FDA

莫仕(Molex)旗下公司Phillips-Medisize宣布與一生物技術公司達成協定，將生產穿戴式電子功能組合產品。該產品是已完成第三階段開發期的組合給藥設備，將為期兩天、單一用途的一次性技術結合，得以皮下給藥。 Phillips-Medisize執行長兼總裁Matt Jennings表示，新合同利用本公司生產組合給藥和電子功能給藥設備超過13年的專家經驗，包括冷鏈給藥及第一批涉及API處理的計畫，推出同時包含兩種給藥功能並提交給FDA審批的第一種產品。 此穿戴式組合產品每兩天更換一次，尺寸約為冰球大小，利用貼片附著在患者身體上或佩戴於輸注位置附近。此外，該產品內嵌低成本連接能力，可在患者和供應商間捕捉、交流資料，從而監督相關依從性，因此存在潛力，有機會成為未來互聯健康的平台。 Phillips-Medisize生產各種設備並提供關鍵資料，以支援FDA新藥申請提交流程，完成此電子組合產品最終組裝、測試及品質控制工作。旗下多家設施在此組合產品各生產階段，參與包括成型、組裝、藥物輸送、標籤、調和等等。其中特別處理安裝至設備內部的預填充藥筒，容器採用無菌灌裝方式運送至公司。 等待獲得FDA批准過程中，Phillips-Medisize經簽約，將從其位於威斯康辛州哈德遜的生產場所提供商業化服務。此組合式產品將在2020年下半年上市，在該公司支援下，產品將大量生產並取得可能的市場定位。

然而，每項多樣化產品都會對接受治療的患者有著不同程度的風險影響，這促使美國食品藥品監督管理局(FDA)和歐盟(EU)醫療器材指令(MDD)CE標籤工作組，要求器材製造商通過各種產品設計來管理此風險。 醫療器材設計考量 工程團隊在設計醫療器材時，不僅應考慮開發出能在臨床應用中發揮效用的器材，還需保護患者的安全(如符合硬體電氣設計的IEC-60601-1、1-4與符合軟體生命週期流程的IEC-62304)、確保能順暢地在系統中傳遞資料(如符合HIPAA)以及包含日誌記錄和產品更新方法的器材生命週期(如符合FDA CFR 21)。 這些對安全與預期運作的考量並非僅針對醫療器材產業，它們也適用於人們與用於提高自動化水準的機器設備協作的其他產業。在工業領域，機器人已不再只是操作人員的奴僕，而是正日漸成為真正的獨立合作方，不過它們的宗旨還是以人類的安全為首。例如在汽車領域，隨著車輛自動化水準不斷提高，人類駕駛也迅速對日益增強的安全功能產生依賴。 在工業自動化領域，能直接影響系統安全的機器設備設計屬於「功能安全」範疇。「功能安全」旨用於滿足這些要求的一套特定標準和設計方法。雖然功能安全設計方法規定了預期運作路徑和失效路徑，但我們必須意識到有人可能會蓄意修改系統的預期運作，這使網路安全威脅不斷提升。 因此，當今要全面解決開發生產醫療器材的風險管理問題，功能安全和網路安全都必須被視為患者總體安全內在組成的一部分。系統設計可以有網路安全而沒有功能安全，但不可以只有功能安全卻不考慮網路安全。本文分兩個主題進行討論，即功能安全和網路安全： 1.功能安全概述和可用於達到不同安全完整性等級(SIL)的常見設計方法。 2.實施安全等級(SL)可能產生之威脅的網路安全評估概述。 功能安全旨在降低風險 功能安全旨在運用相關標準中規定的實踐(Practice)與規則監督設備的主要功能，減輕對人和/或環境危害風險的系統。一般來說，功能安全會持續監控受控設備(EUC)，當機器設備運作發生異常(例如機器故障)或外力導致的危險狀態時就會啟動。設備製造商在設計時會進行危險與風險評估，確認需要採取何種風險緩解措施。 功能安全系統可用簡單的設計，譬如加裝在電源上的限位開關(Limit Switch)，也可用複雜的設計，像是在製造場域內監控是否有人穿越黃色安全線的光達(LiDAR)系統(例如在組裝產線上太靠近移動中的卡車底盤)。足球是可以用來形容功能安全的一個貼切比喻，包括美式和英式足球在內。球員是受控設備(EUC)，裁判是安全相關系統。裁判掌握比賽規則並控制比賽，根據各種發生的情況停止和再次開始比賽，更重要的是對犯規的賽隊或球員進行處罰。 醫療器材設計功能安全不可缺 在美國，聯邦法規要求醫療器材製造商在有預備上市的醫療器材產品時必需通知FDA。根據「美國聯邦食品、藥品和化妝品法(FFDCA)」的規定，這被稱為「售前通知」或「510(K)通知」。根據該條款，FDA可依據具體應用，援引先前已在市場上合法銷售的器材，以實質等同(Substantial Equivalence)為由放行新器材的銷售。 然而，實質等同性在功能安全方面有些問題，因為設計本身及用於建構實質等同功能的器材物理屬性均有其獨特性。對於那些不屬於FDA控制範圍的器材和機器設備，當地政府要求製造商需從UL(前身為保險商實驗室)等獨立機構取得認證以符合安全標準。這種獨立性能讓標準在技術和市場力量的作用下發展演進，將利益衝突降到最低。 功能安全系統的目的在於降低風險。在機器設備功能異常時，功能安全系統有責任讓機器設備進入「安全狀態」。這意味著安全系統的可用性(系統在未來仍可運作的機率)是降低風險的重要因素。若功能安全系統在需要時發生故障是嚴重的事情，為了讓功能安全系統能在一天24小時可全天候的使用，功能安全系統的設計測試受到國際標準控制，並由獨立認證機構驗證。 圖1呈現的是受控設備(EUC，深灰色)和功能安全系統(淺灰色)之間的關係。功能安全系統隨時觀察EUC的運行。在圖1中，安全狀態指斷開致動器的電源。如果EUC的動作超出可能導致危險狀況的邊界，功能安全系統就會切斷致動器的電力。安全功能可以被視為一個獨立安全網：如果安全功能失效，EUC還是可以繼續工作，但它是在沒有安全網的情況下運作。 圖1　安全功能(淺灰色)與受控設備(深灰色)之間的關係 安全功能三個模組 安全功能本身通常由三個模組構成(圖2)，其中包含：感測器驅動邏輯控制器的輸入，然後由邏輯控制器驅動致動器。由這三個模組共同構成安全功能，有時也稱為「安全迴路」。此外，這三個模組也用於確定安全完整性等級(SIL)或安全迴路品質。 圖2　安全功能的三個模組 失效/降低風險與安全完整性等級 「失效(Failure)」在產業中被定義為終止正確的服務，其中「故障」(Fault)為導致功能失效的異常狀態，「誤差(Error)」指預期/正確值與實際值之間的落差。失效可分為兩大類型，安全失效不影響安全迴路的運作，也不會將設備過渡到「安全狀態」。危險失效則會影響「安全迴路」運作，也就是故障造成的誤差會引發失效。 IEC 61508 根據電氣/電子/可編程電子系統功能安全標準(IEC 61508)，共有從SIL1到SIL4的四種安全完整性等級，其為依據對監控受控設備的功能安全系統或安全迴路的風險降低能力而客觀定義的標準，細節請詳見表1。 有兩個因素決定安全完整性等級。首先是系統能力，它是一個品質指標，透過質化測量設計中由人為失誤所引發的潛在缺陷之數量。該指標是由提供證據證明標準中規定的流程得到遵循而決定。第二個因素是採用診斷指標減少隨機硬體故障，系統的安全完整性等級由兩個指標間的最低者決定。 醫療器材須定義安全狀態 設備製造商有責任根據設備的運作方式及製造商對危險和風險的評估，定義什麼是安全狀態。在某些情況下，安全狀態可以切斷馬達主電源或是機器設備主電源，讓內置的被動措施接手消除系統中的能量。具體情況取決於危險的類型。 像MRI這類的醫療器材，由於切斷電源後患者能離開該設備，因此這可以算是一種安全狀態。但對於重症加護病房的病患監護儀等其他類型的醫療器材，將切斷器材電源作為安全狀態可能會提升患者的風險。對於人工心肺機或生命支援呼吸器等重症加護設備，這個問題就更加嚴重，若將斷電當作安全狀態很可能造成患者身故或重傷。 有兩個條件可能導致系統進入安全狀態。第一個條件是安全功能檢測到受控設備或某種外部活動導致危險狀況；第二個條件是安全功能本身發現安全迴路中的系統故障。在EUC發生失效，造成安全迴路驅動EUC進入安全狀態的情況下，EUC設計本身需具備冗餘，才能被繼續使用。對於器材無法過渡到安全狀態且安全迴路失效的情況，安全迴路本身需要使用冗餘架構。這樣可提升安全迴路的可用性，進而提升受其保護的EUC的可用性。 遵循上級功能安全標準確保可用性 隨著時間推移，所有系統失效的機率都十分的高，而這一點對安全迴路而言更是重要的考量點。系統失效的兩個主要原因是隨機硬體故障和系統性失效。因為硬體故障的發生是隨機的，所以設計用於檢測系統失效的功能安全系統必須具有高可用性。 為了協助這些系統的設計，上級功能安全標準「IEC 61508：電氣/電子/可編程設計電子安全相關系統」羅列出設計這些系統的建議架構清單。該標準介紹了檢測安全迴路運作失效的措施，並針對依據安全功能所需之故障運作狀態的情況添加冗餘。 系統性失效可以採用標準中所提出的，經完善測試且先進的措施，透過設計流程得以減輕；該流程必須獨立管理，以避免受到系統製造商內部利益衝突的影響。現今有大量此類流程被投入使用，圖3所示的是IEC 61508標準提出的V模型，而圖4所示的是ISO 26262中業界一流的軟體設計流程。 圖3　摘自IEC 61508:2010第3部分的軟體設計流程 圖4　摘自ISO 26262:2018第6部分的設計流程 每個流程中，左邊為設計程序，右邊為驗證程序。V模型左側顯示的是專案定義與設計，右側顯示的是使用V模型底部的單元編碼進行的專案測試與整合。在測試基礎完整前不得開始實際的單元編碼。 該流程的第一步是全面理解最終狀態的面貌。這個層面的設計會產生需求列表。在這些需求完成審核且被接受後，就會產生架構規格，再根據架構規格創建功能模組(工作分工)和支援需求的介面。在完成對架構的定義、細化並經同行審核後，就會產生為每個模組及其介面的測試需求。在同行完成測試需求的審核和驗證後，就會開始進行測試台編碼。 此時，設計團隊可能已經用掉時程表上一半的時間，但卻連一行應用代碼都還沒有開始編寫。剩下的時程是為測試台進行編碼。測試台完成後基本上就已成功在望，因為設計團隊現在很有把握其編寫的功能代碼在設計上是正確的。最後就是單元編碼、驗證和確認，在這個流程中產生缺陷的可能性已經很低，但仍取決於當初設定的需求是否夠全面。擁有越完善的需求設定和與需求對應的測試台，發生缺陷的機率就越低。 第二個考量是隨機硬體故障。檢測和在某些情況下糾正隨機硬體故障的措施取決於電子裝置的故障方式。就位元化積體電路而言，故障原因包括製造差錯、外部粒子撞擊或元件的金屬遷移耗損。隨機硬體故障可能是永久性或暫時性的，根據故障的性質，它們可能對機器設備行為造成影響，可能導致危險失效，也可能不會對機器設備的運作造成影響。後者這種情況被視為「安全失效」；而被稱為「診斷功能」的措施是被設計用於檢測這些故障並在某些情況下糾正它們。最常用的診斷功能有： ．湧泉碼： 在現今所有的手機通訊系統中用於重組和糾正手機在基地台和設備間發生隨機訊號干擾時遇到的傳輸故障。 ．記憶體保護： 在現今運作的每台運算伺服器中用糾錯代碼(ECC)檢測和糾正受損記憶體資料。 ．冗餘： 安排一套與主要功能平行運作的額外資源。 在這三者中，冗餘是最完善的可用診斷功能，但也是成本最高的。參考圖5和圖6，最常見的冗餘類型包括「二取一」(1oo2)和「三取二」(2oo3)兩種術語。 圖5　「二取一」(1oo2)安全架構 圖6　「三取二」(2oo3)安全架構 全盤了解安全架構實現高穩定性方案 圖7所示的例子之中，1oo2安全架構用於診斷功能強化，形成能確定兩個通道中哪一個有故障情況的「二取一」診斷架構(1oo2D)，而此一架構能用於代替2oo3架構。 圖7　使用交叉通道診斷(1oo2D)的1oo2安全架構示例 在這個例子中有兩個安全通道：深灰色的安全通道A，淺灰色的安全通道B。每個通道都有自己的電源和時脈。而賽靈思的Zynq UltraScale+提供可配置在獨立場域中的功耗監測器和系統監控(Watchdog)計時器，用於監測設備中的其他場域。這些監測器是標準認證中的必備條件。最後，每個通道擁有大於98%的診斷機率，且每個通道使用不同的CPU和設計架構以增加多樣性。這種多樣化的環境運用不同的架構強化系統功能。 從整體架構來看，通過在各個通道間比較結果，能以大於99%的診斷機率檢測出單一故障(例如一個電源、一個時脈生成器或記憶體失效等)。一旦檢測到故障，依據通道狀態得到的診斷結果將通知正常通道和Voter發生故障，Voter隨即遵循正常運作通道所得的結果。 IEC 60601 60601標準用於規範可能導致危害的潛在有害排放，但沒有充分說明安全迴路品質(SIL)的系統性方法，以及如何將導致危害的設備置於安全狀態。風險管理流程留給醫療OEM廠商自行處理並使用ISO14971標準的文件進行調整。雖然這是個好的開始，但問題仍然存在，也就是用於減輕風險的安全迴路應具備怎樣的品質。 IEC 61508標準提出的準則和流程可用於任何電氣/電子或可編程設計的電子系統，毋須考慮安全迴路的最終應用。這意味著通過使用用於滿足特定標準的SIL水準的安全迴路設計，就可以被認為針對特定風險已達到風險降低的要求。 ISO 26262 ISO26262規格採取截然不同的做法，要求將機器設備本身設計為天生具備安全性。例如，當今較為新型的汽車採用了電子緊急剎車。這種剎車裝置取代了老式的機械剎車系統，完全獨立於用於在正常駕駛條件下讓汽車停止的主剎車裝置。這種新型的電子緊急剎車系統已經被整合進車內的安全功能，當汽車在危險速度下行駛時，不允許系統發揮作用。所以當速度高於5mph/8kph(安全作用極限)，系統會發出警告並且不發揮作用。其原理如下： 1.主剎車系統擁有冗餘液壓線路。 2.驅動液壓系統的致動器故障率極低。 鑒於歷史上總故障率很低，所以能夠移除完整的冗餘緊急剎車裝置，以內建安全功能的電子手剎車取代。這種根據預期功能評估危害的理念被稱為「安全目標」。隨後使用驅動此架構的各種診斷措施和失效模式(失效安全與失效運作)達到每一個安全目標。主要功能透過設計提供內在安全性。「手剎車」的安全目標是： 1.系統應阻止不利的剎車。 2.系統應在完全喪失主動力後持續運作。 3.系統應阻止導致失控的剎車。 設計隨後通盤考慮這些安全目標，採用各種方法和措施確保達成這些目標。為此，半導體業者如賽靈思，在設計旗下產品Zynq UltraScale+ MPSoC時就考慮到功能安全和安全需求，從而幫助設備開發者打造高穩定性的解決方案，用於實施安全高效的醫療設備。此外，安全性晶片特性可透過工具流、IP和軟體解決方案加強，並成為工業和醫療物聯網解決方案堆疊的一部分。就功能安全性來說，Zynq UltraScale+ MPSoC提供以下功能： ．三個獨立的運算區域，分別採用不同的時脈和電源以減低共因故障。 ．多個溫度感測器用於檢測工作限制條件。 ．On-chip診斷(ECC)可檢測使用者和配置RAM中的隨機硬體故障。 ．即時運算區域的系統功能。 ．安全認證工具與方法。 ．安全認證Zynq UltraScale+ MPSoC晶片和軟體。 賽靈思的功能安全技術針對功能安全設計的兩大關鍵領域設計。第一大關鍵領域為系統功能，透過賽靈思認證工具鏈實現，並評估異質化產品。第二大關鍵領域為隨機硬體故障容錯，透過獨特的診斷組合實現，包括運算區域內選擇性硬體冗餘、SRAM診斷功能和異質化運算資源中的冗餘等。除On-chip診斷外，賽靈思還整合針對特定設計的獨特製造技術，可提高設備級單一故障事件(SEU)免疫性。 本文將功能安全和網路安全問題與設備製造商的產品風險評估管理連結起來。工業領域應對產品安全相關風險的一些最佳實踐(如IEC 61508)及應對網路安全防護要求的最佳實踐(如IEC 62443)在醫療設備設計時加以運用。本文概述醫療設備設計時可採用的功能安全設計實踐和賽靈思功能，以提高安全性並更佳評估風險，並一次性通過監管審查以加快產品上市時程，進而減少產品召回的風險。賽靈思認為監管機構和設計工程師能透過結構化的功能安全設計時程，對整體產品設計、整體產品成本乃至病患的安全產生積極影響。安全和保障密不可分，因為沒有適當的網路安全防護措施，系統安全就無法滿足預期的工作要求。網路安全問題既涉及數位控制產品的操作完整性，也涉及供應鏈防護，同時適用於不同的終端產業。 (本文由賽靈思提供)

Molex旗下的Phillips-Medisize公司宣佈，其位於美國阿肯色州小石城的工廠完全符合FDA實施的「現代優良生產實踐」(CGMP)的規定要求。該設施符合FDA 21 CFR第820部分的規定。這樣，這一面積達38萬平方英尺的設施在成型、衝壓、電鍍和組立方面具有強大實力，在一處地點即可實現對製造、電子和互聯設備解決方案的垂直整合，可以強化Phillips-Medisize的醫療業製造服務。該工廠還充分利用了現有的專用白色空間以及8級潔淨室空間，用於醫療器械的製造。 數十年來，Phillips-Medisize一直從事著藥物輸送器械的設計、開發與製造工作。Phillips-Medisize目前擁有端對端的服務能力，在機械設備和互聯設備方面提供一系列廣泛的解決方案，服務於廣大的製藥、診斷設備及醫療器械企業。可以使客戶受益的各個方面包括行之有效的品質體系、風險管理的方式和專用的臨床場所，以及生產藥物輸送器械和組合產品的能力，其中就包含了世界各地各處工廠的電子PCBA製造作業。 Phillips-Medisize執行長兼總裁Matt Jennings表示，大部分的藥物輸送器械都將作為互聯健康體系的一部分而獲益。因此，Phillips-Medisize孜孜追求降低將連接模組新增到藥物輸送器械當中的成本。