1931년에 발표한 하인리히의 도미노이론은 산업재해의 발생원인을 최초로 과학적인 차원에서 접근했다는 점에서 그 의의가 깊다. 그리고 1976년 버드의 수정도미노이론은 하인리히의 탐구보다 더 깊게 들어가 인간의 불안전한 행동의 원인이 되는 그 배후에 대해 연구했다는 점에서 그 의미가 있다. 하지만 하인리히와 버드의 이론들은 모두 원인과 결과를 기반으로한 선형적인 사고분석모형으로 사고발생에 있어 인적요인을 강조하는 모델일 뿐이었다. 오늘날의 산업재해는 인간의 불안전한 행동이나 불안전한 환경만으로만 발생하지는 않는다. 세상이 더욱 복잡해졌기 때문에 하인리히와 버드의 이론들은 더 이상 효력을 발휘할수 없는 세상이 되었다. 따라서 오늘날의 안전관리이론들은 하인리히와 버드의 개인별 접근방식보다는 시스템적 접근방식을 취하고 있는데, 제임스 리즌의 스위스 치즈모델이 대표적이라 할 수 있다.

 1990년 영국 맨체스터대학교의 심리학자였던 제임스 리즌(James Reason)은 스위스치즈 이론을 내놓는다. 그의 이론에 따르면 시스템의 불완전을 보호하기 위한 각각의 다중 방호장치가 있는데, 이 장치는 구멍이 뚫려 있어 완벽하지 않기 때문에 우연히 이러한 구멍들이 일렬로 늘어서게 될 경우에 사고가 발생한다는 것이다. 즉, 사고는 어느 한 가지만의 요인에 의한 것이 아니라 여러 개의 장치와 과정이 동시에 제 기능을 못할 때 발생한다는 이론이다. 하인리히와 버드의 사고 발생 원인론이 단선적 연쇄 모형의 성격을 띠는 데 비해 리즌의 스위스 치즈 모델은 사고 원인을 다차원적 복합 모형의 관점에서 접근한다는 데 중요한 차이가 있다. 그러한 의미에서 1978년에 발생한 TMI사고는 이러한 모형을 대표적으로 실증해 주는 사고였다. 
​

 1978년 3월 28일 미국 펜실바니아주 미들타운 스리마일 섬(Three Mile Island) 에서 세계 최초의 원자력 발전소 사고가 발생하였다. 당시 스리마일섬에는 우리나라에도 설치되어 있는 가압경수로와 같은 2기의 원자로가 있었다. 사고는 아주 사소한 원인에서 시작되었다. 당시 1호기는 핵연료 재충전을 위해 차단조치가 내려졌고 , 2호기만 가동 중이었다. 그런데 2호기의 스팀터빈발전기에서 응축수를 공급하는 부스터 펌프 전단에 설치된 냉각수 필터가 막히는 일이 발생했다. 새벽 4시에 작업자들은 필터교환작업을 실시하였고, 이 과정에서 압축공기에 수분이 침투되었다. 수분이 함유된 압축공기가 부스터 펌프로 유입되면서 부스터 펌프의 가동이 멈췄다. 부스터 펌프가 고장나자 급수펌프에 냉각수의 공급이 정지되었고, 안전을 위해 설계된 이중(Redundancy) 회로에 의해서 비상급수펌프가 가동되었다. 그러나 열교환기로 공급되어야 할 냉각수는 공급되지 않았다. 며칠 전 비상급수펌프를 수리하면서 블록밸브를 닫았는데 작업이 끝난 후에도 작업자들이 블록밸브를 정상화시키지 않고 작업을 종료한 것이다.

가압경수로는 원자로의 1차 냉각수가 터빈발전기로 바로 공급되는 것이 아니라 열교환기에서 2차 냉각수와 열교환하는 방식으로 설계된다. 따라서 열효율은 떨어지지만 방사능에 오염된 1차 냉각수가 아닌 깨끗한 냉각수가 터빈계통을 순환하는 형식으로 중수로보다 안전한 방식이다. 2차 냉각수의 공급이 중단되자 열교환기에서 1차 냉각수가 과열되기 시작했다. 1차 냉각수는 열효율을 높이기 위해 물을 고압으로 가압하기 때문에 물의 온도가 100도씨에 도달해도 물이 끓지 않는다. 그러나 열교환이 중단되자 온도가 상승하였고 1차 냉각수는 끓어오르기 시작했다. 온도가 높아지면서 압력이 증가하자, 가압기 상부에 설치된 배출밸브가 열려 높아진 압력을 빼주기 시작했다.

배출밸브는 압력을 완화시킨 후 다시 닫혀지는 릴리프 밸브였지만, 문제는 열린 배출밸브가 압력이 완화된 후에도 계속 열린 채로 유지되었다는 것이다. 그러나 중앙제어실에서는 이 사실을 알지 못했다. 밸브신호가 정상상태로 들어오고 있었기 때문이다. 이는 밸브의 오작동으로 설계상의 결함이었다. 다시 닫혀져야 할 배출밸브가 열려진 상태로 유지되자, 물을 계속해서 끓어올랐고 증기화 되어 배출되었다. 결국 원자로의 연료봉이 노출될 정도로 1차 냉각수가 줄어들자 제어실에서는 가압기의 압력경보, 온도경보, 저수위경보 등 온갖 계기들에서 알람이 울리기 시작했지만 정확한 원인을 알 수 없게 되자 운전원들은 허둥되기 시작했다.

 원자로의 저수위경보기가 작동하면서 자동적으로 1차 냉각수를 공급하는 2개의 공급펌프가 운전을 시작하여 물을 채우기 시작했다. 이윽고 가압기의 물은 다시 보충이 되었다. 그러나 운전원들은 배출밸브가 열려진 것을 몰랐으므로 물이 어디서 새고 있는지 왜 1차 냉각수 공급펌프가 작동했는지 알 수가 없었다. 그들은 기술위원회로부터 가압기가 침수되지 않도록 운전하라는 교육을 받았다. 2개의 공급펌프가 가동을 시작하자 가압기는 곧 물로 채워지기 시작했다. 침수를 두려워한 운전원 들은 2개의 공급펌프의 동작을 중지시켰다. 이것은 치명적인 실수였다. 배출밸브가 열려 증기는 계속하여 배출되었으나 냉각수의 공급이 중단되자 물에 잠겨 있던 연료봉이 노출되어 공기와 접촉하였다. 연료봉은 지르코늄 합금으로 되어 있는데 공기와 반응하면 수소가스를 발생시켰다. 공기에 노출된 연료봉에서 수소가스가 발생했다. 이윽고 발생한 수소가스는 점화원과 반응하여 수소폭발을 일으켰다. 다행히 격납로의 외벽이 두꺼워 외벽이 파손되지는 않았다. 만약 격납고가 파손되었더라면 체르노빌, 후쿠시마 사고와 같은 대형 참사로 이어졌을 것이다.

아침 6시 운전원들은 노련하고 경험이 많은 운전원들로 교체되었다. 교체된 운전원들은 배출밸브의 온도가 지나치게 높은 것을 이상하게 여기고 혹시 배출밸브가 열려진 상태가 아닌지 의심했다. 확인결과 밸브가 열려진 사실이 확인 되었다. 바로 배출밸브를 닫았으나, 이미 방사능에 오염된 대량의 1차 냉각수가 누출된 후였다. 누출된 양은 13만톤이나 되었으며, 이 양은 원자로의 냉각수 용량의 1/3에 해당하는 양이었다. 배출밸브로 누출된 방사능에 오염된 냉각수는 드레인 탱크로 모아졌는데 워낙 양이 많았기에 드레인(drain) 탱크의 용량 초과로 흘러 넘치게 되었고, 흘러 넘친 냉각수는 집수조(Sump pond)로 모아졌다. 그러나 집수조도 용량을 초과하자 흘러 넘친 물은 보조건물로 유입되었다. 그러자 보조건물에 방사능 수치가 평소보다 300배나 높아졌다. 6시 30분 보조건물에 있던 직원들의 대피명령이 떨어졌다. 그리고 7시 원전운전에 필요한 필수인력을 제외한 모든 직원의 대피명령이 전달되었고, 펜실베니아 주지사인 리처드 손버그는 원자력 발전소 반경 5마일 내에 있는 임산부와 아동들에게만 대피명령을 내렸지만 인근에 있는 대부분의 주민 20만명이 대피행렬에 참가하게 되었다.
​
이 사고의 원인은 무엇이었을까? 다시 한번 사고의 발생과정을 살펴보자. 
펌프의 냉각수필터가 막힘 → 보수작업중 실수로 공기가 유입되어 부스터 펌프가 멈춤 → 냉각수 공급이 중단되자 비상급수펌프 가동 → 며칠전 비상급수펌프 수리후 블록밸브를 닫은 채로 작업을 종료하여 냉각수가 공급되지 않음 → 냉각수 공급이 중단되자 열교환이 이루어지지 않았고 열교환기에서 1차 냉각수가 끓어오르기 시작함→ →압력이 증가하자 가압기 상부에 설치된 배출밸브가 열렸으나 압력해소후에도 밸브가 닫히지 않음 → 냉각수가 고갈되자 자동적으로 물공급 펌프가 동작하여 가압기의 물이 보충됨 → 운전원들은 가압기가 침수되는 것을 우려하여 공급펌프를 정지시킴 → 냉각수가 고갈되어 물에 잠겨 있던 연료봉이 노출됨 → 연료봉의 지르코늄이 공기와 반응하여 수소를 발생시킴 →수소가 점화원과 반응하여 수소폭발 발생 
​
TMI원전에는 다중의 방호장치가 설치되어 있었다. 그 중에서 하나만 제대로 작동하였더라면 사고로 이어지지 않았을 것이다. 하지만 사고는 공교롭게도 우연하게 모든 방호층을 뚫고 발생하였다. 펌프를 수리하고 정비공이 제대로 블록밸브를 열어놨더라면, 가압기의 배출밸브가 제대로 작동하였더라면, 배출밸브가 열려있다는 알람신호가 계기판에 제대로 들어왔더라면, 원전운전원이 냉각수 공급펌프를 정지시키지 않았더라면 사고는 발생하지 않았을 것이다. 하지만 이 모든 방호층들이 한순간에 뚫여버렸다. 
​
사고 발생후에 이 사고의 책임소재를 가지고 큰 논쟁이 벌어졌다. 이 사고의 책임은 원전 설계사인 밥콕 앤 윌콕스, 원전운영회사인 메트로폴리탄에디슨, 원전을 관리감독하는 원자력 위원회 중 누구에게 있을까? 원전설계사인 밥콕 앤 윌콕스는 작업자들이 블록밸브를 잠궈놓았다는 이유로 원전운영회사인 메트로폴리탄에디슨을 비난했고, 원전운영회사인 메트로폴리탄에디슨은 원전사고의 핵심적인 원인을 제공한 배출밸브의 오동작과 배출밸브의 상태를 표시하는 계기판의 문제점을 제기하면서 밥콕 앤 윌콕스를 고소했다. 하지만 원자력위원회도 이 사고에 큰 단초를 제공했다. 원자력위원회는 같은 종류의 사고가 얼마전에 타 발전소에도 있었지만 의사소통의 문제로 정보를 공유하지 않았고, 이에 대한 비상대응대책도 수립하지 않았다. 또한 원자력위원회는 채용된 운전원들에 대하여 원전의 기본원리와 운전지침을 제대로 교육시키지 않았고 훈련시키지도 못했다.

 이론적이라면 모든 방호층들이 제대로 작동하는 한 사고는 발생하지 않아야 한다. 하지만 현실에서는 다르다. 제임스 리즌은 복잡한 시스템으로 구성된 여러가지 환경속에서의 사고발생의 과정과 대책을 제시한다. 기존의 하이리히의 도미노이론에서는 작업자의 불안전한 행동에서 멈추었지만, 스위스 치즈모델에서는 사고발생에 있어 인적오류가 사고의 원인으로 규명될 경우에 사고발생의 요인에 대한 분석을 조직적인 요인까지 확대했다는 점에서 그 의의가 크다. 그는 사고에 있어서 조직사고(Organizational Accident)의 위험성을 강조했다. 

스위스 치즈이론에 의하면 사고발생의 4단계 과정은 다음과 같다. 

 TMI사고의 결정적인 실수는 운전원들이 가압기가 침수되는 것을 우려하여 냉각수 공급펌프를 정지시킨 것이었다. 그것이 연료봉의 노출로 이어졌고, 수소폭발이 발생했다. 냉각수 공급펌프를 정지시킨 것은 사실 운전원 개인의 문제가 아니라 조직의 문제였다. 원자력발전소의 기본원리에 대한 교육 대신에 원전 가압기의 침수위험에 대해서만 강조하여 운전하도록 교육을 받았기 때문이다. 
​
사고당시 원자력발전소 제어실에는 원전운영사, 원전설계사, 원전위원회, 펜실베니아 주정부, 백악관 관계자 등 6개의 조직이 모두 모여있었지만, 6개의 조직의 지휘체계가 일원화되지 않았다. 사고원인의 파악되어 신속한 대처가 있어야함에도 사태는 영문도 모르는 사이 우왕좌왕하면서 사고는 걷잡을수 없이 커져 버렸다. 
​
언론과 주민들간의 의사소통의 부재였다. 언론은 정확한 사실을 보도하지 못했고, 낙관론과 비관론을 반복하면서 주민의 신뢰를 잃었다. 그래서 주민들은 대피를 해야 할지 말아야 할지를 갈피를 잡지 못했다. 다행스럽게도 누출된 방사선의 양이 많지 않았지만, 만약 대량의 방사능이 누출되었고 주민들의 대피가 늦었더라면 엄청난 재앙을 초래하였을 것이다.

 이 사고로 인해 많은 것이 바뀌었다. 국제원자력기구는 원자력과 관련된 사고와 고장을 일반인에게 정확하게 알리고자 원자력의 사고와 고장등급의 분류 체계를 만들었고, 경제협력개발기구 산하 원자력국의 동의를 얻어 1992년부터 전 세계적으로 적용하기 시작했다. 이 규정에 의하면 원전보유 59개국은 원전고장 및 사고가 발생한 경우 24시간 이내에 IAEA에 통보해야 한다. 원전설계사인 밥콕 앤 윌콕스는 원자력 발전소사업을 접어야 했고, 1979년 밥콕 인터내셔널 (Babcock International Ltd)로 사명을 바꾸었다가, 1995년 일본의 미쓰이에게 합병되었다가 미쓰이가 두산에게 미쓰이 밥콕 에너지를 팔아넘기면서 훗날 두산 밥콕이 탄생했다. 
​
TMI사고는 많은 시사점을 남긴 사고였다. 그렇게 많은 다중의 방호장치로 구성된 원자력 발전소가 사소한 이유로 속절없이 무너져 내린 것이다. 예일대학교의 찰스페로는 TMI 사고를 면밀히 조사하고나서, 대형화되고 복잡하며 긴밀하게 연결된 시스템에서는 TMI사고와 같은 일들은 앞으로도 계속하여 일어날수 밖에 없다는 결론을 내렸다. 이후 1984년에 정상사고(Normal accident)이론을 발표하였고, 그로부터 27년 후인 2011년에 그의 예언대로 후쿠시마 원전사고가 발생하고 말았다.

리스크랩연구소 홈페이지링크:http:// http://www.risklab.co.kr