为何“智者”如此的不确定,而“愚者”却如此确定?!我们生活在一个灰色的世界,见鬼,连“Gray"的拼写都是"Grey"的!本着“凡事无绝对的”的精神,我想试着澄清几个许是灰色的领域,因而具有挑战性。此文的目的是帮助消除一些不确定性,但不是木讷的,因为它将始终保留一点灰色(见”应用题博文“)。
我最初的计划是讨论IEC 60601-1《医疗器械电气安全和基本性能标准》中规定的单一故障状态(SFC)。不幸的是,讨论单一故障状态需要一些背景,正因如此,且力求简明扼要,这将分成一个由两部分组成的博文。第1部分:基本性能和一些安全性(上下文);第2部分:单一故障状态。
IEC 60601-1第三版于2005年发布,其中一个重大变化(除风险外)是从基本安全到基本安全和基本性能。现在本着充分披露的精神,在我的产品开发岁月里,60601-1曾是一个很大的障碍,曾被认为是“安全性测试”,很少强调基本性能。“安全性测试”包括并列标准60601-1-2(电磁兼容性或EMC)、可用性(60601-1-6现被62366-1替换)、可编程医用电气系统(PEMS现被62304取代)和任何专业的“安全测试”60601-2-XX(详见下图):
注:横向“并列”标准趋于全面应用于医疗器械(酌情),而纵向“专业”标准则侧重于特定产品临床领域。像EMC这样的并列标准要求监控基本性能,以免产生不可接受的影响。专业标准规定了更多关于测试基本性能关键规范的内容,因其是面向某领域的(如压力信号或ECG信号精度)。
有了上述框架,我们现在可以讨论基本性能和一些安全性,因为这为我们稍后讨论单一故障奠定了基础。首先是安全问题:
我简单地提及安全性,因为安全性更容易理解。安全性确实是医疗器械上市的首要条件;安全有效。医疗器械的基本安全定义为(60601-1):“当医用电气设备在正常状态和单一故障状态下使用时,没有由物理危险直接导致的不可接受的风险。”在该文中,我们指的是物理危险。危险是潜在的伤害源,这也是我们在提供临床受益时最终试图避免的。
医疗器械中采用的技术及其应用通常会产生固有危险,如电气危险(网电源电压)、热危险(热元件)和机械危险(锐边、移动部件等)。在设计和开发期间,通过识别危险来分析风险。然后分析危险,以降低其在正常状态和单一故障状态下发生和造成伤害的可能性。我们将在本博文的第二部分讨论关于单一故障状态的一些技术。安全性至关重要,在医疗器械和体外诊断(IVD)上,安全性可以说很多,因其在某种程度上是可以理解的,所以安全性不是那么灰色。
与我们讨论单一故障状态(SFC)的目标以及我们下一步要解决的问题相关的是一个不太容易理解的要素,即基本性能。基本性能被定义为(60601-1):“临床功能的性能,与基本安全性无关,其中丧失或降级超过制造商规定的限值会导致不可接受的风险。”,为进一步澄清,定义(60601-1)中增加了一条注释:“通过考虑基本性能的缺失或降级是否会导致不可接受的风险,最容易理解基本性能。”
即便加了该注释,它仍然是灰色的,迫使IEC发布一张解读表(关于基本性能和SFC的解读表ISH1:https://webstore.iec.ch/publication/67107 )。顺便提一句,FDA最近将其加入了AAMI ES60601-1共识标准;https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfStandards/detail.cfm?standard__identification_no=43309)
解读表的目的是澄清IEC 60601-1讨论基本性能的第4.3章节。解读表在不增加任何新要求的情况下进行解释和解读,是制造商、国家认可测试实验室(NRTL)和公告机构的“必读”内容。该解读表自出版之日起有效,无过渡期。
在我们从解读表中收集一些花絮之前,我想与大家分享一些想法。历史上部分制造商对基本性能非常重视,而其他制造商则不太重视。我已经看到了不幸的组织诚信场景,医疗器械被制造商宣传为“临床必备品”,却没有基本性能。医疗器械确实有可能没有基本性能,因为其故障不会导致不可接受的风险,但这一切都应该在风险管理文件中得到充分记录。没有风险的器械通常没有临床受益。在风险管理文件中量化临床受益是充分记录和理解基本性能的关键。
需要在高层明确界定不可接受的风险。我已经看到,当组织的高级人员(临床、监管、研发、质量)可以为某一产品线和领域明确定义基本性能和不可接受的风险时,较低级别的项目团队成员则陷入定义这些风险的斗争中。这一点比以往任何时候都更重要,由于新增的标准内容,现在基本性能越来越受到监管机构和测试实验室的关注。它渗透到全部并列标准和专业标准中,因此会像安全性一直以来那样被评估。
如果我们将基本安全与基本性能进行比较,我们发现基本安全通常相对于器械,而基本性能相对于器械的特定临床功能:
Attribute | Basic Safety | Essential Performance |
Mechanical | System support breaks. (Mechanical injury to user or patient) | Mechanical Ventilator fails. (Lack of therapeutic air delivery) |
Electrical | High voltage or excessive currents present to users or patient. (shock) | Diagnostic sensor signals out of specification. (Misdiagnosis). |
Thermal | Device overheats. (Burns user or patient). | Blood bag refrigerator cooling unit fails. (Loss of blood vitality) |
Radiation | User/patient exposed to unintentional radiation. (burn, carcinogenic) | Intentional radiation not applied to correct area. (Lack of therapeutic benefit – harm to adjacent tissue.) |
Applicability | Generic, not specific to a particular device. | Device specific pertaining to its function/performance. |
考虑基本性能的另一种方法是了解其于护理提供链条的关联。护理人员使用手边的医疗器械时,期望该器械实现所需的临床功能。当器械无法实现其所依赖的功能时,可能会造成伤害,从而产生不可接受的风险。
当我们只关注风险分析、型式试验和外部机构测试期间的安全性时,我们忽略了与医疗器械无法实现功能相关的关键风险。因此,需要在开发的早期识别基本性能,并在整个开发过程中像对安全性一样对其进行管理。IEC解读表概述了制造商为定义其基本性能应采取的步骤:
Step | Description | Example |
1 | Identify performance, other than that related to basic safety, that is necessary to achieve the intended use or that could affect safety. | An automatic defibrillator or AED, detects the heart’s electrical activity to determine if a shock should be delivered. |
2 | Specify performance limits between fully functional and total loss of the identified performance in both 1) normal and 2) single fault conditions | AED correctly identifies ventricular tachycardia or other criteria on the ECG. These limits may come from data sources such as the AHA (American Heart Association) on sensitivity and specificity. |
3 | Evaluate the risk from loss or degradation of the performance beyond specified limits. | False Negative: No shock is delivered when a shock should be delivered. False Positive: Shock is delivered when no shock should be delivered. |
4 | Implement risk control measures to reduce these risks to an acceptable level for both normal & single fault conditions. | High integrity components, redundant detection paths, self-diagnostics, error communications etc. (Topic of 2nd Blog). |
5 | Assess and determine which risk control measures need verification of effectiveness. | From above, establish how to test the mitigations under normal and identified single fault conditions. What are pass/fail criterial in terms of performance and residual risks. |
6 | Specify methods for verification of risk control measures. | Establish verification test plans and include EMC, safety, user testing, particular standards in assessing mitigations. Apply the same pass/fail performance criteria during EMC, safety etc. testing. |
如果降级在可接受的风险限值内,则在单一故障状态下,基本性能可能可以降级。我们将在第2部分中更多地讨论降级,但基本上这意味着医疗器械仍在单一故障状态下运行,但不一定在相同的规定限值内(只要不会产生不可接受的风险)。这些分析是灰色的,需要智慧、逻辑和透明度。软件也不例外。软件现在是高风险医疗器械的重要组成部分,并集成到基本性能路径中。软件监控生命支持设备、药物注射、输液泵、图像分析等。
鉴于上述解释,基本性能应该稍稍不那么灰色了,获得了对基本性能的新认知,以及我们对安全性的理解,我们可以接下来讨论(第2部分)所说的单一故障状态(及一些正常状态)。
Qserve能够帮助制造商定义基本性能。因为给定设备可能有几个基本性能,Qserve的临床、法规、风险/可用性专家和技术专家团队常与众多制造商合作,在这些灰色区域中导航。