IEC 60601-1 12절은 의료기기의 제어(control)와 계기(instrumentation)가 안전에 기여하도록 요구사항을 규정합니다. 쉽게 말해 사용자가 설정한 값(출력, 속도, 압력, 온도 등)이 의도대로 구현되고, 표시되는 값이 신뢰할 수 있으며, 센서나 제어 경로에 단일고장(SFC)이 발생해도 위험한 출력으로 비화하지 않도록 통제해야 합니다. 10절이 “물리적 출력이 과도해지지 않도록”이라는 큰 축을 잡는다면, 12절은 그 출력을 만드는 제어 루프의 정확도와 실패 방식을 시험으로 검증하는 실무 조항이라고 보는 편이 맞습니다.
시험 현장에서는 12절이 종종 14절(PEMS) 또는 6절(분류)과 분리되어 취급되는데, 실제로는 연결된 한 덩어리입니다. 적용부 Type(B/BF/CF), 운전모드 제한, 사용 환경, 필수 성능 정의가 먼저 고정되어야 “어떤 파라미터가 안전과 직결되는가”가 정해지고, 그 다음에야 정확도 시험·경보/차단 로직·단일고장 시험을 합리적으로 설계할 수 있습니다. 이 글은 전문가 관점에서 12절을 정확도 선언과 측정, 제어 실패(센서·구동부·표시) 시나리오, 보고서/문서 정합으로 정리합니다.
정확도·표시값 요구 정의와 시험 설계
12절 대응의 첫 단계는 제품이 제공하는 설정값(setpoint), 표시값(indication), 실제 출력(output)을 명확히 분리하는 것입니다. 많은 제품에서 사용자는 설정값만 조작하고, 장비는 센서 측정값을 화면에 표시하며, 실제 출력은 내부 제어에 의해 생성됩니다. 여기서 위험은 세 가지 형태로 나타납니다. 첫째, 설정값과 실제 출력이 일치하지 않아 과출력/저출력이 발생하는 경우. 둘째, 표시값이 실제 상태를 반영하지 않아 사용자가 잘못된 판단을 하는 경우. 셋째, 정확도가 시간이 지나며 드리프트하거나 환경 조건에 따라 변해 “정상처럼 보이지만 위험한 상태”가 되는 경우입니다. 따라서 시험은 단순한 캘리브레이션 확인이 아니라, 이 세 위험이 필수 성능과 안전 한계 안에서 통제되는지 확인하는 절차로 설계되어야 합니다.
정확도 요구를 정할 때 흔히 빠지는 함정은 “스펙시트에 적힌 숫자”를 그대로 표준 요구로 착각하는 것입니다. 60601-1 12절 관점에서는 정확도가 높은 것이 목적이 아니라, 정확도 오차가 위험을 만들지 않는 수준이 목적입니다. 예를 들어 체온 측정 장비에서 0.5°C 오차는 임상 결정에 영향을 줄 수 있지만, 단순 압력 표시 장치에서는 같은 상대 오차가 덜 중요할 수 있습니다. 따라서 제조사는 위험관리에서 “어떤 오차가 어떤 위해를 유발하는가”를 먼저 연결하고, 그 결과로 허용 오차와 허용 동작 범위를 선언해야 합니다. 선언이 없으면 시험소는 보수적으로 접근해 불필요하게 엄격한 기준을 요구할 가능성이 있습니다.
시험 설계에서 핵심은 최악조건(worst case)과 측정 체계의 신뢰성입니다. 제어 정확도는 주변 온도, 전원 변동, 배터리 잔량, 부하 조건, 소프트웨어 모드(예: 절전/고성능), 장시간 연속 동작에 따라 달라집니다. 예컨대 유량 제어 펌프는 라인 저항과 점도(유체 특성)에 따라 오차가 커지고, 온도 제어 장비는 열평형 도달 전후의 오버슈트가 위해를 만들 수 있습니다. 따라서 단일 점 측정(한 조건에서 한 번 측정)은 설득력이 약하고, 최소한 “대표 조건 + 최악 조건”에서 설정값 대비 실제 출력의 편차를 평가하는 구조가 필요합니다. 이때 시험소가 가장 자주 질문하는 것이 “왜 그 조건이 최악인가”이므로, 열/유체/전기 경로를 근거로 선정 논리를 남겨야 합니다.
표시값 시험은 설정값 시험과 분리해 설계해야 합니다. 예를 들어 실제 출력은 정상인데 표시값이 틀리면 사용자가 잘못 조치할 수 있고, 반대로 표시값은 정상인데 실제 출력이 틀리면 더 위험합니다. 따라서 표시값은 독립 계측기(추적 가능한 교정)로 실제 상태를 측정하고, 표시값과 비교해 오차를 평가해야 합니다. 또한 표시 갱신 주기, 단위 변환(예: kPa↔mmHg), 소수점 반올림 규칙이 사용자 판단에 영향을 주므로, 표시 로직을 “UI 문제”로 축소하지 말고 안전 기능의 일부로 취급해야 합니다. 전문 사용자 장비라 하더라도, 수술실·응급실 환경에서는 사용자가 빠르게 판단하므로 표시 신뢰성이 곧 안전입니다.
센서·구동부·표시 고장 시 안전한 실패
12절의 실무 난이도를 올리는 요소는 단일고장(SFC)에서의 안전한 실패(fail-safe) 요구입니다. 정상 상태에서 정확도가 충분해도, 센서가 단선/단락되거나, 구동부가 스턱온(stuck-on)되거나, 표시가 멈추면 위험한 출력이 발생할 수 있습니다. 12절은 이런 상태에서 기기가 위험 방향으로 폭주하지 않고, 합리적으로 감지·경보·제한·정지하는지 확인하도록 요구합니다. 중요한 점은 “경보만 울리면 끝”이 아니라, 위험도가 높다면 자동 제한/차단이 필요할 수 있다는 것입니다.
대표적인 센서 고장 시나리오는 단선(open), 단락(short), 값 고정(stuck value), 드리프트(drift), 노이즈 증가, 범위 이탈(out of range)입니다. 예를 들어 온도 센서가 단선되면 시스템이 낮은 온도로 오인해 히터를 계속 켜는 구조가 가장 위험합니다. 압력 센서가 막힘으로 항상 낮게 읽으면 펌프가 과압을 만들 수 있습니다. 따라서 좋은 설계는 센서 진단(단선 감지, 합리성 체크, 이중 센서 비교, 물리적 한계 체크)을 갖추고, 이상 시 출력 제한 또는 안전 정지로 전이해야 합니다. 시험에서는 이런 진단이 “문서 주장”이 아니라, 실제로 고장을 삽입했을 때 어떤 시간 내에 감지되고 어떤 상태로 전이되는지를 재현 가능하게 기록해야 합니다.
구동부 고장은 릴레이 접점 용착, MOSFET 단락, 밸브 고착, 모터 드라이버 고장처럼 “명령과 무관하게 출력이 유지”되는 형태가 핵심입니다. 여기서 소프트웨어만으로는 차단이 불가능할 수 있으므로, 위험 출력에 대해서는 독립 차단 경로(예: 하드웨어 인터록, 이중 차단, 서멀퓨즈/압력 릴리프 같은 물리적 보호)가 요구됩니다. 시험소는 SFC에서 출력이 어떻게 제한되는지뿐 아니라, 제한이 실패했을 때 “마지막 방어선”이 무엇인지까지 확인하려는 경향이 있습니다. 따라서 12절 대응은 회로도/블록도 수준에서 제어 경로와 차단 경로를 분리해 설명할 수 있어야 합니다.
표시 고장도 간과하기 쉽습니다. 표시가 멈췄는데 출력은 계속되는 상태는 사용자가 위험을 인지하지 못하게 만들 수 있습니다. 예컨대 화면 프리즈, 통신 지연, 센서 데이터 업데이트 중단은 실제 현장에서 빈번합니다. 그래서 12절 관점에서는 “표시값이 최신인지”를 감시하는 워치독 개념(타임아웃, 데이터 신선도 체크)이 안전 기능이 될 수 있습니다. 이상 시에는 최소한 명확한 알람을 제공하고, 위험도가 높은 출력이면 출력 제한/정지를 고려해야 합니다. 시험에서는 표시 갱신 중단을 모사하고, 알람과 상태 전이가 요구대로 동작하는지 확인하는 시나리오가 실무적으로 유효합니다.
단일고장 시나리오를 무작정 늘리는 것은 효율적이지 않습니다. 실무적으로는 위험관리에서 “위해로 연결되는 고장”을 우선순위로 선정하고, 그 고장에 대해 감지 가능성, 통제수단의 독립성, 전이 시간을 중심으로 시험 매트릭스를 만들면 됩니다. 이때 전이 시간은 매우 중요합니다. 과압/과열은 수 초 이내에 위해가 될 수 있으므로, “알람 후 사용자가 조치”를 기대할 수 없는 경우가 많습니다. 반대로 저위험 출력은 알람과 사용자 조치로 충분할 수 있습니다. 결국 12절은 정확도 시험이 아니라, 제어 시스템이 위험으로부터 사용자를 분리하는 ‘안전 행동’을 검증하는 조항입니다.
문서·기록 정합과 심사 대응 포인트
12절은 수치와 로직을 함께 다루기 때문에, 보고서 품질이 곧 심사 결과로 이어집니다. 시험 데이터가 좋아도 “설정값 정의가 모호”하거나 “표시값 기준이 문서마다 다르다”면 리뷰에서 막힙니다. 따라서 먼저 용어를 문서 전반에서 통일해야 합니다. 설정값(set), 표시값(indicated), 측정값(measured), 실제 출력(actual output), 제어 오차(control error), 표시 오차(indication error)를 구분하고, 어떤 값이 사용자가 의사결정에 쓰는 값인지 명확히 해야 합니다.
다음으로는 7절(라벨·IFU)과의 정합입니다. 예를 들어 사용설명서에 “정확도 ±X%”를 주장한다면, 그 주장은 어떤 조건(온도 범위, 시간, 액세서리, 교정 상태)에서 성립하는지 함께 써야 합니다. 그렇지 않으면 사용자는 모든 조건에서 성립한다고 오해하고, 시험소는 그 오해 가능성을 안전 리스크로 봅니다. 또한 정기 교정이 필요한 장비라면 교정 주기와 방법, 허용 오차 초과 시 조치(사용 중지, 서비스 요청)를 명시해야 하며, 장비가 자체적으로 교정 상태를 감지하거나 사용 제한을 거는지까지 연결되면 설득력이 커집니다.
기록 체계에서는 “최악조건 선정 근거”와 “고장 삽입 방법”이 가장 중요합니다. 정확도 시험은 단순히 표에 숫자를 나열하면 되지만, 심사자는 왜 그 조건에서 시험했는지, 다른 조건에서는 어떻게 변할 수 있는지 질문합니다. 그래서 보고서에는 최소한 운전 모드, 부하 조건, 주변 환경, 전원 조건, 소프트웨어 버전, 액세서리 모델, 측정 장비(교정 상태), 측정 위치/라인 구성, 안정화 시간과 반복 횟수를 함께 남겨야 합니다. SFC 시험의 경우에는 고장 삽입 위치(센서 라인 단선/단락, 신호 고정), 삽입 시점(동작 중/기동 시), 감지 시간, 알람 내용, 출력 제한/정지 결과, 재가동 조건을 서술형으로도 남기는 것이 좋습니다. 숫자만으로는 상태 전이가 설명되지 않는 경우가 많기 때문입니다.
마지막으로, 12절은 10절과 11절의 통제를 “실제로 작동시키는 조항”입니다. 출력 제한이 있다면 제한이 정확히 걸리는지, 과열 차단이 있다면 센서 고장에도 안전한 방향으로 동작하는지, 과압 방지가 있다면 밸브 고착에도 위험을 억제하는지 같은 질문이 12절의 틀 안에서 정리됩니다. 따라서 12절 글을 작성할 때는 “정확도 수치”만 강조하기보다, 제어 시스템의 안전 구조(독립 감시, 차단 경로, 워치독, 디레이팅, 재가동 제한)를 중심으로 설명하는 편이 전문가 대상 SEO 콘텐츠에서도 신뢰도를 높입니다. 12절을 잘 정리하면, 후속 조항(13절/14절)에서 소프트웨어·프로그램 제어 안전 논리를 훨씬 쉽게 확장할 수 있습니다.