1、 1 印行年月 94 年 10 月 本標準非經本局同意不得翻印 中華民國國家標準 CNS 總號 類號 ICS 11.040.01 T502014912經濟部標準檢驗局印行 公布日期 修訂公布日期 94 年 3 月 25 日 年月日 (共 44 頁 )醫電設備之安全標準規範 Fundamental aspects of safety standards for medical electrical equipment 第一章 一般規定 1. 適用範圍 本標準指明為制訂醫電設備安全性標準的基本考量。 備考:本標準採用 ISO/IEC Guide 51Guidelines for the inclu
2、sion of safety aspects in standards的建議,並涵蓋應用醫電設備時所發生之獨特或重要的事件。 本標準主要提供下列人員或機構使用: 制訂設計、安裝及使用醫電設備標準的相關人員; 負責制訂醫電設備標準之衛生管理單位、檢驗機構及其他組織; 醫電設備之製造商; 包含醫電設備系統的組裝人員; 本標準亦有助於下列人員: 醫電設備之使用者或操作者; 醫院的管理者; 需要採購醫電設備之非技術性人員; 教育人員及學生; 負責建構患者照顧設施、負責採購或保養醫電設備之醫院及臨床工程師; 2. 概念 下列的資料並不打算加入新的用語釋意,而是對本標準所使用之用語及概念作一般性探討。特定
3、名稱已定義在國際性的文獻,這些定義 只是重覆其相關之討論而已。 2.1 基本的安全措施( Basic Safety) 基本的安全措施是當醫電設備於正常的使用下或其他合理可預期的情況下,提供保護避免直接對身體的危害(如機械強度、漏電及火災的安全措施)。 *ISO/IEC Guide 51: 1990, 加入安全規範於標準中之準則。 2.2 有效性( Effectiveness) 醫電設備之有效性是指其執行指定功能的能力(如心臟電擊器傳遞能量的準確度)。 IEC60050(191): 1990, International Electrotechnical Vocabulary- Chapter
4、191: Dependability and quality of service中此項的定義如下: 有效性(性能):設備符合設定的定量特性之功能性要求的能力。 2.3 功效( Efficacy) 醫電設備之功效是在輔助診斷或治療時達到預期結果的能力(如心臟電擊器的 2 CNS 14912, T 5020 除顫能力)。 2.4 必要性能( Essential Performance) 此概念比起基本的安全措施較少為人所了解。許多醫電設備對於生命保障或正確診斷而言相當重要。醫電設備無法正確運轉可能產生難以接受的風險,因而此設備可能不安全。例如大多數的人認為無法放電的心臟電擊器是不安全的,同理若因
5、醫電設備故障導致不正確的診斷會造成錯誤的治療。 對於醫電設備而言,安全的措施與性能標準的界限往往並不清楚,因此有必要性能觀念的形成。 一般而言必要性能之規定將限制或建立關鍵性參數,如心電圖的頻率響應與心臟電擊器的輸出能量,然而在某些情形下必要性能最好在公開的規定中說明。 2.5 必要規定( Essential requirements) 醫電設備的安全措施、功效與有效性無法完整地區分,因為成功的診斷與治療甚至患者的生命,可能由於設備因以下的情況而產生危險: (a) 設備本身有危險性; (b) 未達製造商指明之性能; (c) 不正確地使用。 因此,本標準對於必要規定的認定是結合基本的安全措施 (
6、參見第 2.1節 )及必要性能 (參見第 2.4 節 ) 。 2.6 使用的適切度( Fitness for use ) 使用的適切度取決於某些不會影響到必要性能的功能。適切度可能包含效率或可靠度,及揭露足夠資訊供消費者評定設備為預定應用設計的合適性。 2.7 危害( Hazard) 危害通常指風險或危險的來源。在本標準中危害通常是用來形容對人或物有潛在傷害的情況 (例如:可能造成傷害的環境、情況、程序、物體或材料 )。 2.8 品質保證( Quality assurance ) 品質保證 (QA)包含優良製造程序 (GMP)和品管 (QC)。 CNS 12680品質管理系統 -基本原理與詞彙
7、對品質保證的定義如下:品質管理的一部分著重於提供會滿足品質要求之信心。 CNS 12680 對品管 (Quality control)的定義為:品質管理的一部分,著重於滿足品質要求。 2.9 風險( Risk) 醫電設備直接的風險是因設計不當、設備故障或誤用導致患者、操作者、設備及環境的傷害,間接的風險則為不當的設備操作所造成患者的不良影響 (例如生命維持系統的故障及誤診 )。 ISO/IEC Guide 51 對風險的定義為:危害造成危險的可能發生率與傷害的嚴重程度。 2.10 風險等級( Risk level) 風險等級是風險的定量量測 (參見表 1 及表 2)。 3 CNS 14912,
8、 T 5020 2.11 安全 (Safety) 安全通常係指免於危險或風險。絕對 的安全係指能完全免除可能導致傷害的情況與環境。 預期醫電設備的使用有絕對的安全是 不切實際的。本標準中的安全泛指免於無法接受的風險。 CNS 14509醫電設備電性安全第一部分:一般安全規定中的安全是指當醫電設備因不當設計或使用或設 備故障,導致患者、操作者、設備及環境等直接傷害有關的基本安全。 不過本標準中的安全也用於有關 因設備故障或設備不如預期之功能,因而對患者有不良影響之較廣泛間接風險。 ISO/IEC Guide 51 對安全的定義為:免於無法接受之傷害的風險 (亦參見 Guide 51 之備考 )。
9、 2.12 整體安全等級( Safety integrity level) 整體安全等級係指零組件或系統會達 到預期的功能,或在故障時確保會以安全方式工作的措施。 整體性與危害性的故障有關,並考慮 到非泛變性的觀點如設計之誤差與泛變性的觀點如零組件故障。 2.13 嚴重性等級( Severity level) 嚴重性等級係指危害事件可能造成後 果的定性評估。醫電設備的區分通常不需多於下列四級: 災難的( catastrophic),可能導致多重死亡或嚴重傷害。 危險的 (critical),可能導致死亡或嚴重傷害。 邊際的 (marginal),可能導致傷害。 可忽略的 (negligible
10、),很小或沒有導致傷害的可能。 2.14 使用者 /操作者 (user/operator) CNS14509 對設備的負責人與正常運作下實際操作者之間的差別定義如下: 使用者:有使用與維護醫電設備職責的人員 (第 2.12.13 節 )。 操作者:操作醫電設備的人員 (第 2.12.17 節 )。 第二章 安全與標準 3. 危害 3.1 危害的起因 使用醫電設備可能會因下列事件而發生危害: (a) 設備無法達到其預定之功能(如呼吸器 故障無法使患者呼吸,呼吸監測器故障無法發出警報)。 (b) 功能異常(如注射幫浦注入過多的藥物 ,新生兒保溫箱溫度過高,生理參數的不正確量測)。 (c) 正常運作
11、下能量的傳遞,如: 4 CNS 14912, T 5020 心臟電擊器或高頻率手術設備的漏 電或工作電流經由非預期的路徑流經患者或操作者; 患者或操作者身體上非預定部位在輻射下之曝露; 患者或操作者在超音波能量或加速粒子下之曝露; 使患者過冷或過熱; (d) 設備之故障,如: 火災、觸電、爆炸及移出之零組件; 由於設備故障、外洩或過度曝露以致產生過度的游離或非游離輻射; 可觸及表面溫度過高導致燙傷; (e) 醫電設備附近的可燃性材料引燃導致火災或爆炸; (f) 正常或故障情況下的機械性故障; (g) 醫電設備的不正確安裝,如: 等級 I 醫電設備之不當接地; 危險的表面、彎角或邊緣; 不穩固;
12、 (h) 醫電設備的不正確選擇(如以 BF 型或 B 型醫電設備的觸身部分進行心臟內手術); (i) 醫電設備的不正確使用(如使用心臟電擊器時, 能量大小的選擇不正確); (j) 電磁干擾(如心電圖的顯示器會受到附 近高頻手術設備所產生之強烈磁場的干擾,由顯示器釋出之強大磁場對鄰近醫電設備產生干擾); (k) 腐蝕性、毒性或高溫之液體或氣體的釋放,或接觸到生物 不安全性的材料; (l) 使用醫電設備而需拋棄之材料及副產品 (如用於核子醫學之放射性物質的拋棄)。 3.2 與患者有關之危害 下列情況會使醫電設備特有的危害而發生或加重: (a) 患者或操作者無法察覺某些潛在危險的存在,如游離或高頻的
13、輻射; (b) 患者因反應; (c) 若因穿刺或處理造成低皮膚阻抗,導致 在正常情況下患者皮膚阻抗缺乏對電流之保護; (d) 透過低阻抗的連線連接電路至患者,當 設備直接連到患者心臟時相當低的電流就會有危害存在; (e) 因直流電間即使是相當低的電流,也可能導致組織壞死; (f) 支持或替代重要身體功能之設備的不穩定或故障; (g) 同時連接多項醫電設備至患者; (h) 高頻設備及低訊號設備的組合; (i) 者治療空間的環境條件,可能有濕度、 水氣或因空氣、氧氣或氧化氮混合麻醉劑或清潔劑可能有引發火災或爆炸之危害。 3.3 操作者有關的危害 5 CNS 14912, T 5020 醫電設備的操
14、作者可能會因物質、能量及游離或非離子輻射超過一般大眾許可之程度而曝露在危害之下,如: (a) 操作者其工作場所如核子醫學、放射線 醫學及放射治療等可能曝露超過一般大眾所容許的輻射程度; (b) 多數一般用途醫電設備有保護使用者避 免於高於特低電壓的曝露,而許多衛生專業人員曝露在觸電死亡或因高電 壓輸出設備而灼傷的可能之下,如心臟電擊器及高頻手術設備。 然而這些標準仍須限制在可接受的範圍內,其值應在合理可達到的最小值,而有時則須限制在患者所能容許的限制值之下限。 4. 影響安全的因素 醫電設備的安全使用有賴下列的因素,包括: (a) 設備的設計須考量並且採用能避免危害之措施; (b) 設備開始生
15、產前,硬體與軟體的設計需有適切的確效; (c) 在生產的過程中需有優良的製造程序; (d) 特殊的程序需選擇適當設備; (e) 操作者瞭解設備及其應用可藉由訓練、設備的標示或製造商的說明書; (f) 使用適合設備的附件; (g) 連接設備至適當的供應源 (如供應電源、壓縮氣體管線 ); (h) 設備的預防保養; (i) 設備維修時使用指定的零組件。 5. 安全措施 醫電設備的安全常需要製造廠商及使用者建構整合措施,包括: (a) 結合設備設計的安全規定; (b) 額外的安全措施,如安裝的規定、正規的建構、例行的保養與安全測試; (c) 要求使用者在使用某些類型的醫電設備或 某些程序時需知道特別
16、的注意事項之措施。 上述各項都應考量是否需要正式標準以達到整體的安全。 6. 標準的目的 醫電設備安全標準及必要的性能標準之目的是為了增進其使用安全。應藉由發展標準達成此目的,這些標準有助於下列事項: (a) 製造商設計及組裝安全且有效的產品; (b) 製造商、測試實驗室及管制權責機構評鑑是否符合規定; (c) 醫療照顧的專業人員管理有關使用這些產品之風險。 7. 標準的類型 醫電設備之安全與必要性能的產品標準可能為下列一種或多種類別(參見第 19.4 節) 。 7.1 產品標準 這類標準與某一特殊產品或某類產品有關,包括: (a) 適用於產品預定用途之安全規定的安全標準 (如 CNS 145
17、09 系列之醫電設備 6 CNS 14912, T 5020 及其相關附屬和特殊標準 ); (b) 必要性能標準包含下列規定: 確保產品有效性能所需之規定; 提供讓許多由於沒有適合標準作為參考而無法確認,因沒有特殊之實驗設備以評估重要性能的人使用; 經由可再現之符合性測試或設計過程之評估,而可使用完整可測試之工程術語說明之; 備考:就醫電設備而言上述 (a)與 (b)之規定常出現在相同之標準中。 (c) 非必要性能標準包括了 (a)及 (b)所討論範圍以外的項目。這些標準包含能幫助製造商或使用者述明設備使用適切度之性能規定與測試方法。 可能會制訂包含有關測試方法之載 明標準,而與標示或聲稱性能
18、之一致性將會標準化。 7.2 程序標準 一些標準的類型屬於此種類,包含: (a) 品質保證 (QA)標準, (如優良製造規範 (GMP)與品質管制 (QC)為其部分的品質系統,應用在認可規定或重要的特殊程序性能之維持 ); (b) 其他評估程序證明的標準(如可程 式化電子系統、滅菌及人因工程之標準)。 7.3 安裝與環境標準 這些標準包含: (a) 結構與安裝標準 (如 X 射線之屏蔽,電路之配線規定 ); (b) 系統標準 (如修正介面與交互作用的重要規定 ),例如: CNS 14509-1, 醫電設備系統的附屬標準; 醫學影像檔案電腦系統 picture archival computer
19、 systems (PACS)之標準; 醫學資訊匯流排 medical information bus (MIB)之標準。 (c) 建構標準,在開始使用前可藉由設計評 估或正確安裝之檢查與設備調整而增進安全; (d) 限制設備對環境可能的影響 或外部對設備影響之標準, (如電磁相容性相關之標準 )。 7.4 使用標準 這些標準包括: (a) 例行使用中測試標準,設備 或安裝之磨損可能危及安全 (如心臟電擊器與高頻手術設備之例行使用中測試標準 ); (b) 恆定性與校正標準:安全有賴於確認的設備功能與準確性; (c) 解說指引:提供有關特定類型設備及程序之危害的資訊和適當的安全建議; (d) 使
20、用者指引:提供關於使用產品標準之安全分級系統的資訊。 8. 可接受的風險程度 ISO/IEC Guide 51 說明安全是免於風險與產品、處理或服務(包含效用、適當性與 7 CNS 14912, T 5020 成本)等其他需求間的平衡。若安全的定義是免於任何風險,則醫電設備的使用就沒有絕對的安全;其應用只有相對的安全或相對的不安全。社會上可接受的安全或風險程度會受到社會改變的影響。 很少有事情是完全沒有風險的絕對安全。在考量進一步降低風險的花費及經由使用產品、處理或服務的利益下,實際上應盡可能降低風險。 社會 (包含醫電設備的使用者、患者、製造商、管理機構與一般大眾 )可能會要求或甚至期望醫電
21、設備是完全安全、按規定運作及產生適當的效果,然而在制訂適當的產品標準時,須考量當使用產品失效時造成不良影響之風險與花費之間的平衡。一個挽救了一千個人生命而只傷害了一個人的醫療儀器可能比一個挽 救了一百個人生命而沒有傷害任何人的醫療儀器更佳。上述考量是在傷害患者與挽救生命失敗間的差異 (這並不容易評估 )。 醫電設備產品標準的功能之一是界定在預期的使用下或甚至誤用設 備時可接受的風險程度。因此,產品安全的設計與評估有賴下列四點: (a) 確認需考量的危害; (b) 評估危害產生的風險; (c) 建立安全等級的規定及得到一致的可接受風險等級; (d) 指明安全規定以排除或儘可能將危害降至最低及達到
22、可接受的風險等級。 依情況而定,這些事項可由相同或不同的人在同一或不同時間執行。 這些事項在發展產品標準時實行,然而產品的設計者或評估者也需要執行進一步的評估以確保產品不會引發標準涵蓋之外的額外危害。 (c) 點亦牽涉廣泛的政治與社會層面。 因此產品標準應指明規定與測試,使得相關機構可使用這些測試以評估已完成的產品或產品設計與製造程序。若製造商可證實可達成相同程度之安全時,亦可採用不同於標準指定之方案。圖一是確認風險、建立可接受風險等級與發展安全與必要性能規定的流程圖。 8 CNS 14912, T 5020 圖 1 風險管理之流程圖 9. 建立安全與必要性能規定 9.1 危害的確認 在建立安
23、全與必要性能規定之前,須確認有關特殊類型設備的危害。 醫電設備的定組件可能會引發或導致種種危害(參見第 3.1 節)。 CNS 14509亦依種類列舉一系列的危害,應可作為各個特殊類型設備風險分析的基礎。 特殊標準的基本功用是列出某類型設備特有的和需避免或儘量降低之危害,因此在 CNS 14509 有更精確地指出一般的危害。 例如, CNS 14509 中的第 51 節指出防範危害性輸出的需求,然而一般標準只規範一般規定,而某設備可能有許多重要的輸出特性,例如注射幫浦的輸出是指溶液輸送的速率,而任何下列特定輸出特性可能會導致危害: (a) 正常操作下有關平均速率設定之錯誤; (b) 正常操作下
24、瞬時速率之變化; (c) 不論在有警報或無警報的故障情況下,輸送總量之錯誤。 一般使用新技術 (如使用可程式控制的電子系統 )雖然可能會引起額外的故障原因而導致相同的危害,但是不會影響某類型設備的危險範圍。對新技術的適當危險的確認 嚴重性等級 建立風險規定 設計的選擇與發展 設計選擇的分析 審查 監控與評估 完成 決定 危險分析 風險控制 9 CNS 14912, T 5020 規定通常著重於必要性能而非預防危害(如火災與觸電)之基本安全保護。 9.2 嚴重性等級 特殊標準的另一個功用是評估各個確認的危害以決定其嚴重性等級。 即使無法精確的定義可接受的風險,有系統地表列危害並註明其嚴重性等級的
25、程序,可確保每一種危險在產品設計的過程都得到適當程度的考量。 在不同程度的考量下,可能不只一種方式會產生相同的危害。例如,當已逹需求總量後,注射幫浦的潛在性危害可能是因故障而無法停止注射,這可能因為幫浦機器故障或因操作者在設定時發生 錯誤,這兩種情形有相同的嚴重性等級,但風險處理的措施與這些措施的有效性可能並不相同。由於設備故障而過量注射的可能性應很低,因為此問題在設計時即予考慮。然而避免操作者錯誤最好的方法可能是要求設備的容量設定有提供清楚的指示。 危害的嚴重性可能不只是取決於設備的設計。例如,注射幫浦流速過快對患者的影響是取決於輸送什麼液體、過度的速率持續多久及患者的健康程度。因此同樣的危
26、險在不同情況下可能有不同的嚴重性等級。若情況無法預期,則嚴重性等級應取決於可能的最壞狀況。 9.3 決定可接受的危險等級 風險是頻率或機率 (在特定的期間或特定的情況下 )與特殊危險後果的組合。此觀念有兩個要素,即危險發生的頻率或機率及危險的 (嚴重性 )後果。 雖然在討論時醫電設備廣泛地涉及安全,重要的是要記住絕對的安全係指完全不存在風險。實際上,零危險是達不到的。然而,在所有情況下每種風險等級都須夠低才能接受。 幾乎任何設備的設計都能修改使之更安全,如更精良的設計、額外的安全或控制系統或額外的生產 /測試步驟。然而,這些改進可能需要額外的花費或能源效益的損耗。因此對每種危害而言,決定風險是
27、否可以接受是必要的;亦即危害的嚴重性與發生的可能性之組合是可接受的。 IEC 技術委員會 62 及其次委員會通常不會說明可接受的風險等級,而且可接受風險的觀念可能不常見且甚至不 受歡迎,不過在一致同意的標準中如 CNS 14509 這個觀念是既有的。 (某些醫電設備之輻射防護風險已量化 )。 通常用於決定危險是否可接受由下列各項決定: (a) 風險太大或結果無法接受因此須完全拒絕; (b) 風險或已發生之風險小到可忽略; (c) 介於 (a)與 (b)之間的風 險,且已降至合理可行的最低程度(需了解此可接受程度之利益與考量其進一步減少風險的花費)。 風險須盡量降低至合理可行的程度 ( 即, a
28、s low as reasonably practicable “ALARP” 原則 )。某特殊的應用若其風險介於兩個極端之間 (即“無法接受的”與“可忽略的”)且實施 ALARP 原則,則產生的風險是可接受的。 雖然確認可接受的危險等級的主要考慮是嚴重性與可能性,而其他的因素仍必須考慮,如: 10 CNS 14912, T 5020 (a) 預期發生會產生危害的先決 條件之頻繁性 (如設備使用的頻率或治療患者的數目 ); (b) 進一步改進的可行性; (c) 進一步改進的花費; (d) 臨床的限制; (e) 使用設備而產生的利益; (f) 公眾觀點。 相較於其他行業,醫電設備通常沒有一致的危
29、險分級系統。例如,下列相關嚴重性的意見就可能不同: (a) 患者監視設備故障而無法適時的響起警報; (b) 放射療法設備故障而無法輸送正確的輻射劑量; (c) 輸注設備故障而無法輸送正確劑量的藥品。 因此特殊標準進一步的功能是定義每種危害可接受的最大機率。發展標準的過程中應個別決定依特定類別設備每種固有危害的嚴重程度。 當故障導致危害的機率已知或可估計,風險評估可由表 1 及表 2 做起。然而對醫電設備而言,表 1 第一欄的災難性結果是無法接受的。 評估風險所需的心力會受到使用中特定類型產品 數量的影響。不過這些數量不應該影響風險與利益之間的平衡。 若設備的數量越多則風險越大但利益也越大。 表
30、 1 危險事故的分級 結果 發生率 災難的 危急的 不重要的 可忽略的 經常 I I I II 可能 I I II III 偶爾 I II III III 極少 II III III IV 不大可能 III III IV IV 不可能 IV IV IV IV 11 CNS 14912, T 5020 表 2 風險等級的說明 風險程度 說明 I 無法忍受的危險 II 不期望的風險,只有在風險不易降低或花費與所獲得的改善非常不成比例的情況下才能容忍 III 可容忍的危險,若降低危險之花費會超過改善所獲得的利益IV 可忽略的危險 對醫電設備與多數其他種類的設備而言,成本 /利益的考量並不相同。能夠成
31、功地治療許多患者的設備可能比昂貴而治療較少患者的設備更好。此議題應由相關人士 (製造商、使 用者、管理權責機構等 )討論且達成共識。為達成一致的結論標準起草委員會 (所有相關人士都會出席 )為適當的討論會。 委員會撰寫新產品標準應對每種設備重 新考慮所有可能的危害及指明可接受的風險。此作業可從評估相似設備的現有設計之已知風險為出發點。委員會可能希望指定比現有設計更高或更低的可接受風險。然而,預期在最壞的情況與先前相同的可接受風險是恰當的,即與危害事件有相同的機率。 採用不同的技術,如可程式控制的電子系統,不應改變現行接受的風險等級。然而新技術的採用與使用者要求的改變 ,可重新評估安全與其他考量
32、間之平衡。上述決定可接受風險的基準或許不可行,然而設備運作的新功能是不可能沒有新技術的。 9.4 故障的防範與控制 醫電設備與其他相似的電子設備之間的不同在於其可能發生的危險。如前文所述,特殊標準的其中一個功用是確認相關類型設備其特有的危害。 用於預防危害的措施並不限於醫電設備所特有。醫電設備所使用的零件與組件大部分都是符合其相關標準的標準品。同理,使用的規格也通常相似,軟體元件與作業系統亦相同。 在處理隨機或系統性的故障時,可實施故障防範或故障控制。故障防範是避免故障之發生。故障控制是指提供額外的措施,如:假如故障真的發生,仍可防止危害的效應。 因為複雜的系統不能藉由測試而徹底評估,故正確性
33、及可靠度須以其他方法評估,其在設計過程中可使用合適的步驟以獲得確保,且可藉由審查該程序之證據分析。 (在醫電設備之其他項目,如滅菌及人體工學亦須評估 程序之證據 )。 無法保證絕對安全的認知之漸漸被接受導致風險管理 概念的發展; 此概念可使用於廣泛的品質系統方法以設計及生產更好的醫電設備。 CNS 12684品質管理系統 -績效改進指導綱要,包含這些觀念的敘述。這些概念的主要內容是指包含安全與效能的品質,在產品設計的初期最容易導入。 對任何醫電設備而言最好在所有設計階 段均為徹底且有條理的方法包含危害 12 CNS 14912, T 5020 可能性的分析。新技術的加入如軟體會增加相較於傳統設
34、計方法在此之需求,傳統設計時製造商及標準編撰者可依賴主要問題累積的經驗。 有許多技術可使得故障的影響減到最少,但是不可能將所有的技術應用在相同硬體或軟體上。 因此製造商須決定使用那些技術及使用的程度; 而認證組織或主管機構須判定製造商的決定是否合理。所以必須設定一目標,此目標可在完成的設計中以可接受風險或安全相關系統的完整性來表示。 此外常有可供選擇的設計方法可達到相同且全面的安全程度。例如,可能使用非常高完整性的單一控制系統或較低個別完整性的多個獨立控制系統。對於每一個系統製造商必須做到何種程度不僅 有賴全面安全程度的要求而且有賴於安全相關系統的結構。 9.5 完整性的程度 按照 IEC 次
35、委員會 65A 所發展的標準其所採用安全完整性程度之觀念,是相對於軟體或硬體如預定的運作時同程度的保證或可能性。 此觀念可作為評定完整設備 之相關軟體或硬體組件 (有賴於設計及製造所使用之方法 )與風險等級之依存 度。對每個安全完整性程度而言,須遵守整套程序以提供必要的保證。在此方法之下,個別產品委員會只需對每個保護系統決定其適當的完整性程度。 此類標準需指導設計者及評估者在設計 的過程中決定如何有效預防整體故障模式。 然而這些標準卻無法說明設計者需要做到何種程度以避免特定的危害。此取決於危險的嚴重性及大眾期望與成本 /利益的考量,其因每個情況而有所不同。對每個特定危害而言,標準編寫委員會需明
36、確地或藉由設定允許之設計特徵或設計及生產技術的規定建立可接受的風險。 此完整性程度的概念可應用於: (a) 安全相關系統的整體架構; (b) 個別的安全相關系統; (c) 個別的安全相關系統內的零組件 (包含軟體 )。 如何分配安全完整性程度的例子會列在一些附屬及特殊的標準中。 9.6 達成可接受風險等級 基本上某產品的評估包含了判定某些特定類型的故障是否不可能發生。一般而言,此過程是取決於產品的技術特性勝過其應用。例如,醫用、辦公及家用的電器設備皆需要相似的電擊防護方法及相似的介電強度測試標準等。同樣地,不論控制的是何種設備,可程式控制電子系統的完整性程度也是用大致相同的方法評估。此差異主要
37、是因適合特殊的應用所需的不同完整性程度。因此這些準則可規定涵蓋許多種設備的一般標準中。 醫電設備與大多數其他安全相關設備之 間的一項差異在於患者為系統之一部分。預定作為監視、量測或控制生理參數之設備,其理想的性能規格可能無法確切定義。在此情況下,仍須確定當設備無法符合其規格的風險是低至可接受 13 CNS 14912, T 5020 的程度,但也須評估規格本身的適當性與合適性。 以前靠人力所完成的功能越來越多是藉 由醫電設備而達成 (如生理數據的分析,治療藥劑投予的決定 )。 尤其困難的是,決定某系統是否接受該系統在沒有醫療人員的介入時其軟體可能誘發潛在的危害。 先前的設備安全標準不須述及此問
38、題,而現在則為必須。假如只針對某些安全觀點而忽略其他的項目是沒有價值的。 9.7 超越指定的規定製造商可以製造一產品其規格超過標準中指定的要求。當一特殊的標準指明一可接受的風險 (針對某種危害 ),製造商在考量商業上可接受的成本花費下可能發現能降低風險至較低的程度。生產這樣的產品並不表示標準不夠嚴格。標準應考慮到什麼是合理可達成的。 9.8 CNS 14509 系列中風險的處理 CNS 14509 及 IEC 60601-2-xx 已經指出大部分發生於各種醫電設備的一般危險。對許多種類的危險而言這些標準已經: (a) 指明可接受之安全相關系統的架構 (即有利於安全之系統,如基本絕緣上加保護性接
39、地以避免觸電之架構 )。 (b) 指明在正常情況下或單一故障條件下不可發生的特殊事件。 以上述二者之一方式編寫的規定已內含可接受風險之定義。 在某些其他的產業中危害事件的機率已量化。標準或設計規格規定各個風險要降低至或低於指定的機率。實際的機率經計算而得(對隨機的硬體故障而言)。 9.9 故障條件 開發醫電設備標準所需考量之故障條件可歸納成下列幾類: (a)對操作者而言某些明顯的故障 (如能由細心的使用者觀察到的 外部損害;某些類型的醫電設備因接地線破裂導致明顯的機能故障 )。 (b)某些即使是細心的操作者也無法觀察到的故障,但可由例行 的保養而發現(如醫電設備中供應電源與保護接地之間絕緣部分
40、失效 )。 (c)某些操作者無法觀察或在例行的保養中無法察覺到的故障 (如雙重絕緣的部分故障 )。 9.10 單一故障原理 在醫電設備 中各種危險的實際機率很少被量化。而可靠度是基於 “單一故障原理 “ 其說明如下: (a) 不可產生單一故障條件所列之任何危害; (b) 與安全相關之所有設備組件都須是合理可靠,使得單一故障之機率低; (c) 兩個單一故障的機率是非常低,所以對多重故障條件所產生的危害而言是可接受的; (d) 當一個單一故障直接導致其他單一故障時,其機率與第一個故障的機率相當,設備仍須安全; (e) 在某些情況下, 兩個故障可能是起因於相同的事件 (如因導電液體或金屬物而使雙重絕
41、緣的雙層皆短路 ),兩個故障的機率與相同事件的機率相同; 14 CNS 14912, T 5020 (f) 由於不會影響設備的功能,實際的保養程序無法察覺的故障是不太可能被操作者注意到。長期間內故障仍未被發現的高機率在研擬安全規定時須予以考量。 目前 CNS 14509 關於電性安全的規定說明於單一故障原理。藉由基本的絕緣提供基本的安全。然而,因為這可能有缺陷 (可能故障或可能跨接 ) 故需額外的保護。 CNS 14509 已認可下列三種方式: (a) 保護性接地 (可觸及部分或中介部分 ); (b) 補充絕緣; (c) 加強絕緣 (視同雙重絕緣 )。 保護性接地有可能會失去作用,若失 去作用
42、則不允許有任何的危害。然而尚有一個可忽略的機率存在, 即基本絕緣與保護性接地兩者同時都失效 (或更準確的說法是當其中一個失去作用尚未修復時,另一個又失去作用 )。 實際上,兩個單一故障條件的機 率不是零。在某些產業裡潛在的危害是非常嚴重的 (如核能電 廠反應爐核心熔毀或飛航事故 ),但其發生機率是非常低。因此多重保護系統是必要的,評 估雙重甚至多重故障的機率並與已聲明可接受之機率加以比較。 對醫電設備而言,已考量在單一故障 條件下不會發生危害;在雙重故障條件下危害可能會發生,但可忽略此風險。 標準起草委員會應確認比單一故障原 理更高保護水準的醫電設備之安全性危害。 一般而言,單一故障原理是指對
43、每種 危害醫電設備有兩種防護方法。假如單獨系統失效的可能性很低, 則此風險可以忽略 (有時可能提供多於兩種防護,但現存的標準並未要求 )。 對大多數傳統的技術而言,單一故障 原理已證實是成功的,且因為它仍然廣泛地適合於簡單的硬體系統,因此應 盡可能的保留。例如,其只須將沿面距離加倍就能獲得相當於雙重或加強絕 緣之效果。雖由定義即知可排除此距離的跨接,但只要一個硬幣就能將這“ 兩個”絕緣同時加以連接而導致電性危害。這個簡單的例子說明 連傳統安全技術都存在“一般原因”故障的風險。 當發生故障時,醫電設備應保持在可接受的危險限制範圍內: (a) 對操作者而言明顯的故障 (如依據顯示之信號或失去功能
44、); (b) 依隨附文件藉由定期的檢查或執行保養時可察覺之故障; (c) 操作者無法觀察或在例行的保養中無法察覺到的故障,但能經由內建的安全措施察覺或控制。 然而,在出現察覺不到的故障時,醫 電設備必須同樣保持在可接受的危險限制範圍內。 草擬安全與必要性能規定時須考量可 接受風險的限制值。例如,在正常情況下醫電設備漏電已認定為須無害的 或無法察覺的,在某些故障條件下的 15 CNS 14912, T 5020 放寬規定至可能察覺但不可產生危險可能合理。 在此故障的條件下以備份系統或藉由使用保護設備(不論是被動式或主動式)來提供安全。 9.11 CNS 14509 包含的完整性程度 CNS 14
45、509 要求評估個別安全裝置的完整性以確保不易發生故障。 例如,絕緣必須能耐介電強度測試、保護性接 地連接須是低阻抗、而熱跳脫開關必須能夠操作一定次數而不故障。 加強絕緣視為相當於基本絕緣與補充 絕緣的組合。這表示其完整性相當的高所以故障的機率可忽略。 在正常情況下漏電流須在特定限制值 內,而在各種單一故障條件下,則在較高特定限制值內。其中一項單一故障 條件是保護性接地連接失效。然而,永久性安裝之保護性接地連接失效被視 為非常不可能。換句話說,這樣的連接是比普通的保護性接地連接具有更高的完整性。 另一方面,漏電流不論在任何功能性 接地連接是完整或斷路狀況下須符合正常條件的限制值; 功能性接地連
46、接是低完整性而其斷路被視為正常條件。 因此 CNS 14509 已確認接地連接與絕緣的三個完整性程度: (a) 功能性接地連接 /功能性絕緣低完整性故障可能發生; (b) 保護性接地連接 /基本絕緣中等的完整性故障可能,但不太可能發生; (c) 永久性安裝接地連接 /加強絕緣高完整性故障非常不可能發生。 備考:不論是否為永久性安裝,在正 常使用時保護性接地呈撓曲的導體可能故障,應檢查漏電流的單一故障條件是: 在正常情況下撓曲保護性接地導體之中斷。 9.12 CNS 14509 之可接受的風險程度 單一故障原理通常是應用於基本的安全, (即避免如火災與觸電之危害 ),然而卻未一致地應用於功能性危
47、害 (即設備無法正確達成預定的功能 )。依CNS 14509 及一些特殊標準之規範某些情況可能視為具危害性,在正常狀況下應加以避免,但在單一故障條件下則不用。 例如, IEC 60601-2-4: 1983. Part2Medical electrical equipment-part 2: particular requirements for the safety of condiac defibrillators and defibrillators.,規定傳送至測試負載的能量在設定能量的 15 %內。然而,若電擊器故障則無法傳送任何能量 (不管任何單一組 件故障時為了維持其功能,實際上
48、電擊器需由兩個完整的組件所構成 )。因此,傳送能量準確性之規定不適用於單一故障條件。所以,根據標準在單一故障條件下傳 送能量可能從零到正常的最大量或可能更高。 因此 IEC 60601-2-4 意味著偶爾傳送不正確的能量將為可接受風險;在正常操作下能量須正確 (在指定的容忍度內 ) 但在單一故障條件下不正確的輸出為可接受 (假設單一故障條件相當罕見 )。 若規定只適用在正常情況下,則意味著單一控制系統已足夠。 16 CNS 14912, T 5020 10. 設備附件 測試實驗室與管理機構所產生的主要問題乃因下列之因素: (a) 有些醫電設備只有在當設備裝上所有附件時才可進行完整評估; (b)
49、 有些醫電設備只有在使用某些附件時才能符合相關必要的規定; (c) 醫電設備許多的附件是由其他製造商所提供而非原廠。 產品標準無法完全地描述這些問題。然而,若適用時標準應注意下列所述: (a) 當產品使用時未經製造商的同意而使用另 一個製造商的附件,則製造商不需負擔其產品的安全或性能的責任; (b) 原設備製造商應該: 保證其附件都不會減損產品的安全性或認證,或指出那些附件是如此; 提醒使用者注意 (藉由設備的隨附文件 )其他製造商的附件是否會危及其產品的安全、性能或保證。 製造商與測試實驗室在認證醫電設備時應確認實際所包含的附件。 11. 標準化 發展安全與必要性能規定的重要目標是將設備的某些實體規格與人因工程標準化,因此設備可依照標準程序使用及保養。 當醫電設備的某一實體規格之標準化被納入作為規定時,須提供其原由供不熟悉產品標準規定的使用者使用,可依下列方式達成: (a) 出版個別的使用者指引; (b) 產品標準的原由