사고의 뿌리를 찾아내는 나무
한 항공기가 활주로 끝에서 멈춰 섰다.
이륙 직전, 엔진 출력이 갑자기 떨어졌으나, 다행히 조종사가 이륙을 중단했기에 인명 피해는 없었다.
조사팀은 블랙박스 데이터를 분석하면서 질문을 던졌다.
“왜 엔진 출력이 줄었을까?”
연료 펌프 고장? 전원 공급 불량? 아니면 센서 오류?
사고를 거슬러 올라가며 원인을 추적하는 방식, 이것이 바로 FTA(Fault Tree Analysis, 결함수 분석)다.
FTA는 하나의 ‘바라던 결과’가 아니라 발생한 사고나 바람직하지 않은 사건에서 출발한다.
그리고 이를 나무(Tree)처럼 가지를 뻗어나가며 원인으로 분해해 들어간다.
예를 들어, “차량이 멈추지 않는다”는 사건을 분석한다고 해보자.
Top Event: 차량 제동 불능
원인①: 브레이크 페달 미작동
페달 파손
연결 로드 분리
원인②: 유압 손실
오일 누출
실린더 마모
원인③: 전자제어 오류
센서 오작동
ECU 소프트웨어 버그
이처럼 사고 → 중간 원인 → 세부 원인으로 내려가며 가지를 뻗어 나간다.
FTA는 논리적 구조와 기호를 사용한다. 대중 독자에게는 조금 어려울 수 있지만, 스토리텔링으로 풀면 쉽게 다가온다.
Top Event 정의 – 분석하고 싶은 사고나 실패 현상
논리게이트 적용 – OR(둘 중 하나만 발생해도), AND(둘 다 동시에 발생해야) 같은 논리 연결로 원인 정리
계층적 분해 – 중간 사건을 계속 쪼개어 근본 원인까지 추적
확률 계산(선택적) – 각 원인의 확률을 바탕으로 사고 발생 확률 도출
핵심 원인 도출 – 제거해야 할 중요한 취약점 확인
Note: AND 게이트는 마치 여러 개의 열쇠가 동시에 맞아야 문이 열리는 장치와 같으며, 여러 조건이 함께 충족되어야만 사고가 현실로 다가온다. 예를 들어, 자동차에서 브레이크 오일이 새고 있다는 사실을 운전자가 경고등으로도 알아채지 못한다면, 그 순간 평범했던 주행은 순식간에 위험한 상황으로 변한다. 두 가지 조건이 동시에 겹치지 않았다면 사고로 이어지지 않았을지도 모른다. AND 게이트는 이렇게 “겹쳐야만” 드러나는 위험을 보여준다. 그래서 각각의 사건은 흔히 일어날 수 있어도, 동시에 맞물려 돌아갈 확률은 훨씬 낮지만, 일단 그 희박한 경우가 실현되면 결과는 치명적일 수 있다.
OR 게이트는 반대로, 여러 개의 문 중 하나라도 열리면 곧장 길이 이어지는 구조다. 조건들이 동시에 일어날 필요도 없으며, 그중 단 하나만 발생해도 상위 사건은 현실이 된다. 항공기의 엔진을 떠올려 보자. 연료 공급 계통에 문제가 생기거나, 아니면 점화 계통에 작은 결함이 있어도 결과는 같다. 엔진은 멈춰 서고, 비행기는 공중에서 더 이상 추진력을 잃게 된다. OR 게이트는 단순해 보이지만 무섭다. 왜냐하면 하나의 사건만으로도 시스템 전체를 무너뜨릴 수 있기 때문이다.
즉, FTA는 탐정이 사건 현장을 거슬러 단서 하나하나를 재구성하는 수사 과정과 같다.
시스템 안전을 다루는 여러 분석 기법은 각기 다른 시각에서 위험을 바라본다. FHA(Function Hazard Analysis)는 기능에 초점을 맞추며, 특정 기능이 제대로 작동하지 않을 때, 그 실패가 어떤 위험으로 이어지는지를 묻는 다. 반면 FMEA(Failure Modes and Effects Analysis)는 한 단계 더 구체적으로 들어가, 부품 단위의 고장을 살핀다. 작은 나사 하나, 회로의 한 부분이 망가졌을 때 그 영향이 어디까지 퍼지는지를 추적을 하며, 마치 가장 작은 균열이 시스템 전체에 어떤 파장을 일으킬 수 있는지 살피는 과정이다.
반면 FTA(Fault Tree Analysis)는 거꾸로 올라간다. 사고가 실제로 일어났다는 전제를 세우고, 그 원인이 무엇이었는지를 논리적으로 추적을 한다. Top Down(위에서 아래) 방식으로 파고드는 다른 분석들과 달리, FTA는 Bottom Up방식(위에서 아래)으로 펼쳐지는 “논리의 나무”를 통해 근본 원인을 찾아간다. 다시 말해, 다른 기법들이 “무엇이 잘못될 수 있을까?”를 묻는다면, FTA는 “사고가 이미 났다. 왜 이런 결과가 생겼을까?”를 질문하는 것이다.
Note: FTA는 다른 분석들이 “미리 예방”을 목표로 한다면, 사고 원인 추적과 시스템적 약점 파악에 강하다.
대형사고 이후 작성되는 보고서에서 FTA는 늘 등장한다.
이 분석을 통해 어떤 단일 원인이 아니라, 여러 조건이 겹쳐져야 사고가 발생한다는 사실이 드러나며, 사고 시나리오가 만들어진다.
예를 들어, 엔진 고장 하나만으로는 항공기가 추락하지 않는다.
여기에 경고장치 불능, 조종사 대응 실패 같은 조건이 AND 게이트로 연결될 때, 비로소 사고로 이어진다.
FTA는 우리에게 사고란 단일 실수가 아니라 복합적인 시스템의 균열임을 보여준다.
FTA는 사고를 잎사귀에서부터 뿌리까지 추적하는 나무다.
가지 하나하나를 따라 내려가다 보면, 보통은 보이지 않던 근본 원인이 드러난다.
그리고 그 뿌리를 잘라내지 않는 한, 사고는 다시 자라난다.
안전을 만든다는 것은 결국, FTA의 나무를 거꾸로 세워 두는 작업인지도 모른다.