반응형 전체 글103 UI 수정 시 RMF 재평가 사용성 변경 재시험 체크리스트가 규칙 1. 변경 분류와 재시험 범위 산정사용성 변경의 재시험을 “얼마나 크게 바뀌었나”로 결정하면 대부분 실패합니다. UI 수정은 기능 요구사항을 그대로 두더라도 사용자의 인지–해석–행동 경로를 바꾸고, 그 결과로 위해 시나리오의 탐지/전달/해석 고리를 강화하거나 약화할 수 있기 때문입니다. 따라서 재시험 범위 산정은 변경의 외형이 아니라 안전 영향 경로를 기준으로 해야 합니다. 실무에서는 먼저 변경점을 ‘화면 단위’가 아니라 ‘결정 지점 단위’로 분해합니다. 환자/대상 선택, 모드 선택, 임계값 입력, 결과 승인, 알람 확인, 설정 변경처럼 사용자가 안전 관련 결론을 내리는 지점에 변화가 있었는지부터 확인합니다. 이 지점이 건드려지면, 변경은 사용성 개선이 아니라 안전 통제(가드레일)의 변경으로 취급하는 것.. 2026. 2. 14. UI 수정 시 RMF 재평가 규칙 1) UI 변경을 “사용성 이슈”가 아니라 “안전 사건 흐름”으로 분류한다UI 수정은 겉보기에는 화면 문구나 배치의 변화로 끝나지만, 실제로는 사용자의 인지–해석–행동 경로를 바꾸는 변경입니다. 따라서 변경관리에 연결하려면 “UI가 바뀌었다”라는 기술이 아니라, 어떤 사용자 행동이 달라지고 그로 인해 어떤 위해상황이 열릴 수 있는지를 먼저 정의해야 합니다. 실무에서 가장 많이 놓치는 구간은 ‘경미한 수정’으로 분류해 버린 UI 변경이 위험통제를 무력화하는 경우입니다. 예컨대 확인(confirmation) 단계의 버튼 위치 변경, 기본값 유지 정책 변경, 경고 문구의 표현 완화, 화면에서 안전 관련 정보의 강조도 감소는 사용자의 행동을 무의식적으로 바꿉니다. 이런 변화는 기능 요구사항을 직접 수정하지 않더.. 2026. 2. 13. 식별오류 통제 바코드 이중확인 맥락경고 1) 식별 오류를 ‘사건 흐름’으로 모델링하고 통제 목표를 정한다환자/대상(검체, 이미지, 데이터 레코드) 식별 오류는 의료기기에서 가장 위험한 오사용 유형 중 하나입니다. 이유는 단순합니다. 동일한 측정·분석·치료 행위가 “대상이 바뀌는 순간” 결과의 임상적 의미가 완전히 달라지고, 오류가 발생해도 사용자가 즉시 이상을 체감하기 어렵기 때문입니다. 따라서 식별 오류 통제는 “입력을 정확히 하라”는 교육으로 해결되지 않고, 사건 흐름에서 오류가 발생하기 쉬운 고리와 탐지 실패 고리를 설계적으로 끊는 방식으로 접근해야 합니다.실무에서 먼저 해야 할 일은 식별 오류를 하나의 사건으로 보지 말고, 최소한 세 가지 유형으로 분해하는 것입니다. 첫째, 선택 오류(잘못된 환자/레코드/검체를 선택). 둘째, 연결 오.. 2026. 2. 13. 오사용통제 설계와 정보제공 경계 1) 우선순위 원칙: “사람을 통제하지 말고 시스템을 통제한다”오사용(Use Error) 위험통제에서 가장 중요한 원칙은, 사용자를 “통제 대상”으로 두기보다 시스템이 오사용을 유도하거나 허용하는 경로를 차단하는 것입니다. 즉 “주의하세요”로 끝나는 통제는 최후수단이고, 가능한 한 설계(Design)로 위해 경로를 끊어야 합니다. 이 우선순위는 단순한 철학이 아니라, 반복되는 임상 환경에서 인간의 주의력과 기억에 기대는 통제가 지속적으로 실패한다는 현실적 근거에 기반합니다. 따라서 의사결정은 “이 오사용을 교육으로 막을 수 있는가”가 아니라, “이 오사용이 발생해도 위해로 확대되지 않게 시스템이 막을 수 있는가”로 시작해야 합니다.실무적으로는 오사용 사건 흐름을 ‘인지–해석–행동’ 고리로 분해한 다음, .. 2026. 2. 12. 오사용 시나리오 작성과 검증 1) 사용 맥락을 고정하고 ‘정상 업무흐름’부터 그린다오사용(Use Error) 시나리오의 품질은 “사용자가 실수할 수 있다”는 선언이 아니라, 실수가 발생할 수밖에 없는 맥락(Context) 을 얼마나 정확히 고정했는지에서 결정됩니다. 먼저 사용자 유형(숙련도, 직무, 권한), 사용 환경(소음·조도·동선·보호구 착용·감염관리 동선), 대상(환자군/검체/데이터), 그리고 업무흐름(전처치–측정–확인–기록–보고)을 한 문장으로 고정해야 합니다. 이 단계가 흐리면 이후 문서에서 오사용이 “개인의 부주의”로 환원되어 통제가 정보제공(주의 문구) 수준에 머무르기 쉽고, 실제 위해 감소로 연결되지 않습니다. 실무에서는 장비 자체가 아니라 현장 프로세스가 오사용을 만들기 때문에, 시나리오 작성의 출발점은 기능 목록이.. 2026. 2. 12. 보안위협 안전위해 정합 프레임 1) 자산·안전기능·데이터흐름을 ‘안전 관점’으로 재정의사이버보안 위협모델을 위해 시나리오로 연결할 때 가장 먼저 해야 할 일은, 보안 문서에서 말하는 “자산(Asset)”을 RMF가 이해하는 “안전 영향의 대상”으로 다시 정의하는 것입니다. 보안팀 관점의 자산은 계정, 키, 서버, 네트워크, 데이터베이스처럼 기술 요소로 정리되기 쉽지만, 위험관리 관점에서는 그 자산이 침해될 때 어떤 안전 기능이 흔들리고 어떤 위해상황이 열리는지가 핵심입니다. 따라서 변환의 출발점은 자산 목록을 나열하는 것이 아니라, 제품의 안전 관련 기능(Safety-related function) 과 안전 관련 데이터(Safety-related data) 를 분리해 식별하는 것입니다. 예를 들어 경보 임계값, 치료 파라미터, 환자 .. 2026. 2. 11. 이전 1 ··· 10 11 12 13 14 15 16 ··· 18 다음 반응형
