Avez-vous serré une personne méticuleuse dans vos bras dernièrement ? Je pense que nous apprécions tous les fruits de ceux qui travaillent méthodiquement dans les moindres détails, même si nous les considérons souvent comme acquis. Les beaux-arts, la beauté de l'architecture, la robustesse et la fiabilité de la technologie, la science des fusées et la chirurgie du cerveau sont autant d'exemples où quelqu'un a pris le temps de vérifier toutes les cases et de ne rien supposer. Certains d'entre nous ont ce "penchant", d'autres l'apprennent et d'autres encore ont besoin d'être contraints. Les réglementations et les normes relatives aux dispositifs médicaux ne se soucient pas de la catégorie de développeurs/fabricants orientés vers le détail qu'ils occupent, car tous doivent respecter un niveau minimum en matière de conformité. L'analyse d'un défaut unique en est un bon exemple.
Dans la première partie, nous avons examiné la sécurité et les performances essentielles en tant qu'exigences clés pour un dispositif médical. La norme de la famille 60601-1 définit clairement les attentes en matière de sécurité et de performances essentielles dans des conditions de fonctionnement normales et dans le cas d'une défaillance unique. Il est important de comprendre les attentes en cas de défaillance unique pour une gestion des risques efficace et conforme.
Les composants, sous-systèmes et systèmes du monde réel peuvent être spécifiés et ces spécifications ont des tolérances. Lors du développement d'un produit, la spécification du système devient la somme de toutes les spécifications des composants et sous-systèmes contribuant au système. En fonction des composants et des conditions, les tolérances de la spécification peuvent se réduire (se resserrer) ou s'élargir (s'assouplir). La figure 1 montre un exemple de la manière dont la valeur d'un composant particulier peut changer - dans ce cas, sur une plage de température étendue. Il appartient au développeur/fabricant de créer les spécifications (nominales et non nominales), de comprendre comment elles peuvent changer et de déterminer si elles sont suffisantes pour garantir la sécurité et les performances essentielles du système dans des conditions normales, mais aussi dans des conditions de défaillance unique, dans les cas où un dommage grave pourrait en résulter.
Rupture de définition : La norme CEI 60601-1 définit les conditions normales et les conditions de défaillance unique comme suit (ME Equipment signifie Medical Electrical Equipment) :
*Lorsque A1 peut ou non être égal à B1 et A2 peut ou non être égal à B2, c'est-à-dire que B1 ou B2 peut être dégradé mais ne doit pas créer un risque inacceptable.
Dans les cas de sécurité, de nombreuses fenêtres de tolérance de spécification sont définies par une norme (c'est-à-dire les normes générales, collatérales ou particulières 60601-X-X, voir la partie 1). Dans les cas de performance essentielle, certaines tolérances sont spécifiées par les normes, tandis que pour d'autres, la fenêtre de tolérance de spécification est définie par le fabricant sur la base d'une analyse clinique et de risque (voir la clause 4.3 de la norme 60601-1). En fin de compte, pour le cas de sécurité (NC, SFC) et le cas de performance essentielle (NC, SFC), l'absence de risques inacceptables doit être établie de manière transparente (documentée), soit par la norme appropriée, soit par le fabricant.
Examinons quelques exemples de conditions normales et de conditions de défaillance unique avant d'aborder l'analyse de défaillance unique.
Exemple de sécurité : L'électricité suit le chemin de moindre résistance et, par conséquent, la construction du dispositif médical doit garantir qu'elle ne "fuira" pas du dispositif vers le patient (ou l'utilisateur) dans des conditions normales et dans une condition de défaut unique. Le terme "partie appliquée" est utilisé pour les parties du dispositif médical qui entrent en contact avec le patient (surface ou intérieur). Il existe six catégories de base de parties appliquées, chacune ayant ses propres spécifications. Leurs symboles et leurs noms sont décrits dans la figure 2.
La figure 3, tirée de la norme 60601-1 (sécurité générale), présente diverses spécifications pour les types de pièces appliquées dans des conditions normales et des conditions de défaut unique (alimentation en courant continu ou en courant alternatif). Notez que dans des conditions de défaut unique (SFC en jaune), la spécification est plus large (plus lâche) ou dégradée. Dans le cas de la sécurité contre les fuites d'alimentation secteur, la limite dégradée publiée est considérée comme exempte de risque inacceptable par la norme, de sorte que si, en cas de défaut unique, vous vous situez à l'intérieur de cette limite extérieure, vous réussissez (vous devez vous situer à l'intérieur des limites des conditions normales (CN), sans défaut unique). Il s'agit d'une spécification d'"essai de type" testée dans le cadre de la sécurité électrique et liée à la nomenclature soumise lors des essais. Quelles sont les conditions de défaut unique (SFC) ? Il s'agit généralement de conditions de défaut telles que l'inversion des polarités entre les lignes électriques "chaudes" et "neutres", la déconnexion de la ligne "neutre", l'absence de "mise à la terre", etc. Ils sont testés par des analyseurs et les fuites sont mesurées dans le cadre des tests de sécurité électrique. (Ces tests sont également effectués périodiquement par les hôpitaux sur les équipements dans le cadre d'un programme de maintenance).
Exemple de performance essentielle : Prenons un exemple de performance essentielle (EP). Comme indiqué dans la première partie de ce blog, l'EP dépend de la finalité du dispositif médical et, dans de nombreux cas, il existe des normes de sécurité et d'EP particulières qui spécifient les fenêtres d'acceptabilité. Cela est particulièrement vrai pour les mesures médicales courantes ; ainsi, pour cet exemple, examinons la norme particulière 60601-2-34.
La norme IEC 60601-2-34 est intitulée "Exigences particulières pour la sécurité de base et les performances essentielles des appareils de surveillance invasive de la pression artérielle". Nous utilisons cette norme particulière comme exemple de la manière dont une norme établit une fenêtre de spécification pour la mesure critique de la pression artérielle. En ce qui concerne l'étendue et la précision de la mesure, la norme stipule que Les effets combinés de la sensibilité, de la répétabilité, de la non-linéarité, de la dérive et de l'hystérésis doivent se situer à ± 4 % de la lecture ou à ± 0,5 kPa (± 4 mmHg), la valeur la plus élevée étant retenue.
Ne vous inquiétez pas des chiffres de cette spécification, l'important est que la norme fixe des exigences minimales pour les performances essentielles, et dans ce cas, elle ne dit pas NC ou SFC comme dans l'exemple de sécurité ci-dessus. Elle prévoit certaines tolérances pendant les tests d'interférence électromagnétique (EMI) (c'est-à-dire sur la façon dont l'appareil récupère sa capacité de mesure) et elle discute de l'autodiagnostic et des alarmes technologiques de l'appareil. Nous verrons plus loin comment ces éléments s'intègrent dans notre approche de la SFC avec les performances essentielles.
Compte tenu du contexte ci-dessus, voyons comment nous relevons le défi des défaillances uniques en prévenant les risques inacceptables pour la sécurité ou les performances essentielles.
La clause 4.7 de la norme 60601-1 définit les critères de condition de défaut unique pour les équipements ME. Paraphrase :
L'équipement ME doit être conçu et fabriqué de telle sorte qu'il reste sûr en cas de défaillance unique, ou que les risques restent acceptables, comme déterminé par l'analyse des risques.
Analyse de défaillance unique :
Le dispositif médical est considéré comme sûr en cas de défaillance unique s'il remplit une ou plusieurs des conditions suivantes pour chaque risque inacceptable.
(Remarque : une condition de défaillance unique qui entraîne une ou plusieurs conditions de défaillance d'un autre signal est traitée comme une seule défaillance, c'est-à-dire comme des défaillances en cascade).
C'est pourquoi nous aimons nos développeurs/fabricants exigeants ! Une analyse très approfondie de la conception, axée sur la sécurité et les performances essentielles dans tous les domaines, doit être effectuée pour les défaillances uniques. Pour chaque mode de défaillance potentiel identifié, une ou plusieurs des mesures d'atténuation a), b) ou c) ci-dessus doivent être appliquées et documentées !
C 'est beaucoup plus qu'un simple examen des fenêtres de tolérance normales dans un circuit d'alimentation, une chaîne de circuits de traitement des signaux, une analyse thermique ou un empilement mécanique. Il est très important de comprendre cela car il s'agit d'une mentalité qui peut ne pas être évidente jusqu'à ce qu'elle soit rencontrée en aval au cours des essais/analyses de sécurité/de protection de l'environnement.
Examinons ces catégories a, b, c à l'aide de quelques exemples pour avoir une idée de la manière dont cela fonctionne.
A - Prévention: les défaillances de composants qui ont un impact sur la sécurité de base et/ou les performances essentielles avec des risques graves qui ne peuvent pas être atténués par la redondance ou la détection justifient le besoin de prévention. Il s'agit d'une mesure de contrôle des risques (atténuation) qui réduit la probabilité d'occurrence d'un mode de défaillance particulier en empêchant le mode de défaillance de se produire en premier lieu (augmenter la fiabilité). La prévention peut être réalisée en augmentant la marge de conception des pièces disponibles dans le commerce(COTS) ou en utilisant des composants présentant des caractéristiques d'intégrité élevées(CHIC). L'analyse peut être effectuée de manière hiérarchique (en commençant au niveau d'un bloc), puis en approfondissant l'analyse. Pour chaque sous-ensemble ou composant impliqué dans la chaîne de sécurité ou de performance essentielle, une analyse est effectuée et atténuée soit par un déclassement approprié des COTS, soit par l'utilisation de CHIC.
COTS: Utilisation de pièces standard telles que des résistances, des condensateurs et des fixations mécaniques avec un déclassement approprié. La clause 4.8 traite de l'utilisation dans le cadre de leurs spécifications. Avec un déclassement, ils sont considérés comme intrinsèquement fiables pendant la durée de vie de l'équipement ME. Des exemples sont les puissances nominales pour les résistances ou les tensions nominales pour les condensateurs, qui ont des valeurs nominales >2x supérieures à l'application fonctionnelle ou à l'environnement le plus défavorable.
CHIC: la clause 4.9 stipule qu'un composant présentant des caractéristiques de haute intégrité doit être utilisé lorsqu'une défaillance d'un composant particulier peut générer un risque inacceptable. Ces composants peuvent être conformes aux normes CEI ou ISO pertinentes, ce qui sert de preuve en combinaison avec les essais de type. Si ce n'est pas le cas, ils peuvent être testés conformément à la série 60601-1.
B - Détection : Les méthodes de détection telles que l'auto-test, les circuits et/ou logiciels de surveillance diagnostique et les contrôles d'intégrité avec alarmes sont autant d'exemples de schémas de détection conçus pour informer l'utilisateur avant qu 'un danger n'ait la possibilité de causer un dommage. Le taux de détection est important pour déterminer s'il est approprié (par exemple, effectuer un autotest une fois par mois sur un appareil utilisé plusieurs fois par jour n'est pas une méthode de détection appropriée, alors que mesurer l'impédance entre les électrodes de défibrillation avant d'administrer un choc est une méthode de détection appropriée pour le placement des électrodes).
C - Redondance: La redondance est ce qui vient à l'esprit lorsqu'il s'agit d'assurer la sécurité en cas de défaillance unique. L'atténuation de la redondance (mesure de contrôle des risques) est un circuit électrique de secours totalement indépendant, une conception mécanique redondante, un logiciel de secours ou une méthode clinique qui garantit qu'un mode de défaillance du composant principal n'entraînera pas de risque inacceptable. Quelques exemples pour la sécurité et/ou les performances essentielles sont présentés ci-dessous :
L'analyse de défaillance unique est rigoureuse, concerne l'ensemble du système et est documentée. Elle peut déboucher sur des mesures d'atténuation spécifiques et adaptées à des conditions de défaillance unique (SFC) particulières ou sur des mesures d'atténuation plus larges qui tiennent compte d'une série de SFC. Elle est conçue, testée et documentée, ce qui peut donner lieu à un ensemble d'enregistrements pour les différents domaines de l'architecture. Il s'agit d'une partie importante des tests de sécurité et de performances essentielles, qui doit être réalisée conjointement avec l'analyse des risques.
Chez Qserve, nous disposons d'ingénieurs spécialisés, de ressources qualité, réglementaires et cliniques pour nous aider à définir les performances essentielles, à effectuer l'analyse des risques et l'analyse de défaillance unique. Notre passion est d'embrasser les détails nécessaires pour aider nos clients à mettre leurs dispositifs médicaux et de diagnostic in vitro sur le marché mondial hautement réglementé.