Haben Sie in letzter Zeit einen akribischen Menschen umarmt? Ich glaube, wir alle wissen die Früchte derjenigen zu schätzen, die sich methodisch durch die Feinheiten arbeiten, obwohl wir das oft als selbstverständlich ansehen. Kunst, schöne Architektur, robuste, zuverlässige Technologie, Raketenwissenschaft und Gehirnchirurgie - all das sind Beispiele dafür, dass sich jemand die Zeit genommen hat, jedes Kästchen zu überprüfen und nichts vorauszusetzen. Einige von uns haben diese "Veranlagung", andere lernen sie und wieder andere müssen dazu gezwungen werden. Den Vorschriften und Normen für Medizinprodukte ist es egal, in welche detailorientierte Kategorie ein Entwickler/Hersteller fällt, da alle ein Mindestmaß an Konformität erfüllen müssen. Die Einzelfehleranalyse ist ein gutes Beispiel.
In Teil 1 haben wir uns mit der Sicherheit und den wesentlichen Leistungsmerkmalen als Hauptanforderungen an ein Medizinprodukt befasst. Die Norm der Familie 60601-1 enthält klare Anforderungen an die Sicherheit und die wesentlichen Leistungsmerkmale unter normalen Betriebsbedingungen und im Falle eines einzelnen Fehlers. Das Verständnis der Erwartung eines einzelnen Fehlers ist wichtig für ein effektives und konformes Risikomanagement.
Komponenten, Teilsysteme und Systeme können in der realen Welt spezifiziert werden, und diese Spezifikationen haben Toleranzen. Bei der Entwicklung eines Produkts wird die Systemspezifikation zur Summe aller Komponenten- und Teilsystemspezifikationen, die zum System beitragen. Je nach Komponenten und Bedingungen können sich die Toleranzen der Spezifikation verengen (enger werden) oder erweitern (lockerer werden). Abbildung 1 zeigt ein Beispiel dafür, wie sich der Wert einer bestimmten Komponente ändern kann - in diesem Fall über einen erweiterten Temperaturbereich. Es ist Aufgabe des Entwicklers/Herstellers, die Spezifikationen (nominale und nicht-nominale) zu erstellen und zu verstehen, wie sie sich ändern können, und zu bestimmen, ob diese ausreichen, um die Sicherheit und die wesentliche Leistung des Systems unter normalen Bedingungen, aber auch unter Einzelfehlerbedingungen zu gewährleisten, wenn ein schwerer Schaden entstehen könnte.
Definition Bruch: Die Norm IEC 60601-1 definiert Normalzustand und Einzelfehlerbedingungen wie folgt (ME-Ausrüstung bedeutet medizinische elektrische Ausrüstung):
*A1 kann oder darf nicht gleich B1 sein und A2 kann oder darf nicht gleich B2 sein, d. h. B1 oder B2 können sich verschlechtern, dürfen aber kein unannehmbares Risiko darstellen.
In Sicherheitsfällen sind viele Spezifikationstoleranzfenster durch eine Norm definiert (z. B. 60601-X-X allgemeine, begleitende oder spezielle Normen, siehe Teil 1). In wesentlichen Leistungsfällen sind einige Toleranzen durch die Normen spezifiziert, während in anderen Fällen das Spezifikationstoleranzfenster vom Hersteller auf der Grundlage von klinischen und Risikoanalysen festgelegt wird (siehe Abschnitt 4.3 von 60601-1). Letztendlich muss sowohl für den Sicherheitsfall (NC, SFC) als auch für den wesentlichen Leistungsfall (NC, SFC) die Freiheit von inakzeptablen Risiken entweder durch die entsprechende Norm oder durch den Hersteller transparent (dokumentiert) festgelegt werden.
Schauen wir uns einige Beispiele für normale und Einzelfehlerbedingungen an, bevor wir die Einzelfehleranalyse diskutieren.
Beispiel Sicherheit: Wenn man ein Gerät an das Stromnetz anschließt, möchte man sicher sein, dass für den Patienten oder den Benutzer keine Gefahr eines Stromschlags besteht. Elektrizität folgt dem Weg des geringsten Widerstands, und daher muss die Konstruktion des medizinischen Geräts sicherstellen, dass sie unter normalen Bedingungen und unter einer Einzelfehlerbedingung nicht aus dem Gerät in den Patienten (oder Benutzer) "entweicht". Der Begriff "Anwendungsteil" wird für die Teile des Medizinprodukts verwendet, die mit dem Patienten in Kontakt kommen (Oberfläche oder innen). Es gibt sechs grundlegende Kategorien von Anwendungsteilen mit jeweils eigenen Spezifikationen. Ihre Symbole und Bezeichnungen sind in Abbildung 2 dargestellt.
In Abbildung 3 von 60601-1 (allgemeine Sicherheit) sind verschiedene Spezifikationen für die verwendeten Teiletypen unter normalen Bedingungen und unter Einzelfehlerbedingungen (Gleichstrom oder Wechselstrom) dargestellt. Beachten Sie, dass unter Einzelfehlerbedingungen (SFC in gelb) die Spezifikation erweitert (gelockert) oder verschlechtert wird. Im Fall von Leckagen in der Netzstromversorgung gilt der veröffentlichte Grenzwert als risikofrei, d. h., wenn Sie bei einem einzelnen Fehler innerhalb dieses äußeren Grenzwerts liegen, haben Sie bestanden (Sie müssen unter den Grenzwerten für den Normalzustand (NC) liegen, ohne dass ein einzelner Fehler vorliegt). Es handelt sich hierbei um eine "Typenprüfung", die im Rahmen der elektrischen Sicherheit geprüft wird und an die bei der Prüfung vorgelegte Stückliste gebunden ist. Was sind hier die Einzelfehlerbedingungen (SFC)? Typischerweise sind es Fehlerbedingungen wie vertauschte Polaritäten zwischen "heißer" und "neutraler" Stromleitung, unterbrochene "neutrale" Leitung, fehlende "Erde" usw. Sie werden im Rahmen der elektrischen Sicherheitsprüfung mit Analysatoren geprüft und die Leckage gemessen. (Diese Prüfung wird auch regelmäßig von Krankenhäusern an Geräten im Rahmen eines Wartungsprogramms durchgeführt).
Beispiel für eine wesentliche Leistung: Schauen wir uns ein Beispiel für die wesentliche Leistung (EP) an. Wie in Teil 1 dieses Blogs erwähnt, hängt die EP vom Zweck des Medizinprodukts ab, daher gibt es in vielen Fällen spezielle Sicherheits- und EP-Normen, die Akzeptanzbereiche festlegen. Dies gilt insbesondere für gängige medizinische Messungen; schauen wir uns also für dieses Beispiel die spezielle Norm 60601-2-34 an.
Die IEC 60601-2-34 trägt den Titel "Besondere Anforderungen an die grundlegende Sicherheit und die wesentlichen Leistungsmerkmale von invasiven Blutdruckmessgeräten". Wir verwenden diese spezielle Norm als Beispiel dafür, wie eine Norm ein Spezifikationsfenster für die kritische Blutdruckmessung festlegt. Für Messbereich und Messgenauigkeit heißt es in der Norm: Der Druckmessbereich muss mindestens -30 mmHg bis 250 mmHg betragen. Die kombinierten Auswirkungen von Empfindlichkeit, Wiederholbarkeit, Nichtlinearität, Drift und Hysterese müssen innerhalb von ± 4 % des Messwerts oder ± 0,5 kPa (± 4 mmHg) liegen, je nachdem, was größer ist.
Machen Sie sich keine Gedanken über die Zahlen in dieser Spezifikation, der Punkt ist, dass die Norm Mindestanforderungen für die wesentliche Leistung festlegt, und in diesem Fall sagt sie nicht NC oder SFC wie das obige Sicherheitsbeispiel. Sie bietet einige Zulässigkeiten während der Prüfung auf elektromagnetische Störungen (EMI) (d. h., wie das Gerät seine Messfähigkeit wiedererlangt) und sie diskutiert Selbstdiagnose und Gerätetechnologiealarme. Wir werden weiter unten erörtern, wie diese Aspekte bei der Behandlung von SFC mit wesentlicher Leistung eine Rolle spielen.
Vor dem Hintergrund der obigen Ausführungen wollen wir uns nun ansehen, wie wir die Herausforderung von Einzelfehlern angehen, um unannehmbare Risiken für die Sicherheit oder die wesentliche Leistung zu vermeiden.
60601-1 Abschnitt 4.7 definiert Kriterien für Einzelfehlerbedingungen für ME-Geräte. Umschreibung:
ME-Geräte müssen so konstruiert und hergestellt werden, dass sie einfehlersicher sind oder dass die durch die Risikoanalyse ermittelten Risiken akzeptabel bleiben.
Ein-Fehler-Analyse:
Das Medizinprodukt gilt als einfehlersicher, wenn es für jedes inakzeptable Risiko eine oder mehrere der folgenden Bedingungen erfüllt.
(Beachten Sie, dass ein einzelner Fehlerzustand, der einen oder mehrere andere Signalfehlerzustände verursacht, als ein einzelner Fehler behandelt wird, d. h. Kaskadenfehler).
Was bedeutet das? Nun, genau deshalb lieben wir unsere anspruchsvollen Entwickler/Hersteller! Eine sehr gründliche Analyse des Entwurfs, die sich auf die Sicherheit und die wesentliche Leistung in allen Bereichen konzentriert, muss bei Einzelfehlern durchgeführt werden. Für jeden identifizierten potenziellen Fehlermodus müssen eine oder mehrere der oben genannten Abhilfemaßnahmen a), b) oder c) angewendet und dokumentiert werden!
Yowzer, das ist viel mehr als nur die Betrachtung normaler Toleranzfenster in einem Stromversorgungsschaltkreis, einer Kette von Signalverarbeitungsschaltkreisen, einer thermischen Analyse oder einem mechanischen Stack-up. Es ist sehr wichtig, dies zu verstehen, da es sich um eine Mentalität handelt, die möglicherweise erst bei nachgelagerten Sicherheits-/EP-Tests/Analysen offensichtlich wird.
Betrachten wir diese Kategorien a, b, c anhand einiger Beispiele, um einen Eindruck davon zu bekommen, wie dies funktioniert.
A - Vorbeugung: Komponentenausfälle, die sich auf die grundlegende Sicherheit und/oder die wesentliche Leistung auswirken und schwerwiegende Gefahren bergen, die nicht durch Redundanz oder Erkennung gemildert werden können, machen eine Vorbeugung erforderlich. Dabei handelt es sich um eine Risikokontrollmaßnahme (Mitigation), die die Wahrscheinlichkeit des Auftretens eines bestimmten Fehlermodus verringert, indem sie verhindert, dass der Fehlermodus überhaupt auftritt (höhere Zuverlässigkeit). Die Prävention kann durch eine Erhöhung der Konstruktionsspanne bei handelsüblichen Teilen(COTS) oder durch die Verwendung von Komponenten mit hohen Integritätsmerkmalen(CHIC) erreicht werden. Die Analyse kann in hierarchischer Weise durchgeführt werden (beginnend auf Blockebene) und dann tiefer gehen. Für jede Unterbaugruppe oder Komponente, die an der Sicherheits- oder wesentlichen Leistungskette beteiligt ist, wird eine Analyse durchgeführt und entweder durch eine angemessene Herabstufung von COTS oder durch die Verwendung von CHICs abgeschwächt.
COTS: Verwendung von Standardteilen wie Widerständen, Kondensatoren und mechanischen Verbindungselementen mit ordnungsgemäßer Herabstufung. Klausel 4.8 spricht von der Verwendung innerhalb ihrer Spezifikationen. Mit De-Rating gelten sie als inhärent zuverlässig über die Lebensdauer der ME-Ausrüstung. Beispiele sind Leistungswerte für Widerstände oder Spannungswerte für Kondensatoren, wobei sie Werte aufweisen, die >2x über dem schlechteren Fall der Umgebung/Funktionsanwendung liegen.
CHIC: Abschnitt 4.9 besagt, dass eine Komponente mit hochintegrierten Eigenschaften verwendet werden muss, wenn ein Fehler in einer bestimmten Komponente ein inakzeptables Risiko darstellen kann. Diese Komponenten können den einschlägigen IEC- oder ISO-Normen entsprechen, was in Verbindung mit der Typprüfung als Nachweis dient. Falls nicht, können sie gemäß der Reihe 60601-1 geprüft werden.
B - Erkennung: Erkennungsmaßnahmen erkennen das Auftreten eines bestimmten Fehlermodus eines Moduls und/oder einer Komponente , bevor der Schaden/die Gefahr durch den Verlust der betroffenen Funktionen eintritt. Erkennungsmethoden wie ein Selbsttest, Diagnoseüberwachungsschaltungen und/oder -software und Integritätsprüfungen mit Alarmen sind alles Beispiele für Erkennungssysteme, die so konzipiert sind, dass sie den Benutzer informieren, bevor die Möglichkeit besteht, dass eine Gefahr einen Schaden verursacht. Die Erkennungsrate ist wichtig für die Angemessenheit (d. h. ein Selbsttest, der einmal im Monat bei einem Gerät durchgeführt wird, das mehrmals täglich verwendet wird, ist kein geeignetes Erkennungsschema, während die Messung der Impedanz zwischen den Defibrillationselektroden vor der Verabreichung eines Schocks ein geeignetes Erkennungsschema für die Elektrodenplatzierung ist).
C - Redundanz: Redundanz ist das, was einem bei dem Begriff "einfehlersicher" in den Sinn kommt. Bei der Redundanzminderung (Risikokontrollmaßnahme) handelt es sich um einen völlig unabhängigen Ersatzstromkreis, eine redundante mechanische Konstruktion, eine Ersatzsoftware oder eine klinische Methode, die sicherstellt, dass ein Ausfall der Hauptkomponente kein inakzeptables Risiko darstellt. Nachstehend finden Sie einige Beispiele für die Sicherheit und/oder die wesentliche Leistung:
Die Einzelfehleranalyse ist rigoros, umfasst das gesamte System und wird dokumentiert. Sie kann zu spezifischen, maßgeschneiderten Abhilfemaßnahmen für bestimmte Einzelfehlerbedingungen (SFC) führen oder aus umfassenderen Abhilfemaßnahmen bestehen, die eine Reihe von SFC abdecken. Sie wird entwickelt, getestet und dokumentiert, was zu einer Reihe von Aufzeichnungen für die verschiedenen Bereiche der Architektur führen kann. Sie ist ein wichtiger Teil der Sicherheits- und wesentlichen Leistungstests und muss in Verbindung mit der gesamten Risikoanalyse durchgeführt werden.
Bei Qserve verfügen wir über Ingenieure, die sich mit Details befassen, sowie über Qualitäts-, Regulierungs- und klinische Ressourcen, die uns bei der Definition der wesentlichen Leistung, der Durchführung der Risikoanalyse und der Einzelfehleranalyse unterstützen. Es ist unser Bestreben, die Details zu berücksichtigen, die notwendig sind, um unsere Kunden dabei zu unterstützen, ihre medizinischen und in-vitro-diagnostischen Geräte auf den globalen, stark regulierten Markt zu bringen.