의료기기 시험원이 “사용적합성(휴먼팩터) 엔지니어링 파일”을 검토할 때의 목표는 단순히 보고서 유무를 확인하는 것이 아니라, 사용 오류(use error)로 인한 위해가 위험관리와 연결되어 체계적으로 줄어들었는지, 그리고 그 근거가 재현 가능하게 남아 있는지를 판단하는 데 있습니다. 특히 IEC 62366-1 기반의 사용적합성 활동은 라벨이나 교육으로 책임을 전가하는 방식이 아니라, 사용자 인터페이스(UI)와 사용 흐름 자체를 설계로 통제하는 방향을 요구합니다. 이번 글에서는 시험원 관점에서 반드시 짚어야 할 사용적합성 파일의 핵심 점검 포인트를 “계획–분석–검증”의 흐름으로 정리합니다.
1. 사용적합성 계획과 사용자·사용환경 정의
사용적합성 파일 검토의 출발점은 “누가, 어디서, 무엇을, 어떤 조건으로 사용하는가”가 문서로 명확히 정의되어 있는지 확인하는 것입니다. 사용적합성 엔지니어링 계획서에는 적용 표준과 범위, 활동 단계(분석/형성평가/총괄평가), 역할과 책임, 데이터 관리, 변경관리 및 위험관리 연계가 제시되어야 합니다. 여기서 계획서가 빈약하면 뒤에 붙는 모든 결과가 제품 특성과 맞지 않을 가능성이 커집니다. 시험원은 계획서에 사용자 집단(예: 숙련된 의료진, 신규 간호사, 환자/보호자, 유지보수 인력)이 구분되어 있고, 각 사용자 집단별 역량·교육 수준·언어·신체적 제약(시력, 손 기능 등)이 현실적으로 반영되어 있는지 확인해야 합니다.
사용 환경 정의도 단순히 “병원”이라고 끝나면 부족합니다. 실제 사용은 조명, 소음, 공간 제약, 감염관리 동선, 장갑 착용, 응급 상황에서의 시간 압박, 다른 장비와의 병용, 네트워크 상태 등 변수가 많습니다. 시험원 관점에서는 이러한 환경 요소가 위험 시나리오와 연결되는지(예: 알람 인지 실패, 표시 판독 오류, 설정값 입력 실수, 환자 연결 오류)까지 확인해야 합니다. 또한 “합리적으로 예견 가능한 오사용”을 사용자 특성·환경과 결합해 정의했는지 점검하십시오. 오사용이란 단순한 규정 위반이 아니라, 실제 현장에서 충분히 발생 가능한 행동 패턴(예: 바쁜 상황에서 단계 생략, 동일 모델과 혼용, 표시 단위 혼동, 경고 무시)을 포함해야 합니다.
가장 중요한 연결 고리는 위험관리입니다. 사용적합성 계획서 또는 초기 분석 문서에서 사용자 관련 위험(사용 오류로 인한 유해사건)이 위험관리 파일의 위해요인/위험상황으로 반영되어야 하며, 반대로 위험관리에서 “사용자 인터페이스 통제”를 선택한 항목은 사용적합성 활동의 평가·검증 대상으로 포함되어야 합니다. 시험원은 두 파일 간 추적성 표(예: 위험 ID ↔ UI 특성 ↔ 관련 과업(task) ↔ 평가 근거)가 존재하는지, 그리고 변경 시 동기화 절차가 문서화되어 있는지 확인하는 것이 좋습니다. 계획 단계에서 이 연결이 약하면, 총괄평가 결과가 ‘좋아 보이는 실험’으로 남고 인허가·시험 근거로서의 설득력이 떨어집니다.
2. 사용자 과업 분석과 중요 과업(critical task) 도출의 타당성
사용적합성 파일에서 시험원이 가장 집중해야 할 부분은 “과업(task)과 시나리오가 적절히 선정되었는가”입니다. 과업 분석은 장비를 켜고 끄는 수준이 아니라, 사용 흐름 전체—준비, 설치, 설정, 연결, 작동, 모니터링, 알람 대응, 투여/치료 수행, 종료, 세척/폐기, 유지보수—를 단계별로 분해하고, 각 단계에서 발생 가능한 오류와 그 결과를 정의하는 과정입니다. 이때 과업이 설계 산출물(사용자 매뉴얼, 화면 흐름, 경고 체계, 물리적 인터페이스)과 일치하는지 확인해야 합니다. 문서상 과업 흐름이 실제 제품의 UI 흐름과 다르면 이후 모든 평가 데이터의 신뢰성이 흔들립니다.
중요 과업(critical task) 선정 근거는 특히 엄격해야 합니다. 중요한 과업이란 “실수했을 때 심각한 위해로 이어질 수 있는 사용자 행동”이며, 단순히 자주 하는 작업과 동일하지 않습니다. 예를 들어 입력 단위(mg vs μg) 선택, 환자 라인 연결, 센서 부착 위치, 경보 한계값 설정, 소프트웨어 업데이트 중 전원 차단, 멸균 상태 확인, 일회용 부품 재사용 같은 항목은 빈도와 무관하게 위해 가능성이 큽니다. 시험원은 critical task 도출이 위험관리의 위해 시나리오와 일치하는지, 그리고 누락된 임상적으로 중요한 사용자 행동이 없는지 확인해야 합니다.
또한 오류 유형 분류가 일관된지 점검하십시오. 사용 오류(use error), 근접 오류(close call), 난이도/혼란 지점(use difficulty)이 구분되어야 하며, 단순 불편함을 위해로 과장하거나, 반대로 위해 가능성을 “사용자 교육”으로만 처리하는 편향이 없어야 합니다. 특히 많은 문서에서 “사용자는 교육을 받는다”는 가정을 과도하게 두는데, 시험원은 교육·훈련·숙련도에 대한 가정이 계획서의 사용자 정의와 일치하는지 확인해야 합니다. 예를 들어 ‘초보 간호사’가 사용자 집단에 포함되어 있는데 critical task의 위험을 “숙련자라면 안 틀린다”로 낮게 평가하면 논리가 맞지 않습니다.
형성평가(formative evaluation) 기록도 중요합니다. 형성평가는 단지 “해봤더니 괜찮았다”가 아니라, 문제 발견→원인 분석→UI 개선→재평가의 반복이 문서로 남아야 합니다. 시험원은 발견된 사용 문제와 변경된 설계 요소(화면 문구, 버튼 배치, 커넥터 키잉, 알람 톤/패턴, 색/기호, 인터록 로직)가 명시되어 있고, 변경 후 동일 문제가 해소되었는지 근거가 있는지 확인해야 합니다. 이 과정이 빈약하면 총괄평가에서 우연히 “문제가 안 나온 것”처럼 보일 수 있어, 안전성 근거로서 취약해집니다.
3. 총괄평가(Validation) 설계와 결과 해석, 추적성 확보
총괄평가(사용적합성 검증, summative evaluation)는 시험원 관점에서 “결론을 낼 수 있는 설계였는가”가 핵심입니다. 참가자 수만 채우는 것이 아니라, 적절한 사용자 집단이 포함되었는지, 실제 사용 환경을 대표하는 조건이 구현되었는지, critical task 중심으로 시나리오가 구성되었는지, 그리고 관찰·기록·판정 기준이 사전에 정의되었는지 확인해야 합니다. 예컨대 응급 상황에서의 시간 압박, 장갑 착용, 조명 저하, 소음, 다중 알람, 교대 근무 후 피로 같은 조건이 위해 시나리오와 관련이 있다면, 평가 조건에 반영되어야 합니다. 이 반영이 없다면 “시험은 통과했지만 현장에서는 실패하는” 전형적인 괴리가 발생합니다.
판정 기준은 정량과 정성 모두 필요하지만, 최소한 critical task에 대해서는 ‘통과/실패’를 결정할 수 있는 명확한 기준이 있어야 합니다. 여기서 자주 생기는 오류는 실패 기준이 애매하거나, 실패가 발생했는데도 “경미한 실수”로 정리하는 것입니다. 시험원은 각 critical task의 오류가 위해로 이어질 경로가 있는지, 보호장치(알람, 인터록, 확인 팝업)가 실제로 오류를 차단했는지, 차단했다면 그 차단이 설계 의도대로 동작했음을 어떻게 확인했는지까지 봐야 합니다. 또한 근접 오류(close call)와 난이도(use difficulty)가 반복되는 경우, 비록 위해가 발생하지 않았더라도 설계 개선 필요성이 크다는 점을 검토 의견에 반영할 수 있어야 합니다.
문서 완성도 측면에서는 “사용적합성 엔지니어링 보고서(요약/결론)”가 위험관리의 잔여위험 수용성과 연결되는지를 확인해야 합니다. 즉, 사용 관련 위험이 통제되었고, 남은 잔여위험이 수용 가능하며, 필요한 경우 라벨/IFU의 안전정보가 보완되었음을 논리적으로 마감(closure)해야 합니다. 그리고 무엇보다 추적성이 있어야 합니다. 위험관리의 위험 ID ↔ 중요 과업 ID ↔ UI 특성(요구사항) ↔ 형성평가 발견사항 ↔ 설계 변경 내역 ↔ 총괄평가 시나리오 ↔ 결과(관찰 기록) ↔ 결론이 하나의 매트릭스로 연결되어야 합니다. 이 매트릭스가 존재하면 시험원은 특정 위해 시나리오가 어떤 시험/평가 근거로 닫혔는지 빠르게 확인할 수 있고, 반대로 연결이 끊기는 지점은 추가 시험·보완 문서가 필요한 후보로 식별할 수 있습니다.
마지막으로 변경과 시판 후 연계를 확인해야 합니다. UI 변경(화면 문구 수정, 버튼 위치 변경, 알람 로직 변경), 라벨 변경, 사용자 집단 변경(가정용 확대), 사용 환경 변경(이동형 적용) 등이 발생하면 사용적합성 활동의 재평가 필요성이 커집니다. 따라서 변경 영향평가 절차와 재검증 트리거가 파일에 포함되어야 하고, 불만·오류 보고·현장 피드백(PMS)이 사용 관련 위험의 재평가로 이어지는 루프가 있어야 합니다. 시험원은 “한 번 검증했으니 끝”이 아니라 “제품 수명주기 동안 사용 안전성을 유지”하는 체계가 실제로 작동하도록 문서에서 근거를 확인해야 합니다.