사고 발생 경위를 묘사하는 Event의 인과적 관계를 도식적으로 표현가능하며 각 이벤트들의 발생 가능성의 정략적 분석이 가능해 시계열 분석을 통해 도출된 사고 시나리오를 바탕으로 ESD에 적용해 각 사고 유형별 발생 가능한 시나리오를 구성한다.

항공·철도사고조사위원회의 철도사고보고서 중 지하철 사고, 중간 보고서를 제외한 58개(충돌 5건, 탈선 51건, 충돌·탈선 2건)의 사고로 ESD분석을 하였다. 그림 3은 ESD 분석을 한 예시이다.

ESD 기반 탈선 사고 시나리오를 구성하는 Initiating Event로 열차 고장, 기관사 신호 오인, 규정 위반, 차륜 결함, 선로전환기 장애 등이 있으며, Pivotal Event로 인적요인인 신호 미준수, 정비 소홀과 더불어 베어링 축상 파열 및 ATC 시스템 기능 중단 등 기계적 결함에 의한 위험요인을 확인할 수 있고, End State로 정상 운행, 정지, 충돌, 탈선으로 표현 가능하다. 다수의 Initiating Event가 중복되어 발생했다. 기존 안전 검지 장치를 통해 실시간 안전 정보 기반으로 해 선제적 사고 예방 및 대응 절차 제공을 위해, ESD 기반 통합사고 시나리오 개발을 통한 ESD 사고 시나리오 표준화 개발을 수행했다.

2.3 DSC를 위한 위험성 평가 Diagram 개발

데이터를 ESD에 명확히 할당하기 위해 Initiating Event를 한 단계 포괄적인 개념(상위 개념의 이벤트)로 표현하였다. 탈선 및 충돌 사고의 경우 역사 밖 선로상에서 발생한 탈선 및 충돌 사고 빈도가 역내 입·출시 사고가 전체 사고 발생 건수 대비 약 75%에 해당되어 있다. 국내 철도사고보고서를 토대로 통합이벤트 시나리오를 구성했기에 역내 입·출입 시 발생 가능한 사고 유형(건널목상 부적절 장애물 점유, 신호 및 지시 취급 결함 발생 등)에 해당하는 Initiating Event에 기인해 최종결과로 충돌 및 탈선이 발생하는 경우를 확인할 수 있다. 그 외 전자 연동장치 오류, 열차 유지보수 미흡 등 기타 사고에 관한 Initiating Event에 기인하여 충동 및 탈선 발생하는 경우도 확인 가능하다. 도출된 ESD기반의 통합사고 시나리오는 기존 안전검지장치로부터 표출되는 안전 정보를 기반으로 하여 Pivotal Event 발생 가능성 및 발생을 탐지하여 진행 상황에 따른 미래 교통상황을 조기 식별하여 추후 발생 가능한 최종결과의 피해 심각도 저감 및 사고 발생 사전 예방에 활용되며, Pivotal Event의 발생 가능성 식별을 위해 Pivotal Event를 야기하는 위험 요인을 사전에 정의하여 실시간 감시 및 예방제어가 가능하도록한다. Initiating Event를 통합이벤트 시나리오에 표시했을 때 30건 열차/선로 유지보수 미흡에 의한 것이 사고의 시발점임을 확인했다. 그 외 선로전환기 장애, 불안전한 열차 조성 등 다양한 Initiating Event를 확인할 수 있으며 이를 토대로 실시간 철도 예방제어 시스템을 위한 지표를 수립하는 데 활용하고자 한다.

3.1 FRAM기반의 위험설 평가(Risk Assessment)

그림 4는 기존 위험성 평가 절차와 FRAM을 사용한 위험성 평가 절차를 나타낸다. 시스템의 구조적 요소가 아닌 기능적 요소를 대상으로 위험 요인을 도출한다. 위험성을 결함과 실패로 예단하지 않고, 정상적인 변동성의 가능성을 평가하여 제어가 불가할 때 위험성이 있다고 판단한다. 여러 기능 간의 상호작용을 고려해야 하며 대응책을 모색할 시 위험 요인의 제거 또는 감소하는 방법보다는 변동성을 제어할 수 있는 기능의 능력을 증가시킬 것을 강구한다.

시스템의 기능은 인간, 기계, 조직의 직무를 포함하여 기계와 인간이 같이 작업하게 되는 기능도 존재한다. 시스템의 기능을 규정짓기 위해 계층적 직무분석을 활용하며 직무영역분석을 적용하는 편이 적합하며 시스템 설계안과 현장에서 실제 구현되는 현상 등 다 분석하여 비교할 필요가 있다. 시스템의 기능이 도축되면 해당 기능들 간의 연관성을 고려하여 각 기능의 출력과 하부 기능들의 5가지 측면에 연결한다. 그림 5는 FRAM 기능 변동성이다. 내부 변동성, 외부 변동성은 기능의 내/외부적인 요인으로 인해 생기는 변동성으로 기능 평가를 통해 분석 가능하다. 결합 변동성은 기능 간의 결합으로 인해 생기는 변동성으로 변동성 결합 규칙(Variability Aggregation Rule, $r_{i}(CV_{i,\: t})$)에 따른 다양한 변동성이 전파된다. 출력 변동성(Output Variability, $OV$)은 해당 기능이 정해진 역할을 수행할 때 하류 기능으로 전파되는 변동성을 의미한다.

각 기능의 변동성은 해당 기능이 수행할 수 있는 능력의 변화를 의미하며, 외부 요인, 내부 요인, 그리고 다른 기능으로부터 영향으로부터 잠재적 변동성을 지닌다. 사람이나 조직의 활동으로부터 이루어지는 기능은 내재적으로 변동성이 높다. 공통으로 가지고 있는 변동성 요인 Hollnagel은 11가지의 공동 수행 조건으로 규정한다. 표 1은 11가지 공동 수행 조건과 변동성 결과이며 M은 Human, T는 Technical, O는 Organizational을 의미한다.

3.2 시뮬레이션을 통한 C-ITS 서비스 변동성 분석

시스템이 정상 상태일 때 각 기능들이 가지고 있는 잠재적 변동성, 기능 간 결합을 통해 전달되는 변동성의 파급 가능성, 그리고 실제로 발생하는 변동성 등을 파악하며 변동성의 공명 정도를 추정한다. 각 기능들은 수행 능력의 정도에 따라 아래와 같이 정량적 값을 지니게 되며 해당 값은 실제 실패나 사고를 일으킬 확률이 아니라 기능의 수행 단계를 숫자로 표현한 것이다. 공명은 항시 일어나지는 않으며, 외부 요인이나 우연에 의해 다수의 사건이 발생하여 동시다발적으로 일어날 때 시스템 내의 주요 기능에 큰 부담을 줄 수도 있다. 그림 6은 내/외부 변동성, 결합 변동성 정량적 분석 과정을 나타낸 그림이다.

시뮬레이션에서 각 기능의 내/외부 변동성 값은 해당 기능의 잠재적 변동성인 $IEV_{i,\: p}$의 정규분포를 통해 산출한다. $IEV_{i,\: t}$은 시간 t에서 기능 i의 내/외부 변동성의 값을 의미하며 잠재적 변동성의 정규분포($N(0,\: IEV_{i,\: p}^{2})$에 따라 랜덤으로 생성된 절댓값을 기반으로 산출한다.

$N(0,\: IEV_{i,\: p}^{2})$ -> | Random Number Generation | -> $IEV_{i,\: t}$ 기능 간의 결합으로 인한 변동성의 값은 상류 기능들로부터 영향을 받게 된다. 결합 변동성인 $CV_{i,\: t}$는 결합 변동성은 상위 기능의 출력 변동성으로부터 영향을 받게 된다. 그림 7은 변동성 결합 규칙 정량적 분석 과정을 나타낸 그림이다.

$CV_{i,\: t}$ = $OV_{i,\: t-1}$ (시간 t에서 기능 i의 출력 변동성)

한 기능에 상류 기능이 2개 이상이 존재하게 되면 상류 기능들의 하류 기능에 결합될 때 결합 유형에 따라 표 2와 같은 변동성 결합 규칙을 따른다. 그림 8은 출력 변동성 정량적 분석 과정 그림이다.

변동성 결합 규칙에 따라 산출된 결합 변동성 $r_{i}(CV_{i,\: t})$과 기능의 내/외부 변동성 $IEV_{i,\: t}$이 결합된 $r_{i}(CV_{i,\: t})* IEV_{i,\: t}$ 값을 해당 기능의 역치(threshold, $\theta$)값과 비교하여 출력될 변동성 값을 결정한다. 출력 변동성인 $OV_{i,\: t}$은 시간 t에서 기능 i의 출력 변동성 값을 의미한다. 기능의 $r_{i}(CV_{i,\: t})* IEV_{i,\: t}$ 값이 역치 값보다 작을 때 내/외부 변동성이 결합 변동성을 상쇄했기 때문에 $IEV_{i,\: t}$과 1중에서 큰 값을 출력하며, 역치 값보다 클 때는 $r_{i}(CV_{i,\: t})* IEV_{i,\: t}$ 값을 바로 출력한다.

변동성의 영향을 받는 기능의 역량을 강화하는 방법이 가장 효과적이다. 기술의 발전에 따른 해당 기능을 포함하는 대체 기능을 마련한다. 변동성을 완화하기 위한 기능의 삽입을 통한 변동성 제어 방안을 강구 해야 하며 기능의 병렬화를 통한 안전성 제고 검토를 해야 한다.

4.1 분석 범위 설정과 대상 기능 규정

작업영역 분석을 통한 시스템 기능을 규정한다. 시스템 안전사고 해석, 시스템 사용성과 안전성 평가 등을 위한 가장 기본적인 직무분석 방법이다. 목적-수단 관계를 근거로 한 추상화 관점에서 기능을 분류하고 관계를 파악하는 것이 대상 시스템을 모형화하는 데 매우 합리적이다. 시스템의 궁극적인 목표부터 물리적 형태까지 총 5개의 추상화 계층으로 구성되어 있으며 표 3은 각 단계의 수준과 의미를 나타낸다.

국내 철도 시스템에 관여된 시스템은 한국철도공사와 한국철도시설공단으로 이루어져 있고 이를 작업영역분석으로 기능분석을 실시하고 두 시스템의 상호작용으로 철도 운행이 이루어지며 정상철도 시스템의 FRAM 모델은 그림 9와 같다.

이 중 ‘철도교통 관제 및 교육훈련’ 기능의 주제는 철도교통관제센터이며, ‘여객 수송’ 기능의 주체는 열차를 의미한다. 위 2가지 시스템에 대한 설계과정도 위 과정의 반복을 통해 현실화한다. 그림 10은 기능들의 주체 그림이다.

4.2 기능 간의 결합 도출

본 연구에서는 최적 운행 안전 의사결정을 위한 FRAM 모델을 설계하는 것에 앞서 분석한 통합 ESD 결과와 각 시스템 별 FRAM 모델을 통해 최적 운행 요소들 간의 상태평가를 위한 프레임을 제안한다. 우선 기능 간의 결합을 도출한다. 통합 ESD 결과와 시스템별 FRAM 모델을 통해 최적 운행 요소들 간의 상태평가를 위한 FRAM 모델을 제안하고 철도 운행 Digital Safety Chain으로 명명한다. 그림 11처럼 기능 분류상 여객 열차 기능에 해당되는 기능은 파란색, 기관사 기능은 빨간색, 관제사 기능은 초록색, 유지/보수 기능은 주황색으로 표시한다. 기능이 공통적으로 가지고 있는 변동성 요인을 공동 수행 조건을 통해 평가해야 되지만 본 연구에서는 전문사 분석을 통한 현재 기능 수치 파악은 생략된다.

4.3 DSC기반으로 각 기능의 변동성 파급에 따른 효과 분석

각 기능은 변동성 결합 규칙에 의해 그림 12와 같이 상부 기능과 하류 기능이 연결되어 있으며 결합 변동성의 변화로 인해 시스템의 성능이 바뀔 수 있다. 기능의 변동상 파급에 따른 효과 분석을 위해 각 기능들의 정량적 값을 도출하고자 하며 이를 토대로 시스템의 생존율 분석을 실시했다. 시스템의 변동성 전파 과정 중 그림 13과 같이 출력 변동성의 값이 기준치를 웃도는 값이 나올 때 시스템은 생존하지 못했다고 판단한다.

FRAM모델의 모든 기능의 변동성을 동시에 0부터 0.01 간격으로 2까지 조정하여 시스템의 생존율을 측정한다. 종속변수는 생존율, 독립변수는 기능의 잠재적 내/외부 변동성인 $IEV_{i,\: p}$로 한다. 제어변수는 시뮬레이션 횟수 500, 시뮬레이션 시간 100, 시스템 실패 기준값 10, 변동성 역치는 2, 시스템 최종 출력 기능은 F17(열차 탈선, 충돌 예방)으로 한다. 시스템 최종 출력 기능은 시스템에 수행되는 정도를 외부에서 확인할 수 있는 기능으로 FRAM모델이 역할 수행시 최종적으로 행하는 기능이 열차 탈선을 방지하는 것이기에 F17로 선정하였다. 이 설정으로 시뮬레이션을 수행하였을 때 그림 14 같이 되었으며 각 기능별로 민감도 분석을 실시할 Initial Point를 설정하였다. $IEV_{i,\: p}$=0.62, 서비스의 생존율이 95%로 이후 급격한 변동을 보이고 있어 해당 지점을 기점으로 각 기능별 민감도 분석을 했다.

4.4 각 기능별 변동성 변화에 따른 생존율 분석

각 Initial Point 기점으로 기능별로 변동성을 0.01 간격으로 조정하여 시뮬레이션을 실시했다. 그림 15 같이 각 기능별 변동성 변화에 따른 서비스의 생존율이 다르게 나타난다. 그래프 기울기가 급격할수록 변동성의 변화에 따라 시스템의 생존율에 미치는 영향이 큰 것을 의미한다.

4.5 변동성 값 기반의 민감도 분석

‘현재의 기능 수행 상황에서 몇 배 정도의 일이 가중되면 기능 수행에 문제가 발생될것으로 예상되는가(1~2배)’로 현재 기능의 수행 여우를 판단하는 과정이 필요하지만, 현 분석에서는 1.6으로 통일한다. 그림 16은 평가 기반의 변동성 값을 보정한 것이다. 과정을 각 기능별로 수행하고 각 기능별 잠재적 내/외부 변동성 값을 산출한 것이 표 4이다.

4.6 변동성 값 기반의 민감도 분석

평가를 통해 보정된 각 기능의 잠재적 변동성 기반으로 시뮬레이션을 통해 민감도 분석을 재실시하여 그림 17의 결과를 도출했다. F6<열차 신호 발생>. F13<전차 연동장치 유지보수>, F10<열차 운행>은 현재 변동성에서 값이 변화할 때 시스템의 생존율에 미치는 영향이 상대적으로 가장 큰 것을 확인할 수 있다. 반대로 F11<제한속도 감지>, F3<주변 환경 인식(기관사)>, F4<의사결정(기관사)>은 변동성이 변화 시 시스템의 생존율에 미치는 영향이 상대적으로 미비하다.

시나리오 분석을 통한 변동성 제어 방안을 모색한다. 민감도 분석 결과를 기반으로 각 기능의 변동성 안정화를 모색했을 때 개별 기능의 failure 변화량과 전체 시스템 failure 변화량으로 각 기능의 상태를 분석한다. 변동성 안정화에 따른 개별 failure 변화량을 알아보기 위해 해당 기능의 IEV가 –20%로 낮췄을 때 개별 기능이 역할이 깨지지 않을 비율을 Success rate change로 정의하고, 전체 시스템의 역할이 깨지지 않을 비율이 Survival rate change로 정의한다. 두 분석 결과를 기반으로 각 기능의 상태를 분석한다. 그림 18은 변동성 안정화에 따른 기능별 영향력 평가이다.

분석 결과를 그룹화 하면 그림 19와 같다. A그룹(F1, F3, F4, F8, F9, F11, F15, F16, F17)은 기능들이 시스템에 미치는 영향력이 미미하며 변동성 변화 시 개별 기능의 역할이 깨지지 않고 전체 시스템에 미치는 영향력도 적어 상대적으로 변화에 안정적인 기능들로 판명된다. B그룹(F16)은 전체 시스템에 미치는 영향력은 작지만, 해당 기능의 안정화를 촉구할 필요가 있다. C그룹(F5, F7, F12, F14)은 기능의 변동성 변화 시 생존율 변화량이 작지 않은 편으로 변동성을 맞추게 될 시 전체 시스템의 기능이 향상될 수 있다. D그룹(F6, F13, F10)은 변동성 변화 시 시스템 생존율 변화량이 큰 값을 보이고 있어 변화에 불안정한 기능들로 판명되었다. 다만 변동성이 낮아졌을 시 시스템의 생존율에 미치는 영향이 상대적으로 크기 때문에 해당 기능들의 안정화를 촉구하는 게 시급하며 이를 통해 시스템의 생존율을 높일 필요가 있다.

현재 상태를 시나리오1이라 가정하고 D그룹이 변동성을 20% 낮춘 상태를 시나리오 2, C그룹과 D그룹의 변동성을 모두 20% 낮춘 상태를 시나리오3이라 가정했을 시 전체 시스템의 생존율 변화량은 그림 20과 같다. 두 시나리오 모두 시스템의 생존율에 민감한 기능들이 안정화됨과 동시에 전체 시스템의 생존율이 급격히 상승하게 되었으며 이를 통해 각 기능들이 안정화되었을 때 전체 시스템에 끼치는 실효성의 정도를 확인할 수 있다.