의료기기는 고장난 상태에서도 사람을 다치게 해서는 안 된다.
모든 부품은 언젠가 고장난다. 절연은 열화되고, 접지선은 끊어지고, 부품은 타버린다. 문제는 "고장이 일어나느냐"가 아니라, "고장이 일어났을 때 환자가 안전한가"다. IEC 60601-1은 이 질문에 대한 답을 단일 고장 상태(Single Fault Condition, SFC)라는 개념으로 정의한다.
정상 상태에서뿐 아니라, 하나의 보호 수단이 고장난 상태에서도 기기는 환자와 운용자에게 위험을 초래해서는 안 된다. 이것이 단일 고장 상태(SFC)의 본질이다. "완벽한 기기"가 아니라 "고장나도 안전한 기기"를 만드는 것이 목표다.
정상 상태 vs 단일 고장 상태
정상 상태 (NC)
기기의 모든 보호 수단이 온전하게 작동하는 상태. 누설전류, 접촉전류, 표면 온도 등이 "정상 상태 허용치" 이내여야 한다.
단일 고장 상태 (SFC)
보호 수단 중 정확히 하나가 고장난 상태. 동일한 안전 파라미터가 "단일 고장 허용치" 이내여야 한다. 정상보다 높지만 여전히 안전 범위.
왜 "단일"인가 -- 이중 고장은 고려하지 않는다
IEC 60601-1은 동시에 두 개 이상의 독립적 고장이 발생하는 경우는 고려하지 않는다. 세 가지 이유가 있다:
- 확률론적 근거 -- 독립적인 두 고장이 동시에 발생할 확률은 각각의 곱이다. 단일 고장 확률이 10-4이면 이중 고장은 10-8으로 극히 낮다.
- 설계 현실성 -- 모든 이중 고장 조합을 고려하면 설계가 비현실적으로 복잡해진다.
- 유지보수 전제 -- 단일 고장이 발생하면 다음 유지보수 때 발견하고 수리한다고 가정한다. 두 번째 고장이 생기기 전에 첫 번째가 해결된다는 전제다.
하나의 원인(root cause)이 동시에 여러 고장을 일으키는 경우는 "단일 원인 다중 고장"으로 분류한다. 예를 들어 과전압이 동시에 여러 부품을 태우는 경우가 이에 해당하며, 이는 분석 대상에 포함한다.
단일 고장 유형 -- 무엇이 고장나는가
IEC 60601-1이 명시하는 주요 단일 고장 유형은 7가지다. 각 유형을 선택하면 상세 내용을 확인할 수 있다.
시험 방법: 전원 코드의 PE 도체를 의도적으로 끊은 상태에서 누설전류와 접촉전류를 측정한다.
고장이 발생해도 안전이 유지되는 구조
IEC 60601-1의 안전 철학을 시각적으로 표현하면 다음과 같다. 정상 상태에서 단일 고장이 발생해도, 이중 보호 구조 덕분에 안전이 유지된다.
이 구조가 가능한 이유는 이중 보호(2 MOPP / 2 MOOP) 설계다. 기본 절연 + 보조 절연, 접지 + 절연 등 보호를 2겹으로 설계하면, 하나가 무너져도 다른 하나가 버틴다. 이것이 SFC 개념의 실체다.
누설전류 허용치 -- 정상 vs 단일 고장
IEC 60601-1은 주요 안전 파라미터에 대해 두 가지 허용치를 정의한다. SFC 허용치는 NC의 약 5배로, 하나의 보호가 무너져도 인체에 위험하지 않은 수준이다.
| 전류 유형 | 정상 상태 (NC) | 단일 고장 (SFC) | 배율 |
|---|---|---|---|
| 접지 누설전류 | 5 mA | 10 mA | x2 |
| 접촉전류 | 0.1 mA | 0.5 mA | x5 |
| 환자 누설전류 (B형) | 0.1 mA | 0.5 mA | x5 |
| 환자 누설전류 (BF형) | 0.1 mA | 0.5 mA | x5 |
| 환자 누설전류 (CF형) | 0.01 mA (10 uA) | 0.05 mA (50 uA) | x5 |
온도 한도
| 접촉 부위 | 정상 상태 | 단일 고장 상태 |
|---|---|---|
| 장착부 (피부 접촉) | 41 C | 43 C |
| 외함 (금속) | 48 C | 55 C |
| 외함 (비금속) | 55 C | 65 C |
SFC에서도 화상을 유발하는 온도까지는 허용하지 않는다. 다만 정상보다 약간 높은 온도는 허용한다. 고장 발생 후 유지보수까지의 짧은 기간 동안의 위험을 수용 가능 수준으로 관리하는 것이다.
SFC 기반 안전 설계 전략
이중화 (Redundancy)
하나가 고장나도 다른 하나가 기능을 유지한다. 대표적 예: 2 MOPP / 2 MOOP 절연 설계. 기본 절연 + 보조 절연 2겹으로 구성하여, 하나의 절연이 파괴(SFC)되어도 다른 절연이 보호를 유지한다.
고장 안전 (Fail-Safe)
고장 시 기기가 안전한 방향으로 멈추는 설계다. 예: 인공호흡기의 밸브가 고장나면 열린 상태(open)로 고정되어 환자가 자발 호흡이라도 할 수 있도록 한다.
고장 감지 + 알람
SFC 발생을 자동 감지하여 경고한다. 접지 연속성 모니터링으로 접지 단선 시 즉시 알람을 발생시키거나, 냉각팬 정지를 감지하여 경고를 표시한다.
고장 격리 (Fault Containment)
하나의 고장이 다른 보호 수단으로 전파되지 않도록 물리적, 전기적으로 격리한다. 각 채널의 전원을 독립적으로 설계하여 한 채널 단락이 다른 채널에 영향을 주지 않도록 한다.
SFC 시험 -- 어떻게 검증하는가
IEC 60601-1 인증 시험에서 SFC 시험은 시험자가 의도적으로 고장을 만들어 안전성을 확인하는 과정이다. 4단계로 진행된다:
- 고장 조건 적용 -- 시험자가 의도적으로 고장을 만든다. 접지선을 끊거나, 절연을 단락하거나, 팬 전원을 차단하는 등.
- 파라미터 측정 -- 해당 고장 상태에서 누설전류, 접촉전류, 표면 온도 등을 측정한다.
- SFC 허용치 비교 -- 측정값이 SFC 허용치 이내인지 확인한다.
- 추가 위험 없음 확인 -- 화재, 폭발, 기계적 위험 등 추가 위험이 발생하지 않는지 확인한다.
• 보호 접지(PE) 도체를 전원 코드에서 끊기
• 전원 플러그의 중성선(Neutral)을 개방
• 정상 작동 중 냉각팬 정지
• 안전 관련 소프트웨어 기능 무력화
• 외함 일부를 제거한 상태에서 작동
• 장착부 연결 케이블의 한 도체를 단락 또는 개방
관련 개념과의 연결
| 개념 | SFC와의 관계 |
|---|---|
| MOPP / MOOP | 2 MOPP/MOOP = SFC에서도 안전하도록 2겹 보호. MOPP/MOOP 아티클 → |
| ISO 14971 (위험관리) | SFC는 위험 분석에서 "합리적으로 예측 가능한 고장"으로 식별되는 대표적 위해 상황이다. |
| IEC 62304 (SW 생명주기) | SW가 안전 기능을 담당할 경우 SW 오동작도 SFC에 해당한다. SW 안전 등급(A/B/C)과 연결된다. |
| 필수 안전성능 | 기기가 SFC 상태에서도 유지해야 하는 최소 임상 기능(Essential Performance)이다. |
요약
핵심 정리
- SFC = 보호 수단 하나가 고장난 상태. IEC 60601-1의 안전 철학: "하나 고장나도 사람은 안 다친다"
- 이중 고장은 고려하지 않는다 -- 확률적으로 극히 낮고, 유지보수로 첫 고장이 해결된다고 가정한다
- 대표 고장 7가지: 접지 단선, 절연 파괴, 부품 단락/개방, 외함 파손, 냉각 고장, SW 오동작
- SFC 허용치는 정상 상태의 약 5배 -- 높지만 여전히 안전 범위 이내다
- 설계 전략: 이중화(2 MOPP/MOOP), 고장 안전(Fail-Safe), 고장 감지(알람), 고장 격리
- 시험: 인위적으로 고장을 만들고 파라미터가 SFC 허용치 이내인지 확인한다
참고 자료
- IEC 60601-1:2005+A1:2012+A2:2020. Medical electrical equipment -- Part 1: General requirements for basic safety and essential performance. Clause 4.7 (Single fault condition).
- KS C IEC 60601-1. e나라 표준인증 바로가기
- Fluke Biomedical. "IEC 60601-1 Leakage Current Limits -- Normal vs Single Fault." Technical Guide.
- TUV SUD. "Understanding Single Fault Conditions in Medical Device Design." White Paper.