1) 사용 맥락을 고정하고 ‘정상 업무흐름’부터 그린다
오사용(Use Error) 시나리오의 품질은 “사용자가 실수할 수 있다”는 선언이 아니라, 실수가 발생할 수밖에 없는 맥락(Context) 을 얼마나 정확히 고정했는지에서 결정됩니다. 먼저 사용자 유형(숙련도, 직무, 권한), 사용 환경(소음·조도·동선·보호구 착용·감염관리 동선), 대상(환자군/검체/데이터), 그리고 업무흐름(전처치–측정–확인–기록–보고)을 한 문장으로 고정해야 합니다. 이 단계가 흐리면 이후 문서에서 오사용이 “개인의 부주의”로 환원되어 통제가 정보제공(주의 문구) 수준에 머무르기 쉽고, 실제 위해 감소로 연결되지 않습니다. 실무에서는 장비 자체가 아니라 현장 프로세스가 오사용을 만들기 때문에, 시나리오 작성의 출발점은 기능 목록이 아니라 현장의 작업 순서입니다.
가장 안정적인 접근은 ‘정상 사용 시나리오(Normal Use Scenario)’를 먼저 작성한 뒤, 그 흐름에서 분기되는 지점을 오사용으로 확장하는 방식입니다. 예를 들어 “로그인 → 환자 선택 → 측정 모드 선택 → 센서 부착 → 측정 시작 → 경보 확인 → 결과 저장/전송”처럼 정상 흐름을 단계로 쪼개고, 각 단계마다 사용자가 무엇을 보고(정보), 무엇을 결정하며(판단), 무엇을 조작하는지(행동)를 명시합니다. 이때 “사용자는 버튼을 누른다”가 아니라, 버튼을 누르도록 만드는 화면 구성과 용어, 경고의 우선순위, 기본값과 제한 조건까지 포함해 행동을 유도하는 설계 요소를 함께 적어야 합니다. 그래야 오사용이 UI/알람/설정 정책과 연결되어 위험통제로 전환됩니다.
또한 오사용 시나리오는 단독 문서가 아니라 RMF의 위해 시나리오와 정합되어야 하므로, 정상 흐름 단계마다 “안전 관련 결론을 만드는 지점”을 표시하는 것이 좋습니다. 예컨대 임계값을 입력하거나 치료 파라미터를 확정하는 지점, 경보를 확인하고 조치하는 지점, 결과를 승인(verify)하는 지점은 오사용이 위해로 확장되기 쉬운 구간입니다. 이 구간을 표시해 두면, 이후 단계에서 오사용이 발생했을 때 어떤 위해상황으로 전이되는지, 통제는 어디에 걸어야 하는지, 검증은 어떤 조건을 재현해야 하는지까지 한 줄로 이어집니다. 결론적으로 1단계의 실무 규칙은 “오사용을 쓰기 전에 정상 흐름을 사건 단위로 고정하고, 안전 결론 지점을 표시하라”입니다.
2) 사용자 행동을 ‘인지–해석–행동’ 사건 고리로 분해한다
오사용을 사건 흐름에 포함시키려면, 사용자 행동을 단순 실수로 적지 말고 인지–해석–행동(Perception–Interpretation–Action) 의 사건 고리로 분해해야 합니다. 같은 오사용이라도 원인이 “못 봤다(인지 실패)”인지, “봤지만 의미를 잘못 이해했다(해석 실패)”인지, “이해했지만 다른 행동을 했다(행동 실패)”인지에 따라 효과적인 통제는 완전히 달라집니다. 예를 들어 경고가 화면에 존재해도 시야에 들어오지 않으면 가시성/우선순위 문제이고, 들어왔지만 용어가 모호하면 라벨링/용어 정합 문제이며, 이해했지만 바쁜 현장에서 우회한다면 워크플로우/마찰 비용 문제입니다. 즉 오사용은 ‘사람 탓’이 아니라 ‘정보와 작업 설계의 결과’로 기술되어야 합니다.
실무적으로는 각 단계에 대해 오사용의 트리거(촉진 조건) 를 함께 기록하면 누락이 크게 줄어듭니다. 촉진 조건에는 야간 근무로 인한 피로, PPE로 인한 촉감/시야 저하, 다중 알람으로 인한 알람 피로, 응급 상황의 시간 압박, 병원망 지연/로그인 반복, 교육 수준 편차, 교대 인수인계의 단절 같은 요소가 포함됩니다. 중요한 점은 이 촉진 조건을 “있을 수 있음”이 아니라 “언제/어떤 상황에서 발생하는지”까지 구체화하는 것입니다. 예를 들어 “알람 피로”라면 알람의 빈도와 우선순위 충돌, 무의미한 경고의 반복 여부, 알람 해제의 난이도 같은 설계 변수를 함께 적어야 통제 설계가 가능해집니다.
오사용 시나리오 작성 문법은 ‘하나의 문장’으로 끝내지 말고, 사건의 연결을 짧은 동사 중심으로 쌓는 방식을 권합니다. 예시는 다음과 같은 형태가 실무에서 잘 작동합니다. “기본값이 이전 환자 설정으로 유지됨(시스템 상태) → 사용자는 설정이 초기화되었다고 가정함(해석) → 확인 단계를 건너뛰고 측정을 시작함(행동) → 임계값이 부적절하게 적용된 상태로 결과가 생성됨(위해상황) → 이상 상태를 놓치거나 불필요한 조치를 유발함(위해)”처럼요. 여기서 핵심은 사용자 행동이 단독으로 등장하지 않고, 반드시 그 이전에 사용자가 무엇을 근거로 그렇게 행동했는지(표시, 용어, 기본값, 알림 타이밍)가 포함된다는 점입니다. 이렇게 쓰면 오사용이 곧바로 위험통제(확인 단계 강제, 기본값 정책, 표시 강화, 접근권한 분리)로 연결됩니다.
마지막으로, 오사용을 위해 시나리오로 정합화할 때는 “사용자 오류”라는 표현만으로 위험원을 닫지 않는 것이 중요합니다. 심사 관점에서는 오사용이 통제 불가능한 외생 변수로 보이면, 제품이 실제 환경을 반영하지 못한 것으로 평가될 수 있습니다. 따라서 오사용 시나리오마다 최소한 (1) 사용자가 그렇게 행동할 합리적 이유, (2) 시스템이 그 행동을 허용하거나 유도한 지점, (3) 위해로 이어지는 전이 조건을 포함시키는 것을 실무 규칙으로 두면 문서의 설명 가능성이 크게 올라갑니다.
3) 오사용 통제는 ‘설계–절차–정보제공’으로 계층화하고 검증으로 닫는다
오사용을 문서화하는 목적은 사고 이야기를 풍부하게 만드는 것이 아니라, 오사용 경로를 끊는 통제를 설계하고 그 통제가 작동함을 검증하는 데 있습니다. 통제는 일반적으로 (1) 설계적 통제(내재 안전/사용성 설계), (2) 절차적 통제(권한, 승인, 이중 확인), (3) 정보제공(라벨/IFU/교육) 순으로 계층화하는 것이 효과적입니다. 예를 들어 잘못된 모드 선택이 위해로 연결된다면 “주의 문구”보다 모드 전환 시 맥락 기반 안내, 위험 모드 진입의 마찰(확인/지연/조건 충족), 기본값 제한, 화면 상단의 지속 표시 같은 설계 통제가 우선입니다. 절차적 통제는 관리자 권한 분리, 설정 변경 시 이중 승인, 작업 로그의 무결성 같은 방식으로 오사용의 확산을 줄이고, 정보제공은 잔여위험을 사용자에게 정확히 전달하는 마지막 장치로 사용해야 합니다.
검증은 “UI를 리뷰했다” 수준에서 끝나면 오사용 통제가 통제로 인정되기 어렵습니다. 오사용 통제의 검증은 통제가 끊어야 할 사건 고리를 시험 조건으로 재현해야 합니다. 예컨대 확인 단계를 추가했다면 사용자가 실제 흐름에서 그 단계를 어떤 빈도로 건너뛰려 하는지, 경고의 위치와 타이밍이 행동을 바꾸는지, 시간 압박 상황에서 우회 경로가 생기지 않는지까지 확인해야 합니다. 필요하다면 제한적 사용성 검증(대표 사용자, 대표 환경, 대표 과업)으로 오사용 발생 빈도와 탐지 가능성을 확인하고, 결과를 RMF의 위해 시나리오와 연결해 “오사용 확률을 어떻게 낮췄는지”를 근거로 남기는 편이 설득력이 높습니다. 특히 알람 관련 오사용은 알람 누락뿐 아니라 과다 알람으로 인한 무시(알람 피로)까지 위해 경로가 될 수 있으므로, 알람 전략의 적절성 또한 오사용 통제의 일부로 평가해야 합니다.
또한 오사용 시나리오는 변경관리와 연결되지 않으면 빠르게 무력화됩니다. UI 문구 수정, 버튼 위치 변경, 기본값 정책 변경, 워크플로우 단계 추가 같은 ‘작은 변경’이 오사용을 새로 만들거나 기존 통제를 무력화할 수 있기 때문입니다. 따라서 각 오사용 통제에 대해 구현 위치(요구사항 ID/화면 ID/설정 정책), 검증 케이스 ID, 수용 기준, 잔여위험 커뮤니케이션(라벨/IFU 항목)을 한 줄로 묶어 추적성을 확보해야 합니다. 이렇게 해 두면 변경 영향평가에서 “이 변경이 오사용 통제를 건드리는가”를 빠르게 판정할 수 있고, 필요한 재검증 범위를 합리적으로 확정할 수 있습니다.
마지막으로 PMS(사후관리) 신호를 오사용 시나리오에 매칭해 운영 규칙으로 닫아야 합니다. 불만 데이터에서 특정 화면에서 반복되는 입력 오류가 관측되거나, 현장 로그에서 경고 확인 없이 진행되는 패턴이 발견되면, 해당 오사용 시나리오의 가정(촉진 조건, 탐지 가능성)과 통제 효과를 재평가하는 트리거로 삼아야 합니다. 오사용은 “교육하면 해결”되는 문제가 아니라, 사용 환경과 제품 설계의 상호작용에서 발생하는 반복 패턴이므로, 문서도 작성으로 끝내지 말고 운영 루프로 연결해야 품질이 유지됩니다. 요약하면 3단계 실무 규칙은 “통제를 계층화하고, 사건 고리를 끊는지 검증으로 입증하며, 변경관리·PMS까지 추적성으로 닫아라”입니다.