黄煜 乔峰 官辉 兰婉玲 李云鹤 石盛东 四川省药品检验研究院(四川省医疗器械检测中心) (四川 成都 610045)
内容提要: 随着我国人民生活水平的提高和医疗保健意识的增强,医疗设备产业也随之蓬勃发展,医疗设备日新月异,加之新技术在医疗设备上的应用,安全性一直都是医疗设备设计、生产和使用的核心与重点。结合GB9706.1-2020标准的具体内容,从风险控制的角度分析医疗设备的安全设计思维,并阐述安全设计中需要考虑的因素与方法。
近些年来,随着医疗设备产业的发展,医疗设备的受众面越来越广,从医院到家庭,再到户外,医疗设备的功能和使用场景越来越多样,随之而来的是医疗设备的安全事故频发,时刻挑战着用械安全,如何提高医疗设备的安全性?根本上需要从产品设计时出发,把危害扼杀在源头。本文从单一故障的思维、可用性的思维、性能安全思维、可靠性思维和环境友好思维五个方向探讨医疗设备安全设计,给研发人员在医疗设备设计时提供一些思维与逻辑,避免医疗设备在研发时引入潜在危险源。
医疗设备不同于普通的消费电子或IT类设备,主要是围绕患者和医护人员来运行的,由于医疗设备的特殊性,其目的是用于对疾病或损伤的诊断、预防、监护、治疗或者缓解,加上受众群体的复杂性,年龄上覆盖了新生儿、儿童、成年人和老人等;在健康程度上涉及了健康人群、亚健康人群和危重患者等,所以医疗设备的安全性尤为重要。医疗设备的安全性不仅影响到对患者的有效治疗,还关系到患者和医护人员的人身健康,医疗设备在实现临床功能的同时应坚决杜绝给患者带来二次伤害。
生产者对医疗设备关注的重点是经济性,也就是用最小的成本来实现预期用途;用户对医疗设备关注的重点是易用性,也就是如何方便快捷使用医疗设备的功能;监管者对医疗设备关注的重点是安全性,医疗设备在使用过程中不能对任何人有不可接受的危害。生产者不能“唯利是图”,而忽视了医疗设备的安全性和易用性。追根溯源,医疗设备的安全性和易用性也是由生产者去实现和保障的,所以医疗设备的设计始终围绕着安全性、易用性和经济性在展开。
提高医疗设备的安全性设计一定会导致其成本的上升,易用性的提高也会提升其安全性,生产厂家应在保障生产安全有效的医疗设备的前提下谋得利益最大化,因此医疗设备的设计一直在寻求安全性、易用性和经济性的三者之间的平衡,以取得最大收益。
医疗设备安全设计等级分为三类。
无条件的安全设计是指医疗设备自身不会带有危险源,如红外体温计使用内部电源DC5V供电,则医疗设备在使用过程中就无过电压的风险,相应的电击危害就会减小;如内窥镜设计时使用冷光源,在工作镜管进入人体内后无危险热源。
但是由于在医疗设备功能实现时不可避免地需要引用危险源,如电动病床在实现床面运动时,需要大功率电机驱动,而使用内部电源供电无法长时间稳定地运行,就需要引入网电源供电,从而引入了电击的风险,这时就需要防护措施把危险电源与患者、操作者隔离开来,从而就有了第二类医疗设备安全设计等级即有条件的安全设计。
医疗设备在实现功能时必不可免地带来的电击、能量、引燃、机械、热、辐射和化学等方面的危险源,研发人员在设计时就应准确地识别到产品自身的危险源,并对相应的危险源做防护措施,避免危险源与人体直接接触。标准GB9706.1-2020[1]中8.5章节部件的隔离,就罗列出来针对于不同类别的电击危险对应的防护措施,例如要求危险电源与患者之间需要有2个MOPP的防护,则防护措施需要做到加强绝缘或双重绝缘。9.2章节与运动部件相关的机械危险中规定了运动产生的危险源应如何去进行防护[1]。
但在某些特定医疗设备功能实现过程中,危险源不得不暴露出来,例如除颤仪在对发生心颤的患者进行治疗时,除颤仪手柄上电极之间会高达5kV的电压,这对患者起治疗作用,但对医护人员等操作人员来说就是危险电压,手柄在使用中操作人员需要用手去抓握,手柄上的电极则有与操作人员接触的风险,但是产品设计中无法增加有效的防护措施,这时可以使用标识标记与有效的人员培训来达到风险控制的目的,如增加“危险电压”警示标识、对医护人员进行专业培训、在说明书中列出使用时的注意事项等。但是说明性的安全有很大的使用局限,如家用医疗设备,在应用说明性的安全设计时需要谨慎,在家庭使用环境中,使用者认知能力差异很大,对于文化程度低的老人来说,说明性的安全设计是很难起到有效防护的。
这三种设计等级也是与医疗设备安全性、易用性和经济性息息相关的,无条件的安全设计成本最高,其次是有条件的安全设计,最低是说明性的安全设计。无条件的安全设计使用起来的易用性也是最高的,无需任何的培训或阅读说明书,没有特别的使用要求。同样地,无条件的安全设计的安全性是最高的,有条件的安全设计和说明性的安全设计的安全性依次降低。
医疗设备的危险源来源于很多方面,电击、机械伤害、热源、辐射、有毒物质和电磁辐射等方面,医疗设备在实现临床功能同时将这些危险源暴露出来,原因有以下3个方面。
①很多医疗设备研发人员本身不是从事医疗行业出身,对医疗设备法规、标准不懂或不了解,存在惯性思维,如在电路中设计隔离距离依然按照IT电子的要求来设计;②研发周期仓促,医疗设备设计仅仅考虑功能实现,未考虑设备的合规性;③零部件选型未满足医疗级别,如选用的适配器不是医疗电源,外壳的防火等级等不满足医疗标准的要求;④一些新技术的运用,由于临床使用经验缺乏,导致没有大量的运行数据进行验证,潜在风险点未暴露出来。
医疗设备安装条件不符合实际需求,如,医院保护接地阻抗过大,气体供应压力低,电源不稳定,电磁环境复杂等情况。
医疗设备在应用时,因培训不到位、人员疏忽等因素导致的误操作,使产品出现爆炸、起火、电击等危险状况。
在医疗设备开发时需要明确设备的预期用途,从设备自身实际运行情况出发,考虑到潜在危险源,利用风险分析的手段,设计出相应的防护措施,在此过程中医疗设备研发人员需要有一定的思维逻辑,总结起来有以下5个方面。
医疗设备的故障最直接影响对象是患者和操作者,这也就是为何医疗设备只需要考虑的单一故障,如果一个设备的故障带来的不良影响涉及更多的人员和更大的范围,那么单一故障的设计从风险控制的角度来考虑是不够的,这时就需要考虑多重故障防护。医疗设备设计考虑多重故障也是没有任何问题的,但是从设备的成本和收益角度考虑是不具备性价比的。
首先需要明确一个概念,任何医疗设备都会有发生故障的时候,如果医疗设备不可避免地发生了故障,医疗设备就应该被设计和制造成在单一故障时能够保障其安全性,需要从两方面考虑:①故障状态时,要明确医疗设备的基本性能丧失,也就是故障状态能够被医护人员或者患者发现,能够及时地判断医疗设备的不可用,避免进一步对患者造成伤害。②故障状态时,能够维持基本性能和基本安全。例如故障发生后,首先,不能喷出火焰、熔化金属、达到危险量的有毒或可燃物质,外壳不能变形到影响医疗设备机械强度,外壳、可接触部件或应用部分不能超温等;其次,性能不能降低到制造商应规定限值,这个性能限值以下一定会导致不可接受的风险。
标准GB9706.1-2020[1]中条款8.1电击防护的基本原则中要求在正常状态或单一故障状态下,可触及部分和应用部分不应超过条款8.4中规定的限值。也就是说在故障状态下,也不能超过电压、电流或者能量的限值,即需要维持基本安全。
从产品设计的角度考虑,任何危险源与操作者和患者之间都必须考虑两层防护措施,一旦其中一层防护措施失效后,剩余的一层防护措施仍然能够维持医疗设备的基本性能与基本安全。
可用性的定义是“产品在特定使用环境下为特定用户用于特定用途时所具有的有效性、效率和用户主观满意度”[2]。主要是有效性,效率,满意度3个方面。①有效性:用户在完成特定任务和达到特定目标时所具有的正确和完整程度。即用户能否完成给定的任务[3];②效率:用户正确完成任务所消耗的资源。如完成任务所需的时间、请求帮助的次数[3];③满意度:用户在使用产品过程中所感受到的主观满意和接受程度[3]。
当今医疗设备可用性的问题越来越多,医疗设备的复杂性是决定性的因素,医疗设备综合了工程学、物理学、生物学和医学的理论和方法,本身的技术门槛较高,医疗设备的研发人员和使用人员同样需要有较强的专业技术背景。
医疗设备可用性的重点考虑思路就是误操作,由于现代的医疗环境和医疗设备的复杂程度增加,很多医护人员在没有及时地了解产品或者受到专业的培训就匆匆上岗操作,同时使用者、人机交互界面、任务和环境之间的不匹配而引起医疗设备的响应与使用者的期望不一致,使得设备在使用过程中误操作增多。但是要分清楚使用错误和用户错误,使用错误是重复和可预测的,它可以通过设计降至最小化,可以利用可用性测试和危害分析进行识别。用户错误是由于不可预测的人员根本性错误而导致的,它是不能被设计者预防和解决的,这也暗示着责任在于使用者。
医疗设备在进行可用性设计时应重点考虑以下4个方面:①使用环境有负面影响。医疗设备在使用过程中因使用环境的不同,需要考虑从环境中带来的负面影响,例如在户外使用除颤仪器进行除颤操作时,会有围观群众的吵杂声,这时医疗设备设计提示音或报警音就需要考虑如何避免环境噪音的干扰。②与医疗设备使用相关的要求不能超出用户的能力。医疗设备的功能或者操作界面设计得过于复杂,需要一定认知能力的用户进行操作,而设备又是可以在家用环境进行操作,这样的设计就明显不合理,因为家用环境中的用户有受过教育的成人,也有没有任何教育背景的老人,这时就需要根据使用的实际情况去优化医疗设备的操作设计。③医疗设备使用与用户的期望或直觉不一致。医疗设备的功能实现过程中,设备的操作不符合正常的心理预期,例如逃生门设计成推拉门,在紧急逃生时,一般人认知就是推门,就会造成发生危险时不能第一时间安全逃离。④设备以意想不到的方式来实现。如隐藏式的舱门,指示灯般的按键,这些都是会让用户在使用过程中产生困惑,增加医疗设备的误用概率。
因为医疗设备不正常运行导致的风险也直接影响着患者的生命健康,特别是一些生命支持设备,一旦功能失效会直接危及患者的生命安全。例如诊断类设备,功能一旦出错就会带来误诊和漏诊,从而影响到医护人员的治疗方案,最终将危及患者的生命安全。所以标准GB9706.1-2020引入了基本性能的概念。
标准GB9706.1-2020[1]定义的基本性能为与基本安全不相关的临床功能性能,其丧失或降低到超过制造商规定的限制会导致不可接受的风险。
医疗设备的重要价值意义在于临床功能,而临床功能的核心在于性能指标是否满足要求。一个医疗设备的功能有多种,例如心电图机的功能有心电波形显示、心电信号采集、心电波形打印和数据分析并出具心电图报告等。需要考虑的是什么功能失效是不可接受的,心电波形打印功能失效,无非是无法打印,医生能够很清楚地了解到打印功能无法实现;心电波形显示失效,医生也能够很容易发现心电图机无法使用并报修;但是心电采集功能和分析功能出了问题,医生是无法有直接的感官判断,也就是心电图机即使有问题,医生也会对错误的波形进行分析,从而导致医生错误的诊断,相应地也会给与患者错误的治疗。在GB 9706.225-2021[4]中明确定义了心电图机的自动测量、幅度测量要求和间期测量要求作为心电图机的基本性能,这些性能直接影响着心电图机的诊断结果,从而影响到医生对患者病情的判断,所以这些性能是基本性能,它们的失效就是不可接受的。
所谓的基本性能其实就是从安全角度考虑设备性能是否能够满足临床要求,医疗设备的基本性能失效一定会带来不可接受的风险。基本性能的考量应从两个方面出发:一是临床功能,这也就是狭义上的基本性能;二是维持临床功能不失效的风险控制措施,例如报警功能,医疗设备的临床功能在已有技术及使用环境中发生不能保持的性能降低,那么这时应给予医护人员、操作人员或者患者一种指示,让其作出相应的操作。例如,生命支持设备遇到断电,那么医疗设备首先应有内部电源对设备的性能进行短暂的维护,其次还应对网电供应状态给出警示,提示相关人员进行电源的恢复。所以有的医疗设备专标都定义报警系统为基本性能。
医疗设备要验证基本性能,首先需要通过功能试验来证明医疗设备能够保持制造商规定的限值之内,其次需要验证基本性能的风险控制措施是否有效,特别需要考虑整个预期使用寿命内这种的措施是否能够保障,也就是下文要讲的可靠性思维。
医疗设备的生命周期,包括原材料采购,生产组装,检验出厂,交接用户,最后设备报废。在整个生命周期内,设备的基本性能和基本安全都应该被保障。标准GB9706.1-2020[1]也是有这方面要求的,例如条款8.9.3.4热循环试验,对使用绝缘化合物在其他绝缘部件之间构成黏合接缝时,需要对三个样品进行热循环试验,完成热循环后进行相应的电介质强度试验。
《医疗设备监督管理条例》[5]中第三十九条中医疗设备的说明书、标签应标明下列事项:(三)生产日期,使用限期或者失效日期。《有源医疗设备使用期限注册技术审查指导原则》[6]提到在该期限内,除了应保证产品安全使用,也应保证产品有效使用。同样,在该期限内,即意味着产品采用的所有风险控制措施仍然有效,已知剩余风险依然在可接受范围内。所以医疗设备在整个生命周期中的可靠性是强制要求的。
医疗设备在设计时应从临床使用频次、人员素质、医疗环境、使用场所和工作模式,以及不同用户对医疗设备操作习惯等方面考虑可靠性设计。需要重点考虑以下因素:①气候影响:如温湿度、大气压、盐雾、光照等方面;②机械影响:贮存、运输、周转、安装、使用和维护过程中有可能遭遇的振动碰撞;③电磁影响:医疗设备是否满足YY 9706.102中抗扰度的要求;④生物化学影响:在清洁、消毒和灭菌后医疗设备基本安全和基本性能能否保障;⑤零部件的维修与维护:维修、维护和保养是保障医疗设备可靠性的关键,应考虑关键部件的寿命和维护与维修的便捷性。
医疗设备在生产、使用过程中应该对环境是无害的或者低危害的,医疗设备对环境的影响最终都会影响到人。医疗设备无论是在正常使用过程中,还是在单一故障状态下都不允许对使用环境造成危害。
例如电磁兼容发射测试,都是需要医疗设备的电磁辐射在限值之内,以防止过量的电磁干扰释放到环境中,对环境中的其他医疗设备造成干扰,从而影响其他医疗设备的正常工作。
GB9706.1-2020[1]中条款9.7.5要求装有毒、易燃或其他危险物质的压力容器不容许泄漏;条款13.1.2要求不能喷出火焰、熔化金属、达到危险量的有毒或可燃物质;条款7.9.2.15要求使用说明书应提供废弃物、残渣等以及医疗设备和附件在其预期使用寿命结束时正确处理的建议。这些有毒、有害、易燃等危险物质泄漏到环境中,要么会污染环境,要么会引起灾难,最终必然会影响到患者或者操作者的生命健康。
医疗设备环境友好思维是要在医疗设备全生命周期进行风险控制,需要在医疗设备设计和开发阶段,系统地考虑原材料选型、生产、销售、使用、维护和报废等各个环节对环境造成的影响,将对环境的不利影响在全生命周期中最小化。
这需要从两个方面考虑:一是在整个医疗设备的生命周期内都不会产生影响环境的危险物质,例如选用无毒无害的原材料,使用低辐射的元器件等;二是如果因为医疗设备的功能实现不可避免地需要引入危险物质,例如X射线源、具有生物安全风险的试剂等,这时就需要有合理的措施去保障这些危险源不会暴露出来,或者考虑有效的措施把这种风险降低到可接受的范围内。
安全有效始终是考量一个医疗设备是否合格的唯一标准。当今,无论是医疗设备的使用者和监管者,用械安全一直是放在首位的,这是对医疗设备生产者的最基本要求。随着使用者对医疗设备更多的期望,无论是功能上的丰富,性能上的提高,还是新技术的运用,都对生产者的整体素质有更高的要求,其中涉及生产者的研发能力、生产能力、质量控制能力和售后服务能力等,生产者需要具备更专业的技术力量和更牢固的安全意识,力争在医疗设备孵化时能够给其注入良好的基因。