设计医疗器械可能是一个非常复杂的过程。即使是最简单的产品,要符合多年来形成的(且不断变化的)医疗标准也很难实现。
医疗电气设备的主要标准 IEC 60601-1 用于确保许多市场和国家/地区的电气产品符合基本的安全性和有效性。该标准是一套通用的安全要求,虽然大多数国家/地区都采用了自己的版本,但核心材料基本相同,涵盖了电子和应用的各个领域。
但设计医疗器械不仅仅是简单地遵循 IEC 标准。本文将探讨 IEC 60601 以及过去、现在和未来的使命。
IEC 60601 简介
IEC 标准已有 80 多年的历史,第一项标准是关于电工词汇(现在称为 Electropedia)。最初的 IEC 60601 标准是由国际电工委员会 (IEC) 于 1977 年发布的,当时电子技术已经开始在医疗和仪器仪表中发挥重要作用。1988 年发布的第二版修订版更注重患者安全,但直到 2005 年刚刚发布的第三版,设备和患者保护才变得更加严格。
虽然通过测试和开发手段满足这些标准有助于将医疗器械推向市场,但并不能确保万无一失。也许最耗时、最昂贵的阶段是通过临床试验获得 FDA 批准(或美国以外的同等机构),以证明器械的整体有效性。
大多数医疗器械开发和制造公司都遵循通用设计控制系统,例如:
- 1. 由市场调研驱动的商业案例和用户需求
- 2. 旨在满足用户需求的设计需求
- 3. 对设计进行测试并确保其符合设计需求的设计验证
- 4. 对设计进行测试并确保其符合用户需求的设计批准
- 5. 从设计转化为制造,然后上市
然而,对于医疗器械来说,通常在这些阶段中会有一些特殊的元素,包括:
- • 设计符合 IEC 60601 标准的电子器件,然后在验证和批准过程中测试这些标准
- • 概述潜在危险及如何控制这些危险的风险管理流程
- • 开展试验,并记录足够的数据,以建立案例,向 FDA 提交以证明您的产品是安全的,然后准备上市
虽然第三点更侧重于患者试验和文档,但电气设计师务必要了解前两个要点,因为这些是最终推动设计过程和所有额外保护层的因素。根据器械的类别,保护范围可能相当广泛。
医疗器械的类别
根据与使用相关的总体风险,医疗器械可分为三类。I 类是风险最低的,而 III 类是风险最高的,需要在上市前申请上市前批准 (PMA)。III 类器械在安全方面的设计强度最高,可能包括多层冗余和保护,而 I 类器械则需要较少的预防措施和风险管理。
I 类医疗器械通常是指无创医疗设备或配件,其中很多通常在家里使用,如创可贴、面罩、压舌板或体温计(不过根据其准确性以及是否为电子设备,该设备可归入 II 类)。
大多数 II 类医疗器械用于诊断或治疗,具有较高的风险管理或潜在危害。II 类医疗器械的例子包括血糖监测仪、血压袖带、注射泵或任何其他微创仪器。
III 类医疗器械的风险管理水平最高。例子包括植入式设备、维持生命的设备以及监测和传递关键健康状态和信息的电子装置。将医疗器械推向市场需符合 IEC 60601 标准,但除了这些标准之外,有时还必须考虑额外的预防措施(源于风险管理或可靠性/安全性的一般设计)。
II 类和 III 类医疗器械示例
I 类医疗器械包含电子元件的情况非常少见,因此让我们跳到 II 类和 III 类的例子。对于 II 类的例子,让我们来看一个体温计。对体温的误诊可能造成严重后果,所以让我们来看看体温计设计中的一些常见的安全性和可靠性功能。
首先,大多数体温计都是数字式的,因此包含一个屏幕/显示屏,或者至少以某种方式远程传输数据。在这种情况下,可以安全地假设体温计中包含有一个微控制器。
图 1a 展示了具有多个保护层的典型体温计的核心内部工作原理。对于模数转换,可以使用微控制器 (MCU) 的内部 ADC,也可以使用外部 ADC。由于外部 ADC 的分辨率可以更高(假设您想要至少 16 位或 24 位分辨率),而 MCU 内部 ADC 因需要额外的校准而令人不喜,因此我们添加了一个具有洁净、精确参考电压的外部 ADC。
该 ADC 需要考虑的另一件事是,它可能会受到环境温度的影响,因此最好通过插槽在 PCB 上进行物理隔离(如图 1b 所示),以最大限度地降低高灵敏度/高精度应用的温度漂移。对于模拟传感部分,低通滤波有助于数据平滑化和平均化,而热敏电阻信号上的铁氧体有助于抑制高频噪声和附近的电感耦合。冗余热敏电阻可用于需要提高可靠性的系统。为提供欠压锁定(或复位)功能,可以增加一个复位监控器,确保微控制器(及其外设)仅在供电充分且稳定的情况下使用,从而防止错误或不准确的读数。最后,体温计的传热部分非常关键,由于人体热量传递到热敏电阻的过程中会有热损失,可能需要补偿和额外的校准(在物理装配后)。
图 1a 图 1b
图 1. 示例 a) 具有额外保护、安全性和可靠性的数字体温计设计;b) 最大限度降低 ADC 热漂移的 PCB 布局策略 (U6)
对于 III 类示例,让我们看一下起搏器。起搏器已经面世很长一段时间——确切地说是 60 年。最初是简单的模拟设计(图 2a),现在已经转变为非常复杂的数字电路设计,具有先进的信号分析和生成功能(图 2b)。从安全性和可靠性的角度来看,由于潜在的缺陷和复杂的状态机,一般模拟电路比可编程数字元件的风险要小。然而,值得注意的是,最近的数字设计采用集成元件,具有用于 ECG 检测测量的高精度 ADC 以及用于脉冲生成的 DAC。这可以提供具有闭环反馈的高效且可调节的起搏功能。但与大多数应用一样,大多数设计可靠性来自模拟部分,例如滤波、精心设计的前置放大器、专用的定时器和振荡器,并结合 PCB 布局策略,将噪声、耦合和温度漂移降至最低。
图 2a 图 2b
图 2. a) 模拟和 b) 数字起搏器设计示例
最大化安全性和可靠性的设计策略列表
以下是为医疗器械或任何其他可能需要的器械增加安全性和保护的设计考虑因素的一般列表。
- • 内置安全性(目前在高端 MCU 中很常见),带有身份验证和专用外部存储器,用于存储机密患者数据和日志
- • 监控电路和其他电源管理元件,有助于稳定电压轨,避免欠压、过压和过流情况,特别是对于电池供电的应用
- • 采用可复位的保险丝,帮助保护关键电路
- • 集成铁氧体和 ESD 抑制器,用于板外连接,有助于防止高频噪声和杂散瞬变
- • 关键组件冗余
- • 有助于最大限度减少环境或当地条件(如温度或潜在的电磁干扰)影响的 PCB 布局策略
- • 对以高数据速率采样的传感器连接进行过滤,以帮助实现数据平滑化和平均化
- • 对增益或偏移量可能随着时间的推移而改变的可编程组件进行偶尔校准例程
- • 当使用激光或电机等潜在的不安全部件时,联锁系统
危险/风险矩阵
风险矩阵(如图 3 所示)可用于帮助推动稳健、低风险的设计,通常用于在产品发布期间为安全可靠的产品构建有力的案例。典型的风险矩阵列出了系统中每个合理的潜在危险,根据影响/严重性、概率/发生率对该危险进行评级,并根据这些值来判断该危险是否可以接受。
即使某些危险是可以接受的,控制风险以减轻危险或减少事故的发生也是有意义的,但重点是概述每个可能导致危险(对用户或系统)的故障点,以及如何将危险控制或管理到可接受的水平。这些风险控制措施的结果通常会导致设计任务,如额外的保护、冗余和系统恢复。有些任务甚至可以简单地“根据 IEC 60601 标准进行设计”,以解决与之相关的风险。
图 3. 医疗器械风险管理的危险可追溯性矩阵
结语
医疗器械当然比普通产品需要更严格的设计和规划,但根据分类和应用的不同,可能会有相当大的差异。虽然 IEC 60601 可用作一个实用的指南,但利用风险管理流程来跟踪潜在的危险,并描述如何控制这些危险,大大有助于为可接受的产品建立一个案例,同时也有助于设计师最大限度地提高安全性和可靠性。
参考资料:
图 2a 图片:文章 — “The Evolution of Pacemakers" - by S. Haddad, R. Houben, W. A. Serdijin
图 2b 图片:文章 — “Design of Wavelet-Based ECG Detector for Implantable Cardiac Pacemakers" - by Y. Min, H. K. Kim, Yu-Ri Kang, Gil-Su Kim, J. Park, and S. Kim
图 3 图片:Website - https://medicaldevicehq.com/fmea-vs-iso-14971/
