시스템이 완성되고 조립 라인을 떠나는 순간, 많은 사람들은 안도의 숨을 내쉰다. “이제 끝났다.” 하지만 진짜 이야기는 그때부터 시작된다. 설계도 위에서는 완벽했던 장비가 현장에 놓이는 순간 전혀 다른 얼굴을 드러내기 때문이다. 작동 버튼 하나, 손이 닿기 힘든 점검구 하나가 예상치 못한 사고로 이어질 수 있다. Operating and Support Hazard Analysis, 줄여서 O&SHA(운용 및 지원 단계 위험 분석)는 바로 이 ‘설계 이후의 위험’을 다루는 분석이다.
시스템이 실제로 사용되고 정비되는 과정에서, 그리고 운송·보관·훈련·폐기까지 이어지는 모든 순간 속에서 어떤 위험이 숨어 있는지를 찾아내는 일이다. 많은 프로젝트가 제품 납품으로 끝난다고 생각하지만, 진정한 안전은 납품 이후의 운용과 유지보수, 그리고 사람의 행동 속에서 시험받는다. 설계 단계에서 아무리 완벽한 도면이 그려졌더라도, 현장은 언제나 다르게 반응한다. 시스템의 세부 설계(Detail Design)와 주요 설계(Critical Design)가 마무리되는 시점부터는 변경 하나가 막대한 비용을 초래하기 때문에, 이때부터는 ‘수정’보다 ‘예측’이 중요해진다.
진짜 위험은 운용이 시작된 후에 드러난다. 그래서 O&SHA는 운용자와 정비자의 시선에서 시스템을 다시 들여다본다. 그들이 좁은 공간에서, 제한된 시간 속에서 장비를 다루는 모든 순간을 상상하며 묻는다. “이 절차는 정말 안전한가?”, “이 위치에서 정비가 가능할까?”, “이 조작은 사용자가 직관적으로 이해할 수 있을까?” 대부분의 O&SHA는 시스템이 시험 단계에 들어서야 시작되지만, 진짜 안전한 시스템은 설계가 구상되는 초기부터 O&SHA가 함께 움직인다. 운용 환경이 정의되는 그 시점에 맞춰, 안전장치와 지원 절차가 함께 설계되어야 하기 때문이다. 그렇지 않으면, 위험은 나중에 더 큰 비용과 문제로 되돌아온다. 결국 O&SHA는 단순한 절차 검토가 아니라, 사람이 장비를 다루는 모든 순간을 상상하는 일이다. 정상 상태뿐 아니라 비정상 상태, 긴급 대응, 심지어 사용자의 ‘잘못된 조작(misuse)’까지 모두 그 범위에 포함된다.
왜냐하면,
사고는 언제나 절차의 경계선 밖에서 일어나기 때문이다.
많은 엔지니어가 “설계 안전성 검토는 끝났다”라고 말할 때, O&SHA는 그 순간부터 비로소 시작된다.
Operating and Support Hazard Analysis, 즉 운용 및 지원 위험 분석은 시스템이 실제로 현장에서 사용되고, 정비되고, 보관되고, 심지어 폐기되는 순간까지 따라붙는 분석이다. 단순히 버튼을 누르고 장비를 작동시키는 것만이 아니라, 점검과 훈련, 운송과 저장 같은 ‘사람이 개입하는 모든 절차’를 대상으로 한다. 다른 분석들이 부품이나 설계에 집중한다면, O&SHA는 운용이라는 현실 전체를 바라본다.
이케아 가구를 조립할 때를 떠올려보자. 어느 이케아 관계자 인터뷰에서는 사람들이 설명서를 보지 않고 ‘이 정도면 알겠지’ 하며 나사 몇 개를 끼워 넣는 사람들이 많다는 글을 본 적이 있다. 그 모습이 바로 자유도가 높은 현장의 시스템 운용자와 닮아 있다. 설계자의 의도는 도면 속에 있지만, 운용자는 그 모든 배경을 알지 못한 채 장비를 다룬다. 정비자는 제한된 공간, 제한된 시간 속에서 장비를 분해하고 점검해야 하며, 바로 그 과정에서 인적 오류, 절차 미준수, 환경적 제약 같은 현실적인 위험이 얼굴을 드러낸다.
O&SHA는 이런 위험을 찾아내어 문서로 기록하고, 필요하다면 운용 절차의 수정, 안전 경고의 추가, 정비 매뉴얼의 개정 같은 형태로 대응책을 제시한다.
그리고 이 모든 노력은 단 하나의 질문에서 출발한다.
“이 절차는 정말 안전한가?”
“이 위치에서 정비가 가능할까?”
“이 조작은 사용자가 직관적으로 이해할 수 있을까?”
이 질문들을 끝없이 던지며, O&SHA는 ‘절차로 통제되는 위험’을 검증하고, 또한 ‘절차 자체가 새로운 위험을 만들어내지 않도록’ 확인한다.
결국 O&SHA는 설계가 끝난 이후, 사람의 손에서 다시 시작되는 안전 분석이다. 기계의 완성보다 더 중요한 것은, 그 기계를 다루는 사람의 현실을 이해하는 일이기 때문이다.
O&SHA의 시각은 단순한 기계적 고장 분석과 다르며, 시스템이 아닌 사람과 절차에 초점을 맞추는 부분이 중요하다. 예를 들어, 장비의 점검 포트가 높은 위치에 있다면, 단순한 유지보수 작업도 낙상 위험을 동반한다.
사고의 대부분은 시스템이 아니라 사람에서 시작된다. 그래서 O&SHA는 인간공학(Human Factors)과 함께 가는 경우가 많고, 좋은 O&SHA는 기계와 사람이 만나는 모든 지점을 점검하기 위해서 시스템 안전 전문가와 인간공학 전문가가 함께 작성한다.
그러면, 버튼의 위치, 표시등의 색, 조작의 순서 — 그 사소한 요소들이 사용자의 판단을 좌우한다는 걸 알 수 있다. 또한 장비가 “사용하기 편한가?”라는 질문은 사실 “안전한가?”라는 질문과 다르지 않다는 걸 알게 된다.
이런 부분은 설계 도면만 봐서는 절대 발견되지 않는다. 따라서 O&SHA는 다음과 같은 질문으로 시작된다.
운용자는 이 장비를 어떻게 사용할까?
정비 작업은 어떤 순서로 수행될까?
환경적 요인(소음, 조명, 공간)은 안전에 어떤 영향을 줄까?
이런 질문을 통해, 시스템이 실제 환경에서 안전하게 운영될 수 있는지를 검증한다.
1. 시스템 운용·지원 단계 파악하기
우선, 시스템의 전체 운용 주기(Life Cycle)를 정리한다.
운용(Operation): 실제 사용, 조작, 시험 등
지원(Support): 정비, 점검, 훈련, 수송, 저장, 폐기 등
이 단계에서는 “사람이 언제, 어디서, 무엇을 하는가”를 중심으로 시나리오를 그리며 일어날 수 있는 사고를 정리한다. 예를 들어 군용 레이더라면 → 전원 가동, 냉각장치 점검, 안테나 회전 정비, 운반 중 충격 등 각 상황을 리스트업을 할 수 있다.
2. 위험 요소 식별 (Hazard Identification)
각 운용·지원 단계에서 발생할 수 있는 잠재적 위험을 하나씩 찾는다. 이때는 “만약 ~라면?” 식의 상상력이 중요하다.
예:
정비 중 전원이 차단되지 않아 감전 위험 발생
장비 운반 시 크레인 훅 미체결로 낙하 위험
점검 중 통풍 부족으로 가스 누출 감지 불가
절차 누락으로 인한 화재 위험
→ 설계에서 통제되지 않은 위험을 ‘절차’로 제어 가능한가?를 함께 검토한다.
3. 위험 평가 (Hazard Assessment)
식별된 위험을 심각도(Severity)와 발생 가능성(Likelihood)으로 분류한다.
→ 보통 Risk Matrix (위험도 매트릭스)를 사용해 우선순위를 정한다.
예:
Catastrophic / Frequent → 즉시 조치 필요
Minor / Remote → 절차 개선으로 충분
이 단계에서는 문서보다 현장 인터뷰가 중요하다. 정비사나 운용자의 말을 듣는 것이 책상 위 분석보다 훨씬 현실적이다.
4. 위험 통제 및 절차 개선 (Risk Control)
이제 위험을 줄이기 위한 통제 방안(Control Measures)을 제시한다. 보통 아래 3단계 접근을 사용한다:
설계적 변경 (가능하면 물리적 개선)
절차 개선 (경고, 체크리스트, 교육 강화)
보호 장비 추가 (PPE, 안전장치 등)
예:
점검 중 전원 차단 절차 추가
정비 위치 변경으로 접근성 개선
훈련 매뉴얼에 위험 알림 문구 삽입
이후 모든 결과는 보통 O&SHA Report 또는 O&SHA Matrix로 정리된다. Hazard ID (고유번호)를 받으며 관련 운용 단계, 위험 설명, 위험 수준, 통제 방안과 잔여 위험(Residual Risk)등이 한 표로 정리된다.
Note.
이 문서는 이후 안전인증(Safety Case)이나 시험평가(Test & Evaluation) 단계에서 핵심 증거로 사용된다.
O&SHA는 매뉴얼에 적힌 ‘정상 상태’만 보지 않는다. 현장에서는 언제나 예외적 상황이 일어나는 경우는 불가피하다. 예를 들어, 폭우가 몰아치는 상황에서 항공기를 급히 연료 보급해야 하는 순간, 혹은 정비 중인 엔진 근처에서 연료가 새는 순간. 이런 상황은 설계서엔 없지만, 현장에선 충분히 일어날 수 있다. O&SHA는 이런 “합리적으로 예측 가능한 비정상 상황”까지 상상하고 대비하게 만든다.
한 실험 중, 한 관찰자가 항공기 연료 배출구가 엔진 열기 가까이에 있다는 걸 발견하고 단순한 관찰이 큰 사고를 막았다는 사례가 있듯이, O&SHA는 이렇게 현장의 관찰과 시험 경험으로 완성된다.
O&SHA의 결과는 단순한 보고서로 끝나지 않는다. 복잡한 절차, 협업, 수많은 시나리오를 검토해야 하며, "운용 중의 안전은, 설계자가 상상한 만큼만 확보된다."라는 걸 이해하고 어려움을 감수해야 한다.
분석결과는 이후 실제 운용 매뉴얼(Operator’s Manual), 정비 절차서(Maintenance Procedure), 훈련 프로그램(Training) 등으로 반영된다. 즉, “안전 설계”가 “안전 운용”으로 이어지는 다리 역할을 한다.
시스템 안전(Safety)은 설계로 시작하지만, 진짜 안전은 운용 속에서 완성된다. Operating and Support Hazard Analysis는 단순히 문서상의 절차가 아니라, 현장의 눈으로 시스템을 다시 바라보고, 설계와 현실을 이어주는 과정이다.
설계를 만든 사람과 그 설계를 실제로 운영하는 사람이 같은 언어로 소통할 수 있게 만드는 도구, 바로 그것이 O&SHA다. 이 분석은 결국 “현실 속에서 시스템이 어떻게 쓰일까?”라는 질문에서 출발하며, 설계자가 도면 위에서 확보한 안전과 운용자가 현장에서 책임지는 안전 사이를 연결하는 다리 역할을 한다. O&SHA를 통해 우리는 단순한 설계를 넘어, 현장 속에서 살아있는 안전을 만들어낼 수 있다.
운용 중의 안전은, 설계자가 상상한 만큼만 확보된다.