FMEA는 고장 모드를 체계적으로 정리하는 데 매우 유용하지만, 그 결과를 그대로 위험관리(ISO 14971)의 “위해 발생 확률”로 가져오면 논리적 공백이 생기기 쉽습니다. FMEA의 발생도(Occurrence)는 대체로 “고장 모드가 얼마나 자주 일어나는가”에 초점이 있고, ISO 14971에서 말하는 위해 발생 확률은 “고장이 실제 위해상황을 만들고, 그 위해상황이 위해로 이어지는가”까지 포함하는 조건부 확률의 개념이기 때문입니다. 따라서 두 체계를 연결하려면 ‘단일 점수 변환’이 아니라, 사건 연쇄(event chain)를 분해해 매핑 규칙을 세우고, 근거와 가정을 문서로 남길 수 있는 템플릿이 필요합니다.
이 글에서는 (1) 발생도와 위해확률의 개념을 같은 축에서 정렬하고, (2) 매핑 규칙을 만들 때 바로 사용할 수 있는 템플릿(식·절차·기록 항목)을 제시하며, (3) 검토 단계에서 빠뜨리기 쉬운 포인트를 체크리스트 형태로 정리합니다. 실무에서 중요한 것은 “정확한 숫자”보다 “일관된 규칙과 추적 가능한 근거”이므로, 아래 템플릿은 조직의 RMP 정의(등급, 수용 기준, 데이터 우선순위)에 맞춰 그대로 맞춤 적용하는 것을 전제로 합니다.
발생도와 위해확률 개념 정렬
FMEA 발생도(O)는 일반적으로 “고장 모드(Failure mode) 빈도”를 의미합니다. 예를 들어 센서 드리프트, 버튼 접점 불량, 소프트웨어 타이밍 오류 같은 고장 모드가 제품 수명이나 사용 횟수 대비 얼마나 자주 발생하는지의 추정치가 발생도의 핵심입니다. 반면 ISO 14971에서 다루는 확률은 ‘위험(Risk)=중증도×발생 확률’ 구조 안에서, “위해(Harm)가 실제로 발생할 확률” 또는 “위해상황(Hazardous situation)에 노출될 확률”처럼, 고장 이후의 경로를 포함합니다. 즉 고장 빈도만으로 위해 확률을 대체하면, 보호수단(인터록, 알람, 안전상태 전이)이나 사용자 개입, 노출 빈도, 탐지 가능성 같은 요인이 빠져 과대/과소평가가 발생합니다.
정렬의 핵심은 사건 연쇄를 명시적으로 분해하는 것입니다. 실무적으로는 다음 구조가 가장 설명력이 좋습니다. 1) 고장 발생 확률: P(고장모드) 또는 λ(고장률). 2) 고장으로 인해 위해상황에 도달할 확률: P(위해상황|고장). 여기에는 탐지/차단, 보호장치 개입, 안전상태 전이, 사용 환경 제약이 포함됩니다. 3) 위해상황이 위해로 발전할 확률: P(위해|위해상황). 여기에는 노출 지속시간, 사용자의 대응, 인체 반응, 치료 가능성, 오사용 가능성 등이 포함될 수 있습니다. 이 구조로 정렬하면 “FMEA 발생도는 1) 고장 발생 확률에 가장 가까운 입력”이라는 점이 명확해지고, 위해 확률은 1)×2)×3)의 결합으로 산정하거나 등급화할 수 있습니다.
또 하나의 실무 포인트는 ‘시간/사용 단위’를 맞추는 것입니다. FMEA는 부품 수명(시간), 사이클(회), 또는 공정 배치 단위로 발생도를 잡는 경우가 많고, 위험관리는 사용자 1회 사용, 환자 1회 처치, 또는 특정 임상 시나리오 단위를 선호하는 경우가 많습니다. 따라서 매핑 규칙에는 “발생도는 어떤 분모(시간/회/배치) 기준인가”를 먼저 고정하고, 위해 확률의 분모와 변환 규칙(예: 사용 1회당, 연간 노출 횟수 반영)을 문서로 명시해야 합니다. 이 단위 정렬이 안 되면 숫자는 그럴듯해도 검토 단계에서 논리가 붕괴합니다.
매핑 규칙 템플릿
아래 템플릿은 ‘발생도 점수 O를 위해 확률 등급 P로 단순 치환’하지 않고, 사건 연쇄를 분해해 등급을 도출하는 방식입니다. 기본 식은 P(위해)=P(고장)×P(위해상황|고장)×P(위해|위해상황)이며, 데이터가 충분하지 않을 때는 동일 구조를 유지한 채 각 항을 등급화해 결론을 내립니다. 템플릿을 작성할 때는 각 항에 대해 “근거 유형”과 “가정/제약”을 필수로 기록하도록 설계하는 것이 핵심입니다.
1) 입력 정의
- 고장모드 ID / 기능 요구사항 ID / 위험(또는 위해상황) ID를 연결합니다.
- 발생도 O 등급 정의는 RMP의 표준을 그대로 사용합니다(예: O1~O5). 필요 시 O 등급을 고장률(λ) 또는 1회 사용당 고장확률로 환산하는 변환식을 함께 둡니다.
- 위해 확률 P 등급 정의도 RMP 표준을 그대로 사용합니다(예: P1~P5). 여기서 P는 “위해상황 확률”인지 “위해 발생 확률”인지 범위를 명확히 적습니다.
2) 사건 연쇄 분해 기록란(필수)
- P(고장): FMEA 발생도에서 가져오되, 분모(시간/회/배치)와 환산 근거를 함께 적습니다. 근거 유형(PMS/시험/문헌/모델/전문가 판단)을 표기합니다.
- P(위해상황|고장): 고장이 나도 위해상황으로 이어지지 않게 만드는 요인을 반영합니다. 예: 자기진단으로 오류를 탐지해 안전 모드로 전이, 인터록으로 작동 차단, 알람으로 사용자 개입 유도, 보호퓨즈로 에너지 차단 등. 각 통제의 “실제 개입 확률”을 주장하려면 검증/시험 근거가 있어야 하며, 없다면 보수적으로 상향 추정하고 후속 검증 계획을 연결합니다.
- P(위해|위해상황): 위해상황에서 위해로 발전하는 경로를 반영합니다. 예: 노출 지속시간, 사용자의 대응 시간, 오사용 가능성, 환자 상태(취약군) 등을 고려합니다. 사용성 의존 통제(경고/주의 중심)라면, 총괄 사용적합성 또는 현장 데이터로 효과를 검증할 계획을 함께 적습니다.
3) 등급 도출 규칙(조직 맞춤 적용)
- 데이터 기반 산정이 가능하면 식으로 계산하고, 불가능하면 각 항을 등급화해 결합 규칙을 적용합니다(예: 가장 보수적인 항을 상향 반영, 또는 사전 정의된 룰 테이블 사용).
- 예시 룰(템플릿 형태): “P(고장)이 낮아도 P(위해상황|고장)이 거의 1에 가깝고, P(위해|위해상황)이 유의미하면 위해 확률 등급을 최소 1단계 상향한다.” 또는 “통제가 탐지·차단을 보장한다고 주장하려면 검증 근거가 있어야 하며, 근거가 없으면 P(위해상황|고장)을 보수적으로 설정한다.”
- 결과로 도출된 P 등급은 ‘해당 위해상황/해당 위해’에 대해 일관되게 적용되도록 범위를 명시합니다.
4) 출력 및 추적성
- 최종 산출물은 “FMEA 항목 ↔ 위험관리 항목(위해상황/위해) ↔ 통제(요구사항/설계/시험) ↔ 잔여위험 평가”로 연결됩니다.
- 매핑 결과는 위험관리 파일의 확률 근거로 사용되며, 변경 트리거(설계/공정/소프트웨어/공급자 변경, 불만 신호) 발생 시 재평가 대상임을 명시합니다.
검토 포인트와 기록 체크리스트
매핑 규칙을 만들었다고 해서 품질이 보장되지는 않습니다. 검토 단계에서 논리의 구멍은 대개 “낙관적 가정”, “중복 계산”, “통제 효과 과장”, “단위 불일치”에서 발생합니다. 아래 체크리스트는 검토자가 빠르게 결함을 찾고, 수정 조치를 명확히 남길 수 있도록 구성한 포인트입니다.
1) 단위·분모 일치: 발생도 O가 시간 기준인지 사용 1회 기준인지, 위해 확률 P의 기준 단위가 무엇인지 확인합니다. 환산을 했다면 사용 패턴(연간 사용 횟수, 노출 빈도) 가정이 문서로 남아 있는지 확인합니다.
2) 개념 혼동 방지: FMEA 발생도(고장 빈도)를 위해 확률로 직접 치환하지 않았는지 확인합니다. 반드시 P(위해상황|고장), P(위해|위해상황) 요소가 반영되었는지 봅니다.
3) 통제 효과의 근거: 탐지·차단·안전상태 전이 같은 통제를 반영해 확률을 낮췄다면, 그 통제가 실제로 작동함을 보여주는 검증 근거(시험성적서, SW 검증, 공정 밸리데이션, 사용성 결과)가 연결되어 있는지 확인합니다. 근거가 없으면 보수적으로 조정하거나 후속 검증 계획을 필수로 둡니다.
4) 정보 제공 통제의 취급: 경고/주의/IFU만으로 확률을 낮췄다면, 사용성 의존 통제로 분류하고 과대평가 가능성을 점검합니다. 가능하면 사용적합성 또는 PMS 지표로 효과 검증 계획이 있어야 합니다.
5) 중복·누락 점검: 동일 고장모드가 여러 위해상황으로 분기되는 경우, 확률이 중복 집계되지 않았는지 확인합니다. 반대로 사용 시나리오(예견 가능한 오사용)에서 위해상황이 누락되지 않았는지도 점검합니다.
6) 보수성 원칙: 데이터가 부족한 영역에서 낙관적 추정이 들어갔는지 확인합니다. 신규 기술, 중증도 상위 위해, 취약군 사용자군이라면 보수성을 상향하고, 그 이유와 종료 조건(추가 시험/데이터 확보)을 기록합니다.
7) 업데이트 연결: 매핑 규칙이 변경관리(ECR/ECN)와 연결되어 있는지, 불만/PMS 신호가 발생하면 어떤 항을 재평가할지 트리거가 명시되어 있는지 확인합니다.
8) 기록 품질: 각 확률 항의 근거 유형, 판단자, 전제 조건, 적용 범위, 불확실성, 후속 계획이 남아 있는지 확인합니다. “경험상 낮음” 같은 문장은 허용하지 않는다는 원칙을 두는 것이 좋습니다.
정리하면, FMEA 발생도와 위해 발생 확률을 연결하는 가장 안전한 방법은 “발생도를 위해확률로 바꾸는 변환표”를 만드는 것이 아니라, 사건 연쇄를 분해하고 통제·노출·사용성 요인을 조건부 확률로 반영하는 규칙을 세우는 것입니다. 이때 템플릿의 목적은 계산이 아니라 ‘검토 가능한 근거와 일관된 판단’을 확보하는 데 있습니다.