"친구들과 이야기하는 원자력 안전" 11.심층방어(Defense in Depth)

[친구와 이야기하는 원자력 안전-11] 심층 방어(Defense in Depth)

(*이번 글부터 원전 안전성 확보를 위해 적용되는 핵심 기본원칙들을 두 차례로 나누어 좀더 상세하게 살펴봅니다. 심층방어부터 시작하지요.)

‘심층방어’(深層防禦; Defense-in-Depth) 전략은 원자력 안전의 핵심적인 개념입니다. Defense-in-Depth(DID)는 위협 요인에 대한 다중∙다층적인 방어전략을 가리키는 용어로, 군사분야에서 시작하여 화학산업, 원자력산업, 정보통신기술, 교통안전분야 등 다양한 기술분야에서 널리 적용되고 있습니다. 군사분야에서는 ‘종심방어’(縱深防禦)로 표현하는데, 이 종심방어 전략은 고대로부터 오랜 기간에 걸쳐 공격 및 방어수단의 발전을 반영하면서 지속적으로 발전해온 것 같습니다. 일전에 한 언론인으로부터 ‘종심방어’라는 좋은 말이 있는데도 원자력계에서 ‘심층방어’라는 새로운 말을 도입하여 혼란스럽게 한다는 이야기를 들은 적도 있답니다. 그렇지만 군사분야를 제외한 대부분의 기술분야에서는 ‘심층방어’로 표현하는 것 같아요. 구글에서 검색해보아도 ‘심층방어’는 202,000건, ‘종심방어’는 28,300건으로 ‘심층방어’가 월등히 많네요.

미국원자력규제위원회(U.S.NRC)에서는 ‘심층방어’를 “방사선 또는 위험물질 방출 사고들을 예방하고 완화할 수 있도록 원자력 시설을 설계하고 운전하기 위한 접근법”으로서, “잠재적인 인적 실수나 기계적 고장을 보상하기 위하여 아무리 튼튼하더라도 하나의 방어단계에만 의존하지 않고 다수의 독립적이고 중복된 방어단계를 제공하는 것이 핵심”이며, “접근 제어, 물리적 방벽, 다중성∙다양성을 지닌 핵심 안전기능과 비상대응조치가 포함” 되는 것으로 설명하고 있습니다.(www.nrc.gov/reading-rm/basic-ref/glossary.html). 한편 IAEA 안전 용어집(2016)에서는 심층방어를 “예상운전과도사건의 악화를 방지하고 방사성물질과 작업자∙민간인∙환경 사이의 물리적 방벽들의 유효성을 유지하기 위하여 여러 수준의 다양한 설비와 절차를 다층(계층)적으로 구현”하는 것으로 설명하고 있습니다.

심층방어의 의미와 내용을 다루는 자료들은 매우 많습니다만, 우선 읽는다면 다음 3가지가 좋을 것 같습니다. 1) IAEA INSAG-10 (1996): Defence in Depth in Nuclear Safety www-pub.iaea.org/MTCD/publications/PDF/Pub1013e_web.pdf

2) U.S.NRC NUREG/KM-0009 (2016): Historical Review and Observations of Defense-in-Depth

www.nrc.gov/docs/ML1610/ML16104A071.pdf

3) OECD/NEA (2016): Implementation of Defence in Depth at Nuclear Power Plants

www.oecd-nea.org/nsd/pubs/2016/7248-did-npp.pdf

심층방어 개념에서는 기본적으로 설계에 오류가 있을 수 있고, 기기들은 때로 고장을 일으키고, 사람은 실수하기 마련이라고 가정합니다. 그럼에도 이러한 오류, 실수, 고장이 사고로 이어지는 것을 예방하고(사고 예방; Accident Prevention), 만일 사고가 발생하더라도 그 피해를 최소화(사고 완화; Accident Mitigation)하기 위한 것입니다. 기기 고장이나 운전원 실수가 발생하더라도 사람이나 환경에 큰 피해를 가져오지 않고 보상 또는 시정될 수 있도록 안전조치들을 다층적으로 수행하는 ‘다단계 방호’(Multiple Levels of Protection)가 심층방어의 기본적인 특성입니다. ‘다단계 방호’는 방사성물질을 환경과 차단하는 물리적인 ‘다중 방벽’(Multiple Barriers)과 어우러져 심층방어 전략을 형성하지요. 궁극적으로 심층 방어는 사고 예방과 사고 완화를 위한 통합적인 전략이라 할 수 있습니다.

첨부 파일의 [표 11-1]에서 볼 수 있듯이 심층방어의 다단계 방호 개념은 일반적으로 다음 다섯 단계로 표현됩니다.

ㆍ1단계(정상상태 유지): 비정상 운전의 발생과 안전에 중요한 기기의 고장을 예방
ㆍ2단계(사고 방지): 비정상 운전상태를 탐지하고 제어하여 사고로 진행되는 것을 방지
ㆍ3단계(중대사고 방지): 사고가 발생하더라도 안전설비의 작동으로 설계기준 이내에서 제어하여 중대사고로 진행하는 것을 방지
ㆍ4단계(중대사고 제어): 중대사고 진행의 억제와 결과의 완화를 통해 방사성물질의 대량 또는 조기 방출을 방지
ㆍ5단계(소외 대응조치): 방사성물질의 대량 또는 조기 방출을 고려하여 이로 인한 방사선 피해를 최소화
최근 3단계를 노심 용융(원자로 내의 핵연료가 녹아내리는 것) 발생 전후로 둘로 구분하는 개념 등 다른 구분 방법들도 제시되고 있습니다. 

심층방어 전략에서는 가급적이면 안전기능을 수행하는 설비나 조치들이 여러 단계에 걸쳐 공통으로 사용되지 않고, 단계 간에 서로 독립적일 것을 요구합니다. 물론 단계 간의 완전한 독립성 확보는 불가능하지만, 다섯 개의 방호단계들이 최대한 독립성을 갖도록 하자는 것이지요.

한편 다중 방벽은 원자로 내에서 생성된 방사성 물질(주로 핵분열 생성물 및 악티나이드)과 환경 사이에 존재하는 여러 겹의 물리적 방벽(Physical Barrier)으로서, [그림 11-2]에 나타난 바와 같이 다음 4가지가 핵심적인 방벽입니다. ㆍ 1차 방벽 - 핵연료 소결체(Fuel Pellet): 핵분열 과정에서 생성되는 방사성 물질의 대부분은 고체 형태이며, 이들은 세라믹 형태의 이산화우라늄(UO2) 핵연료 소결체 내에 머무릅니다. ㆍ 2차 방벽 - 핵연료 피복관(Fuel Cladding): 핵연료 소결체들은 1 cm 정도의 직경을 갖는 피복관 내부에 들어서 있어서, 방사성 물질들이 소결체로부터 빠져 나오거나(주로 기체 상태의 핵분열생성물) 소결체 자체가 손상되더라도 피복관 안에 머무릅니다. ㆍ 3차 방벽 – 원자로냉각재 압력경계(Reactor Coolant Pressure Boundary; RCPB): 방사성 물질의 대부분을 갖는 핵연료봉들과 이를 냉각하기 위한 냉각재는 원자로용기와 주요 일차계통 기기 및 배관으로 이루어지는 원자로냉각재 압력경계 안에 위치합니다. 따라서 이 압력경계의 훼손이 없는 한 방사성물질의 대부분이 그 안에 머무릅니다. ㆍ 4차 방벽 - 격납용기(Containment): 방사성물질을 포함하는 대부분의 설비들을 튼튼한 격납용기가 둘러싸고 있습니다. 따라서 사고로 인해 방사성물질이 원자로계통에서 빠져나오더라도, 격납용기의 건전성이 유지되는 한 대부분 그 안에 머무릅니다. 위의 방벽들 중에서 어느 하나라도 건전성을 유지하면, 방사성물질의 대량 외부 누출은 발생하기 어렵습니다. 다단계 방호 개념의 4단계까지는 위의 물리적 방벽들의 건전성을 유지하기 위한 노력으로 생각할 수 있지요.

첨부 슬라이드의 [그림 11-3]은 다중 방벽과 다단계 방호가 어우러져서 구성하는 심층방어의 통합적인 개념을 보여줍니다.[자료: INSAG-12]. 이를 구체적으로 설명하기는 어려우나, 그림을 5분 정도 음미하시면 개념을 잘 이해하실 수 있습니다.

심층방어는 발전소 내의 기계적 또는 인간적 실수뿐만 아니라 태풍이나 홍수, 지진과 같은 발전소 외부 사건 등을 포함한 모든 종류의 사고에 대해 발전소를 보호하도록 구성됩니다. 또한, 혹시 있을지도 모르는 고의적인 파괴행위에 대해서도 효과적인 방어기능을 수행합니다. 그렇지만, 심층방어 원칙에 따라 건설되어 운전 중인 원전이라 하더라도 리스크를 완전히 제거할 수는 없으며, 원자력 안전 전문가들은 이를 잘 인식하고 있습니다. 따라서 원전의 안전을 상대적인 개념으로 파악하면서, 다른 산업시설이나 발전시설과 비교하여 예외적으로 높은 수준의 안전성을 달성하고자 노력하고 있습니다.

후쿠시마 사고 후 현재의 심층방어 개념에 문제가 있는 것이 아닌가 하는 의문도 제기되었습니다. 그렇지만 심층방어 개념 자체보다는 이를 이행하는 과정이 철저하지 못하여 사고가 발생했다는 것이 원자력 안전 전문가들의 일반적인 생각입니다.