Jeśli chcesz dowiedzieć się więcej na temat podstaw bezpieczeństwa elektrycznego Urządzeń Medycznych, zachęcam do przeczytania tego artykułu.
Pokrótce przedstawię, jakie obszary muszą zostać dopilnowane, aby elektryczne Urządzenie Medyczne było bezpieczne. Wskażę również niektóre najbardziej podstawowe sposoby, aby to bezpieczeństwo osiągnąć. Zdecydowanie polecam lekturę nie tylko elektronikom i inżynierom elektrykom oraz systemowym, ale każdej osobie, która chce poszerzyć swoje horyzonty w zakresie projektowania i konstrukcji urządzeń.
Kto wie? Może pewnego dnia uratujesz czyjeś życie, projektując np. urządzenie IoT zasilane ze 110-230 V AC, gdyż postąpiłeś zgodnie z zaledwie jedną regułą bezpieczeństwa więcej? Możesz wykorzystać tę wiedzę również jako dobrą praktykę projektową, aby zapewnić większą niezawodność i bezpieczeństwo swoich projektów.
Często będę się odnosić do normy IEC 60601-1:2005+A1:2012+A2:2020, gdyż opisuje ona ogólne wymagania dla Basic Safety oraz Essential Performance medycznych urządzeń elektrycznych. Tenże dokument dostarcza więcej szczegółów – moim celem jest jedynie sprawić, abyście uświadomili sobie wagę bezpieczeństwa elektrycznego oraz wiedzieli, skąd czerpać dodatkowe dane.
Artykuł znajdziecie również w j. angielskim.
Zauważcie proszę, że używam słów pisanych WIELKIMI LITERAMI celowo – tam, gdzie są użyte, dany termin jest bezpośrednim odwołaniem do standardów.
* Przynajmniej wg standardu IEC 60601-1:2005+A1+A2 (par. 8.7, tab. 3). Ta wartość odnosi się do Normal Condition dla prądu stałego.
Od czego zacząć?
Pierwsze pytanie, jakie powinniście sobie zadać to: z czym osoba (pacjent lub operator) może mieć kontakt? Czy są jakieś zagrożenia w tej przestrzeni?
Korzystne jest rozpoczęcie od schematu blokowego urządzenia, który przedstawia wszystkie wymagane izolacje (tzw. „Diagram izolacji”). Może być on bardzo uproszczony, ale pozwala zauważyć ścieżki prądów upływu pacjenta i operatora, np.:
Kolejnym krokiem jest zdefiniowanie wymaganych poziomów MOPP (Means of Patient Protection) i MOOP (Means of Operator Protection). Oba te środki ochrony (MOP) służą do zmniejszenia RYZYKA związanego z porażeniem prądem elektrycznym. Zgodnie z normą IEC 60601-1 MOOPs, są wymagane w każdym miejscu, w którym operator może mieć kontakt (np. obudowa, czyli ACCESSIBLE PARTS – dostępne części). W przypadku MOPP należy określić rodzaj każdej APPLIED PART (części aplikacyjnej).
Jeśli nie wiesz, czy operator (np. pielęgniarka lub opiekun) może dotknąć niebezpiecznej części, norma IEC 60601-1 określa nawet palec testowy do oceny ACCESSIBLE PARTS! Należy pamiętać, że niekoniecznie jest to ten sam palec testowy, co w przypadku testów IP, chociaż generalnie urządzenia z oceną IP3X (i większość IP2X) nie wymagają żadnych dodatkowych kontroli.
Typ APPLIED PART jest ważny, ponieważ na tej kwalifikacji opierają się odpowiednie ograniczenia i minimalna liczba MOPP. Ogólnie, mogą istnieć APPLIED PART typu B, BF i CF wymagające 1xMOPP lub 2xMOPP. Na przykład typ CF wymaga wzmocnionej izolacji (2xMOPP) między częścią aplikacyjną a innymi połączeniami u pacjenta. Szczegółowe informacje można znaleźć w normie IEC 60601-1 w jej najnowszej wersji. Rozdział 8. Traktuje o tym, jak zapewnić ochronę przed zagrożeniami elektrycznymi.
Wróćmy do 10uA z tytułu artykułu. Tab. 1 poniżej, oparta na standardzie IEC 60601-1, opisuje limity prądów:
Niektórzy z Was mogą posiadać swego rodzaju „świadectwo kwalifikacji” do pracy z wysokimi napięciami (np. SEP). W związku z tym możecie być zszokowani tak niskimi limitami, ponieważ „ogólne” granice bezpieczeństwa prądów muszą zaczynać się od 0,5 mA (500 uA), aby w ogóle „poczuć” prąd. Ale pamiętajcie: pacjenci bardzo często mają inne schorzenia, problemy z sercem, implanty itp. i mogą mieć kontakt z wieloma Urządzeniami Medycznymi w tym samym czasie. Norma IEC 60601-1 dokładnie określa, jak mierzyć te wartości, więc powstrzymam się od wchodzenia w szczegóły na ten temat.
Czym są NC oraz SFC?
W tym momencie mogła się już pojawić niezrozumiała terminologia, którą wyjaśniam:
- NC oznacza NORMAL CONDITION (Stan Normalny),
- SFC oznacza SINGLE FAULT CONDITION (Stan Pojedynczej Awarii).
NC może wydawać się oczywiste, ale musi być brane pod uwagę razem z SFC. W skrócie: SFC to każda usterka wykryta przed podjęciem jakiegokolwiek niedopuszczalnego ryzyka lub zanim następny komponent ulegnie awarii.
Tworząc projekt, należy zadać sobie pytanie: czy jeśli element zepsuje się w jakikolwiek sposób, to czy wykryję usterkę na czas? Jeśli nie, to jest to stan normalny – zawsze powinieneś zakładać, że jest zepsuty, chyba że… Cóż, jest kilka sposobów, aby sobie z tym poradzić 😊
Co, jeśli awaria jednego elementu wywoła efekt domina i kolejny element się zepsuje? To także SFC.
Istnieją 3 podstawowe sposoby obsługi pojedynczych błędów:
- Wykrywanie: kontrola serwisowa lub samo urządzenie wykryje awarię i wymusi działanie, które zapobiegnie niedopuszczalnemu ryzyku przed wystąpieniem.
- Redundancja: wadliwa funkcja nie spowoduje niedopuszczalnego ryzyka, ponieważ istnieją inne środki ochrony lub równoległa redundancja zapewnią bezpieczeństwo. W takim przypadku musisz upewnić się, która z redundancji działa poprawnie.
- Znikome prawdopodobieństwo awarii: projekt ma ogromny margines parametrów, gwarantujący, że awaria się nie wydarzy. Na przykład wzmocniona izolacja, mechaniczny współczynnik bezpieczeństwa 8x lub komponenty o wysokiej integralności (HIGH INTEGRITY).
Niedopuszczalne ryzyko
Czym zatem jest to „niedopuszczalne ryzyko”, o którym tak często wspominam? Projektowanie urządzeń medycznych zawsze opiera się na Analizie Ryzyka. Teoretycznie można uznać drobne niedogodności za niedopuszczalne, a śmierć pacjenta można uznać za akceptowalną (jeśli korzyści z tego wynikające byłyby znacznie większe, np. uratowanie życia). Ale w tym celu musisz mieć uruchomiony proces Zarządzania Ryzykiem (ISO 14971), który nie jest tematem tego artykułu.
Zakładając, że wiemy już, co jest dopuszczalne, a co nie: czy od tego momentu będzie łatwiej? Raczej nie, im dalej w las, tym więcej drzew.
Najbardziej oczywistym sposobem wykorzystania wykrywania i redundancji byłoby użycie oprogramowania. Teraz powinieneś zadać sobie jedno ważne pytanie: czy możesz ufać swojemu oprogramowaniu?
IEC 60601-1 odnosi się bezpośrednio do IEC 62304, jeśli chodzi o oprogramowanie. Zgodnie z normą IEC 62304, zawsze należy zakładać, że oprogramowanie może zawieść w najgorszy możliwy sposób. Zwłaszcza w przypadku jakichkolwiek zabezpieczeń (np. środków kontroli ryzyka – Risk Conrol Measures). Czy to ślepy zaułek? Nie, to po prostu nie jest takie proste, jak się wydaje. Proces walidacji oprogramowania jest wymagany, aby upewnić się i udowodnić, że oprogramowanie jest wystarczająco niezawodne i bezpieczne. Ale nawet w przypadku systemów niemedycznych zawsze należy rozważyć ocenę możliwości awarii oprogramowania (ponownie: ISO 14971).
Czasami proponuję zastosować podejście, które nazywam „safety-driven development”. Podobnie jak w przypadku Test-Driven development, gdzie tworzysz swój projekt w taki sposób, aby przeszedł jakieś testy, tutaj Twój projekt ma spełniać wszystkie kryteria bezpieczeństwa. Należy je oczywiście zdefiniować w pierwszej kolejności.
Teraz wiemy, że wykrywanie i redundancja nie są takie proste i wymagają walidacji SW. Może więc lepiej obniżyć poziom prawdopodobieństwa niepowodzenia do nieprawdopodobnego? Pójdźmy jeszcze dalej: chrońmy się przed ryzykiem SW za pomocą projektu HW!
Bezpieczny projekt (izolacja)
Bezpieczna konstrukcja jest częściowo wymagana przez normę (np. odległości izolacji, niektóre właściwości mechaniczne), ale – jak powiedziałem wcześniej – część elementów można dodać, aby zapobiec pewnym zagrożeniom.
Izolacja może zostać osiągnięta poprzez kombinację dwóch metod:
- Materiał izolacyjny – poprzez umieszczenie bariery wykonanej z izolatora elektrycznego. Bariera ta może być pełna (w takim przypadku może być jedynym zabezpieczeniem) lub częściowa, więc dystans izolacyjny nadal trzeba wykazać. W przypadku zastosowania materiału izolacyjnego żadna jednostka certyfikująca nie uwierzyłaby, że jest wystarczająco dobry. Musi mieć wystarczające parametry (w przypadku korzystania z gotowego rozwiązania) lub zwalidowany.
- Dystans
- Clearance – najkrótsza odległość w powietrzu między dwoma obiektami (przewody, ścieżki na PCB itp.),
- Creepage – najkrótsza odległość powierzchniowa między dwoma obiektami, ale w tym przypadku pomijana jest każda szczelina <1 mm.
Definicje odległości są wspólne dla wielu branż i są dobrze przedstawione poniżej:
Co bardzo ważne, izolację cały czas należy oceniać za pomocą testu wytrzymałości dielektrycznej HiPot. Testy te wykonywane są dedykowanymi testerami, które mogą dostarczać sygnał AC lub DC – w niektórych przypadkach powyżej 15 kV AC, zawsze przez co najmniej 60 sekund. Nie wszystkie wymagania są tak wysokie, ale zwykle test 1500 V AC jest wymagany jako minimum dla każdego urządzenia zasilanego napięciem 230 V AC z tylko jednym MOPP.
Istnieje pragnienie, aby pomóc sobie, stosując dodatkową izolację, ale może to prowadzić do innego problemu: zgodnie z normą IEC 60601-1, jeśli stosowany jest jakikolwiek rodzaj powłoki lub zalewy, wówczas dodatkowy mnożnik współczynnika bezpieczeństwa „x1,6” jest obowiązkowy. Istnieje wiele urządzeń, dla których wysokie napięcia są niezbędne, np. niektóre generatory plazmy lub noże HV. Zakładając tylko napięcie szczytowe 4,0 kV, wspomniany standard wymaga 17 kV AC, jeśli potrzebne jest 2xMOPP, zamiast „tylko” ~11 kV. Warto pamiętać o tym ograniczeniu.
Z tego powodu bardzo często rzeczywisty prześwit musi być większy niż wymaga tego norma, ze względu na jonizację powietrza i wyładowania łukowe podczas testu.
Ale co z niektórymi niższymi wartościami, takimi jak 12 V i 2xMOPP? Wymagane jest Creepage/Clearance 3,4 mm/1,6 mm. Creepage zawsze musi być większe lub równe Clearance! To prawdopodobnie wyjaśnia, dlaczego wszystkie odległości bezpieczeństwa na płytkach drukowanych mają wycięcia. Czy to oznacza, że należy go używać dla wszystkich sygnałów 12 V? Zdecydowanie nie, tylko dla tych, dla których wymagany jest MOP (Means Of Protection). Nadal powinieneś używać minimalnych odległości IPC 2221, aby uzyskać dobrą niezawodność i produktywność, ale to wszystko.
Jednakże istnieją przypadki, w których niemożliwe jest osiągnięcie Creepage lub Clearance. Weźmy na przykład radiator:
O ile obudowa tranzystora nie jest w pełni izolowana, radiator musi być zwarty z obudową w celu sprawdzenia bezpieczeństwa. To samo dotyczy wymiany pasty termoprzewodzącej na podkładkę termoprzewodzącą o niewystarczającej wartości izolacji. Następnie mierzony jest prąd upływu Pacjenta. Jak zawsze – należy sprawdzić i zasymulować najgorszy scenariusz.
Bezpieczny projekt (komponenty)
Niemal w każdym przypadku będziesz korzystać z gotowych komponentów (tzw. „z półki”). Mogą to być komponenty od najmniejszych elementów pasywnych do całych modułów (takich jak zasilacz). Jeśli element zapewnia jakiekolwiek zabezpieczenie lub jego awaria może spowodować niebezpieczną sytuację, powinien być generalnie używany w ramach swoich wartości znamionowych. Jeśli zapewniają jakiekolwiek środki ochrony (MOP), powinny spełniać odpowiednie wymagania normy IEC lub ISO lub wymagania normy IEC 60601-1.
Dlatego bardzo korzystne jest stosowanie certyfikowanych komponentów, nawet jeśli są one certyfikowane dla różnych branż (np. sprzęt AGD), o ile spełniają podobne kryteria akceptacji, jak faktycznie wymagane i wskazane w Procesie Zarządzania Ryzykiem.
Co zrobić, jeśli komponent nie zapewnia żadnego MOP, ale nadal przyczynia się do niedopuszczalnego ryzyka w przypadku awarii?
Jak wspomniałem wcześniej, możesz użyć
- wykrywania,
- redundancji,
- znikomego prawdopodobieństwa.
Podczas gdy pierwszy może nie być możliwy, a drugi może wymagać skomplikowanego HW i SW, istnieje trzeci. Norma IEC 60601-1 zezwala na stosowanie „Components with High-Integrity characteristics”. Istnieje ogólne błędne przekonanie, że obejmują one komponenty Automotive (standardy AEC), wojskowe (standardy MIL) i komponenty certyfikowane dla przemysłu lotniczego. To błędne przekonanie wynika z faktu, że takie komponenty mają na ogół dłuższą deklarowaną żywotność w gorszych warunkach pracy niż komponenty generyczne. Chociaż w przypadku 95% komponentów jest to rzeczywiście potrzebne z punktu widzenia zarządzania ryzykiem, nie zawsze tak jest.
Norma IEC 60601-1 wyraźnie stwierdza, że takimi komponentami są:
„elementy, których jedna lub więcej cech zapewnia, że ich funkcja jest bezawaryjna w odniesieniu do wymagań bezpieczeństwa tej normy podczas oczekiwanego okresu użytkowania sprzętu ME w normalnym użytkowaniu i racjonalnie przewidywalnym nieprawidłowym użyciu”.
Krótko mówiąc:
- Element może wymagać tylko 1 cechy zapewniającej bezpieczeństwo i może się zdarzyć, że element z certyfikatem AEC/MIL może jej nie posiadać. Na przykład:
- Klasa AEC jest zbyt niska lub jego charakterystyka nie jest objęta żadną normą AEC, którą spełnia (np. napięcie znamionowe).
- Podczas analizy można wywnioskować, że tylko stany przejściowe stanowią zagrożenie dla komponentu i zdecydować, że jego cechą „wysokiej integralności” jest jego prąd i napięcie znamionowe. Dlatego słusznym wyborem jest zastosowanie np. kondensatora o napięciu znamionowym równym 150% szczytowej wartości projektowej.
Podsumowanie
Bezpieczeństwo to jedna z najważniejszych (jeśli nie najważniejsza) cech nie tylko sprzętu medycznego, ale chyba każdego rodzaju sprzętu. Opisałem tylko pokrótce najbardziej podstawowe podejście i nie zagłębiałem się w szczegóły. Mam jednak nadzieję, że skorzystasz z tego artykułu i poszukasz wskazówek lub wymagań w obszarze swoich zainteresowań i upewnisz się, że na rynek wypuszczane są tylko bezpieczne urządzenia.
Zachęcam do zadawania pytań w komentarzach i określania, na jaki temat chcielibyście dowiedzieć się więcej. Może uda mi się je opisać w kolejnych artykułach.
Dobrze zaprojektowane urządzenie to podstawa. Jednak występują pewne zasadzki dla nieświadomych użytkowników.
Rysunek z przykładowym diagramem przypomniał mi budowę typowego filtra EMC na wejściu np. zasilacza PC.
W bloku AC/DC (bardzo uproszczony) mamy (wyróżnione jako ścieżka prądu upływu) 2 kondensatory połączone szeregowo ze środkowym punktem dołączonym do uziemienia. Typowo ten punkt jest połączony z obudową. Na wejściu mamy trafo izolacyjne z jednym końcem uzwojenia wtórnego uziemionym, oznacza to, że wspomniane kondensatory (zazwyczaj równe) dzielą wtórne napięcie AC przez 2 (względem ziemi). Co stanie się, gdy zabraknie uziemienia w punkcie połączenia wspomnianych kondensatorów czyli na obudowie? Mamy (przy założeniu że trafo jest1:1) połowę napięcia sieci! Wydajność prądowa zależy oczywiście od pojemności kondensatorów.
Taką sytuację mamy przy podłączeniu stacjonarnego PC bez uziemienia, brak w gnieździe zasilającym lub użycie przedłużacza bez połączenia ochronnego. Jeśli postawimy obok siebie 2 tak zasilane komputery podłączone do 2 różnych faz sieci to między obudowami miernik pokaże nam ok. 200VAC. Lepiej się o nie nie opierać.
Jeszcze jedno pytanie do schematu wyżej. Jakie będzie (przy braku uziemienia) napięcie na obudowie przy rozwartym styku S1?
Kondensatory odsprzęgające EMC są generalnie kłopotliwe. Otóż dla EMC najlepiej jak mają dużą wartość. W filtrach dla urządzeń zwykłych (niemedycznych) często maksymalizuje się ich wartość do wartości, przy której prądy upływu są akceptowalne. Tylko, że dla urządzeń medycznych limity są o wiele niższe, dlatego też rzadko który zasilacz lub filtr np. do telekomunikacji, może być użyty w sprzęcie medycznym. A przy łączeniu z PC stosuje się często izolatory zasilania i USB – wszystko zależy od tego co nam powie Diagram Izolacji.
Z S1 masz po części rację, dlatego:
– używa się przełączników podwójnych (powinno być regułą wszędzie, gdzie mamy I klasę izolacji, czyli PE w obwodzie).
– używa się bezpieczników na obu liniach. Oczywiście może się zdarzyć że tylko jeden z nich przerwie, prawdopodobieństwo takiego zdarzenia jest duże – z mojego doświadczenia 20-40%.
– i najważniejsze: urządzenia zasilane z sieci muszą mieć wykonywane testy bezpieczeństwa elektrycznego, które uwzględniają elektryczny Single Fault Condition, w których są robione pomiary prądu upływu. Przykładowe to: Brak fazy, Brak zera, Brak PE, Faza i Zero zamienione, Obie linie sieci to Faza itd.
Pamiętajmy, że to prąd zabija a nie napięcie, więc nawet jeśli zmierzymy multimetrem 115V na obudowie, to kondensator filtra jest impedancją ograniczającą maksymalny płynący prąd.