"친구들과 이야기하는 원자력 안전" 10.원자력발전소 사고와 고장

[친구와 이야기하는 원자력 안전-10] 원자력발전소 사고와 고장

(*지난 글부터 원전 안전성 확보 원칙을 소개하고 있고, 심층방어에 대한 좀더 구체적인 설명을 준비하고 있었습니다. 그런데, 최근 한울원전 5호기에서 발생한 원자로냉각재펌프 정지 사건에 대해 사고다, 아니다 하는 논란이 있습니다. 며칠전 존경하는 대선배님의 글에 제 생각을 담은 댓글을 올린 바 있는데, 제 시리즈를 보시는 분들께도 도움이 될 것 같아서 댓글의 내용을 보완하여 10번째 글로 대신하려 합니다. 워낙 복잡한 사안이어서 설명하기도 이해하기도 쉽지 않지만, 인내심을 갖고 읽어 주시면 좋겠습니다.^^)

[원전 운전상태나 사건(고장, 사고)을 지칭하는 용어의 정확한 이해가 쉽지 않습니다]

원전의 운전상태나 사건, 사고를 지칭하는 용어들이 워낙 다양하고, 때로는 일관성 없이 사용되어온 측면이 있습니다. 따라서 원자력 전문가라 하더라도 관련된 모든 내용을 정확하게 이해하고 균형있게 판단하기 쉽지 않습니다. 이 글을 쓰는 저도 마찬가지라 할 수 있지요.

저는 90년대에 안전해석을 위한 사건∙사고 구분체계의 개선방안을 잠시 연구했었고, ‘원자력 안전’이라는 책을 쓰면서도 되도록 쉽게 내용을 전달하려 고민한 적이 있습니다. 그 당시에도 워낙 다양한 용어들이 사용되어 너무 혼란스럽다고 생각했지요. 미국 원자력규제위원회(U.S.NRC), 미국원자력학회(ANS), 미국기계학회(ASME), 국제원자력기구(IAEA) 등에서 사용해온 용어들에 일관성이 부족했고, 더욱이 우리나라는 영문 용어를 한글로 번역할 때 나타나는 혼란까지 더해졌습니다. 이를 해결하기 위해 새로운 용어 체계를 만들 수도 있겠지만, 이것이 오히려 혼란을 더할 수도 있어서 만족할만한 해결은 쉽지 않을 것 같습니다.

[안전해석 등에 적용되는 ‘초기사건’ 분류와 최종 결과를 기준으로 한 ‘국제원자력사건등급(INES)’이 있습니다]

원전에서 발생할 수 있는 사건∙사고의 체계적인 구분은 주요 기기들과 안전계통의 설계를 위해 필수적입니다. 왜냐하면 자주 발생하는 사건의 경우 핵심 기기들이 건전한 상태로 유지되고 안전문제를 전혀 일으키지 않아야 하지만, 발생 가능성이 매우 낮은 사건에 대해서는 제한된 수준의 기기 손상이나 방사능 누출을 허용할 수밖에 없기 때문이지요. 물론 기기설계 및 안전해석을 위한 사건∙사고의 구분에서 예상되는 발생 빈도를 정밀하게 계산했던 것은 아니고, 사건들의 여러가지 특성을 고려하여 1년에 한 번 정도 발생할 수 있는 사건, 발전소 수명기간에 발생할 수 있는 사건, 발전소 수명기간에 발생할 가능성이 낮은 사건 등으로 구분했습니다. 초기사건들에 대한 체계적인 분류를 선도한 국가는 미국이며, 다른 국가들은 대부분 미국의 기준을 자국의 상황에 맞도록 보완하여 적용합니다. 최근에는 국제원자력기구에서 국제적으로 통용될 안전기준(Safety Standard)을 확립해가고 있는데, 여기서도 초기사건 분류는 중요한 부분입니다.

원전 설계와 안전해석에서 고려하는 이러한 사건들은 일반적으로 ‘초기사건’(Initiating Event) 또는 ‘가상초기사건’(Postulated Initiating Event)이라 합니다. 동일한 초기사건이 발생하더라도 안전설비 작동과 운전원 대응 등에 따라 아무런 피해 없이 수습되기도 하고, 심각한 사고로 발전할 수도 있습니다. 따라서 초기사건 자체에 대해 고장이냐 사고냐를 따지는 것은 논리적으로 맞지 않습니다. 그럼에도 불구하고, 어떤 초기사건은 그 자체로 심각한 상황이 될 수 있고, 초기사건을 구분하거나 지칭하는 용어에 ‘Accident’가 사용되기도 하므로 절대로 쓰지 말라고 할 수도 없습니다.

원전에서 일어난 일이 사고냐 아니냐를 구분하는 더 합리적인 방법은 최종적인 결과를 기준으로 판단하는 것이겠지요. 이러한 최종 결과는 초기사건과 이에 대한 대응조치가 결합되어 나타납니다. 이를 위해 체르노빌 사고 이후에 국제원자력기구를 중심으로 여러 국제기구들이 합의하여 도입한 것이 ‘국제원자력사건등급’ (INES; International Nuclear and Radiological Event Scale) 체계입니다. 이 글에서는 INES를 먼저 소개하고, 초기사건 구분 방법을 설명합니다.

[사고냐 아니냐는 INES를 기준으로 구분하는 것이 가장 합리적입니다]

INES는 체르노빌 사고 후에 원자력 시설 등에서 발생하는 사건∙사고들의 심각성을 전문가 간은 물론 대중들과도 효과적으로 소통하기 위해 도입되었습니다. 지진 발생 시 규모와 진도를 통해 효과적으로 소통하듯이 원자력 사건∙사고에도 일관성 있는 등급체계를 도입한 것이지요. INES의 효용성은 후쿠시마 사고를 통해 충분히 입증되었다고 생각합니다.

INES에 대한 비교적 상세한 설명을 슬라이드로 첨부했습니다. INES에서는 원자력 사건∙사고들을 0부터 7등급까지로 분류하고 있습니다. - 0등급(Scale 0): Below Scale (등급 외) / Deviation (경미한 고장) - 1등급(Scale 1): Anomaly (단순 고장) - 2등급(Scale 2): Incident (고장) - 3등급(Scale 3): Serious Incident (심각한 고장) - 4등급(Scale 4): Accident with Local Consequences (국지 영향 사고) - 5등급(Scale 5): Accident with Wider Consequences (광역 영향 사고) - 6등급(Scale 6): Serious Accident (심각한 사고) - 7등급(Scale 7): Major Accident (대형 사고) 1~3등급은 Incident, 4-7등급은 Accident로 구분합니다. 위에서 영문 명칭은 INES에서 사용하는 공식 명칭이고, 국문 명칭의 경우 원자력안전위원회 고시(제2014-17호)에서 Incident를 ‘고장’으로, Accident를 ‘사고’로, Below Scale을 ‘등급 외’로 칭하고 있습니다. 각 등급에 대한 국문 명칭으로는 조금씩 다른 표현들이 사용되기도 합니다.

INES 등급을 구분할 때는 3가지가 척도가 사용됩니다[표 2]. 첫째는 방사성물질 방출량이나 사망자 수, 피폭선량 등 인간과 환경에 끼친 영향입니다. 둘째는 방사성물질과 환경 사이의 방호벽이나 제어기능의 손상 정도이고, 셋째는 심층방어 체계(다음 글에서 상세하게 다룸)의 훼손 정도이지요. 어떤 사건이 발생하면 세 가지 척도에 기준하여 등급을 각각 산정한 후 그 중에서 가장 높은 값으로 등급을 결정하게 됩니다.

영문을 국문으로 번역할 때, Event를 ‘사건’으로 Accident를 '사고'로 부르는 것은 비교적 자연스럽지만, Incident를 ‘고장’으로 부르는 것은 조금 어색한 부분도 있습니다. 0등급(Deviation)이나 1등급(Anomaly) 사건 정도가 우리가 일상생활에서 '고장'이라는 단어를 사용할 때의 의미와 가까운 것 같습니다. 그렇지만, 사고(Accident)와 구분하기 위해 Incident를 '고장'으로 부르기로 하여 원안위 고시에도 들어가 있으니까 수용하는 것이 좋겠지요. 한울5호기 냉각재펌프 정지사건에 대한 등급 판정은 아직 이루어지지 않았습니다만 0등급이 아닐까 생각합니다. 다른 요인들이 결합되어 등급이 상향되더라도 1등급(Anomaly)을 넘지는 않을 것입니다.

[원전의 안전해석이나 기기설계에서는 초기사건(Initiating Event) 분류가 사용됩니다]

원자력 전문가들 간에도 소통이 어렵고 때로는 오해를 불러일으키는 것이 안전해석이나 기기설계 등에서 사용하는 ‘초기사건’(Initiating Event) 또는 ‘가상초기사건’(Postulated Initiating Event) 분류입니다.

미국의 경우 안전규제기관은 원자력규제위원회(U.S.NRC; Nuclear Regulatory Commission)이며, 기본적인 안전규정은 10 CFR (Code of Federal Regulations, Title 10)이고, Regulatory Guide 등 여러 보조기준들을 개발하여 적용하고 있습니다. 아울러 미국원자력학회(ANS), 미국기계학회(ASME) 등 민간 학회/협회들이 개발한 기준과 규격들을 규제활동에 활용하고 있습니다. 안전해석에 대해서는 주로 원자력학회의 기준이, 기기설계에 대해서는 주로 기계학회의 기준이 사용되지요.

U.S.NRC와 ANS, ASME 등은 다양한 방법으로 초기사건들을 구분하고 있는데, 발생 가능성을 고려하여 몇 개 그룹으로 구분하고, 발생 가능성이 높은 사건일수록 사건의 결과에 대한 허용기준(Acceptance Criteria)을 더욱 엄격하게 설정합니다. 첨부된 슬라이드의 [표 3]에는 미국에서 과거에 적용되었거나 현재 적용되는 주요 구분 방법들이 예상 발생빈도를 기준으로 제시되어 있습니다. [표 3]에서 점선으로 표시한 것은 발생확률(예상발생빈도)을 엄밀하게 적용한 것이 아님을 나타냅니다.

현재 미국에서 유효한 가장 기본적인 구분방법은 10CFR50(Domestic Licensing of Production and Utilization Facilities)의 Normal Operation (정상운전), Anticipated Operational Occurrences (AOO; 예상운전과도사건), Postulated Accident (가상사고) 등 3단계 구분입니다. - 예상운전과도사건(AOO): 발전소 수명기간에 한 번 이상 발생할 것으로 예상되는 사건 - 가상 사고: 발전소 수명기간에 발생할 가능성은 적으나 안전해석에서 고려하는 사고

한편, 원전 인허가를 위한 안전성분석보고서 작성 방법을 제시하는 Regulatory Guide 1.70(Standard Format and Content of Safety Analysis Reports for Nuclear Power Plants (LWR Edition))에서는 초기사건을 Normal Operation(정상운전), Incidents of Moderate Frequency(보통빈도사건), Infrequent Incidents(희귀빈도사건), Limiting Faults(극한사건) 등 4단계로 구분합니다. 

- 보통빈도사건: 연간 1회 수준으로 발생 가능한 사건 - 희귀빈도사건: 수명기간에 1회 내외로 발생 가능한 사건 - 극한사건: 수명기간에 발생할 가능성은 낮으나 안전해석에서 고려하는 사건

미국원자력학회(ANS)의 규격인 ANSI-N18.2/ANS-51.1(1973)(Nuclear Safety Criteria for the Design of Stationary Pressurized Water Reactor (PWR) Plants)에서는 초기사건을 Condition I, II, III, IV로 구분하는데, 이는 Regulatory Guide 1.70의 4단계와 대체로 일치합니다. 미국원자력학회는 1983년 발생확률(예상발생빈도) 기준을 더욱 엄격하게 적용하여 Plant Condition 1부터 5까지로 구분하는 새로운 분류체계를 ANSI/ANS-51.1(1983) (Nuclear Safety Criteria for the Design of Stationary Pressurized Water Reactor Plants)를 통해 제안했었으나, U.S.NRC에 의해 인정되지 않은 채 1998년 취소되었습니다.

국제원자력기구의 안전기준문서(SSG-2)에서는 예상되는 발생빈도를 기준으로 Expected, Possible, Unlikely, Remote 등 4단계로 구분하는 방법을 제시한 바 있으며, 네번째 슬라이드 [표 4]에 소개했습니다.

우리나라에서는 초기사건을 예상발생빈도에 따라 다음 2가지로 구분하여 안전해석을 수행하도록 요구하고 있습니다.(자료: 한국원자력안전기술원 기술기준) - 예상운전과도: 정상운전은 아니나, 안전에 중요한 영향을 미치는 원자로시설에 심각한 손상을 일으키지 아니하거나 사고상태로 진전되지 아니하는 상태로서 원자로시설의 수명기간동안 수차례 발생이 예상되는 운전상태 - 설계기준사고: 원자로시설의 수명기간 동안 발생할 것으로 예상되지 않지만, 설계기준에 적합하기 위하여 설비의 설계시 고려하여야 하는 사고

[초기사건 구분과 안전해석의 허용기준을 함께 이해하는 것이 필요합니다]

앞에서 설명한 초기사건들은 안전해석 또는 기기설계에서의 허용기준(Acceptance Criteria)과 연계하여 이해되어야 합니다. Condition II 초기사건에 대해서는 핵연료 손상이 일어나지 않고, 원자로계통 등의 압력이 설계압력의 110% 이하이고, 발전소 외부로의 방사능 누출이 없어야 합니다. Condition III의 경우 부분적인 핵연료 손상과 부지 제한치 10% 이내의 외부 방사능 누출을 허용하고, 일반적으로 원자로계통 등의 압력은 설계압력의 110%까지 허용합니다. Condition IV의 경우 초기사건에 따라 허용기준이 조금씩 다른데, 기본적으로 핵연료의 손상과 부지 제한치 10~100%의 방사능 누출을 허용합니다.

Condition II~IV의 초기사건이 발생한 경우 안전계통들이 설계대로 작동되면 허용기준 이하에서 상황이 종료되는데, 원전에 대한 결정론적(Deterministic) 안전해석의 가장 큰 목적이 이를 해석적으로 확인하는 것입니다. 원전에 대한 안전해석은 ‘결정론적’ 안전해석과 ‘확률론적’ 안전해석으로 크게 구분할 수 있는데, 다른 글에서 상세하게 다루기로 하고 여기서는 맛보기 설명만 합니다. 결정론적 안전해석은 원전에서 발생할 가능성이 있는 특정 사고 시나리오들을 미리 정해놓고 이에 대해 상세하고 보수적으로(나쁜 방향으로 결과가 나오도록) 분석합니다. 확률론적 안전해석이 흔히 말하는 ‘확률론적안전성평가’(PSA; Probabilistic Safety Analysis)이고요.

결정론적 안전해석에서는 발생 가능한 모든 초기사건들을 분석하는 것이 아니라, 유형별로 보수적인 대표 사건을 해석함으로써 그보다 덜한 사건들에 대한 안전성도 포괄적으로 확인하게 됩니다.

Condition II, III, IV의 초기사건이 발생한 후 안전설비가 제대로 작동하지 않을 경우에는, 각각에 해당하는 허용기준을 초과하게 되고, 경우에 따라서는 중대사고까지 이어질 수 있습니다. 다시 말씀드리면 Condition II에서 Condition III 및 IV를 거쳐서 중대사고로 전개되는 것이 아니라, 각각의 초기사건에서 중대사고로 전개될 수 있는 것입니다. 물론 Condition II 초기사건에서 중대사고로 이어지려면 많은 안전설비들의 오작동이 동시에 또는 연이어 발생해야 하므로 가능성이 낮고, Condition IV 초기사건으로부터는 더 쉽게 중대사고로 진입할 수 있을 것입니다.

이러한 관점에서 초기사건을 고장과 사고로 구분하는 것은 맞지 않고, 그 이후의 전개상황에 따라 사고냐 아니냐는 결과를 중심으로 따져야 한다고 생각합니다. 그런데, 발전소 상태를 초기사건 구분에서조차 Normal Operation, AOO(예상운전과도사건), Accident로 구분하는 것도 흔하고, 관행적으로 Loss of Coolant Accident, Loss of Flow Accident, Reactivity Initiated Accident 등 초기사건을 지칭하는 용어들의 뒤에 Accident를 넣는 경우가 많았습니다. 즉 Accident라는 용어의 사용에 엄격함이 없었고, 사건의 발단과 결과가 섞여서 혼동을 불러일으킴으로써, 원자력분야 종사자들조차 용어 사용에 혼선을 겪는 것이라 봅니다.

[국제원자력기구에서는 발전소 상태를 정상운전, 예상운전과도사건, 설계기준사고, 설계기준초과사고 등으로 구분하고 있습니다]

마지막 슬라이드의 [그림 1], [그림2]에 IAEA 문서들에서 사용해온 기존의 발전소 상태 구분 방법과 신규원전 설계에 적용하기 위해 최근에 제안된 구분 방법을 비교하였습니다. 지금까지 정상운전(Normal Operation), 예상운전과도사건(AOO; Anticipated Operational Occurrences), 설계기준사고(DBA; Design Basis Accident), 설계기준초과사고(중대사고 포함)(BDBA; Beyond Design Basis Accident) 등으로 구분하는 것이 일반적이었는데, 신규원전에 대해서는 설계기준초과사고의 일부분을 ‘설계확장조건’(DEC; Design Extension Condition)으로 새로 정의하여 설계에서 구체적으로 고려하도록 한 것입니다.

그런데 IAEA의 구분이 체계적인 것 같지만, [표 4]와 [그림 1], [그림 2] 등을 찬찬히 살펴보면 문제가 좀 있습니다. 첫째는 정상운전, 예상운전과도사건, 설계기준사고까지는 대체로 초기사건이라 할 수 있지만, 중대사고는 앞의 사건들에 대한 대처가 제대로 이루어지지 않았을 때 나타날 수 있는 사건 전개의 결과이기 때문입니다. ‘초기사건’과 ‘초기사건+대응의 결과’가 섞여 있는 것입니다. 둘째는 '설계기준사고(Design Basis Accident; DBA)'라는 용어조차 명확하게 정의하기 어렵다는 점입니다. IAEA 정의에서 정상운전, 예상운전과도사건(AOO), 설계기준사고(DBA), ... 순으로 구분하므로, AOO에 속하는 사건들은 절대로 설계기준사고가 아니라고 주장할 수도 있겠습니다. 그렇지만 안전해석관점에서는 AOO와 DBA를 구분하지 않고, 광의적으로 DBA라고 표현할 수도 있습니다.

[한울원전 원자로냉각재펌프(RCP) 정지 사건에 대하여]

마지막으로 한울원전 5호기의 냉각재펌프 정지사건에 대해 말씀드립니다. 이번 사건은 예상운전과도(AOO) 사건이자 거의 매년 발생할 수도 있다고 가정한(실제로는 훨씬 더 드물게 발생하지만) Condition II 초기사건으로서, 정상운전(Condition I) 바로 다음 단계의 초기사건입니다. 따라서 이를 감추고 뭐고 할 것이 없는 사건입니다. 또한 안전해석에서 부분유량상실(Partial Loss of Flow)을 따로 해석하지 않은 것은 그보다 더 심각한 전체유량상실(Complete Loss of Flow)을 동일한 허용기준으로 해석하기 때문입니다. 과거에 일반적으로 부분유량상실은 Condition II, 전체유량상실은 Condition III로 구분하여 다른 허용기준을 적용했었는데, 표준원전 등에서는 전체유량상실에 대해 더 엄격한 Condition II 허용기준을 적용하여 해석함으로써 덜 심각한 부분유량상실은 해석하지 않는 것이지요. 원자력 산업과 규제에서 이미 혼동스럽게 사용해온 '사고', '고장' 용어는 그러려니 하면서, 사건의 본질을 가지고 논의하는 것이 맞다고 생각합니다.