夜雨聆风在软件风险管理中考虑YY/T 1437-2023 附录A.2.36“医疗器械的使用是否具有一定的自动化程度”时,针对“用户干预或中止自动执行的动作的能力”需要从以下几个维度进行系统分析。
1. 明确“自动化程度”与“用户能力”的定义
根据 YY/T 1437-2023(A.2.36) 和 ISO TR 24971-2020(A.2.36),需要考虑的因素具体包括:
• 用户的意识:当自动执行的动作发生错误、警报或故障时,用户是否能察觉到?
• 用户的干预需求:当需要用户介入自动执行的动作时,用户是否清楚需要做什么?
• 用户干预或中止动作的能力:用户是否有明确的手段和权限来随时停止或改变正在进行的自动操作?
• 用户执行纠正措施的能力:用户是否具备足够的知识和技能来选择并执行正确的应急方案。
2. 对“能力”的具体考量维度
在软件风险管理文档中,您需要针对“用户干预或中止自动执行的动作的能力”进行以下分析:
a) 中止/暂停机制的存在性与可达性
• 硬件急停装置:根据 GB 9706.1-2020 的通用要求以及多个专用标准(如 GB 9706.201-2020、YY 9706.268-2022),对于可能造成身体伤害的自动运动,必须提供硬连线的紧急停止装置。
• 参考示例:在 YY 9706.278-2023(康复机器人) 中,明确要求“若RACA机器人需要在间断的监护下使用或没有监护,且患者可能需要激活紧急停止,患者就是急停装置的操作者”。
• 软件暂停/中止功能:对于低风险或非运动的自动功能(如自动分析、自动校准),软件界面应提供明确的“暂停”、“中止”或“取消”按钮。用户不需要记忆复杂的组合键或进入深层菜单。
b) 用户意识与反馈
• 状态认知:用户必须能清楚地知道“设备现在处于自动运行状态”。根据 IEC TR 60601-4-1:2017 的模型,自动化程度越高,用户越容易失去“情境意识”。
• 参考示例:GB 9706.254-2020 对于X射线设备,要求在治疗室外操作时,操作者应能连续控制,控制器应位于能观察到运动的位置。
• 错误与警告的传达:当自动系统出错或需要用户干预时,必须通过清晰的视觉、听觉报警(见 YY 9706.108-2021)提醒用户。例如,一个自动输液泵在检测到堵塞时,不仅停止输注,还应发出高优先级报警,并明确提示“管路堵塞,请检查”。
c) 干预动作的复杂度与安全性
• 防止误操作:干预动作本身不应造成新的风险。
• 设计要求:关键的中止动作应设计为“连续开动”或“两个不同且分开的动作”,以防止用户意外触碰导致设备突然停止或启动。这在 GB 9706.254-2020(连续开动) 和 GB 9706.224-2021(输液泵过流自流状态的防止) 中有明确体现。
• 恢复与重启:用户中止动作后,系统应被置于安全状态。用户应能根据需要选择“恢复”或“重启”自动化流程。根据 YY 9706.278-2023,紧急停止后机器无法自动重启,必须由操作者手动启动。
3. 总结
在软件风险管理中考虑“用户干预或中止自动执行的动作的能力”时,应遵循以下逻辑链条:
1) 定义自动化的边界:明确哪些动作是自动的(如闭环控制、程序化灌流、自动归零)。
2) 评估用户介入的必要性:在哪些情况下,自动化可能失败或需要用户确认(如传感器失效、参数越限、完成预设周期)。
3) 设计清晰的交互接口:
• 确保用户知道设备正在做什么(状态反馈)。
• 确保用户知道可以做些什么(明确的干预选项,如暂停、停止、切换模式)。
• 确保用户能够安全地执行干预(物理急停、菜单操作、连续控制)。
4) 验证与确认:通过可用性工程(参考 YY/T 1474-2016)进行可用性测试,验证典型用户在实际使用情境下是否能够正确地、及时地干预或中止自动动作。
最终,将以上分析结果(包括失效模式、风险评估和风险控制措施)系统地记录在风险管理文档中。
