eVTOL 사고 나면? | 안전성을 계산기로 두들겨보자
"하늘에서 배터리가 꺼지면 그냥 떨어지는 거 아니야?" eVTOL 이야기를 꺼내면 주변에서 가장 많이 듣는 반응입니다. 투자자로서 이 질문을 회피할 수 없습니다. 안전성은 인증의 핵심이고, 인증은 상용화의 전제이며, 상용화는 투자 수익의 전제이기 때문입니다.
이 글에서는 "느낌"이 아니라 "숫자"로 안전성을 따져봅니다. FAA가 요구하는 안전 기준이 구체적으로 무엇인지, eVTOL의 다중 중복 설계가 그 기준을 어떻게 충족하는지, 그리고 공개된 시험비행 사고 사례에서 무엇을 읽을 수 있는지를 정리합니다.
10⁻⁹ — 이 숫자의 의미
항공 안전의 핵심 지표는 치명적 사고 확률입니다. FAA가 요구하는 기준은 치명적 사고가 10억 비행 시간당 1회 미만, 즉 10⁻⁹/flight hour입니다.
이 숫자가 얼마나 엄격한지 소프트웨어로 비유해보겠습니다. SLA(Service Level Agreement) 99.999%(파이브 나인)는 연간 다운타임이 약 5분이라는 뜻입니다. 이것도 극도로 높은 기준인데, 항공의 10⁻⁹은 이보다 훨씬 위입니다. 대략 "나인 나인(99.9999999%)"에 해당합니다. 인간이 만드는 시스템 중 항공이 가장 높은 신뢰성을 요구하는 분야라는 게 숫자로 확인됩니다.
중요한 점은 이 기준이 시스템 전체에 적용된다는 것입니다. 개별 부품(모터 하나, 배터리 셀 하나)의 고장 확률이 10⁻⁹일 필요는 없습니다. 개별 부품은 고장날 수 있되, 시스템 전체가 10⁻⁹의 안전 수준을 유지해야 합니다. 이걸 가능하게 하는 것이 중복 설계(Redundancy)입니다.
다중 중복 설계 — 고장을 전제한 설계
eVTOL의 안전 철학은 "고장이 안 나게 만든다"가 아니라 "고장이 나도 안전하게 만든다"입니다. 이 철학의 핵심이 다중 중복 설계입니다.
- 모터 중복. 9편에서 다뤘듯이 eVTOL은 여러 개의 독립 모터를 장착합니다. Joby S4는 6개, Archer Midnight는 12개입니다. 모터 하나가 멈춰도 나머지가 비행을 유지합니다. 설계에 따라 2~3개가 동시에 고장나도 안전하게 착륙할 수 있도록 되어 있습니다.
- 배터리 중복. 배터리 팩을 여러 개의 독립 모듈로 나누어, 한 모듈에 문제가 생겨도 다른 모듈이 전력을 공급합니다. 문제가 생긴 모듈은 자동으로 차단(Isolation)되어 다른 모듈에 영향을 주지 않도록 합니다.
- 비행 제어 컴퓨터(FCC) 중복. FCC도 보통 2~3중으로 구성됩니다. 주 컴퓨터가 고장나면 보조 컴퓨터가 즉시 인계받습니다. 각 컴퓨터가 독립적으로 계산하고 결과를 비교(Voting)하는 방식으로 소프트웨어 오류도 감지합니다.
- 전력 분배 중복. 배터리에서 모터로 가는 전력 경로도 이중화됩니다. 한 경로가 단선되어도 대체 경로를 통해 전력이 공급됩니다.
이 모든 중복 시스템이 동시에 고장날 확률을 계산하면 10⁻⁹ 이하에 도달할 수 있습니다. 예를 들어, 단일 모터의 고장 확률이 10⁻⁴(만 시간당 1회)이라도, 6개 중 3개가 동시에 고장나야 비행 불능이라면, 비행 불능 확률은 10⁻⁴의 조합 확률로 10⁻⁹ 이하로 낮아집니다.
비상 시스템 — 최후의 보루
중복 설계가 모두 실패하는 극단적 상황을 위한 최후 수단도 있습니다.
- 전기체 낙하산(Ballistic Parachute System, BPS). 기체 전체에 낙하산을 부착하여, 제어 불능 상황에서 낙하산을 전개해 기체를 통째로 내리는 시스템입니다. 경비행기에서는 이미 BRS(Ballistic Recovery System)라는 이름으로 상용화되어 있고, 실제로 수백 건의 생명을 구한 사례가 있습니다.
- 오토로테이션 / 활공. 멀티콥터 방식은 오토로테이션이 어렵지만, 날개가 있는 틸트로터나 리프트앤크루즈 방식은 전력이 완전히 끊겨도 활공(Glide)이 가능합니다. 활공 능력이 있다는 것은 비상착륙까지의 시간과 거리를 확보할 수 있다는 의미입니다.
공개된 시험비행 사고 사례에서 읽는 것
eVTOL 기업들의 시험비행 과정에서 사고가 발생한 사례가 있습니다. 이것을 어떻게 해석해야 할까요?
시험비행에서의 사고는 "실패"가 아니라 "데이터"입니다. 시험비행의 목적 자체가 한계 상황에서 기체의 반응을 확인하고, 문제점을 발견하여 수정하는 것입니다. 항공기 개발 과정에서 시험비행 사고는 역사적으로 흔한 일이며, 중요한 것은 사고에서 얻은 교훈이 설계에 반영되었는지입니다.
투자자 관점에서 시험비행 사고가 발생했을 때 봐야 할 것은 세 가지입니다. 사고의 원인이 설계 결함인지 시험 조건의 문제인지, 사고 후 기업의 대응(원인 분석 및 설계 수정 여부), 그리고 FAA가 해당 사고에 대해 어떤 반응을 보였는지.
사고 자체보다 사고 후의 대응이 기업의 기술 성숙도를 보여줍니다. 투명하게 원인을 공개하고 설계를 수정하는 기업은 신뢰할 수 있고, 사고를 축소하거나 은폐하려는 기업은 장기적으로 인증 과정에서 문제를 겪을 가능성이 높습니다.
헬리콥터와의 안전성 비교
eVTOL의 안전성을 가늠하는 가장 직접적인 비교 대상은 헬리콥터입니다.
헬리콥터의 치명적 사고율은 10만 비행 시간당 약 1건(10⁻⁵) 수준입니다. 이것은 항공기 전체 평균(10⁻⁷)보다 높은 수치로, 헬리콥터가 상대적으로 위험한 항공 수단이라는 것을 의미합니다.
eVTOL이 FAA 인증을 받으려면 10⁻⁹ 기준을 충족해야 하므로, 이론적으로 헬리콥터보다 1만 배 이상 안전해야 합니다. 이것이 과연 가능한가에 대한 논란이 있지만, 분산전기추진의 다중 중복 설계와 디지털 비행 제어의 신뢰성을 고려하면 기계적으로는 달성 가능한 수준이라는 것이 업계의 일반적인 시각입니다.
다만 "기계적 달성 가능성"과 "운영 환경에서의 실제 안전성"은 다를 수 있습니다. 기계 자체는 안전해도 운항 절차, 기상 조건, 인적 요인 등에 의해 실제 사고율이 달라질 수 있습니다. 이 부분은 실제 상용 운항 데이터가 쌓여야 검증됩니다.
Soo's View
소프트웨어 장애율과 항공 안전 기준을 비교해봤을 때, 항공의 세계는 차원이 다르다는 걸 실감했습니다. 우리가 만드는 서비스에서 SLA 99.99%를 맞추려고 해도 쉽지 않은데, 항공은 99.9999999%를 요구합니다.
그런데 역설적으로, 이 엄격한 기준이 투자자에게는 안전장치가 됩니다. FAA 인증을 통과했다는 것은 이 극도의 안전 기준을 충족했다는 의미이고, 그 인증 과정이 후발 주자의 진입을 막는 높은 장벽이 됩니다. 안전 기준이 엄격할수록 인증받은 기업의 경쟁 우위(Moat)가 강해집니다.
eVTOL의 안전성에 대한 제 입장은 이렇습니다. 기술적으로 안전한 기체를 만드는 것은 가능합니다. 하지만 대중이 "하늘을 나는 택시는 안전하다"고 체감하려면 수년간의 사고 없는 운항 실적이 쌓여야 합니다. 기술과 인식 사이의 갭, 이것이 상용화 속도를 결정하는 또 하나의 변수입니다.
면책 조항: 본 글은 정보 제공 목적이며 특정 종목의 매수·매도 권유가 아닙니다. 투자 결정은 본인의 판단과 책임하에 이루어져야 합니다. 필자는 eVTOL 섹터에 포트폴리오의 10~20%를 배분하고 있으나, 개별 종목 보유 여부는 공개하지 않습니다.
📌 시리즈 2 — "비전공자가 파헤치는" eVTOL 핵심 기술