사용적합성(IEC 62366) 문서를 만들다 보면 “중요 과업(Critical Task)을 어떻게 뽑았는지”에서 자주 막힙니다. 더 큰 문제는, 중요 과업을 넉넉하게 많이 잡아도 심사에서는 “그래서 이 과업이 위험관리(RMF)의 위해상황과 어떻게 연결되나?”를 다시 묻는다는 점입니다. 즉, 중요 과업 선정은 사용성팀의 체크리스트가 아니라 위험관리 논리를 닫는 시작점입니다.
이번 글에서는 중요 과업을 ‘안전 관점의 기준’으로 선정하는 실무 표준을 정리하고, 선정된 과업을 위해상황과 1:1로 묶어 RMF 잔여위험 근거까지 이어지게 만드는 매핑 규칙, 그리고 문서가 흩어지지 않도록 추적성(Traceability) 구조를 고정하는 방법을 제시합니다. 목표는 단순히 “과업 목록을 만들었다”가 아니라, “과업-위해상황-통제-검증-잔여위험”이 한 줄로 설명되는 상태를 만드는 것입니다.
중요 과업의 정의와 선정 기준
중요 과업은 ‘자주 하는 과업’이 아니라 ‘실패했을 때 위해로 연결될 수 있는 과업’입니다. 따라서 선정 기준의 출발점은 업무 빈도나 사용자 선호가 아니라 위해상황(Hazardous Situation)입니다. 실무에서는 먼저 제품의 사용 흐름(설치·준비·사용·알람 대응·교체·종료·세척/재처리·보관)을 단계별로 쪼개고, 각 단계에서 “사용자 행위가 실패할 때 어떤 노출 상태가 형성되는가”를 문장으로 정의합니다. 이때 노출 상태가 환자·사용자·제3자 중 누구에게 어떤 경로로 발생하는지까지 명시하면, 중요 과업 후보가 자연스럽게 드러납니다. 예컨대 설정값 입력, 연결 체결, 알람 확인과 대응, 소모품 교체, 에너지 전달 시작/중지 같은 과업은 실패 시 위해상황을 즉시 만들 수 있어 기본 후보가 됩니다.
선정 기준은 보통 세 가지 축으로 고정하면 팀 간 편차가 줄어듭니다. 첫째, 위해 중증도 기반 기준입니다. 과업 실패가 중증도가 높은 위해로 이어질 가능성이 있다면, 발생 확률이 낮아 보여도 중요 과업으로 격상합니다. 둘째, 통제 의존성 기반 기준입니다. 해당 위해상황을 낮추는 핵심 통제가 “사용자의 올바른 행동”에 의존한다면 그 행동은 중요 과업이 됩니다. 예를 들어 경고·주의·라벨만으로 통제되는 위험은 사용자가 읽고 이해하고 행동으로 옮기는 순간이 통제의 ‘실행 지점’이므로, 그 실행 지점은 과업으로 잡아 검증 근거를 만들어야 합니다. 셋째, 오류 유도성 기반 기준입니다. UI가 혼동을 유발할 가능성(유사 버튼, 단위 혼동, 표시 과밀, 알람 피로, 오결합 가능 커넥터)이 높거나 사용 환경이 거칠어 오류가 반복될 수 있다면, 실제 위해 발생 사례가 없어도 중요 과업으로 포함합니다. 이 세 축을 RMP 또는 사용적합성 계획서에 “선정 규칙”으로 문장화해 두면, 누구든지 같은 기준으로 과업을 선정할 수 있습니다.
여기에 반드시 포함해야 하는 요소가 예견 가능한 오사용(foreseeable misuse)입니다. 현장에서는 지시를 알고도 시간 압박 때문에 절차를 생략하거나, 알람을 무시하거나, 편의상 임시 조치를 하는 행동이 반복될 수 있습니다. 이런 행동은 단순히 “사용자 문제”로 치부하면 위험이 문서에서 사라지지만, 실제로는 통제 설계의 대상입니다. 따라서 오사용 시나리오가 위해상황을 만들 수 있다면, 그 오사용을 유발하는 조건(야간 근무, 인력 부족, 장갑 착용, 동시 작업, 소모품 비용 압박)을 함께 기록하고, 그 조건 하에서 발생하는 행동을 중요 과업으로 편입하는 것이 안전합니다. 결과적으로 중요 과업 선정은 “업무 분석”이 아니라 “위해상황을 막기 위한 통제 지점 선정”이라는 관점으로 수행되어야 합니다.
위해상황과 1:1 매핑 절차
중요 과업을 위해상황과 1:1로 묶는다는 것은 “과업 하나당 위해상황 하나를 책임지게 만든다”는 뜻입니다. 이 구조의 장점은 단순합니다. 총괄 사용적합성 결과가 나왔을 때, ‘어떤 위험통제가 실제로 작동했는지’를 위해상황 단위로 바로 증명할 수 있습니다. 반대로 1:1 매핑이 무너지면, 사용성 보고서는 성공률만 남고 RMF에서는 “그래서 위험이 얼마나 줄었나”를 설명하기 어려워집니다. 따라서 매핑은 표를 채우기 전에, 분해 규칙부터 고정해야 합니다.
실무 절차는 세 단계로 잡는 것이 안정적입니다. 첫째, 위해상황을 행동이 아닌 노출 상태로 표준화합니다. 예를 들어 “설정값을 잘못 입력”은 과업 실패의 형태일 뿐 위해상황이 아닙니다. 위해상황은 “잘못된 설정으로 인해 환자가 과다/과소 에너지·자극에 노출되는 상태”처럼 노출 상태로 써야 합니다. 둘째, 각 위해상황에 대해 ‘마지막 방어선’을 찾습니다. 마지막 방어선은 통제 우선순위(설계적 통제→보호수단/알람→정보 제공) 중 실제로 위해를 막는 핵심 지점이며, 그 지점이 바로 중요 과업이 됩니다. 예를 들어 설계가 오입력을 물리적으로 막는다면 그 설계 확인이 과업이 되고, 알람이 마지막 방어선이라면 알람 인지·해석·조치가 과업이 됩니다. 셋째, 한 과업이 여러 위해상황을 동시에 커버한다면 과업 또는 위해상황을 분해합니다. 1:1을 유지하려면 “하나의 과업이 여러 노출을 막는다”는 표현을 피하고, 노출 상태를 원인별로 쪼개어 각각에 맞는 과업을 배정하는 편이 추적성과 검증이 쉬워집니다.
매핑을 문서로 남길 때는 ‘사건 연쇄’ 형태가 가장 강력합니다. (중요 과업)에서 (사용 조건) 하에 (사용오류/오사용)이 발생하면 (위해상황)이 형성되고 (위해)로 이어질 수 있다. 여기에 (통제는 무엇이며) (통제가 실패하면 어떻게 되는지)까지 한 문단으로 묶으면, RMF의 위험통제 항목과 사용적합성 평가 항목이 같은 언어로 연결됩니다. 특히 정보 제공 통제(라벨/IFU/교육)가 포함된 경우에는 “문구가 존재한다”가 아니라 “문구를 읽고 이해한 뒤 올바른 행동으로 이어지는지”를 과업으로 정의해야 합니다. 그렇지 않으면 정보 제공 통제는 RMF에서만 존재하고 사용적합성 근거로는 검증되지 않는 공백이 생깁니다.
마지막으로 매핑 결과는 ‘조건’을 동반해야 합니다. 동일 과업이라도 사용자군(전문가/비전문가), 환경(병원/가정/이송), 보호구 착용, 소음·조명, 동시 작업이 달라지면 오류 양상이 달라집니다. 따라서 1:1 매핑표에는 해당 위해상황이 어떤 사용 조건에서 의미가 있는지 범위를 명시하고, 총괄 사용적합성에서 그 조건을 어떻게 대표했는지도 함께 남겨야 합니다. 이 범위 정의가 있어야, 이후 변경관리나 PMS 신호가 들어왔을 때 “범위 밖 조건이 새로 생겼다”는 이유로 재평가 트리거를 걸 수 있습니다. 즉, 1:1 매핑은 단순 정리 기술이 아니라 업데이트 가능한 위험관리 구조를 만드는 장치입니다.
추적성 문서 패키지와 검토 체크
중요 과업과 위해상황을 1:1로 묶었다면, 이제 남은 과제는 문서가 서로 다른 파일에서 흩어지지 않도록 ‘추적성 패키지’를 고정하는 것입니다. 실무에서 가장 흔한 실패는 사용적합성 파일에 CT 목록이 있고 RMF에는 HS 목록이 있는데, 둘 사이를 연결하는 키가 없어서 사람의 기억으로만 링크가 유지되는 경우입니다. 이 상태에서는 심사에서 “이 과업은 어떤 위험을 커버하나”를 물을 때마다 문서를 뒤집어야 하고, 버전이 바뀌면 연결이 끊어집니다. 해결책은 간단합니다. 최소 식별자(ID)를 도입해 단일 매트릭스로 관리하는 것입니다.
권장 ID는 CT(중요 과업), HS(위해상황), RC(위험통제), VAL/VER(검증 근거), IFU(문구/섹션), MON(PMS 모니터링) 정도면 충분합니다. 핵심은 CT와 HS를 1:1로 연결하고, 그 행(row)에 RC와 검증 근거를 붙여 잔여위험 평가까지 닫는 것입니다. 매트릭스의 필수 열은 다음 논리를 담아야 합니다. CT 설명(사용자 행동과 성공 기준), HS 노출 상태 문장, 관련 사용오류/오사용 조건, 위험통제 유형(설계/보호/정보), 검증 근거(형성/총괄/시험 문서번호), 잔여위험 변화 논리(노출 감소 또는 탐지·차단 강화), IFU/교육 반영 위치, PMS 모니터링 지표와 트리거입니다. 이 구조로 정리하면 “총괄 사용적합성 결과”는 곧바로 “RC 효과 검증 근거”로 전환되고, RMF에서는 그 근거를 잔여위험 수용 판단에 직접 인용할 수 있습니다.
검토 체크는 세 가지 관점으로 수행하면 누락이 줄어듭니다. 첫째, 커버리지 체크입니다. RMF에 정의된 안전 관련 위해상황 중 사용 행위가 개입하는 항목은 모두 CT로 연결되어 있는지 확인합니다. 반대로 CT가 있는데 HS가 없다면, 과업이 ‘안전과 무관한 편의 과업’이거나 HS 정의가 누락된 것입니다. 둘째, 통제 우선순위 체크입니다. CT가 정보 제공 통제에만 의존하고 있다면, 설계적 통제나 보호수단으로 전환할 여지가 없는지 반드시 재검토합니다. 셋째, 근거 강도 체크입니다. “오류가 관찰되지 않았다”는 결론만으로 잔여위험을 수용하려고 하지 않았는지, 샘플·조건의 한계가 있는지, 오사용 유도 요인이 남아 있는지 점검합니다. 필요하다면 PMS에서 해당 가정을 검증할 지표(MON)와 경보 기준을 걸어 폐루프를 완성해야 합니다.
마지막으로 변경관리와의 연결이 필수입니다. UI 변경, 알람 로직 변경, 사용자군 확대, 사용 환경 확대, IFU 문구 수정은 CT-HS 매핑을 직접 흔드는 트리거입니다. 따라서 변경요청서(ECR/ECN)에 “CT/HS/RC/VAL/IFU 영향 평가”를 의무 항목으로 두고, 영향이 있으면 매트릭스 업데이트와 재평가가 자동으로 발생하도록 운영해야 합니다. 이렇게 하면 중요 과업 선정은 일회성 산출물이 아니라, 제품 전 생애주기에서 잔여위험 근거를 유지하는 관리 체계가 됩니다.