Holger Chab, Hepa Wash GmbH
仕様と性能の要件を満たし、高いコスト効率が得られる臨床試験向け肝臓透析装置の試作機を開発する。IEC 60601とIEC 62304の指針に従って、医療機器の安全性に関する認証を取得する。
NI LabVIEW FPGAモジュールとNI LabVIEW Real-Timeモジュール、NI CompactRIOを用いて、新しい肝臓透析療法に向けた試作機を開発する。その際には、NI Requirements Gatewayソフトウェアを利用してドキュメントを自動生成することで、要件/設計/試験の間でトレーサビリティを確保した。その結果、制御ソフトウェアの実装(デプロイメント)と検証を短期間で行うことができ、臨床試験に必要な認証をわずか7カ月で取得することに成功した。
Holger Chab - Hepa Wash GmbH
Catherine Schreiber - Hepa Wash GmbH
慢性腎不全の患者は、人工透析、または腎臓移植によって寿命を大幅に延ばすことができます。一方、肝疾患の患者については、肝移植の代替療法として、透析に相当する治療が必要とされています。腎臓の透析は患者の血液から水性毒素を除去するというものですが、肝臓透析では、タンパク質関連の毒素を除去することになります。
当社 (Hepa Wash社) は、肝疾患の患者の高い死亡率を下げるために、輸送タンパク質であるアルブミンを含む透析液を用いて、血液から除去した毒素を凝固させるという透析手段を開発しました (図2)。この装置では、溶剤と酸を加えて毒素を溶かした後、その毒素を濾過し、別の流体回路でアルブミン透析液を継続的に浄化します。これにより、透析治療の際に透析液を繰り返し使用することができます。現在利用できるほかの肝臓透析療法と比較すると、この技術には極めて高い解毒能力があり、コスト効率の高い治療を実現することができます。
European Medical Device Directive 93/42/EEC (欧州医療機器指令) によると、当社が開発した肝臓透析装置は、IIb等級の医療機器に分類されます。医療機器を開発するうえで重要な規制要件としては、機械的/電気的な面で安全性を確保することや、技術/設計に関する事柄をドキュメント化することなどがあります。当社の製品は、医用電気機器を対象としたIEC 60601規格と、医療機器ソフトウェアのライフサイクルプロセスに関するIEC 62304規格に準拠しています。
IEC 60601規格は、機械的/電気的なハードウェアについて、EMC (電磁両立性) や、電気的ショック/放射線からの防護といった事柄に対する試験項目の要件を綿密に規定したものです。一方、IEC 62304規格は、ソフトウェアの開発、テスト、メンテナンスに関する要件を規定したプロセスに関する基準です。IEC 62304では、ソフトウェアシステムをコンポーネントとユニットに分割した詳細なソフトウェアアーキテクチャを規定し、ドキュメント化することが要求されます。また、1つ1つのコンポーネント/ユニットは、それぞれIEC 62304で規定されている以下の3つのいずれかの安全クラスに分類されます (図3)。
A) 負傷したり健康障害が発生したりする可能性はない
B) 重傷を負う可能性はない
C) 死亡する、または重傷を負う可能性がある
IEC 62304規格では、ソフトウェアアーキテクチャの粒度についてはメーカに委ねられています。安全クラスAに分類されたソフトウェアに要求されるのは、仕様要件をドキュメント化することと、要件を満足しているか否かをテストすることのみです。一方、安全クラスCに分類されたソフトウェアでは、設計について詳細なドキュメントを作成することと、データ、制御フロー、変数の初期化、メモリのオーバーフロー、障害への対応といった項目をユニットごとにテストすることが要求されます。安全クラスCに分類されたコンポーネントの安全性をテストする場合、これらの要件は、プロプライエタリなソフトウェア (自社開発のソフトウェア) システムだけでなく、開発過程が不明なソフトウェア (SOUP:Software of Unknown Provenance) にも適用されます。
ここで言うSOUPとは、医療機器メーカ以外のメーカが開発したソフトウェア、もしくは正式なドキュメントが付属していないソフトウェアのことです。OSや、ドライバ、アプリケーション内のライブラリなど、ソフトウェアシステムのいずれのコンポーネントもSOUPである可能性があります。
IEC 62304によると、SOUPについて、安全クラスCに分類されたソフトウェアコンポーネントに対して取るべき対策として、(a) IEC 62304の認証を取得したSOUPを使用する、(b) IEC 61508 SIL2の認証を取得したSOUPを使用する、(c) SOUPを使用せずにソフトウェアを設計する、という3つの選択肢があります。ただし、IEC 62304またはIEC 61508 SIL2の認証を取得したSOUPを探し出すのは困難です。また、多くの場合、医療機器メーカがSOUPのサプライヤから開発ドキュメントを入手したり、ISO 13485規格に準拠するために、サプライヤの品質監査を行ったりすることは不可能です。
一方、IEC 62304には、「ソフトウェアの故障により、死亡する、または重傷を負う可能性があるというリスクが、ハードウェアのリスク管理措置によって、(ISO 14971で規定された) 受容可能なレベルまで低減できる場合には、ソフトウェアの安全クラスの分類をCからBに変更してもよい」[1、p.7]と規定されています。なお、安全上の理由から、ハードウェアのリスク管理手段としては、電源、基準電圧源、A/Dコンバータをソフトウェアシステムから独立させることが義務付けられています。
当社は前臨床試験で概念実証を行った後、人体実験に用いる試作機を1年以内に開発するために、投資家から資金を募りました。「HIP1001」と名付けられた人体実験用の試作機は、2つのコンポーネントから成ります。1つは、体外の血液回路を制御/監視するCE認証取得済みの透析装置(Infomed社の「CF200」)です。もう1つは、透析回路と当社製の回路を実装したまったく新しいサブアセンブリである「LK1001」です。体外の血液回路と透析回路は、透析フィルタ (ダイアライザ) で接続されています (図4)。
LK1001は、圧力、pH、温度といったさまざまな数値を監視するとともに、50台のセンサ/アクチュエータを用いて、バルブやポンプ、加熱装置の制御を行います。当社は、動物実験用の試作機で用いる制御ソフトウェアの開発にLabVIEWを導入して成功を収めていました。そのため、人体実験用の試作機にもLabVIEWを使用することにしました。
LabVIEWは、計測、テスト、制御、調整に用いる高性能の組込システムを開発するのに最適なツールです。同ツールでは、ドラッグ&ドロップ操作により、グラフィカルな関数ブロックをグラフィカルなデータフローダイアグラムに配置することができます。当社は、LK1001用のソフトウェアの開発とNIのハードウェアの選択を行ううえで、NIパートナーであるXON Software社と提携することにしました。ただ、XON社は、サプライヤが欧州の医療機器メーカと取り引きするための必要条件であるISO 13485の認証を取得していません。この問題を解決するために、当社は、このプロジェクトにかかわるXON社の社員に対し、当社の社内品質管理システムの関連工程と操作手順についてのトレーニングを実施しました。
プロジェクトチームは、開発における柔軟性を確保するために、CompactRIOを選択しました (図5)。このハードウェアは、FPGAによる再構成が可能なシャーシと、確定性の高い通信と処理を可能にするリアルタイムコントローラ、交換可能なアナログ/デジタル/PWM (パルス幅変調) モジュールで構成されています。人体実験用の試作機では、堅牢なリアルタイムコントローラであるNI cRIO-9024と、バックプレーンのNI cRIO-9118を組み合わせて使用しました。また、量産開始前の試作機 (現在開発中) には、NI sbRIO-9612を採用しています。この堅牢性に優れたユニットに向けて開発したソフトウェアの大半は、量産時に使用するボードのみのユニットにも移植可能です。
ISO 13485規格によると、コントローラメーカであるNIは、認可を取得済みのOEMには該当しません。ただ、認証に必要なIEC 60601の試験手順は、医療機器システム全体を対象とするものです。そのため、当社の医療機器にNI製品を使用することに問題はありません。NI製のコンポーネントは、コンポーネントレベルでUL 61010とEN 61326の認証を取得しているので、ユニットごとの試験は不要です。
プログラム制御ソフトウェアは、以下の3つの主要コンポーネントで構成されています (図6)。
先述したように、安全クラスCに分類されたコンポーネントは、いずれもハードウェアのリスク管理の手段として構成/統合された安全機能を別途提供することで、安全クラスBに変更することができました。この安全システムのサブアセンブリは、重要なシステムパラメータを監視します。その値が限界値を超えると、患者の安全を確保するためのモードへと切り替わります。アルブミン透析液のpHと温度の監視には、Mettler Toledo International社のプローブトランスミッタ「M300」を使用しています。LK1001は閉ループの油圧システムであり、安全システムには、Mettler Toledo社の計量指示計「IND780」を用いて体液平衡の監視を行うコンポーネントが含まれています。このデバイス (安全クラスC) を制御するシンプルなANSI C++コードは、IEC 62304で規定されたコードレビューとシミュレーションテスト手法により検証済みです。
当社が開発を進めるのと並行して、第三者試験認証機関であるTU"V SU"D (監査機関) により、規格に対応した試験が実施されました。開発開始から3カ月後に最初の電気的安全性の試験が行われ、開発開始から5カ月後に機能的安全性の試験が行われました。当社では、要件、設計、試験に関するドキュメント間で必要なトレーサビリティを確保するために、NI Requirements Gatewayを利用しました。その結果、特殊なフォーマットのMicrosoft Word文書を、コスト効率の高い方法で自動生成できるようになりました。
TÜV SÜDがHIP1001を承認し、臨床研究を許可する技術性能証明書を発行したことを受けて、当社は人体実験用の試作機の試験管内 (in vitro) 試験と生体内 (in vivo) 試験に踏み切りました。そして、開発開始から10カ月後、臨床予備試験に着手しました。臨床試験で承認され、医療現場で行った最初の試験結果が良好だったことから、量産開始前の試作機を完成させ、多施設臨床試験を行うための追加資金を募りました。
量産開始前の試作機は、制御ソフトウェアと安全性に優れたハードウェアを互いに独立させるという安全システムの概念を維持することを常に念頭に置いて開発しています。この試作機では、アナログI/OとデジタルI/Oに対して100以上の信号を接続可能なNI sbRIO-9612モジュールを新たに導入しました (図4)。人体実験用の試作機の開発では、CE認証に要求される品質基準をすべて満足しなければなりません。とはいえ、プロトタイプの段階で試験済みのソフトウェアの大部分を最終製品に再利用できるので、ソフトウェアを一から作り直す必要はありません。ただし、量産開始前の試作機では、CF200の代わりに当社独自の体外循環血液回路 (安全機能搭載済み) を使用する、制御ソフトウェアを拡張する、既存の外部安全システムを社内で開発したインテリジェントな安全システムに置き換える、といった変更を加えました。LabVIEWをベースにしたリアルタイム制御システムには、約90台のセンサとアクチュエータが統合されています。この安全システムでは、以下の2つの点においてIEC 62304規格の安全クラスCの評価を受けました。
当社は、リスクキャピタルから資金提供を受けています。製品が市場に投入されるまで売上が一切発生しないため、開発時間とコストが重要視されます。新しい肝臓透析療法に向けた試作機の開発では、LabVIEWとハードウェアのリスク管理手段を組み合わせて、システムにおいて重要な意味を持つパラメータの監視を行いました。その結果、わずか7カ月で最初のシステムを開発することができました。NIのソフトウェアとハードウェアを導入したことで、革新的な肝臓透析装置を市場に投入するまでの時間を短縮することに成功したのです。現在、当社は、LabVIEW FPGAモジュールとLabVIEW Real-Timeモジュール、NI Single-Board RIOハードウェアを用いて最終製品の開発を進めています。2012年夏には、欧州市場における認証 (CEマーク) の取得を達成する予定です。
NIパートナーは、NIとは別の独立した事業体であり、NIと何ら代理店、パートナーシップまたはジョイントベンチャーの関係にありません。
80333 München
Tel: +49 (0) 89 5427160
Fax: +49 (0) 89 542716-78
National Instruments
Germany GmbH
80339 München
Tel: +49 (0) 89 7413130
Fax: +49 (0) 89 714603-5
資料:
[1] DIN Deutsches Institut für Normung e.V. and VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.:DIN EN 62304 VDE 0750-101:2007-03、2007年3月
Holger Chab
Hepa Wash GmbH
80992 Münche
Tel: +49 (0) 89 41118420
holger.chab@hepawash.com