IEC 60601-1 13절은 의료기기가 위험상황(hazardous situation) 또는 고장상태(fault condition)에 놓였을 때, 위해가 현실화되기 전에 보호동작으로 전이하고 사용자가 이해할 수 있는 방식으로 알람/표시를 제공하며, 필요 시 재가동(restart) 제한까지 포함해 안전을 유지하도록 요구합니다. 8절이 “전기적 위험”을, 11절이 “열적 위험”을 다룬다면 13절은 그 위험이 실제로 나타나려는 순간에 장비가 어떤 행동을 하는지—즉 안전의 동작 논리를 검증하는 조항입니다. 그래서 13절은 시험보다도 ‘시나리오’가 중요하고, 시나리오보다 ‘근거(위험관리·필수 성능·사용자 문서)’가 중요합니다.
현장에서 13절 부적합이 반복되는 이유는 단순합니다. 보호동작이 설계에 존재해도, 어떤 조건에서 작동해야 하는지 정의가 부족하거나, 알람이 사용자 행동으로 이어지지 않거나, 재가동 제한이 문서·UI·로그와 정합되지 않으면 심사자는 “현장에서 통제되지 않는다”고 판단합니다. 이 글에서는 전문가 관점에서 13절을 위험상황 정의, 보호동작·알람 설계 검증, 재가동 제한·기록 체계의 3축으로 정리합니다.
위험상황과 보호 목표를 시험 언어로 고정
13절의 출발점은 “무엇을 위험상황으로 볼 것인가”를 제품별로 명확히 정의하는 것입니다. 많은 팀이 고장을 ‘부품 고장’으로만 생각하지만, 13절의 위험상황은 더 넓습니다. 예를 들어 냉각 성능 저하로 내부 온도가 상승하는 상태, 환자 접촉이 불완전한데 에너지가 출력되는 상태, 유량 라인이 막혀 과압이 누적되는 상태, 전원 품질 저하로 제어가 불안정해지는 상태는 부품이 망가지지 않아도 위험상황이 될 수 있습니다. 따라서 위험상황은 “원인”이 아니라 “위험한 상태”로 정의해야 합니다. 이렇게 정의해야 시험에서도 “어떤 상태를 재현했고 어떤 보호동작이 발생했는지”를 일관되게 기록할 수 있습니다.
실무적으로는 위험관리(ISO 14971)의 유해사건 시나리오를 13절 시험 시나리오로 변환하는 과정이 핵심입니다. 변환할 때는 세 가지를 고정합니다. 첫째, 트리거(감지 조건)입니다. 어떤 센서 값이 어떤 임계치를 넘으면 위험으로 판단하는지, 임계치가 단일값인지(고정), 환경이나 모드에 따라 변하는지(가변)를 정해야 합니다. 둘째, 허용 시간(응답 시간)입니다. 위험이 발생해도 일정 시간은 안전할 수 있지만, 어떤 위험은 수 초 안에 위해로 연결됩니다. 따라서 감지 후 몇 초 안에 알람이 발생하고, 몇 초 안에 출력이 제한/정지되어야 하는지 목표를 설정해야 합니다. 셋째, 안전 상태(safe state)입니다. 출력 완전 정지인지, 출력 디레이팅인지, 자동 복구 가능한 제한인지, 사용자 확인 후 재개인지 등을 정의해야 합니다. 안전 상태 정의가 없으면 보호동작이 “있긴 한데 애매한” 형태가 되어 심사에서 질문이 집중됩니다.
또 하나의 핵심은 필수 성능과의 관계입니다. 어떤 제품은 출력이 멈추면 위해가 줄어들지만, 어떤 제품은 출력 중단 자체가 환자 위험을 늘릴 수 있습니다. 예컨대 생명 유지 또는 치료 연속성이 중요한 장비는 무조건 정지가 최선이 아닐 수 있습니다. 이런 경우 13절은 “계속 운전하되 안전한 범위로 제한하고, 사용자에게 즉시 조치하도록 알린다” 같은 전략이 더 합리적일 수 있습니다. 중요한 것은 어떤 전략이든 위험관리 근거로 설명되어야 하고, 그 설명이 시험 조건과 일치해야 한다는 점입니다. 즉 13절은 보호동작을 ‘안전 상식’으로 설계하는 조항이 아니라, 제품의 임상 맥락에서 안전을 논리적으로 설계하고 시험으로 검증하는 조항입니다.
마지막으로 7절(문서)과의 정합을 이 단계에서 확보해야 합니다. 위험상황이 발생했을 때 사용자가 어떤 행동을 해야 하는지, 행동이 가능하지 않다면 장비가 무엇을 자동으로 해야 하는지(자동 정지, 재가동 제한)를 구분해야 합니다. “알람만 주고 사용자가 알아서”라는 접근은 실제 현장에서 실패할 확률이 높고, 위험도가 높다면 심사에서도 보수적으로 판단됩니다. 위험상황 정의 단계에서부터 “사용자 의존 통제”와 “장비 자동 통제”의 경계를 명확히 그어두면 13절의 시험 시나리오가 깔끔해집니다.
알람·보호동작의 우선순위와 단일고장 검증
13절의 핵심 산출물은 결국 “보호동작이 실제로 작동하는지”를 보여주는 시험 결과입니다. 이때 보호동작은 단일 기능이 아니라, 감지 → 경보(알람/표시) → 제한/정지 → 상태 유지 → 복구/재가동 조건의 연쇄로 이루어집니다. 시험소가 보는 포인트는 이 연쇄가 논리적으로 끊기지 않는지, 그리고 단일고장상태(SFC)에서도 위험 방향으로 폭주하지 않는지입니다.
알람은 단순히 소리가 나면 끝이 아닙니다. 사용자가 인지할 수 있어야 하고, 무엇이 문제인지 이해할 수 있어야 하며, 어떤 행동을 해야 하는지 안내해야 합니다. 실무에서 흔한 부적합은 “알람 문구가 모호”하거나 “동일 알람이 여러 원인을 가리켜 원인 분리가 안 되는 경우”입니다. 예를 들어 ‘System Error’ 하나로 과열, 센서 단선, 통신 오류를 모두 처리하면 사용자는 적절한 조치를 할 수 없습니다. 따라서 위험도가 높은 이벤트는 가능한 한 원인(또는 최소한 조치)을 구분해 표시해야 합니다. 또한 알람의 우선순위가 중요합니다. 과열과 저배터리가 동시에 발생할 때, 사용자가 먼저 봐야 할 것은 무엇인지, 장비는 어떤 순서로 보호동작을 수행하는지(예: 출력 감소→세션 종료→안전 정지)를 정의해야 합니다. 이런 우선순위는 소프트웨어 논리(14절)로 보이지만, 13절에서 “안전 행동”으로 평가됩니다.
보호동작 검증에서는 ‘트리거 재현’이 관건입니다. 시험 시나리오는 대표적으로 다음 범주로 구성됩니다. 온도 상승(팬 정지/경로 막힘), 과전류/과전압, 과압/유량 이상(라인 막힘), 센서 단선/단락, 구동부 스턱온, 외부 전원 이상(저전압/순간 정전), 통신 오류(UI 프리즈 포함), 인터록 위반(커버 개방/액세서리 미결합) 등이 그것입니다. 중요한 점은 고장을 “만들었다”고만 쓰지 말고, 고장을 어떻게 주었는지(어디를 단선/단락했는지, 어떤 모드에서 했는지, 어떤 타이밍에서 했는지)와 그때 장비가 어떤 상태로 전이했는지(알람 발생 시각, 출력 감소 시각, 정지 시각)를 타임라인 형태로 기록하는 것입니다. 13절은 숫자 하나로 설득되는 조항이 아니므로, 상태 전이를 문서로 보여주는 것이 핵심입니다.
단일고장 관점에서 자주 문제가 되는 것은 “감지 장치 자체의 고장”입니다. 예를 들어 과열 보호는 온도 센서가 믿을 수 있어야 하는데, 센서가 단선되면 과열이 감지되지 않을 수 있습니다. 이때는 센서 이상 진단, 이중 센서 비교, 물리적 과열 차단(서멀퓨즈/써모스탯), 시간 기반 제한, 출력 디레이팅 같은 독립 통제가 필요합니다. 같은 논리가 과압 보호(압력 센서), 과유량 보호(유량 센서), 광 출력 보호(광 센서)에도 적용됩니다. 시험소는 보호동작이 “정상 때만” 작동하는지, 또는 “보호 기능의 일부가 고장나도” 최악을 막는지에 관심이 많습니다. 따라서 13절 대응은 위험도가 큰 보호 기능에 대해 ‘단일고장에 대한 독립성’을 설명할 준비가 되어 있어야 합니다.
또 하나의 실무 포인트는 “필수 성능 저하의 허용성”입니다. 보호동작이 출력 제한을 동반하면, 필수 성능이 일시적으로 저하될 수 있습니다. 이때 저하가 임상적으로 허용되는지, 허용되지 않는다면 어떤 대체 행동(예: 즉시 사용자 개입 요구, 안전 모드 전환)이 필요한지 근거가 필요합니다. 시험 중 장비가 보호정지로 들어가면, 단순히 ‘정지했다’로 끝내지 말고 정지 상태에서 위험이 감소했음을 보여주고, 사용자가 안전하게 복구할 수 있는 절차가 제공되는지까지 연결하는 것이 설득력 있습니다.
재가동 제한·로그 기록·문서 정합으로 마무리
13절에서 마지막으로 자주 지적되는 지점이 재가동 제한과 기록(로그) 체계입니다. 위험상황이 발생해 보호정지로 들어갔는데, 사용자가 전원을 껐다 켜면 바로 다시 출력이 가능한 구조라면, 동일 위험이 반복될 수 있고, 사용자는 근본 원인을 해결하지 않은 채 계속 운전하게 됩니다. 따라서 위험도가 높은 이벤트는 재가동 조건을 제한해야 하며, 제한 방식은 이벤트 성격에 따라 달라져야 합니다. 예를 들어 일시적인 과열이라면 냉각 후 자동 복구가 가능할 수 있지만, 센서 단선이나 커버 인터록 위반 같은 구조적 문제는 사용자가 문제를 해결하거나 서비스가 개입하기 전까지 출력이 재개되지 않도록 해야 합니다. 이 로직이 없으면 13절의 보호동작이 “잠깐 멈추는 기능”으로 전락합니다.
재가동 제한을 설계할 때는 세 가지를 명확히 하면 심사 대응이 쉬워집니다. 첫째, 어떤 이벤트가 ‘자동 복구 가능’인지 분류합니다. 둘째, 복구 조건을 측정 가능한 형태로 정의합니다(예: 온도 X°C 이하, 인터록 닫힘 확인, 센서 정상 범위 복귀, 사용자 확인 절차 완료). 셋째, 사용자에게 복구 조건을 명확히 안내합니다(화면 메시지, 알람 코드, IFU 절차). 특히 전문 장비에서는 서비스 모드나 관리자 권한으로 제한을 우회할 수 있는 기능이 존재할 수 있는데, 이런 우회 기능이 현장에서 오남용될 가능성이 있다면, 접근 통제(비밀번호, 물리 키, 봉인)와 사용 기록을 요구받을 수 있습니다. “서비스만 사용한다”는 선언만으로는 충분하지 않은 경우가 많습니다.
로그와 이벤트 기록은 13절에서 강력한 증빙 수단입니다. 시험소는 로그를 요구하지 않더라도, 보호동작이 복잡한 장비에서는 로그가 있으면 상태 전이를 객관적으로 보여줄 수 있습니다. 예컨대 과열 임계치 도달 시각, 팬 정지 감지 시각, 출력 디레이팅 시작 시각, 안전 정지 시각, 사용자 확인 입력 시각을 로그로 남기면, 시험 보고서의 신뢰도가 크게 올라갑니다. 또한 현장 불만이나 사고 조사에서도 로그는 원인 분석의 핵심이 됩니다. 다만 로그를 안전 기능으로 사용할 때는 시간 동기, 저장 용량, 전원 차단 시 데이터 보존 같은 품질 요소도 고려해야 합니다. 로그가 있다가도 “기록이 남지 않는 상황”이 자주 발생하면 오히려 신뢰성을 떨어뜨립니다.
문서 정합은 13절의 마무리입니다. IFU에는 위험상황 발생 시 사용자 행동 절차가 있어야 하고, 알람 코드는 의미와 조치가 연결되어야 하며, 라벨과 화면 메시지의 용어가 일치해야 합니다. 흔한 오류는 IFU에는 ‘과열 시 사용 중지’라고 되어 있는데 화면에는 ‘Temperature Warning’만 나오거나, 알람의 심각도(경고/주의)가 문서마다 다르게 표현되는 경우입니다. 13절은 사용자의 행동을 전제로 하는 조항이 포함되므로, 이런 불일치는 곧 위험통제 실패로 해석될 수 있습니다.
결론적으로 13절을 안정적으로 통과하려면 “보호동작이 있다”가 아니라, 위험상황을 정의하고, 감지와 전이를 설계하고, 단일고장에서도 위험을 억제하며, 재가동을 통제하고, 그 모든 것을 문서와 기록으로 증빙해야 합니다. 이 구조를 한 번 구축해두면, 14절(PEMS)에서 요구하는 소프트웨어 안전 논리와도 자연스럽게 연결되어, 후속 심사에서 질문이 줄어듭니다.