위험관리 계획서(RMP, Risk Management Plan)는 “위험분석을 어떻게 할 것인가”를 제품 개발 초기에 고정해 두는 기준 문서입니다. 즉, 위험관리 파일(RMF)에 무엇을 담을지뿐 아니라, 어떤 규칙으로 위험을 추정하고 어떤 기준으로 수용 여부를 판단하며, 언제 어떤 사건이 발생하면 재평가를 수행할지까지 미리 선언합니다. 심사 관점에서도 RMP는 위험관리 활동이 임의로 수행된 것이 아니라, 사전에 합의된 절차와 기준에 따라 일관되게 운영되었음을 보여주는 핵심 근거가 됩니다.
현장에서 RMP가 약해지는 지점은 대부분 세 가지입니다. 첫째, 수용 기준이 모호해 팀·프로젝트마다 결론이 달라집니다. 둘째, 추정 규칙이 데이터·가정·보수성의 우선순위를 담지 못해 “왜 그렇게 점수를 줬는지”를 설명하지 못합니다. 셋째, 트리거가 정의되지 않아 변경·불만·PMS 신호가 있어도 위험관리 업데이트가 누락됩니다. 아래에서는 이 세 축을 중심으로, 전문가 수준의 RMP를 구성하는 핵심 작성 방법을 정리합니다.
1. 수용 기준 설계 원칙
수용 기준(acceptability criteria)은 RMP의 중심입니다. 여기서 말하는 수용 기준은 단순히 “매트릭스 한 장”이 아니라, 개별 위험과 잔여위험, 그리고 전체 잔여위험을 어떤 논리로 판단할지에 대한 규칙 체계입니다. 먼저 개별 위험의 수용 기준은 Severity와 Probability(또는 발생빈도)를 어떻게 정의할지부터 시작합니다. S/P의 단계 정의는 숫자보다 서술이 중요합니다. 예를 들어 ‘중증도 3’이 무엇인지가 조직마다 다르면 동일한 사건도 다른 결론이 나오기 때문에, 위해의 결과(가역/비가역, 치료 필요성, 입원, 사망 가능성)와 임상적 맥락을 포함해 단계별 정의를 문장으로 고정해야 합니다. 확률 역시 “자주/가끔” 같은 표현이 아니라, 데이터가 없을 때의 추정 원칙과 함께 단계별 범위를 정의해야 검토자가 일관되게 적용할 수 있습니다.
다음으로 수용 영역(수용/조건부/불수용)을 어떻게 나눌지 결정합니다. 여기서 흔한 오류는 불수용 영역을 넓게 잡아놓고 실제로는 예외를 남발하거나, 반대로 수용 영역을 넓게 잡아 통제 강화를 회피하는 것입니다. 권장 방식은 ‘불수용 영역은 통제 없이는 승인 불가’라는 규칙을 명확히 하고, 조건부 영역은 “추가 통제 또는 이득-위험 평가 또는 PMS 강화”처럼 후속 의무를 연결하는 것입니다. 조건부 영역을 운영할 때는 “정보 제공(경고/주의)만으로 통제한 위험”에 대해 별도 관리 규칙을 두는 것이 좋습니다. 정보 제공 통제는 사용성·현장 환경에 따라 효과가 크게 흔들리므로, 사용적합성 결과나 교육·훈련 전략, 또는 PMS 지표로 효과를 검증하는 연결고리를 RMP에 포함해야 합니다.
개별 잔여위험과 별개로 전체 잔여위험(Overall Residual Risk)을 평가하는 방법도 RMP에 반드시 들어가야 합니다. 전체 잔여위험은 단순 합산이 아니라, 제품이 제공하는 임상적/운영적 이득과 잔여위험의 균형을 어떻게 설명할지에 관한 프레임입니다. 예를 들어 “필수성능(essential performance)과 안전 관련 성능이 유지되는 조건에서, 잔여위험은 라벨/IFU와 사용자 교육을 통해 관리 가능하며, PMS 계획으로 모니터링한다”처럼 결론의 구조를 미리 정의해 두면, 프로젝트 종료 시점마다 결론 문구가 달라지는 문제를 줄일 수 있습니다. 또한 이득-위험 평가가 필요한 트리거(예: 불수용 영역 발생, 중증도 상위 등급 위해, 신호 증가)와 평가 책임자(임상/RA/의학자 등)도 수용 기준 체계의 일부로 명시하는 것이 바람직합니다.
마지막으로 수용 기준은 조직의 위험정책과 연결되어야 합니다. 동일 조직 내 제품군이 여러 개라면, 수용 기준이 제품마다 달라지지 않도록 “공통 정의(Severity/Probability) + 제품 특이 요소(사용자군/환경)” 구조로 작성합니다. 그리고 승인 권한을 분명히 하세요. 어떤 수준의 잔여위험은 기능 리더 승인으로 충분한지, 어떤 경우는 최고경영자 또는 품질책임자 승인까지 필요한지 권한 체계를 정해두면, 위험 수용이 ‘개인의 판단’이 아니라 ‘시스템의 결정’이 됩니다.
2. 위험 추정 규칙과 근거 체계
위험 추정은 표를 채우는 작업이 아니라, “근거의 우선순위”를 정하고 “불확실성을 다루는 방식”을 문서화하는 작업입니다. RMP에는 위험추정에 사용할 데이터의 계층을 먼저 선언하는 것이 좋습니다. 예를 들어 1순위는 자사 PMS/불만/서비스 데이터, 2순위는 동등/유사기기 데이터와 문헌, 3순위는 시험과 공학적 모델, 4순위는 보수적 가정(worst-case)처럼 우선순위를 두고, 각 순위에서 요구하는 증빙 수준(데이터 기간, 표본, 출처)을 정의합니다. 이렇게 하면 프로젝트마다 “경험상”이라는 표현으로 확률을 낮게 잡는 문제를 예방할 수 있습니다.
또한 위험분석 기법(FMEA, FTA 등)에서 산출되는 값과 ISO 14971의 ‘위해 발생 확률’ 개념을 혼동하지 않도록 규칙을 적어야 합니다. 예를 들어 FMEA의 발생도는 고장 모드 빈도에 가깝고, 위해 발생 확률은 “고장 발생 → 위해상황 도달 → 위해 발생”의 조건부 확률을 포함합니다. 따라서 RMP에는 “발생도(고장 빈도)와 위해 발생 확률을 연결하는 매핑 규칙”을 둬야 합니다. 예컨대 고장 빈도가 낮더라도 위해상황이 즉시 위해로 이어지는 구조라면 위해 확률을 낮게 단정할 수 없고, 반대로 고장 빈도가 일정 수준이어도 탐지·차단·안전상태 전이 같은 통제가 개입한다면 위해 확률이 낮아질 수 있습니다. 이런 논리를 규칙으로 고정하는 것이 추정 규칙의 핵심입니다.
추정 규칙에는 가정과 보수성의 원칙도 포함되어야 합니다. 데이터가 불충분한 경우 “보수적 방향으로 추정한다”는 문장만으로는 부족합니다. 어떤 경우에 보수성을 상향하는지(예: 신규 기술, 신규 사용자군, 중증도 상위 위해, 사용성 의존 통제), 그리고 보수적 추정을 어떤 방식으로 검증/완화할지(추가 시험, 사용적합성 평가, PMS 모니터링 지표 강화)를 함께 적어야 합니다. 특히 소프트웨어는 현장 조건과 사용자 행동에 따라 결함이 드러나는 방식이 달라지므로, 결함 가능성을 확률로만 처리하기보다는 “통제의 검증 근거(요구사항-시험-결과)와 실패 시 안전 동작”을 중심으로 추정 규칙을 보강하는 편이 설득력이 높습니다.
근거 기록 방식도 규칙으로 만들어야 합니다. RMP에 “각 위험항목의 S/P 판단에는 반드시 근거 유형을 표기한다(예: PMS, 문헌, 시험, 계산, 전문가 판단)”처럼 최소 요건을 두면, 검토 시 근거가 없는 항목을 즉시 식별할 수 있습니다. 또한 근거가 ‘전문가 판단’일 경우에는 판단자, 전제 조건, 적용 범위, 불확실성, 후속 검증 계획을 함께 기록하도록 요구하는 것이 좋습니다. 이렇게 하면 추정 규칙이 단순 점수 체계가 아니라, 프로젝트 전 주기에 걸쳐 업데이트 가능한 ‘지식 체계’로 기능하게 됩니다.
3. 트리거 설정과 업데이트 운영
RMP의 트리거(trigger)는 위험관리 활동을 “한 번 하고 끝나는 문서”가 아니라 “계속 유지되는 시스템”으로 만드는 장치입니다. 트리거는 크게 정기 트리거와 사건 기반 트리거로 나눠 정의하는 것이 실무적으로 유리합니다. 정기 트리거는 개발 마일스톤(설계 입력 확정, 설계 검증 완료, 양산 이관, 정기 PMS 검토)과 연동하고, 사건 기반 트리거는 변경·불만·규격·현장 신호에 연동합니다. 특히 사건 기반 트리거가 약하면, 변경관리 문서만 업데이트되고 위험관리 파일은 그대로 남는 “문서 분리” 문제가 반복됩니다.
사건 기반 트리거는 구체적으로 작성해야 합니다. 예를 들어 설계 변경(재질/치수/알고리즘/알람 로직/전원부), 공정 변경(멸균 조건/공정 파라미터/검사 기준), 주요 공급자 변경, 포장·라벨 변경, 소프트웨어 패치/업데이트, 사용자군/사용 환경 확대, 현장 설치 조건 변경(전원, 접지, 통신 환경), 불만 급증 또는 중대 사건 보고, CAPA 개시, 사용적합성에서 중대 사용오류 발견, 규격·가이드 개정 등은 위험 재평가를 요구하는 대표 항목입니다. RMP에는 트리거 발생 시 “누가(Owner)”, “어떤 범위로(영향 평가 기준)”, “어떤 산출물로(RMF 업데이트, IFU 변경, 검증 추가)” 처리할지까지 연결해야 합니다.
운영 측면에서는 변경요청서(ECR/ECN)에 위험관리 영향 평가를 의무 필드로 두는 방식이 가장 효과적입니다. 영향 평가에는 위해상황 추가/삭제 여부, 위험추정 재평가 필요 여부, 통제 변경 필요 여부, 검증/밸리데이션 추가 필요 여부, IFU/라벨 변경 필요 여부, PMS 모니터링 강화 필요 여부를 포함합니다. 여기서 “변경이 동등하다”는 결론을 내릴 때도 반드시 근거(동등성 기준, 시험/검토 자료, 제한 조건)를 남기게 하면, 사후에 문제가 발생했을 때 판단의 타당성을 검증할 수 있습니다. 또한 불만/PMS 트리거는 “절대 건수”보다 “추세와 비율”이 의미 있는 경우가 많으므로, 제품 설치 대수·사용량 대비 불만율, 특정 위해상황 관련 불만의 반복성, 알람 관련 불만 비율 같은 지표를 정의해 두면 신호 탐지가 정교해집니다.
마지막으로 트리거의 실효성을 확보하려면, 업데이트의 종료 조건을 명확히 해야 합니다. 트리거가 발생하면 단순히 위험분석 표를 수정하는 것으로 끝나지 않고, 통제의 구현 여부, 검증 결과 반영 여부, 라벨/IFU 반영 여부, 교육/현장 조치 여부, PMS 계획 수정 여부까지 확인한 뒤 종료해야 합니다. 이 종료 조건을 RMP에 포함하면, 위험관리 업데이트가 CAPA처럼 폐루프(closed loop)로 운영되어 “조치했고 끝”이 아니라 “효과를 확인하고 닫았다”는 상태를 만들 수 있습니다. 결국 좋은 RMP는 수용 기준·추정 규칙·트리거가 서로 연결되어, 위험관리 활동의 일관성과 추적성을 자동으로 만들어내는 구조를 갖습니다.