효과 높음 ↑효과 낮음 ↓
1순위: 설계에 의한 고유 안전성
2순위: 방호 수단
3순위: 안전에 관한 정보 제공
사람 의존도 낮음사람 의존도 높음
▼ 각 단계를 클릭하면 예시를 볼 수 있다

위험을 줄이는 데도 순서가 있다

의료기기에서 위험이 식별되면 그 위험을 줄여야 한다. 하지만 어떤 방법으로 줄이느냐에는 명확한 우선순위가 있다. "경고 라벨을 붙였으니 끝"이라는 접근은 ISO 14971이 명시적으로 금지하는 방식이다. 이 규격은 위험 통제 대안을 3단계 순서로 적용할 것을 요구하며, 반드시 1순위부터 시도하고 불가능할 때만 다음 순위로 넘어가야 한다.

비유: 절벽 위의 놀이터

절벽 가장자리에 놀이터가 있다고 상상해 보자.
1순위 — 놀이터를 절벽에서 100m 떨어진 곳으로 옮긴다. 떨어질 가능성 자체가 없다.
2순위 — 절벽에 울타리를 설치한다. 울타리가 부서지면 위험하다.
3순위 — "절벽 주의" 경고판을 세운다. 아이가 읽지 못하거나 무시할 수 있다.
놀이터 설계자가 경고판만 세우고 끝내면 어떻게 되겠는가? ISO 14971은 바로 이것을 방지하기 위해 순서를 강제한다.

3단계
ISO 14971이 규정한
위험 통제 우선순위
1순위
반드시 먼저 시도해야 하는
고유 안전 설계
문서화
하위 순위 선택 시
근거 기록 의무

왜 이 순서인가 — 신뢰도의 차이

세 단계의 핵심 차이는 "사람의 행동에 얼마나 의존하느냐"에 있다. 사람 의존도가 낮을수록 신뢰도는 올라간다. 이 순서는 ISO 14971뿐 아니라 IEC 60601-1, EU MDR(GSPR), FDA 가이던스 등 거의 모든 의료기기 규제에서 동일하게 요구한다.

1순위

설계에 의한 고유 안전성

Inherent Safety by Design

신뢰도

사람 의존도

  • 위해요인 자체가 사라진다
  • 사람이 뭘 하든 안전하다
  • 추가 장치에 의존하지 않는다
2순위

방호 수단

Protective Measures

신뢰도

사람 의존도

  • 장치가 자동으로 보호한다
  • 고장나거나 우회될 수 있다
  • 사용자보다는 신뢰도가 높다
3순위

안전에 관한 정보 제공

Information for Safety

신뢰도

사람 의존도

  • 사용자가 경고를 읽어야 한다
  • 무시하거나 잊을 수 있다
  • 피로·응급 시 실패율이 높다

3단계 상세 — 각 순위의 원리와 방법

각 단계를 선택하면 원리, 대표적 방법, 그리고 실제 의료기기에서의 적용 예시를 확인할 수 있다.

가장 효과적 — 사람 의존도 제로

원리

위해요인(Hazard) 자체를 제거하거나, 제거할 수 없다면 위해가 발생할 가능성과 심각도를 근본적으로 감소시키는 설계다. 추가 장치나 사용자 행동에 의존하지 않으므로 가장 효과적이다.

대표적 방법

  • 위험 에너지 수준 자체를 낮춤 — 위험 전압을 환자 접촉부에서 사용하지 않는 저전압 설계
  • 물리적으로 호환 불가능한 구조 — 서로 다른 경로의 커넥터를 물리적으로 결합할 수 없게 형상을 다르게 설계 (ISO 80369 비호환 커넥터)
  • 독성 재료를 비독성으로 대체 — 라텍스 대신 니트릴, 프탈레이트 대신 대체 가소제
  • 날카로운 모서리 제거 — 라운딩 처리, 보호 캡
  • 소프트웨어 아키텍처로 오동작 원천 차단 — 범위 초과 입력을 아예 받지 않는 코드 설계
실제 예시: ISO 80369 비호환 커넥터

과거에는 정맥(IV), 장관영양(enteral), 경막외(epidural) 라인이 모두 같은 루어(Luer) 커넥터를 사용했다. 야간 응급 상황에서 장관영양액이 정맥으로 투여되는 사고가 반복되었고, 대부분 환자는 사망했다. ISO 80369는 각 경로에 물리적으로 연결 불가능한 전용 커넥터를 규정하여 오결합 자체를 원천 차단했다. 이것이 1순위 위험 통제의 전형이다.

중간 효과 — 장치에 의존

원리

위해요인을 완전히 제거할 수 없을 때, 기기 자체에 내장된 장치, 기구, 자동 기능으로 위해상황이 발생하는 것을 막거나, 위해가 발생해도 피해를 최소화한다. 사용자의 판단이나 행동에 의존하지 않는 자동적 또는 수동적 차단이 핵심이다.

대표적 방법

  • 물리적 차단 — 보호 커버, 안전 가드, 잠금 장치, 인터록(interlock)
  • 자동 차단 — 과전류 시 자동 퓨즈, 과열 시 자동 셧다운, 과압 시 릴리프 밸브
  • 알람 및 경보 — 이상 상태 감지 시 청각/시각 경고 (IEC 60601-1-8)
  • 이중 절연 — 2 MOPP / 2 MOOP 절연 설계 (하나 고장나도 보호 유지)
  • 소프트웨어 안전 기능 — 자가 진단, 워치독 타이머, 안전 모드 전환
실제 예시: 인공호흡기 과압 릴리프 밸브

인공호흡기에서 기도 압력이 설정 상한(예: 40cmH2O)을 초과하면, 릴리프 밸브가 자동으로 개방되어 잉여 압력을 배출하고 흡기를 차단한다. 동시에 IEC 60601-1-8 기준 고우선순위 알람이 발생한다. 사용자가 아무 조작을 하지 않아도 장치가 환자를 보호하지만, 밸브가 고장나면 보호가 무너지므로 1순위보다 신뢰도가 낮다.

가장 약함 — 사람에 의존

원리

설계로도 제거할 수 없고 방호 장치로도 완전히 막을 수 없는 잔여 위험에 대해, 사용자에게 알려서 스스로 위험을 회피하게 한다. 가장 약한 수단이므로 1순위와 2순위를 모두 시도한 뒤에만 사용해야 한다.

대표적 방법

  • 기기 본체 라벨 — 경고 기호, 주의 문구, 금기 표시
  • 사용설명서(IFU) — 올바른 사용법, 주의사항, 금기 환자, 부작용
  • 교육 훈련 — 사용자 교육 프로그램, 시뮬레이션 훈련
  • 포장 표시 — 보관 조건, 사용기한, 멸균 상태 표시
  • GUI 내 경고 — 화면에 표시되는 주의 메시지, 확인 다이얼로그
왜 3순위가 가장 약한가

정보 기반 통제는 "사용자가 올바르게 행동할 것"을 전제한다. 하지만 현실에서 사용자는 경고 라벨을 읽지 않거나 시간이 지나면 무감각해진다. 사용설명서를 분실하거나 참조하지 않고 직관에 의존한다. 교육 훈련을 받았어도 야간, 응급, 피로 상황에서 실수한다. 그래서 ISO 14971은 3순위만으로 위험을 통제하는 것을 허용하지만, 1순위와 2순위가 불가능한 근거를 문서화할 것을 요구한다.

실제 사례 — 3단계가 어떻게 적용되는가

세 가지 대표적인 의료기기에서 3단계 위험 통제가 실제로 어떻게 적용되는지 살펴보자. 각 기기를 선택하면 1순위부터 3순위까지의 구체적 조치를 확인할 수 있다.

인공호흡기 — 과환기(과다 환기) 위험

설정보다 높은 환기량이 환자에게 전달되면 폐 손상(기압 손상, barotrauma)을 일으킬 수 있다.

1
고유 안전 설계 — 과환기가 물리적으로 불가능하게 유량 센서 측정 범위를 환기량 상한 이상으로 올라가지 않도록 하드웨어적으로 제한한다. 밸브 구동 모터의 최대 토크를 기계적으로 제한하여 압력이 일정 이상 올라갈 수 없게 설계한다. 소프트웨어에서 의사가 입력할 수 있는 환기량 범위를 임상적으로 안전한 범위로 제한하고 범위 외 입력을 거부한다.
2
방호 수단 — 과환기 발생 시 자동 차단 기도 압력이 상한(예: 40cmH2O)을 초과하면 자동으로 흡기 차단하고 릴리프 밸브가 개방된다. 과압 상태 지속 시 고우선순위 알람(IEC 60601-1-8)이 발생한다. 소프트웨어 워치독 타이머가 SW 오동작 시 안전 모드(대기 환기)로 자동 전환한다.
3
안전 정보 — 잔여 위험을 사용자가 인지하고 관리 사용설명서(IFU)에 "환기량 설정 시 환자 체중 기반으로 계산할 것"을 명시한다. 기기 GUI에 설정값이 권장 범위를 벗어나면 경고 메시지를 표시한다. 교육 프로그램에서 과환기의 임상적 결과와 올바른 설정 방법을 훈련한다.

주입 펌프 — 과량 투여 위험

약물이 설정보다 많이 투여되면 약물 과다로 환자가 사망할 수 있다. 특히 마취제, 인슐린, 항암제 등 고위험 약물에서 치명적이다.

1
고유 안전 설계 — 과량 투여가 구조적으로 불가능하게 약물별 용량 한도 라이브러리(Drug Library)를 펌프에 내장하여 해당 약물의 최대 허용 주입 속도를 초과하는 설정을 소프트웨어가 거부한다(하드 리밋). 주입 라인에 역류 방지 밸브(anti-siphon valve)를 내장하여 높이 차이에 의한 자유 낙하(free-flow)를 방지한다. 주입 세트를 펌프에서 분리할 때 자동으로 라인 클램프가 작동하여 free-flow를 원천 차단한다.
2
방호 수단 — 과량 발생 시 즉시 차단 주입 압력 이상(폐색, 기포) 감지 시 자동 정지와 알람이 작동한다. 기포(에어) 감지 센서가 라인 내 기포를 감지하면 주입을 즉시 차단한다. 소프트 리밋(경고 한도)을 적용하여 Drug Library의 권장 범위 초과 시 확인 팝업을 표시한다(사용자가 override 가능하지만 기록이 남는다).
3
안전 정보 — 잔여 위험 인지 사용설명서에 "고위험 약물은 반드시 Drug Library 활성화 상태에서 사용할 것"을 명시한다. 기기 디스플레이에 현재 주입 약물, 속도, 총 투여량을 상시 표시한다. 기기 본체에 "free-flow 주의 — 주입 세트 분리 전 반드시 클램프 확인" 경고 라벨을 부착한다. 병원 교육 프로그램에서 free-flow 사고 사례와 예방법을 훈련한다.

전기수술기 — 대극판 접촉 불량에 의한 화상 위험

전기수술기는 고주파 전류로 조직을 절개하고 응고하는 장비다. 대극판(return electrode) 접촉이 불량하면 전류가 좁은 접촉면에 집중되어 환자 피부에 화상을 일으킨다.

1
고유 안전 설계 — 화상 위해요인을 근본적으로 감소 양극성(Bipolar) 모드를 설계하여 전류가 기구 두 전극 사이에서만 흐르게 한다. 대극판이 필요 없으므로 대극판 관련 화상 위험 자체가 사라진다. 대극판의 면적을 충분히 넓게 설계하여 전류 밀도를 낮춘다. 출력 에너지를 임상적으로 필요한 최소 수준으로 제한하는 회로를 설계한다.
2
방호 수단 — 접촉 불량 시 자동 감지 및 차단 CQM(Contact Quality Monitor)이 대극판과 환자 피부의 접촉 품질을 실시간으로 모니터링한다. 임피던스 이상 감지 시 즉시 출력을 차단하고 알람을 발생시킨다. 분할형 대극판(split pad)을 사용하여 두 반쪽 사이의 임피던스 차이로 접촉 상태를 감시한다. 설정 시간 초과 시 비활성 타이머가 자동으로 출력을 차단한다.
3
안전 정보 — 잔여 위험 인지 사용설명서에 "대극판을 혈관이 풍부한 근육 부위에 부착할 것, 뼈 돌출부와 흉터 위 금지"를 명시한다. 기기 본체 라벨에 "대극판 미부착 경고" 기호를 표시한다. 수술팀 교육에서 대극판 부착 부위 선정, 금속 접촉물(반지 등) 제거, 화상 예방법을 훈련한다. 기기 GUI에 대극판 접촉 상태를 시각적 인디케이터(녹색/적색)로 상시 표시한다.

문서화 의무 — "왜 3순위에 의존하는가"를 증명

ISO 14971은 위험 통제 조치 선택에 대해 문서화를 요구한다. 특히 2순위나 3순위를 선택한 경우, 왜 상위 순위를 적용하지 못했는지에 대한 기술적 근거가 있어야 한다. "경고 라벨을 붙였으니 끝"이 아니라, "라벨을 붙일 수밖에 없는 이유"와 "그래도 안전한 이유"를 입증하는 것이 제조사의 의무다.

위험관리 파일에 기록할 항목

ISO 14971 Clause 7 요구사항

  • 1순위(고유 안전 설계)가 왜 불가능한지의 기술적 근거
  • 2순위(방호 수단)가 왜 불충분한지의 분석
  • 잔여 위험이 수용 가능한 수준인지의 위험-이익 분석
  • 선택한 통제 조치의 효과 검증 결과

흔한 실수

감사(Audit) 시 지적받는 사례

  • 1순위 검토 없이 바로 경고 라벨만 적용
  • "비용이 높아서" 를 1순위 불가 근거로 사용
  • 통제 조치 적용 후 잔여 위험 재평가 누락
  • 새로운 위험(2차 위험) 도입 여부 미확인

요약

3단계 우선순위 핵심 정리

1순위 — 설계로 없앤다. 위해요인 자체를 제거하거나 감소시킨다. 사람에 의존하지 않으므로 가장 효과적이다.
2순위 — 장치로 막는다. 자동 차단, 알람, 인터록으로 보호한다. 고장 가능성은 있으나 사용자보다 신뢰도가 높다.
3순위 — 정보로 알린다. 라벨, IFU, 교육, GUI 경고로 사용자에게 알린다. 사용자 행동에 의존하므로 가장 약하며, 1순위와 2순위가 불가능한 근거를 문서화해야만 사용 가능하다.

이 순서는 ISO 14971뿐 아니라 IEC 60601-1, EU MDR, FDA 가이던스 등 거의 모든 의료기기 규제에서 동일하게 요구한다.

참고 자료

  • ISO 14971:2019. Medical devices — Application of risk management to medical devices. Clause 7 (Risk control).
  • KS P ISO 14971. e나라 표준인증 바로가기
  • IEC 60601-1:2005+A2:2020. Clause 4.2 — Risk management process.
  • EU MDR (2017/745). Annex I — General Safety and Performance Requirements (GSPR), Section 4.
  • FDA. "Factors to Consider Regarding Benefit-Risk in Medical Device Product Availability, Compliance, and Enforcement Decisions." 2016.