醫療器材風險管理—通用篇（二之三）

ISO/TR 24971:2020

醫療器材—ISO 14971應用指引

（見前篇）

5. 風險分析

5.1 風險分析過程

風險分析過程包括以下步驟，在下列步驟中進一步詳細解釋：

•  描述醫療器材的預期用途和合理可預期的錯誤使用；
•  識別與安全相關的醫療器材的特性；
•  識別與醫療器材相關的危險和危險情況；
•  估計每個危險情況的風險。

註1：此文係引用ISO/TR 24971：2020本文第4, 5, 6章內容。（見主文）

© All Rights reserved. 版權聲明。

5.2 預期使用及合理可預期錯誤使用

預期用途宜考慮資訊，例如：

• 預期的醫學適應症，例如：Ⅱ型糖尿病、心血管疾病、骨折、不孕症的治療或診斷；
• 患者群體，例如：年齡群組（成人、兒童、青少年、老年人）、性別（男性、女性）或疾病狀態；
• 與醫療器材相互作用的身體一部分或組織類型，例如：腿部或手臂；
• 使用者剖繪，例如：患者、普通人（無經驗者）、醫療保健提供者；
• 使用環境，如：家庭、醫院、重症加護病房；
• 操作原理，如：機械活塞驅動式注射器、X射線成像器材、MR成像器材、皮下藥物輸送。

合理可預期的錯誤使用係指以製造商非預期的方式使用醫療器材，但可能是由於容易預測的人類行為造成的。其可能與使用錯誤（如：疏忽、失誤或差錯）、故意錯誤使用行為以及故意將醫療器材用於其他（醫療）應用有關，而非製造商原來所期望的使用方式。在設計和開發過程中，可以通過對模擬使用的分析識別合理可預期的錯誤使用案例，例如：通過應用可用性工程過程，或在後生產階段通過分析實際使用來識別。在整個醫療器材的生命週期中，可以合理地識別可預期的錯誤使用，包括設計活動的迭代方式，經由此種方式，製造商預測潛在錯誤使用的能力得以逐漸增強。

可用性工程過程可以幫助確定特定的錯誤使用是否合理可預見，例如：通過在可用性測試期間的觀察。可用性測試可能會顯示出來，使用者可能未按照製造商說明的通常適宜方式使用醫療器材。此種錯誤使用可能發生的原因，泰半緣於工作文化不良、風險感知不足、對後果瞭解有限，或因為操作程序不明確。

以下示例說明通過應用可用性工程過程識別和分析的合理可預期的錯誤使用案例。有關可用性工程的更多資訊，可在 IEC 62366-1 和 IEC TR 62366-2 中找到。

例：一次性醫療器材係設計為僅只使用一次，但可以合理地預見某些使用者可能會嘗試重複使用該醫療器材。因此，在隨附文件中包括警告重複使用，和再次使用可能造成傷害的警語或指示。根據 IEC 62366-1應用可用性工程表明，此等安全資訊確係有效果，即使用者將知道正確的使用並瞭解重複使用醫療器材的風險。然而，可用性評估過程亦呈現，某些使用者可能會忽視此等資訊，而有意地重複使用醫療器材。此等故意重複使用方式便可被視為異常使用，這就超出可用性工程過程的範圍，因為使用者界面無法控制相關風險（見 IEC 62366-1：2015 的 3.1 和 3.26）。由於此種行為可以合理地視為可預期的錯誤使用，因此在風險管理過程中對此類再次使用的風險進行分析，並根據 ISO 14971：2019 依照風險可接受性準則進行評估。可能有必要在使用者界面之外另追加實施風險控制措施。

5.3 鑑別安全有關的特徵

鑑別可能影響醫療器材安全的特性十分重要。此等特徵可能是定性的或定量的，可以受某些限制的約束。附錄 A 列出的問題涵蓋醫療器材的許多方面，有助於確定與安全相關的特徵。對於附錄 A每一個問題，皆須進一步詳細考慮哪些因素值得深入追究，最終目標是查明與醫療器材相關的所有危險和危險情況。附錄 A 中的問題清單不宜用作檢查清單。審查類似醫療器材的可用資訊和文獻（包括不良事件報告）也很有幫助。

製造商可以鑑別實現其預期用途或可能影響安全所需的醫療器材的性能或功能，並考慮如果其中任何一項功能未能正常執行，是否會發生任何危險情況。

5.4 識別危險、危險情況

5.4.1危險

危險是潛在的傷害來源。依傍具體情況，危險可能有不同的來源/性質。危險的例子包括：電、移動部件、傳染性細菌、化學物質、氣體、銳邊/銳角、強電流、溫度和電離輻射。

與醫療器材相關的危險可以從 5.2 中確定的預期用途和合理可預期的錯誤使用以及 5.3 中確定的安全相關特徵推斷出來。ISO 14971：2019 附錄 C 提供了指引，可以幫助識別可能導致危險情況的危險和事件序列。附錄 H 係供體外診斷醫療器材（IVD）運用的類似指引，其中不正確的診斷資訊可能會給患者帶來間接風險。

5.4.2 一般危險情況

只有在事件序列發生引起危險情況並隨之引發或造成傷害，係稱的醫療器材方才會導致傷害。事件序列可以包括按時間排序的原因和結果，結合同時發生的事件。當人員、財產或環境曝露在一種或多種危險時，就會發生危險情況。

即使醫療器材沒有故障，當醫療器材在正常狀態按預期使用時，也可能發生危險情況。危險情況可能是某些療法的內在因素。例如：體外自動除顫器 （AED） 作為正常操作的一部分向患者提供高壓電擊。同樣地，傷口燒灼手術係在傷口部位施加高能量電流，手術刀具有用於切口的鋒利刀片。

附錄 A 以問題的形式提供有關可能影響安全的醫療器材特徵的指引。此等特徵有助於鑑別危險和危險情況。附錄 B 提供幾種支援風險分析技術的指引。附錄 H 就體外診斷醫療器材的鑑別危險和危險情況提供具體指引。

5.4.3 因故障引致的危險情況

在僅因故障發生危險情況時，發生故障的機率與發生傷害的機率不同。故障可以引發一系列事件，但不一定會導致危險情況。危險情況並不總是造成傷害。

重要的是要理解，通常有兩種類型的故障可能導致危險情況：隨機故障和系統故障。

5.4.4 因隨機故障導致的危險情況

隨機故障通常是由於物理或化學原因，如：腐蝕、污染、熱應力和磨損。對於許多隨機故障，可以給出故障發生機率值。隨機故障的一些範例如：

• 電子集成積體電路等部分的故障；
• 體外診斷（IVD）試劑受到污染導致錯誤的結果；
• 醫療器材內或醫療器材上存在傳染性或有毒物質。

只有在知道有關危險和影響危險情況發生機率的情況之充分資訊的情況下，例如：在使用滅菌保證水準方面，才能對生物學風險進行定量估計。

5.4.5 因系統性故障導致的危險情況

任何活動中的某項錯誤皆可能引起系統故障。當輸入或環境條件的某些特定組合出現時，將系統地導致失效，否則仍會是潛在的危險。

導致系統故障的錯誤可能發生在醫療器材的任何部分，如：機電醫療器材中的硬體和軟體。對任何醫療器材而言，標籤中的系統性故障可能導致使用錯誤。此等系統故障可能在醫療器材的開發、製造或維護過程中任何時間點出現。系統故障的一些示例如：

• 額定值錯誤的保險絲無法阻止危險情況發生：保險絲額定值的分級可能在設計過程中劃分為不恰當的等級；
• 軟體資料庫沒有提供資料庫滿載的處理條件：如果資料庫已滿，則不清楚軟體將做什麼，因此系統可能只會用新資料替換現有資料；
• 在生產醫療器材時使用的液體的沸點低於體溫：在某些情況下，加工時液體殘留物可以引入血液，可能導致栓塞；
• 肝炎化驗時使用的抗體未檢測出病毒的某些變異株；
• 環境控制設計不當導致有毒物質或傳染性物質的污染；
• 編寫用戶手冊是為了使用，但如果按照說明內容執行維護程序，使用者可能會受傷（例如通過尖銳的探頭）。

準確估計系統性故障發生機率相當困難。主要是出於以下原因：

• 系統性故障的頻率難以量測。如果沒有系統性故障或與風險控制相關參數的大量資料，想達到合理的信心水準甚為困難。
• 對於定量估計系統性故障發生機率的方法，尚無共識。

由於在此等情況下風險估計相當困難，製造商不宜偏重在估計系統性故障的風險，較宜專注於實施穩健的系統，以防止可能導致危險情況或傷害的系統性故障。

5.4.6 因資訊保全脆弱性引起的危險情況

該文件意指的資訊保全性包括網路保全、資料和系統保全。資訊保全漏洞可能導致丟失資料、洩露個人健康資訊、未經授權訪問患者記錄等。此種情況可能引起最終導致傷害（患者受傷或財產損失）等一系列事件。例如：

• 保密性喪失可能導致洩露個人健康資訊；
• 完整性喪失可能導致實驗室結果的不正確或醫療器材的故障；
• 可獲得性喪失可能妨礙醫療器材的關鍵使用功能，或醫療器材完全停止使用。

有關資訊保全的進一步指引，請參閱附錄 F。

5.4.7 事件序列或組合

危險情況可能是獨立事件序列或組合的結果。圖 1 中說明此點。然後，發生危險情況的機率 P₁ 由獨立事件發生機率的乘積而得。單一事件序列可以有導致不同危險情況的分枝，不同的事件可能導致相同的危險情況。圖 1 中未顯示此等複雜性。

圖 1 中的示例用於電性危害，與醫療電力驅動器材內的絕緣電線有關。電線的絕緣材料衰減而產生裂縫的可能性雖然很小，裂縫導致導電線外露。下一個可能的事件是使用者連接主電源和啟動醫療器材，並且（取決於使用者界面中的選擇事項）外露的導電線係處於連接在主電源的電壓。當使用者隨後打開器材的防護罩時，就會出現危險情況，即使用者將會曝露在 220 V 的電源電壓。此事件序列的組合機率是 P₁。

用戶實際接觸裸露導電線的機率估計為 0.10。由於用戶總是會遇到線路電壓的電擊，因此感到不適的機率為 P₂ = 0.10。燒傷的機率較低（估計值0.01），死亡的機率甚至更低（估計值0.001）。

危險情況 （HS1） 可導致不同類型的傷害（H1 到 H3），從不適到灼傷甚至死亡。危險情況導致傷害的機率可能因傷害類型而有不同的機率值，圖 1 中的機率值稱為 P₂ （HS1） H1 到 P₂ （HS1） H3。傷害的嚴重程度可能受曝露情況的影響。例如：電擊的後果可能因肌肉收縮到灼傷、心臟顫動或心臟驟停而有所不同，具體取決於電壓、電流、曝露持續時間和人體位置。

需要強調的是，若干上述情境可能是互相關聯的，不僅只是危害最嚴重或傷害發生幾率最高的幾個情境需要考慮。其他情境也可能互相關聯。製造商須考慮記錄危險情境的最適切方式，描述一個或多個事件序列，可能導致此種危險情況和可能發生的不同類型的傷害。

圖1-危險關係、事件序列、危險情況和傷害的圖片示例

有關市場上醫療器材的資訊可用於估計風險。通常採用幾種方法估計機率：

•  使用歷來設計和開發資料；
•  使用分析或模擬技術預測機率；
•  使用實驗資料；
•  可靠性估計；
•  生產和後生產期資訊；
•  使用專家判斷（在這方面，專家可以是在適當的教育、訓練、技能和經驗的基礎上勝任的人；參見ISO 13485）。

此等方法各有其優缺點。為增加結果的信心水準，宜採用互補型做法。專家判斷宜盡可能輔之以一種或多種其他方法。當其他方法不能使用或不夠時，可能需要完全依靠專家的判斷。

（未完，見續篇）