나는 Sal Mercogliano의 What's Going On In Shipping 요약 영상을 꼭 보길 권함
느슨한 전선이 직접적인 원인이긴 하지만, 훨씬 더 많은 시스템적 문제가 있었음
예를 들어 변압기 전환이 수동으로 설정되어 있었고, 승무원은 전환 절차 훈련을 거의 하지 않았음
두 발전기는 하나의 비중복 연료 펌프를 공유했고, 전원 복구 후 자동 재시작되지 않았음
주 엔진은 냉각 펌프 전원 상실 시 비상수 공급 없이 자동으로 꺼졌고, 백업 발전기도 제때 작동하지 않았음
이는 전형적인 Swiss Cheese 모델로, 여러 방어층이 동시에 뚫려야 이런 사고가 발생함
단일 전선 문제에만 집중하면 근본적 개선이 불가능함. 다음엔 센서나 제어보드가 고장날 수도 있음
결국 방어 심층화(defense-in-depth) 가 핵심임
지금도 수천 척의 상선이 잘 운항 중이지만, 다음 느슨한 전선이 언제 문제를 일으킬지 모름
선원들은 저임금과 과중한 책임 속에서 일하며, 사고 후에는 사실상 가택연금 상태로 조사받음
선주들은 예비 조사 결과에도 불구하고 아무 변화가 없음
IR 카메라로 전체 선박을 검사하라는 권고는 현실적으로 불가능함. 항구에서는 시스템이 대부분 유휴 상태이기 때문임
선박은 정박 중일 때 돈을 잃기 때문에, 정비 후 즉시 항해하는 게 일반적임
이런 상황에서도 사고가 드문 건 오히려 놀라운 일임. 결국 이는 감독 실패의 문제임
영상 요약 덕분에 전체 맥락을 이해할 수 있었음
여러 중첩된 실패가 겹쳐야 이런 사고가 발생한다는 점이 인상적임
Sal의 영상을 봤는데, 복잡성과 중복 설계가 많지만 규칙 준수 부족이 문제였음
연료 펌프가 전원 상실 시 자동 재시작되지 않게 설계된 건, 화재 시 연료 공급을 막기 위한 안전 기능일 수도 있음
네트워크 문제의 99%는 불량 케이블 때문이라는 경험이 있음
하지만 이런 선박들은 예산 부족으로 제대로 관리되지 않아, 마치 떠다니는 폐선처럼 보이기도 함
항공 경력에서 배운 교훈은, 사고의 근본 원인을 찾는 것도 중요하지만 Swiss Cheese 모델처럼 여러 방어층을 점검하는 게 핵심이라는 점임
사고는 여러 구멍이 일렬로 맞물릴 때만 발생함
따라서 중복 안전장치를 마련하고, 근접 사고(near-miss) 에서도 원인을 찾아 수정해야 함
나도 비슷한 경험이 있음. 교통 표지판 때문에 시야가 가려질 뻔했는데, 담당 엔지니어는 기준치 내라며 무시했음
하지만 이는 한 층의 구멍을 다른 층이 막아주길 기대하는 셈임
소프트웨어 업계의 회고(retrospective) 회의는 종종 형식적이지만, 실제 사고 후의 post-mortem 분석은 매우 유용함
다만 ‘blameless post-mortem’을 너무 문자 그대로 받아들여 개인의 실수를 회피하면 배움이 줄어듦
결국 어떤 구멍을 통해 사고가 발생했는지 알아야 함. 시스템 상태를 모르는 게 가장 위험함
Hacker News 의견
나는 Sal Mercogliano의 What's Going On In Shipping 요약 영상을 꼭 보길 권함
느슨한 전선이 직접적인 원인이긴 하지만, 훨씬 더 많은 시스템적 문제가 있었음
예를 들어 변압기 전환이 수동으로 설정되어 있었고, 승무원은 전환 절차 훈련을 거의 하지 않았음
두 발전기는 하나의 비중복 연료 펌프를 공유했고, 전원 복구 후 자동 재시작되지 않았음
주 엔진은 냉각 펌프 전원 상실 시 비상수 공급 없이 자동으로 꺼졌고, 백업 발전기도 제때 작동하지 않았음
이는 전형적인 Swiss Cheese 모델로, 여러 방어층이 동시에 뚫려야 이런 사고가 발생함
단일 전선 문제에만 집중하면 근본적 개선이 불가능함. 다음엔 센서나 제어보드가 고장날 수도 있음
결국 방어 심층화(defense-in-depth) 가 핵심임
선원들은 저임금과 과중한 책임 속에서 일하며, 사고 후에는 사실상 가택연금 상태로 조사받음
선주들은 예비 조사 결과에도 불구하고 아무 변화가 없음
IR 카메라로 전체 선박을 검사하라는 권고는 현실적으로 불가능함. 항구에서는 시스템이 대부분 유휴 상태이기 때문임
선박은 정박 중일 때 돈을 잃기 때문에, 정비 후 즉시 항해하는 게 일반적임
이런 상황에서도 사고가 드문 건 오히려 놀라운 일임. 결국 이는 감독 실패의 문제임
여러 중첩된 실패가 겹쳐야 이런 사고가 발생한다는 점이 인상적임
하지만 이런 선박들은 예산 부족으로 제대로 관리되지 않아, 마치 떠다니는 폐선처럼 보이기도 함
항공 경력에서 배운 교훈은, 사고의 근본 원인을 찾는 것도 중요하지만 Swiss Cheese 모델처럼 여러 방어층을 점검하는 게 핵심이라는 점임
사고는 여러 구멍이 일렬로 맞물릴 때만 발생함
따라서 중복 안전장치를 마련하고, 근접 사고(near-miss) 에서도 원인을 찾아 수정해야 함
하지만 이는 한 층의 구멍을 다른 층이 막아주길 기대하는 셈임
다만 ‘blameless post-mortem’을 너무 문자 그대로 받아들여 개인의 실수를 회피하면 배움이 줄어듦
“실수하지 말라”는 조언은 거대 화물선 유지보수나 10MLOC 규모 소프트웨어 모두에 비현실적임
진짜 안전 전략은 실수를 전제로 한 설계여야 함
결국 어느 수준에서는 “실수하지 말자”로 귀결됨. 다만 단순하고 여유 있는 의사결정 환경을 만드는 게 핵심임
연방 차원에서 예인선 지원 의무화 법안을 만들어야 함
전력·조타 상실 시 다리 충돌을 막기 위해, 예인선이 즉시 대응할 수 있어야 함
이를 어기면 선박을 영구 입항 금지하거나 압류하는 식으로 강제해야 함
보험사도 규정 위반 선박에는 보험 거부를 의무화해야 함
위키피디아에서 Francis Scott Key Bridge가 ‘존재한다/하지 않는다’를 두고 편집 전쟁이 벌어졌다는 이야기가 흥미로움
관련 문서 링크
사고 당시 다리 위에 있던 7명의 도로 근로자가 Dali의 비상 상황을 통보받지 못했음
경찰이 차량 통제를 시작한 시점에 통보받았다면, 생존 가능성이 있었을 것임
즉각적 대피 통신 체계의 중요성이 강조됨
영상 설명이 매우 유익했음
처음엔 단순한 압착(crimp) 불량이라 생각했지만, 해양 전선은 훨씬 더 엄격한 규격을 요구함
현장에서는 여전히 ABYC 코드를 제대로 지키지 않는 경우가 많음
NTSB 보고서 원문에 추가 정보가 많음
실제 문제는 연료 펌프 구성 오류였음
본래 펌프가 아닌 임시 펌프를 사용했고, 전원 상실 시 자동 재시작되지 않았음
전선 접촉 불량은 단지 방아쇠 역할이었을 뿐, 정상 펌프가 작동 중이었다면 복구 가능했을 것임
다리 복구 현황이 궁금하다면 keybridgerebuild.com에서 확인 가능함