SW 안전과 휴먼팩터의 중요성 - 보잉 737 MAX 사례

  • 송지환SW기반정책·인재연구실 책임연구원
날짜2019.07.16
조회수11673
글자크기
    • 최근 보잉의 신형 항공기인 737 MAX 8이 연이어 추락했다. 첫 번째 사고는 2018년 10월 29일 인도네시아의 라이언 에어에서 발생했고, 이 사고로 탑승객 189명 전원이 사망했다. 첫 번째 사고 후 130여 일 만인 2019년 3월 10일 에티오피아 항공에서 두 번째 추락 사고가 발생했다. 두 번째 사고 역시 탑승객 157명의 아까운 목숨을 앗아갔다. 이러한 끔찍한 추락 사고는 왜 발생했을까? 항공 전문가들은 737 MAX에 새롭게 탑재된 MCAS(Maneuvering Characteristics Augmentation System)의 오동작을 사고의 원인으로 주목하고 있다. 보잉 역시 MCAS의 오류를 인정했고 MCAS 문제를 보완하는 소프트웨어 업데이트를 진행하고 있다.
    • [표 1] 보잉 737 MAX 8 항공기 추락 사고 요약
    • 보잉 737 MAX 8 항공기 추락사고에 관한 표
      편명 라이언 에어 JT610편(국내선) 이미지
      라이언 에어 JT610편(국내선)
      에티오피아 항공 ET302편(국제선) 이미지
      에티오피아 항공 ET302편(국제선)
      발생일시 (현지시각) 2018년 10월 29일 오전 6시 31분 2019년 3월 10일 오전 8시 38분
      사망자수 탑승객 189명 전원 탑승객 157명 전원
      출발지 인도네시아 자카르타의 수카르노 하타
      (Soekarno–Hatta) 국제공항
      에티오피아 아디스아바바의 볼레(Bole)
      국제공항
      도착 예정지 팡칼 피낭(Pangkal Pinang)의 데파티
      아미르(Depati Amir) 공항
      케냐 나이로비의 조모 케냐타(Jomo Kenyatta)
      국제공항
      추락위치 지도에 추락 위치 표시_(위도, 경도)5°48’48.0”S 107°07’37.0”E
      5°48’48.0”S 107°07’37.0”E
      지도에 추락 위치 표시_(위도, 경도)8°52’37.0”N 39°15’04.0”E
      8°52’37.0”N 39°15’04.0”E
    • ※ 출처 : Wikipedia, 2019.5.7.
    • MCAS는 실속을 방지하기 위해 개발된 보잉의 최신 기술이다. 즉, 항공기의 받음각 1 과 다른 여러 조건을 분석하여 실속이 예상되면 기수를 낮춤으로써 추락을 예방한다. MCAS가 제대로 동작한다면 추락 사고의 원인 중 하나인 실속으로부터 항공기를 보호할 수 있게 된다. 하지만 보잉의 의도와는 달리 MCAS의 오동작으로 두 비행기의 기수는 아래로 향했고 조종사들은 이에 대해 적절한 대처를 하지 못해 결국 추락으로 이어졌다.
    • 보잉의 737 모델은 1968년 상업 비행을 시작하여 최장수, 최다 판매 기록을 가지고 있다. 사실 보잉이 그처럼 오래 전에 설계된 737의 기본 뼈대를 버리지 못한 것이 사고의 원인이 된 셈이다. 항공기 개발에는 많은 비용과 긴 시간이 들어간다. 특히, 안전이 중요한 항공기 개발은 안전 관련 여러 가지 검·인증 과정을 통과해야 한다. 이 과정은 짧게는 수개월, 길게는 수년의 시간이 소요된다. 보잉은 경쟁사 에어버스의 A320neo 보다 새로운 항공기를 먼저 출시하기 위해 737의 기본 설계를 유지하고 최소한의 변경만을 허용하여 개발 시간을 단축했다.
    • 보잉은 기존 동체 설계에 신형 엔진을 탑재하면서 발생한 ‘기수 들림’ 부작용을 해결하기 위해 MCAS를 개발했다. 즉, 보잉은 기존 동체에 효율이 높은 새로운 엔진을 탑재하다 보니 출력을 높였을 때 기수가 들리는 문제에 직면했다. 기수가 지나치게 들리게 되면 항공기는 양력을 잃어 실속 상태에 빠지게 되고 최악의 경우 추락으로 이어질 수 있다. 기수가 들리게 되면 실속 방지를 위해 조종사는 꼬리날개의 수평타 각도를 조정하여 기수를 낮춘다. 이러한 조종 특성의 변화는 조종사 재교육과 신형 항공기 출시 일정 지연, 비용 상승 등으로 이어진다. 보잉은 이러한 일정 지연과 비용 상승을 피하기 위해 MAX가 기존 모델과 동일한 조종 특성을 갖도록 MCAS를 개발, 탑재했다.
    • 보잉은 라이언 에어 추락 사고의 원인을 처음에는 조종사의 잘못으로 몰아갔다. 즉, 인재(人災)로 인한 추락 사고이지 항공기의 결함은 아니라는 것이 보잉의 주장이었다. 두 번째 사고 이후 보잉은 결국 MCAS의 결함을 인정했다. 설령 MCAS의 결함이 없었다 치더라도 충분한 사고 원인 조사 없이 인재로 규정하고 사고의 책임에서 벗어나려는 보잉의 태도는 적절치 않았다. MCAS가 기수를 강제로 내리면 조종사는 그 이유를 명확히 알아야 했지만, 737은 충분한 정보를 제공하지 않았다. 또한, 조종사가 MCAS의 ‘기수 하강 조치’를 무시하고 조종을 할 수 있는 직관적이고 간단한 방법을 제공했어야 하나, 그러지 못했다. 바로 이런 부분이 MCAS를 개발하면서 휴먼팩터(Human Factor)와 인체공학의 중요성을 충분히 고려하지 않은 보잉의 잘못이다.
    • 휴먼팩터를 고려한 제품 설계에는 심리학, 생리학 등 다양한 분야의 지식과 경험이 축적되어 사람과 기계 사이의 상호 작용 중 사람의 실수를 줄이고 생산성 및 안전, 편안함을 향상하기 위한 노력이 포함되어야 한다. MCAS는 겉으로는 항공기의 실속을 방지하는 기능으로 알려졌지만, 실제로는 기존 모델의 조종 특성을 유지하기 위해 개발됐다. 이는 조종사에게 기존 조종 특성을 제공하여 휴먼팩터를 충족하는 것처럼 보이지만, 오동작이 발생하였을 때는 안전과 편안함을 향상시키지 못했다.
    • 그림 1 보잉 737 MAX의 꼬리날개 수평타 자동/수동 조종 모드 관련 조종기의 이미지_ 좌측: ①, 우측 상단: ②, 우측 하단: ③
      [그림 1] 보잉 737 MAX의 꼬리날개 수평타 자동/수동 조종 모드
      ※ 출처 : What is the Boeing 737 Max Maneuvering Characteristics Augmentation System?, THE AIR CURRENT, 2018.11.13.
      ※ 설명 : ①은 조종간으로 수평타를 조종할 수 있는 정상 상태, ②는 조종간으로 수평타를 조종하는 모터를 끄고 켜는 스위치, ③번은 ②의 스위치를 끄고 수동으로 수평타를 조정할 수 있게 해주는 휠
    • 보잉 737은 전통적 수동 장치와 컴퓨터 기반의 첨단 장치가 복잡하게 혼재되어 있다. 이 역시 항공기 전체를 새롭게 설계하지 못한 결과이다. MCAS의 오동작으로 기수가 땅을 향하게 되면 [그림 1]과 같이 조종사는 지체 없이 수평타 조종 모터 스위치를 끄고 수평타 휠을 손으로 돌려 기수를 올려야 한다. 이는 과거 보잉 737 모델부터 있던 기능이다. 그러나 보잉은 조종사들에게 MCAS 기능을 충분히 설명하지 않아, MCAS의 오류 발생 시 수평타를 수동으로 조종해야 한다는 대처 방법을 모르던 조종사들은 끝내 참사를 막지 못했다. 결국 MCAS의 오동작 시 고려해야 할 휴먼팩터를 간과한 보잉의 과실이 크다고 본다.
    • 보잉은 MCAS 기능에 대한 소프트웨어 업데이트를 했다. 우선 MCAS의 기능을 덜 ‘공격적 (Aggressive)’인 방향으로 수정했다. 즉, 비행조종시스템(Flight Control System)은 받음각 센서의 측정값 두 개를 비교하여 두 값이 5.5도 이상의 차이를 보이면 MCAS를 동작하지 않게 했고, 잘못된 받음각 정보로 MCAS가 기수를 내리더라도 조종사가 조종간을 당겨 기수를 올리려 하면 조종사의 지시를 우선 따르도록 수정했다. 마지막으로 이전 모델인 NG와 MAX의 차이점에 관해서 설명하는 훈련 자료와 매뉴얼에 MCAS에 대한 설명을 추가했다.
    • MCAS 기능 자체는 혁신적이다. 새로운 항공기의 조종 특성을 소프트웨어가 조정해서 기존 항공기와 유사하게 만들어 기존 737 모델 조종사들이 별다른 추가 훈련 없이 새로운 항공기를 조종할 수 있게 해주었다. 다만, MCAS 기능이 항공기의 실속을 방지하고 항상 안전한 비행을 제공할 것이라는 보잉의 막연한 기대가 결국 항공기 추락이라는 참사를 초래했다. 안전 기능은 사람과 관련된 휴먼 팩터(Human Factor)를 무시할 수 없다. 항공기 역시 사람이 조종하기 때문에 MCAS의 안전 기능은 사람(조종사)에게 영향을 줄 수밖에 없다. 따라서 MCAS의 안전 기능이 실제 조종사에게 어떤 영향을 미치는지에 대한 충분한 분석이 이루어져야 했으며, 이와 관련된 안전 절차 및 훈련 역시 조종사에게 제공됐어야 한다.
    • 제4차 산업혁명의 도래로 소프트웨어가 항공, 철도, 교통, 의료 등 안전이 중요한 분야뿐만 아니라 일상생활에서도 없어서는 안 될 존재가 되었다. 소프트웨어 분야에서는 휴먼팩터의 개념으로 HCI(Human-Computer Interface), 즉, 사람(Human)과 컴퓨터(Computer) 간의 상호작용(Interface)에 대한 연구가 진행되어 왔다. 동일한 기능을 제공하더라도 휴먼팩터를 바탕으로 개발된 사용하기 편한 서비스가 대중의 인기를 받은 사례는 셀 수 없이 많다. 이제는 사람이 중심이 되는 제품과 서비스를 만들어야 하고, 핵심이 되는 소프트웨어의 휴먼팩터에 대한 관심이 필요한 시점이다. 휴먼팩터(Human Factor)는 인간중심의 제품과 서비스를 편안하고 안전하게 제공할 뿐만 아니라 ‘성공 요소(Success Factor)’임을 명심하자.
    • 1 항공기가 정면 공기를 받는 각도를 말하며 영문으로는 Angle of Attack(AOA)이라 한다.