你最近拥抱过一个细心的人吗?我们都很感激那些有条不紊完成复杂工作的人们的成果,尽管常常认为这是自然而然的。美术、精美建筑、稳健可靠的技术、航空科技和脑外科手术,这些都是人们脑海中会花时间检查每一个细项而不做任何假设的例子。我们中的一些人有这种“天赋”,而另一些人需要学习,还有一些人则需要被强迫。医疗器械法规和标准并不关心开发商/制造商属于哪一类细节导向,因为在合规性方面,所有人都必须达到最低水准。单一故障分析就是一个很好的例子。
在第1期中,我们着眼于安全性和基本性能这些医疗器械的关键要求。60601-1系列标准对正常操作条件下和单一故障状态下的安全性和基本性能提出了明确的要求。理解单一故障要求对于有效且合规的风险管理非常重要。
真实世界的元器件、子系统和系统可以被规范,而这些规范都有偏差。在开发产品时,系统规范是系统中所有元器件和子系统规范的总结。根据元器件和状态,规范偏差可能会变窄(紧)或变宽(松)。图1显示了一个特定元器件的值如何变化的示例,这个例子中,温度范围扩大。开发商/制造商应制定规格(标称和非标称),并了解其如何变化,并确定这些是否足以保证正常状态下以及可能导致严重伤害的单一故障状态下系统的安全和基本性能。
定义穿插:IEC 60601-1标准将正常状态和单一故障状态定义如下(ME设备指医用电气设备):
- 正常状态(NC):所有提供的对危险(源)防护的措施都处于完好的状态。
- 单一故障状态(SFC):ME设备只有一个降低风险的措施失效,或只出现一种非正常状态。
若我们退后一步,需要为我们的器械定义或已经定义的有4个基本领域(注:正常状态包括温度、湿度、压力等的变化):
*其中A1可能等于或可能不等于B1,A2可能等于或不等于B2,即B1或B2可能降级,但不得产生不可接受的风险。
在安全性方面,许多规范公差由标准规定(如,60601-X-X通用、并列或专用标准,见第1期)。在基本性能方面,有一些公差由标准规定,另一些规范公差范围则由制造商根据临床和风险分析确定(见60601-1第4.3条款)。最终,关于安全性(NC、SFC)和基本性能(NC和SFC)两方面皆无不可接受的风险,都必须通过适当的标准或由制造商透明地(文件化)确定下来。
在讨论单一故障分析之前,我们先看几个正常和单一故障状态的示例。
安全性示例:我们都能理解的一个方面是,如果您将设备连接到“网”(墙壁)电源,我们希望确保患者或用户没有受到电击的危险。电流循着最小电阻的路径,因此医疗器械的构造需要确保在正常状态下和单一故障状态下电流不会从器械“泄漏”到患者(或用户)。术语“应用部分”用于医疗器械与患者有接触的部分(表面或内部)。应用部分有六个基本类型,每个类型都有各自的规范。其符号和名称如图2所示。
在60601-1(基本安全)的表3中,有正常状态和单一故障状态(直流电源或交流电源)下不同应用部分类型的各种规范。注意在单一故障状态下(黄色SFC),要求是如何调宽(更松)或降低的。在网电源漏电安全情况下,发布的降级限值被标准视为没有不可接受的风险,因此,如果在单一故障下,您在该外限范围内,就可以通过。(您需要在非单一故障时在正常状态(NC)限值内。)这是在电气安全测试期间“型式检验”的规范,并与测试期间提交的材料清单相关联。这里的单一故障状态(SFC)是什么?典型的故障状态,如“火线”和“零线”电源线之间的极性互换、“零”线断开、没有“接地”等。它们由分析仪进行测试,漏电测量是电气安全测试的一部分。(医院也根据维护计划定期对设备进行测试。)
基本性能示例:好,让我们看一个基本性能(EP)的例子。如第一期博文所述,EP取决于医疗器械的用途,因此在许多情况下,有特定的安全和EP标准规定了可接受的区间。尤其是常见的医学测量;因此,对于这个例子,让我们看看60601-2-34这个专用标准。
IEC 60601-2-34的标题为“有创血压监测设备的基本安全和基本性能的专用要求”。我们将这个专用标准作一个示例,说明标准如何为临界血压测量确立规范范围。对于测量范围和测量精度,标准规定:压力测量范围应至少为-30mmHg至250mmHg。灵敏度、重复性、非线性、漂移和迟滞的综合影响应在读数的±4%或±0.5 kPa(±4 mmHg)范围内,以较大者为准。
不要操心该规范中的数字,关键点是该标准规定了基本性能的最低要求,在这种情况下,它不像上面的安全性示例那样提及NC或SFC。它确实在电磁干扰(EMI)测试上提供了一些容差(即器械如何恢复其测量能力),并讨论了自我诊断和器械技术警报。我们将在下文讨论这些因素如何在我们的SFC和基本性能的讨论中发挥作用。
鉴于上述背景,让我们看看如何应对单一故障的挑战,以防止安全性或基本性能出现不可接受的风险。
60601-1第4.7条规定了ME设备的单一故障状态标准。复述:
ME设备应被设计和制造成保持单一故障安全,或通过风险分析确定的风险仍然可接受。
单一故障分析:
若医疗器械针对每个不可接受的风险满足以下一个或多个条件,则认为该医疗器械是单一故障安全的。
a.预防:它采用单一措施来降低风险,失效概率可忽略不计(例如,加强绝缘、设计采用较大安全系数或使用高完善性元器件)或:
b.探测:发生单一故障状态,但在预期使用寿命内和降低风险的第二重措施失效之前将被发现,或,
c.冗余:器械使用寿命内降低风险的第二重措施失效的概率可忽略不计。
(注,当一个单一故障状态引发一个或多个其他故障状态被视为一个单一故障,如级联失效)。
这意味着什么?这就是为什么我们喜欢严谨的开发商/制造商!对于单一故障失效,需要对设计进行非常彻底的分析,关注点是所有领域的安全性和基本性能。对于每个识别出的潜在失效模式,需要应用并记录上述a)、b)或c)减缓措施中的一项或多项!
啊,这远远不仅是查看电源电路、信号处理电路、热分析或机械叠构中的正常公差规格区间。理解这一点非常重要,因为在安全性/基本性能测试/分析过程中遇到后阶段问题之前,这种思路并不清晰。
让我们通过看看a、b、c类的几个例子,了解一下这是怎么回事。
A-预防:影响基本安全和/或基本性能的元器件故障,且无法通过冗余或探测减缓的严重危险,促使需要采取预防的措施。这是一种风险控制措施(减缓措施),首先通过防止故障模式的发生(提高可靠性)来降低特定故障模式的发生概率。可以通过增加商用现货(COTS)零件的设计安全系数或使用具有高完善性元器件(CHIC)来实现预防。可以以分层方式进行分析(从区块层级开始),然后深入分析。对于安全或基本性能链中涉及的每个子组件或元器件进行分析,通过适当降额COTS或使用CHIC来进行缓解。
COTS:使用标准部件,如电阻器、电容器和机械紧固件,并适当降低额定值。第4.8条涉及在其规范范围内使用。降额后,它们被视为在ME设备的使用寿命内具有固有的可靠性。例如,电阻器的额定功率或电容器的额定电压,其额定值超过了恶劣环境/功能应用的2倍以上。
CHIC:第4.9条规定,当某一特定元器件的故障可能产生不可接受的风险时,应使用高完善性元器件。这些元器件可能符合IEC或ISO相关标准,作为与型式检验相结合的证据。如果没有,可以根据60601-1系列进行测试。
B-探测:探测缓解措施检测模块和/或元器件在因其受影响的功能丧失而发生伤害/危险之前发生的特定故障模式。探测方法,如自检、诊断监测电路和/或软件,以及带警报的完整性检查,都是探测方法设计的示例,旨在在危险有可能造成伤害之前通知使用者。探测率对其恰当性很重要(即,对每天多次使用的器械每月进行一次自检不是恰当的检测方案,而在电击前测量除颤电极板间的阻抗是电极板电极放置的恰当的检测方案)。
C-冗余:冗余是思考单一故障安全时涌入脑海的。冗余减缓(风险控制措施)是一个完全独立的备用电路、冗余机械设计、备用软件或临床方法,用以确保主要元器件的故障模式不会导致不可接受的风险。安全和/或基本性能的几个示例如下:
单一故障分析是严谨的,涉及整个系统,并且记录在案。它可能会导致针对特定单一故障状态(SFC)的特定定制的减缓措施,也可能包括更广泛的减援措施,并会引发一系列SFC。它的设计、测试和记录可能会产生体系架构各个领域的一系列记录。这是安全和基本性能测试的重要组成部分,将完全与风险分析共同执行。
在Qserve,我们有参与细节的工程师、质量、法规和临床资源,协助定义基本性能、执行风险分析和单一故障分析。我们热衷于拥抱细节,帮助客户在全球高度监管的市场上提供医疗和体外诊断器械。