의료기기 시험원이 문서를 검토할 때 위험관리(Risk Management)는 “형식만 갖춘 문서”와 “설계·시험·시판 후 활동까지 실제로 연결된 문서”를 가르는 핵심 기준이 됩니다. 특히 ISO 14971 기반의 위험관리 체계는 단순한 체크리스트가 아니라, 제품의 의도된 사용과 오남용까지 포함해 위험을 식별·평가·통제하고, 그 결과를 설계 산출물과 시험 근거로 추적 가능하게 남기는 과정입니다. 이번 글에서는 시험원이 반드시 확인해야 할 위험관리 문서의 핵심 포인트를 계획(Plan)–평가(Evaluation)–추적(Traceability) 흐름으로 정리합니다.
1. 위험관리 계획서와 범위 설정 검토
시험원이 가장 먼저 확인해야 하는 것은 “위험관리 파일이 어떤 범위와 규칙으로 운영되는가”입니다. 위험관리 계획서에는 적용 표준(예: ISO 14971), 조직의 역할과 책임, 검토·승인 체계, 위험수용 기준, 산출물 목록, 변경관리와 연계 방식이 명확히 정의되어야 합니다. 여기서 자주 발생하는 취약점은 계획서가 템플릿 수준에 머물러 제품 특성이 반영되지 않는 경우입니다. 예를 들어 제품의 의도된 사용, 사용자(의료진/환자/비전문가), 사용 환경(병원/가정), 재처리 여부, 소모품·액세서리 구성, 소프트웨어/무선통신/사이버보안 요소가 범위에 포함되는지부터 확인해야 합니다.
또한 “안전과 관련된 특성”이 계획 단계에서 선언되어야 이후 평가가 일관성을 갖습니다. 전기적 안전, 기계적 안전, 생체적합성, 멸균·포장 무결성, 사용적합성(휴먼팩터), 소프트웨어 안전, 경보/표시, 전원 장애 시 안전상태 등 제품군에 따라 핵심 특성이 달라집니다. 시험원 관점에서는 이 선언이 시험 항목과 어떻게 연결되는지(예: 절연/누설전류 시험, 강도 시험, 사용성 평가, 소프트웨어 검증, 멸균 밸리데이션 등)를 미리 가늠할 수 있어야 합니다.
위험수용 기준도 “정량/정성 기준이 실제로 적용 가능한지”가 중요합니다. 확률과 심각도를 어떤 척도로 정의했는지, 중대 위해(serious injury) 기준이 규제 정의와 부합하는지, 잔여위험에 대한 수용 기준이 별도로 있는지, 위험/이익 판단이 필요한 상황의 트리거가 정의되어 있는지 확인하십시오. 특히 확률을 “드물다/자주”로만 두고 근거가 없는 경우가 많습니다. 시험원은 최소한 확률 추정의 근거 유형(현장 데이터, 유사제품 데이터, 시험 결과, 공학적 추정, 문헌 등)과 사용 조건별 가정이 문서화되어 있는지 확인해야 합니다.
마지막으로 변경관리 연계는 실무에서 매우 중요합니다. 설계 변경, 부품 변경, 소프트웨어 업데이트, 제조공정 변경, 라벨·IFU 변경이 위험관리 파일에 어떤 절차로 반영되는지(변경 영향평가, 재평가 범위, 재검증 필요성)가 계획서에 포함되어야 합니다. “위험관리 문서는 작성 후 보관”이 아니라 “제품 수명주기 동안 유지”라는 점을 계획서 단계에서부터 확인하는 것이 시험원의 첫 번째 관문입니다.
2. 위험분석과 위험평가의 근거 확인
위험분석 문서에서 시험원이 보는 핵심은 ‘위험을 얼마나 많이 나열했는가’가 아니라 ‘위험이 누락되지 않도록 체계적으로 식별했는가’입니다. 위해요인(Hazard) 식별은 에너지 기반(전기, 열, 기계, 방사선 등) 접근, 기능/상태 기반 접근, 공정 기반 접근, 사용 시나리오 기반 접근 등을 조합해 수행되어야 합니다. 여기에 합리적으로 예견 가능한 오사용(Reasonably foreseeable misuse)과 사용 오류(use error)가 포함되는지 반드시 확인해야 합니다. 사용적합성 이슈가 별도 보고서에만 있고 위험관리 파일과 단절되어 있으면, 통제 수단(인터페이스 개선, 경고, 교육)과 검증 근거가 연결되지 않아 평가의 완결성이 떨어집니다.
위험평가(심각도·확률) 단계에서는 ‘평가값’보다 ‘평가 근거’가 중요합니다. 심각도 정의가 임상적 결과와 연결되는지, 확률 추정이 특정 가정에 기대고 있다면 그 가정이 제품 사양·사용 환경과 일치하는지 점검해야 합니다. 예를 들어 배터리 잔량 표시 오류가 “경미”로 분류되었는데 실제로는 치료 중단이나 오작동으로 이어질 수 있다면 분류가 과소평가된 것입니다. 또한 소프트웨어 기능 오류, 데이터 무결성 문제, 통신 장애, 사이버보안 취약점이 위해 시나리오에 포함되는지 확인하는 것도 최근 시험·인허가 환경에서 점점 중요해지고 있습니다.
시나리오의 논리 구조도 확인 포인트입니다. 일반적으로 “위해요인 → 위험상황(Exposure) → 유해사건(Harm)”의 인과 경로가 명확해야 하며, 중간 단계(보호장치 실패, 사용자 행동, 환경 조건)가 생략되지 않아야 합니다. FMEA, FTA, HAZOP 등 어떤 기법을 사용했는지보다, 그 결과가 제품 구조(모듈/부품), 기능(알고리즘/제어), 사용자 흐름(설정–사용–종료), 유지보수/세척/재처리 흐름을 충분히 커버하는지가 핵심입니다. 시험원은 위험분석 결과가 설계 문서(요구사항, 아키텍처, 회로/기구 도면, SW 요구사항)와 상호 검증되는지, 그리고 시험계획서의 근거로 반영되었는지까지 확인해야 합니다.
또 하나의 실무 포인트는 “기존 통제수단을 전제로 한 평가”의 함정입니다. 위험평가가 이미 통제수단(알람, 인터록, 보호회로, 소프트웨어 제한)을 포함한 상태로 계산되어 있으면, 통제 전·후의 위험 변화가 불명확해집니다. 시험원은 기본적으로 통제 전(또는 현재 설계 반영 전) 위험과 통제 후 잔여위험이 구분되어 문서화되었는지 확인하는 것이 좋습니다. 그래야 통제수단의 효과를 검증할 시험 항목이 자연스럽게 도출되고, 시험 성적서와 위험관리 파일의 논리적 연결이 강화됩니다.
3. 위험통제·잔여위험·추적성 및 시판 후 연계
위험통제 단계는 위험관리 문서가 “진짜로 설계와 시험을 움직였는지”를 가장 선명하게 보여줍니다. 통제수단은 일반적으로 (1) 설계에 의한 안전(본질안전 설계), (2) 보호조치(가드, 알람, 인터록), (3) 안전정보(라벨, IFU, 교육) 순으로 우선순위를 가져야 하며, 문서에서 이 우선순위가 실제로 지켜졌는지 확인해야 합니다. 예를 들어 사용설명서 경고로만 위험을 통제하려는 경향이 있다면, 설계적 개선 가능성 검토가 누락된 것일 수 있습니다. 시험원은 통제수단 선택의 합리성, 대안 검토 여부, 통제수단이 설계 산출물로 구현되었는지(요구사항 반영, 도면/코드 반영, 공정 통제 반영)를 확인해야 합니다.
통제수단의 “구현 확인”과 “효과 검증”이 분리되어 있는지도 중요합니다. 구현 확인은 설계 검토, 코드 리뷰, 공정 점검처럼 ‘있다/없다’를 확인하는 성격이 강하고, 효과 검증은 시험 또는 검증 활동으로 ‘위험이 실제로 줄었는지’를 보여줘야 합니다. 예컨대 과전류 보호회로를 넣었다면 회로 존재만 확인하는 것이 아니라, 조건을 부여했을 때 안전 상태로 진입하는지 시험 근거가 있어야 합니다. 알람을 설계했다면 알람 발생 조건·지연·가시성·인지 가능성이 검증되어야 하고, 라벨 경고로 통제한다면 경고의 명확성, 사용자가 이를 따를 수 있는지(사용적합성 관점)까지 근거가 필요합니다.
잔여위험 평가에서는 “개별 잔여위험”과 “전체 잔여위험(Overall residual risk)”을 구분해 다루는지 확인하십시오. 개별 잔여위험이 수용 가능하더라도, 여러 위험이 누적될 때 전체 위험이 수용 가능한지 판단이 필요할 수 있습니다. 또한 잔여위험이 수용 불가하거나 경계선에 있다면 위험/이익 분석의 근거가 제시되어야 하며, 이때의 ‘이익’은 막연한 기대가 아니라 의도된 의료적 효용과 임상적 근거, 대체 치료 대비 개선점 등으로 설명되어야 합니다. 시험원은 위험/이익 분석이 단락 몇 줄로 끝나지 않고, 어떤 근거(임상 문헌, 성능 데이터, 사용자 요구, PMS 데이터)를 기반으로 했는지 확인하는 것이 바람직합니다.
추적성(Traceability)은 시험원 검토의 실전 무기입니다. 위해요인–위험상황–유해사건–위험통제수단–검증/확인 활동–관련 문서 번호가 하나의 매트릭스로 연결되어야 하며, 여기서 끊기는 지점이 곧 시험 누락·문서 누락의 후보가 됩니다. 예를 들어 “위험통제: 소프트웨어 제한”이 있는데 소프트웨어 검증 보고서로 연결되지 않거나, “위험통제: 공정 검사”가 있는데 공정 밸리데이션/검사기준서가 연결되지 않는다면 추적성이 불완전한 것입니다. 또한 생산 및 시판 후 정보(PMS, 불만, CAPA, 리콜, 문헌 모니터링)가 위험관리 파일로 피드백되는 절차와 실제 반영 사례가 있는지 확인해야 합니다. 위험관리 보고서(Risk Management Report)가 최종 산출물로서 계획 준수 여부, 잔여위험 수용성 결론, 미해결 이슈, 유지관리 계획을 명확히 선언한다면, 시험원 입장에서는 해당 제품의 안전 논리 체계가 “닫혀 있는지(closure)”를 판단할 수 있습니다.