虽然没有专门针对医疗设备的功能安全标准,但医疗电气设备标准(IEC 60601-1)指出,"设备的设计方式必须是......不会损害病人的......安全" (The devices must be designed and manufactured in such a way that, when used under the conditions and for the purposes intended, they will not compromise the clinical condition or the safety of patients, or the safety and health of users or, where applicable, other persons, provided that any risks which may be associated with their intended use constitute acceptable risks when weighed against the benefits to the patient and are compatible with a high level of protection of health and safety.),"制造商在设计和建造设备时采用的解决方案必须符合安全原则,并考虑到公认的技术水平“ (The solutions adopted by the manufacturer for the design and construction of the devices must conform to safety principles, taking account of the generally acknowledged state of the art.)。
特定的安全标准,如IEC 60601-2-10(肌肉和神经刺激器)或IEC 60601-2-10 (输液泵),部分涵盖了功能安全方面,根据使用目的和医疗设备的复杂性,可以起到良好的作用。
传统的安全评估侧重于使用过程中发生的电气、机械或其他设计方面的潜在危险。功能安全是一个额外的步骤,关注产品的可靠性,以正确和安全地响应其输入。因此,它可以确保设备中的安全相关系统在发生故障时将危害的严重性和概率降至最低。
功能安全的一般目标是避免因设备的故障和故障的可检测性而引起的危险。这适用于所有有助于发挥安全功能的部件,如传感器、驱动元件、控制电子元件和接触器。与安全有关的控制功能是为全面降低医疗设备风险做出贡献的措施之一,但单一的控制功能并不总是足够的。
因此,功能安全原则被用于。
· 控制运行中的随机硬件故障。
· 控制运行中的系统性故障。
· 在设计、开发和制造过程中避免系统性故障。
安全的产品设计、早期预防与符合性相关的问题、使得更少的产品召回和更短的上市时间。医疗设备的设计者和制造商可以通过建立一个系统的流程重点,包括考虑整个系统的生命周期来最好地利用这些机会。系统的连接性越来越强,加上远程控制的可能性越来越大,进一步要求采取适当的方法来保护系统,防止未经授权的访问和对嵌入硬件和软件的安全功能进行相关的操作。
风险管理
只有通过全面的风险管理才能实现安全的医疗器械。制造商必须识别与设计和功能相关的风险,并通过制定适当的控制措施或采取适当的对策来缓解这些风险。ISO 14971标准(“医疗器械风险管理的应用”)为该过程提供了指导。
风险管理必须涵盖整个产品生命周期,并考虑在每个阶段收集的信息,包括在上市后后监督期间。这种方法可确保记录和控制非常罕见的故障和与产品老化相关的退化和故障。
采取功能安全的方法也可以避免在设计、开发和制造过程中出现系统故障。因此,必须保留一份详细的风险管理文件(risk management file, RMF),不仅要证明合规性,还要补充强大的设计流程,以尽量减少产品开发延迟。
在选择最合适的解决方案时,根据ISO 14971,制造商必须按以下顺序应用以下原则。
· 尽可能地消除或减少风险(固有的安全设计和制造)。
· 在适当情况下,针对无法消除的风险,采取适当的保护措施,包括必要时的警报。
· 告知用户由于所采取的保护措施的任何缺陷而产生的剩余风险。
IEC 61508 标准建议。可以使用”定性或定量的危险和风险分析技术 (application of either qualitative or quantitative hazard and risk analysis techniques )",并就一些方法提供了指导。一个很好的例子是输液泵,功能安全将考虑与此功能相关的潜在危险,如:
· 错误的流速。
· 输注量错误。
· 推注过多(患者控制镇痛)。
· 反向流动。
· 意外开始或停止输液。
· 压力过高。
· 空气注入(正常工作时)。
一旦确定了危险和必须实施的安全功能,以减轻这些危险,就必须完成对安全功能所要求的风险降低的评估。这将显示出安全相关控制和最终系统的安全完整性等级(Safety Integrity Level,SIL)或性能等级(Performance Levels, PL)。确定的SIL编号在标准中有相应的要求,其中详细说明了应如何设置开发过程以实现该SIL。IEC 61508的第2和第3部分给出了为达到SIL而与第5部分一起进行的活动指导。然后,必须确保安全功能按预期执行,也允许操作人员错误地使用。这将涉及到按照IEC 61508的流程进行设计和生命周期管理。
下一步是通过确定平均故障间隔时间(Mean Time Between Failures, MTBF)和安全故障率(Safe Failure Fraction, SFF)来验证系统是否符合指定的SIL或PL。换句话说,评估系统在安全状态下发生故障的概率。
