mir.pe (일반/어두운 화면)
최근 수정 시각 : 2024-09-16 18:16:35

페일 세이프

Fail Safe

1. 개요2. 예시3. 반대 개념: 페일 데들리

1. 개요

시스템에 고장(fail, 페일)이 발생할 경우, 그로 인해 더 위험한 상황이 되는 것이 아니라 더 안전한(safe, 세이프) 상황이 되도록 하는 설계나 장치.

일례로 대형 트럭이나 버스의 에어 브레이크는 고장이 나면 브레이크가 저절로 작동하여 자동차가 멈추도록 되어 있으며, 엘리베이터는 케이블이 절단되면 저절로 브레이크가 작동해 엘리베이터가 레일에 고정되어 움직이지 않게 되어 있다.

중요한 점은 페일 세이프는 별도의 작동장치에 의해 능동적으로 가동되는 것이 아니라, 시스템/기계의 오작동 자체가 페일 세이프를 가동시키는 수동적 작동방식을 갖도록 해야 한다는 것이다. 앞서 예를 든 에어 브레이크의 경우, 시스템 내 공기압은 평상시엔 브레이크를 거는 역할이 아니라 반대로 브레이크가 걸리지 않게 막는 역할을 하고 있다.[1] 시스템 고장으로 공기압이 떨어지면 브레이크를 막는 힘이 사라져 저절로 브레이크가 걸리도록 되어 있는 것이다. 엘리베이터도 마찬가지로, 평소 비상용 브레이크가 작동하지 않도록 막고 있는 것은 바로 엘리베이터 케이블의 장력이다. 만일 이 케이블이 끊어져 장력이 사라지면 브레이크가 저절로 작동한다.

항공기, 원자력 발전소[2], 병원 등등 고장으로 인해 많은 인명피해가 예상되는 시스템의 경우 반드시 이중 삼중의 페일 세이프 설계가 들어가야 하며, 그렇지 않더라도 우리 주변의 수많은 시스템들이 페일 세이프를 기본으로 설계되어 있다.

주의할 점은 페일 세이프는 안전 장치나 안전을 위한 설계에 포함된 하나의 부품(예를 들어 퓨즈)을 지칭하는 것이 아니라, 그러한 장치나 설계 자체를 포괄적으로 일컫는 용어라는 것이다. 예를 들어 위에서 언급한 안전식 에어 브레이크는 고장 시 차가 멈추도록 한 설계(및 그 브레이크 시스템)가 페일 세이프이지, 이를 작동시키는 핵심 부품인 에어 밸브가 페일 세이프인 것이 아니다. 마찬가지로 원자로의 경우 제어봉의 전자석 부품 자체가 아니라 전원 차단 시 전자석의 전원이 끊어지도록 해둔 설계가 페일 세이프다.

2. 예시

3. 반대 개념: 페일 데들리

반대되는 개념은 페일 데들리(fail deadly). 일반적으로는 절대로 사용되지 않는 설계로, 고장이나 오작동 시 더 위험한 상태가 되도록 고안된 시스템이다. 대개 전략 핵무기나 상호확증파괴와 관련된 설계에 등장하는 개념으로, 시스템이 정상 작동되지 않을 경우 사령부의 괴멸 등의 최악의 상황을 가정하고 행동(즉 적국에 핵공격)하도록 설계된 시스템이다. 냉전 시대의 무시무시한 유물. 실제로 과거 UVB-76로 잘 알려진 ZhUOZ라 불리는 러시아의 군사용 라디오 채널이 전략핵 페일 데들리일 것으로 추측하는 이들이 많았으나 수동으로 명령을 내리는 시스템인 것으로 밝혀졌으며, 냉전을 소재로 한 유명한 영화인 닥터 스트레인지러브 핵전략사령부[12]가 페일 데들리 시스템을 소재로 하고 있다. 핵무기 보유국들의 핵잠수함들도 기본적으로는 페일 데들리 시스템에 따라 행동하도록 되어 있으며, 이를 소재로 한 크림슨 타이드라는 영화도 있다. 물론 시스템이 그렇다는 것이지 기계장치로 정교하게 핵 보복을 하도록 만들어진 건 아니고 결국 사람이 가서 기폭시켜야 하는 특성상 함장의 재량이 들어간다. 최악의 경우 어차피 조국이 사라진 마당에 보복해봐야 전후 책임만 엄중하게 질 뿐이다.

위에서 언급한 데드맨 장치도 페일 세이프가 아니라 페일 데들리로 만들 수 있다. 스위치를 놓는 순간 장치가 작동하도록 하면 된다. 주로 자살 폭탄 테러범들이 사용하는 방식이며 수류탄의 그립도 페일 데들리라 할 수 있다. (그립을 놓으면 작동하므로)


[1] 이중 챔버 구조로 평상시엔 서비스 챔버 내부의 공기압으로 제동을 하고 비상제동 챔버는 작동하지 않으며, 공기압이 일정 수준 이하로 떨어지면 다른 챔버 쪽의 내부 스프링에 의해 브레이크가 걸리도록 하는 역할을 한다. [2] 예기치 못한 사고로 인해 원자로에 전력 공급이 중단되는 경우, 제어봉을 붙들고 있던 전자석의 자기력이 사라져 제어봉이 노심으로 자유낙하하며 삽입되고 원자로 운전이 멈추게 된다. [3] 즉 지금과는 반대 방향으로서 힌지가 뒤쪽에 있음. [4] 자살문 suicide door 이라 부른다 [5] 잠금만 해제되며 문이 저절로 열리지는 않는다. [6] 때문에 고속 주행 중 큰 포트홀을 타고넘을 경우 문 잠금장치가 철컥 풀리기도 한다 [7] 예를 들어 정차 상태에서 전기 화재 발생 [8] 대신 정전시 열림 모델을 구입해야 한다. 정전시 잠금 모델은 은행 같이 높은 보안을 요구하는 경우에 사용한다. [9] 그런데 어떻게 원전 사고가 났는지 궁금할 것이다. 체르노빌 발전소는 설계 자체가 문제가 있어 제어봉이 삽입되는 순간 노심이 폭주했고, 후쿠시마 원자력 발전소 사고의 경우 제어봉이 들어가 있지만 냉각수 펌프가 전부 전력을 소실해 냉각이 안 되면서 연쇄반응이 아니라 핵연료 자체의 붕괴열이 누적되어 결국 노심이 녹았다. 스리마일 섬 원자력 발전소 사고는 냉각수 밸브가 잠긴 상태인 것을 모르고 잘못된 조작을 해 노심이 결국 녹았다. 이처럼 제어봉은 원전을 완전 멈추는 마법봉이 아니며 최악의 사태(연쇄반응 폭주)에 대한 최소한의 보루일 뿐이다. 예를 들어 후쿠시마 발전소가 제어봉마저 무력화된 상태에서 모든 전력이 끊겼다면 지금쯤 일본 동부는 사람이 살 수 없는 방사능 황무지가 되었을 것이다. [10] 사람이 발로 밟는 페달 형태의 데드맨 스위치는 거의 이용되지 않는다. 체중 때문에 사용자가 의식을 잃어도 스위치가 계속 닫혀 있을 가능성이 높기 때문이다. [11] 참고로 심방이 멈추더라도 심실만 제대로 박동한다면 혈액을 불완전하게나마 순환시킬 수 있다. 다만 심실 탈출까지 가면 심박수가 너무 낮아져 인공 페이스메이커가 필요해진다. [12] 이 영화의 원제는 아이러니컬하게도 "페일 세이프"다.

분류