此文章转载自黑脸小羊喵的知乎文章。
寻找故障
有源医疗设备或系统的基本性能直接影响患者安全。鉴于此,安全和安保(safety and security)评估还解决了临床使用过程中可能出现的潜在危险。功能安全,也称为“单一故障条件下的基本性能”,标志着设备安全评估的又一步,重点是其安全功能的可靠性。它保证在发生故障时,设备的功能得以维持,系统切换到安全状态。因此,即使在单一故障情况下,功能安全也能保证用户和患者的安全,因此对于医疗设备的制造商、进口商和分销商来说,功能安全起着至关重要的作用。
法规(如MDR)和标准都注重单一故障安全原则,这意味着单一的首次(发生)故障不得对用户或患者造成任何危害或导致不可接受的风险水平。例如,输注泵剂量控制单元的故障不得导致患者服用过量或剂量不足。基本上,单个故障可以在整个控制电路、其部件和组件以及软件中随时随地发生,无法预测。为了将使用者和患者的健康风险降至最低,适用法律和标准对医疗器械的基本性能和安全性提出了高要求。
医疗电气设备标准(IEC 60601-1)的第4.7条规定。设备的设计和制造应使其保持单一故障安全(single fault safe),或通过风险管理过程使风险 保持可接受。
故障可以是系统性的,是内在的设计缺陷,也可以是随机的。例如,硬件中的系统性故障可以包括。
· PCB布局中的错误。
· 使用的部件不符合规格。
· 环境条件未得到满足。
· 使用说明中的错误,即错误的元件规格。
应确定故障条件,以针对单一故障条件进行测试。潜在故障的参考列表如下,但不限于:
· 随机硬件故障机制
· 系统硬件故障机制
· 软件错误
· 常见故障
· 人为错误
· 环境影响(例如电磁、温度、机械现象)
· 供电系统电压干扰(例如供电中断、电压降低、电源重新连接)
虽然应该避免故障,但IEC 60601-1规定,如果两个独立的故障没有威胁到 生命,那么这两个故障的组合是可以接受的。必须避免危及生命的系统性故障,或者至少要有一个控制机制,以便在故障发生时减轻这种危险。
尽管有正确的设计和生产方法,随机故障还是会发生。这些例子包括电子元件的短路、继电器触点卡住和传感器故障。重要的是,在设备运行时对这些故障进行控制,使用设计措施,如冗余、多样性和/或自我测试。冗余控制使用两次相同的方法,只对随机硬件故障进行保护。多样性控制使用两种不同的方法,具有相同的功能,另外还可以部分地防止系统故障。
合适的诊断措施可以及时识别单个故障,并在多故障发生时间(MFOT)到期之前启动目标响应。在合适的架构中,所谓的看门狗可以例如监视医疗设备中的微控制器,并在发生故障时将设备置于安全状态。然而,单一故障也可能影响保护系统。鉴于此,风险评估还应考虑没有直接后果的(潜在)故障。与第二个故障一起,这些潜在故障可能会导致不可接受的风险。
虽然不能完全排除系统性错误,但必须将其发生概率及其后果降至最低。集成的控制和监控功能(如合理性检查)提高了设备的鲁棒性。原则上,产品越复杂,系统故障的潜在风险就越高。鉴于此,开发中使用的所有工具都需要经过鉴定。这不仅适用于软件框架,也适用于硬件和生产过程。冗余(以及必要时的多样性)结构,如电路中的第二个关闭单元(second shut-off unit)和主检查器(master-checker architectures)架构,有助于确保对随机故障的有效控制。
小结
功能安全涵盖从产品初始概念到危害分析和风险评估的所有安全生命周期活动;制定安全要求;规范、设计和实施;操作和维护;修改以及最终退役和/或处置。如果在设备生命周期早期未能解决功能安全问题,可能会导致设备启动无法修复的延迟。更重要的是,这可能会危及人类的生命。
