*이전에 PHA와 SHA의 차이에 대해 질문을 주신 독자분들이 있어, 이번 글에서는 두 개념을 비교하고 명확하게 정리해보고자 합니다.
https://brunch.co.kr/@dannyhyun/50
https://brunch.co.kr/@dannyhyun/103
시스템 안전 분석에서 Preliminary Hazard Analysis (PHA)와 System Hazard Analysis (SHA)는 동일한 위험을 다루지만, 수행되는 시점과 목적, 그리고 접근 방식에서 본질적인 차이를 가진다. PHA는 시스템 설계 초기 단계, 즉 개념 설계나 요구사항 정의 단계에서 수행되며, 아직 구체적인 구현이 이루어지지 않은 상태에서 가능한 위험을 식별하고 “이 시스템은 어느 수준까지 안전해야 하는가”라는 기준, 즉 안전 목표(THR)를 설정하는 역할을 한다. 반면 SHA는 설계가 상당 부분 완료된 이후, 상세 설계 또는 통합 단계에서 수행되며, 실제 구성 요소와 아키텍처를 기반으로 위험 발생률(HR)을 계산하여 설계가 PHA에서 설정한 안전 목표를 실제로 만족하는지 검증하는 과정이다.
이처럼 두 분석은 프로젝트 내에서 순차적으로 이어지며, PHA가 기준을 정의하고 SHA가 그 기준을 입증하는 구조를 형성한다. 그러나 이러한 구조적 차이에도 불구하고, 특히 Risk Reduction Factor (RRF)의 적용 방식은 자주 혼동되는 부분이다. 동일한 개념을 사용하면서도 PHA와 SHA에서 정반대의 방식으로 적용되기 때문에, 이를 명확히 이해하지 못하면 안전 목표 설정과 설계 검증 전체가 왜곡될 수 있다. 이번 글에서는 이러한 흐름을 바탕으로, PHA와 SHA의 차이와 함께 RRF가 어떻게 다르게 적용되는지를 중심으로 그 의미를 보다 명확하게 정리해보고자 한다.
Note.
RRF(Risk Reduction Factor, 위험 감소 계수)는 특정 안전 조치가 적용되었을 때 위험이 얼마나 감소하는지를 정량적으로 나타내는 값이다. 이는 단순한 확률이 아니라, 위험을 몇 배 줄일 수 있는지를 표현하는 계수로 이해하는 것이 중요하다. 예를 들어 RRF가 0.1이라면 해당 안전 장치나 절차를 통해 위험이 10분의 1로 감소한다는 의미이며, 0.01이라면 100분의 1 수준까지 줄어든다는 것을 의미한다. 이러한 RRF는 운영 절차(작업자 확인, 승인 과정), 설계적 안전 장치(인터록, 자동 차단 시스템), 보호 시스템(경고 및 충돌 방지 로직) 등 다양한 형태로 존재하며, 시스템에 적용되는 모든 위험 저감 수단을 수치화한 개념이라고 볼 수 있다. 따라서 RRF는 안전 목표를 설정하고 이를 검증하는 과정에서 핵심적인 역할을 하며, 상황에 따라 PHA에서는 요구사항을 설정하기 위한 기준으로, SHA에서는 실제 안전성을 입증하기 위한 요소로 활용된다.
PHA는 설계 초기 단계에서 수행되는 분석으로, 시스템이 도달해야 할 안전 목표를 정의하는 역할을 한다. 이 단계에서는 아직 구체적인 설계가 완성되지 않았기 때문에, 실제 구현이 아닌 가정과 요구사항 기반의 분석이 이루어진다.
PHA의 핵심은 Tolerable Hazard Rate (THR)를 설정하는 것이다. 이를 위해 다음과 같은 요소들이 고려된다.
최악의 사고 시나리오에서의 심각도 (Worst-case severity)
허용 가능한 위험 수준 (Risk matrix 기반)
규제 및 사회적 요구사항
이 과정을 통해 초기 THR이 도출된다. 예를 들어, 두 열차가 동일한 플랫폼으로 진입하는 신호 충돌과 같은 위험이 있다고 가정하면, 초기 요구 THR은 매우 낮은 값(예: 10⁻⁹/h)으로 설정될 수 있다.
여기서 중요한 점은, PHA는 단순히 위험을 평가하는 것이 아니라 “어디까지 안전해야 하는가”를 정의하는 과정이라는 것이다.
이후 RRF가 적용된다. 운영 절차(운전자 확인)나 설계적 보호장치(충돌 방지 로직 등)와 같은 안전 수단이 고려되면, 요구사항은 다음과 같이 조정된다.
Modified THR = Initial THR ÷ RRF
즉, RRF가 적용되면 요구되는 안전 수준은 완화된다. 이는 “우리가 이러한 보호 수단을 설계에 포함할 것이므로, 시스템 자체의 요구 수준을 이만큼 낮춰도 된다”는 의미다.
결과적으로 PHA는 설계가 달성해야 할 목표치를 설정하는 단계이다.
Note.
THR(Tolerable Hazard Rate, 허용 가능 위험 발생률)는 특정 위험이 얼마나 자주 발생해도 사회적·기술적으로 받아들일 수 있는지를 나타내는 기준 값이다. 즉, 어떤 시스템이나 기능이 충분히 안전하다고 판단되기 위해 허용되는 위험 발생 빈도의 상한선이라고 볼 수 있다. 이 값은 단순히 계산으로만 정해지는 것이 아니라, 사고의 심각도, 위험 매트릭스에서 정의된 허용 수준, 그리고 규제 및 사회적 요구사항 등을 종합적으로 고려하여 설정된다. 예를 들어 치명적인 사고로 이어질 수 있는 위험의 경우 THR은 매우 낮은 값(예: 10⁻⁹ per hour)으로 설정되며, 이는 사실상 극도로 드물게만 발생해야 함을 의미한다. 따라서 THR은 시스템 설계 초기 단계에서 “이 정도 수준까지는 반드시 안전해야 한다”는 목표를 정의하는 핵심 기준으로 사용되며, 이후 설계와 검증 과정에서 모든 안전 활동의 기준점 역할을 한다.
반면 SHA는 설계가 완료된 이후 수행되는 분석으로, 설계가 실제로 안전 목표를 만족하는지를 입증하는 과정이다.
이 단계에서는 더 이상 가정이 아니라, 실제 시스템 구성 요소와 서브시스템이 명확히 정의되어 있다. 따라서 분석은 다음과 같이 진행된다.
각 구성 요소의 고장률을 기반으로 실제 Hazard Rate (HR) 계산
시스템 수준에서의 위험 발생 확률 도출
예를 들어, PHA에서 설정된 설계 목표가 10⁻⁸/h라면, SHA에서는 실제 설계가 이 수준을 만족하는지 계산을 통해 확인한다.
이후 동일한 RRF를 적용하지만, 적용 방식은 완전히 다르다.
Modified HR = Initial HR × RRF
즉, PHA에서는 나누었던 RRF를 SHA에서는 곱하게 된다. 그 결과 최종 HR이 초기 PHA에서 요구한 THR(예: 10⁻⁹/h)을 만족하는지 확인하게 된다.
따라서 SHA의 본질은 “설계가 목표를 만족한다”는 것을 정량적으로 증명하는 것이다.
Note.
HR(Hazard Rate, 위험 발생률)는 특정 위험이 실제로 얼마나 자주 발생하는지를 나타내는 값으로, 시스템의 현재 설계가 만들어내는 실제 위험 수준을 의미한다. 이는 이론적인 목표가 아니라, 구성 요소의 고장률, 시스템 구조, 상호작용 등을 기반으로 계산된 현실적인 수치라는 점이 중요하다. 예를 들어 각 부품의 고장 확률과 시스템 내에서의 결합 방식을 분석하여 특정 사고가 발생할 확률을 시간당 값(per hour)으로 표현하게 된다. 따라서 HR은 설계가 완료된 이후 해당 시스템이 얼마나 안전한지를 정량적으로 평가하는 데 사용되며, 보통 PHA에서 설정된 THR과 비교하여 설계가 요구된 안전 수준을 만족하는지를 확인하는 기준으로 활용된다.
PHA와 SHA의 가장 중요한 차이는 관점(Perspective)에 있다.
PHA는 미래를 바라본다. 아직 존재하지 않는 시스템을 대상으로, “이 시스템은 어느 수준까지 안전해야 하는가?”라는 질문을 던진다. 이는 설계 이전 단계에서 이루어지는 목표 설정 중심의 사고다.
반면 SHA는 현재를 바라본다. 이미 설계된 시스템을 기준으로, “이 시스템은 실제로 안전한가?”를 검증한다. 이는 구현 이후의 검증 중심 사고다.
이 차이는 단순한 단계 구분이 아니라,
PHA: 요구사항을 정의하는 규범적 접근
SHA: 요구사항 충족 여부를 확인하는 증명적 접근 이라는 본질적인 차이를 만든다.
RRF 적용 방식에서 두 분석의 차이는 극명하게 드러난다.
PHA: THR ÷ RRF → 요구사항을 완화
SHA: HR × RRF → 실제 결과를 보수적으로 평가
같은 RRF를 사용하지만,
PHA에서는 “이만큼 보호할 것이므로 요구를 낮춘다”
SHA에서는 “이 보호가 실제로 작동한다고 가정하여 최종 위험을 줄인다”
즉, 동일한 수치가 정반대의 방향으로 작용한다.
이 차이를 이해하지 못하면 THR과 HR을 동일하게 취급하는 오류가 발생하며, 이는 전체 안전 논리를 무너뜨릴 수 있다.
이 문제가 자주 발생하는 이유는 PHA와 SHA가 표면적으로 매우 유사해 보이기 때문이다. 두 분석 모두 위험을 정량적으로 다루고, 동일한 RRF 개념을 사용한다.
하지만 실제로는 다음과 같은 오해가 발생한다.
THR과 HR의 개념 혼동
RRF 적용 방향의 오류
설계 목표와 검증 결과의 역할 혼동
이러한 오해는 단순한 계산 실수가 아니라, 시스템 안전 전체에 영향을 미친다.
잘못된 안전 목표 설정
설계 검증 실패
안전 보증 체계의 신뢰성 저하
결국 이는 “안전하다고 믿었지만 실제로는 그렇지 않은 시스템”을 만들어낼 수 있다.
PHA와 SHA는 동일한 위험을 다루지만, 서로 다른 질문에 답한다.
PHA는 “얼마나 안전해야 하는가”를 정의하고,
SHA는 “실제로 그만큼 안전한가”를 증명한다.
결국 PHA와 SHA의 차이는 단순한 분석 기법의 구분을 넘어, 우리가 ‘안전’을 어떻게 이해하고 다루는가에 대한 관점의 차이를 드러낸다. 특히 RRF의 적용 방식은 이 두 분석의 본질을 가장 선명하게 보여준다. 동일한 값을 사용하면서도, PHA에서는 그것이 요구를 완화하는 근거가 되고, SHA에서는 결과를 더욱 엄격하게 검증하는 기준이 된다. 같은 수치가 전혀 다른 방향으로 작용한다는 사실은, 안전이 단순한 계산의 문제가 아니라 해석과 맥락의 문제임을 보여준다.
이 미묘한 차이를 이해하는 것은 단순히 방법론을 구분하는 수준에 머무르지 않는다. 그것은 우리가 어떤 기준으로 안전을 정의하고, 그 정의를 어떻게 현실 속에서 증명할 것인가에 대한 근본적인 질문과 연결된다. 만약 이 차이를 놓친다면, 우리는 숫자를 맞추고 있다고 생각하면서도 실제로는 잘못된 기준 위에서 안전을 주장하고 있을지도 모른다.
결국 좋은 안전 분석이란 위험을 많이 나열하거나 복잡한 계산을 수행하는 데 있지 않다. 오히려 그것은, 하나의 시스템이 어떤 가정 위에서 안전하다고 말해지고 있는지, 그 논리가 어디에서 시작되어 어디까지 이어지는지를 투명하게 드러내는 과정이다. 안전은 결과가 아니라 구조이며, 계산이 아니라 사고의 방식에 가깝다. 그리고 PHA와 SHA는 그 구조와 사고가 어떻게 이어지고 완성되는지를 보여주는 두 개의 축이라고 할 수 있다.