최근 수정 시각 : 2024-09-16 18:16:35

페일 세이프

Fail Safe

1. 개요2. 예시3. 반대 개념: 페일 데들리

1. 개요

시스템에 고장(fail, 페일)이 발생할 경우, 그로 인해 더 위험한 상황이 되는 것이 아니라 더 안전한(safe, 세이프) 상황이 되도록 하는 설계나 장치.

일례로 대형 트럭이나 버스의 에어 브레이크는 고장이 나면 브레이크가 저절로 작동하여 자동차가 멈추도록 되어 있으며, 엘리베이터는 케이블이 절단되면 저절로 브레이크가 작동해 엘리베이터가 레일에 고정되어 움직이지 않게 되어 있다.

중요한 점은 페일 세이프는 별도의 작동장치에 의해 능동적으로 가동되는 것이 아니라, 시스템/기계의 오작동 자체가 페일 세이프를 가동시키는 수동적 작동방식을 갖도록 해야 한다는 것이다. 앞서 예를 든 에어 브레이크의 경우, 시스템 내 공기압은 평상시엔 브레이크를 거는 역할이 아니라 반대로 브레이크가 걸리지 않게 막는 역할을 하고 있다.[1] 시스템 고장으로 공기압이 떨어지면 브레이크를 막는 힘이 사라져 저절로 브레이크가 걸리도록 되어 있는 것이다. 엘리베이터도 마찬가지로, 평소 비상용 브레이크가 작동하지 않도록 막고 있는 것은 바로 엘리베이터 케이블의 장력이다. 만일 이 케이블이 끊어져 장력이 사라지면 브레이크가 저절로 작동한다.

항공기, 원자력 발전소[2], 병원 등등 고장으로 인해 많은 인명피해가 예상되는 시스템의 경우 반드시 이중 삼중의 페일 세이프 설계가 들어가야 하며, 그렇지 않더라도 우리 주변의 수많은 시스템들이 페일 세이프를 기본으로 설계되어 있다.

주의할 점은 페일 세이프는 안전 장치나 안전을 위한 설계에 포함된 하나의 부품(예를 들어 퓨즈)을 지칭하는 것이 아니라, 그러한 장치나 설계 자체를 포괄적으로 일컫는 용어라는 것이다. 예를 들어 위에서 언급한 안전식 에어 브레이크는 고장 시 차가 멈추도록 한 설계(및 그 브레이크 시스템)가 페일 세이프이지, 이를 작동시키는 핵심 부품인 에어 밸브가 페일 세이프인 것이 아니다. 마찬가지로 원자로의 경우 제어봉의 전자석 부품 자체가 아니라 전원 차단 시 전자석의 전원이 끊어지도록 해둔 설계가 페일 세이프다.

2. 예시

  • 자동차 뒷문이 여/닫히는 방식: 옛날 자동차는 마차를 본떠서 앞을 향해 열리도록 되어 있었다[3] 이러면 문을 열고 차 안으로 들어가 좌석에 앉기가 편하기 때문이다. 허나 이런 문은 자동차가 달리는 도중에 잠금장치가 고장나면 풍압으로 인해 문이 벌컥 열리게 된다는 문제가 있다. 때문에 이런 문[4]은 현대식 자동차에선 일반적으로 장착되지 않으며, 오늘날 대부분의 자동차는 주행 중 풍압이 문을 여는 게 아니라 문을 닫게끔 만들어져 있다. 예외로 롤스로이스는 경호를 위해 반대편으로 열리는 문을 사용한다.
  • 자동차 문의 잠금장치: 현대식 자동차는 주행 속도가 일정 수준을 넘어서면 자동으로 문이 잠기며, 이를 위해 전자석으로 작동하는 잠금장치가 달려 있다. 문제는 차가 사고 등으로 인해 전원이 차단될 경우 이런 전자식 잠금장치를 해제할 방법이 없다는 것. 현재 문 잠금장치에 페일 세이프 설계가 적용된 차는 많지 않으며, 대표적으로 사브는 전력이 소실되면 저절로 해제되는 잠금장치가 장착된다[5] BMW, 메르세데스-벤츠의 경우 고속 주행 중 차에 큰 충격이 가해지면 문 잠금장치가 해제되는 방식인데[6], 이는 동력이 있어야 작동되는 방식이라 페일세이프는 아니다. 물리적 충격 없이 동력이 소실되는 경우가 드물게 있을 수 있기 때문.[7]
  • 방화셔터: 전원이 끊어지면 셔터가 자동으로 내려와 차단하도록 되어 있다.
  • 보안문: 일렉트릭 스트라이커 등의 전자석 자물쇠로 잠기는 보안문들은 전원이 끊기면 저절로 열리도록 되어 있다. 화재에 대비한 것.[8]
  • 원자로: 대개 제어봉이 전자석으로 매달려 있으며, 전력이 모두 소실될 경우 전자석에 붙들려 있던 제어봉이 노심으로 자유낙하해 핵분열 반응을 멈추게 한다.[9]
  • 데드맨 스위치: 장치를 조작하는 사람이 정신을 잃는 등의 이유로 스위치를 놓으면 장치가 저절로 멈추도록 되어 있는 스위치. 우리 주변에서는 공항의 수하물 운반용 카트에서 볼 수 있다. 카트 손잡이 아래의 스위치를 움켜잡지 않은 상태에서는 카트의 브레이크가 저절로 작동하도록 되어 있어, 경사로에서 카트를 놓치는 등의 상황이 발생하더라도 카트가 굴러내려가지 않는다.
    참고로, 자동차의 가속 페달은 데드맨 스위치가 아니다. 데드맨 스위치는 스위치가 열리는 순간 안전장치가 작동하는 방식의 페일 세이프이다. 운전자가 정신을 잃어 가속 페달에 가해지는 힘이 사라질 경우, 자동차는 더 이상 능동적으로 가속되지 않지만 안전장치(즉 브레이크)가 작동하지도 않는다.[10]
  • 안전측선 (피난선, 탈선분기기): 분기기가 이쪽 방향으로 상시 개통돼 있는 상태가 정위(normal)다. 신호를 위반한 열차가 본선에 진입하는 것을 막고 탈선시켜서 사고를 방지한다. 관제실에서 진행 신호가 나오면 반위(reverse)가 되어 선로가 열리고 열차가 지나갈 수 있다. 반위 상태에서 일정 시간이 지나면 정위로 복귀하도록 설계된 경우도 있다.
  • 비상 중력 기어 전개(Emergency Gravity Gear Extension): 엔진 불능이나 전력 손실로 인해 항공기 유압이 손실되었을 때 중력을 이용해 항공기 안으로 접어놓았던 랜딩 기어를 펼치는 것이다. 단, 이 매커니즘은 페일 세이프가 완전히 기계적으로 일어나지는 않으며, 보잉의 경우 777을 기준으로 Altn Gear 스위치를 1초 이상 DOWN 포지션에 두면 자동으로 유압이 해제되고 관련된 잠금장치가 다 풀리며, 에어버스 항공기의 경우 조종석에서 GRAVITY GEAR EXTN 핸들을 3바퀴 돌려야 한다. 기본적으로 유압이 작용하여 랜딩 기어가 펼쳐지는 것이 아니라 유압이 랜딩 기어가 펼쳐지지 않도록 잡고있기 때문에 가능한 것이다. 자세한 내용은 이 동영상 참조
  • 램 에어 터빈(Ram Air Turbine, RAT): 작은 바람개비처럼 생긴 풍력 발전기로, 평소에는 동체 속에 숨어 있다가 항공기의 전력이 차단되면 튀어나와 전력을 생산해 비행에 필요한 비행컴퓨터나 각종 계기, 무선통신 등을 사용할 수 있게 해 준다. 전력이 있어야 잠기는 고정장치가 전력이 끊어지면 풀리며 뒤어나오는 것이므로 페일 세이프라 할 수 있다. 에어 트란셋 236편 비상착륙 사건에서 모든 연료가 떨어져 APU조차 사용할 수 없게 되자 튀어나와 조종실에 전력을 공급한 사례가 있다.
  • 현대의 인터넷 서비스, 웹 서버 시스템: 2010년대 이후 개발되는 웹 기반 서비스들은 여러 웹 호스팅 서비스를 통해 2중, 3중 서버 가상화를 거치거나, 실시간 DB 복제를 통해 서버 1개가 작동 불능 상태에 빠져도 서비스는 정상적으로 작동하되 발생한 장애에 수습할 수 있도록 설계되고 있다.
  • 엘리베이터: 엘리베이터 승강장의 문은 무동력으로 되어 있으며, 안쪽 문에 걸쇠가 있어 안쪽 문이 열릴 때 승강장의 문이 같이 열린다. 제어장치에 에러가 발생하여도 문이 열리지 않게 하기 위함이다.
  • 일부 총기의 그립 세이프티 방식 안전장치 : 총을 사수가 계속 잡고 있지 않으면 스프링에 의해 안전 장치가 작동되어 장전되어있더라도 격발을 차단한다.
  • 심장의 페이스메이커 : 심장의 전도계는 크게 동방결절, 방실결절로 이루어져 있는데, 평소에는 동방결절에서 나온 자극이 방실결절, 히스속으로 전도되어 심장이 박동하며 동시에 방실결절의 자동능을 억제한다. 하지만 동방결절이 멈추게 되면 방실결절의 자동능에 의해 활동 전위가 발생하여 심실을 박동(접합부 탈출)시키게 되는데, 이마저 멎게 된다면 3초 내에 심실의 히스속이나 아얘 심근이 자체적으로 활동 전위를 발생시켜 심실을 박동(심실 탈출)시키게 된다. 따라서 어떠한 이유로 동방 결절이 멈추거나 방실전도가 차단되더라도 치명적인 심정지로 진행하는 것을 방지한다.[11]
  • 워치독 타이머 : 워치독 타이머는 마이크로컨트롤러 같은 컴퓨터 시스템에 장착되어 작동하는 장치이다. 워치독 타이머는 내부에 계속 값이 증가하는 카운터가 내장되어 있고 CPU 등 외부 신호를 통해 주기적으로 카운터 값을 리셋하게 되는데, 만약 프로그램에 버그가 생기거나 전기적 요인으로 CPU가 멈춰 리셋 신호를 보내지 못하여 카운터가 최대값을 넘어가게 되면 워치독에서 신호를 발생시켜 시스템의 개입 없이 시스템을 리셋하거나 다른 조치를 취하도록 할 수 있다.

3. 반대 개념: 페일 데들리

반대되는 개념은 페일 데들리(fail deadly). 일반적으로는 절대로 사용되지 않는 설계로, 고장이나 오작동 시 더 위험한 상태가 되도록 고안된 시스템이다. 대개 전략 핵무기나 상호확증파괴와 관련된 설계에 등장하는 개념으로, 시스템이 정상 작동되지 않을 경우 사령부의 괴멸 등의 최악의 상황을 가정하고 행동(즉 적국에 핵공격)하도록 설계된 시스템이다. 냉전 시대의 무시무시한 유물. 실제로 과거 UVB-76로 잘 알려진 ZhUOZ라 불리는 러시아의 군사용 라디오 채널이 전략핵 페일 데들리일 것으로 추측하는 이들이 많았으나 수동으로 명령을 내리는 시스템인 것으로 밝혀졌으며, 냉전을 소재로 한 유명한 영화인 닥터 스트레인지러브 핵전략사령부[12]가 페일 데들리 시스템을 소재로 하고 있다. 핵무기 보유국들의 핵잠수함들도 기본적으로는 페일 데들리 시스템에 따라 행동하도록 되어 있으며, 이를 소재로 한 크림슨 타이드라는 영화도 있다. 물론 시스템이 그렇다는 것이지 기계장치로 정교하게 핵 보복을 하도록 만들어진 건 아니고 결국 사람이 가서 기폭시켜야 하는 특성상 함장의 재량이 들어간다. 최악의 경우 어차피 조국이 사라진 마당에 보복해봐야 전후 책임만 엄중하게 질 뿐이다.

위에서 언급한 데드맨 장치도 페일 세이프가 아니라 페일 데들리로 만들 수 있다. 스위치를 놓는 순간 장치가 작동하도록 하면 된다. 주로 자살 폭탄 테러범들이 사용하는 방식이며 수류탄의 그립도 페일 데들리라 할 수 있다. (그립을 놓으면 작동하므로)


[1] 이중 챔버 구조로 평상시엔 서비스 챔버 내부의 공기압으로 제동을 하고 비상제동 챔버는 작동하지 않으며, 공기압이 일정 수준 이하로 떨어지면 다른 챔버 쪽의 내부 스프링에 의해 브레이크가 걸리도록 하는 역할을 한다. [2] 예기치 못한 사고로 인해 원자로에 전력 공급이 중단되는 경우, 제어봉을 붙들고 있던 전자석의 자기력이 사라져 제어봉이 노심으로 자유낙하하며 삽입되고 원자로 운전이 멈추게 된다. [3] 즉 지금과는 반대 방향으로서 힌지가 뒤쪽에 있음. [4] 자살문 suicide door 이라 부른다 [5] 잠금만 해제되며 문이 저절로 열리지는 않는다. [6] 때문에 고속 주행 중 큰 포트홀을 타고넘을 경우 문 잠금장치가 철컥 풀리기도 한다 [7] 예를 들어 정차 상태에서 전기 화재 발생 [8] 대신 정전시 열림 모델을 구입해야 한다. 정전시 잠금 모델은 은행 같이 높은 보안을 요구하는 경우에 사용한다. [9] 그런데 어떻게 원전 사고가 났는지 궁금할 것이다. 체르노빌 발전소는 설계 자체가 문제가 있어 제어봉이 삽입되는 순간 노심이 폭주했고, 후쿠시마 원자력 발전소 사고의 경우 제어봉이 들어가 있지만 냉각수 펌프가 전부 전력을 소실해 냉각이 안 되면서 연쇄반응이 아니라 핵연료 자체의 붕괴열이 누적되어 결국 노심이 녹았다. 스리마일 섬 원자력 발전소 사고는 냉각수 밸브가 잠긴 상태인 것을 모르고 잘못된 조작을 해 노심이 결국 녹았다. 이처럼 제어봉은 원전을 완전 멈추는 마법봉이 아니며 최악의 사태(연쇄반응 폭주)에 대한 최소한의 보루일 뿐이다. 예를 들어 후쿠시마 발전소가 제어봉마저 무력화된 상태에서 모든 전력이 끊겼다면 지금쯤 일본 동부는 사람이 살 수 없는 방사능 황무지가 되었을 것이다. [10] 사람이 발로 밟는 페달 형태의 데드맨 스위치는 거의 이용되지 않는다. 체중 때문에 사용자가 의식을 잃어도 스위치가 계속 닫혀 있을 가능성이 높기 때문이다. [11] 참고로 심방이 멈추더라도 심실만 제대로 박동한다면 혈액을 불완전하게나마 순환시킬 수 있다. 다만 심실 탈출까지 가면 심박수가 너무 낮아져 인공 페이스메이커가 필요해진다. [12] 이 영화의 원제는 아이러니컬하게도 "페일 세이프"다.

분류