스마트안전교육원

 

   최근 국내 청도 인근 무궁화호 열차 사고, 리스본의 푸니쿨라 탈선 사고 등 일연의 철도 재난 사고가 이어지고 있다.

 

   2004년 MIT 교수인 Leveson박사가 제안한 사고분석기법 STAMP를 적용하여

   사고의 근원적인 원인의 추정과 재발방지 및 시스템 안전의 확립과 안전문화의 정착을 위하여 도움이 되었으면 ...

 

   STAMP를 이용하여 사고를 분석한 Leveson MIT 교수가 CAST Handbook의 참고문헌에 제시한 연구결과 및 논문을 보면 STAMP를 이용한 분석은

   항공, 화학공장, 해운, 철도 등 다양한 분야에 적용되고 있다고 한다.

   

    

 

 

   STAMP 모델은 사고 원인 모델과 분석과정으로 시스템 복잡성과 연계성 증가, 새로운 유형의 위험 발생, 과학기술의 급속한 변화, 안전에 대한 공공의 인식 및

   규제의 변화, 사고 특성의 변화 등 과거의 순차적 사고 분석기법들이 가지고 있는 한계점을 극복하기 위하여 Levesson이 2004년에 발표한 분석기법이다.

   STAMP에서 사고는 설계(design), 개발(development) 및 운영(operation) 단계에서 상호 영향을 미치는 시스템의 구성요소 간 안전제약 조건을 부적합하게

  이행한 결과라는 개념을 도입하고 있다. 즉, 각 계층에서 안전제약의 부적절한 집행(통제 행동), 통제 행동의 부적절한 실행, 피드백이 부적절하거나 놓침, 상황

  (context), 정신 모델 결함(mental model flaw), 협조(coordination)와 같은 6가지 관점/용어에서 사고 원인을 기술한다.

  또한, 안전을 실패(failure)의 예방 문제가 아닌 제어(control)의 문제로 보고 있으며, 제약 조건(constraints)은 환경적 또는 재정적 조건, 규칙(regulation),

  절차(procedure), 기술, 설계(design) 등 이 될 수 있다.

 

  STAMP는 분석방법이 아니고 사고가 어떻게 발생했는지에 대한 모델 또는 가정들의 집합이라 할 수 있으며,

  CAST는 시스템 이론에 기초한 원인 분석방법으로 STAMP를 사용하고 있다.

 

  STAMP에서는 사고의 원인을 “손실을 막지 못한 안전제어구조(safety control structure)”로 정의하고 있기 때문에, 사고조사의 목표는 안전제어구조가

  훼손되어있는(violated) 안전 제한 조건을 시행할 수 없는 이유를 식별하고, 향후 관련 손실을 방지하기 위해 제어 구조에 어떤 변경이 필요한지 결정하는 것이다.

  STAMP 모델의 기본 제어구조는 시스템 개발(system development) 구조 및 시스템 운영(system operation) 구조를 포함하고 있으며,

  각 제어 구조는 계층(hierarchy)으로 구성되어 있다. 상위 구조에서는 안전정책(policy), 표준(standard), 절차(procedure) 등을 결정하고,

  하위 구조에서는 정책이나 절차를 실제로 수행하는 역할을 한다. 또한, 시스템의 구성요소를 계층별로 나타낸 후 상위 레벨의 결정사항과 하위레벨의 피드백을 표시하는 방식으로

  시스템을 모형화한다. 

  
  STAMP는 상향식이 아닌 하향식이므로 복잡한 시스템에 적용할 수 있고, 사고의 원인이 되는 소프트웨어, 사람, 조직(organization), 안전문화(safety culture)

  등을 모두 포함하고 있어, 이러한 사항들을 다른 방법으로 별도로 다루지 않아도 되는 장점이 있다.

 

  STAMP 분석방법 및 절차

 

  (1) 분석에 필요한 기초자료를 수립하는 단계로서

     ① 관련된 시스템과 분석의 경계를 정의, ② 손실(사고)과 손실을 초래한 위험한 상태를 설명, 

     ③ 위험 방지에 필요한 시스템 수준의 안전 제약 사항 식별(시스템안전 요구사항 및 제약),

     ④ 결론을 내리거나 비난하지 않고 무슨 일(사건)이일어났는지 설명,

     ⑤ 물리적 손실, 설계 요구사항, 위험을 초래한 불안전한 상호작용 등 사고에 영향을 미치는 모든 상황적 요인을 분석.
  (2) 앞에 언급된 종류의 위험과 관련하여 현재의 안전제어구조를 모형화.
  (3) 제어구조의 구성요소를 조사하여 손실(사고)방지에 효과가 없었던 이유를 파악. 제어구조의 하단부터 시작하여 각 구성요소가 사고에 기여한

        역할과 동작에 관해 설명.
  (4) 전체 제어구조에서 손실(사고)에 기여한 결함 식별. 시스템적 요인은 개별 시스템 제어구조의 구성요소를 포함.
  (5) 향후 유사한 손실을 방지하기 위해 제어구조 변경에 대한 권고사항을 작성. 가능하면 위험에 대한 지속적인 개선 프로그램을 설계.

 

 

        < *자료 인용 출처 :

            1) 김상중 외 5인,  '사고분석기법 STAMP를 이용한 반응기 폭발사고 원인 분석에 관한 연구', Journal of the KNST, 2023; Vol. 6, No 3; pp227~234. 

            2) 구채칠 외 2인,  '시스템적 사고원인 분석 기법인 STAMP를 이용한 화학공장 폭발 사고사례 분석',  Fire Science & Engineering, Vol. 35, No. 5 pp 17~23, 2021. >