심사에서 가장 자주 나오는 질문 중 하나가 “이건 사용오류(use error)입니까, 비정상 사용(abnormal use)입니까?”입니다. 표면적으로는 용어 구분처럼 보이지만, 실제로는 위험관리(RMF)가 다루어야 할 위해상황 범위와 잔여위험 수용 논리까지 좌우하는 핵심 쟁점입니다. 같은 사례라도 어떤 팀은 “사용자가 잘못했으니 교육”으로 끝내고, 어떤 팀은 “예견 가능한 오사용이므로 설계 통제”로 전환합니다. 이 차이는 문서의 완성도뿐 아니라, 제품 안전성과 시판 후 불만 패턴에도 직접적인 영향을 줍니다.
이번 글에서는 사용오류와 비정상 사용을 실무에서 흔들리지 않게 구분하는 규칙을 먼저 정리하고, 그 결론을 RMF에 ‘감사 가능한 방식’으로 반영하는 문서 구조를 제시합니다. 목표는 단순 정의 암기가 아니라, 사례가 들어왔을 때 누구나 같은 결론에 도달하고 그 근거를 남길 수 있는 프레임을 만드는 것입니다.
사용오류와 비정상사용 경계 잡기
사용오류(use error)는 사용자가 정상적으로 의도된 사용 맥락에서 기기를 다루는 과정에서, 제조사가 의도한 사용 방식과 다른 행동·해석·조작이 발생해 기대한 결과를 얻지 못하거나 위해상황으로 이어질 수 있는 경우를 말합니다. 여기서 핵심은 “의도하지 않은 결과”와 “사용자 인터페이스 또는 사용 맥락이 오류를 유발·증폭했는가”입니다. 예를 들어 표시를 오독해 설정값을 잘못 입력했다면, 단순 실수처럼 보여도 표시 체계, 단위 표기, 경고 설계가 오류를 얼마나 막았는지가 함께 평가되어야 합니다. 즉 사용오류는 사용자 개인의 역량 탓으로만 처리하면 재발을 막기 어렵고, 설계적 통제·보호수단·정보 제공 통제의 우선순위(ISO 14971)를 통해 시스템적으로 낮춰야 하는 대상이 됩니다.
반대로 비정상 사용(abnormal use)은 일반적으로 “명백히 지시사항을 알고도 의도적으로 벗어나는 행동” 중에서도, 합리적으로 예견하기 어렵거나 제조사가 통제하기 어려운 범주를 가리킬 때 사용됩니다. 예를 들면 장비를 본래 목적과 무관한 용도로 쓰거나, 안전장치를 고의로 무력화하거나, 임의 개조를 수행하는 행위가 대표적입니다. 다만 실무에서 가장 큰 함정은 ‘의도적’이라는 이유만으로 곧바로 비정상 사용으로 분류해 버리는 것입니다. 의료 현장에는 시간 압박, 인력 부족, 장갑 착용, 야간 근무, 알람 피로 같은 환경 요인이 존재하고, 이런 조건에서는 지시를 알면서도 “빨리 끝내기 위한 단축 행동”이 반복적으로 발생합니다. 이런 행동은 의도적 요소가 있어도 예견 가능한 오사용(foreseeable misuse)로 보는 편이 타당한 경우가 많습니다. 즉 “의도성=비정상”이라는 단순 규칙은 위험관리 누락을 만들기 쉽습니다.
따라서 경계를 잡을 때는 세 단계를 분리해 생각해야 합니다. 첫째, 사용오류(use error)는 주로 비의도적 오류이지만, 시스템이 유발하는 혼동·오해·착오까지 포함합니다. 둘째, 예견 가능한 오사용(foreseeable misuse)은 의도적 단축 행동이더라도 현장 맥락에서 반복 가능하고, 설계 또는 절차로 완화 가능한 경우를 포함합니다. 셋째, 비정상 사용(abnormal use)은 반복 가능성이 낮고 제조사 통제 범위를 벗어나며, 합리적으로 예방 설계를 요구하기 어려운 범주로 제한적으로 사용해야 합니다. 이 3단 프레임을 RMP(위험관리 계획서)에 명시해 두면, 프로젝트마다 라벨링이 달라지는 혼란을 줄일 수 있습니다.
또 하나 중요한 기준은 “제조사가 의도된 사용으로 규정한 경계”입니다. 사용오류와 오사용의 판단은 제품의 의도된 사용, 사용자군(전문가/비전문가), 사용 환경, 그리고 합리적으로 예견 가능한 오사용의 범위 정의에 의해 결정됩니다. 즉 RMF의 입력(의도된 사용과 사용 시나리오)이 흔들리면, 같은 사례도 어떤 문서에서는 사용오류로, 다른 문서에서는 비정상 사용으로 바뀝니다. 결론적으로 경계 정의는 현장 감각이 아니라, 사전에 고정된 문서 규칙과 사용 맥락 정의에 의해 일관되게 운영되어야 합니다.
구분 판정 규칙 의사결정 트리
실무에서 가장 잘 작동하는 방법은 ‘판정 질문 세트’를 고정하는 것입니다. 사례가 들어오면 감정이나 추정으로 분류하지 말고, 아래 질문을 순서대로 적용해 결론을 내립니다. 첫 번째 질문은 “행동이 의도적이었는가”입니다. 의도적이지 않았다면 사용오류로 분류하고, 어떤 UI/환경 요인이 오류를 유발했는지까지 함께 기록합니다. 의도적이었다면 두 번째 질문으로 넘어갑니다. 두 번째 질문은 “그 의도적 행동이 현장에서 합리적으로 반복될 수 있는가(예견 가능성)”입니다. 시간 압박, 작업 동선, 장비 배치, 보호구 착용, 알람 피로, 소모품 비용 같은 유도 요인이 존재한다면 예견 가능성이 높습니다. 이 경우는 비정상 사용으로 밀어내기보다 예견 가능한 오사용으로 분류하고, 위험통제 후보를 검토해야 합니다.
세 번째 질문은 “제조사가 통제할 수 있는가(통제 가능성)”입니다. 통제 가능성은 ‘교육하면 된다’가 아니라, 설계 변경, 물리적 키잉, 인터록, 확인 단계 강제, 오류 탐지 후 안전상태 전이, UI 재설계처럼 시스템 통제로 예방·감소가 가능한지를 의미합니다. 통제 가능성이 높다면, 의도적 행동이라도 오사용으로 보고 위험통제(설계/보호수단/정보 제공)를 설계해야 합니다. 반대로 통제 가능성이 매우 낮고, 사용자가 명백히 안전장치를 고의로 제거하거나 임의 개조하는 행위처럼 제조사 관리 범위를 벗어난다면 비정상 사용 후보가 됩니다.
네 번째 질문은 “근거가 무엇인가(증거 요건)”입니다. 분류 결론은 반드시 근거와 함께 남겨야 감사에서 방어가 가능합니다. 사용오류/오사용으로 분류하려면 사용적합성(형성/총괄)에서 관찰된 사용 문제, 현장 불만(PMS)에서 반복 패턴, 서비스 데이터, 교육 후 재발 여부 같은 증거를 제시할 수 있어야 합니다. 반대로 비정상 사용으로 제외하려면 “왜 예견 가능성이 낮은지”, “왜 설계로 합리적으로 통제하기 어려운지”, “현재 정보 제공 수준(경고/금기)이 최소한으로 충족되는지”를 문서로 설명해야 합니다. ‘비정상 사용’은 편리한 라벨이 아니라, 제외 사유를 더 엄격하게 요구받는 결론이라는 점을 잊으면 안 됩니다.
마지막 질문은 “분류가 위해상황 모델링에 어떤 영향을 주는가”입니다. 사용오류나 예견 가능한 오사용으로 결론이 나면, RMF에 위해상황(Hazardous Situation) 시나리오로 반드시 반영되어야 합니다. 예를 들어 “알람을 의도적으로 무시”는 단순 행동 묘사가 아니라, “알람 미인지/무시로 인해 안전 조치가 지연되어 환자가 과다 투여 상태에 노출” 같은 노출 상태로 모델링되어야 합니다. 반대로 비정상 사용으로 분류하더라도, 완전히 문서에서 사라지게 만들면 안 됩니다. 최소한 ‘범위 제외 항목’으로 기록하고, IFU의 금기/경고와 연결해 사용자 커뮤니케이션이 끊기지 않도록 해야 합니다.
정리하면 판정 트리는 다음 원칙으로 요약됩니다. 의도성만으로 끝내지 말고, 예견 가능성과 통제 가능성을 함께 본다. 결론에는 근거 유형을 붙이고, RMF 모델(위해상황)로 번역될 수 있어야 한다. 이 원칙이 지켜질 때 팀 간 분류 편차가 줄어들고, 위험통제의 품질이 올라갑니다.
RMF반영 문서구조와 추적성
구분 결론이 나왔다면, 그 다음이 더 중요합니다. “그래서 RMF에 어떻게 남길 것인가”가 심사 품질을 결정합니다. RMF에 반영할 때 가장 흔한 실패는 두 가지입니다. 하나는 사용오류를 단순히 “사용자 실수”로 적어 통제 옵션이 교육/주의 문구에만 머무는 것이고, 다른 하나는 비정상 사용으로 분류해 아예 위험분석에서 삭제해 버리는 것입니다. RMF 반영은 삭제가 아니라 구조화입니다. 즉 사용오류·오사용·비정상 사용의 상태를 명확히 표시하고, 각각에 맞는 문서 위치와 근거 연결을 갖춰야 합니다.
권장 문서 구조는 ‘3겹 연결’입니다. 첫째, 위해상황 시나리오 레이어입니다. 사용오류 또는 오사용은 반드시 위해상황(HS-xxx)으로 모델링되어야 하며, “행동”이 아니라 “노출 상태”로 기술됩니다. 둘째, 위험통제 레이어입니다. 해당 위해상황을 줄이기 위해 설계적 통제(RC-D), 보호수단/알람/인터록(RC-P), 정보 제공(IFU/라벨/교육)(RC-I)을 우선순위에 따라 제시하고, 선택 근거를 남깁니다. 셋째, 검증 근거 레이어입니다. 통제의 효과를 확인하는 시험/검증/사용적합성 결과(VER/VAL-xxx)를 연결하고, 잔여위험 평가가 어떻게 변했는지(확률/노출/탐지 가능성 변화)를 문장으로 닫습니다. 이 3겹이 연결되면 “분류→모델링→통제→검증→잔여위험”의 흐름이 완성됩니다.
실무적으로는 식별자(ID) 체계를 최소 단위로 두는 것이 가장 강력합니다. 예를 들어 중요 과업(CT-xxx), 사용문제/사용오류(UE-xxx), 위해상황(HS-xxx), 위험통제(RC-xxx), 검증근거(VAL-xxx), IFU 문구(IFU-xxx), PMS 모니터링 지표(MON-xxx)를 정의하고, ‘사용관련 위험 추적성 매트릭스’ 한 장으로 연결합니다. 매트릭스에는 최소한 분류(사용오류/오사용/비정상), 유도 요인(환경/시간압박/알람피로 등), 근거 유형(사용성/불만/서비스), 통제 옵션과 검증 근거, 잔여위험 결론, PMS 트리거를 포함합니다. 이렇게 하면 심사관이 특정 사례를 집어도 “어디에 반영되었는지”가 즉시 보입니다.
비정상 사용을 RMF에서 다루는 방식도 규칙화해야 합니다. 비정상 사용으로 분류된 항목은 위험분석에서 ‘제외’가 아니라 ‘범위 외 기록’으로 남기고, 제외 근거(예견 가능성 낮음, 통제 불가, 명백한 고의적 무력화 등)와 사용자 커뮤니케이션(경고/금기/주의 문구) 연결을 제공합니다. 또한 시판 후 데이터에서 해당 행동이 반복적으로 관찰되면, 분류를 재검토하도록 트리거를 걸어야 합니다. 즉 “비정상 사용으로 분류했다”는 결론도 고정값이 아니라, PMS 신호에 의해 업데이트되는 가정입니다. 이 트리거가 없으면, 실제 현장에서 빈번한 오사용을 ‘비정상’으로 오인해 통제를 놓치는 구조적 리스크가 생깁니다.
마지막으로 CAPA와의 연결을 잊지 마세요. 사용오류/오사용 관련 불만이 증가하거나, 사용적합성에서 중대한 사용문제가 반복되면, 그것은 교육 이슈가 아니라 위험통제의 유효성 문제일 가능성이 큽니다. RMF에는 “어떤 조건에서 CAPA를 개시하고, 어떤 문서를 업데이트하며, 어떤 검증으로 닫는지”를 연결해야 폐루프가 됩니다. 예를 들어 UE-xxx가 CAPA-xxx로 연결되고, RC-xxx 개선 후 VAL-xxx 재평가로 종료되는 구조가 잡히면, 사용관련 위험은 문서 작업이 아니라 운영 체계가 됩니다. 결론적으로 사용오류와 비정상 사용의 구분은 ‘라벨링’이 아니라 ‘RMF 추적성 구조를 만드는 출발점’이며, 이 구조가 탄탄할수록 잔여위험 수용 논리가 흔들리지 않습니다.