" 비상 정지 중의 숨겨진 시한폭탄은 절차적 위험성 평가를 예방해야 한다. "
과도기 공정의 종류와 위험성
화학 공장, 정유 공장, 유틸리티 시설, 발전소 등 플랜트의 운전은 항상 평온한 정상 상태(Steady State)만 유지하는 것은 아니다. 공정의 상태가 시간의 흐름에 따라 급격하게 변화하는 구간, 즉 '과도기 공정(Transient Operation)'이 존재하며 통계적으로 대부분의 중대 사고는 바로 이 시점에서 발생한다. 과도기 공정은 크게 다섯 가지로 구분할 수 있다. 첫째, 공장의 가동을 처음 시작하거나 재개하는 Startup (시운전) 단계이다. 둘째, 운전을 멈추는 가동 정지(Shutdown) 단계이다. 셋째, 공정 이상이나 유틸리티 중단 등에 대응하는 비상 운전(Emergency Operation) 단계이다. 넷째, 정기 보수나 기계적 수리를 마친 후 설비를 다시 가동하는 유지보수 후 재가동(Restart after Maintenance) 단계이다. 마지막으로 생산하는 제품의 규격이나 종류를 변경하기 위해 운전 조건을 바꾸는 등급 교체 운전(Grade Change) 단계이다. 통계적으로 중대 산업 사고의 대부분은 이러한 과도기 공정 상태에서 발생하며, 운전원의 개입이 빈번하고 공정 변수가 급변하기 때문에 각별한 주의와 관리가 요구된다.
이러한 과도기 공정 중에서도 갑작스러운 설비 이상으로 인한 비상 정지 및 재가동 과정에서 발생한 2008년 미국 Bayer CropScience 농약 공장 폭발 사고를 통해 절차적 안전 관리의 중요성에 대한 교훈을 얻고자 한다. (주. 본 글은 CSB(미국 화학안전조사위원회)의 사고 조사 보고서를 참고하여 작성되었다.)
2008년 Bayer CropScience 농약공장 폭발 사고 개요
2008년 8월 28일, 미국 웨스트버지니아주에 위치한 Bayer CropScience 공장의 메토밀(Methomyl) 생산 라인에서 강력한 폭발 사고가 발생했다.
사고가 발생한 핵심 설비는 농약 원료인 메토밀을 생산하고 남은 폐액을 처리하는 잔류물 처리기(Residue Treater)였다. 당시 공장은 장기간의 정기 보수 작업을 마치고 재가동을 준비하던 중이었으나, 제어 시스템 교체와 관련된 기술적 문제로 인해 수차례 가동과 정지를 반복하는 불안정한 상황이었다. 이 과정에서 잔류물 처리기 (Residue Treater) 내부의 화학 물질이 과열되어 분해 반응이 폭주(Runaway Reaction)했고, 급격히 상승한 압력을 견디지 못한 압력 용기가 파열되면서 폭발이 발생했다. 이 폭발은 반경 수십 킬로미터 내의 주민들을 공포에 떨게 했으며, 공정안전 관리 시스템, 특히 비상 상황에서의 절차적 대응 미흡이 얼마나 큰 재앙을 초래할 수 있는지를 보여준 대표적인 사례이다.
사고의 전개 과정 및 피해 수준
사고 당일, 메토밀 생산 공정은 제어 시스템 업그레이드 후 재가동을 시도하고 있었다. 그러나 새로운 제어 시스템의 호환성 문제와 설비 트러블로 인해 공정은 정상 궤도에 오르지 못하고 비상 정지와 재가동 시도를 반복했다. 사고의 발단이 된 Residue Treater는 메토밀 폐액을 용매(Solvent)와 섞어 가열함으로써 안전하게 분해하는 역할을 한다. 하지만 잦은 가동 중단으로 인해 Residue Treater 내부의 온도는 떨어져 있었고, 이를 다시 가열하는 과정에서 정상적인 절차와는 다른 상황이 전개되었다.
운전원들은 공정 내에 적체된 메토밀을 처리하기 위해 급박하게 움직였다. 절차상으로는 Residue Treater에 충분한 용매를 채우고 교반하면서 서서히 온도를 올려야 했으나, 용매의 투입량이 부족한 상태에서 고농도의 메토밀이 유입되었다. 설상가상으로 Residue Treater의 히터는 계속 가동되어 내부 온도를 상승시켰다. 본래 메토밀은 특정 온도 이상에서 급격히 분해되는 성질을 가지고 있다. Residue Treater 내부의 메토밀 농도가 설계치보다 훨씬 높은 상태에서 과도한 열이 가해지자, 통제 불가능한 발열 분해 반응이 시작되었다.
오후 10시 30분경, Residue Treater 내부의 압력은 급격히 치솟았다. 안전 밸브와 벤트 배관이 설치되어 있었지만, 폭주 반응으로 발생한 막대한 양의 가스와 증기를 배출하기에는 역부족이었다. 결국 2톤이 넘는 육중한 Residue Treater가 폭탄처럼 터져 날아갔고, 이로 인한 충격파와 화염이 공장 내부를 덮쳤다. 이 사고로 현장에서 작업 중이던 운전원 2명이 사망하고 8명이 부상을 입었다.
더욱 아찔했던 점은 폭발 지점으로부터 불과 15미터 떨어진 곳에 맹독성 가스인 메틸 이소시아네이트(MIC) 저장 탱크가 있었다는 사실이다. MIC는 1984년 인도 보팔 참사를 일으킨 바로 그 물질이다. 폭발 파편이 이 탱크를 타격했으나 다행히 관통하지는 않아 대재앙은 면했지만, 지역 사회는 큰 충격에 빠졌다. 공장 시설의 파괴는 물론, 인근 주거 지역까지 폭발음과 진동이 전달되었으며, 사고 후 듀폰 등의 화학 기업에 대한 규제가 강화되는 계기가 되었다.
사고의 직접적인 원인
CSB 조사 결과 밝혀진 사고의 직접적인 원인은 Residue Treater 내부의 '반응 폭주(Runaway Reaction)'이다. 재가동 과정에서 메토밀의 농도를 낮추기 위한 용매(Flushes)가 충분히 공급되지 않은 상태에서 고농도의 메토밀이 Residue Treater로 유입되었고, 스팀 히터가 과도하게 작동하여 분해 온도를 초과했다. 또한, 폭주 반응 시 발생하는 가스를 처리할 수 있는 벤트 시스템의 용량이 부족하거나 막혀 있어 내부 압력 상승을 해소하지 못하고 용기 파열로 이어졌다.
사고의 근본 원인 (Root Cause) 분석
|
안전 문화
(Safety Culture)
|
Bayer 공장은 생산 일정을 맞추기 위해 안전보다 가동을 우선시하는 문화를 가지고 있었다. 반복되는 설비 트러블과 경보에도 불구하고, 근본적인 원인을 해결하기보다는 임시방편으로 운전을 강행하려는 압박이 운전원들에게 가해졌다. 이는 비정상 상황을 정상적인 것으로 받아들이는 안일한 태도를 낳았다.
|
|
비상 시 공정 처리 절차의 결함
|
제어 시스템 오류로 인한 비상 정지 및 재가동 상황에 대한 명확한 표준 운전 절차(SOP)가 부재했다. 정상적인 시운전 절차는 있었으나, 트러블 슈팅 중 용매가 부족하거나 온도가 불안정한 상황에서 어떻게 대처해야 하는지에 대한 구체적인 지침이 없었다.
|
|
설비 설계 미흡
|
Residue Treater의 히터 제어 시스템은 내부 내용물의 상태(수위, 성분)와 관계없이 작동할 수 있는 구조였다. 또한, 중요 안전 인터록(Interlock)이 복잡하고 이해하기 어려웠으며, 일부는 운전 편의를 위해 바이패스(Bypass) 되거나 기능이 불충분하게 설계되어 있었다.
|
|
절차 위험성 평가
(Procedural HAZOP 부재)
|
CSB는 해당 공정이 수차례의 변경과 보수를 거쳤음에도 불구하고, 시운전이나 비상 정지와 같은 과도기적 단계에 대한 위험성 평가(PHA)가 제대로 수행되지 않았음을 지적했다. 특히 절차의 순서나 타이밍 오류를 분석하는 'Procedural HAZOP'이 수행되지 않아, 용매 투입 전 히팅이 지속될 경우의 위험성을 사전에 인지하지 못했다.
|
|
공정 위험 정보의 부족
|
운전원과 엔지니어들은 메토밀의 정확한 분해 온도와 폭주 반응 특성에 대한 정보(Process Safety Information)를 충분히 숙지하지 못했다. 이 물질이 특정 조건에서 얼마나 위험하게 변할 수 있는지에 대한 데이터가 현장에 공유되지 않았다.
|
|
교육
(Training)
|
새로운 제어 시스템에 대한 운전원 교육이 미흡했다. 화면에 표시되는 복잡한 데이터와 경보를 해석하는 능력이 부족했고, 비정상 상황에서의 비상 조치 요령에 대한 훈련이 부족하여 실제 상황에서 적절한 판단을 내리지 못했다.
|
사고의 시사점 및 예방 활동
Bayer 사고는 복잡한 화학 공정에서 비상 상황이 발생했을 때, 준비되지 않은 조직이 얼마나 취약한지를 여실히 보여준다. 이를 예방하기 위해서는 사람, 절차, 설비의 세 가지 측면에서 입체적인 접근이 필요하다.
|
사람
People
|
운전원의 역량 강화는 필수적이다. 특히 자신이 다루는 화학물질의 반응성과 위험 특성을 완벽히 이해하도록 교육해야 한다. 또한 피로 관리와 스트레스 관리가 중요하다. 사고 당시 장시간 근무로 지친 운전원들이 복잡한 트러블 슈팅을 수행했다는 점을 기억해야 한다. 경영진은 생산 압박 대신 '안전하지 않으면 가동하지 않는다'는 명확한 메시지를 전달하고, 작업자가 불안전함을 감지했을 때 즉시 작업을 중지할 수 있는 권한을 보장해야 한다.
|
|
설비
Equipment
|
설비는 인간의 실수를 방어할 수 있어야 한다. Residue Treater와 같은 반응기에는 이상 고온이나 압력 상승 시 자동으로 열원을 차단하고 반응 억제제를 투입하거나 비상 벤트(Emergency Vent)를 개방하는 안전 계장 시스템(SIS)이 구축되어야 한다. 이러한 인터록 시스템은 임의로 해제할 수 없도록 관리되어야 하며, 벤트 시스템의 용량은 최악의 폭주 반응 시나리오(Worst Case Scenario)를 기반으로 설계되어야 한다.
|
|
절차 및 시스템
Procedure & System
|
이 사고에서 가장 강조하고 싶은 예방책은 바로 '절차적 위험성 평가(Procedural HAZOP)'의 도입이다. 기존의 P&ID 기반 HAZOP은 정상 운전 상태를 가정하므로, 시운전이나 비상 정지와 같이 순서와 시간이 중요한 과도기 공정의 위험을 놓치기 쉽다. Procedural HAZOP을 통해 "용매 투입 단계가 누락되면?", "히팅이 예정보다 일찍 시작되면?", "교반기가 멈춘 상태에서 원료가 투입되면?"과 같은 구체적인 질문을 던져야 한다. Bayer 사고의 경우, 만약 절차적 위험성 평가를 수행했다면 "용매가 충분하지 않은 상태에서 히터가 가동될 위험"을 미리 식별하고, "수위가 낮으면 히터가 켜지지 않도록 하는 인터록"을 추가하거나 절차서에 "용매 수위 확인 후 히터 가동"이라는 필수 확인 지점(Hold Point)을 설정했을 것이다. 또한, 비상 운전 절차서는 일반적인 절차서와 분리하여, 긴급 상황에서 운전원이 직관적으로 따를 수 있도록 명료하게 작성되어야 한다. 변경 관리(MOC) 시스템을 통해 제어 시스템 업그레이드나 절차 변경 시 발생할 수 있는 새로운 위험을 사전에 검토하는 것도 필수적이다. 절차적 위험성 평가는 서류 작업이 아니라 현장의 생명을 지키는 실질적인 도구가 되어야 한다.
|
|
구분
|
Bayer CropScience 사고 상황
|
Procedural HAZOP 적용 시
|
|
운전 상황
|
제어 시스템 오류로 인한 비상 정지 및 재가동
|
비상 상황 시나리오에 대한 절차적 검토 수행
|
|
절차 수행
|
용매 부족 상태에서 메토밀 유입 및 가열
|
"Less Solvent", "Early Heating" 가이드 워드로 위험 식별
|
|
설비 동작
|
수위/농도 확인 없이 히터 지속 가동
|
히터 가동 전 "용매 수위 확인" 인터록 또는 절차적 확인 단계 추가
|
|
정보 인지
|
분해 온도 및 반응 폭주 위험성 미숙지
|
HAZOP 수행 과정에서 물질 특성 검토 및 교육 필요성 도출
|
|
결과
|
반응 폭주로 인한 용기 파열 및 2명 사망
|
안전한 조건 충족 시에만 가열 시작, 사고 예방
|
안전한 Startup (시운전)을 위하여…
Bayer CropScience 사고는 비상 정지와 같은 혼란스러운 상황에서 시스템의 허점이 어떻게 대형 참사로 이어지는지를 증명했다. 이를 방지하기 위해 우리는 사람의 주의와 역량에만 의존해서는 안 된다. 설비의 안전 장치를 보강하는 것과 더불어, 작업의 모든 단계(Step)를 현미경처럼 들여다보는 절차적 위험성 평가(Procedural HAZOP)를 반드시 도입해야 한다. 사업장은 절차적 위험성 평가를 통해 절차서의 사각지대를 찾아내고, 잠재된 위험 시나리오를 발굴하여 개선함으로써 과도기 공정에서도 흔들리지 않는 견고한 공정안전 체계를 구축해야 한다. 이것만이 제2의 Bayer 사고를 막는 길이다.
[Technical Insight] Procedural HAZOP Series
[Procedural HAZOP #1] 과도기 공정의 위험을 잡는 필수 기법
Procedural HAZOP 이란? 과도기 공정의 위험을 잡는 필수 기법 HAZOP의 정의와 두 가지 접근 방...
blog.naver.com
[Procedural HAZOP #5] 플랜트 과도기 공정 중 위험성 통제의 중요성을 일깨워 주는 사고 사례들 - 1
플랜트 과도기 공정 중 사고 사례들과 절차적 위험성 평가의 필요성 (제1 편) 플랜트 운전의 구분과 과도기...
blog.naver.com
[Procedural HAZOP #7] 플랜트 운전 중 발생한 사고 분석 - 정상 운전 vs 과도기 공정
플랜트 사고 통계를 통해 본 과도기 공정에 대한 위험 통제의 중요성 플랜트 산업과 공정 안전의 본질 화학...
blog.naver.com
연관 포스팅
HAZOP (위험성 평가, Hazard and Operability )
아파브 그룹은 화공, 조선, 해양 등 프로세스 안전이 중요한 모든 산업에서 리스크를 최소화하고 글로벌 스...
blog.naver.com
Risk Analysis
위험성 분석 개요 위험성 분석에서의 위험요인(Hazard)은 인적/물적/환경 피해를 수반하는 사고를 일으키...
blog.naver.com
Apave Korea
02.552.4661
korea.tiv@apave.com