의료기기 개발에서 “사용적합성(IEC 62366) 결과가 좋다”는 말은 자주 듣지만, 막상 심사나 내부 감사에서 “그래서 이 결과가 위험관리(RMF)의 잔여위험을 어떻게 뒷받침하나?”라는 질문을 받으면 답이 막히는 경우가 많습니다. 이유는 단순합니다. 사용적합성 문서는 보통 사용성팀의 보고서로 끝나고, 위험관리는 RA/QA의 RMF로 끝나면서 서로의 언어와 식별자(ID)가 연결되지 않기 때문입니다.
이번 글에서는 사용적합성 결과를 RMF의 잔여위험 근거로 ‘감사 가능한 형태’로 연결하는 방법을, 문서 구조와 추적성 규칙 중심으로 정리합니다. 핵심은 한 문장입니다. “사용오류·오사용 시나리오가 만든 위해상황을, 위험통제의 설계·검증 근거로 매핑하고, 그 결과를 잔여위험 수용 논리까지 닫는다.”
1) 사용적합성 결과를 ‘증거 묶음’으로 재정리
사용적합성 결과를 RMF 근거로 쓰려면, 먼저 결과를 “보기 좋은 리포트”가 아니라 “증거 묶음(Evidence package)”으로 재구성해야 합니다. 가장 먼저 고정할 것은 사용적합성의 범위입니다. IEC 62366 관점에서 사용적합성은 사용자 인터페이스(UI) 전반을 다루지만, RMF에 영향을 주는 포인트는 주로 ‘안전 관련 사용자 인터페이스’와 ‘중요 과업(critical tasks)’입니다. 따라서 사용적합성 파일(Usability Engineering File)에서 중요 과업 목록, 사용 시나리오, 사용자군, 사용 환경, 합리적으로 예견 가능한 오사용(foreseeable misuse) 정의를 한 페이지짜리로 요약해 RMF의 입력으로 명시합니다. 이 한 페이지가 없으면, 이후의 시험 결과가 어떤 위험을 대표하는지 설명이 흐려집니다.
다음은 결과의 분해입니다. 많은 보고서는 “성공률, 만족도, SUS 점수”처럼 일반 성능 지표를 전면에 내세우는데, RMF 관점에서는 지표 자체보다 “어떤 사용 문제(use problem)가 어떤 위해상황을 만들 수 있었는가”가 핵심입니다. 그래서 결과를 최소 세 층으로 나누어 정리하는 것이 효과적입니다. 첫째, 관찰된 사용 문제(예: 조작 순서 혼동, 표시 오해, 알람 무시, 연결 오류). 둘째, 사용오류(use error) 또는 오사용(misuse)이 발생한 조건(시간 압박, 장갑 착용, 조명/소음, 경험 수준, 동시 작업). 셋째, 그 오류가 만들어내는 위해상황(노출 상태)과 잠재 위해(환자/사용자/제3자). 이 구조로 정리하면, 사용적합성 결과가 “사람이 불편했다”가 아니라 “안전 리스크가 이런 경로로 현실화될 수 있었다”로 변환됩니다.
여기서 중요한 규칙이 하나 있습니다. ‘관찰되지 않았다’는 사실만으로 안전하다고 결론 내리면 안 됩니다. 총괄 사용적합성 평가는 표본과 조건이 제한되므로, 관찰 부재는 “그 조건에서 재현되지 않았다”의 의미에 가깝습니다. 따라서 중요 과업에 대해선 사전에 합의된 합격 기준을 반드시 문서에 박아야 합니다. 예를 들면 “중요 과업에서 위해로 이어질 수 있는 사용오류는 허용하지 않는다”, “오류가 발생하면 설계 변경 또는 위험통제 강화 후 재평가한다”, “정보 제공(경고/주의) 중심 통제는 사용성 의존 통제로 분류해 추가 근거를 요구한다” 같은 규칙입니다. 이 합격 기준이 RMP와 사용적합성 계획서(Usability Engineering Plan) 양쪽에 동일하게 존재해야, 결과를 RMF 잔여위험 근거로 가져오는 순간 논리적 점프가 발생하지 않습니다.
마지막으로 결과를 ‘근거 유형’으로 라벨링하세요. RMF는 주장과 근거를 세트로 봅니다. 따라서 각 결론 옆에 “관찰 근거(총괄 사용적합성) / 형성 평가 / 시뮬레이션 / 교육·훈련 검증 / PMS 신호”처럼 근거 유형을 표기하고, 해당 근거의 문서번호·버전·시험번호까지 연결해 둡니다. 이 작업이 끝나면 사용적합성 결과는 단일 보고서가 아니라, RMF가 참조할 수 있는 증거 체계로 바뀝니다.
2) RMF 추적성 매핑 규칙 만들기
이제 핵심인 ‘연결’ 단계입니다. 연결은 문장으로 하는 것이 아니라, ID로 하는 것입니다. 추천하는 최소 식별자 세트는 다음과 같습니다. 중요 과업 ID(CT-xxx), 사용 문제/사용오류 ID(UP/UE-xxx), 위해상황 ID(HS-xxx), 위험통제 ID(RC-xxx), 검증/밸리데이션 근거 ID(VER/VAL-xxx), 라벨/IFU 문구 ID(IFU-xxx). 이 ID들이 한 번 정해지면, 사용적합성 결과가 RMF의 위험통제 효과 검증 근거로 “정확히 어디에 걸리는지”를 한 줄로 설명할 수 있습니다.
매핑은 사건 연쇄로 설계하는 것이 안전합니다. (중요 과업)에서 (사용 조건) 하에 (사용오류/오사용)이 발생하면 (위해상황)이 형성되고, (위해)로 이어질 수 있다는 연쇄를 먼저 쓰고, 그 연쇄의 어디를 통제로 끊었는지 명시합니다. 통제는 ISO 14971의 우선순위를 그대로 따르는 것이 좋습니다. 설계적 통제(본질적 안전 설계) → 보호수단/알람/인터록 → 정보 제공(라벨/IFU/교육) 순입니다. 예를 들어 “튜브 오결합” 위해상황이 있다면, 정보 제공만으로 끝내지 말고 커넥터 키잉, 물리적 비호환 설계, 체결 피드백(촉각/청각), 연결 확인 인터록 같은 설계적 통제가 가능한지 먼저 검토해야 합니다. 사용적합성 결과는 바로 이 통제의 ‘효과’를 입증하는 근거가 됩니다.
총괄 사용적합성(Validation) 결과를 RMF에 연결하는 가장 설득력 있는 포인트는 “위험통제의 효과 검증”입니다. 즉, 사용오류가 전혀 없었다는 주장보다, “위험통제 적용 후에도 발생 가능한 오류가 무엇이며, 그 오류가 위해로 발전하지 않도록 통제가 어떻게 작동했는지”를 보여주는 것이 강합니다. 예를 들어 알람이 중요한 통제라면, 알람 인지→해석→조치까지의 시간과 정확도를 중요 과업으로 정의하고, 사용적합성 결과에서 해당 과업이 의도대로 수행되었음을 근거로 제시합니다. 반대로 알람 피로처럼 오사용이 예견된다면, 단순히 “교육한다”가 아니라 알람 우선순위 조정, 알람 수 감소, 시각·청각 구분, 알람 지연/억제 로직, 사용자 워크플로 최적화 같은 통제를 검토하고, 그 효과를 형성 평가와 총괄 평가로 단계적으로 입증하는 구조가 RMF에 잘 맞습니다.
매핑 표(추적성 매트릭스)는 반드시 ‘RMF 관점 열’을 포함해야 합니다. 권장 열은 다음과 같습니다. 중요 과업(CT), 관련 사용오류/오사용(UE), 위해상황(HS), 위해(중증도), 위험통제(RC: 설계/보호/정보), 사용적합성 근거(형성/총괄 결과 요약 + 문서 ID), 잔여위험 재평가(확률/노출 변화 논리), IFU/라벨 반영(IFU ID), 미해결 이슈 및 후속조치(CAPA/PMS). 이 표 한 장이 있으면, 심사에서 “이 위험은 사용성으로 어떻게 검증했나?”라는 질문에 문서를 뒤적이지 않고도 즉시 답할 수 있습니다.
3) 잔여위험 근거화와 수용 결론 닫기
연결의 마지막은 ‘결론을 닫는 것’입니다. 사용적합성 결과를 RMF에 붙여도, 잔여위험 수용 기준과 전체 잔여위험 결론이 정리되지 않으면 “자료는 많은데 판단이 없다”는 상태가 됩니다. 잔여위험 근거화는 세 단계로 닫는 것이 좋습니다. 첫째, 잔여위험의 정의를 명확히 합니다. 사용적합성으로 다루는 잔여위험은 종종 “사용 오류 가능성이 완전히 0이 될 수 없다”는 현실에서 출발합니다. 따라서 통제 적용 후에도 남는 오류 가능성과 그 영향 범위를 잔여위험으로 선언하고, 그 범위를 제한하는 조건(사용자군, 환경, 교육 수준, 유지관리)을 함께 적습니다.
둘째, 수용 기준과의 정합성을 확인합니다. RMP에서 정한 수용 기준(수용/조건부/불수용)에 따라, 사용적합성 의존 통제는 조건부로 분류하고 추가 근거를 요구하는 규칙을 두는 것이 일반적으로 안전합니다. 예를 들어 “IFU 경고로 통제되는 위해상황은 총괄 사용적합성에서 해당 경고의 인지·이해·행동으로 이어짐이 확인되어야 한다”, “중요 과업에서 반복 오류가 관찰되면 설계 변경 없이는 수용하지 않는다”, “취약군 또는 비전문가 사용이 포함되면 보수성을 상향한다” 같은 규칙이 여기에 해당합니다. 이 규칙이 RMF에 명시되면, 사용적합성 결과가 잔여위험 수용의 ‘근거’로 기능합니다.
셋째, IFU/라벨/교육과 PMS까지 연결해 폐루프를 만듭니다. 사용적합성 결과에서 발견된 사용 문제는 종종 IFU 문구 한 줄로 해결되지 않습니다. 문구가 필요하다면 RMF의 위해상황 ID와 1:1로 연결된 문구 ID(IFU-xxx)를 부여하고, 총괄 사용적합성에서 그 문구가 실제 행동 변화를 만들었는지 확인한 근거를 남기세요. 그리고 잔여위험을 수용한다면, PMS에서 어떤 지표로 그 가정을 검증할지까지 명시해야 합니다. 예를 들어 “연결 오류 불만율, 알람 관련 불만 비율, 교육 후 오류 재발률” 같은 지표와 경보 기준을 잡아두면, 잔여위험 수용이 단순 선언이 아니라 ‘검증 가능한 가정’이 됩니다. 이 단계까지 닫혔을 때 비로소 “사용적합성 결과 → RMF 잔여위험 근거” 연결이 완성됩니다.
정리하면, 연결의 기술은 복잡해 보이지만 원리는 단순합니다. 사용적합성 결과를 증거 묶음으로 재정리하고, ID 기반 추적성 규칙으로 RMF의 위해상황·통제·검증에 매핑하며, 수용 기준과 PMS까지 포함해 잔여위험 결론을 닫는 것. 이 세 가지가 갖춰지면, 사용적합성은 ‘사용자 만족’ 문서가 아니라 ‘안전성 근거’ 문서로 기능합니다.