[특별기고]박윤원 비즈(주) 대표(前 한국원자력안전기술원장)
◆원자력안전의 기본개념
원자력안전이 처음부터 완벽을 기한 것은 아니었다. 1960년대 원자력발전소를 상용화하면서 원자력발전소를 비교적 인구밀집지역에서 멀리 떼어놓고 격납건물로 덮어 놓으면 안전에는 문제가 없을 것으로 생각했다. 그래서 미국에서는 원전부지기준인 10 CFR Part 100이 1962년에 발행된 것에 비해 원자로의 안전성을 확보하기 위한 설계에 고려해야할 주요기준인 10 CFR Part 50 App.A(일반설계기준, Generic Design Criteria)는 1960년대 후반부터 개발이 시작되어 1970년대 초에 현재 원전의 설계에 적용하는 주요개념들이 정리되었다. 원전의 안전성을 확보하기 위해 우선 가장중요하게 도입된 개념은 심층방어와 단일고장 사고 기준이었다.
즉 원전의 안전성은 정상운전부터 사고에 이르기까지 다단계로 방어할 수 있도록 한다는 것과 각 단계별로 방어를 위해 안전기능을 수행해야할 설비나 계통들이 고장이나 작동이 안되는 것을 가정하더라도 안전성을 확보할 수 있도록 해야한다는 개념을 도입한 것이다. 물론 표1에서 보는 바와 같은 현재 일반적으로 적용하고 있는 5단계 심층방어 체계는 IAEA의 INSAG-10 보고서가 1996년에 발간되면서 확고해졌다고 할 수 있겠다. 즉, 안전하게 정상운전 범위에서 운전할 수 있도록 하되(제1단계), 고장 등으로 인해 정상운전을 벗어나 비정상운전으로 진입하게 되면 보호계통 등을 작동시켜 더 이상 비정상운전이 진행되지 않도록 하고(제2단계), 만일 이에 실패하여 사고 상황으로 진행하게 되면 여러 가지 안전설비들을 작동시켜 설계기준 범위이내를 벗어나지 못하도록 하는 것이 3단계이다. 사고가 제대로 제어되지 않아 노심이 녹는 중대사고로 진행하게 되면 사고관리절차와 안전설비를 작동하여 노심용융을 최소한으로 막고 방사성물질이 외부로 나가지 않도록 원자로건물의 기밀건전성을 확보하도록 하며(제4단계), 이것도 실패하여 방사성물질이 대량으로 외부에 방출되면 방사선비상계획을 운영하여 방사선피해를 최소화하도록 한다(제5단계).
각 단계별로 안전기능을 수행할 설비와 계통들이 준비되어 있지만, 이런 대응 설비나 계통이 작동되지 않을 가능성에 다시 대비하도록 요구하는 것이 단일고장사고라는 가정이다. 따라서 각 안전계통이나 설비는 2개 이상의 다중성을 갖도록 하고 이에 추가하여 각 설비가 동일한 원인으로 고장이 나지 않도록 하기 위해 다양성을 갖도록 요구하게 된 것이다. 공학적으로 이 정도라면 4번째 혹은 5번째 단계까지 진행될 가능성은 거의 없다고 생각하고 있었는데 불행하게도 1978년 TMI 사고가 발생한 것이다.
◆원자력 3대 사고에 대한 고찰
(1)TMI 원전 사고=TMI 원전사고는 사소한 문제에서 발단이 되었다. 원자로 운전중 2차계통의 복수계통 세정필터의 레진을 제거하기 위해 항상 사용하던 압축공기를 불어 넣었으나 잘 제거가 되지 않자 압축공기로 물을 강제로 주입하였다. 레진은 제거되었으나 이중 일부는 물에 밀려 역지밸브를 열려둔 채로 만들었고 결국 계측공기배관으로 들어가게 되었다. 이로 인해 주급수펌프, 복수기 부스터펌프 및 복수기펌프가 모두 정지하게 되었다. 정상운전중 주급수공급이 차단되면 원자로가 정지하더라도 계속 발생하는 노심의 잔열을 제거하기 위해 보조급수계통이 작동되어야 하나 당시에 보조급수계통은 원자로가 운전중이었음에도 불구하고 보수점검을 위해 밸브를 잠가 놓는 바람에 작동이 되지 않았다. 결국 증기발생기를 통한 1차측의 열제거가 이루어지지 않자 1차측의 온도가 급격히 올라가고 압력이 증가하여 계통을 보호하기 위한 가압기 방출밸브가 자동으로 열리게 되었다.
일단 1차측의 압력이 떨어지면서 가압기방출밸브가 닫혔으나 불완전하게 닫히는 바람에 1차측 고온고압의 냉각수가 열린 밸브를 통해 계속 흘러나가게 되었다. 가압기 방출밸브를 통해 빠져나온 물은 보통 드레인 탱크에 가두어지게 되어 있으나 계속해서 1차측의 물이 계속 빠져나오는 바람에 드레인 탱크의 파열판이 파손되어 1차측의 물이 바로 원자로 건물로 빠져나오게 되었던 것이다. 이에 추가하여 1차측에 증기와 물이 섞여 흐르게 되어 냉각수펌프가 요동을 치게 되자 운전원은 이 펌프를 정지시켰고 가압기방출밸브의 닫힘을 지시하는 계기는 정상적으로 닫혀있는 것으로 신호가 들어와 있는 바람에 운전원은 냉각수가 방출되고 있다고는 생각지 못했던 것이다. 당시에 가압기방출밸브의 개폐여부 감지신호는 개폐에 대한 신호를 보낸 것으로 그대로 작동이 이루어질 것으로 보고 밸브의 상태는 이 신호가 보내졌는지만을 보여주는 것일 뿐 실제 밸브의 개폐상황을 정확히 탐지하게 된 것이 아니었기 때문이었다. 1차계통의 압력이 급격히 떨어지면 안전주입계통이 작동되어 냉각수를 주입하게 되어 있으나 운전원은 잘못 지시된 수위계측기로 냉각수가 충분한 것으로 판단하여 안전주입을 차단시켰다. 결국 초기에 아주 작은 실수와 운전 중의 운전지침서 위반, 그리고 설비의 결함, 운전원의 반복된 실수 등이 계속 이어지면서 최종적으로 도저히 발생하지 않은 것으로 생각하였던 원자로심이 녹는 상황까지 발생하게 된 것이었다.
(2)체르노빌 원전 사고=이에 반해 체르노빌원전의 사고는 원자로심이 냉각이 안되어 문제가 발생된 것이 아니라 출력제어가 안되어 원자로가 급격한 출력폭주로 폭발을 하게 된 것이다. 즉, 체르노빌 원전은 정상출력 운전 중 2차측 부하가 단락되면 원자로냉각재 펌프에 전력공급이 차단되고 중요 안전설비들에 전력공급을 위해 디젤발전기가 가동되는데 이때 디젤발전기가 전 출력으로 기동되어 필요한 안전설비에 전력을 공급할 수 있을 때가 약간의 시차가 발생하게 된다. 당시에 체르노빌원전의 엔지니어들은 이 때 관성으로 돌고 있는 터빈발전기를 이용해 전력을 생산할 수 있고 이 전력을 그대로 1차 냉각재 펌프를 가동시키는데 사용한다는 기발한 생각을 하고 이를 시험으로 확인하게 된 것이다.
이 시험을 수행하기 위해서는 두 가지 조건이 만족되어야 한다. 즉, 터빈발전기는 최대의 속도로 돌고 있어야 하고 1차측 원자로는 가능한 낮은 출력으로 운전되어야 하는 것이다. 이런 상태에서 2차측 부하를 단락시키면서 관성회전으로 생산된 전력을 1차측 펌프에 공급하는 연결시험을 수행해야하는 해서는 안 될 시험이지만 하더라도 아주 유능한 운전원이 해야하는 것이었다. 그런데 시험이 정해진 당일 낮에 키에프시에서 전력수요 때문에 낮에 원자로를 계속 출력 운전해달라는 요청이 왔고 이로 인해 이 난이도 높은 시험은 저녁으로 이동하게 되었다. 그런데 저녁 늦은 시간에 교대되어 들어온 운전원은 갓 운전면허를 받은 경험이 일천한 운전원이었는데 이 시험을 수행하라는 지시를 받고는 자신은 없었지만 조심스레 시험을 수행하게 되었다. 그러나 원자로 출력을 제어하면서 제어봉을 너무 급히 삽입하였고 출력이 너무 급하게 줄어드는 바람에 터빈발전기를 전 출력으로 돌릴 수 었게 되자 다시 원자로 출력을 올리게 되었다. 그런데 이번에는 제어봉을 너무 급하게 최대치까지 빼어 올렸고 이는 다시 원자로온도, 원자로 냉각수, 중성자플럭스 모두 불안정한 상태가 되면서 원자로의 출력진동을 유발시켰다. 주급수펌프 유량을 줄이기 위해 복수기펌프를 정지시키고 1차측의 출력을 수동으로 조작하여 원자로가 잠시 안정이 되자 운전원은 정상으로 회복된 것으로 생각하고 다시 시험을 시작했다. 터빈으로 보내는 증기를 차단하고 터빈발전기의 관성회전이 시작되었고 바로 디젤발전기가 기동되었다.
RBMK원자로는 PWR원자로와는 다른 특성을 가지고 있는데, 이는 원자로 심내에서 기포가 발생하면 흑연에 의해 감속된 중성자가 냉각수에 의해 흡수되는 양이 줄어들어 출력이 증가하고 출력이 증가하면 기포가 더 발생하고 이에 의해 더 출력이 증가되는 양의 출력계수 특성을 가지고 있다. 체르노빌원전에서는 원자로의 출력제어 실패로 원자로 심내에 기포가 더 발생하고 이에 의해 출력이 증가하는 형태의 급격한 출력변동이 있다가 결국은 급격히 출력이 정상출력의 10배 이상으로 폭주하면서 폭발을 하게 되었다.
그러나 약 40분후에 들이닥친 쓰나미는 설계당시 후쿠시마에서 예상하였던 5m 정도의 규모를 훨씬 초과하는 것이었다. 문제는 이 쓰나미로 인해 원전의 비상디젤발전기, 그리고 주요설비 냉각을 위해 바닷물을 공급해주는 펌프 모두와 주요 안전계통들이 대부분 물에 잠겨버려 무용지물이 되고 만 것이었다. 결국 바로 이어서 원전전원완전상실사고(Station Black Out, SBO)가 선언되었고 외부에도 바로 통보되었다. 후쿠시마원전은 원래 이러한 SBO 사고에 대해서 8시간은 노심냉각을 유지하면서 버틸 수 있게 설계된 것이었다. 소외전원과 비상디젤발전기가 상실되면 마지막 전원으로는 직류배터리가 바로 연결되어 적어도 발전소상태감시와 비상설비들에 대해서는 최소한의 가동을 할 수 있게 되어 있으나 이 배터리역시 모두 침수되는 바람에 그야말로 전원은 완전히 상실되고만 것이었다. 결국 운전원들은 아수라장이 된 상태에서 원전의 상태를 감시할 수 있는 모든 수단을 잃게 되어 그야말로 깜깜이 상태가 되어 버렸다. 또한 이렇게 교류 및 직류까지 모든 전원이 완전히 상실된 것은 전혀 대비가 되어 있지 않았기 때문에 운전원들은 이러한 상황에 어떻게 대처해야하는가를 검토하며 수단을 하나한 찾아나가야 하는 절박한 상황에 봉착하게 된 것이었다.
다행히 3호기와 5호기에서는 직류배터리가 침수되지 않아 이 전력을 이용해 원자로 냉각을 위한 필수기기들을 작동시킬 수 있었고, 6호기에서는 1대의 비상디젤발전기가 기동되었다. 특히 6호기에서 한 대의 비상디젤발전기는 공기냉각으로 작동되는 것이었고 다행히 다른 것에 비해 높이 있는 바람에 침수가 되지 않고 살아남아 기동 가능했고 이로 인해 5호기와 6호기에 필수전원을 공급할 수 있게 되어 비상노심냉각이 가능하였다. 이후로는 그림5에서 보는 바와 같이 원자로심의 핵연료가 냉각되지 않아 용융되었고 핵연료가 물과 반응하여 수소를 발생시키는 바람에 1호기, 3호기, 4호기에서 차례로 수소폭발이 발생하였으며 이는 TV로 생중계되어 전 세계인을 놀라게 하였다.
일본에서는 AD 869년에 규모 8.5의 대형지진이 동북해에서 발생한 기록이 있고 이런 초대형 지진은 약 1000년에 한번 발생할 가능성이 있는 것으로 평가된 바 있다. 그러나 후쿠시마원전 설계당시에 쓰나미는 고작 3m높이 정도밖에는 발생하지 않을 것으로 예상하였고 이어서 2002년에 평가한 결과 5-6m 정도로 조정됐으며, 2008년에 동경전력이 후쿠시마부지에 대해 자체평가한 결과 약 16m 높이의 쓰나미 가능성이 있는 것으로 예측하였다. 하지만 당시에 동경전력이 취한 조치는 우선 이 보고서가 외부에 공개되지 않도록 하고 일본구조공학회에 재검토를 의뢰하고 자체적으로 다시 평가하도록 하였다. 결국 답을 가지고도 늦장을 부리는 바람에 제대로 대응을 하지 못하고 만 것이었다.
◆3대 원전사고로부터의 교훈
앞에서 살펴본 바와 같이 TMI, 체르노빌, 후쿠시마 원전사고는 우리가 미처 생각하지 못했던 대형사고였지만 각기 다른 특성을 가지고 있다. TMI사고의 원인은 사소한 작업자의 실수와 운전지침서의 미준수, 설비와 계기의 설계결함 그리고 운전원의 판단착오 등이 어우러져 발생되었으나 격납건물의 건전성이 유지되어 모든 방사성물질을 격납건물내에 가두어 둘 수 있었고 결국 외부에 미친 영향은 거의 없었다. 반면에 체르노빌사고는 인간의 자만심이 자초한 무리한 시험의 시도, 원자로 자체의 치명적인 설계결함, 그리고 안전에 대해 거의 고려를 하지 않은 구소련의 설계개념에 따라 격납건물 자체가 없었던 것으로 인해 사고의 파장이 엄청났던 것이었다. 원자로의 특성상 노심동적 특성이 불안정해지면 출력폭주가 발생할 수 있는 원자로는 ‘근본적으로 운전을 하지 말아야 하던가’ 아니면 어떠한 상황에서도 이를 막을 수 있는 안전장치가 마련돼 있어야 했던 것이다. 후쿠시마사고는 자연재해에 특히 취약한 일본에서 이에 대한 대응조치가 너무 미흡했고 공통원인인 쓰나미에 의해 모든 안전설비가 무력화되는 심층방어 설계상의 치명적 결함을 가지고 있었다.
그렇다면 우리나라의 입장에서는 어떤 유형의 사고가 가장 가능성이 높을까? 물론 세가지 유형 모두 다 이미 철저하게 방어할 수 있도록 다양한 안전설비를 추가하였기에 이러한 중대사고가 발생할 확률은 거의 없는 것이 사실이다. 하지만 그중에서도 어느 것이 더 높은가를 고려한다면, 필자는 TMI 형태가 될 것이라 생각한다. 체르노빌사고 형태는 노심의 출력폭주였고 또한 격납건물이 없었으나 우리나라에 있는 원자로 어느 것도 이에 해당하지 않는 다고 할 수 있기에 그 가능성은 없다고 보아도 좋을 것이다. 후쿠시마사고 유형은 초대형 외부자연재해가 근본원인인데 사실 우리나라의 근해에서지지 8.0 이상이 발생할 가능성은 없다고 보는 것이 맞을 것이다. 이정도 규모의 지진은 대형 지진대가 존재하여야하고 또한 초대형 쓰나미를 발생시키려면 지진의 규모만 크다고 가능한 것이 아니고 지각의 급격한 변동이 한쪽은 밀려들어가면 다른 한쪽은 위로 밀려 올려지는 섭입대(Subduction)형태의 지진대여야 하는데 우리나라 근처에는 이러한 지진대가 없기 때문이다. 결국 인적오류, 설계결함, 부주의한 운전조작, 판단착오 등이 중복되어 큰 사고로 진행되는 TMI 형태의 사고에 대해서 우리는 특히 경계를 해야 할 것이다.
후쿠시마원전사고 이후 2012년 2월에 고리1호기에서 발생한 전원상실사고를 검토해보면 바로 이러한 인적실수가 몇 가지 중복발생하면서 전원상실사고로 이어졌기 때문이다. 즉, 촉박한 업무일정, 무심한 절차서 위반, 비상설비의 고장 등이 얼마든지 이어질 수도 있음을 우리도 경험하게 된 것이다. 물론 최근의 북한 김정은의 행태를 본다면 언제든지 미사일로 우리원전을 공격할 수도 있기 때문에 이 위험이 실제적으로는 가장 높다고 할 수 있으나 이는 전쟁에 의한 위협이기 때문에 안전관점의 접근도 필요하지만 안보관점에서의 보호대책이 필요한 것이기 때문에 여기서는 구체적인 언급은 하지 않도록 하겠다.
◆후쿠시마사고 이후 안전성강화대책
후쿠시마원전 사고 이후 전 세계는 원전의 안전성에 대해 근본적인 회의를 품게 되었다. 그리고 그렇게 굳게 믿어왔던 심층방어가 단 한 번에 모두 뚫릴 수 있음을 확인하였고 또한 노심냉각을 실패하면 어떻게 되는지를 눈으로 명백히 볼 수 있었다. 그래서 우리나라에서도 다시 심층방어를 강화하는 여러 가지 조치를 시급히 수행했다.
그러나 2014년 8월 25일 부산지역에 내린 약 190mm의 집중호우에 고리원전의 일부지역이 침수되어 고리2호기는 수동정지됐고 본부건물이 전기가 끊기는 사태가 발생하였다. 이는 쓰나미에 대비하기 위한 해안방벽을 보강하면서 막상 폭우에 의해 밀려드는 물은 잘 빠지지 못하는 구조가 되었기 때문이었는데 이와 같이 우리는 아직도 한 가지 문제에 대응하면서 다른 쪽은 자칫 보지 못하는 우를 범할 수 있다. 다행히 이를 통해 다시 미흡한 점을 보강할 수 있었으나 ‘언제고 우리가 취한 조치가 완벽하다고 자만해서는 안된다’는 교훈을 얻을 수 있었다.
◆앞으로 나아갈 방향
후쿠시마 원전사고 이후 우리는 원자력의 안전에 대해서는 아낌없는 투자를 하고 있다. 특히 후쿠시마와 같은 중대사고의 방지를 위해서 많은 비용을 지불하고 있다. 앞서 언급한 것처럼 과거 사고의 교훈에서 배운다면 필자는 어떤 사고에 우리가 더 대비해야 하는가 하는 질문에 대해서는 TMI 사고 유형이라고 강조하고 싶다. 즉, 북한의 미사일공격과 같은 인위적 재해가 아닌 후쿠시마와 같은 극한 자연재해에 의한 사고 가능성은 극히 낮다고 생각하며 이에 대해서는 충분히 보강하였다고 생각한다.
그러나 인위적인 요소, 즉 실수나 판단착오 등에 의한 작은 고장이나 사건이 중복해서 발생하는 것은 언제나 가능한 것이다. 최근 3년간 발생한 국내원전의 불시정지 16건을 살펴보면 모두 작은 고장이나 설비의 오작동에 의한 것이었다. 즉, 중대사고의 가능성은 철저히 줄여야겠지만, 앞으로도 끊임없이 도전해야할 것은 이러한 작은 고장이나 오작동을 줄이도록 하는 것이다. 따라서 이제는 인적오류, 조직적 결함 등을 줄이도록 안전문화에 대한 투자와 강조가 이어져야할 것이라 생각한다. 또한 쓰나미에 무너진 후쿠시마원전으로부터도 교훈을 얻어야하지만 동일한 재앙하에서도 안전하게 정지하고 사고로 진전되지 않았던 일본의 나머지 50기 원전으로부터 성공교훈을 얻는 것도 필요하다. 바로 안전은 우리가 어떻게 대응하느냐에 따라 결정되는 것이기 때문이다.