위해상황(Hazardous Situation)은 “위험원(Hazard)이 사람·재산·환경에 실제 위해(Harm)를 일으킬 수 있는 노출 상태”를 의미합니다. 위험관리가 어려워지는 이유는 위험원 자체가 아니라, 위해상황 시나리오가 누락되거나 지나치게 추상적으로 작성되어 통제 설계와 검증 근거가 연결되지 않기 때문입니다. 특히 의료기기에서는 사용자(전문가/비전문가), 사용 환경(병원/가정/이송), 워크플로(설치-세팅-사용-세척-보관), 그리고 합리적으로 예견 가능한 오사용(Foreseeable misuse)이 결합되면서, 동일한 위험원도 전혀 다른 위해상황을 만들 수 있습니다. 따라서 위해상황 도출의 핵심은 “기술 목록”이 아니라 “상황 시나리오 생성 프레임”을 갖추고, 누락을 체계적으로 제거하는 것입니다.
이 글에서는 현장에서 재현 가능한 방식으로 위해상황을 빠짐없이 도출하기 위해 ① 시스템 경계와 사용 맥락을 먼저 고정하고, ② 단계별 워크플로와 에너지·정보 흐름을 결합해 시나리오를 생성하며, ③ 오사용을 별도 축으로 확장하고, ④ 최종적으로 검토 체크리스트로 누락을 제거하는 실무 프레임을 제시합니다. 그대로 적용하면 위해상황이 “한 줄 요약”이 아니라, 통제 옵션과 검증 계획으로 자연스럽게 연결되는 구조로 정리됩니다.
시스템 경계와 사용 맥락 고정
위해상황을 잘 도출하려면 첫 단계에서 시스템의 경계(System boundary)를 명확히 해야 합니다. 여기서 경계란 제품 본체만을 의미하지 않습니다. 액세서리, 소모품, 연결 장치(튜브/커넥터/전극/센서), 외부 전원, 소프트웨어(앱/서버/업데이트), 포장·라벨·IFU, 그리고 사용자 인터페이스(UI)까지 “의도된 사용을 실현하는 전체 구성”이 경계에 포함됩니다. 경계를 좁게 잡으면 위험원이 “제품 내부 고장”에만 갇히고, 실제 현장에서 빈번한 위해상황(연결 오류, 설치 오류, 소모품 호환 문제, 업데이트 실패)이 누락됩니다. 반대로 경계를 넓게 잡되, 책임 범위(제조사 통제 가능/불가능)를 구분해두면 통제 옵션과 검증 수준을 현실적으로 설정할 수 있습니다.
다음은 사용 맥락(Context of use) 고정입니다. 위해상황은 사용 맥락이 바뀌는 순간 새로 생깁니다. 따라서 최소한 사용자군(전문가/비전문가/보조 인력), 사용 장소(병원/가정/이송), 환자군(취약군 포함), 사용 빈도 및 시간, 동시 작업(다른 장비와 함께 사용), 그리고 유지관리/세척/멸균/재처리 조건을 명시해야 합니다. 특히 “설치-준비-사용-종료-분해-세척-보관-운송”까지 제품 생애주기 관점으로 맥락을 잡아야 합니다. 많은 위해상황은 사용 중이 아니라 준비·정리·세척 과정에서 발생하며, 이 구간이 빠지면 위해상황 누락이 구조적으로 발생합니다.
마지막으로 ‘정상 사용’과 ‘예견 가능한 오사용’의 경계를 미리 정의하세요. 오사용을 “사용자가 잘못한다”로 단순화하면 거의 항상 누락이 생깁니다. 오사용은 사용자 능력의 문제가 아니라, UI·워크플로·환경 제약이 만드는 시스템적 결과일 때가 많습니다. 따라서 오사용을 도출하기 전, “사용자에게 기대하는 행동”과 “현장에서 그 기대가 실패하는 조건”을 문서로 정리해두면 이후 단계가 매우 수월해집니다.
워크플로 × 에너지·정보 흐름 결합 시나리오 생성
위해상황 도출에서 가장 재현성이 좋은 프레임은 ‘워크플로 기반 분해’와 ‘에너지·정보 흐름 기반 분해’를 결합하는 방식입니다. 먼저 워크플로를 단계별로 쪼갭니다. 예시로는 설치/조립, 전원·연결, 초기 설정/캘리브레이션, 사용 중 조작, 알람 대응, 소모품 교체, 종료·분해, 세척/멸균/재처리, 점검/정비, 보관/운송, 소프트웨어 업데이트/로그 관리가 됩니다. 각 단계별로 “사용자 행동(행위)”, “장비 상태(상태전이)”, “환경 조건(제약)”을 표 형식으로 정리하면 시나리오를 생성할 뼈대가 만들어집니다.
그 다음 각 단계에 에너지·정보 흐름(energy/information flow)을 매핑합니다. 의료기기 위해상황은 대체로 에너지(전기, 열, 압력, 방사선, 기계적 힘, 화학물질, 생물학적 오염) 또는 정보(표시, 알람, 데이터 처리, 통신, 소프트웨어 판단, 센서 입력)의 이상에서 시작됩니다. 예를 들어 전기 에너지면 과전류/누설/접지, 열이면 과열/화상, 압력이면 과압/누출, 기계면 끼임/절단, 생물학이면 교차오염/감염으로 이어집니다. 정보 흐름이면 표시 오류, 알람 누락, 센서 드리프트, 데이터 지연, 통신 끊김, 업데이트 실패가 전형적인 출발점입니다. 이 흐름을 단계별로 붙이면 “위험원 → 위해상황”의 전환이 자연스럽게 생성됩니다.
시나리오 문장 템플릿을 고정하면 품질이 급격히 올라갑니다. 권장 템플릿은 다음과 같습니다. “(사용 단계)에서 (환경/사용 조건) 하에, (초기 사건: 고장/오류/오사용)이 발생하여 (위해상황: 노출 상태)이 형성되고, (즉시 통제 실패 조건) 때문에 사용자가 (잘못된 조치/미조치)를 하거나 장비가 (안전상태로 전이하지 못해), 결과적으로 (위해)로 이어질 수 있다.” 이 구조로 쓰면 위해상황이 추상적 문장이 아니라, 통제 옵션(탐지/차단/안전상태 전이/사용성 개선)과 검증 항목(시험/사용성/PMS)으로 연결됩니다. 또한 시나리오마다 “노출 대상(환자/사용자/제3자)”과 “노출 경로(직접 접촉/간접/교차오염/정보 오류)”를 명시하면 누락이 줄어듭니다.
예견 가능한 오사용 확장 프레임
오사용 도출은 별도 축으로 운영해야 합니다. 정상 사용 워크플로만으로는 오사용이 자동 생성되지 않기 때문입니다. 실무에서 효과적인 오사용 프레임은 ‘사용자 의도’와 ‘시스템 유도’ 관점으로 나누는 것입니다. 첫째, 목적은 맞지만 방법이 틀리는 오사용입니다. 예를 들어 시간을 줄이기 위해 절차를 생략하거나, 경고를 무시하거나, 소모품을 재사용하는 행동이 여기에 해당합니다. 둘째, UI/환경이 사용자를 잘못된 행동으로 유도하는 오사용입니다. 예를 들어 유사한 커넥터로 인한 오결합, 버튼/표시의 혼동, 알람 과다로 인한 알람 피로, 조작 순서가 직관과 다른 설계 등이 원인이 됩니다. 오사용을 개인 탓으로 두지 말고, “왜 그 행동이 현장에서 합리적으로 발생하는가”를 먼저 설명한 뒤 시나리오를 생성해야 통제 설계가 정당화됩니다.
오사용을 빠짐없이 확장하기 위한 질문 세트도 함께 운영하면 좋습니다. 예를 들어 “사용자는 언제 절차를 생략하려 하는가”, “시간 압박/야간 근무/인력 부족 상황에서 어떤 단축 행동이 생기는가”, “장갑·보호구 착용 상태에서 조작/입력이 어려운가”, “다른 장비와 함께 쓸 때 케이블·튜브가 혼선되는가”, “표시/알람이 과도해 무시되는가”, “청소/멸균 장비가 표준과 달라 재처리 조건이 변하는가”, “소모품 비용 때문에 재사용 유인이 있는가” 같은 질문입니다. 이런 질문은 단순 브레인스토밍이 아니라, 위해상황 누락을 줄이는 구조적 도구가 됩니다.
오사용 시나리오도 동일한 문장 템플릿으로 기록하되, 반드시 ‘유도 요인’과 ‘합리성’을 포함합니다. 예를 들어 “응급 상황에서 시간을 단축하기 위해 사용자는 프라임 절차를 생략할 수 있으며, 이때 시스템이 절차 생략을 차단하지 못하면 공기 혼입 상태로 투여가 진행되는 위해상황이 형성된다”처럼 작성하면, 통제 옵션(절차 강제, 인터록, 단계별 확인, 사용자 가이드 UI)과 검증(사용성, 시뮬레이션, PMS 지표)이 연결됩니다. 오사용은 RMP에서 트리거와도 연결해야 합니다. 불만에서 반복되는 오사용 패턴이 발견되면 위해상황 목록과 통제를 즉시 재평가하도록 트리거를 걸어두면 폐루프가 완성됩니다.
누락 제거를 위한 최종 검토 체크리스트
위해상황 도출은 “생성”만큼 “검토”가 중요합니다. 최종 검토는 네 가지 관점으로 수행하면 효과적입니다. 첫째, 생애주기 커버리지입니다. 설치/운송/세척/멸균/보관/정비/폐기 단계의 위해상황이 충분한지 점검합니다. 둘째, 에너지·정보 흐름 커버리지입니다. 전기·열·압력·기계·화학·생물학·방사선과 정보(표시/알람/통신/업데이트/데이터 무결성) 축에서 빈 영역이 없는지 확인합니다. 셋째, 사용자/환경 다양성입니다. 숙련도 차이, 야간/응급 상황, 보호구 착용, 소음/조명/공간 제약, 전원/접지/네트워크 품질 변동이 반영되었는지 봅니다. 넷째, 오사용 유도 요인입니다. 혼동 가능 UI, 유사 커넥터, 알람 피로, 절차 생략 유인, 소모품 재사용 유인, 유지관리 난이도가 반영되었는지 확인합니다.
또한 “통제가 등장하는데 위해상황이 없다” 또는 “위해상황은 있는데 통제가 없다”는 불일치를 찾아야 합니다. 예컨대 IFU에 특정 경고가 있는데 위해상황 목록에서 그 경고가 대응하는 항목이 없다면 추적성이 깨진 것입니다. 반대로 위해상황은 있는데 검증 계획이 없거나 근거가 없는 경우도 결함입니다. 마지막으로 각 위해상황은 최소한 하나의 통제 옵션과 연결되고, 그 통제는 검증(시험/사용성/밸리데이션) 근거로 연결되도록 해야 합니다. 이 연결이 확보될 때 위해상황 도출은 단순 목록이 아니라, 안전 설계와 검증 계획을 자동으로 만들어내는 시스템이 됩니다.