IEC60601-1第三版介绍

sysop

  随着医疗知识、工程技术与社会价值的变动，人们使用医电设备的技术日益精进与广泛，预估IEC60601-1第三版将在2005年8月正式公布，这将是反映30几年来，人们使用医电设备之技术知识、认知扩展与新技术等实现能力的新概念，第三版草案稿英文版总共约350余页，整个标准仍然是以「电性安全的理论基础」一篇中的IEC513作为安全的基础思维，第二版IEC60601-1中以系统工程概念处理医电设备的安全概念，将改以安全与基本性能的风险管理取代，从标准的遵循以落实设计制造者的责任风险，藉由风险管理之设计制造裁量，业者必须将产品的残余风险（Residual risk）降到可操作又合理的最低ALARP（As low as reasonably practicable）情况下，如此「产品责任」、「产品风险」、以及「产制成本」，在标准的规范下有一个可评估的ALARP尺度。  
  
本
刊连续三期以IEC601-1/60601-1为主轴探讨医电设备的安全技术概念，并讨论国际医疗器材业界对医电设备性能及安全思维之演变，本文是此系列标准沿革的技术讨论之最后一篇，本期将重点介绍草案中IEC60601-1第三版的新概念与新轮廓，尤其是针对第二版所做的重大调整，提供业者有及早了解尽速因应的空间。  
  
标准第三版的重要思维  
  
在第二版标准医电设备的适用范围系用于病患之诊断、治疗、或监视之设备，在第三版里则更进一步延伸到补偿或轻缓疾病、伤害、或残障之设备，但是原属于IEC61010标准系列[1]所涵盖的体外诊断设备（In-Vitro Diagnostic Equipment）与由ISO14708标准系列规范之植入式主动医疗器材（Active Implantable Medical Device）均不包括在其适用范围内。此外对安全的概念，也从「一般安全」概念扩展到「安全与基本性能」概念。  
  
在上一期的结论中，谈及1977年出版的IEC601-1第一版与1988年IEC60601-1的第二版，都是以Medical Electrical Equipment, Part 1: General Requirements for Safety为其标准标题名称，在2005年八月即将公布的IEC60601-1，则改成Medical electrical equipment – Part 1: General requirements for basic safety and essential performance，此一重大修正的意义也意味着IEC60601-1系列标准的理论基础[2]思维有重要的改变：  
  
1. 病患安全的共识  
  
医电设备的设计重心在于病患、操作使用人以及环境间的互动因果，会牵动其使用的结果而导致产品责任归属，这是造成医电设备之「安全」与否的关键所在，因为不当的设计风险管理，导致过高的隐性残余风险存在，将在意外的巧合中促成危险的发生，安全与否也将在此一念的思维间，下列各种状况设计者应该有能力理解并避免者：（1）病患或操作人无能力察觉某些潜在危险，例如：辐射或高频射线；（2）病患因肌肉松弛剂或无行动能力、疾病、无意识或接受麻醉而丧失正常反应；（3）病患的皮肤阻抗被刻意降低，因而皮肤阻抗丧失正常防御电流能力；（4）当医电设备支持或取代生体的生命功能时，医电设备将依赖其「可靠度」（Reliability）以保障安全；（5）病患可能同时连接并使用一件以上的医电设备；（6）高功率（能量）医电设备与极敏感讯号微弱的医电设备会不经意的在病患身上并用；（7）当电流回路流经生体时，电流可能经由皮肤接触或感测组件流入内部器官；（8）特别是在手术室，空气或氧气或笑气所导致的危险常因湿度关系发生火灾或爆炸情况。诸如上述类似思维概念是设计者必须具备的共识。  
  
2. 设计安全的应用  
  
在本刊第69期要「多安全才够安全 – 从抽象到具体的实现」一文中[3]，介绍过「安全」与「危险」的定义，然而医电设备安全的具体实现包括：（1）本体安全设计、（2） 使用环境的安全建构、以及（3）安全操作及使用，因此医电设备的设计必须在正常使用（Normal use）、正常状况（Normal condition）、以及单次错误（SFC, Single fault condition）也能够安全。  
  
通常医电设备的操作及使用，必须由专业资格或领有专业证照人员为之，操作人员当然必须具备特定医疗应用的知识能力，并且遵照使用说明操作使用之。当用于支持或维生之医电设备，其功能的可靠度是安全的要件，因为当病患在检查或治疗中发生中断，视为必然会危及病患；为防制使用人的错误使用（Use errors），其结构、封装、配置及随机说明指示文件等，也与安全的构成有关；安全警语能够提供防止正常功能的不当执行，亦是安全的方法应用。安全的实现是产品安全完整的概念形成，并非仅仅藉由事先针对某些特殊或据某类特征的硬件作测试。  
  
3.整体安全的构成  
  
所谓的「安全」系取决于辨识（Identify）、侦测（Detect）、评估（Evaluate）及预防（Prevent）各种潜藏危险状态的能力，在IEC601-1第一版与IEC/TR60513[4,5]的安全概念仅只是部分片段的，构成整体医电设备安全必须包括藉由设计强化医电设备本体之安全性能、防御性安全方法提供或附加之安全确保、与足够的安全讯息等，适度考量医电设备在其生命周期当中，面对各种操作使用人与环境，所可能延伸的特殊界面产生交互作用的激荡，因而衍生潜藏的负面安全因子促成危险形成的风险，有能力预先加以辨识、侦测、评估及预防。基于对产品整体安全的构成是制造商的安全责任，判定安全与否是制造商根据风险评估的尺度评估，而非藉由第三认证者进行测试而得的结果。  
  
基于以上的安全思维改变，在第三版总长350多页里头，可以发现在标准条文里引进了基本性能（Essential performance）与风险管理（Risk management）的安全概念。此外，许多与一般性安全相关的硬件技术，例如硬件的电性安全或机械安全或温度过热等所引发风险之安全规定，则与信息技术产品之重要标准IEC60950-1[6]做了相当程度的调和，这是整个医电设备产业使用硬件组件不可避免的大趋势。  
  
安全的新概念与解决方法  
  
在前篇中讨论第二版本IEC60601-1时[7]，提及在整体标准架构中，建构医电设备电性安全的决策优先级为：（1）性能标准、（2）产品标准、（3）附属标准以及（4）一般标准，在第三版本安全的决策优先级仍与第二版本维持不变，但是因应基本性能（Essential performance）与风险管理（Risk management）的安全概念，标准的内容、安全概念及风险管理有了重要调整：  
  
1. 附属标准方面  
在第二版本的四个附属标准 IEC60601-1.1、1.2、1.3与1.4，其中1.1与1.4在发展及应用上，本质上引用许多风险管理概念，实际上在第二版中，IEC60601-1.1之系统整合及IEC60601-1.4可程序软韧体安全两者，就是该等技术的风险管理概念应用在附属标准中，由于在第三版风险管理概念已被接受为处理「安全」相关的必要程序，没必要再独立存在。另外新增的附属标准有IEC60601-1.6 Usabilit[8]y及IEC60601-1.8 Tests and guidance for alarm systems[9]，请参考表一。  
  
甲、 IEC60601-1.6：从人因设计概念规范医电设备的操作使用接口特质，主要系因应有越多的上市后报告显示，许多医电设备的伤害或危害造成，导因于其操作使用造成使用人的疑惑或困扰，根据第三版之人因设计概念，制造厂商必须在设计过程遵照人因设计理念，厘清「可以预见的错误使用原则」（Principle of foreseeable misuse），设记者据此设计回避发生使用错误的方法，如果危险的风险无法降到可以合理被接受的范围内，则必须以伴随文件标示告知或警告使用人，如果操作使用人不理会造成可以预见错误使用的危害，根据IEC60601-1.6被非制造厂商应该履行的责任。  
  
乙、 IEC60601-1.8：基于许多标准中规定对于危险状态医电设备必须以声响或灯号警告使用人相关的操作状况，由于不同的厂牌、功能、或地区法规要求不同，常使在同一个诊疗空间里的不同医电设备之警示机制，相互冲突或干扰造成没有事先预警效果，IEC60601-1.8则提供Alarm的整合指引，规定各种不同医电设备警告机制的优先类别，及其基本特征，同时也对语音合成代替铃声的警示作用机制，以利各层次或用途的Alarm当串联在同一个操作环境下的不致相互干扰冲突，抵销安全警视的效果。  
  
  
2. 基本性能方面  
制造厂商必须将任何与使用该医电设备之病患或人员或操作者相关，并且有可能导致医电设备发生伤害或危险的功能或特征纳入基本性能（Essential performance），令其在风险分析计画（Risk analysis plan）之中，评估其可能发生危险或伤害的风险，在设计制造过程将其负面伤害降到可操作又合理的最低的可操作风险限度以下（ALARP, As Low As Reasonably Practiceable），才能够符合遵循标准所规范的安全尺度（图一）。  
  
第三版中所称的「基本性能」，可以是地区性的法规明文规定，也可以是附属标准或是产品标准中所规定的产品特定功能或特定特征，但是制造厂商必须透过风险分析，根据分析以决定这些功能或特征纳入基本性能理由，亦即透过风险分析计画，鉴别（Identify）危险的存在、侦测（Detect）其严重性与发生概率、评估（Evaluate）其可能预防（Prevent）的方法及可能存在的残余风险（Residual risk），决定是否在可以被接受的范围或须要再进一步重新设计或以标示或说明之文字警告法告知消费者。因此，适当建立独立的安全风险之评估作业机制，以合于逻辑的严谨系统方式，以便整合性的侦测与评估，并纪录每一个设计步骤之安全设计事证，成为遵循标准之设计者所必须达成的目标。  
  
在IEC60601-1第三版规定制造厂商必须：（1） 从界定其所设计制造医电设备的期望用途（Intended use）开始；（2） 将任何与使用该医电设备之病患或人员或操作者相关，且有可能导致医电设备发生伤害或危险的功能或特征纳入基本性能（Essential performance）；（3） 在设计制造过程中，透过验证（Verification）程序证明其所建构基本性能之风险控管符合标准规定。  
  
3. 风险管理方面  
在第三版IEC60601-1的全部350余页里，出现最多的字眼是风险（Risk），总共出现631次，再其次为危险（Hazard）总共337次，而风险管理（Risk management）则有230余次之多，全部标准中须要执行特定的风险管理相关条文则不下80余处，此透露一个讯息：第三版标准中的「安全」，将是以「风险导向的安全概念」，这将会取代目前的概念－「标准导向的安全概念」，因此，厂商将其产品送到认证单位作安全测试以取得认证卷标然后上市，将逐渐成为过去式。  
  
有一个趋势可以从多方面观察得到：在第二版的IEC60601-1其附属标准已开始使用风险管理于特定技术的安全概念，如IEC60601-1.1、IEC60601-1.2、IEC60601-1.4、以及新的附属标准IEC60601-1.6与IEC60601-1.8都是风险管理概念的先驱与产物；另外在ISO13485[10]部分，将风险分析仅以指引方式列入第4.1节之中，但在2003年版[11]的第7.1节已将风险管理规定是医疗器材产品化的必要程序；其实美国、加拿大、纽澳、欧盟与日本等国也将在2006年中以前风险管理是为医电设备安全的必要条件，事实上，一般国际标准的过渡期大多是3年。  
  
值得注意的[12]，IEC60601-1标准的验证单位并不判断制造厂商所设定基本性能有哪些？也不去评断相关危险的风险处理正确性及风险控制的接受度如何？而是根据制造厂商所提供的风险分析计画，了解验证纳入基本性能的功能或特质，是如何加以判定的？如何控制与管理风险的发生？并根据哪些分析判定这些残余风险已经减少到可以被接受的范围，所以即使符合标准，产品的残余风险仍然是制造厂商本身责无旁贷的责任。  
  
医电设备的风险管理  
  
在谈风险管理之前，第69期「要多安全才够安全－从抽象到具体的实现」一文已经介绍过的几个名词：（1）危害（Harm）系指病患遭受的伤害与医疗单位人员财产或环境的损坏，（2）危险（Hazard）系指危害的潜藏来源或原因，（3）风险（Risk）通常用以衡量造成某种危害的严重程度（Severity）之发生概率（Probability），（4）可操作又合理的最低情况下（ALARP , As low as reasonably practicable）指产品设计系衡量风险与效能及成本与安全间的平衡，因此，产品的残余风险已被控制在可操作又合理的最低情况。  
  
简单的讲，「风险管理」（图二）就是：（1）危险分析（Hazard analysis）：有系统的发掘产品可能潜藏的危险，（2）风险评估（Risk evaluation）：透过评估危险分析之结果，估算其可能造成的冲击与影响的风险程度（Risk level），（3）风险控制（Risk reduction & control）：透过决定产品风险控制决策，将所有超过风险决策之各种危险，分别加以管理控制以期降低到ALARP的可接受风险范围内，并随时（4）监督与管理产制后各种风险结果，例如透过风险管理档案，了解产品更改设计与产制后的风险改变结果。  
  
1. 风险管理计画中的基本性能界定  
在IEC60601-1第三版以「基本性能」概念作基础，制造厂商必须遵循Clause 4的规定，其医电设备风险管理必须将可能潜藏的危险以基本性能纳入风险分析计画，例如可以参考IEC60601-1.6 Usability附属标准中的规定：（1）界定目的用途如诊断或治疗或监视的疾病或状况，（2）描述目标病患族群（Patient population）之年龄、体重及受疾病影响部位或一般健康状况，（3）列明使用设备可能影响病患身体部位或组织，（4）界定可能操作者的使用族群背景状态，（5）叙明可能之使用状态如使用环境、频率、地点及设备的移动性等方式，界定目的用途并将其转化成性能规格，以纳入基本性能之中作为风险管理计画的分析管控素材。  
  
2. 建立风险管理计画的步骤  
标准的医电设备风险管理步骤可以根据ISO14971[13]医疗器材风险管理标准建立（图三），可以（1）步骤一：拟订一个风险管理计画，将风险管理责任做适当的授权，以便设计产制过程可以执行风险管理程序之确定及可接受风险程度的界定，（2）步骤二：进行安全及基本性能的风险分析，首先界定医电设备之目的用途，描述安全及基本性能规格，辨识各种可能潜藏危险，并且估算各种可能潜藏风险，（3）步骤三：执行风险评估，判定与决定整体医电设备的可接受风险程度，（4）步骤四：进行超过ALARP之潜藏危险的风险控制，就各种危险状况分析风险控制的可能控制或防杜方法，在设计过程建构该项风险的控制方法（如设计变更），再估算其可能残余风险或因设计变更而新增的风险，最后决定可接受风险总量，（5）步骤五：持续监督管理产制后的风险控制，主要评估该医电设备生产后所造成风险结果的变化，评估此些风险管理结果的变化，必要时以设计变更法进行管制，其中步骤四及步骤五就各项基本性能之风险控制其残余风险、设计变更、或可能新增的危险需要进行再次评估时，则再次回到步骤二开始往下执行，直到所有的风险均符合既定的ALARP范围内。  
  
3. 新版IEC60601-1的注意事项  
在新版IEC60601-1已经将ISO14971纳入在Clause 4中，因此基本上草案的原始构想是只要符合新版IEC60601-1，不用再就ISO14971做认证便是符合ISO14971，新版本上有几个风险管理必须注意的事项：  
1. 应用条件必须包括医电设备的正常使用状况（Normal use）与可以合理预见的错误使用（Reasonably foreseeable misuse），  
2. 概念上必须符合ISO14971的风险管理作业流程，并将所有可能潜藏危险都要纳入，  
3. 新版的标准系针对医电设备安全及基本性能之特殊风险为范畴进行风险管理，制造厂商可以根据「安全等同原则」（Equivalent safety），只要根据风险管理计画中的管理分析结果，能够证明其残余风险等同或低于既有方法，可以接受其它替代解决方法处理各种风险，这是鼓励新创技术方法节约资源的新观念，  
4. 基于前面已经讨论「病患安全的共识」的心思维，医电设备的本体或组配件，在使用操作时对病患或人员的接触特征是一项风险来源，必须纳入风险管理计画当中，  
5. 医电设计的风险管理必须包括设备的正常状况（Normal condition）与发生单次错误状况（Single fault condition），  
6. 使用组件规定必须考量其失效所产生的风险，如果该项组件其可靠度系构成安全及基本性能之风险因素时，任何使用较低可靠度的组件必须有维持安全的设计，  
7. 单次错误状况的发生并不适用于评估需要高度整合条件的零件，同时评估需要高度整合条件的零件时必须包括正常使用状况与可以合理预见的错误使用状况，  
8. 内部电源供应与外部电源供应是一项风险来源必须纳入。  
  
第三版的电性安全  
  
在上一集「建构医电设备的电性安全」已经介绍过医电设备的电性安全，大部分适用于第二版的电性安全机制，在新版本仍然适用，唯一不同的是设计者在决定采用安全防护措施（Safety protection measures）的方法改为风险管理计画的执行，少部分专有名词有些微的改变，但是并不影响整体电性安全的防护措施执行，读者可以参阅前一集的介绍。  
  
医电设备与病患或操作者的接触是构成电性安全防护机制的风险关键条件，在本文的前面提及硬件的电性安全或机械安全或温度过热等所引发风险之安全规定，则与信息技术产品之重要标准IEC60950-1做了相当程度的调和，在第二版本以前是以清单方式将电性安全作条例式的选项设计，往往设计的组配件与病患接触条件不在评估的条件内考量，例如仅与操作人有电性接触无法评估其也有可能与病患接触的风险，这会影响到整个医电设备产业大量使用计算机数字化组件的设计成本与实际所面对安全问题的必要性，在过去的第二版里头，与病患接触或仅与操作人有电性接触的要求条件都一样，制造厂商无法使用既有市场上的相关信息产业零组件，必须专为其医电设备产品规格而特殊设计，但是在第三版里基于采用风险管理概念设计，制造厂商可以根据「安全等同原则」，只要根据风险管理计画中的管理分析结果，能够证明其残余风险等同或低于既有方法，使用信息产业零组件同样可以被接受。  
  
造就风险管理之安全等同原则更具体可行，主要归功于第一及二版对于医电设备的应用组件或触身部分（Applied part在CNS14509[14]医电设备电性安全标准里翻译为触身部分），指当医电设备的某一部份在执行正常功能时，必须接触病患的身体，通常称医电设备正常功能中用以接触病患身体的组件或部分称为「触身部分」，在安全设计上就必须考量可能的电性危害风险，在第三版则采用图例解说方式作较为严谨的定义，限于图说篇幅关系在此不预备详述，读者可以参阅IEC60601-1 3rd edition, Draft International Standard 之Figure A1 到 Figure A5。  
  
第三版的机械性安全  
  
第二版已有机械性安全相关的标准条文，所提供的内容相当简要，提供设计者参考应用的信息相当有限，第三版的机械性安全提供许多人体工学（Anthropometric data）参数，例如可移式医电设备（Movable equipment）具有相当的重量，在移动中可能的危险是机体撞击、人员夹伤、撞伤人员、压伤病患或轴轮压伤操作人等，又尖锐边角也可能伤及人员外表体肤，由于IEC60601-1与IEC60950做相当整合，许多在IEC60950从信息产业得到的人体工学参数在第三版正好可以补足设计者在做相关风险评估的参考。  
  
热塑组件可能因温度过高而导致分解有害物质，也可能影响组件电性特征，如Electrical creepage，第三版设计者提供测试方法，以利再进行相关风险控制时可资参用，此外机械结构（Mechanical structures）与机械特征（Mechanical properties）可资分析应用的工程参数与安全系数，也有利于设计者在考量风险等同性原则设计之替代方案，可以自行测试分析。  
  
第二版里机械强度（Mechanical strength）仅规定静态机械负荷，并未提供动态机械负荷，第三版增加动态设计参数，更可增加设计医电设备之耐久及实用考量。  
  
在第二版从未提及噪音或震动或音波等破坏性能量的风险问题，第三版的机械性安全提供设计人许多风险值得考量空间，这些人体工学参数提供设计者作为风险评估时，可与相关章节的附录中标准理论基础相互配合。  
  
无疑的，IEC60601-1标准从第二版的「条列式」或「菜单式」类似查检表方式，检视产品设计的规定与要求，以判定产品是否符合标准要求，在第三版则改以风险管理方式，设计者首先面对的问题是：产品的危险在哪里？风险有多高？怎样的风险可以被接受？有没有设计的替代方案？符合等同性原则的替代方案可以节省成本吗？  
  
标准版本间章节对照  
  
标准的第三版在章节做了很重大的调整，主要是广泛应用风险管理的观念于医电设备的设计，如表二的IEC60601-1 第三版与第二版[2,15]章节比较对照表可以发现原先在第二版的Section 1内的各节内容均拉出来成了独立的标准条文，无疑的各个新增独立条文均扩编为新增的内容，主要是呼应风险管理所需要的技术资料提供，使设计者可以根据条文及相关收载于附录的理论基础相对照。  
  
在国际医电设备标准条文的国际调和趋势，Clause 2 Normative references为新增条文提供标准使用人查阅或对照IEC60601-1相关之IEC/ISO相关国际标准条文。  
  
在第二版的IEC60601-1.2电磁兼容性（EMC, Electromagnetic compatibility）与IEC6060-1.4可程序软韧体安全（Programmable electronic medical systems）在第三版分别在Clause 14及Clause 17各自独立成为新增的条文，原来第二版的Section 2与Section 6在第三版则删除，主要是考量该两部分的实际刊用情形。  
  
在第二版里很少谈及Medical equipment systems，标准绝大部分内容均在讨论Medical equipment的主体，事实上ME Systems提供单独医电设备在使用上实际上可能为ME Systems的一部份或因实际需要必须设计成ME Systems，例如心电图仪（Electrocardiography）很可能单独使用，但是某些时候又必须与医电设备并用、或其它心电图分析系统相互传递分析信息、或透过网络系统做传输与接收资料等，在第三版的Clause 16 Requirements for ME SYSTEMS新增为独立条文，此外基于环境保护的日益迫切需要，Clause 18 Requirements for protection of the NATURAL ENVIRONMENT则是因应而生的重要条文。  
  
其它第二版的Section 3、4、5、7、8、9、10等部份，第三版均有相关类似的独立条文对应，惟其标准的概念均修订为风险管理概念，读者参阅使用时必须注意，在标准认证上无法替代使用。  
  
结论  
  
第三版IEC60601-1比原来第二版本增加100多页，依据第三版2002年公布的草案稿总长约350余页，显然增加许多新增规定，但也赋予设计者根据标准精神更具弹性的裁量空间，此种裁量空间来自遵循标准之风险管理所需要的标准理论基础说明与范例，设计者布建风险管理计画时，可以对照相关条文与相关理论基础，三个版本基本上仍以IEC60513（1994年及1977年较早版本IEC513）的安全概念做基础，只是随着时间与技术实施的推展，对标准遵循的方法与概念有很大的改变。

舒正春

[s:9]