[Procedural HAZOP #13] 과도기 공정인 재가동 중 발생한 2015년 ExxonMobil Torrance 정유공장 폭발 사고

 

"유지 보수 후 재가동(Restart) 시의 절차적 결함은 노후 설비와 결합하여 대형 참사를 부른다."

---

과도기 공정의 종류와 위험성

화학 공장, 정유 공장, 유틸리티 시설, 발전소 등 플랜트의 운전은 항상 평온한 정상 상태(Steady State)만 유지하는 것은 아니다. 공정의 상태가 시간의 흐름에 따라 급격하게 변화하는 구간, 즉 '과도기 공정(Transient Operation)'이 존재하며 통계적으로 대부분의 중대 사고는 바로 이 시점에서 발생한다. 과도기 공정은 크게 다섯 가지로 구분할 수 있다. 첫째, 공장의 가동을 처음 시작하거나 재개하는 Startup (시운전) 단계이다. 둘째, 운전을 멈추는 가동 정지(Shutdown) 단계이다. 셋째, 공정 이상이나 유틸리티 중단 등에 대응하는 비상 운전(Emergency Operation) 단계이다. 넷째, 정기 보수나 기계적 수리를 마친 후 설비를 다시 가동하는 유지 보수 후 재가동(Restart after Maintenance) 단계이다. 마지막으로 생산하는 제품의 규격이나 종류를 변경하기 위해 운전 조건을 바꾸는 등급 교체 운전(Grade Change) 단계이다. 통계적으로 중대 산업 사고의 대부분은 이러한 과도기 공정 상태에서 발생하며, 운전원의 개입이 빈번하고 공정 변수가 급변하기 때문에 각별한 주의와 관리가 요구된다.

​

이러한 과도기 공정 중에서도 설비의 유지 보수 작업을 마치고 공정을 다시 정상화하는 유지 보수 후 재가동 단계에서 발생하여 막대한 피해를 입힌 2015년 미국 ExxonMobil Torrance 정유공장 폭발 사고를 절차적 안전 관리의 중요성에 대한 교훈을 얻고자 한다. (주. 본 글은 CSB(미국 화학 안전조사 위원회)의 사고 조사 보고서를 참고하여 작성되었다.)

 

---

 

2015년 ExxonMobil Torrance 정유공장 폭발 사고 개요

2015년 2월 18일 오전 8시 50분경, 미국 캘리포니아주 토런스(Torrance)에 위치한 엑슨모빌(ExxonMobil) 정유 공장의 유동 접촉 분해 공정(FCC, Fluid Catalytic Cracking Unit)에서 강력한 폭발 사고가 발생했다.

 

출처: CSB 사고 조사 보고서

 

이 사고는 FCC 공정의 연소가스 처리 설비인 전기 집진기(ESP, Electrostatic Precipitator) 내부에서 발생했다. 당시 공장은 FCC 공정의 일부 설비인 팽창기(Expander)의 진동 문제를 해결하기 위해 해당 공정을 '안전 대기 모드(Safe Park Mode)'로 전환하여 유지 보수 작업을 진행하고 있었다. 정비 작업이 마무리되고 공정을 재가동(Restart) 하기 위해 준비하던 중, 다량의 인화성 탄화수소 가스가 공정 내부에서 역류하여 전기 집진기(ESP)로 유입되었다. 전기 집진기는 미세한 촉매 분진을 제거하기 위해 고전압 스파크를 발생시키는 장치인데, 이곳으로 인화성 가스가 유입되면서 점화되어 대폭발로 이어졌다. 이 사고로 인해 4명의 작업자가 부상을 입었고, 무려 80,000파운드(약 36톤)에 달하는 거대한 잔해들이 인근 지역으로 비산 되었다. 특히, 맹독성 물질인 불산(Hydrofluoric Acid)을 저장하고 있던 탱크 바로 옆에 중량물의 파편이 떨어지는 아찔한 상황이 연출되어 자칫하면 대규모 화학 재난으로 번질 뻔했다.

 

---

 

사고의 전개 과정 및 피해 수준

사고가 발생하기 며칠 전, FCC 공장의 팽창기(Expander)에서 과도한 진동이 감지되었다. 엑슨모빌 측은 공정 전체를 완전히 정지(Shutdown)하는 대신, 원료 공급을 중단하고 스팀만을 순환시키며 대기하는 소위 '안전 대기 모드(Safe Park Mode)'로 공정을 운전하기로 결정했다. 이 모드는 설비 내부의 온도를 유지하면서 정비가 완료되면 신속하게 재가동하기 위한 목적이었다.

​

안전 대기 모드에서는 반응기(Reactor)와 재생기(Regenerator) 사이를 연결하는 '폐촉매 슬라이드 밸브(Spent Catalyst Slide Valve)'가 촉매와 가스의 흐름을 차단하는 핵심 역할을 한다. 운전원들은 이 슬라이드 밸브를 닫아 반응기와 재생기를 격리했다고 판단했다. 그러나 실제로는 이 밸브가 오랜 사용으로 마모되어 완전히 닫히지 않고 틈새가 벌어져 있는 상태였다. 평상시에는 밸브 내부에 스팀 장벽(Steam Barrier)을 형성하여 가스의 이동을 막았지만, 사고 당일에는 스팀 유량이 충분하지 않았다.

​

2월 18일 오전, 정비팀은 팽창기 수리를 마치고 재가동 절차에 착수했다. 재가동을 위해서는 재생기에서 발생하는 연소 가스가 팽창기를 거쳐 나가도록 배관 경로를 변경해야 했다. 운전원은 절차에 따라 팽창기의 입구와 출구 밸브를 조작하려 했다. 이때, 반응기 쪽에 연결된 주 정류탑(Main Fractionator)에는 여전히 나프타와 같은 경질 탄화수소 증기가 존재하고 있었다.

​

오전 8시 40분경, 운전원들이 팽창기 쪽의 격리 밸브를 개방하는 순간, 공정 내부의 압력 균형이 무너졌다. 정상적인 운전 상태라면 재생기의 압력이 반응기보다 높아 재생기에서 반응기 쪽으로 흐름이 형성되어야 한다. 하지만 당시 안전 대기 모드에서의 비정상적인 압력 조건과 슬라이드 밸브의 누설(Leaking)로 인해, 주 정류탑에 있던 탄화수소 증기가 반응기를 거쳐, 닫혀 있다고 믿었던 슬라이드 밸브의 틈을 타고 재생기로 역류(Backflow) 했다.

 

Catalyst Loop in ExxonMobil FCC Unit (출처: CSB 사고 조사 보고서)

 

역류한 탄화수소 가스는 재생기를 통과하여 연소 가스 배출 라인을 타고 전기 집진기(ESP)로 흘러들어갔다. 전기 집진기는 가동 중이었으므로 내부에서는 지속적으로 스파크가 발생하고 있었다. 오전 8시 50분, ESP 내부에 축적된 탄화수소 가스가 스파크에 의해 점화되면서 엄청난 폭발이 발생했다.

​

폭발의 위력은 실로 대단했다. 리히터 규모 1.7의 지진에 해당하는 진동이 감지되었고, 폭발로 인한 먼지와 잔해가 인근 주택가와 차량을 뒤덮었다. 가장 심각했던 것은 폭발 파편 중 하나가 불산 알킬화 공정(Alkylation Unit)의 불산 저장 탱크 지지대를 강타한 것이다. 만약 이 탱크가 파손되어 불산이 누출되었다면 수십만 명의 인근 주민이 치명적인 위험에 처할 수 있었다. 경제적으로도 캘리포니아 전체의 휘발유 가격이 급등하는 등 막대한 손실을 초래했다. CSB는 이 사고를 '아차 사고(Near Miss)' 수준을 넘어서는 심각한 공정안전 실패로 규정했다.

 

---

 

사고의 직접적인 원인

CSB 조사 결과 밝혀진 사고의 직접적인 원인은 명확하다. 첫째, 공정 격리의 실패이다. 반응기와 재생기를 격리해야 할 '폐촉매 슬라이드 밸브(Spent Catalyst Slide Valve)'가 마모되어 기밀을 유지하지 못했고, 이를 통한 탄화수소의 역류를 막지 못했다. 둘째, 역류된 탄화수소의 점화이다. 인화성 가스가 존재해서는 안 되는 전기 집진기(ESP)로 탄화수소가 유입되었고, ESP의 점화원이 이를 폭발시켰다. 셋째, 압력 균형의 붕괴이다. 재가동 준비 과정에서 밸브 조작 시 공정 내 압력 차이를 고려하지 않아, 탄화수소가 저압부인 재생기 쪽으로 흐르는 경로가 형성되었다.

​

사고의 근본 원인 (Root Cause) 분석

안전 문화 (Safety Culture)	엑슨모빌 경영진은 생산성을 안전보다 우선시하는 문화를 가지고 있었다. 팽창기 수리를 위해 공장을 완전히 정지(Shutdown) 하는 대신, 위험 부담이 있는 '안전 대기 모드'를 선택한 것도 생산 손실을 줄이기 위함이었다. 이러한 결정은 잠재적인 대형 사고의 위험을 간과한 것이었다.
정비 작업 중 공정 안전 관리 미흡	유지 보수 작업이 진행되는 동안 공정 운전 상태가 불안정함에도 불구하고, 이에 대한 명확한 안전 지침이 부족했다. 특히 '안전 대기 모드'라는 비정상적인 운전 상태에서 수행되는 정비 작업의 위험성을 제대로 평가하지 않았다.
노후 설비 방치 (Aging Equipment)	사고의 주원인이 된 슬라이드 밸브는 이미 수년 전부터 마모되어 제 기능을 못 한다는 사실이 알려져 있었다. 엑슨모빌은 이를 교체하기 위해 공장을 세우는 비용을 아끼기 위해 수리를 계속 미루어 왔고, "스팀 장벽을 쓰면 괜찮다"라는 안일한 판단으로 노후 설비를 방치했다.
변경된 운전 조건에 대한 위험성 평가 부재 (MOC)	표준 운전 절차가 아닌 '안전 대기 모드'라는 변칙적인 운전 방법을 도입했음에도 불구하고, 이에 대한 변경 관리(MOC) 절차를 철저히 수행하지 않았다. 변경된 운전 조건에서 압력 균형이 어떻게 변할지, 밸브 누설 시 어떤 시나리오가 발생할지에 대한 기술적 검토가 누락되었다.
절차 위험성 평가 (Procedural HAZOP 미비)	가장 핵심적인 근본 원인은 재가동 절차에 대한 위험성 평가가 없었다는 점이다. 팽창기 밸브를 여는 구체적인 '순서'와 '시점'이 슬라이드 밸브의 누설과 결합했을 때 어떤 결과를 초래할지 분석하는 Procedural HAZOP이 수행되지 않았다. 만약 절차적 위험성 평가가 있었다면, 슬라이드 밸브가 완벽하지 않은 상태에서 팽창기 라인을 개방하는 절차의 위험성을 미리 발견했을 것이다.

 

---

 

사고의 시사점 및 예방 활동

ExxonMobil Torrance 사고는 설비의 결함과 절차의 허점이 만나면 어떤 재앙이 발생하는지를 보여준다. 이를 예방하기 위해서는 사람, 절차, 설비의 세 가지 측면에서 입체적인 접근이 필요하다.

사람 People	운전원과 엔지니어는 공정의 압력 균형(Pressure Balance)과 흐름의 역학을 깊이 있게 이해해야 한다. 단순히 밸브를 열고 닫는 행위를 넘어, 그 행위가 공정 전체의 압력 분포에 미치는 영향을 예측할 수 있어야 한다. 이를 위해 비정상 운전 상황에 대한 시뮬레이션 교육이 필요하다. 또한, 경영진은 노후 설비의 교체나 안전을 위한 공장 정지를 비용이 아닌 투자로 인식하는 리더십을 발휘해야 한다. 현장 작업자는 설비의 이상 징후(슬라이드 밸브 누설 등)를 발견했을 때 이를 즉시 보고하고, 안전이 확보되지 않으면 작업을 거부할 수 있는 권한을 가져야 한다.
설비 Equipment	노후화된 안전 핵심 설비(Safety Critical Equipment)는 적기에 교체되어야 한다. 특히 공정을 격리하는 밸브는 단일 밸브에 의존해서는 안 되며, 맹판(Blind) 설치나 이중 차단 및 배출(Double Block and Bleed) 방식을 적용하여 물리적인 격리를 확실히 해야 한다. 또한, 역류를 감지할 수 있는 압력 차압계나 가스 감지기를 주요 설비 연결 부위에 설치하여, 의도치 않은 흐름이 발생했을 때 즉시 경보를 울리고 자동으로 차단하는 안전 계장 시스템(SIS)을 구축해야 한다. 전기 집진기와 같이 점화원이 될 수 있는 설비에는 탄화수소 유입을 감지하여 전원을 즉시 차단하는 인터록(Interlock) 시스템이 필수적이다.
절차 및 시스템 Procedure & System	이 사고 분석에서 가장 강조하고 싶은 것은 '절차적 위험성 평가(Procedural HAZOP)'의 도입이다. 기존의 P&ID 기반 HAZOP은 정상 운전 상태(Steady State)를 가정하므로, 재가동과 같은 과도기 공정의 복잡한 절차적 위험을 찾아내기 어렵다. 재가동 시 밸브 조작의 순서 하나가 바뀌거나, 특정 밸브가 누설되는 조건에서 다음 단계(Step)로 넘어갈 때 발생하는 시나리오는 Procedural HAZOP을 통해서만 발굴할 수 있다. 예를 들어, "슬라이드 밸브가 닫힌 것으로 간주되지만 실제로는 누설이 있는 상태(Deviation)"에서 "팽창기 격리 밸브를 개방(Action)" 하면 "반응기 압력이 재생기보다 낮아져 역류 발생(Consequence)"이라는 시나리오를 Procedural HAZOP 워크숍에서 미리 도출했어야 한다. 이를 통해 "슬라이드 밸브의 기밀성이 확인되지 않으면 재가동 절차를 진행하지 않는다"라는 필수 확인 절차(Hold Point)를 절차서에 반영했다면 사고는 예방되었을 것이다. 또한, 표준 절차를 벗어난 '안전 대기 모드'와 같은 임시 운전 절차에 대해서는 더욱 엄격한 변경 관리(MOC)와 위험성 평가를 수행해야 한다. 절차서는 단순히 행동의 나열이 아니라, 각 단계별 안전 조건을 확인하는 검증 도구가 되어야 한다.

구분	ExxonMobil Torrance 사고 상황	Procedural HAZOP 적용 시
운전 상황	안전 대기 모드'라는 비표준 절차 적용	비정상 운전 모드에 대한 절차적 위험성 평가 수행
설비 상태	슬라이드 밸브 마모 및 누설 방치	"Valve Leak" 또는 "Partially Open" 가이드 워드로 위험 식별
절차 수행	밸브 기밀 확인 없이 팽창기 라인 개방	개방 전 밸브 기밀 확인 및 압력 차이 확인(Hold Point) 설정
위험 결과	압력 역전으로 인한 탄화수소 역류 및 폭발	역류 시나리오 도출에 따른 ESP 전원 차단 또는 완벽한 격리(Blind) 요구
교훈	생산 우선으로 인한 노후 설비 방치의 대가	절차와 설비의 상호작용 분석을 통한 본질적 안전 확보

 

---

 

안전한 재가동을 위하여…

ExxonMobil Torrance 사고는 유지 보수 후 재가동이라는 과도기 공정이 얼마나 취약한지를 증명했다. 우리는 이 사고를 타산지석으로 삼아야 한다. 하드웨어적인 설비 보강도 중요하지만, 그 설비를 운용하는 '절차'의 완결성을 검증하는 것이야말로 사고 예방의 핵심이다. 사업장은 재가동 절차를 포함한 모든 비정상 운전 절차에 대해 Procedural HAZOP을 필수적으로 수행해야 한다. 절차의 행간에 숨어 있는 위험을 찾아내고, 작업자의 실수가 대형 사고로 이어지지 않도록 시스템적으로 방어막을 구축하는 것, 그것이 바로 Procedural HAZOP의 목적이며 우리 공장의 안전을 지키는 길이다.

 

---

 

[Technical Insight] Procedural HAZOP Series

 

 

 

 

 

 

연관 포스팅

 

 

 

---

Apave Korea

02.552.4661

korea.tiv@apave.com