3월이 시작되면 세상에서 가장 빠른 시합, 어쩌면 가장 많은 비용이 투입되는 경기인 Formula 1이 멜버른에서 막을 올린다. 일반 도로에서는 결코 마주칠 수 없는 형태의 차량이지만, 그 낮고 넓은 차체와 노출된 타이어, 공기를 가르는 날개 구조만으로도 우리는 단번에 그것이 F1 머신임을 알아본다. 시속 300km를 넘나드는 속도, 수십억 원의 개발비, 0.001초를 다투는 경쟁. 겉으로 보면 이것은 순수한 속도의 축제처럼 보인다. 그러나 동시에 F1은 언제나 사고가 크게 보이는 경기이기도 하다. 고속으로 코너를 돌다 벽에 충돌하고, 차량끼리 맞물리며 공중으로 솟구치는 장면은 찰나의 스포츠가 순식간에 생명과 직결된 사건으로 변할 수 있음을 보여준다.
이 때문에 F1은 다른 어떤 스포츠보다도 많은 규제와 규정을 갖는다. 사용 가능한 타이어 수는 엄격히 제한되고, 차체 높이와 폭은 세밀하게 정의되며, 새로운 기술이 도입되면 수많은 검증 절차를 거쳐 승인되거나 금지된다. 우리는 이런 촘촘한 규제 체계를 보며 자연스럽게 생각한다. 규칙이 많아질수록 설계는 수렴하고, 설계가 수렴할수록 안전성은 높아질 것이라고. 하지만 정말 그럴까? 규정이 많다는 사실 자체가 곧 안전을 보장하는가? 아니면 그것은 단지 위험을 통제하고 있다는 믿음일 뿐인가?
시스템 안전 엔지니어의 시선에서 F1은 극한의 기술 경쟁이 아니라, 극한의 의사결정이 반복되는 공간이다. 인간과 기계가 하나의 시스템으로 작동하는 이 환경은 본질적으로 위험을 내포한다. 중요한 것은 위험이 존재하느냐의 문제가 아니다. 중요한 것은 그 위험을 어떻게 정의하고, 어떻게 줄이며, 어디에서 멈출 것인가다. 완전한 안전은 존재하지 않는다. 속도를 추구하는 한 위험은 사라지지 않는다. 그렇다면 남는 질문은 단 하나다. 우리는 언제 “충분히 안전하다”고 말할 수 있는가? 우리는 어디까지 위험을 줄여야 하는가?
이 질문에 답하기 위해 등장한 개념이 바로 ALARP다. ALARP는 단순한 규정이 아니라, 위험을 끝까지 낮추되 현실의 제약 속에서 정당화 가능한 지점까지 가라는 원칙이다. F1의 수많은 규정과 설계 변화, 그리고 논쟁적인 안전장치들은 결국 이 질문에 대한 서로 다른 시대의 답변들이다. 속도를 포기하지 않으면서도 생명을 지키려는 노력, 그리고 그 사이에서 내려지는 판단. F1은 속도의 스포츠이기 전에, 위험을 어디까지 감수할 것인가를 끊임없이 묻는 거대한 실험장이다.
ALARP(As Low As Reasonably Practicable)는 위험을 “합리적으로 실행 가능한 범위 내에서 가능한 한 낮게” 줄이라는 원칙이다. 여기에는 두 개의 긴장 관계가 존재한다. 하나는 As Low, 즉 위험을 끝까지 낮추라는 요구이고, 다른 하나는 Reasonably Practicable, 즉 현실의 기술적·경제적 한계를 인정하라는 경계선이다. 다시 말해 ALARP는 이상과 현실 사이에서 균형을 찾는 판단 기준이다. 모든 위험을 0으로 만드는 것은 대부분의 공학 시스템에서 불가능하다. 그렇다면 우리는 이렇게 묻게 된다. 추가적인 안전 조치를 도입하는 데 드는 비용, 기술적 부담, 운영 복잡성, 성능 손실이 그로 인해 줄어드는 위험에 비해 ‘현저히 과도한가’? 만약 그렇지 않다면 우리는 그 조치를 해야 한다. 시스템 안전에서 위험은 보통 발생 가능성(Likelihood), 결과의 심각도(Severity), 그리고 현재의 통제 수단(Controls)으로 구성된다. ALARP는 이 세 요소를 함께 놓고 “더 줄일 수 있는가?”를 끝까지 묻는 태도이며, 더 줄일 수 있었음에도 줄이지 않았다면 그 이유를 설명할 수 있어야 한다는 윤리적 책임을 포함한다.
예를 들어 자동차를 생각해보자. 교통사고의 위험을 완전히 없애기 위해 모든 차량의 최고 속도를 시속 20km로 제한한다면 사망 사고는 크게 줄어들 것이다. 그러나 이는 사회적 효율성과 이동성을 심각하게 저해한다. 반대로 아무런 제한도 두지 않는다면 사고의 심각도는 급격히 높아진다. 그래서 우리는 안전벨트, 에어백, 충돌 테스트, 속도 제한, 도로 설계 개선과 같은 조치를 단계적으로 도입한다. 각각의 조치는 비용이 들지만 생명 보호라는 이익이 더 크기 때문에 정당화된다. 그러나 만약 사고 확률을 0.000001% 더 낮추기 위해 차량 한 대당 수억 원의 비용이 추가된다면, 그 조치는 ‘현저히 과도하다’고 판단될 수 있다. 바로 이 지점에서 ALARP 판단이 이루어진다. 위험을 끝까지 낮추되, 그 대가가 비합리적으로 커지기 전까지 행동하는 것이 ALARP의 본질이다.
F1에서 발생하는 사고는 단순히 “충돌”이라는 한 단어로 설명하기 어렵다. 속도, 차량 구조, 트랙 환경이 복합적으로 얽혀 있으며, 사고의 형태에 따라 위험의 성격과 결과가 전혀 달라진다. 특히 오랜 기간 유지되어 온 오픈 콕핏 구조는 드라이버의 머리를 외부 환경에 직접 노출시켰고, 이는 특정 유형의 사고에서 구조적 취약점으로 작용했다. 이 지점을 이해해야 Halo가 왜 등장했는지, 그리고 그것이 왜 ALARP 판단이었는지를 자연스럽게 연결할 수 있다.
고속 단독 충돌 (High-Speed Impact)
가장 전형적인 사고 유형은 고속에서의 단독 충돌이다. 브레이크 고장, 서스펜션 파손, 공기역학적 불안정 등으로 인해 차량이 벽이나 배리어에 직선적으로 충돌하는 경우다. 이때의 위험은 극단적인 감속(G-force)에 따른 내부 장기 손상, 두부·경추 손상, 다발성 골절 등이다.
1994년 이몰라 서킷에서 발생한 Ayrton Senna의 사고는 이러한 고속 충돌의 대표적 사례다. 스티어링 계통 문제로 추정되는 원인으로 차량이 직선으로 콘크리트 벽에 충돌했고, 파편이 헬멧을 관통하며 치명상을 입었다. 이 사고는 단순한 기계 결함을 넘어, 고속 충돌 시 드라이버 보호 구조가 충분했는지에 대한 근본적인 질문을 던졌다.
결과:
치명적 두부 손상
경추 골절
즉각적 사망 가능성
차량 간 접촉 및 공중 충돌 (Car-to-Car Contact & Launch)
F1은 오픈 휠(open-wheel) 구조다. 타이어가 차체 밖으로 노출되어 있기 때문에, 두 차량의 타이어가 맞물리면 한 차량이 공중으로 떠오르는 현상이 발생할 수 있다. 이런 상황에서는 다른 차량의 타이어나 차체 하부가 드라이버의 머리 위로 직접 넘어가게 된다
2018년 벨기에 그랑프리에서 발생한 사고에서 한 차량이 다른 차량 위로 올라타며 Halo 위를 스쳐 지나갔다. 이 장면은 Halo가 없었다면 드라이버의 헬멧에 직접적인 충격이 가해졌을 가능성을 보여준다.
결과:
두부 직접 충격
경추 손상
압궤(crushing) 위험
비산 파편 충격 (Flying Debris Impact)
고속에서 충돌이 발생하면 서스펜션 암, 휠, 스프링, 카본 파편 등이 분리되어 날아간다. 이 파편은 총알에 가까운 속도로 이동하며, 드라이버의 헬멧을 직접 타격할 수 있다
1994년 Roland Ratzenberger의 사고는 전방 윙 손상 이후 발생한 고속 충돌이었다. 비록 직접적인 두부 파편 충돌 사례는 아니었지만, 같은 주말 발생한 두 건의 사망 사고는 콕핏 보호 문제를 재조명하는 계기가 되었다. 이후에도 스프링이나 타이어 잔해가 헬멧을 강타한 사례들이 반복되었다.
결과:
두개골 골절
뇌 손상
즉각적 의식 상실
이 유형은 발생 빈도는 낮지만, 결과의 심각도는 극단적으로 높다.
전복 및 압궤 사고 (Rollover & Crushing)
차량이 뒤집히거나 가드레일, 배리어 구조물과 충돌하면서 콕핏 상부에 직접 하중이 가해지는 사고도 존재한다. 오픈 콕핏 구조에서는 롤바가 유일한 상부 보호 구조였다. 그러나 롤바는 점(point) 하중에는 강하지만, 비정형 충격이나 비스듬한 침입에는 취약할 수 있다.
2020년 바레인 GP에서 Romain Grosjean의 차량은 가드레일을 뚫고 들어갔고, 상부 구조가 강하게 압박되었다. Halo는 충격을 분산시키며 생존 공간을 유지하는 역할을 했다.
결과:
상부 압궤
화재 동반 가능성
생존 공간 침해
이 모든 사고 유형을 하나로 묶는 공통점은 ‘두부 노출’이라는 구조적 조건이다. F1의 전통이자 상징이었던 오픈 콕핏은 동시에 치명적 취약점이었다. 발생 빈도는 높지 않았다. 매 레이스마다 두부 파편 사고가 일어나는 것은 아니다. 그러나 한 번 발생하면 결과는 치명적이다.
2018년, Formula 1은 새로운 안전장치를 의무화했다. 이름은 Halo. 티타늄으로 제작된 이 구조물은 드라이버의 머리 위를 아치형으로 감싸며 전면에서 중앙 기둥으로 연결되는 형태를 가진다. 단순해 보이지만, 이 장치는 약 12톤에 가까운 하중을 견딜 수 있도록 설계되었고, 고속으로 날아오는 타이어나 서스펜션 파편이 직접적으로 헬멧을 가격하는 것을 막는 역할을 한다. 기능은 명확하다. 두부에 가해질 수 있는 직접 충격을 물리적으로 차단하거나 분산시키는 것이다.
Halo의 역사는 하루아침에 시작된 것이 아니다. 1994년 이몰라에서 발생한 Ayrton Senna와 Roland Ratzenberger의 사망 사고 이후, F1은 차량 강성 강화, 충돌 구조 개선, HANS 장치 도입 등 다양한 안전 혁신을 이어왔다. 그러나 오픈 콕핏 구조 자체는 오랫동안 유지되었다. 드라이버의 머리는 여전히 외부에 노출되어 있었고, 고속 파편이나 다른 차량의 타이어가 직접 타격할 수 있는 가능성은 사라지지 않았다. 2009년 헬멧에 스프링이 직격한 사고, 2014년 다른 시리즈에서 발생한 두부 충격 사망 사고 등은 “머리 보호”라는 과제가 여전히 남아 있음을 보여주었다. FIA는 캐노피, 윈드스크린 등 여러 대안을 시험했고, 그중 구조적 단순성과 강성, 탈출 용이성 측면에서 가장 현실적인 해법이 Halo였다.
도입 초기 반발은 거셌다. 시야를 방해할 수 있다는 우려, 차량 디자인을 훼손한다는 비판, 무게 증가와 공기역학적 손실에 대한 걱정이 이어졌다. F1은 전통과 미학을 중시하는 스포츠이기에 “열린 콕핏”은 정체성처럼 여겨져 왔다. 그러나 시스템 안전 엔지니어의 관점은 다르다. 질문은 감성이 아니라 구조다. Halo가 줄여주는 치명적 두부 손상 위험이, 그로 인해 발생하는 성능 저하와 비용 증가보다 충분히 큰가? 기술적으로 구현 가능하고, 탈출 시간에 치명적 지연을 만들지 않으며, 차량 구조와 통합이 가능하다면 그것은 검토할 가치가 있다.
결국 Halo는 위험을 0으로 만드는 장치가 아니다. 대신 고심각도·저빈도 두부 충격 위험을 실질적으로 낮춘다. 그리고 그 대가로 치른 것은 몇 킬로그램의 무게 증가와 설계 조정, 그리고 미적 논쟁이었다. 이러한 교환이 합리적이라고 판단되는 지점, 즉 추가적인 안전 조치의 부담이 생명 보호라는 이익에 비해 현저히 과도하지 않다고 평가되는 지점에서 Halo는 정당화된다. 그렇기 때문에 Halo는 단순한 구조물이 아니라, 위험을 어디까지 감수할 것인가에 대한 철학적 선택이며, ALARP 판단이 물리적 형태로 구현된 사례라고 볼 수 있다.
Halo를 ALARP 틀 안에서 분석하면 그 판단 구조는 비교적 명확하게 드러난다. 첫 번째 단계는 위험 식별(Hazard Identification)이다. F1의 오픈 콕핏 구조에서 고속으로 비산하는 타이어, 서스펜션 암, 차체 파편이 드라이버의 두부를 직접 타격할 수 있다는 점은 명확한 Hazard로 정의된다. 이는 단순한 이론적 가능성이 아니라 과거 사고 사례를 통해 반복적으로 확인된 위험이다. 두 번째 단계는 위험 평가(Risk Assessment)다. 이러한 사고는 매 경기마다 발생하는 빈번한 사건은 아니다. 그러나 한 번 발생하면 결과는 치명적일 가능성이 매우 높다. 즉, 낮은 발생 가능성(Likelihood)과 매우 높은 심각도(Severity)를 가진 전형적인 고심각도·저빈도 위험으로 분류된다. ALARP 관점에서 이 범주의 위험은 “그냥 수용”하기 어려운 영역에 속한다.
세 번째 단계는 위험 저감 대안 검토다. 완전 캐노피는 가장 높은 보호 효과를 기대할 수 있었지만, 사고 시 탈출 지연과 시야 왜곡, 환기 문제 등 새로운 위험을 동반했다. 윈드스크린은 일정 수준의 보호 효과를 제공했지만, 광학 왜곡과 반사 문제를 완전히 해결하지 못했다. 반면 Halo는 비교적 단순한 티타늄 구조로 강한 하중을 견디며 두부 직접 충격을 효과적으로 분산시킬 수 있었고, 기술적으로도 기존 섀시 구조와 통합이 가능했다. 즉, 보호 효과와 구현 가능성 사이에서 현실적인 균형점을 제시했다.
마지막 단계는 비용 대비 효과 분석이다. Halo는 위험을 0으로 만들지 못한다. 그러나 치명적 두부 손상의 심각도를 현저히 낮춘다. 그 대가로 치른 것은 몇 킬로그램의 무게 증가, 약간의 공기역학적 손실, 그리고 디자인에 대한 논쟁이었다. 이 부담이 생명 보호라는 결과와 비교했을 때 ‘현저히 과도하다’고 보기는 어렵다. 추가된 비용과 성능 손실은 치명적 사망 가능성 감소라는 효과에 비해 합리적으로 수용 가능한 수준으로 평가될 수 있다.
따라서 우리는 다음과 같이 정리할 수 있다. 드라이버 두부 손상 위험은 합리적으로 실행 가능한 범위 내에서 가능한 한 낮은 수준까지 감소되었다. 더 큰 보호 효과를 위해 극단적 설계를 도입하는 것은 현실적 제약과 새로운 위험을 초래할 수 있었고, 반대로 아무 조치도 취하지 않는 것은 치명적 위험을 그대로 두는 선택이었다. 이 사이에서 Halo는 균형 잡힌 해결책으로 채택되었다. ALARP 판단이였다.
Note.분석
Hazard Identification (위험 식별)
위험원: 고속 파편, 타이어, 다른 차량과의 접촉
노출 대상: 드라이버의 머리
결과: 중상 또는 사망
Risk Assessment (위험 평가)
빈도는 낮지만 완전히 배제할 수 없음
사고 시 결과는 치명적
ALARP 영역에서 이것은 “허용 가능 영역”이 아닌 “추가 저감 검토 영역”에 해당한다.
Risk Reduction Options (저감 대안 검토)
대안1: 완전 캐노피 -> 위험 감소 효과: 매우 높음-> 기술적 부담: 시야 왜곡, 탈출 문제-> 현실성: 낮음
대안2: 윈드스크린 -> 위험 감소 효과: 중간-> 기술적 부담: 왜곡 및 반사 문제-> 현실성: 제한적
대안3: Halo -> 위험 감소 효과: 높음-> 기술적 부담: 무게 증가, 공력 변화-> 현실성: 높음
대안4: 현상유지 -> 위험 감소 효과: 없음-> 기술적 부담: 없음-> 현실성: 수용불
여기서 핵심 질문은 "Halo의 추가 비용과 성능 손실이 줄어드는 치명적 위험과 비교해 과도한가?"이다
Implementation & Evidence (적용과 검증)
Halo는 2018년 전면 도입. 이후 사고에서 효과 입증.
ALARP는 수학 공식이 아니다. 그것은 위험과 책임을 다루는 태도다. Formula 1은 여전히 위험한 스포츠다. 시속 300km를 넘는 속도와 인간의 한계를 시험하는 환경 속에서 위험이 완전히 사라질 수는 없다. 그러나 오늘날의 F1이 과거보다 훨씬 안전해진 이유는 위험을 외면했기 때문이 아니라, 오히려 끝까지 질문했기 때문이다. 더 줄일 수 있는가? 그 비용은 정당한가? 이 조치를 하지 않는다면 우리는 설명할 수 있는가? 이러한 질문을 반복하는 구조가 바로 ALARP다. 시스템 안전 엔지니어에게 ALARP는 사고를 예측하는 도구가 아니라, 의사결정을 정당화하는 틀이다.
그 판단이 현실에서 검증된 순간이 있었다. 2020년 바레인 그랑프리에서 발생한 Romain Grosjean의 사고는 이론이 실제가 되는 장면이었다. 차량은 가드레일을 뚫고 화염에 휩싸였지만, Halo는 상부 충격을 분산시키며 드라이버의 생존 공간을 유지했다. 안전 설계는 사고가 없으면 존재감이 드러나지 않는다. 그러나 사고가 발생했을 때 의도한 대로 작동한다면, 그때 비로소 과거의 선택이 평가된다. Halo는 위험을 제거하지는 못했지만, 치명적 결과의 가능성을 유의미하게 낮추었다는 점에서 ALARP 원칙이 실제 설계로 구현된 사례였다.
결국 안전이란 위험이 사라진 상태가 아니다. 그것은 위험을 어디까지 감수할 것인지에 대해 사회와 기술이 합의한 지점이다. 그리고 그 합의는 영원하지 않다. 기술이 발전하고 기대 수준이 변하면, 우리는 다시 묻게 된다. 더 줄일 수 있는가? 그 질문을 멈추지 않는 한, ALARP는 단순한 개념이 아니라 책임 있는 설계자의 자세로 남는다.