附录Ⅱ 风险管理 起搏器的设计应能够保证,当单个元件、部分或软件发生故障时,不会引起不能接受的危险。应对由单个故障条件引起的,并与设备各功能有关的危害需加以识别。对于每种危险,其产生伤害的可能性都应进行评估,要考虑各种危险控制,以及对各故障条件引起的伤害可能性进行评估。 一、心脏起搏器在设计开发中的风险管理 (一)在心脏起搏器设计开发的可行性评审阶段,应对心脏起搏器所有的可能的风险进行识别,并初步拟定风险控制措施。该阶段的风险分析结果需作为产品设计输入的一部分。 该阶段风险识别的方法是: 1.根据心脏起搏器的预期用途和安全性特征,识别出可能的风险; 2.分析在正常和故障两种条件下,与心脏起搏器有关的已知或可预见的危害文件,估计每个危害处境的风险 3.分析心脏起搏器的可能生物学危害,并评估它的风险。 (二)在心脏起搏器的系统架构评审,或者是设计开发图纸评审阶段,应进行风险管理活动。该阶段风险管理的方法可以采用DFMEA(Design Failure Mode and Effect
Analysis)、PHA、FTA、HAZOP或者HACCP的方法,针对设计零件或系统模块可能产生的风险进行分析。 二、心脏起搏器在生产中的风险管理 在心脏起搏器的生产工艺评审阶段,应进行风险管理活动。该阶段风险管理的方法可以采用PFMEA (Process Failure Mode and Effect
Analysis)、PHA、FTA、HAZOP或者HACCP的方法, 从产品的生产工艺流程,对于每一加工步骤,列出可能的故障模式并分析它们对患者或操作者的危害。 三、与起搏器特性相关的风险 制造商应从起搏器的诊断功能、起搏特性、输入、输出、安全特性、偶然因素、印刷电路板等方面对起搏器的可能出现的风险进行判别。分析可能导致产品风险的硬件/组件、软件可能的故障模式,并制定解决的措施。以下是对心脏起搏器可能风险的举例但并不受以下内容的限制:输送的脉幅或脉宽自编程值下降超过可接受范围;过度感知/欠感知;不适当的起搏频率;过度电流输送到心脏可导致错误起搏治疗、处方或临床干预的误导性信息;由于特殊算法失效或者两个或多个算法相互作用导致的输出意外减少;在选取时间内(如3秒)没有开始输送被标记为应急用途的治疗;意外禁用起搏治疗 (模式转换、安全起搏、频率失控保护等)或者互锁(上限频率大于下限频率等);意外输送旨在终止心动过速的治疗;没有输送所需要的旨在终止心动过速的治疗。 四、与起搏器相关的潜在危险 以下列出了起搏器常见的潜在危险,但并不受以下危险的限制: (一) 产品产生的能量危险 如:电能,过高的漏电流会对患者产生危险;热能,引起人体组织过热或导致烧伤;电磁场,起搏器向外辐射的电磁场影响其他医疗器械;错误输出,不能正确起搏或导致患者伤害或死亡;电极导线不能输送超过需要的电流造成患者伤害等。 (二) 由使用产品引起的生物危险 如:非无菌起搏器导致患者感染或死亡;植入材料生物不相容性;对心脏或主要血管的损伤;由于废物或装置处置引起的污染等。 (三) 工作/储存环境引起的危险 如:由于静电放电引起起搏器故障导致患者损伤;电磁干扰会导致起搏器误动作在规定的温度和湿度范围外储存/工作的可能;因碰撞、自由跌落或振动引起的意外机械损伤;材料不能保持生物稳定性,植入材料在产品寿命期内出现降解;传输的数据发生破坏,导致错误的感知、起搏和程控,必须保证传输信息和命令的准确等。 (四)与使用装置相关的危险 如:错误操作;标签不足或不正确;技术规范不完善;警告信息不全或不恰当;培训(材料可用性、要求等);与成功完成预定的医疗手术所必要的其他装置、产品等不兼容等。 (五)由于装置维护和老化引起的危险: 如:无法指示装置寿命终止;包装不合适性使装置受到污染、劣化、损坏等的保护等。 |