" Startup (시운전)의 악몽 - Startup 중 발생한 BP 폭발 사고는 절차적 위험성 평가의 부재가 부른 참사이다. "
과도기 공정의 종류와 위험성
화학 공장, 정유 공장, 유틸리티 시설, 발전소 등 플랜트의 운전은 항상 평온한 정상 상태(Steady State)만 유지하는 것은 아니다. 공정의 상태가 시간의 흐름에 따라 급격하게 변화하는 구간, 즉 '과도기 공정(Transient Operation)'이 존재하며 통계적으로 대부분의 중대 사고는 바로 이 시점에서 발생한다. 과도기 공정은 크게 다섯 가지로 구분할 수 있다. 첫째, 공장의 가동을 처음 시작하거나 재개하는 Startup (시운전) 단계이다. 둘째, 운전을 멈추는 가동 정지(Shutdown) 단계이다. 셋째, 공정 이상이나 유틸리티 중단 등에 대응하는 비상 운전(Emergency Operation) 단계이다. 넷째, 정기 보수나 기계적 수리를 마친 후 설비를 다시 가동하는 유지 보수 후 재가동(Restart after Maintenance) 단계이다. 마지막으로 생산하는 제품의 규격이나 종류를 변경하기 위해 운전 조건을 바꾸는 등급 교체 운전(Grade Change) 단계이다. 통계적으로 중대 산업 사고의 대부분은 이러한 과도기 공정 상태에서 발생하며, 운전원의 개입이 빈번하고 공정 변수가 급변하기 때문에 각별한 주의와 관리가 요구된다.
이러한 과도기 공정 중에서도 가장 사고 빈도가 높고 위험한 'Startup (시운전)' 단계에서 발생하여 전 세계 공정안전 분야에 경종을 울렸던 2005년 미국 BP Texas City 정유 공장 폭발 사고를 심층적으로 분석해 본다. (주. 본 글은 CSB(미국 화학 안전조사 위원회)의 사고 조사 보고서를 참고하여 작성되었다.)
2005년 BP Texas City 정유 공장 폭발 사고 개요
2005년 3월 23일 오후 1시 20분경, 미국 텍사스주 텍사스 시티에 위치한 BP 정유 공장의 이성질화(Isomerization, ISOM) 공정에서 거대한 폭발 사고가 발생했다.
사고가 발생한 핵심 설비는 라피네이트 분리탑(Raffinate Splitter Tower)이었다. 당시 이 공정은 유지 보수를 마치고 재가동을 위한 Startup을 진행하던 중이었다. 분리탑 내부로 과도한 양의 탄화수소 액체가 주입되었으나, 수위 제어 및 경보 시스템의 총체적 실패로 인해 운전원들은 이 사실을 인지하지 못했다. 결국 분리탑을 가득 채운 인화성 액체는 상부의 안전밸브를 통해 블로우다운 드럼(Blowdown Drum)으로 방출되었다. 하지만 낡은 설계의 블로우다운 드럼은 넘쳐나는 액체를 감당하지 못했고, 굴뚝(Vent Stack)을 통해 마치 간헐천처럼 인화성 액체와 증기가 대기로 뿜어져 나왔다. 방출된 탄화수소 증기운(Vapor Cloud)은 지면으로 가라앉으며 확산되다가 인근에 정차 중이던 디젤 픽업트럭의 엔진 불꽃에 의해 점화되어 대규모 폭발을 일으켰다. 이 사고는 Startup 절차의 미준수, 설비의 결함, 그리고 안전 문화의 부재가 복합적으로 작용한 대표적인 참사이다.
사고의 전개 과정 및 피해 수준
사고 당일 오전부터 이성질화 공정의 재가동 준비가 시작되었다. 운전 절차서에 따르면 라피네이트 분리탑의 Startup 시 액체 수위는 50% 수준을 유지해야 했으며, 이는 약 6피트(ft) 높이에 해당한다. 하지만 야간 근무조에서 주간 근무조로 인수인계가 이루어지는 과정에서 명확한 의사소통이 부재했고, 분리탑 하부로의 액체 배출이 차단된 상태에서 원료 공급만 지속되었다.
오전 10시경, 이미 분리탑 내부의 실제 수위는 계기 표시 범위를 넘어섰지만, 제어실의 수위 지시계(Level Indicator)는 여전히 정상 범위인 9피트 근처를 가리키고 있었다. 이는 수위계가 고장 난 상태였거나 밀도 보정이 제대로 되지 않은 탓이었다. 설상가상으로, 위험 수위에 도달했을 때 울려야 할 고수위 경보(High Level Alarm) 마저 작동하지 않았다. 운전원들은 잘못된 계기판 정보만을 믿고 분리탑에 원료를 계속 투입했으며, 온도를 올리기 위해 버너를 가동했다.
오후 12시 40분경, 분리탑 내부의 압력이 급격히 상승하기 시작했다. 분리탑은 이미 꼭대기까지 액체로 가득 찬 상태(Overfilled)였고, 액체는 상부 배관을 타고 안전밸브(Safety Valve) 라인으로 넘어갔다. 오후 1시 14분, 3개의 안전밸브가 동시에 열리며 엄청난 양의 액체와 증기가 블로우다운 드럼으로 쏟아져 들어갔다. 해당 블로우다운 드럼은 대기와 바로 연결된 구형 벤트 스택(Vent Stack) 설비였기 때문에, 넘쳐흐른 액체와 증기는 그대로 공장 바닥으로 쏟아져 내렸다.
약 1분 뒤, 확산된 증기운에 점화원이 닿으면서 강력한 폭발이 발생했다. 불행하게도 공정 구역 바로 인근에는 정기 보수 작업을 지원하기 위해 설치된 임시 트레일러 사무실들이 위치해 있었다. 이 트레일러들은 폭발 압력을 견딜 수 없는 목재 구조물이었으며, 공정 설비와의 이격 거리 기준도 지켜지지 않은 상태였다. 폭발로 인해 트레일러들은 산산조각이 났고, 그 안에 있던 작업자 15명이 전원 사망했다. 또한 180명 이상의 부상자가 발생했으며, 공장 설비 파손과 가동 중단으로 인한 경제적 손실은 수십억 달러에 달했다. BP는 이후 막대한 벌금과 피해 보상금을 지불해야 했으며, 기업 이미지에 씻을 수 없는 타격을 입었다.
사고의 직접적인 원인
CSB(미국 화학 안전조사 위원회)의 조사 결과 밝혀진 사고의 직접적인 원인은 명확하다. 첫째, 라피네이트 분리탑의 과충전(Overfilling)이다. Startup 절차를 무시하고 배출 밸브를 잠근 채 원료를 계속 주입하여 탑 전체를 액체로 채운 것이 물리적인 원인이었다. 둘째, 핵심 계기의 고장 및 오작동이다. 운전원의 눈이 되어야 할 수위 지시계는 엉뚱한 값을 가리켰고, 최후의 보루인 고수위 경보와 차단 시스템은 작동하지 않았다. 셋째, 안전 설비의 설계적 결함이다. 블로우다운 드럼은 대기로 직접 방출되는 구형 방식이었으며, 이는 다량의 인화성 물질이 배출될 경우 안전하게 연소시키는 플레어 스택(Flare Stack) 시스템으로 연결되지 않았다. 넷째, 부적절한 가설 건물 위치 선정이다. 비방폭 지역에 있어야 할 업무용 트레일러가 위험한 공정 구역(ISBL) 내에 너무 가깝게 배치되어 인명 피해를 키웠다.
사고의 근본 원인 (Root Cause) 분석
|
안전 문화
(Safety Culture)
|
BP 경영진은 비용 절감을 최우선 가치로 두며 안전 예산을 지속적으로 삭감했다. 이로 인해 "생산이 안전보다 우선"이라는 잘못된 인식이 조직 전반에 팽배했다. 경미한 사고나 징후들이 무시되었고, 안전장치가 제대로 작동하지 않는 상태에서도 공장을 가동하는 것이 용인되는 분위기였다.
|
|
노후 설비
(Aging Equipment)
|
사고가 발생한 이성질화 공정은 낡고 노후화된 상태였다. 고장 난 수위계와 경보 장치는 수리되지 않은 채 방치되었고, 이는 작업지시서(Work Order)에 기록되어 있었음에도 불구하고 예산 부족과 우선순위 밀림으로 인해 해결되지 않았다. 블로우다운 드럼 또한 최신 안전 기준인 플레어 시스템 연결 의무를 면제받은 낡은 설비였다.
|
|
절차적 위험성 평가
(Procedural Risk Assessment)
|
가장 치명적인 근본 원인 중 하나는 Startup 절차에 대한 위험성 평가가 부재했다는 점이다. 정상 운전 중심의 일반 HAZOP은 수행되었으나, Startup과 같은 과도기적 상황의 단계별 절차를 분석하는 'Procedural HAZOP'은 수행되지 않았다. 만약 절차적 위험성 평가가 있었다면, Startup 중 수위계가 고장 났을 때의 시나리오나 절차 위반 시의 결과를 미리 예측하고 방어책을 세울 수 있었을 것이다.
|
|
운전원 역량
(Operator Competency)
|
당시 운전원들은 Startup 경험이 부족했고, 비상 상황에 대한 훈련이 되어 있지 않았다. 특히 장시간 근무로 인한 피로 누적은 판단력을 흐리게 했다. Startup 은 자주 발생하는 이벤트가 아니기 때문에, 이에 대한 특별한 시뮬레이션 교육이나 멘토링이 필요했으나 이는 제공되지 않았다.
|
|
인력 부족
(Staffing)
|
비용 절감 정책의 일환으로 현장 인력이 감축되었다. 사고 당시 제어실에는 한 명의 운전원이 세 개의 복잡한 공정 유닛을 모니터링해야 했다. 이는 Startup과 같이 집중력이 요구되는 상황에서 운전원이 모든 변수를 통제하는 것을 불가능하게 만들었다.
|
사고의 시사점 및 예방 활동
이 비극적인 사고는 우리에게 공정안전 관리가 어느 한 부분만 잘해서는 안 되며, 사람, 절차, 설비가 유기적으로 결합되어야 함을 시사한다.
|
사람
People
|
운전원의 피로 관리는 선택이 아닌 필수이다. 초과 근무를 제한하고 충분한 휴식을 보장해야 한다. 또한 Startup이나 비상 정지와 같은 비정상 운전 상황에 대비한 시뮬레이터 훈련을 정기적으로 실시하여 운전원의 역량을 강화해야 한다. 무엇보다 중요한 것은 안전을 최우선으로 하는 리더십이다. 작업자는 불안전한 상황을 감지했을 때 언제든지 작업을 중지할 수 있는 '작업 중지 권한(Stop Work Authority)'을 가져야 하며, 경영진은 이를 적극 장려해야 한다.
|
|
설비
Equipment
|
노후 설비에 대한 적시 투자가 이루어져야 한다. 특히 수위계, 압력계 등 공정 제어에 필수적인 계기류는 다중화(Redundancy) 하여 하나의 계기가 고장 나더라도 다른 계기를 통해 교차 확인할 수 있도록 설계해야 한다. 또한, 대기로 직접 방출되는 낡은 벤트 시스템은 전량 회수하여 소각하는 플레어 시스템이나 스크러버 등으로 교체해야 한다. 폭발 위험 지역 내의 가설 건물 배치에 대한 엄격한 기준(Facility Siting)을 적용하여, 사무 공간은 공정 위험 반경 밖으로 이동시켜야 한다.
|
|
절차 및 시스템
Procedure & System
|
이번 사고 분석의 핵심은 바로 '절차의 안전성 확보'이다. 단순히 종이 위에 적힌 절차서(SOP)는 현장의 리스크를 모두 담아내지 못한다. 따라서 Startup 과 같은 과도기 공정에 대해서는 반드시 'Procedural HAZOP(절차적 위험성 평가)'을 수행해야 한다. 일반적인 HAZOP이 "유량이 많으면?"을 묻는다면, Procedural HAZOP은 "이 단계에서 밸브를 늦게 열면?", "이 단계에서 확인 절차를 누락하면?"과 같이 시간과 순서에 따른 위험을 분석한다. BP 사고에서 만약 Procedural HAZOP이 수행되었다면, "Startup 초기 단계에서 수위 지시계 오류 시 과충전 위험"을 식별했을 것이고, "독립적인 고수위 인터락(High Level Interlock)이 작동하지 않을 경우의 대책"을 미리 마련했을 것이다. 또한 절차서상에 "반드시 현장 레벨 게이지와 대조 확인 후 다음 단계 진행"이라는 필수 확인 항목(Hold Point)을 설정하여 사고를 막을 수 있었을 것이다. 시스템적으로는 변경 관리(MOC) 절차를 강화하여, 설비나 운전 조건의 변경뿐만 아니라 조직 변경이나 인력 감축이 안전에 미치는 영향까지 평가해야 한다.
|
|
구분
|
BP Texas City 사고 상황
|
Procedural HAZOP 적용 시
|
|
운전 상황
|
생산 압박으로 인한 안전 수칙 경시 및 교대 근무 인수인계 시 의사소통 부재
|
Startup을 고위험 과도기 공정으로 규정하고 사전 정밀 검토
|
|
설비 상태
|
액위 지시계 고장 및 보정 오류 및 대기 방출형 구형 블로운다운 드럼
|
"계기 고장" 가이드 워드로 위험 식별
|
|
절차 수행
|
고장 난 계기만 믿고 과도한 액체 주입 및 절차서의 확인의 형식적 수행
|
물질 수지(In/Out) 확인을 Hold Point 설정, 공정 계기 교차 확인 없이는 다음 단계 진행 불가 조치
|
|
위험 결과
|
분리탑 과충전으로 액체가 안전밸브 라인과 블로우다운 드럼 통해서 외부 누출 및 화재 폭발.
|
과충전 징후 조기 발견 및 원료 투입 즉시 중단 (Interlock 작동) 및 안전밸브 작동 시에도 밀폐된 시스템 통해서 배출
|
|
교훈
|
노후 설비 방치와 안전 문화 부재가 부른 참사
|
Startup 절차서의 완결성 검증 및 운전원 교육 강화
|
안전한 Startup (시운전)을 위하여…
BP Texas City 사고는 기술적 결함보다는 관리적 시스템의 붕괴가 낳은 인재였다. 이를 예방하기 위해서는 사람, 절차, 설비의 삼박자가 맞아야 한다. 숙련되고 휴식을 취한 작업자(사람), 신뢰성 있고 다중화된 안전장치(설비), 그리고 무엇보다 이들을 연결하는 완벽한 운전 절차(절차)가 필요하다. 특히 과도기 공정에서의 사고를 예방하기 위해 Procedural HAZOP과 같은 절차적 위험성 평가 기법의 도입은 이제 선택이 아닌 필수 사항이 되어야 한다. 사업장은 Startup (시운전) 계획 단계에서부터 철저한 Procedural HAZOP을 수행하여 절차의 틈새를 메우고, 잠재된 시한폭탄을 미리 제거함으로써 비극적인 사고가 되풀이되지 않도록 노력해야 한다.
[Technical Insight] Procedural HAZOP Series
[Procedural HAZOP #1] 과도기 공정의 위험을 잡는 필수 기법
Procedural HAZOP 이란? 과도기 공정의 위험을 잡는 필수 기법 HAZOP의 정의와 두 가지 접근 방...
blog.naver.com
[Procedural HAZOP #5] 플랜트 과도기 공정 중 위험성 통제의 중요성을 일깨워 주는 사고 사례들 - 1
플랜트 과도기 공정 중 사고 사례들과 절차적 위험성 평가의 필요성 (제1 편) 플랜트 운전의 구분과 과도기...
blog.naver.com
[Procedural HAZOP #7] 플랜트 운전 중 발생한 사고 분석 - 정상 운전 vs 과도기 공정
플랜트 사고 통계를 통해 본 과도기 공정에 대한 위험 통제의 중요성 플랜트 산업과 공정 안전의 본질 화학...
blog.naver.com
연관 포스팅
HAZOP (위험성 평가, Hazard and Operability )
아파브 그룹은 화공, 조선, 해양 등 프로세스 안전이 중요한 모든 산업에서 리스크를 최소화하고 글로벌 스...
blog.naver.com
Risk Analysis
위험성 분석 개요 위험성 분석에서의 위험요인(Hazard)은 인적/물적/환경 피해를 수반하는 사고를 일으키...
blog.naver.com
Apave Korea
02.552.4661
korea.tiv@apave.com