결과를 바꾸는 건 빈도다
Fatality는 남고, Frequency가 옮긴다
야간 회의실 테이블 위엔 커피 자국이 말라붙은 위험도 표가 펼쳐져 있었다. 나는 펜 끝으로 한 점을 찍었다. Catastrophic — Fatality 가능. 그리고 빈도: 4 - Probable 칸에 놓여 있었다. 빨간색 (Very High). 팀원들의 시선이 그 점에 걸렸다.
Risk Matrix“바꿔야죠.” 누군가 말했다.
“뭘요?” 나는 되물었다.
“Fatality요. 치명적 결과를 없애야지요.”
나는 고개를 저었다. “결과는 의외로 잘 안 바뀝니다. 그건 시스템이 가진 에너지와 구조에 달려 있어요. 고압, 고온, 고속, 고전압… 그 자체가 만든 최종 결과죠. 우리가 Control로 당장 바꾸기 어려운 쪽입니다. 오늘 우리가 확실히 바꿀 수 있는 건, 그 일이 일어나는 ‘빈도’ 예요.”
난 표의 축을 손가락으로 훑었다.
가로축: Severity(치명도) – 최악의 결과가 어디까지 가는가. 여기엔 ‘사망(Fatality)’이 들어 있다.
세로축: Frequency(발생빈도) – 그 일이 얼마나 자주 일어나는가.
“이 두 축이 만나서 색이 정해집니다. 빨강이면 Very High Risk. 근데 Control을 넣으면 보통 Severity(치명도)는 그대로고, Frequency(빈도)가 아래쪽으로 움직여요. 시작 점이 ‘아래쪽으로’ 미끄러지는 그림이 나옵니다. 우리는 오늘 그걸 만들면 됩니다.”
사건의 모양: Hazard–Top Event–Consequence
Hazard(잠재위험) → Top Event(상위사건) → Consequence(결과)
“연료 라인 미세 누출( Hazard )이 있고, 정전기 점화(원인)가 붙으면 화재라는 Top Event가 생깁니다. 밀폐 공간에서라면 Consequence(결과)는 Fatality까지 이어질 수 있어요.
우리가 Control로 할 수 있는 건 두 가지죠. 발화 자체가 생기지 않게 하거나, 생겨도 확대되지 않게 하는 것. 둘 다 빈도를 깎습니다. 결과의 ‘등급’—Fatality 가능성 자체는 남아 있어도, 그 토막이 우리에게 도달할 확률을 작게 만드는 겁니다.”
테이블 위의 숫자: 빈도를 실제로 어떻게 낮추나
나는 시작 점 옆에 작은 점을 하나 더 찍었다.
“지금 이 시나리오의 초기 빈도 f₀를 연 0.01회(100년에 한 번 일어나는 사고)라고 가정해 봅시다. (조직마다 등급 경계는 다르지만, 설명을 위한 예입니다.)
이제 독립적인 Control을 두 겹으로 얹습니다.”
1. 정전기 제어(접지/본딩) 시스템 — 실패확률(PFD)을 0.1(10년에 한 번 일어나는 사고)로 설계
2. 누출 감지–자동 차단 밸브 — 실패확률(PFD) 0.1 (10년에 한 번 일어나는 사고)
“서로 독립적이라면, 사건이 우리에게 도달할 효과 빈도 f는 이런 식으로 줄어듭니다.”
첫 번째 대책 적용: 0.01 × 0.1 = 0.001/년 (10^-3/년)
두 번째 대책 추가: 0.001 × 0.1 = 0.0001/년 (10^-4/년)
“같은 Fatality 줄에 있지만, 빈도 축에서 두 칸 아래쪽으로 이동했죠. 보통 조직의 매트릭스라면 Probable → Improbable로 떨어지고, 색도 빨강 → 노랑(혹은 초록 경계)으로 바뀝니다. 바로 이게 Control이 만든 안전의 모양이에요.”
빨간 점은 노란 칸 근처에서 멈췄다. 회의실 공기가 누그러졌다.
왜 치명도(Severity)는 그대로 남는가
“질문이요.” 정비팀장이 손을 들었다. “대책을 저렇게 두껍게 깔았는데, 왜 Fatality는 여전히 그 자리에 있는 거죠?”
나는 표의 세로축을 가볍게 두드렸다. “Severity는 보통 시스템의 에너지 스케일과 물리 한계가 정합니다. 고압 탱크는 여전히 고압이고, 항공기 비행 중 고도 에너지는 그대로입니다. Control은 그 에너지가 사람에게 닿는 확률을 줄일 뿐, 에너지의 등급 자체를 바꾸진 못해요.”
잠시 말을 멈추고, 마지막 문장을 덧붙였다.
“단, 본질안전 설계(Inherent Safety)—예컨대 에너지 자체를 낮추거나(압력·온도·속도 감소), 위험물질을 대체—는 예외적으로 Severity 줄을 바꿉니다. 하지만 지금 우리가 논의한 Control(보호계층, 절차, 감지–차단, 인터록 등)은 원칙적으로 Frequency를 당깁니다.”
Control을 고를 때의 세 가지 원칙
나는 세 줄의 체크리스트를 적어 팀원에게 보냈다.
독립성(Independence) — 같은 원인으로 동시에 무력화되지 않는가?
성능 수준(성능지표/PFD, RRF) — 목표 빈도까지 ‘아래쪽 이동’을 실제로 해낼 수 있는가?
증거와 유지관리 — 데이터/시험/점검으로 그 성능을 지속 증명할 수 있는가?
“종이에만 있는 Control은 점을 못 옮깁니다. 운영 증거가 있어야 합니다.”
Note: Control은 시스템 안전과 리스크 매니지먼트에서 쓰이는 용어로, 쉽게 말하면 위험을 줄이기 위해 우리가 설치하거나 적용하는 모든 장치·조치·시스템을 의미합니다.
Before/After: 표의 움직임을 눈으로 본다면
나는 매트릭스 오른쪽 위—Severity: Catastrophic, Frequency: Probable에 ●를 그렸다.
그 아래에 화살표 하나를 길게 빼며 말했다.
Before
● (Catastrophic, Probable) — Very High/Red
After (Control 적용)
● → ○ (Catastrophic, Improbable) — Medium/Yellow
“같은 줄, 아래쪽 이동.”
점 하나가 바뀌었을 뿐인데, 팀원들의 표정은 한 톤 밝아졌다. 위험이 사라진 것은 아니다. 닿기 어려워진 것이다. 때로, 그것이 실제 현장에서 가능한 최선이다.
현장에서 자주 생기는 오해와 간단한 판별법이 있다.
“대책 넣었으니 이제 치명도도 낮아졌죠?”
→ 대부분은 아니다. Severity는 에너지/구조가 바뀔 때만 낮아진다. Control은 보통 빈도를 낮춘다.
“대책을 3개나 겹쳤으니 아주 안전한 거죠?”
→ 독립성 확인 없이 겹치면 같이 무력화된다. 독립성, 유지관리, 시험이 핵심이다.
“우리 매트릭스 기준이랑 숫자가 좀 다른데요?”
→ 조직마다 빈도 등급 경계가 다르다. 중요한 건 ‘같은 줄의 아래쪽 이동’이라는 원리다.
에필로그: 위험도 표를 다룬다는 것
회의가 끝나갈 무렵, 나는 초기 표를 다시 바라봤다. Fatality 문구는 그 자리에 있었다. 그래도 이제 모두는 알았다. 시작 점을 지우는 일이 아니라, 아래쪽으로 천천히, 그러나 확실히 옮기는 일이 우리의 직업이라는 것을. 그리고 그 작은 이동이, 현장에선 사람의 생애 전체를 바꿀 만큼 큰 차이라는 것을.
덧붙임(실무 팁)
목표 정렬: 프로젝트 안전목표(예: “Catastrophic는 최소 Improbable 이하”)를 먼저 박는다.
숫자로 검증: 가능하면 정량(예: 10^-2 → 10^-4/년)으로 이동을 확인한다.
ALARP/SFARP: 남은 위험이 합리적으로 더 낮추기 어려운 수준인지, 근거를 남긴다.
운영 데이터 루프: 정기 점검/테스트 실패율을 모아 빈도 가정을 주기적으로 업데이트한다.