IEC 60601-1의 4절(General requirements)은 “이후 조항들을 어떻게 적용할 것인가”를 결정하는 운영 규칙에 가깝다. 5절부터는 시험과 설계 요구가 본격화되지만, 4절에서 기본안전(Basic safety)과 필수성능(Essential performance)을 어떤 논리로 정의하고 위험관리와 연결했는지에 따라 같은 제품이라도 시험 범위, 샘플 구성, 보고서 서술 방식이 달라진다. 따라서 4절은 단순 요약이 아니라 프로젝트의 안전 논리를 ‘증빙 가능한 문장’으로 고정하는 단계로 이해하는 편이 실무적이다.
이번 글에서는 4절을 기준으로 (1) 기본안전·필수성능과 정상/단일고장 관점의 구조, (2) ISO 14971 위험관리와의 매핑 방식, (3) 동등 안전·부속규격·시험계획까지 이어지는 문서화 전략을 정리한다.
기본안전·필수성능: 정상상태와 단일고장 관점의 요구 구조
4절의 출발점은 “의도된 사용 조건에서 장비 또는 시스템이 기본안전과 필수성능을 제공해야 한다”는 전제다. 여기서 중요한 점은 안전을 ‘감전만’으로 좁히지 않는다는 것이다. 기본안전은 전기적 위험뿐 아니라 기계적 위험, 과열, 화재, 유해 에너지 방출, 부적절한 표시/알람 등 환자·사용자에게 위해를 줄 수 있는 모든 위험원을 포괄하는 개념으로 운용된다. 반면 필수성능은 기능 목록이 아니라 위험의 언어로 정의된다. 즉 성능 저하나 오동작이 발생했을 때 허용 불가능한 위험이 발생한다면 그 기능은 필수성능으로 분류되고, 그 기능이 유지되거나 안전하게 실패(fail-safe)하도록 설계·검증해야 한다.
실무에서 가장 자주 흔들리는 지점은 정상상태(Normal condition)와 단일고장조건(Single fault condition)의 관점이다. 60601-1은 “정상일 때 안전하다”에서 멈추지 않고, 단일고장이 발생했을 때에도 기본안전을 유지해야 한다는 구조를 강하게 전제한다. 여기서 단일고장은 단순히 부품 하나가 ‘고장’나는 상황만을 의미하지 않는다. 보호수단의 상실, 절연 파괴, 제어 소프트웨어의 오작동, 전원 이상, 센서 단선/단락처럼 실제 현장에서 충분히 발생 가능한 단일 이벤트가 포함되며, 그 이벤트가 어떤 위험 시나리오를 촉발하는지 위험관리 파일과 일관되게 서술되어야 한다. 시험소 질의가 반복되는 제품은 대개 “우리 제품의 단일고장 조건이 무엇인지”가 문서에서 분명하지 않거나, 위험관리에서는 주장했는데 시험계획서에서 시험 조건으로 떨어지지 않는 경우가 많다.
또 하나의 핵심은 필수성능을 ‘정의’만 하고 끝내지 않는 것이다. 필수성능은 (1) 어떤 위험 시나리오에서, (2) 어떤 성능 파라미터가, (3) 어느 수준 이하로 떨어지면, (4) 어떤 위해로 이어지는지를 구조적으로 설명해야 한다. 예를 들어 환자 모니터링 장비라면 표시 지연, 알람 음량, 측정 정확도, 측정 누락 등이 모두 후보가 될 수 있으나, 실제로 필수성능이 되는지는 임상적 맥락과 위험통제의 설계에 따라 달라진다. 전문가 관점에서는 “필수성능 목록이 짧다/길다”보다 “필수성능이 위험통제의 핵심 경로로 정의되어 있고, 단일고장에서도 안전 측면의 방어선이 남는가”가 더 중요하다. 결국 4절은 기본안전과 필수성능을 정상/단일고장 축으로 재구성해, 이후 조항의 시험과 설계 요구를 한 논리로 묶는 역할을 한다.
위험관리(ISO 14971) 매핑: 필수성능 도출과 잔여위험 정렬
4절을 제대로 수행하려면 위험관리 파일(Risk Management File)이 ‘별도 문서’가 아니라 60601-1 적합성의 중심 증거가 되어야 한다. 많은 조직이 ISO 14971을 품질시스템의 산출물로만 취급하지만, 60601-1 관점에서는 위험관리가 곧 필수성능 도출과 단일고장 고려의 근거가 된다. 즉 4절은 “위험관리 프로세스를 수행하라”는 선언을 넘어서, 위험관리 결과가 설계 요구사항과 검증 활동으로 환원되어야 한다는 연결을 요구한다.
실무적으로는 다음의 흐름을 추천한다. 첫째, 의도된 사용과 사용자/환자군, 사용 환경(병원·가정·응급 등)을 위험관리 계획 단계에서 명확히 고정한다. 동일한 장비라도 사용 환경이 달라지면 오용 시나리오와 보호수단 가정이 바뀌어 필수성능이 달라질 수 있다. 둘째, 위해(Harm)와 위험원(Hazardous situation)을 기능 단위로 분해해 “오동작/성능저하 → 위험상황 → 위해”의 체인을 만든다. 이때 60601-1 조항에서 요구하는 정상상태/단일고장조건을 함께 고려해, 단일 이벤트가 어떤 체인을 촉발하는지까지 기술하면 이후 시험 계획이 자연스럽게 만들어진다. 셋째, 위험통제(Risk control)를 설계 요구사항으로 변환할 때, 통제의 성격을 구분한다. 보호절연, 접지, 이중화, 진단 기능, 알람, 제한기, 인터록처럼 기본안전 측면의 통제인지, 정확도/응답시간/출력 제한처럼 필수성능 측면의 통제인지 구분하면 문서가 훨씬 명확해진다.
필수성능 도출은 위험관리의 특정 결과물로 ‘추적 가능’해야 한다. 권장 방식은 “필수성능 선언서(EP statement)”를 별도로 만들고, 각 EP 항목에 대해 (a) 관련 위험 시나리오 ID, (b) 위험통제 ID, (c) 검증/확인 방법(시험/분석/검토), (d) 정상/단일고장 조건에서의 허용 기준을 연결하는 것이다. 예를 들어 알람이 필수성능이라면 알람의 ‘발생 조건’과 ‘인지 가능성(음량/시각 표시)’을 EP 요구로 고정하고, 단일고장(스피커 단선, 표시 모듈 오류) 시에도 최소한의 경보가 유지되거나 안전한 상태로 전이되는 설계를 요구해야 한다. 반대로 특정 정확도 요구가 위험통제의 핵심이 아니라면, 그 기능을 필수성능으로 선언하지 않는 대신 잔여위험과 정보 제공(사용자 정보, 경고)을 통해 위험을 관리하는 논리가 필요하다.
잔여위험 정렬도 4절에서 자주 지적되는 포인트다. 시험성적서는 ‘요구사항 충족’을 보여주지만, 위험관리 관점에서는 “남는 위험이 허용 가능한가”가 결론이 된다. 따라서 4절 기반 문서화에서는 시험 결과를 단순 나열하지 말고, 주요 위험통제에 대한 검증 결과가 RMF의 잔여위험 평가와 동일한 결론으로 수렴하도록 연결해야 한다. 이 정렬이 되어 있으면 심사에서 “필수성능을 왜 이렇게 정의했는가”, “단일고장 조건을 왜 이 범위로 잡았는가” 같은 질문에 일관된 근거로 대응할 수 있다.
문서화 전략: 동등 안전, 부속규격, 시험계획을 하나로 묶는 방법
4절은 실무적으로 ‘문서의 접착제’ 역할을 한다. 같은 설계를 두고도 보고서가 흔들리는 이유는, 위험관리 파일, 요구사항 명세, 시험계획서, 사용자 문서가 서로 다른 기준으로 작성되기 때문이다. 4절 관점에서 문서 체계를 설계하면, 적합성 주장(Compliance claim)이 단일 서사로 연결된다. 이때 유용한 개념이 동등 안전(equivalent safety)이다. 규격이 예시하는 특정 설계 해법이 아니라 다른 해법을 사용하더라도, 위험 수준이 동등하거나 더 낮음을 객관적으로 입증하면 수용될 수 있다. 문제는 “동등하다”는 선언만으로는 부족하다는 점이다. 어떤 위험을 대상으로, 어떤 보호수단이, 어떤 검증 결과로 동등함을 보여주는지까지 문서에 포함해야 하며, 그렇지 않으면 시험소는 보수적으로 표준 해법을 요구하는 경향이 있다.
부속규격과 특정규격의 적용 정렬도 4절의 연장선이다. 예컨대 EMC(60601-1-2)에서 요구하는 성능 기준은 단순 통신 품질이 아니라 필수성능 유지 여부로 연결된다. 따라서 EMC 시험의 합격 기준을 EP와 연결해 두면 “시험은 통과했지만 임상적 영향이 불명확하다”는 지적을 줄일 수 있다. 가정환경(60601-1-11)이나 응급환경(60601-1-12)처럼 사용 환경을 전제로 하는 부속규격은 4절의 의도된 사용/사용 환경 정의와 반드시 동일해야 한다. 즉 4절에서 ‘병원 사용’으로만 정의해 놓고, 마케팅이나 사용설명서에서는 가정 사용을 암시하면, 표준 적용과 문서 진술이 충돌하게 된다.
시험계획 관점에서는 4절을 “대표 구성과 최악조건을 정하는 규칙”으로 활용하는 것이 효과적이다. 옵션이 많은 제품은 모든 조합을 시험할 수 없기 때문에, 위험관리 기반으로 ‘최악조건 조합’을 선정하고 그 선정 근거를 4절 논리로 설명해야 한다. 예를 들어 전원 방식, 적용부 종류, 통신 옵션, 알람 경로, 외부 장비 연결이 위험통제에 영향을 준다면, 그 조합이 대표 샘플에 포함되어야 한다. 반대로 안전과 필수성능에 영향을 주지 않는 옵션이라면, 왜 제외했는지 근거를 남기면 된다. 이 방식은 재시험 리스크를 줄이고, CBTR/시험성적서의 Scope 문장이 흔들리지 않게 한다.
마지막으로, 4절 기반 문서 패키지를 최소 단위로 정의해 두면 프로젝트가 안정된다. 예를 들면 (1) 의도된 사용 및 사용 환경 정의서, (2) 필수성능 선언서(EP 리스트와 허용 기준), (3) 위험관리 매핑 표(조항–위험시나리오–통제–검증 연결), (4) 동등 안전 근거서(해법 선택 이유와 검증), (5) 대표 구성/최악조건 선정 근거, (6) 사용자 문서의 안전 관련 진술 정합성 점검표를 한 세트로 운영하는 방식이다. 이 세트가 준비되어 있으면 5절 이후의 상세 시험/설계 요구를 적용할 때도 “무엇을 왜 하는지”가 문서에서 설명되므로, 외부 심사·시험소 커뮤니케이션 비용이 크게 줄어든다.