現代の医療機器の試練と苦難

医療用電気機器の主要規格であるIEC 60601-1は、多くの市場や国における電気製品が基本的な安全性と有効性に準拠していることを保証します。この規格は安全要件の普遍的なセットであり、ほとんどの国が独自のバージョンを採用していますが、電子機器やアプリケーションのさまざまな領域をカバーする基本的な内容は同じです。

しかし、医療機器の設計には、単にIEC規格に従う以上のことが必要です。この論文では、IEC 60601とその過去、現在、そして将来の目的について説明します。

IEC 60601の概要

IEC規格は80年以上前から存在しており、最初の規格は電気技術用語をカバーしていました (現在はElectropediaと呼ばれています)。オリジナルのIEC 60601規格は、電子機器が医療治療や医療機器で重要な役割を果たし始めた頃の1977年に、国際電気標準会議 (IEC) によって発行されました。患者の安全に重点を置いた第2版は1988年に発行されましたが、機器と患者の保護がさらに厳格になったのは、つい最近2005年に発行された第3版になってからでした。

テストと開発を通じてこれらの基準を満たすことは医療機器の市場投入に役立ちますが、それが保証されるわけではありません。おそらく最も時間と費用のかかる段階は、デバイスの全体的な有効性を実証する臨床試験を通じてFDAの承認 (または米国外では同等の承認) を得ることです。

医療機器を開発・製造する企業のほとんどは、次のような一般的な設計管理システムに従っています。

• 1. 市場調査に基づいたビジネスケースとユーザー要件
• 2. ユーザーの要件に対応することを目的とした設計要件
• 3. 設計をテストし、設計要件を満たしていることを確認する設計検証
• 4. 設計をテストし、ユーザーの要件を満たしていることを確認する設計検証
• 5. 設計から製造への移行、そして発売

ただし、医療機器の場合、通常、これらの段階には次のような特別な要素が組み込まれています。

• •  IEC 60601規格に準拠した電子機器を設計し、検証および妥当性確認中にこれらの規格をテストする
• •  潜在的な危険とその管理方法を概説したリスク管理プロセス
• •  試験を実施し、製品が安全であり発売の準備ができていることをFDAに提示するための根拠を構築するのに十分なデータを記録します。

3番目の箇条書きは患者の試験と文書化に重点を置いていますが、電気設計者は最初の2つの箇条書きを理解することが重要です。これらが最終的に設計プロセスとすべての追加保護層を推進するものだからです。また、デバイスのクラスに応じて、保護の範囲はかなり広範囲になります。

医療機器クラス

医療機器には、使用に伴う全体的なリスクに基づいて3つの分類があります。クラスIは最も低く、クラスIIIは最も高く、発売前に市販前承認 (PMA) 申請が必要です。安全性に関する設計強度はクラスIIIデバイスで最も高く、複数の冗長性と保護層で構成される場合がありますが、クラスIでは必要な予防措置とリスク管理は少なくなります。

クラスI医療機器は、一般的に非侵襲性の医療機器または付属品であり、バンドエイド、フェイスマスク、舌圧子、体温計など、その多くは家庭で一般的に使用されます (ただし、精度と電子式かどうかに基づいて、この機器はクラスIIに分類される可能性があります)。

クラスII医療機器のほとんどは診断や治療に使用され、リスク管理や潜在的な危害のレベルが高くなります。クラスII医療機器の例としては、血糖値モニター、血圧計、シリンジポンプ、その他の低侵襲性器具などがあります。

クラスIII医療機器は、最高レベルのリスク管理を備えています。例としては、インプラント機器、生命維持装置、重要な健康状態や情報を監視および伝達する電子機器などが挙げられます。医療機器を市場に投入するにはIEC 60601への準拠が必要ですが、これらの規格に加えて、場合によっては追加の予防措置（リスク管理または信頼性/安全性のための一般的な設計に起因するもの）を考慮する必要があります。

医療機器クラスIIおよびIIIの例

クラスI医療機器に電子機器が含まれることは非常にまれなので、クラスIIとクラスIIIの例に進みましょう。クラスIIの例として、温度計を見てみましょう。温度の誤診は重大な結果を招く可能性があるため、体温計の設計における一般的な安全性と信頼性の機能のいくつかを見てみましょう。

まず、ほとんどの温度計はデジタル式なので、画面/ディスプレイ、または少なくともデータをリモートで送信する何らかの手段が備わっています。そうであれば、デバイスにマイクロコントローラが搭載されていると想定しても間違いないでしょう。

図1a は、いくつかの保護層が追加された、一般的な温度計の中心的な内部の仕組みを示しています。アナログからデジタルへの変換には、 マイクロコントローラ (MCU) の 内部 ADC、または外部ADCを使用できます。外部ADCはより高い解像度を実現できるため (少なくとも16ビットまたは24ビットの解像度が必要であると想定)、MCUの内部ADCは追加のキャリブレーションが必要であることで有名であるため、クリーンかつ正確な基準電圧を備えた外部ADCを搭載しました。

このADCについて考慮すべきもう1つの点は、周囲温度の影響を受ける可能性があることです。そのため、高感度/高精度アプリケーションで温度ドリフトを最小限に抑えるには、スロットを介してPCB上で物理的に分離するのが最適です ( 図1b を参照)。アナログセンシング部分では、ローパスフィルタリングがデータの平滑化と平均化に役立ち、サーミスタ信号のフェライトが高周波ノイズと近くの誘導結合を除去するのに役立ちます。信頼性の向上が求められるシステムには冗長サーミスタを使用できます。リセット スーパーバイザを追加すると、低電圧ロックアウト (またはリセット) 機能を提供できます。この機能により、マイクロコントローラ (およびその周辺機器) が十分な電力が供給され、安定している場合にのみ使用されることが保証され、誤った読み取りや不正確な読み取りを防ぐことができます。最後に、温度計の熱伝達部分は非常に重要であり、体温がサーミスタに伝達される際に熱損失が発生するため、オフセットや追加のキャリブレーション（物理的な組み立て後）が必要になる場合があります。

図1a                                                                                             図1b

図1. a) 保護、安全性、信頼性を強化したデジタル温度計の設計と、b) ADCの熱ドリフトを最小限に抑えるPCBレイアウト戦略の例 (U6)

クラスIIIの例として、ペースメーカーを見てみましょう。ペースメーカーは、かなり以前から存在しており、正確には60年になります。当時は単純なアナログベースの設計 (図2a) でしたが、現在では高度な信号解析と生成を備えた非常に複雑なデジタル回路ベースの設計に変わりました (図2b)。安全性と信頼性の観点から見ると、一般的なアナログ回路は、潜在的なバグや複雑なステートマシンによるリスクが、プログラム可能なデジタル コンポーネントよりも低くなります。ただし、最近のデジタル設計では、ECG検出測定用の高精度ADCとパルス生成用のDACを備えた統合コンポーネントが採用されていることは注目に値します。これにより、閉ループフィードバックを備えた非常に効果的で調整可能なペースメーカー機能が提供されます。しかし、ほとんどのアプリケーションと同様に、設計の信頼性の大部分は、フィルタリング、適切に設計されたプリアンプ、専用のタイマー、発振器、ノイズ、カップリング、温度ドリフトを最小限に抑えるPCBレイアウト戦略の組み込みなどのアナログ部分から生まれます。  

図2a                                                                                           図2b

図2. a) アナログおよびb) デジタルペースメーカー設計の例

安全性と信頼性を最大化する設計戦略のリスト

以下は、医療機器、または安全性と保護を必要とするその他の機器の安全性と保護を強化するための設計上の考慮事項の一般的なリストです。

• •  認証機能と機密性の高い患者データやログ用の専用外部メモリを備えたセキュリティ機能（最近のハイエンドMCUでは一般的）を内蔵
• •  スーパーバイザ回路とその他の 電源管理 コンポーネントは、特にバッテリ駆動アプリケーションにおいて、安定した電圧レールを維持し、低電圧、過電圧、過電流状態を回避するのに役立ちます。
• •  重要な回路を保護するためにリセット可能な ヒューズ を組み込む
• •  オフボード接続にフェライトと ESDサプレッサー を組み込むことで、高周波ノイズや漂遊過渡現象から保護します。
• •  重要なコンポーネントの冗長性
• •  温度や潜在的な電磁干渉などの環境や地域の条件による影響を最小限に抑えるのに役立つPCBレイアウト戦略
• •  データの平滑化と平均化を支援するために、高データレートでサンプリングされるセンサー接続をフィルタリングします。
• •  時間の経過とともにゲインやオフセットが変化する可能性のあるプログラム可能なコンポーネントの定期的なキャリブレーションルーチン
• •  レーザーやモーターなどの潜在的に危険なコンポーネントを使用する場合のインターロックシステム

危険/リスクマトリックス

リスク マトリックス ( 図3 に示されています) は、堅牢でリスクの低い設計を推進するのに役立ち、通常は発売時に安全で信頼性の高い製品の強力な根拠を構築するために使用されます。一般的なリスク マトリックスには、システム内の各妥当な潜在的な危険がリストされ、その危険が影響度/重大度、確率/発生度の観点から評価され、それらの値に基づいてその危険が許容可能かどうかが示されます。

一部の危険が許容できる場合でも、危害や発生を軽減するためにリスクを制御することに関心があるかもしれませんが、重要なのは、（ユーザーまたはシステムに）危害をもたらす可能性のある各障害ポイントと、それを許容できるリスクに制御または管理する方法を概説することです。これらのリスク管理対策の結果は、通常、追加の保護、冗長性、システム回復などの設計タスクにつながります。一部のタスクでは、関連するリスクに対処するために、単に「IEC 60601規格に従って設計する」だけで済む場合もあります。

図3. 医療機器のリスク管理のためのハザードトレーサビリティマトリックス

結論

医療機器は、通常の製品よりも設計の厳密さと計画性を必要としますが、分類や用途によって大きく異なります。IEC 60601は有用なガイドラインとして機能しますが、潜在的な危険を追跡し、その制御方法を説明するリスク管理プロセスを持つことは、許容可能な製品の根拠を構築するのに大いに役立ち、設計者が安全性と信頼性を最大限に高めるのにも役立ちます。

参考文献:

図2a画像: 記事 - 「ペースメーカーの進化」  - S. Haddad、R. Houben、W. A. Serdijin著
図2b画像: 記事 - 「植込み型心臓ペースメーカー用ウェーブレット ベースECG検出器の設計」 - Y. Min、H. K. Kim、Yu-Ri Kang、Gil-Su Kim、J. Park、S. Kim著
図3画像: ウェブサイト - https://medicaldevicehq.com/fmea-vs-iso-14971/