R S 철도 안전에 대한 위험도 평가, 관리 H 국토해양부 - 철도안전연구회 제2차 회의 Rail-PRISM (Rail-Program for Risk Informed Safety Managements) 2008. 8. 29 왕 종 배 책임연구원 철도종합안전기술개발사업단

목 차 서론 위험도 평가 위험도 관리 정리

안전(Safety)은 관리의 대상으로서 위험이 초래하는 위험도(Risk)를 허용 가능한 수준으로 합리적으로 제어하는 것이다. Verification Approval Risk (Assessment) Hazard (Analysis) Safety (Requisites) 위험(hazards) : “사고를 유발하거나 초래할 수 있는 어떤 불완전한 조건 또는 행동” 위험도(risk) : “위험사건의 발생확률과 그에 따른 결과심각도로서 예상 손실 평가” 안전(safety) : “사고/재해가 없는 상태”, “사고/재해를 유발할 수 있는 위험이 없는 상태” “위험도가 허용 가능한 수준으로 제어된 상태” 안전요건(safety requisites) : “위험도를 적정 수준으로 제어하는데 필요한 안전 대책 / 활동” 안전(Safety)은 관리의 대상으로서 위험이 초래하는 위험도(Risk)를 허용 가능한 수준으로 합리적으로 제어하는 것이다.

I. 서론 – 위험도 기반의 시스템 안전관리 지속적인 위험추적 및 위험도 관리 위험도 기반의 안전관리 - 위험경향 파악 및 안전수준 관리 국가적으로 일관된 안전성능 관리 - 안전계획(목표, 전략)의 효율적 수립, 실행 및 책임 강화 비용-효율적인 안전개선대책 수립 - 사고예방 및 사상자 경감에 중점을 둔 안전프로그램 개발 위험도 기반의 안전관리 위험도 정보 활용 의사결정 –안전대책, 안전계획 철도 안전성능 평가 (risk profile, FN curve) 위험도 평가모델 + 안전정보 관리 (사고, 운영) 철도 사고분석 (사고조사, 보고)

I. 서론 – 위험도 기반의 시스템 안전관리 체계적 위험 분석에 의한 적절한 예방관리 요구 안전관리 체계 정책 시스템 안전원칙 : 손실(사고, 재난)발생 이전에 체계적 위험 분석에 의한 적절한 예방관리 요구 - “위험의 판별-평가-제어”라는 특성화된 방법을 적용  절차 정책 및 전략 목적 조직, 책임, 자원 규격기준, 문서 등 업무 위험판별 위험도 평가 위험도 제어/경감 위험회복 - 근본 원인은 무엇인가 ? - 무엇이 잘못 되었는가 ? - 그것이 얼마나 심각할 까 ? - 그 가능성은 얼마인가 ? - 더 나은 방법이 있는가? - 어떻게 예방할 수 있는가? 피해영향을 어떻게 제한할까? 어떻게 회복할 것인가? - 사전예방/제거 발생확률 경감 피해도 경감 - 비상대응 복구/회복 위험 및 영향 관리 계획 및 절차 실 행 교정조치 감시/점검 감 사 관리 검토 교정조치/개선

II. 위험도 평가 - 필요성 위험도 평가는 안전관리의 올바른 의사결정을 위한 기반 정보를 제공한다. 1) 안전법령상의 요구조건 준수 2) 시스템 운영관련 (변경/갱신, 인터페이스 등) 제반 위험확인과 사고진전과정의 이해 3) 위험도 우선순위에 따른 비용- 효율적 위험도 경감대책 수립 4) 위험도가 허용 가능 수준으로 제어되고 있음을 입증 5) 지속적인 안전전략의 검토와 안전개선을 위한 기반 제공 안전목표 달성을 위한 효과적인 자원활용(설비/인력, 관리/운영) 보장 -규정제정/표준규격 개발에 필요한 입력자료 제공 철 도 시스템 -구성 -조직 -운영 -기술   시스템 정의    [변경 /갱신] 위험 분석 위험도 정의 개념화⇨ 설계⇨ 건설⇨ 운영⇨ 폐기 위험도 평가 (제작) (설치) (시험) [유지 관리] 위험도 경감 위험도 관리 안전목표-관리지표 설정 안전성 검증 안전성 인증 안전관리계획 수립-시행

II. 위험도 평가 - 원칙 Identify hazards (위험원 판별) Assessing risk (위험도 평가) 조직(기관)은 변경을 고려할 때, 해당 활동 및 책임에 관계된 모든 가능한 위험원을 식별하기 위한 체계적이고 활발한 시도를 해야 한다. 조직(기관)은 변경을 도입하고 제거할 때 까지, 언제나 사고에 기여할 수 있는 위험원을 고려해야 한다. Assessing risk (위험도 평가) 조직(기관)이 담당한 철도의 전체 위험도에 미치는 해당 활동과 책임의 영향을 평가해야 한다. Reducing risk (위험도 경감) 조직(기관)은 해당 책임 범위 내에서 철도의 전체 위험도를 제어할 수 있는 방법을 철저히 조사해야 한다. 각 조치(대책)를 취하는 것이 합리적인지 아닌지 결정해야 한다. 합리적인 조치나 법에서 요구하는 조치는 모두 취해야 한다. 모든 조치를 취한 후에도 여전히 위험도가 너무 높다면 이를 허용해선 안 된다. Safety requirements (안전 요구사항) 조직(기관)은 해당 업무와 관련된 위험도를 허용 수준으로 통제하기 위하여 안전 요구사항을 수립하고 이를 만족해야 한다. Evidence of safety (안전 입증) 조직(기관)은 해당 활동 및 책임과 관련된 위험도가 허용 수준으로 제어되고 있음을 스스로 확인해야 한다. 모든 안전 요구사항을 만족했다는 증거를 포함한 객관적인 증거로서 자신의 논거를 뒷받침해야 한다.

II. 위험도 평가 - 절차 위험사건 위험분석 사고 시나리오의 개발 발생확률(빈도) 산정 결과 심각도 산정 시스템 구성/운영조건 정의 및 관련 자료 조사 발생 가능한 사고종류 및 위험사건의 확인 사고 시나리오의 개발 사고발생 시나리오 사고전개 시나리오 위험사건 발생확률(빈도) 산정 결과 심각도 산정 위험도 산정 (손실 분석)

II. 위험도 평가 - 범위 위험도 평가 대상 위험요인의 제거 사람에 대한 인명피해 - 여객 사상 - 직원 사상 위 결 설계활동 운영활동 유지관리활동 비상대응활동 위험요인의 제거 설비 – 고장 : 설계/설치/운영상의 결함 인간 – 오류 : 잘못된 습관/ 작업방식 환경 – 악화 : 상호작용 위험도 평가 대상 사람에 대한 인명피해 - 여객 사상 - 직원 사상 - 공중 사상 2) 시스템 운영상의 손실 - 자산 손실 - 환경 손상 - 평판 악화 위 험 요 인 결 과 피 해 위험사건 (Hazardous Events) 피해영향 최소화 조건 제거 복구 대책 교정/규제 안전방벽 (Barrier) 대응 준비 확대 차단 예방 대책 설계활동 운영활동 유지관리활동 비상대응활동

년간 안전성능평가 (영국 Risk Profile) 열차사고(Train Accidents) II. 위험도 평가 - 방법 위험도 평가 구분 시스템 변경/갱신에 따른 프로젝트별 위험도 평가 철도차량 위험도 분석 철도시설 안전성 평가 2) 시스템 운영에 따른 주기적 안전성능 평가 - Risk Profile/안전성능보고 위험도 평가 방법 정량적 평가 : 위험사건의 발생빈도 * 결과심각도 2) 정성적 평가 : 발생빈도는 적고 심각도가 큰 사건 (화재 등) 위험도 등급 분류 (Risk Matrix) 발생 빈도 결과 심각도 재난적 치명적 한계적 무시가능 빈번(A) Ⅰ Ⅲ 자주(B) Ⅱ 가끔(C) Ⅳ 드물게(D) 불가능(E) 년간 안전성능평가 (영국 Risk Profile) 열차사고-위험사건 빈도 (사건/년) 심각도 (등가사망/년) 위험도 1 두 열차간의 충돌 1.8 3.32 5.8 2 선로 장애물과의 열차 충돌 49.7 0.006 0.3 3 정거장내 두 열차간의 충돌 6.0 0.025 0.15 4 차막이 장치와의 충돌 40.9 0.029 1.2 5 건널목- 도로차량과의 충돌 21.5 0.28 6.1 6 열차 탈선 14.3 0.30 4.3 열차사고 위험도 (등가사망 EF) 17.5 사고 구분 (’05년) 위험도 1 열차사고(Train Accidents) 17.5 2 운행사고(불법침입 제외) 63.1 3 비운행사고(불법침입 제외) 63.8 4 불법침입(행위) 62.0 계 전체 위험도 (등가사망 EF) 206.4

III. 위험도 관리 – 안전목표, 안전지표 1. 유럽연합 철도안전지침(RSD)의 공통안전지표(CSI) 발생확률 평가지표 사고 열차충돌 (장애물충돌 포함) 전체사고 건수/ (열차운행km당) 열차탈선 건널목사고 열차화재 교통사상사고 (열차운행 관련) 자살  기타사고 장애 레일파손 궤도좌굴 신호결함 등 전체발생 건수/ 신호위반통과 (SPAD) 차륜파손 차축파손 심각도 평가지표 인명 사상 여객  직원  공중  사망/부상  (열차운행km당) 피해 비용 인명피해 보상비 차량/시설 대체/복구비 운송지연-영업손실 사고수습-투입손실 보험보상비 피해비용/ 시간 손실 직원 작업시간 시간손실/ (기준작업시간당) 기타 특별지표 기술 안전 /실행 자동열차방호운영 (ATP) 궤도운영비율(%) 열차운행km(%) 건널목  갯수/(선로연장당) 자동/수동방호비율 관리 지표 감사시행 년간 시행건수 계획대비 시행율

III. 위험도 관리 – 안전목표, 안전지표 기본원칙 : 시스템의 변경 위험도는 기존 시스템의 위험도 보다 높지 않아야 한다. 기본원칙 : 시스템의 변경 위험도는 기존 시스템의 위험도 보다 높지 않아야 한다. • 안전지표(CSI) - 위험수준 파악 : 상대적인 안전성능의 측정, 감시       안전지표 안전목표(EF/년) 열차충돌+ 장애물충돌 열차 탈선 건널목사고 열차화재 (기타- 위험물) 사상사고 (교통/안전) *특별지표 (위험사건) 여 객 CST1 직 원 CST2 공중(건널목) CST3? (사건희박) CST3   / / 공중(인접/불법) CST4? CST4 [ 안전지표별 비교기준 적용 ] 종합안전목표(EF/년) : 열차운행 km로서 공통지표화 CST에 대한 “비교기준 단위” • 시간 : 년간, 년간 작업/활동 시간 • 인구 : 인구, 노출되는 사람수 • 시스템 구성 요소 : 개소, 길이연장 • 활동 : 이동(거리)당, 여객km당, 열차km당, 톤-km당 열차사고 : “열차 운행 km” 여객사상 : “여객 km”나 “여객 시간” - 작업사상 : “작업시간”, 또는 “작업인원” - 건널목사고 : “건널목 개소”, “열차운행빈도”, “선로연장 km” 공중사상 : “선로연장 km” 또는 “거주인구” 위험물 사고 : “위험물 ton-km”로서 지표화

III. 위험도 관리 – 위험도 허용수준 정성적 위험도 평가지표 적용방안 등급 설명 A  높은 위험도 - 최고 순위로서 APARP 수준으로 위험도를 경감하기 위한 위험도 제어 수단을 실행해야 함 B  중간 위험도 - 적당한 시점에 APARP 수준으로 위험도를 경감하기 위한 비용-효율적인 위험도 제어 수단을 실행해야 함 C  낮은 위험도 - 낮은 순위로서 APARP 수준으로 위험도를 경감하기 위한 비용-효율적인 위험도 제어 수단을 실행해야 함 D  무시가능 위험도 - 허용 가능한 위험도로서 고려됨. 보통 추가적인 위험도 제어 조치를 요구하지 않음. 최저 순위로서 위험도를 더욱 경감할 수 있는 비용-효율적인 위험도 제어 수단을 실행할 수 있음 E  위험 제거됨 - 위험원이 제거되었거나 더 이상 존재하지 않음. 프로젝트 기반의 위험목록에서, 이것은 프로젝트 범위내에 위험원이 존재하지 않음을 의미한다. R  서비스 관련 - 직접적인 안전 위험도 없음. 안전조치는 필요치 않음

III. 위험도 관리 – 위험도 허용수준 Matrix 구성 위험도 심 각 도 빈 도 1 2 3 4 5 5 10 15 20 25   심   각   도 빈   도 1 2 3 4 5 5  10 15 20 25 4  8 12 16 3  6 9 2  1    심   각   도 빈   도 1 2 3 4 5 6 7 8 9 10 위험도 Matrix 구성   심   각   도 (등가사망/사건) 빈   도 1 2 3 4 5 1 건/ 건수/년 0.005 0.025 0.125 0.625 3.125 12  일 31.25 1.6E-01 7.8E-01 3.9E+00 2.0E+01 9.8E+01 2 개월 6.25 3.1E-02  9 개월 1.25 6.3E-03  3.1E-02 4  년 0.25 1.3E-03 6.3E-03 20 년 0.05 2.5E-04 * 등가사망(EF) 환산 중상 10명 =사망 1인 (1/10=0.1) 경상 200명=사망 1인 (1/200=0.005)

III. 위험도 관리 – 위험도 허용수준 ALARP 원칙 (As Low As Reasonably Practicable) - 허용 위험도 수준 관리 원칙 선택한 안전대책이 합리적, 실질적으로 위험도를 낮출 수 있음을 입증 ① ALARP 상한 영역 : 이를 수용할 수 없고, 반드시 필요한 허용 경감대책을 수립 ② 허용 가능 영역 : 만일 위험도 경감 비용이 너무 비싼 것으로 입증되면 이를 중지할 수도 있으며, 안전대책의 투자비용과 위험손실비용사이의 적정한 합치점을 도출 ③ ALARP 하한 영역 : 더 이상 위험도 감소 대책은 필요 없지만, 위험도가 해당 영역에 계속 남아있음을 확인하는 감시 필요   -> 결국 ALARP 원칙은 허용 위험도의 상한과 하한 영역사이의 중간영역에서 효과적으로 작용한다. [영국 철도의 위험도 허용기준] 노출집단 허용 상한 (년간 사망확률) 국가 안전목표 허용 여객 위험도 (정기통근자) 1×10-4 (년간 1/10,000) 133백만 여객수송당 1 즉, 3.75×10-6 (년간 500회 이동 기준) 1×10-6 (년간 1/1,000,000) 직원 위험도 (특정 집단) 1×10-3 (년간 1/1,000) 5×10-5 (년간 1/20,000) 공중 위험도 (철도 인근) (평균 인구 기준) 허용불가 허용가능

III. 위험도 관리 – 위험도 허용수준 * 2006 년 영국 위험도 허용 기준

R_m(4-15세) = 2×10-4 [사망자/(대상자* 년)] III. 위험도 관리 – 위험도 허용수준 TIRF (Tolerable Individual Risk of Fatality) = 열차 여행 중 허용가능 개인 사망 위험도 독일 DB-AG 1986-1996년 사고통계 - F (평균 사망자수) : 4명/년 - A (평균 열차속도) : 63 km/h - P (평균 성능)      : 62×10E9 여객인km  R_DB = F [사망자/년 ] × A [열차속도 km/h] × 1/P [1/여객인키로]  R_DB = 4 [사망자/년 ] × 63 [km/h] × 1/(62×109) [1/여객인키로]   = 4.1×10-9 [사망자/(여객* hour)] 일반철도 : 3×10-9 사망자/(여객*시간) SNCF- RFF연구 ‘고속철도 운행에 대한 TIRF ‘ 고속철도 : 1×10-9 사망자/(여객*시간) MEM (Minimum endogenous mortality) : 최소 내부원인 사망(자연사) => 20가지 기술적 시스템에 동시에 노출되는 인간의 사망위험도는 자연사에 의한 사망위험도의 5%이내인 경우 사회적으로 허용  R_m(4-15세) = 2×10-4 [사망자/(대상자* 년)] R_rail = 5%  R_m = 5% * 2×10-4 [사망자/(대상자* 년)] = 1×10-5[사망자/(대상자* 년)] = 1.14×10-9[사망자/(대상자* hour)]

MEM (Minimum endogenous mortality) III. 위험도 관리 – 위험도 허용수준 사회적 위험도 - FN Curve 영국 HSE R2P2 (Risk Reduction & People Protection) : 단일 중대위험 산업현장에서 50명 이상의 사망자를 초래하는 사고발생빈도는 년간 1/5,000보다 크지 않아야 한다. MEM (Minimum endogenous mortality)

III. 위험도 관리 – 위험도 경감 1. 위험도 경감 전략 ① 시스템 결함의 잠재적 원인 제거   - 시스템 요소내의 안전관련 결함을 인식하고 이를 최소화하는 설계접근법의 채택 ② 시스템 결함 및 위험요인의 가능한 피해심각도 경감   - 결함 또는 위험요인의 피해심각도에 대한 방어적이고 협력적인 안전대책의 마련 (발생빈도) 위험요인 식별 (사고심각도)   가능한 1차 원인 및 단독원인 정의 가능한 영향 및 최종 결과심각도 판단 종합안전 예방대책 판단 종합안전 억제대책 판단 1차 원인 및 단독원인의 발생빈도 산정 영향 및 최종 결과심각도 확률의 산정 위험도의 정의 위험도 계산

III. 위험도 관리 – 위험도 경감 2. 결함대응 전략 ① 결함 회피(Avoidance) : 개발 및 유지보수 과정의 결함 도입을 최소화   - 인적 요소 : 시스템 정의 및 평가 시에 사용자를 포함시킨 선정과 훈련 기법   - 절차 요소 : 기존에 확립된 절차를 기반으로 한 신규 절차의 개발   - 장비 요소 : 포괄적이고 정형화된 사양 및 설계 기법, 구성품 선정, 예방 유지관리 ② 결함 제거(Elimination) : 결함 검출, 국지화 및 제거를 최대화     - 인적 요소 : 개인의 자격조건   - 절차 요소 : 신규 절차의 시험 적용    - 장비 요소 : H/W 및 S/W 시험 ③ 결함 허용(Tolerance) :   결함/오류가 발생하더라도 요구 기능의 지속적 수행능력     - H/W 이중화 : 하드웨어 요소의 물리적 복제(통신 이중화)   - S/W 이중화 : 일치성 점검   - 정보 이중화 : 합계 점검(checksum)   - 시간 이중화 : 오류 검출의 가능성 및 결함이 발생된 운영의 재시도 ④ 결함 검출(Evasion) :  고장에 이를 수 있는 이상 상황의 지시를 검출하는 능력    - 사람 및 절차 요소 : 안전 검사, 조사 및 감사 등에 의해 촉진    - 장치 요소(H/W) : 고장 이전에 결함 감시/검출 수단 제공

III. 위험도 관리 – 안전입증 위험도 기반의 의사결정 안전입증 : 철도시스템의 건설, 운영 및 유지관리 기관은 1. 지식기반의 의사결정 : 위험이 명확히 이해되고 발생빈도가 충분하며, 피해심각도가 크지 않은 경우에는 안전기술에 기초를 둔 객관적인 의사결정이 가능하다. 2. 가치기반의 의사결정 : 새로운 위험이거나 발생 가능성이 낮으며, 대중적인 관심사나 피해심각도가 매우 큰 경우에는 안전가치에 기초를 둔 주관적인 의사결정을 해야 한다.    -> 시스템의 고도화나 복잡성의 증가는 가치기반의 의사결정을 요구 이 과정에서 지식기반 의사결정은 자문과정의 보충 자료를 제공하는 역할로서 입지 축소  안전입증 : 철도시스템의 건설, 운영 및 유지관리 기관은 그 활동 및 책임과 관련된 위험도가 허용가능 수준으로 관리되고 있음을 입증해야 한다. 이때 모든 안전 요구사항을 충족하고 있다는 증거를 포함하여 객관적인 증거로서 그 논거를 뒷받침해야 한다. 안전에 대한 논거 및 증거는 종합안전대책기술서로 기록한다

IV. 정 리 철도시스템 전문가 판단 독립안전성평가자 안전권한당국 위험요인 판별 사건유형 추출 운영조건 및 기술특성 검토 위험의 분석 위험(Hazard)분석 예비위험분석(PHA) 위험목록 작성관리 사고진전기구 전개 위험추적 및 안전요건 도출 위험도(Risk) 평가 -발생빈도, 심각도 위험도 평가 철도사고/장애분류 표준코드체계 제시 위험요인-안전요건 검증체계(RVM)구축 위험도 관리기준 수립 -안전목표, 관리지표 위험도 경감 안전대책 검증 -현장 적용성 검증 -비용-효과 분석 안전계획 승인/시행 - 예방대책 : 위험제거 - 대응대책 : 피해경감 독립안전성평가자 안전권한당국 위험예측 시뮬레이션 위험도 기반의 의사결정 지원 안전인증 프로그램 안전성 검증 안전성 인증

감사합니다.