医疗器械
第一部分:医疗器械可用性的应用
1. 范围
IEC 62366的这一部分规定了制造商分析、指定、开发和评估与安全有关的医疗设备的可用性的过程。该可用性工程(人工因素工程)过程允许制造商评估和减轻与正确使用和使用错误相关的风险,即正常使用。它可用于识别但不评估或减轻与异常使用相关的风险. 注1:安全是免于不可接受的风险。使用错误可能会产生不可接受的风险,这可能导致直接的身体危害或临床功能的丧失或退化。
注2:有关可用性工程应用于医疗设备的指南载于IEC 62366-22,该指南不仅涉及安全性,而且涉及与安全无关的可用性方面。
如果本国际标准中详细说明的可用性工程流程已得到遵守,则除非有客观证据相反,否则医疗设备与安全有关的可用性被推定为可以使用。 注3:这类客观证据可能随后来源于后期生产监视。 2. 引用标准
下面的文档的全部或部分被标准的引用到这个文档中并且对于应用是不可缺少的。对于有日期的引用,只有引用的版本适用。对于没有日期的引用,参考文件的最新版本(包括任何修改)适用。
注1:规范要求中引用这些参考文件的方式决定了它们的适用范围(全部或部分)。 注2:参考资料列于第46页开始的参考书目。
ISO 14971:2007,医疗器械-医疗器械风险管理的应用 3. 术语和定义
为了这个文档的目的,术语和定义被提供在ISO14971:2007和下面的应用中。 术语定义的索引从49页开始. 3.1非正常使用
故意的有目的的动作或动作有目的的删除,这是与正常应用相反的或亵渎正常应用的,也是超出任何制造商制定的风险控制的用户相关界面的合理方式.
例如:为安全起见,不计后果地使用、破坏或故意无视信息是此类行为。 条目说明1:也见4。1。3
条目说明2:未异常使用的有意但错误的操作被视为使用错误的一种类型。
条目说明3:非正常使用并不能免除制造商考虑与非用户界面相关的风险控制手段. 条目说明4:图1显示使用类型的关系。 3。2附属文档
附属于医疗器械的资料,并含有用户所需信息或医疗器械的安装、使用和维护说明,特别是关于安全使用.
条目说明1:附属文档可以包括使用说明、技术描述、安装手册、快速参考指南等。
条目说明2:附属文档不必一定是被写或打印的文档,也可以包括音频、视频或触觉材料和多媒体类型。
1 / 15
条目说明3:在没有使用说明的情况下可以安全使用的医疗器械,由一些有权限的权威机构免除使用说明.
来源于ISO14971:2007,2.1的修改. 3。3正确使用
正常使用无使用错误
备注1输入:偏离使用说明时,只有在导致医疗设备响应与制造商的预期或用户预期不同的情况下,才被视为使用错误。
条目说明2:图1显示了使用类型的关系。
图1:显示使用类型的关系
医疗器械使用:正常使用:正确使用 使用错误 非正常使用
3.4效用
用户达到指定目标的准确性和完整性
条目说明1:这是不同于[医]临床结果的方面. 来源于ISO9241-11:1998,3。2的修改. 3。5效率
与效用有关的资源支出
来源于ISO9241-11:1988,3。3的修改. 3.6预期服务寿命
被制造商规定的时间期限,在这个时间里医疗器械能保证安全使用(即维持基本安全和必要性能)
条目说明1:在预期服务寿命中,维护是必要的。
来源于IEC60601-1:2005和IEC60601—1:2005/AMD1:2012,3。28的修改. 3。7形成性评价
进行用户界面评估,目的是探索用户界面设计的优点、弱点和意外的使用错误。
条目说明1:形成性评价通常在整个设计和开发过程中迭代执行,但在总结性评价之前,在必要时指导用户界面设计。 3。8危险相关使用场景
能导致危险情况或伤害的使用场景。
条目说明1:与危险相关的使用场景通常会与潜在的使用错误联系在一起.
条目说明2:与危险相关的使用场景与医疗器械的故障无关。除非医疗器械故障是由使用错误引起的. 3.9正常使用
操作,包括任何使用者的例行检查和调整,以及根据使用说明或按照普遍接受的做法,为那些没有使用指示而提供的医疗设备,并随时待命。
条目说明1:正常使用不应与预期用途混淆。虽然两者都包括了使用的概念,如制造商的意图。预期用途侧重于医疗用途,而正常用途不仅包括医疗用途,还包括维护、运输等。 条目说明2:使用错误能发生在正常使用中。
条目说明3:在没有使用说明的情况下,可以安全使用的医疗器械,由一些有权限的权威机构免除使用说明。
条目说明4:图1显示使用类型的关系。
2 / 15
来源于IEC60601-1:2005,3。71修改 3.10患者
正在接受医疗、外科或牙科手术的活着的人。 条目说明1:患者可以是使用者.
来源于IEC60601—1:2005和IEC60601—1:2005/AMD1:2012,3.76的修改。 3.11主要操作功能
涉及与医疗设备安全相关的用户交互的功能。
条目说明1:通常,主要操作功能与一系列任务交互,这些任务可以分解为一系列用户交互. 条目说明2:安全概念包括对病人造成不可接受的风险的性能丧失或退化,包括使用错误,使用户无法有效地使用医疗设备实现其预期的医疗目的.在iec 60601-1中,这被称为“基本性能”。
3.12责任机构
负责使用和维护医疗设备或医疗设备组合的实体。
条目说明1:责任实体可以是,例如一家医院,一个独立的临床医生或一个非专业的人。在家庭使用应用程序中,病人用户和负责的组织可以是同一个人. 条目说明2:教育和培训包含在“使用”中。 来源于IEC60601—1:2005,3.101的修改。 3。13总结性评价
在用户界面开发结束时进行的用户界面评估,目的是获得用户界面可以安全使用的客观证据.
条目说明1:总结性评价与证实用户界面的安全使用有关。 3.14任务
一个或更多的用户与医疗器械互动以完成期望的结果。
条目说明1:任务描述应该包括用户和医疗器械之间的活动分配和操作步骤。 条目说明2:任务不应仅用医疗设备提供的功能或特征来描述。 3.15UOUP未知出处的用户界面
以前开发的医疗设备的用户界面或部分用户界面,没有本标准的可用性设计过程的充分记录。 条目说明1:本注只适用于法文本。 3.16可用性
促进使用并因此建立效用、效率和用户满意度在以后的使用环境中的用户界面的特性。 条目说明1:所有可用性方面,包括效用、效率和用户满意度,或者增加或者减少安全性. 3。17可用性工程 人的因素工程
人的行为、能力、限制和其他特性的知识应用在医疗器械(包括软件)、系统和任务的设计中以获得充分的可用性。
条目说明1:获得充分的可用性能导致与使用有关的可接受的风险。 3.18可用性工程文件
由可用性工程过程产生的整套记录和其他文档。 3。19可用性测试
在指定的预期使用环境中探索或评估由预期用户使用的用户界面的方法。 3.20使用环境
实际条件和设置,在这当中,用户与医疗器械互动。
条目说明1:使用条件或使用环境属性可以包括卫生要求、使用频率、地点、光线、噪声、温度、流动性和国际化度.
3 / 15
3。21使用错误
在使用医疗器械时的用户行为或用户行为的缺失导致与制造商或用户期望的结果不同的结果.
条目说明1:使用错误包括用户没有能力完成任务。
条目说明2:使用错误可能是由用户特性、用户界面、任务或使用环境之间的不匹配导致的结果。
条目说明3:当使用错误发生时,用户可能意识到或没有意识到。 条目说明4:患者的非预期生理反应不是使用错误。
条目说明5:引起非预期结果的医疗器械故障不作为使用错误。 条目说明6:图1显示使用类型的关系。 3。22使用方案
在指定使用环境中由特定用户执行任务的特定序列和任何医疗器械结果响应. 3。23使用说明 应用说明
与医疗器械使用内容有关的重要特性的总和。
条目说明1:预期的医学适应症,病人的数量,身体的一部分或组织的类型,用户配置文件使用环境,和工作原理是使用规定的典型元素。
条目说明2:医疗器械的使用摘要被一些拥有管辖权的当局称为“意图使用声明”. 条目说明3:使用规定是ISO14971:2007的预期使用的决定的输入。 3。24用户
与医疗器械互动的人(互动即操作或处理). 条目说明1:可以有多于一个的医疗器械用户。
条目说明2:普通用户包括临床医生、患者、清理者、维护人员和服务人员. 3.25用户群
根据可能影响可用性(如年龄、文化、专业知识或医疗设备交互类型)与其他预期用户相区别的预期用户的子集。 3.26用户接口
用户和医疗器械互动的方法.
条目说明1:附属文档被作为医疗器械用户接口的一部分。 条目说明2:用户接口包括所有医疗器械与用户互动的元素,包括医疗器械的物理方面,还有视频、音频、触摸屏显示,不限于软件接口.
条目说明3:为了这个标准的目的,医疗器械系统可以被看作是单一的用户接口。 3.27用户接口评估
制造商研究或评定有用户接口的用户互动通过用户接口评估。
条目说明1:用户接口评估可能包括一个或更多的下面的技术,除其他外,有可用性测试、专家评论、启发式分析、设计审核或认知穿行。
条目说明2:用户接口评估在整个设计和开发过程中被频繁的迭代执行,这是形成性评价。 条目说明3:用户接口评估是参与验证活动和验证整个医疗器械设计的一部分,这是总结性评价。
3。28用户接口说明
全面和前瞻性地描述医疗设备用户接口的说明集合。 3。29用户概况
预期用户群体的心理、生理和人口特征的总结如职业技能、工作要求和工作可以影响设计决策的条件.
4 / 15
4. 原则
4.1一般要求
4。1。1可用性工程过程
制造商应该建立、编写文档、实施和维护可用性工程过程,定义见第5部分,为患者、用户及其他提供安全.可用性工程过程应该按照附属文档告知用户如何使用医疗器械,可用性工程过程包括,但不限于: -—运输 ——存储 -—安装 —-操作 —-维修 ——处置
医疗器械的可用性工程活动应该被以适当的教育、培训、技能或经验为基础的胜任的人员计划、开展、编写文档。
有文件记载的产品实现过程,如ISO 13485:2003[1]第7条所述,则应合并或参考可用性工程过程的适当部分。
注1:ISO13485:2003的6。2包括关于人员胜任的附加信息。
图A。4描述了ISO 14971:2007的风险管理过程与本标准中描述的可用性工程过程之间的相互关系。
如图A。4所示,第5条中描述的活动按逻辑顺序进行,但可以酌情以灵活的顺序进行。 当这个国际标准要求已经完成时,考虑遵守这个子条款。 4.1.2与用户接口设计相关的风险控制
为了减少应用相关的风险,制造商应该用一个或更多的以下选项,按照优先级列出(如ISO14971:2007的6.2要求的): a) 通过设计得到的固有安全;
b) 医疗器械本身或生产过程中的防护方式; c) 安全信息
注:安全信息也可以来源于产品标准和其他来源. 通过检查可用性工程文件检验符合性。 4。1。3与可用性有关的安全信息 当按照4。1.2的优先次序使用安全信息作为风险控制措施时,制造商应将此信息提交可用性工程过程以确定该信息。 ——是可知觉的 —-是能理解的
——是可以支持医疗器械正确使用的 预期用户使用环境下的用户意图。
注1:用户知觉、认知和行动之间的关系如图A。1所示。 注2:安全信息的例子见IEC62366-2。
用户对此类信息的故意无视被视为违反正常使用或违反正常使用的行为的故意行为或故意不行为,也超出了制造商进一步合理控制与用户接口相关的风险(即非正常使用)的手段。 通过检查安全信息和可用性工程文件验证符合性. 4。2可用性工程文件
可用性工程过程的结果应该被保存在可用性工程文件中。构成可用性工程文件的记录和其他文档可以构成其他文档和文件的一部分。
5 / 15
例如1:制造商的产品设计文件 例如2:风险管理文件
通过检查可用性工程文件验证符合性. 4.3度量可用性工程效果
效果水平和方法选择和执行可用性工程过程的工具可以变化,在下面的基础上: a) 用户接口的尺寸和复杂性;
b) 与医疗器械应用相关的伤害严重度; c) 使用说明的扩展性或复杂性; d) 未知来源用户接口的出现;
e) 对已有的医疗器械用户接口的修改的扩展适用于可用性工程过程。 通过检查可用性工程文件验证符合性. 5. 可用性工程过程 5。1准备使用说明
制造商应该准备使用说明. 使用说明应该包括: ——预期的医疗指示;
注1:这能包括需要筛查、监测、治疗、诊断或预防的条件或疾病。 ——预期的患者人员;
注2:这可以包括年龄群、重量范围、健康状况或条件。 ——预期用于或互动的身体部分或组织类型; ——预期用户概况; ——应用环境; ——操作原理。
注3:医疗器械使用说明的汇总参考有权限的权威机构,如“预期应用声明”。 通过检查可用性工程文件验证符合性。
5。2识别与安全和潜在应用错误相关的用户接口特性
制造商应该识别与按照ISO14971:2007,4.2执行的风险分析的一部分的安全性相关的用户接口特性.这个识别也可以应用来自于可用性工程过程的工具和技术来执行。这个识别应该包括在适用特定医疗器械安全标准中提出的重要操作功能的考虑。
注1:ISO14971:2007,C.2。29至C.2.34提供一个问题列表,这个列表能用来识别冲击安全的用户接口特性。这个问题列表是不详尽的。 在识别用户接口特性和使用说明的基础上,制造商应该识别可能产生的并且与用户接口有关的应用错误。这个识别可以通过做任务分析来完成。【27】【28】【29】 注2:任务分析在IEC62366—2中被描述。
与安全有关的特性识别的结果应该保存在可用性工程文件中。 通过检查可用性工程文件验证符合性。
5。3识别已知的或可预见的危险和危险情况
制造商应该识别已知的或可预见的危险和危险情况,这可能影响患者、用户或其他与医疗器械应用相关的事项。这个识别应该作为按照ISO14971:2007,4.3和ISO14971:2007,4。4第一段来执行的风险分析的一部分来实施。
注1:附录B包括与可用性有关的可能的危险和危险情况的例子。 在识别危险和危险情况的过程中,以下应该被考虑: ——使用说明,包括用户概况(见5。1);
——可获得的已有的同类医疗器械用户接口的已知危险和危险情况信息;
6 / 15
—-识别使用错误(见5。2).
危险和危险情况的识别结果应该保存在可用性工程文件中。
注2:在危险或危险情况识别过程中,非正常应用条件可以被识别。 通过检查可用性工程文件验证符合性。 5。4识别和描述危险相关使用场景
制造商应该识别和描述与识别危险和危险情况有关的合理可预见危险相关使用场景。每个被识别的危险相关使用场景的描述应该包括所有的任务和他们的后果,同于相关伤害的严重度。 注:附录B包括用户行为的指定后果的例子,这些用户行为可能导致危险暴露给用户。 通过检查可用性工程文件验证符合性。 5.5为总结性评价选择危险相关使用场景
制造商应该选择包括在总结性评价中的危险相关使用场景。 制造商应该选择:或者
——所有的危险相关使用场景;或者
——以由应用错误引起的潜在伤害严重度为基础的危险相关使用场景的子集(即为了这些伤害需要医疗干预)。
被用来选择危险相关使用场景的计划的选择可能额外要依赖于其他情况,其他情况特指医疗器械和制造商。
注:选择计划的例子见附录A的5。5和IEC62366—2。
任何选择计划的汇总、与其应用的理论说明和应用的结果应该保存在可用性工程文件中. 通过检查可用性工程文件验证符合性. 5.6建立用户接口说明
制造商应该建立和保持一个用户接口说明。 用户接口说明应该考虑: -—使用说明(见5。1);
—-与医疗器械相关的已知的或可预见的应用错误(见5.2); ——危险相关使用场景(见5。4). 用户接口说明应该包括:
——与用户接口相关的测试技术要求,包括与被采用的风险控制措施有关的用户接口要求。
注:用户接口技术要求可以包括显示颜色、特性尺寸或控制的放置位置. —-说明是否需要附带文件;
——说明是否需要医疗器械规定培训.
用户接口说明应该保存在可用性工程文件中。用户接口说明可以整合到其他说明中。 通过检查可用性工程文件验证符合性。 5.7建立用户接口评估计划 5.7.1通常的、常规的计划
制造商应该建立和保持用户接口评估计划为了用户接口说明。 用户接口评估计划应该:
a) 记录目标并确定任何计划形成性评价和总结性评价的方法; b) 如果可用性测试被做:
-—记录代表预期用户的参与和他们所属的用户概况。
例1:在形成性评价中,来自于制造商的临床人员被用于护士用户群.
例2:在总结性评价中,特护护士的练习小组被用于一个危重护理的用户概况。 为了可用性测试目的,多个用户概况可以合并成一个用户群。
——记录测试环境和其他的应用条件,在使用说明的基础上;
7 / 15
注2:有特别的应用条件,他们能影响用户的任务执行.
例3:应用条件可以包括本地特定条件,如光线、噪声和活动等级。
例4:应用条件可以包括个人特定条件,如穿戴个人防护设备时使用医疗器械(即外
科手套和安全护目镜)。
例5:应用条件可以包括社会条件,如压力水平和工作团队。 ——说明在测试中附属文档是否要被提供;
—-说明在测试前是否需要提供医疗器械说明培训和培训和测试开始之间的最短时间。 用户接口评估方式可以是定量的或定性的。用户接口评估可以在不同地点执行,如在试验室 设置中、在模拟的应用环境中或在实际的应用环境中。 注3:见4.3度量可用性工程效果。
用户接口评估计划可以整合到其他计划中。
用户接口评估计划应该保存在可用性工程文件中。 通过检查可用性工程文件验证符合性。 5。7。2形成性评价计划
为了形成性评价的用户接口评估计划应该有: a) 被用的评估方式;
注1:形成性评价的目标可以包括探索用户接口元素的可识别性、可理解性和可操作性的扩展.
b) 用户接口的哪个部分将要被评价;
c) 在可用性工程过程中什么时候执行每个用户接口评估。
注2:制造商可以发现及早开始形成性评价的应用焦点和效果是有帮助的,因为从这得到的信息是设计过程重要的输入。 通过检查可用性工程文件验证符合性。 5。7。3总结性评价计划
为了每个危险相关使用场景(见5.5),总结性评价的用户接口评估计划应该说明: a) 被用的评价方法和方法产生客观凭证的理论说明;
注1:安全信息的总结性评价可以要求不同的方法,而用户接口的其他部分不可以。 b) 用户接口的哪个部分被评价; c) 适用在哪,决定安全信息是否是可知觉的、可理解的和支持医疗器械正确应用的准则(4。
1。3);
注2:安全信息综合性评价一般要在开始用户接口剩余物的综合性评价前完成。这通常是具有不同用户的独立可用性测试.
d) 在综合性评价中的附属文档的有效性和培训的规定;
注3:为了模拟现实应用,综合性评价可以包括培训,如部分协议,视情况而定.可能需要在培训和综合性评价的其余部分之间提供适当的等待时间,以允许有代表性的学习消化.
e) 可用性测试
——测试环境、应用条件和其如何适当代表实际应用条件的理论说明;
——在可用性测试中收集数据的方法,为了随后被观察的应用错误的分析。 综合性评价可以做成单一评价或多个评价。
注4:综合性评价计划应该在形成性评价完成后再完成。
注5:引导对按照ISO14971:2007的D。4做的风险控制措施进行充分的评价。 通过检查可用性工程文件验证符合性。 5.8做用户接口设计、实施和形成性评价
8 / 15
制造商应该设计和实施用户接口,包括所需的附属文档、所需的能力培训,如在用户接口说明中描述的.
制造商应以适当的方式使用可用性工程方法、技术,包括形成性评价来完成这一设计和实施。 利用形成性评价的结果应保存在可用性工程文件中。在这步中,不管在哪发现新的使用错误、危险、危险情况或危险相关使用场景,制造商应适当的重复第5条步骤.
注1:ISO14971:2007的6.6要求来自于可用性工程过程的设计更改要重新分析是否产生了其他的危险或危险情况。
如果为了医疗器械能被预期的用户安全使用,要求特定的医疗器械培训,制造商应该设计和实施能力培训根据医疗器械的预期服务寿命,至少做下面其中的一件事: ——提供必要的培训材料;
--确保必要的培训材料是可获得的; ——使培训可获得;
——培训责任机构,以使其能培训他的用户。
注2:能力培训期望使责任机构有能力培训他的用户,在医疗器械的预期服务寿命中。 通过检查可用性文件验证符合性,包括形成性评价的证据(如被执行)和培训方案的证据(如被要求)。
5。9执行用户接口的可用性的综合性评价
在完成用户接口的设计和实施基础上,制造商应根据用户接口评估计划,对5。5中选择的最终或生产同等用户接口上的每个与危险相关使用场景进行总结性评价。对于总结性评价,制造商可以采用来自于有同样用户接口的产品的总结性评价的数据,并且要有技术理论说明以说明这些数据为什么可用。结果应该保存在可用性工程文件中。
综合性评价的数据应该被分析以识别所有发生的应用错误的潜在事件序列。如果事件序列能引起危险情况,每个应用错误的根本原因应该被确定。根本原因应根据对用户性能的观察和与该性能相关的用户的客观评论来确定。
如果新用户错误、危险、危险情况或危险相关使用场景在这些数据分析中发现: —-如果是,则制造商应该适当重复第5条的活动; ——如果不是,则制造商应该确定与安全有关的用户接口设计的进一步改善是否是必要的和可行的。
1) 如果是,则制造商应该再进入5.6的可用性工程过程中; 2) 如果不是,则制造商应该:
注1:可能有不是用户接口相关的风险控制实施方案来减少用户接口相关的风险。 i) 文档为什么改进是不可行的;
注2:引导如何确定进一步的风险,在ISO14971:2007的6。2中减少用户接口是不可行的。
ii) 识别来自于可用性工程过程的数据需要确定应用相关的剩余风险; iii) 根据ISO14971:2007的6。4评估剩余风险。
注3:ISO14971:2007的6.6要求由可用性工程过程导致的设计更改要重新确定没有用户接口相关的危险或危险情况产生。
注4:ISO14971:2007的7要求所有的剩余分险都要考虑,当评估所有的医疗器械剩余风险时,包括医疗器械可用性相关的剩余风险。
如果这个国际标准中详述的可用性工程过程已经完成,则医疗器械的与安全相关的可用性是被认为可接受的,除非有相反的客观证据。
注5:这个客观证据可以是来自于后续的产品监督。
通过检查可用性工程文件和ISO14971:2007的6。4要求的应用验证符合性。
9 / 15
5.10未知来源的用户接口
未知来源的用户接口不适用5.1至5。9的要求,可以按照附录C评估。 通过附录C的应用验证符合性。
附录A
(资料性附录)
通用指南和理由说明
A.1引言
A.2特定条款和分条款要求的理由说明
附录B
(资料性附录)
可能的与可用性相关的危险情况举例
为了分析所有由使用错误或缺少可用性引起的医疗器械的风险,制造商需要认真考虑所有使用场景和可能导致伤害的关系因素,包括那些妨碍用户有效地使用医疗器械来达到其预期的医疗目的的风险。为了成功分析那些因素,理解如表B。1所示的术语的含义和他们的关系是重要的。
表B。1—有关风险管理术语的词汇表 术语 伤害 危险 危险情况 风险 安全 严重度 来自ISO14971:2007的含义 见ISO14971:2007 见ISO14971:2007 见ISO14971:2007 见ISO14971:2007 见ISO14971:2007 见ISO14971:2007 表B.2提供了有代表性的示例关于可能的危险、与其关联的危险相关使用场景的描述和导致的伤害。进一步,表B.2建议可能的用户接口风险控制措施程度或降低策略。
表B。2-由使用错误或缺少可用性引起的风险产生的伤害的示例 危险 能量辐射 危险相关使用场景描述 医生意外启动无防卫的火控。 伤害 燃烧 用户接口风险控制措施程度 置于消防控制上的铰链盖 防护程度(护卫) 10 / 15
能量源操作。 能量源被指向旁观者。 针尖(感染的针) 在静脉插入导管后,医生把已经用过的没有防护的针放在医院的床纸上。 医生忘记拿走针。 按顺序更换床纸。 皮肤刺伤(感染) 针刺预防机构 防护程度(护卫) 没有防护的针在医院床上. 按顺序被针刺伤。 落在坚硬的地板上 病床护栏锁紧机构很难锁紧. 护士没有意识到防护栏没有完全锁紧。 髋部骨折 容易使用的护栏锁紧机构.没有锁紧的显眼指示。解锁要两步才能完成的机构. 防护程度为被设计的固有安全性。 防护栏没有正确锁紧。 患者翻转到边缘,压向防护栏,防护栏掉落,患者掉到地板上。 不正确输出 护士疏忽错误连接静脉药物永久性瘫痪 源导管到椎管访问端。两个不同的传递路径用相同的路径连接。护士没有检查从药物源到访问端的导管连接。 静脉药物源的导管错误连接到椎管访问端。 静脉药物被传送到患者的脊神经柱。 不正确输出 受启发气体混合物中可接受的氧气浓度以前的有效值仍在显示器上,但显示器需要重新校准。校准失败没有清楚的指示。麻醉师错误的检查显示校准.麻醉师相信氧供应正在被适当的操作. 低氧脑损伤 特定应用连接器的机械口径不兼容。 防护程度为被设计的固有安全性。 在开始传送前,增加培训以保证适当的流体通道。 防护程度为安全信息(培训) 增加一个“需要监测校准”的报警状态.备份氧气供应失败报警状态。 防护程度(报警状态) 没有校准的气体监视器显示危险,不正确的氧气值集中. 麻醉师传送低氧混合物给患者。 药物的不正确大量的吗啡在低环境照明下输出(吗啡) 的紧急护理状况时被给患者.紧急时医生需要改变做法并且不能清楚的读出注入泵显示。紧急时医生不正确的输入吗啡输注率。 呼吸停止 在显示上增加背光。 防护程度为被设计的固有安全性。 增加软件信息在注入泵上以提示用户限制输出或要求确认数值这一步。 防护程度 在这种使用环境中,使用的注入泵很难被读出. 注入泵传送过量的吗啡。 11 / 15
药物的不正确患者(用户)视力不好.血糖输出(胰岛素) 测计仪上的测量标签单位不清楚。患者家里环境照明不好。 患者选择用不正确的单位显示血糖并且错误读当前血糖值。 昏迷 用很困难被患者读的血糖计。 患者输入过量胰岛素。 增加背光在显示上。 用户可调显示字符尺度。 防护程度为被设计的固有安全性。 增加软件信息指示血糖测量单位与指示的国家不兼容,这要求确认这一步. 防护程度 使用场景描述包括事件序列、至少一个使用错误和在危险情况下从危险促成伤害的因素。描述中的下划线部分标识使用错误。描述的斜体部分标识危险情况.
附录C
(规范性附录)
未知来源用户接口的评估
C。1总要求
本附件的创建是认识到,许多制造商将有兴趣将本标准中定义的工具应用于在本标准发布之前已经商业化的用户接口或部分用户接口,这些用户接口或部分用户接口没有使用
IEC62366—1的流程开发,其结果是未知的。由于本标准侧重于可用性工程,将其作为产品开发过程的一部分,因此决定应做一个适当的尺度(如4.3中所述)和替代的流程,以涵盖这些用户接口或未知来源的部分用户接口。 以下是这样一个过程,尽可能依赖在开发遗留用户接口或部分用户接口期间创建的现有文档.尽可能有效地利用组织资源来应用这一流程。完成后,将创建一个可用性工程文件,并确保风险管理文件确认了由用户接口的可用性问题引起的风险。
本附件的过程可应用于UOUP的用户接口或用户接口的一部分,对于UOUP而言,使用IEC 62366-1:-的可用性工程过程无法获得足够的开发记录,但是,如果对用户接口或其部件进行了任何修改,则只有未更改的用户接口部分仍保持UOUP,用户接口的更改部分受5.1至5。8的限制.
例1:用IEC 62366-1:—对于之前设计和开发的未更改的遗留用户接口,用户接口使用本附件进行评估,以确定是否符合本标准。
例2:在没有IEC 62366—1:—开发的充分记录的情况下,对修改后的部件进行评估,使用5.1到5。8来确定是否符合本标准,用户接口中未经修改的部分将使用本附件进行评估,以确定是否符合本标准。 例3:在IEC 62366-1:—之前设计和开发的用户接口随后通过添加一个新的软件特性而被修改.使用5.1至5。8评估所添加的软件特性的用户接口和受所添加的软件特性影响的用户接口的所有部分,以实现对本标准的分层研究一致性。原始用户接口中未经修改的部分将使用本附件进行评估,以确定是否符合本标准。
例4将现有用户接口更改为使用IEC 62366—1:-,而又不存在开发的适当记录的通用组件。
12 / 15
需要对现有用户接口进行更改,以便将通用组件集成到医疗设备中。使用5。1至5.8来评估由于集成通用组件而引起的用户接口的必要更改,以确定是否符合本标准;使用本附件评估原始用户接口中未经修改的部分,以确定是否符合本标准。 C。2未知来源用户接口的可用性工程过程 C。2.1使用说明
制造商应该建立一个如5。1要求的使用说明。制造商应该保存这些使用说明在可用性工程文件中。
通过检查可用性工程文件验证符合性。 C。2.2生产后信息的重复查看
具有UOUP的医疗器械制造商应该重复查看可用的生产后信息,包括事件或近期事件的抱怨和区域报告。
所有已查明的可能导致危险情况的使用错误案例,或现场信息表明可能由不充分的可用性造成的危险或危险情况的情况,均应保存在可用性工程文件中,并在c.2.3和c.2.4中加以处理。 通过检查可用性工程文件验证符合性. C.2。3与可用性相关的危险和危险情况
制造商应该再查具有未知来源用户接口的医疗器械的风险分析,以确保与可用性相关的危险和危险情况被识别和记录存档。
通过检查可用性工程文件验证符合性。 C.2.4风险控制
制造商应该核实和记录存档为了所有在C.2.3中被识别的危险和危险情况的适当的风险控制措施被实施,并且所有的风险通过风险评估都降低到标明的可接受水平。 如果制造商决定修改被要求的用户接口的任何部分以降低风险到可接受水平,那些修改不应该作为未知来源用户接口考虑,而应该遵守5。1至5.8的要求. 通过检查可用性工程文件验证符合性。 C.2.5剩余风险评估 在执行C。2。3和C。2.4中,以任何被识别的新信息为基础,制造商应该根据ISO14971:2007的6.4再次评估所有的剩余风险,并且记录存档结果或者在可用性工程文件中或者风险管理文件中.
通过检查可用性工程文件或者风险管理文件验证符合性.
附录D
(资料性附录)
医疗器械使用类型举例 为了这个标准的目的,医疗器械使用能被广泛的归类为可预见动作和不可预见动作。很显然,用户不可预见的动作或不动作不能用这个标准或任何其他标准处理。这个国际标准描述一个处理那些用户可预见的动作或不动作的过程.
图D.1中显示医疗器械使用的不同类型的关系和他们引起的一些示例.
13 / 15
在正常使用中的使用故障可能是制造商期望的和用户预期的反应,即正确使用。另一种情况正常使用 正确使用 ➢ 没有使用错误的使用 使用错误 由知觉错误引起的使用错误 ➢ 没有(例如不能)看见视觉信息(例如显示被部分覆盖或光反射在显示上) ➢ 没有(例如不能)听见声音信息(例如因为周围噪声或信息超载) 由认知错误引起的使用错误 ➢ 记忆问题: 不能回忆起之前得到的知识 省略(例如忘记)计划步骤 ➢ 基于规则问题: 误用通常公认的规则 不能回忆起之间得到的知识 ➢ 基于知识问题: 在不通常的情况下即兴创作 误解信息因为不正确的思维模式 由动作错误引起的使用错误 ➢ 没有(例如不能)达到控制(例如组件相距太远) ➢ 接触错误组件(例如组件太近) ➢ 不适当的力用在组件上(例如被要求的力不匹配实际使用条件) ➢ 没有(例如不能)触发控制(例如被要求的力不匹配预期用户特性) 是,使用可能由使用错误引起,也可能是由于制造商超出任何其他风险控制手段的行为,即非正常使用造成的。非正常使用结果不一定对患者造成不好的结果。通常,使用者的临床判断表明,这种使用符合病人的最佳兴趣.
图D。1不同类型医疗器械使用之间的关系及其示例
附录E
非正常使用 ➢ 例外违反(例如使用医疗器械作为铁锤) ➢ 鲁莽使用(例如在去掉医疗器械的防护后使用医疗器械) ➢ 蓄意破坏(例如破解软件控制的医疗器械的软件) ➢ 有意识地无视禁忌症(例如在一个有起搏器的患者身上使用) 14 / 15 (资料性附录) 基本原则引用
本标准是根据ISO/TR 16142标准制定的,以支持医疗器械安全和性能的基本原则。
对本文档的遵守提供了一种方法来演示是否符合iso/tr 16142的特定基本原则.其他方法是可能的。表E。1用ISO/TR 1642:2006的基本原则映射本文件的条款和分节。
表E.1本文档和基本原则之间的相同处
本文件的条款和分节 所有条款 5。11 4.1。4 相应的基本原则 A。1,A。2,A。3,A。9.2,A。10.2,A.12.8 A。6 A.13 15 / 15
因篇幅问题不能全部显示,请点此查看更多更全内容