1. 서 론
국제해사기구(International Maritime Origination, 이하 IMO라 함)는 해양사고의 80 % 이상이 인적오류(Human error)와 조직 의 문제(Organizational Factor)에 의해 발생한다고 보고하고 있다(IMO, 1994). 또한 국내에서도 중앙해양안전심판원의 재 결결과 최근 5년(2013 ~ 2017)간의 사고 원인으로 233건 중 199건, 85.4 %가 인적과실로 나타났다(KMST, 2017). IMO는 인적오류를 정확하게 식별하고 줄이는 것이 유사사고들의 재발방지에 중요한 역할을 할 것으로 판단하여 “국제해양사 고조사코드”인 Resolution A.884(21)의 개정안을 채택하였다. 동개정안에 따라 해양사고에 있어 인적 요인의 체계적인 조 사가 권고되었으며(IMO, 2000), 또한 권고사항인 “국제해양 사고조사코드”의 강제화의 필요성으로 “IMO 해양사고조사 코드(Casualty Investigation Code, 2008)”가 2010년 1월 1일 발효 되었다. 결과적으로 인적오류로 인한 선박사고의 문제점에 대해 대부분의 국가나 단체에서 인식하고 있으며 인적오류 의 저감은 선박의 인명피해 감소와 재산을 보호하는 효과적 인 방법의 하나로 판단된다.
선박이라는 고립된 환경의 특수성, 제한된 장비와 특수한 환경적 요인, 인적 요인으로 인한 선박사고를 줄이기 위해 선 선원들의 훈련은 굉장히 중요하다. 국내외 선원들의 비 상대응능력 향상을 위한 교육과 훈련 강제화에도 불구하고 Fig. 1과 같이 인명피해는 증가하고 있으며(KMST, 2018), 현 재 시행하고 있는 교육 훈련 방식으로는 비상 상황 대응 판 단 향상에는 어려움이 있다. 기존 선박의 훈련 시뮬레이션 시나리오는 ISM코드에 기초하는 절차 모델을 따르고 있다. 선원들이 비상시의 대응 절차를 완벽히 숙지하고 능숙하게 수행할 필요가 있다는 것은 부인할 수 없지만 현재 절차 모 델은 하나의 역할을 수행하는 것만을 목표로 하기에 대응 중간에 발생하는 비상상황에 대한 고려가 없다는 한계가 있 다. 이와 같이 기존 절차 모델에 따른 비상 대응 절차가 실 패하거나 적절한 대응 자체가 불가능할 경우에는 선내 최고 결정자인 선장 및 기관장의 명확한 사고판단 능력에 영향을 미칠 수 있다(Grech et al., 2002). 그렇기 때문에 이러한 비상 상황에서 효과적으로 대응하기 위해서 적절한 선내 비상대 응절차 시스템 관리, 다양한 사고의 변수가 고려된 적절한 절차모델의 개발 및 적용이 이루어져야하고 더불어 이를 적 절히 관리하고 올바른 대응을 할 수 있는 판단력과 통솔력을 필요로 한다. 본 논문에서는 선내에서 시행하고 있는, 시나 리오 기반의 비상대응훈련에 중점을 두고자 하며, 해사안전 을 위한 상황 다변성을 모델링할 수 있는 인적·시스템 이론적 절차 분석 모델(Human and System Theoretic Process Analysis, 이하 HSTPA라 함)을 제안한다. 본 모델은 항공 우주 분야에 서 사용되어 온 위험 분석 기술인 STPA를 선박 환경의 인적 자원의 체계를 포함하는 개념으로 수정한 것이다. Owen and Crocker(2015)의 연구에서 STPA(System Theoretic Process Analysis, 이하 STPA라 함)를 기반으로 인적요소에 대한 상황 다변성 대응훈련을 제안하였듯이, HSTPA는 사람과 시스템이 유기 적 관계를 맺는 선박에서의 비상 상황에서 발생 가능한 2차 사고의 원인을 추적하고 예방하는데 그 의의를 가진다. HSTPA를 사용함으로써 기존의 정형화된 시나리오의 한계를 벗어나 무작위성 상황별 시나리오를 생성하고, 피 훈련자로 하여금 예상하지 못한 상황에 대해 유동적으로 대처할 수 있는 비상대응 능력 및 의사소통 능력을 배양할 수 있을 것 이다. 가상현실 기반 훈련에 이를 적용한다면 기존의 위험 상황 연출에 대한 비용적 한계를 벗어나 안전성을 보장하면 서 다양한 상황별 훈련을 진행할 수 있을 것으로 기대된다. 또한 피 훈련자와 교육자간의 피드백을 통해 훈련에 대한 효율도도 높아질 것으로 기대된다.
2. 해사안전과 인적오류 관련연구 조사
2.1 해양사고와 인적오류
Kim et al.(2011)은 해양사고의 대부분이 인적 오류에 기인 한다는 것에 바탕을 두고 인적요인 사고조사 절차를 기반으 로 HFACS(Human Factors Analysis and Classification System)모 델을 보완한 'Maritime HFACS 모델'의 개발 및 적용사례를 소개하였다. Grech et al.(2002)은 해양사고 보고서를 기반으 로 상황 인식 능력의 결여가 사고에 끼치는 주요한 영향을 분석하였다. 이 연구는 사고 보고서들에 텍스트 분석 기법 (Leximancer tool)을 적용하여 많은 수의 사고 원인이 상황 인 식 능력의 부족임을 밝혀냈다. Jang et al.(2009)은 해양사고를 발생시키는 원인에 대하여 항해사와 도선사를 대상으로 설 문조사를 실시하였다. 설문결과 응답자들의 담당 업무나 직 급과 관계없이 공통적으로 해양사고원인은 근무태만과 안 전의식으로 인한 발생이 높다고 응답하였다. 위의 연구들은 해양사고와 인적오류의 관련성을 명확히 하고, 사고의 예방 과 대응에 있어 교육과 훈련의 중요성을 강조하고 있다. 특 히 사고에 대한 이해력과 상황인식 개선은 해양사고 저감뿐 아니라 사고의 피해를 최소화하기 위해 훈련되어야 하는 요 소로 지목하고 있다.
2.2 Maritime anomaly와 인적오류 저감을 위한 STPA
해사안전 분야에서의 다양한 상황, 특히 비정상 상황에 대 한 연구는 오랜 기간 수행되어왔다. Martineau and Roy(2011) 는 해사분야의 Normality(정규성)와 Anomaly(비정상적인 상황) 에 대한 정의를 내리고 이러한 상황을 데이터 기반으로 찾 는 것이 안전 분야에서의 매우 중요한 과업임을 지적하였 다. 그러나 데이터에 대한 다양한 문맥의 Anomaly를 시스템 이 자동으로 완벽하게 식별하는 것은 불가능하므로(Riveiro and Falkman, 2011), 사람이 개입하여 이를 판단할 수 있도록 돕는 시스템의 유용성이 제기되기도 하였다(Riveiro et al., 2008;Riveiro and Falkman, 2011). 하지만 해당 연구는 Anomaly 의 시스템적 식별에 중점을 두었으며, Anomaly 대응 능력 배 양을 위한 Anomaly의 임의 발생 및 대응 훈련에 대한 내용 은 부재하다. 이를 보완할 수 있는 연구사례로 Stringfellow et al.(2010)는 비정상적 상황의 대응 능력 배양을 위해 STPA 분 석기법을 도입하여 훈련에 반영하였다. STPA는 항공 분야의 소프트웨어 기반 자동화 시스템을 위한 안전설계를 위해 제안 된 모델이며, 하드웨어와 소프트웨어뿐 아니라 환경 등 다양 한 구성요소를 계층적으로 표현하는 STAMP(Systems Theoretic Accident Model & Processes)에 기반한 안전성 분석 기법이다. Fig. 2와 같이 Control 및 Feedback과 같은 상호작용에 의한 위 험요소 발견 및 원인분석을 수행하는데, Stringfellow(2010)는 STPA를 기반으로 우주선의 화성착륙에 대한 사고, 목적, 위험, Safety constraint 등을 정의하고, 이를 통해 인적 조작결함 혹 은 부적절한 조작을 식별하였다. 또한 Owen and Crocker(2015) 은 달 착륙 미션에 대한 다양한 비상상황 발생에 대한 시나 리오를 Control loop에 근거하여 개발하고 시뮬레이션 기반으 로 조종사들의 훈련에 적용하였으며 피 훈련자의 위기상황 대응능력 항목들도 다양하게 도출하였다.
2.3 관련연구 분석
관련연구 조사를 통해 해양사고와 인적오류를 감소시키 기 위한 중요 훈련요소를 식별하였으나, 해사안전 분야의 구체적인 훈련방법이나 기존 교육의 개선방안은 제시되어 있지 않다. 따라서 인적오류 사고 중 비상대응능력 및 상황 인식 능력 배양에 대한 실효성 있는 대책이 요구되며, 부적절 한 조작과 피 훈련자의 위기상황 대응능력에 대한 항목들을 STPA의 Control loop 기반으로 도출한 Owen and Crocker(2015) 의 연구를 분석하였다. 우주선의 착륙 작업에 있어 Control loop를 구성하고 발생할 수 있는 위험요소를 도출한 선행연 구를 선박의 상황에 적용하는 데에는 다음과 같은 차이가 확인되었다. 먼저 원격 조종을 통해 제어하는 조건 때문에 인적요소의 개입은 조종명령에 한정된다. 선박은 이와 달리 평상 시나 비정상적 상황 하에서도 인적요소의 개입이 주요 하며, 다양하다. 따라서 Control loop의 구성에 인적요소를 대 입하고 비정상적인 상황의 처리 과정에 발생할 수 있는 다 양한 상황을 생성하여 이에 피훈련자를 노출시킴으로써 선 원들의 사고에 대한 이해력, 상황판단 능력을 향상시키는 이론적 절차 모델 개발이 필요하다.
3. Human and Systems Therotical Procedure Analysis (HSTPA)
선박에서의 비상대응훈련을 모델링하기 위해선 사람과 시스템이 유기적 관계를 갖는 환경 요인에 대한 추상적 모 델과 각 요인에서 발생 가능한 비정상적인 상황의 정의가 요구된다. 본 연구는 해당 요인 중 인적오류로 인한 사고를 막기 위함이기 때문에 인적 요인에 대한 모델링이 필수적이 다. 기존의 STPA는 소프트웨어에 한정하여 사고 발생을 예 방하기 위해 준수해야 할 제약사항을 부과하는 목적으로 사 용되어 왔기 때문에 복합적 환경 요인을 모델링하기에 적합 하지 않다. 본 논문은 인적 및 시스템적 요소를 고려하며 각 컴포넌트간의 상호작용을 정의하는 추상적 모델인 HSTPA (Human and Systems Therotical Procedure Analysis)를 정의한다. HSTPA는 선박의 업무 계층에 따른 인적 요인을 모델링하기 위해 수행 업무에 따라 각 인적요소를 구분하였으며 이를 STPA의 구조에 적용하였다. 선박의 업무는 지휘자의 명령으 로 시작하여 명령 이행, 시스템으로의 적용, 적용 내용 보고 의 순환적 절차로 이루어지기 때문에 이를 STPA의 control loop 구조에 적용할 수 있다. 본 논문에서의 HSTPA 기반 비 상대응훈련은 1차 비상상황의 발생을 전제로 하며 해당 control loop는 지휘자로의 사고 보고로 시작되게 된다. 비상 상황의 대응은 선원들이 협력하여 선내 시스템을 이용하여 피해를 최소화하거나 정상 상태로 되돌리기 위한 목표를 가 지며, 이러한 대응체계는 완전한 선박 무인화가 이루어지기 전까지 사람의 판단에 따른 시스템 적용의 형태가 유지될 것이다.
3.1 HSTPA(Human + STPA)기반의 Control loop 모델
제안하는 HSTPA에서 각 인적요소들은 선상 근무자에 해 당하며, 시스템은 선박을 포함한 모든 하드웨어적 요소로 정의된다. 아래의 그림 Fig. 3은 HSTPA의 Process control loop 모델을 나타내며, 박스 위의 Commander, Performer, Reporter는 인적요소를 그리고 Controlled process는 시스템을 나타낸다. Commander는 한 명이지만 Performer와 Reporter는 다수일 수 있 으며 내부 계층을 가질 수 있다. 또한 상황에 따라 Performer 와 Reporter는 동일할 수 있다. Commander는 보고를 받은 후 적절한 판단을 수행하여 Performer에게 명령을 하달하는 역 할을 수행한다. Performer는 비상대응을 위해 설치된 선박의 시스템을 동작시키며 이를 통해 피해를 최소화 하거나 위험 요소를 제거할 수 있으며 이 과정은 Controlled process로 정 의된다. Controlled process는 단일한 시스템의 사용 뿐 아니라 여러 시스템과 연결성을 가질 수 있으며 외부적인 방해 (Disturbance)를 받을 수도 있다. 해상에서의 방해요소는 시스 템이나 인적요소를 통해 제어가 가능할 수도 있고, 강풍, 강 조류, 높은 파고 등과 같이 제어가 불가능한 경우도 포함되 며, 이들로 인하여 정상적인 비상대응이 체계적으로 진행되 더라도 방해요소의 정도에 따라 결과가 달라질 수 있다. Controlled process의 결과는 Reporter(보고자, 단일 선원 혹은 그룹)를 통해 선장에게 상황이 전달된다. STPA에서의 Control loop에서는 Sensor가 이러한 역할을 담당하지만 선박에서는 사람이 해당 기능을 수행한다.
3.2 Control loop 구성요소의 오류
Stringfellow et al.(2010)에서 STPA는 구성요소의 오류(위험 의 원인 중 하나)를 제거하기보다는 제어하는 개념에 기반한 다. 2차 사고 혹은 인적 오류는 HSTPA에서의 인적 혹은 시스 템 요소 간 상호작용에 의해 발생이 되며 HSTPA의 Control loop의 구성요소를 기반으로 식별된 발생 가능한 오류는 다 음과 같다.
-
- 명령(Commands)오류는 Commander의 잘못된 명령, 지시 뿐 아니라 해당 명령에 대해 Performer가 잘못 이해하는 오류까지 포함된다. 이러한 의사소통의 오류는 구성요소 가 사람일 경우 발생하게 된다.
-
- 이행(Operation)오류는 Performer의 오류를 말하며, Controlled process 즉 선박의 대응 시스템에 대해 잘못된 조작 등이 해당된다.
-
- 결과관찰(Observed output)오류는 Reporter의 오류로, 대응 시스템의 작동결과에 대한 평가에 기반한다.
-
- 보고(Report)오류는 Reporter의 오류이며, 관찰한 결과가 Commander에게 부정확하게 전달되거나 주요한 정보가 누락되는 경우이다.
Control loop상에서 오류는 그림의 화살표(Transition)와 대 응되며, Process는 화살표를 따라 단방향으로 이루어지지만 그 오류는 구성요소 양측에서 발생할 수 있다. Process의 진 행 중 오류가 발생한다는 가정 하에 컴포넌트에 변수를 생 성함으로써 오류의 발생 가능성을 제어할 수 있다. 예를 들 어 부정확한 사고발생 방송(Command error) 및 인원점검 (Report error), 부적절한 선내안전장치 사용(Operation error), 사고 확산 방지 실패(Observes output error) 등과 같이 컴포넌 트 조작을 통한 무작위성 상황 생성을 통해 해당 오류에 대 한 피훈련자의 대응 능력을 시험해볼 수 있으며, 생성되는 상황의 수와 범위가 넓을수록 피훈련자의 상황 대응 능력에 대한 포괄적 평가가 가능해진다. 피훈련자가 한 Process의 모 든 컴포넌트에 대한 무작위성이 생성된 훈련을 성공적으로 완수한다면 해당 Process에 대한 피훈련자의 전방위적 상황 대응 능력이 우수하다고 평가할 수 있다. 이러한 HSTPA를 기반한 비상상황대응에 대한 평가는 각 인적 오류에 대한 평가 (정확도 혹은 오차)의 합계 혹은 통계로 분석이 가능하 며, 각 인적 요소에 대한 오류 모델은 관련 분야의 평가 방 법을 적용할 수 있다. HSTPA는 선박에서의 비상상황 모델링 을 목적으로 하기 때문에 인적 혹은 환경적 변화 요인에 대 한 세부적 고려는 각 요소에서 수행한다.
4. 화재 대응 훈련으로의 적용
본 절에서는 HSTPA기반 Control loop를 선박의 화재대응 훈련 시나리오에 적용하여, 전체 Process 평가를 수행하였다. 화재대응 훈련 시나리오를 채택한 이유는 비상상황에서 대 응과정이 사람과 시스템 간의 유기적 관련성을 갖고, 시나 리오 전반에 걸쳐 선장의 지시와 현장의 이행 그리고 보고 의 Process가 일관성 있게 유지되기 때문이다. Control loop의 Commander와 Performer 및 Reporter의 식별과 Control process와 의 구분이 명확한 것도 해당 시나리오를 선택한 이유이다. 화재대응 훈련 시나리오의 적절성을 정량적으로 평가하거 나 예상되는 오류를 구체화하여 훈련을 개선하기 위한 기준 이나 방법은 없으나, 필수적인 내용들이 훈련과정에서 누락 되지 않도록 확인하기 위해 체크리스트를 이용할 수 있다. 본 연구에서 분석한 체크리스트 Table 1은 2012년 9월 1일부 터 11월 30일까지 Tokyo MoU, Paris MoU 및 Indian MoU에 서 실시된 2012년 PSC CIC “화재안전”을 대비하기 위해 제 공된 한국선급의 참고자료로써 국제적인 표준은 아니지만 선박의 화재 시 대응절차에 있어 누락되거나 발생할 수 있 는 오류를 식별하여 피해 최소화를 목적으로 하고 있다(KR, 2012). 체크리스트는 Table 1과 같이 18개의 확인사항으로 구 성되어 있으며, 실제 훈련의 계획이나 화재대응 훈련 시나 리오 구성에 반영하여 실제적이고, 효과적인 실행이 가능하 도록 한다.
훈련을 평가하기 위한 18가지의 점검사항을 Control loop 구성요소가 발생시킬 수 있는 오류에 적용하여 분석한 결과 는 다음 Fig. 4와 같다. 체크리스트는 그림과 같이 외부적 방 해요소와 Controlled process 즉, 선내 소화 시스템에 대한 확 인 항목은 부재하였다. 이러한 요소들은 센서들을 통해 데 이터로 시각화될 수 있다(Riveiro et al., 2008). 그러나 선박은 위의 요소들을 측정하거나 시각화 할 수 있는 시스템이 부 재하므로, 이에 대한 대응 시나리오 점검 항목이 필요하다. 점검항목 내용의 분석결과 구성요소 간 오류 전체에 관련되 는 항목들과 일부 또는 특정 구성요소에만 한정되는 항목이 다양하게 확인되었다. 18개의 점검항목은 인적오류를 식별 하기 위한 것이며, Commands에서 오류확인을 위한 점검사항 은 6개, Operation에서는 13개, Observed output은 14개, Reports 는 11개 항목이였다. 특히 Commander와의 명령 및 의사소통 오류식별을 위한 점검항목은 6개로 다른 구성요소의 오류식 별보다 취약함을 확인하였다. Performer와 Reporter의 역할 관 련 점검항목이 다수로, 두 가지 역할을 동일한 선원이 수행 한다고 가정한다면, 본 체크리스트는 현장대응자의 명령수 행과 상황확인 및 보고에만 집중되어 있다고 볼 수 있다.
HSTPA기반 Control loop를 통해 소화훈련 체크리스트의 취약점을 다음과 같이 식별하였으며, 개선사항은 Table 2와 같이 요약 제시하였다. 체크리스트의 취약점으로 먼저 외부 적 방해요소로 인한 Controlled process 문제점 발생 가능성이 반영되어야 한다. 훈련과정에서 외력요건으로 선체 동요와 풍향, 풍속의 변화가 대응에 미칠 수 있는 영향이나 상황에 대한 고려가 필요하다. 이를 통해 다양한 훈련 상황을 구성할 수 있을 것이다. 다음으로는 Process input 오류와 Controlled process 자체의 문제발생 상황을 반영해야 한다. 소화훈련에 이용되는 Controlled process는 소화펌프, 소화전, 기타 고정식 소화설비가 될 수 있으며, 이 설비들의 고장 시 대체할 수 있는 장비나 절차 및 대응과정이 체크리스트에 포함되어 있 지 않다. 인적오류에 대한 취약점으로는 Performer의 수행 오 류로 인한 Controlled process 문제점 발생에 따른 상황은 더 욱 다양질 수 있고 이를 체크리스트에 반영하여 확인되어야 한다. 또한 Commander와 각 인적 요소 간의 의사소통 능력 이 개별적으로 점검될 수 있어야 한다.
5. 결 론
본 논문을 통해 비상대응훈련 개선을 위한 이론적 절차 설계 모델인 HSTPA를 제안하였고 이를 기반으로 기존의 비 상대응훈련 중 하나인 소화 훈련 체크리스트를 분석하였다. HSTPA 기반 분석은 현존하는 소화 훈련 체크리스트는 상황 다변성의 고려, 즉 외부 환경에 대한 요소 및 내부 요인으로 인한 추가적 사고의 고려가 미흡하다는 결과를 도출하였다. 기존 시나리오 분석의 마지막 부분에서 제안한 개선점들이 사고 혹은 준사고 사례를 통해 현실적인 훈련 시나리오로써 도출되고 이를 기반으로 훈련 체크리스트를 보강한다면 피 훈련자들의 비상대응훈련을 통한 대응능력의 명시적 점검 도 가능해지며, 다수의 시나리오 기반 훈련을 통한 교육 훈 련에서의 고려요소 또한 보다 세부화될 것으로 보인다. 또 한 상황대응능력의 점검은 피훈련자에 대해 사고 대응 능 력에 대해 강화되어야 할 역량을 시각화함으로써 개인의 자발적 동기 및 능력 향상을 고취시킬 수 있을 것이다. 본 HSTPA를 실제 훈련에 적용 시 다양한 상황 생성이 매우 중 요한 부분이므로 가상현실 기술을 이용한 훈련으로 개발한 다면 비용 효율적이면서도 보다 폭넓은 훈련을 수행하는데 용이할 것으로 판단된다. 추후 연구로써 HSTPA 기반 선장 (Commander) 상황 판단과 의사소통(명령전달) 능력 훈련 방 법에 대한 연구를 수행할 것이다.