세계적으로 저명한 시스템안전 및 인지 과학자인 Richard Cook박사를 만난 것은 2014년 덴마크 코펜하겐에서 열린 시스템안전 학회였다. 이 학회에 참여한 연구자들의 대부분은 다양한 학문적인 배경을 가지고 있었고, Richard Cook박사도 예외가 아니었다. 기계공학을 공부하고 의대를 가서 마취과를 전공하고 의대 교수를 하다가 시스템안전/인지공학으로 연구방향을 전환해서 이 분야에 많은 기여를 하셨다. 그 중에 매우 중요한 하나가 2002년에 발표한 「복잡한 시스템에서 중대재해가 어떻게 발생하는가 - How Complex Systems Fail? 」이라는 글이다. 이 글은 기술의 급속한 발달로 인간과 기술의 연결점들이 많아진 복잡한 시스템에서 중대재해가 발생하는 메커니즘을 18가지 특징으로 정리하였다. 발표 후 이 글은 전 세계에 있는 안전전문가들에게 많은 시사점을 주어 왔다. 

중대재해 기업처벌법 제정 이후 중대재해의 대응과 예방에 대한 관심이 고조되어 있는 우리나라의 현 시점에서 이 글은 중대재해를 어떻게 이해하고, 분석하고, 대응하냐에 대한 여러 시사점을 던져줄 수 있기에 소개하고자 한다. 사고예방, 대응 및 조사가 법률가들의 legal mindset을 바탕으로 접근되는 경우를 많이 보아왔다. 본인의 경험상 legal mindset은 어느 정도 사고 예방과 분석에 도움이 될 수 있으나, 진정 의미있는 개선안을 도출하는데는 많은 한계가 있다고 생각한다. 본 글에서 제시하는 system mindset을 바탕으로 사고대응 및 분석을 할 수 있는 환경이 조성되기를 바라는 마음으로 이 글을 공유한다.  

Richard Cook박사의 How Complex Systems Fail의 영어원문은 아래의 링크에서 찾을 수 있다. 

http://www.adaptivecapacitylabs.com/HowComplexSystemsFail.pdf

영어원문의 번역은 세명대 강태선 교수가 책임연구자로 진행한 ‘화학사고 조사시스템 개선방안 (사회적참사 특조위)’의 일환으로 진행하였다. 실제 번역은 노동환경건강연구소의 김원 박사와 본인이 공동으로 진행하였다. Richard Cook박사로부터 사전허락을 받아 번역문을 공유한다. 

그럼 복잡한 시스템에서 중대재해가 어떻게 발생하는지에 대해 설명하는 18가지 특징을 하나씩 살펴보고자 한다. 

 모든 복잡한 시스템들은 (예를 들어, 교통, 의료, 에너지, 화학등) 근본적으로 피할 수 없는 내재적인 위험요소를 갖고 있다. 위험요소가 사고로 이어지는 빈도는 종종 변할 수 있지만, 그 시스템 내 프로세스에는 본질적인 위험요소가 내재한다. 그렇기에 적절한 방어기제를 설치해 이 위험성이 노출되어 사고로 이어지는 것을 방지하려고 한다.  

 사고가 발생하고 나면 종종 새로운 방어기제를 설치하여 사고를 방지하려고 한다. 그렇게 하다보면 여러 겹의 방어기제를 갖게 된다. 이런 방어기제에는 기술적 요인들(예를 들어, 백업 시스템, 장비의 안전 장치 등)과 인간적 요인들(예를 들어, 훈련, 지식 등)이 포함되어 있을 뿐만 아니라 다양한 조직적, 기관적, 그리고 규제적 방어책 (예를 들어, 정책 및 절차, 인증, 작업 원칙, 팀 훈련 등)들이 모두 포함되어 있다. 이런 방어기체의 역할은 위험요소가 사고로 이어지지 않도록 여러 가지의 보호망을 제공하는 것이다. 

 많은 경우 여러 단계에 있는 방어기제가 작동하여 작은 실패가 중대재해로 이어지는 것을 성공적으로 방지하고 있다.  중대재해는 주로 규모가 작고 표면적으로는 위험하지 않아 보이는 여러 가지 실패들이 모아져서 발생한다. 각각의 작은 실패들이 특정한 조합을 이루었을 때 중대재해로 이어지게 된다. 다른 관점에서 보자며 중대재해로 이어지지 않은 많은 작은 실패들이 존재하고, 대부분의 작은 실패는 시스템에 존재하는 방어기제에 의해 초기부터 차단된다. 

 시스템이 복잡하다는 것은 그 안에 다양한 결함이 존재할 가능성이 높다는 것을 의미하기도 하다. 이러한 결함으로 인해 발생한 실패들은 개별적으로는 중대재해로 이어지기에는 충분하지 않기 때문에 시스템이 운영되는 동안에는 사소하게 여겨지게 된다. 많은 경우 잠재되어 있는 모든 결함을 제거하는 것은 엄청난 비용이 필요하기에 불가능하다. 또한 그러한 결함과 실패가 실제 중대재해에 어떻게 기여할 것인지를 사전에 알 수 없기 때문이기도 하여 미리 제거하는 노력을 하지 않게 된다. 끊임없이 변화하는 기술, 조직, 업무 그리고 방어기제들로 인해 시스템내의 결함과 작은 실패들도 지속적으로 바뀔 수 있다.  

 앞서 기술한 특징을 토대로 유추하자면, 복잡한 시스템은 종종 매우 열악한 상태로 운영이 될 가능성이 높다는 것을 당연하게 생각해야 한다. 시스템은 많은 결함이 있음에도 불구하고 여전히 계속해서 성공적으로 운영될 수 있다. 이는 시스템 내에 수많은 방어기제나 여분의 자원들 (e.g. redundancies)이 존재하고 있고, 작업자나 운영자가 시스템이 성공적으로 운영될 수 있도록 하는 여러 노력들 때문이다. 중대재해사고 조사보고를 보면 대부분의 경우에 중대재해를 최종적으로 발생하게 만들었다는 결함과 실패들이 존재했다고 지적한다. 사람들은 중대재해가 발생하기 전에 이와 같은 결함조건과 실패들을 미리 인지했어야 했다고 판단하지만 이는 복잡한 시스템이 어떻게 운영되는지에 대해 잘 모르기 때문에 하는 생각들이다. 시스템은 각 구성요소인 인간, 기술, 조직이 지속적으로 변동하며 운영되고 있으며 각 구성요인에 존재하는 결함요소들은 유동적으로 변화한다.  

 복잡한 시스템은 중대재해가 일어날 수 있는 가능성을 언제나 내재하고 있다. 시스템을 운영하는 작업자는 언제 어디서나 발생할 수 있는 잠재적인 중대재해를 목전에 두고 있다고 보면 된다. 중대재해가 초래될 수 있다는 가능성은 복잡한 시스템의 전형적인 특성이고, 이런 가능성을 제거한다는 것은 불가능한 일이다. 그런 중대재해가 발생할 수 있는 가능성은 복잡한 시스템이 본질적으로 내재하고 있는 근본적인 특성이라고 봐야한다.  

 중대재해들은 여러 가지의 결함으로 인해 발생하는 것이기 때문에 독립적이고 단일한 근본원인이 존재하지 않는다. 사고에 기여하는 여러 가지 요인들이 존재한다. 이들 각각의 요인들은 그 자체로써 사고를 일으키기에는 충분하지 않다. 이것들이 서로 연결될 때 사고로 이어지기에 충분한 조건이 만들어진다. 따라서 사고가 독립적인 단일한 ‘근본 원인’으로 발생하는 것은 불가능하다. 하나의 ‘근본 원인’이 있다고 규정하는 것은 사고의 본질을 합리적인 근거에 기반하여 분석한 결과가 아니라, 오히려 나쁜 사고 결과를 바탕으로 사회적으로나 문화적으로 희생양을 찾기 위한 필요에 의해 이루어지는 경우가 많다.   

 우리는 사고 결과를 알고 원인들을 평가할 때 종종 사고에 관련된 사람들이 사고가 일어나기 전에 사고 가능성과 위험성을 명확하게 인지 및 예측할 수 있어야 했다고 결론을 쉽게 내리는 경향이 있다. 이것이 의미하는 것은 사고발생 후 사고조사자가 나쁜 사고결과를 이미 알고 작업자가 사고에 미친 영향에 대한 분석을 하는 것은 많은 경우 부정확하다. 사고조사원들이 이미 발생한 나쁜 사고 결과를 알고 원인 분석시, 사고 발생 전 관련 사람들에게 관련 위험요소들이 어떻게 여겨지고 보였겠는지를 객관적으로 재구성하는 데 큰 지장을 초래하게 된다. 이렇듯 사고 결과를 알게 될 때 발생하는 사후 과잉 확신 편견은 사고조사를 하는 데 있어 일차적인 걸림돌이 될 수 있다. 

 시스템 내의 작업자는 목적한 바대로 생산하기 위해 일을 수행하고 또한 동시에 사고를 미연에 방지하기 위한 일을 수행한다. 시스템을 이렇게 역동적으로 운영함에 있어 사고의 초기 가능성을 억제하면서 생산에 대한 요구를 맞추는 것을 해야 한다. 작업자 외의 다른 사람들은 이와 같은 작업자 역할의 이중성을 알기가 힘들다. 사고가 없는 때에는 생산의 역할이 주요하게 작동하고, 사고가 발생 후에는 사고를 예방하기 위한 역할이 주를 이루게 된다. 작업자가 항시적으로 두 가지 역할을 동시에 수행하고 있다는 것을 작업자외의 다른 사람들은 이해하기 힘들다.  

 사고가 난 후 고찰해보면, 사고들은 불가피했었다고 여겨지고 작업자들의 행동은 실수이거나 혹은 위험을 무시한 무책임한 행동으로 보여지기 일쑤이다. 그러나 작업자들의 모든 행동은 실제로 도박과 같다. 이러한 행동은 결과에 대한 여러 불확실성이 존재하는 상황에서 발생한다. 그 불확실성의 정도는 시시때때로 변한다. 작업자들의 행위가 도박과 같다는 것은 사고가 일어난 이후에 더 명백해 진다. 일반적으로, 사후 사고원인 분석에서는 이런 도박은 절대로 하지 말았어야 할 행위로 여겨진다. 그러나 반대로 결과가 성공적인 경우 그것 역시 도박의 결과인 것이다. 물론, 이런 성공적인 결과가 있을 경우에 많은 사람들이 도박의 결과로 보지는 않는다.
 

 관리자는 의도적으로 또는 어쩔 수 없이 애매하게 관리하는 경우가 많다. 예를 들어 생산성 목표, 자원 효율성, 운영 비용 등과 같은 경제성과 관련된 요소와 안전관련 위험요소를 받아들일수 있는 기준에 대해 모호한 입장이거나 간혹은 의도적으로 애매한 입장을 갖는 경우가 있다. 이러한 모호성과 애매함이 있는 상황에서 최종 작업자는 구체적인 행동과 의사 결정을 해야 하는 경우가 많다. 그러다 사고가 나면, 작업자들의 행위들은 ‘실수’ 혹은 ‘위반’으로 여겨지기 쉬운데 이렇게 평가하는 것은 사고가 발생한 결과를 알고 있는 입장에서 사후 과잉 확신 편견에 의해 크게 영향을 받기 쉽다. 반면에 생산에 대한 압박과 같은 사고 유발 요인들은 무시하면서 평가되가가 쉽다. 

 제일선의 관리자들과 작업자들은 생산을 최대화하고 사고를 최소화하기 위해 적극적으로 시스템을 조율한다. 이런 조율 및 적응은 매 순간순간 이루어진다. 이런 조율에는 다음과 같은 유형의 것들이 있다: (1) 사고를 유발하기 쉬운 위험요소의 노출을 줄이기 위해 시스템 설계를 변경하는 것, (2) 수요가 높은 사항에 대해 핵심적인 자원을 집중시키는 것. (3) 예상되는 또는 예상치 못한 결함으로부터 회복시키거나 철회시키는 경로를 제공해주는 것. (4) 시스템의 성능의 변화를 감지하는 방법을 설치하여 그에 따라 생산을 무리없이 감축시키거나 혹은 회복력을 증가시킬 수 있도록 하기 위한 방안을 마련하는 것 등이다.

 복잡한 시스템은 그것의 운영과 관리를 위해서 상당한 전문성이 요구된다. 기술이 발전함에 따라 또는 전문가들의 이직에 따라 요구되는 전문성이 변화하기 마련이다. 어떤 경우이던 간에, 담당자들을 훈련시키고 그들의 자질 및 전문성을 향상시키기 위한 교육을 수행하는 것은 시스템 운영의 주요 기능이기도 하다. 따라서 단면적으로는 특정의 시스템 내에 다양한 수준의 전문성을 갖춘 전문가들과 훈련 중인 수습사원들이 존재할 수 있다.

 이러한 전문성과 관련된 사항중 다음의 주요한 이슈들이 있다. 첫째가 수요가 급증한 생산에 대응할 수 있는 전문성을 항상 확보하고 있어야 한다는 것이며, 둘째가  미래에 대비하여 전문성을 지속적으로 개발해야 한다는 것이다.

 시스템이 별 문제 없이 잘 운영되는 상황에서도 변화가 발생되는 경우가 종종 있다. 특히, 새로운 기술을 도입하여 빈번도는 높지만 경미한 사건의 발생을 줄이기 위한 변화를 종종 시도한다. 이러한 변화는 역설적으로 빈도는 낮지만 규모가 큰 새로운 유형의 사고를 유발할 가능성을 높일 수 있다. 우리가 잘 이해하고 있는 시스템내의 어떤 결합을 제거하거나 혹은 정밀도가 높은 성능을 확보하기 위해 새로운 기술이 도입될 때 이러한 변화가 중대재해로 이어질 수 있는 경로가 되기도 한다. 일반적으로 이러한 새로운, 그러나 흔치 않은 대형 사고는 새로운 기술에 의해 제거한 사고들보다 훨씬 큰 규모로 영향을 미치기도 한다. 이런 유형의 사고들은 그것이 발생되기 전까지는 쉽게 인지하기 어렵다. 대부분의 관심이 기술의 도입으로 얼마나 더 큰 이득을 주는지에 집중되기 때문이다. 이런 새로운 사고는 심각한 결과로 이어지지만 낮은 비율로 발생하기 때문에 사고가 발생하기 전까지는 단계별로 시스템의 결함이나 실패가 발생된다. 이러한 이유로 인해 새로운 기술로 인해 사고가 발생할지에 대한 가능성을 예측하기가 어렵다. 

  ‘인간의 실수’를 막기 위한 개선안들은 대부분 관련 행위를 못하게 방어기제를 설치하는 경우가 많다. 이런 개선안들은 미래에 발생할 사고를 줄이는 데 거의 도움이 되지 못한다. 사실, 잠재적인 사고의 패턴은 계속 변화하기 때문에 동일한 행위로 인해 사고가 일어날 가능성은 이미 엄청나게 낮다. 이러한 사후 개선안들은 안전을 향상시킨다기보다는 시스템의 복잡성과 연결성을 더욱 증가시키는 경향이 있다. 이렇게 되면 잠재된 사고발생궤적의 수가 증가하게 되고 사고의 궤적을 감지하고 차단시키는 것이 더 어려워지게 된다.

 안전은 시스템으로부터 드러난 특성이라고 할 수 있다. 안전은 어떤 사람, 장치 혹은 시스템이나 조직의 부서 안에 내재해 있는 것이 아니다. 안전은 살 수 있는 것도 제조할 수 있는 것도 아니다. 안전은 시스템의 여러 구성요소로부터 분리될 수 있는 것이 아니다. 이것이 의미하는 것은 안전이 원재료나 공급 원료들처럼 다룰 수 있는 것이 아니라는 것이다. 어떤 조직 내의 안전의 상태는 항상 역동적이다. 계속적인 시스템의 변화는 시스템 내의 위험요소와  그것의 관리 역시 항시적으로 변한다는 것을 의미한다.  

 사고 없이 시스템이 운영되고 있다는 것은 그 시스템이 허용 가능한 범위 내에서 생산이 이루어질 수 있도록 노력한 사람들의 행위의 결과라고 할 수 있다. 이러한 행위들은 대부분의 경우 일상적인 시스템 운영의 일부이고 겉으로 보기에는 단순하다. 그러나 결함이 없는 시스템은 없기 때문에, 변화하는 조건들에 맞추고 적응하는 작업자들의 행위가 실제로 매순간의 안전을 만들어내는 것이라고 할 수 있다. 이러한 적응능력은 가용한 대응 유형들을 인지하고 그것을 잘 연습하고 반복해서 완성해 나간다. 그러나 간혹 새로운 것들을 조합하거나 혹은 새로운 접근법으로 이전에 없던 것을 만들어 가면서 조절해 나가기도 한다. 

 시스템의 위험요소를 인지하고 시스템이 버틸 수 있는 범위 내에서 운영될 수 있도록 시스템을 사고없이 성공적으로 유지하기 위해서는 역설적일 수 있지만 안전사고와 친밀한 관계에 있어야 한다. 시스템의 성능이 좀 더 탄탄하게 유지되기 위해서는 작업자들이 안전과 위험 영역의 경계가 어디인지를 판단할 수 있어야 한다. 그 경계에 도달하면 시스템의 성능이 이미 악화되기도 하지만, 사고를 예측하거나 안전 영역으로 회복되기 이미 힘들어지기도 한다. 시스템은 본질적으로 위험요소를 포함하고 있는데 작업자들이 위험요소를 접할 때 그 위험성을 이해하여 시스템이 바람직한 방향으로 유도될 수 있도록 역할을 할 것이라고 기대된다. 안전이 향상되기 위해서는 작업자들이 위험요소에 대한 판단을 점검/교정할 수 있도록 도와주어야 한다. 또한 그들의 행위가 시스템이 안전영역에서 멀어지는 방향으로 유도되는지 가까워지는 방향으로 유도되는지 판단할 수 있도록 도와줄 때 안전이 향상될 수 있다. 

- 영국 러프버러대학 전규찬 교수 -

※ 전규찬 교수는 지난 17년간 영국에서 시스템 안전 관점과 방법론들을 의료, 에너지, 선박, 항공 등 다양한 분야에 적용하고 연구하고 있다.

 또한 영국 Royal Academy Engineering의 Safer Complex Systems 프로그램의 운영위원이고, 영국정부의 Healthcare Safety Investigation Branch의 자문위원이다.  

 20년 3월부터 6월까지 Covid-19의 첫번때 정점일때 환자전용으로 새롭게 만든 런던 나이팅게일 병원의 운영에 레질리언스 향상 관련 자문을 하였으며, 현재는 Covid-19의 두번째 정점에 대응하기 위한 런던 critical care전략에 대한 자문을 하고 있다.

 시스템적 사고를 널리 알리고자 애니메이션/단편영화들을 제작하였으며, 그 공로를 인정받아 Chartered Institute of Human Factors and Ergonomics로부터 Richard Clive Homan상을 받았다. 

http://systemsthinkinglab.com