의료기기 기능안전

의료기기는 전 세계에서 가장 엄격하게 규제되는 제품 중 하나입니다. 기능 안전은 제품이 입력 신호에 따라 올바르고 안전하게 작동하는지에 대한 신뢰성을 중점적으로 평가하는 추가적인 단계입니다. 기능안전은 장치 내 안전 관련 시스템이 오작동 시 발생할 수 있는 위해의 심각도와 발생 가능성을 최소화하기 위해 필요한 위험 감소 수준을 제공하도록 보장합니다.

규제 요건에 따라 모든 전기전자 의료기기는 안전성을 보장하기 위해 IEC 60601 표준 시리즈를 준수해야 합니다. IEC 60601-1에 따르면, 의료용 전기 장비의 안전성은 기본 안전과 필수 성능(Essential Performance, EP)을 포함합니다. 따라서 의료기기 제조업체는 IEC 60601 시리즈의 단일 고장 안전(Single Fault Safety) 표준화 개정 사항에 항상 유의해야 합니다.

TÜV SÜd의 평가 서비스

기능 안전은 제품 개발 주기 전반에 걸쳐, 특히 초기 설계 단계에서 고려되어야 합니다. 이는 비용이 많이 드는 재작업을 방지하기 위함입니다. TÜV SÜD의 시험 서비스는 제품 개발의 모든 단계를 포괄합니다.

독립적 안전성 평가(ISA) – TÜV SÜD의 전문가 팀은 의료기기가 설계 단계에 있을 때와 구현 및 시제품화 이후에 기능 안전 개념을 시험할 수 있습니다. 또한 의료기기에 요구되는 엄격한 요건에 부합하는지 확인하기 위해 전체 위험 관리 시스템에 대한 ISA도 제공합니다.
소프트웨어 안전성 평가 – MRI나 X-ray 장비와 같은 정교한 의료 장비의 소프트웨어 오류는 환자와 작업자에게 치명적인 결과를 초래할 수 있습니다. 그렇기 때문에 TÜV SÜD의 기능 안전 프로그램은 IEC 60601 및 IEC 62304와 같은 안전 표준에 따라 의료 소프트웨어를 평가하는 데 중점을 둡니다.
제품 시험 – 또한 전기적 안전 시험, 전자기 적합성(EMC) 시험, 환경 시험 등 의료기기 관련 다양한 시험 서비스를 제공합니다.

위험 분석을 실시하고 기능적으로 안전한 의료 기기를 제조함으로써 고객은 시장 수용력을 증가시키고 브랜드 이미지를 제고할 수 있습니다. 기능 안전을 보장하지 못하면 심각한 결과를 초래할 수 있습니다.

TÜV SÜd의 기능안전 전문성

TÜV SÜD는 1999년, 공정 산업 종사자를 위한 세계 최초의 기능 안전 전문가 인증 프로그램을 개발했습니다. 그 이후로 전 세계적으로 1,000명 이상의 기능 안전 전문가를 인증하고, 기능 안전 시험을 거친 제품에 대해 2,000건 이상의 인증서를 발행했습니다. 또한 TÜV SÜD의 전문가들은 기능 안전 표준화 위원회에 참여하여, 새롭게 등장하는 표준과 규제에 대한 정보를 제공함으로써 기업이 경쟁에서 앞서 나갈 수 있도록 지원합니다.

의료기기 분야에서 TÜV SÜD는 세계 최대의 공인 인증기관(Notified Body)으로, 전 세계 주요 시장에 700명 이상의 의료기기 및 헬스 서비스 전문가를 보유하고 있습니다. 더불어, 의료기기 및 헬스 서비스 규제의 변화를 지속적으로 모니터링하고 분석하기 위해 국제 규제 및 임상 부서(Regulatory Foreign Affairs & Clinical Department) 를 별도로 운영하고 있습니다.

TÜV SÜd를 선택해야 하는 이유

TÜV SÜD의 전문가들은 국제 자문기구와 표준화 위원회에 적극적으로 참여하고 있습니다. 이러한 업계 선도적인 전문성은 TÜV SÜD 브랜드의 높은 공신력과 세계적인 명성을 뒷받침하고 있습니다.

TÜV SÜD의 최첨단 시험소는 IEC 60601 시리즈(3.2판 포함)에 따른 시험을 수행할 수 있습니다.
당사와 협력함으로써 제품 시험 및 인증 과정을 효율적으로 진행할 수 있습니다.
TÜV SÜD의 전문가들은 국제 자문기구 및 표준화 위원회에 적극적으로 참여하고 있습니다.
전 세계적인 지원과 업계 전문성을 통해 시장 진입까지의 시간을 단축하고 비용을 최소화할 수 있습니다.

자주 묻는 질문 (FAQ)

기능 안전이란 무엇인가요

일반적으로 기능 안전은 장치의 기능에서 발생하는 위험을 다룹니다. IEC 61508에 따르면, 기능 안전은 제어 대상 장비(EUC: Equipment Under Control)가 안전한 상태를 달성하거나 유지하기 위해 필요한 동작을 수행할 수 있는 안전 관련 시스템의 능력을 의미합니다.
언제 기능 안전을 적용해야 하나요

다음과 같은 경우 기능 안전을 적용해야 합니다.

a. 의료기기의 특정 기능에 중대한 위험이 관련된 경우
b. 제품별 표준에서 기능 안전과 관련된 명시적 요구사항이 포함된 경우
여기서 중대한 위험(Significant risk)이란, 위험 완화 조치가 적용되기 전 해당 기능에 용인할 수 없는 위험이 존재하거나, 확률과 관계없이 위험의 심각도가 매우 높은 경우(예: 사망 또는 심각한 부상)를 말합니다. 또한, 위험의 발생 확률이 매우 낮다고 가정하더라도 그 위험이 높은 심각도를 가진다면 이를 단순히 ‘허용 가능한 위험’으로 간주하기 어렵습니다. 따라서 낮은 확률에 대한 근거를 검증하고 해당 기능을 재검토해야 합니다. 예를 들어, 마이크로컨트롤러의 고장 확률이 매우 낮다고 평가되어 위험 완화 조치 없이 허용 가능한 위험으로 판단되는 경우가 이에 해당합니다.
왜 기능 안전이 중요한가요
위험 분석을 수행하고 기능적으로 안전한 의료기기를 제조함으로써, 기업은 시장 신뢰도 향상과 긍정적인 브랜드 이미지를 얻을 수 있습니다. 반대로 기능 안전을 확보하지 못하면 심각한 결과를 초래할 수 있습니다.
기능 안전의 기본 철학은 무엇인가요
기능 안전 평가의 기본 원칙은 다음 여섯 가지입니다.
1. 임의의 하드웨어 고장은 언제 어디서나 발생할 수 있다.
2. 첫 번째 고장은 용인할 수 없는 위험을 초래해서는 안 된다.
3. 첫 번째 고장이 운영자에게 명확히 드러난다면, 장치는 더 이상 사용되지 않고 즉시 수리된다(운영자 매뉴얼에 따라).
4. 첫 번째 고장이 감지되지 않는다면, 일정 시간(MFOT*) 후 두 번째 고장이 발생한다고 가정해야 한다.
5. 첫 번째와 두 번째 고장이 동시에 발생하더라도 위험을 초래해서는 안 된다.
6. 세 개의 독립적인 임의 하드웨어 고장은 의료기기의 수명 주기 내에서는 일반적으로 가정하지 않는다.
다중 고장 발생 시간(MFOT)이란 무엇인가요
MFOT는 두 개의 독립적인 고장을 무시할 수 있는 시간 간격을 의미합니다. 예를 들어, 주입 펌프의 경우 MFOT는 일회용 부품의 교체 주기로 정의됩니다. 일반적으로 한 번의 치료(치료 시간이 너무 길지 않은 경우) 또는 하루 단위로 가정되기도 합니다. 고신뢰성 부품(예: 비상 정지 버튼)의 경우 객관적인 증거로 신뢰성을 입증할 수 있다면 MFOT를 연장할 수 있습니다(예: 연 1회 정기 점검).
평균 고장 간격(MTBF)과 평균 고장까지의 시간(MTTF)은 무엇인가요

MTBF는 두 번의 고장 사이의 평균 시간, MTTF는 첫 번째 고장까지 걸리는 평균 시간을 의미합니다. 이 두 값은 MFOT보다 훨씬 크며(보통 약 100배 수준), 약 50%의 확률로 고장이 발생하는 시점을 나타냅니다.
고장 허용 시간(FTT)이란 무엇인가요
FTT는 고장이 발생한 후 위험해지기 전까지 허용될 수 있는 시간입니다. MFOT와 달리, FTT는 위험의 종류에 따라 달라집니다.
왜 자체 진단(Self-test)이 필요한가요

자체 진단 기능은 사용자가 인식하지 못한 잠재적 1차 고장을 감지할 수 있도록 도와줍니다. 고장이 감지되면 철학의 3번째 원칙(사용 중단 및 수리)이 적용됩니다.
자체 진단은 얼마나 자주 수행해야 하나요?
자체 진단은 MFOT보다 짧은 주기로 수행되어야 합니다.

어떤 시스템 구조가 기능 안전 요구사항을 충족시킬 수 있나요

기능 안전을 충족하기 위한 대표적인 시스템 구조는 다음과 같습니다.

제어 시스템(C): 기능을 제어하는 시스템
보호 시스템(P): 위험 상황에서 작동을 차단하는 시스템

예를 들어, 아기 인큐베이터에서 *과열(온도 41°C 이상)*이 위험 요인이라면, 제어 시스템은 온도를 조절하는 역할을 하고, 보호 시스템은 41°C에 도달했을 때 히터를 자동으로 차단해야 합니다.
(참고: 센서 등 기타 구성 요소는 생략되었습니다.)

단순화한 아키텍처	적합성 및 요구사항
	순수 제어 시스템 (C) “부적합” 순수한 제어 시스템(C)만으로는 기능 안전 요건을 충족할 수 없습니다. 이는 기능 안전 철학의 원칙 2) (“첫 번째 고장은 용인할 수 없는 위험을 초래해서는 안 된다”)를 위반하기 때문입니다.
	제어 시스템 + 독립적 셧다운 경로 (C + WD) “조건부로 적합” 자체 진단(Self-test) 요구사항: 제어 시스템(C): FTT(고장 허용 시간) 이하 주기로 자체 진단 수행, IEC 61508 기준 “중간(medium)” 수준 워치독 및 셧다운 경로: MFOT(다중 고장 발생 시간) 이하 주기로 자체 진단 수행, IEC 61508 기준 “단순(simple)” 수준 또는 블랙박스 기능 워치독을 추가한 제어 시스템은 기능 안전에 적합할 수 있으나, 이를 구현하기 위해서는 제어 시스템의 전체 기능을 FTT 내에 테스트해야 하므로 매우 복잡합니다. 또한 자체 진단의 심화 수준(IEC 61508 기준 “중간” 카테고리)이 필요합니다. 워치독 및 셧다운 경로 역시 MFOT 내에서 테스트되어야 합니다. 자체 진단 부담을 줄이기 위해, 하나의 물리적 채널 내에서 다양성(diversity)을 갖춘(즉, 중복이 아닌) 제어 및 보호 시스템을 구현하는 방법도 있습니다. 이러한 다양성은 단일 하드웨어 고장이 두 채널 모두에 동일한 영향을 미치지 않도록 설계되어야 합니다. 단, 공통 모드 고장(common-mode failure)의 가능성은 여전히 존재하므로 앞서 언급한 강도 높은 자체 진단으로 보완해야 합니다.
	제어 시스템 + 보호 시스템 (CP) “표준 사례” 자체 진단(Self-test) 요구사항: 보호 시스템(P): MFOT 이하 주기로 자체 진단 수행, IEC 61508 기준 “단순(simple)” 수준 또는 블랙박스 기능으로 수행 가능 독립적인 보호 시스템이 포함된 제어 시스템은 기능 안전에서 가장 널리 사용되는 구조입니다. 보호 시스템은 MFOT 내에서 테스트되어야 하며, 이는 IEC 61508 기준 “단순” 수준 또는 블랙박스 접근 방식으로 수행될 수 있습니다.
	제어 시스템 + 2개의 독립적 보호 시스템 (CPP) “자체 진단이 불가능할 때 사용” 자체 진단(Self-test) 요구사항: 없음 두 개의 독립적인 보호 시스템을 가진 제어 시스템은 자체 진단이 필요하지 않습니다. 이러한 구조는 자체 진단이 물리적으로 불가능한 경우(예: 과전압 보호 장치)에 주로 사용됩니다.
	단일 하드웨어 내 제어 + 보호 시스템 (CP in one hardware) “복합 사례” 자체 진단(Self-test) 요구사항: 제어 및 보호 기능(C + P)에 필요한 자체 진단 수준은 두 시스템 간의 다양성 수준에 따라 달라짐 워치독 및 셧다운 경로는 MFOT 이하 주기로 테스트되어야 하며, IEC 61508 기준 “단순(simple)” 수준 또는 블랙박스 기능으로 수행 가능