PHA가 끝나면, 프로젝트는 마치 큰 지도를 들고 길을 떠나는 여행자처럼 새로운 단계에 들어선다. 이제는 PDR(Preliminary Design Review)이라는 길목이다. 여기서는 그동안 커다란 윤곽으로만 보던 시스템을 조금 더 세밀하게 나누기 시작한다.
시스템을 나눌 때는 ‘어떻게 하면 이해하기 쉽게 나눌 수 있을까?’가 중요하다. 너무 잘게 쪼개면 복잡해지고, 너무 크게 묶으면 놓치는 게 많아진다.
예를 들어 사람을 하나의 시스템이라고 하자. 이때 Sub System은 소화기관, 호흡기관처럼 큰 기능 단위로 나눈다. 아직 “위”나 “폐” 같은 구체적인 장기까지 내려가지는 않는다. 우리가 보고 싶은 건 장기 하나하나가 아니라, 각 기관이 보여주는 기능(Function)이다. 즉, 이 단계는 부품이 아니라 역할과 흐름을 바라보는 과정이다.
다음은 FHA(Function Hazard Analysis)다. 이름 그대로, 기능을 가지고 질문을 던진다.
FHA란 무엇인가?
FHA(Function Hazard Analysis)는 시스템을 “구성품”이 아닌 “기능(Function)”의 집합으로 바라보는 데서 출발한다. 즉, 어떤 시스템이든 결국 기능들의 묶음이며, 각 기능이 실패하거나 비정상적으로 작동할 경우 어떤 위험이 발생하는지를 체계적이고 포괄적으로, 위에서 아래로(top-down) 살펴보는 분석 기법이다.
분석 대상: 시스템의 각 기능(Function)
분석 목적: 기능이 실패할 경우 어떤 결과(Hazard)가 발생하는지 식별 그 결과의 심각도(Severity)와 발생 가능성(Probability) 평가 규제기관의 안전성 기준 충족 여부 입증
적용 시점: 상세한 안전성 평가에 들어가기 전에, 전체 시스템 수준에서 위험 요인을 조기에 파악하기 위해 수행된다.
즉, FHA는 설계자가 “이 시스템이 제공하는 기능이 정상적으로 수행되지 않으면 무슨 일이 벌어질까?”라는 질문을 던지는 출발점이며, 이후 FTA(Fault Tree Analysis), FMEA(Failure Modes and Effects Analysis) 같은 후속 분석의 필요성과 범위를 결정하는 역할을 한다.
Note.
FHA의 주요 특징 (추가 설명)
Top-Down 접근 구성품(Component) 하나하나에서 출발하는 것이 아니라, “시스템이 제공하는 기능”을 큰 단위로 보고 시작한다. 예: 항공기에서 “고도를 유지한다”라는 기능 → 이 기능이 실패하면?
Failure 시나리오 고려
FHA에서는 단순히 기능이 사라지는 것만 보는 게 아니라, 다음과 같은 다양한 실패 양상을 고려한다.
기능이 수행되지 않음
기능이 반대로 수행됨
기능이 과도하거나 부족하게 수행됨
기능이 잘못된 시점에 수행됨
기능이 예상치 못한 방식으로 수행됨
결과 중심(Effect-Oriented)
실패 자체보다는 그로 인해 발생하는 Hazard(위험)와 영향에 집중한다.
예: “엔진 추력 감소”라는 기능 실패 → “항공기 추력 부족”이라는 Hazard → “이륙 실패”라는 치명적 결과.
규제와 연계
예를 들면 항공분야에서는 EASA CS-25.1309 또는 FAA FAR 25.1309 규정 준수를 위해 FHA가 필수적으로 수행된다.
규제문서에서도 “상세 안전성 평가에 앞서 FHA를 먼저 수행해, 이후 어떤 분석이 필요한지를 정하라”라고 명시하고 있다.
산출물
FHA는 보통 테이블 형태로 작성되며, 각 기능별로 다음 정보를 담는다. 기능(Function) 기능 실패 시나리오 해당 실패의 결과(Effect/Hazard) Hazard 심각도(Severity) 발생 가능성(Probability) 규제 요구사항과의 연계
“만약 이 기능이 기대대로 작동하지 않는다면 무슨 일이 벌어질까?”
이 질문을 따라가다 보면, 기능 실패는 여섯 가지 얼굴로 나타난다. 각각의 기능실패를 사람의 기관(Subsystem)으로 풀어보자.
아무 일도 일어나지 않는다. 버튼을 눌렀는데, 시스템은 묵묵부답.
호흡기관이 멈춘다면 어떻게 될까? 공기를 들이마시지 못하고, 산소는 몸에 공급되지 않는다. 시스템은 침묵 속에서 차갑게 멈춰간다.
반대로 일어난다. 앞으로 가라 했는데, 뒤로 가버리는 식이다.
소화기관이 음식을 영양분으로 바꾸는 대신 독소를 만들어낸다면? 몸은 스스로를 해치는 방향으로 기능을 거꾸로 수행하는 꼴이 된다.
너무 많이 일어난다. 원래 한 번이면 충분한데, 세 번, 네 번 겹쳐서 작동해 버린다.
순환기관이 혈액을 지나치게 빠른 속도로 흘려보낸다면, 혈압은 급격히 치솟고 몸은 스스로를 감당하지 못한다. 과잉 작동이 오히려 위협이 되는 순간이다.
너무 적게 일어난다. 힘이 부족해 기대한 만큼 기능이 나오지 않는다.
반대로 심장이 너무 약하게 뛴다면? 필요한 만큼 혈액을 내보내지 못하고, 전신은 서서히 산소 부족 상태로 빠져든다. 부족한 기능은 마치 엔진이 힘을 못 쓰는 자동차처럼 전체를 느려지게 한다.
때를 놓친다. 기능은 맞지만, 타이밍이 틀려 전체 흐름을 망친다.
호흡이 들어와야 할 때 멈추고, 멈춰야 할 때 갑자기 들어온다면? 정상적인 호흡 리듬이 깨지고, 몸은 리듬을 잃은 오케스트라처럼 혼란스러워진다.
예상 못 한 방식으로 일어난다. 설계자가 상상조차 못 한 모습으로 기능이 발현된다.
소화기관이 음식을 영양분으로만 흡수하는 게 아니라, 갑자기 이상 반응을 일으켜 알레르기나 면역 과잉 반응을 만든다면? 설계자가 상상하지 못했던 방식으로 기능은 돌변한다.
이렇게 사람 시스템에 FHA를 대입해 보면, “기능의 실패”라는 개념이 더 구체적으로 다가온다. 기능은 단순히 켜지고 꺼지는 스위치가 아니다. 너무 많아도, 너무 적어도, 때를 놓쳐도, 엉뚱한 방향으로 흘러가도 모두 위험으로 이어진다.
이 여섯 가지는 단순한 분류가 아니다. 시스템이 무너지는 경로를 미리 보여주는 시나리오다. 설계자는 그 시나리오를 따라가며 어떤 위험이 숨어 있는지를 미리 본다. 그래서 FHA는 결국 “기능이 실패한다면?”이라는 질문을 끝없이 반복하는 작업이다.
PHA가 커다란 지도였다면, PDR과 FHA는 현미경을 들고 세부를 들여다보는 과정이다. 눈앞의 Sub System과 그 안의 Function을 바라보며, 일어날 수 있는 모든 가능성을 상상한다. 그렇게 모은 가정과 시나리오가 모여, 후속 단계인 FTA나 FMEA 같은 분석의 기초가 된다.
결국 FHA는 하나의 철저한 상상력이다. 기능이 멈추거나, 거꾸로 흘러가거나, 혹은 엉뚱한 타이밍에 불쑥 튀어나오는 상황을 미리 그려보는 일. 그 상상이 현실을 지키는 첫걸음이 된다.