의료기기 시험·심사 대응에서 “추적성(Traceability)”은 보기 좋은 부록이 아니라, 시험 결과를 규격과 안전 논리로 방어하기 위한 핵심 구조입니다. 요구사항–규격–시험–성적서가 한 줄로 연결되지 않으면, 성적서는 측정값의 나열로 보이기 쉽고, 심사 질의가 들어왔을 때 “왜 이 시험을 했는가 / 왜 이 기준으로 합격인가 / 이 결과가 어떤 위험통제를 검증하는가”를 문서로 증명하기 어렵습니다. 반대로 추적성 매트릭스를 제대로 구축해 두면, 시험 변경·재시험·버전 변경이 발생해도 영향 범위를 신속히 산정할 수 있고, 성적서의 결론 문장도 흔들리지 않습니다.
아래는 시험원(시험기관) 관점에서 바로 적용 가능한 요구사항–규격–시험–성적서 추적성 매트릭스 작성·검토 실무를 3단계로 정리한 내용입니다.
1) 요구사항 ID 설계와 기준선 확정
추적성의 출발점은 “요구사항이 무엇인지”를 명확히 정의하고, 변하지 않는 식별자(ID)로 고정하는 것입니다. 현장에서 가장 흔한 실패는 요구사항이 문장으로만 존재하고(혹은 사용설명서 문구를 그대로 복사해 두고), 시험항목과의 연결이 사람의 기억에 의존하는 경우입니다. 이 상태에서는 시험이 추가되거나 규격 판이 바뀌면, 어떤 결과가 어떤 요구사항을 충족하는지 추적할 수 없습니다. 따라서 매트릭스 작성 전, 요구사항을 최소 단위로 분해하여 “검증 가능한 문장”으로 만드는 작업이 필요합니다. 예를 들어 “안전하게 동작해야 한다”가 아니라, 조건(when)–행동(shall)–판정기준(acceptance)이 포함된 형태로 정리합니다. 또한 요구사항의 출처를 구분해야 합니다. 일반적으로 출처는 (1) 규격 조항(예: 특정 표준의 특정 조항), (2) 위험통제(위험관리 파일의 통제 수단), (3) 제품 성능/설계 요구(제조사 스펙), (4) 사용적합성/라벨링 요구(사용오류 예방)로 나뉩니다. 출처를 혼합해 버리면 “규격 요구사항인지 제품 요구사항인지”가 흐려져서 성적서 결론이 공격받기 쉽습니다.
ID 체계는 단순해야 오래 갑니다. 권장 방식은 영역별 접두어를 두는 것입니다. 예를 들어 규격 기반 요구는 STD-XXX, 위험통제 기반 요구는 RM-XXX, 성능 요구는 PRD-XXX, 라벨/IFU 요구는 LBL-XXX처럼 분류하면, 매트릭스만 봐도 요구사항 성격이 드러납니다. 동시에 ID는 절대 재사용하지 않는 것이 원칙입니다. 문구가 바뀌거나 기준이 강화되면 같은 ID에 덮어쓰기보다, 새로운 ID를 발급하고 변경 이력(대체/폐기 사유)을 남기는 편이 추적성 무결성을 지킵니다. 마지막으로 기준선(Baseline)을 확정해야 합니다. 기준선이란 “이 버전의 요구사항 세트로 시험을 수행했다”는 기준점이며, 성적서 발행 시점의 샘플 구성(HW/SW 버전, 옵션, 설정값)과 함께 고정됩니다. 시험원이 매트릭스를 검토할 때는 요구사항 문서 버전, 규격 판/개정, 시험계획서 버전, 성적서 버전이 서로 일치하는지부터 확인해야 합니다. 이 네 가지 버전이 어긋나면, 아무리 표가 정교해도 심사 단계에서는 ‘서로 다른 세계의 문서’로 판단될 수 있습니다.
2) 규격 조항과 시험항목 매핑 규칙
요구사항이 고정되면 다음은 규격 조항과 시험항목을 1:1 또는 1:다로 연결하는 규칙을 세우는 단계입니다. 이 단계에서 중요한 것은 “표를 채우는 것”이 아니라, 매핑의 단위와 판정 로직을 통일하는 것입니다. 시험기관에서 흔히 발생하는 혼란은 같은 규격 조항이 여러 시험항목에 분산되어 있는데도, 성적서에는 한 항목만 언급되거나, 반대로 하나의 시험항목이 여러 조항을 포괄하면서도 어떤 조항을 어떻게 만족했는지 설명이 없는 경우입니다. 해결책은 규격 조항을 단순히 열거하지 말고, 매트릭스에서 규격 조항을 “검증 주장(Claim)” 단위로 쪼개는 것입니다. 즉, 조항 번호만 적는 것이 아니라 조항이 요구하는 핵심 조건(예: 운전 모드, 측정 조건, 허용치)을 짧게 요약해, 시험항목이 그 조건을 충족하도록 설계되었는지 검증합니다.
매핑은 보통 다음의 열(컬럼) 구조로 안정화됩니다. (1) 요구사항 ID, (2) 요구사항 문장/요약, (3) 출처(규격/위험통제/제품), (4) 규격 조항 번호와 판(edition)/개정(amendment), (5) 시험항목 ID(시험계획서/프로토콜의 식별자), (6) 시험 조건 핵심값(운전모드, 설정, 환경), (7) 합격기준(수치/정성 기준), (8) 판정 방법(최대값 기준인지 평균 기준인지 등), (9) 결과 참조(성적서 섹션/표/페이지). 여기서 시험원은 특히 (6)~(8)을 빈칸으로 두지 않는 것을 원칙으로 삼아야 합니다. 합격기준이 “정상 동작”처럼 모호하면 추적성 표가 있어도 방어가 안 됩니다. 또한 규격에서 허용하는 선택지(예: 시험 셋업 옵션, 운전 조건, 측정 위치)를 어떤 근거로 선택했는지 비고란에 남겨야 합니다. 이 근거가 빠지면, 동일 규격이라도 다른 해석을 적용한 기관의 결과와 충돌할 때 설명이 어려워집니다.
또 한 가지 필수 규칙은 “커버리지 표시”입니다. 각 요구사항에 대해 시험으로 완전 검증했는지(Verified by Test), 분석/계산으로 확인했는지(Verified by Analysis), 기존 성적서나 레퍼런스로 대체했는지(Verified by Reference), 혹은 범위 제외인지(Not Applicable/Out of Scope)를 명확히 표기합니다. 시험기관 입장에서는 범위 제외를 숨기면 가장 위험합니다. 대신 범위 제외 사유(기능 미탑재, 제품 사용환경 제한, 고객 범위 제외)를 명시하고, 그 결정이 누구에 의해 승인되었는지 연결해 두면 성적서 신뢰도가 올라갑니다. 마지막으로 시스템 제품(본체+주변기기+소프트웨어)에서는 “대표 구성”의 정의가 매핑의 핵심입니다. 동일 요구사항이 옵션 구성에 따라 달라질 수 있으므로, 매트릭스에 적용 구성(Variant/Configuration)을 명시하거나, 구성 매트릭스 문서 번호를 참조하여 시험 결과가 어느 구성에 유효한지 범위를 분명히 해야 합니다. 이 규칙이 없으면 추적성 표는 있어도 실제로는 ‘어떤 구성에도 확정적으로 적용할 수 없는’ 문서가 됩니다.
3) 성적서 증거 연결과 변경관리
마지막 단계는 매트릭스를 성적서와 “증거(Evidence)” 수준으로 연결해 데이터 무결성과 재현성을 확보하는 것입니다. 많은 조직이 시험계획서까지는 체계를 갖추지만, 성적서로 넘어오면서 연결이 끊깁니다. 이유는 단순합니다. 성적서는 결과표 중심으로 작성되기 쉬워 “어떤 원자료가 어떤 계산을 거쳐 이 값이 되었는지”가 생략되기 때문입니다. 따라서 추적성 매트릭스에는 성적서의 섹션/표/페이지 번호뿐 아니라, 가능하면 원자료 파일 식별자(로그 파일명, 측정 데이터 파일, 사진 번호, 파형 캡처 ID)까지 연결하는 칸을 두는 것이 좋습니다. 이때 핵심은 ‘링크의 안정성’입니다. 파일 경로처럼 변경 가능한 값보다, 파일명 규칙과 고유 ID(예: RAW-YYYYMMDD-###)를 사용하고, 성적서 부록에 원자료 목록을 두면 감사 대응력이 크게 올라갑니다.
시험원은 또한 편차(Deviation)와 재시험을 추적성에 반영해야 합니다. 시험 중 셋업 변경, 환경 이탈, 장비 오류, 시료 교체가 있었다면, 매트릭스의 해당 요구사항 행에 편차 번호를 링크하고, 최종 판정에 사용된 데이터가 무엇인지 명확히 표시합니다. “재시험 후 합격”이라는 문장만으로는 불충분하며, 최초 시험 데이터와 재시험 데이터의 관계(대체, 보완, 병합)와 채택 근거(영향 평가 결과)를 남겨야 합니다. 이 과정을 매트릭스에서 표준화하면, 성적서 본문은 간결하게 유지하면서도 추적성으로 방어력을 확보할 수 있습니다. 또한 소프트웨어가 포함된 제품에서는 성적서가 “특정 빌드”에 대한 결과임을 분명히 해야 합니다. 매트릭스에 SW/FW 버전 칸을 두고, 요구사항 행별로 버전 의존성이 있는지(특정 기능/알람 로직/통신 기능) 표기하면, 버전 변경 시 재시험 영향 범위를 빠르게 산정할 수 있습니다.
변경관리는 추적성 매트릭스의 생명줄입니다. 제품 변경(HW/SW/부품/라벨), 규격 판 변경, 시험방법 변경이 발생하면, 기존 매트릭스가 자동으로 무효가 되는 것이 아니라 “영향 받은 요구사항 행”만 갱신되어야 효율적입니다. 이를 위해 매트릭스에는 최소한 (1) 변경요청/변경관리 번호, (2) 영향 범주(조건 변경/기준 변경/데이터 변경), (3) 재시험 필요 여부와 근거, (4) 갱신된 성적서 버전 링크가 포함되어야 합니다. 특히 심사 단계에서 자주 받는 질문은 “이 변경이 안전과 성능에 미치는 영향은 무엇이며, 어떤 시험으로 확인했는가”입니다. 추적성 매트릭스가 이 질문에 곧바로 답하도록 설계되어 있으면, 성적서의 신뢰도는 문서 한 장이 아니라 전체 체계로 보증됩니다.
정리하면, 요구사항–규격–시험–성적서 추적성 매트릭스는 표를 채우는 작업이 아니라, 시험의 논리와 증거를 연결하는 설계입니다. 요구사항을 검증 가능한 문장과 ID로 고정하고, 규격 조항을 주장 단위로 매핑하며, 성적서·원자료·편차·변경관리까지 한 줄로 잇는다면, 시험기관의 결과물은 재현 가능성과 방어력을 동시에 갖추게 됩니다.