2025年7月29日
日本語
English
株式会社ヒューリンクス
TEL:03-5642-8385
営業時間:9:00-17:30
APIS IQ を使った医療機器向けリスクマネジメント (FMEA):心血管カテーテルの事例
APIS IQ を使った医療機器向けリスクマネジメント (FMEA)
ISO 14971 は、医療機器に関するリスクを体系的に管理する国際規格です。その目的は一貫して「受容できないリスクがないこと」、すなわち「患者の安全確保」にあります。リスクは人や環境への危害と結び付けられ、分析の焦点も性能から安全へと移行します。さらに、このプロセスは任意ではなく規制上の義務として位置付けられます。 APIS IQ-Software は FMEA と ISO 14971 のリスク分析に対応した代表的なツールのひとつです。APIS IQ-Software はもともと自動車業界向けのツールとして実績がありますが、ISO 14971 向けの機能、具体的には、ハザード、危険状態(hazardous situation)、危害(harm) といった要素を組み入れることで医療機器向けリスク管理に活用することができます。 この記事では、医療機器として心血管カテーテルを題材として取り上げ、APIS IQ を利用することで医療機器向けリスク管理を効率的に実施する一連の流れを具体的にご説明します。
- はじめに ― なぜ APIS IQ なのか
- 第1章 構造ツリー・機能分析によるハザードの特定
- 第2章 故障ネットによる「ハザード →一連の事象→ 危険状態 → 危害」のトレース
- 第3章 医療機器向けハザードトレーサビリティマトリックス(HTM)の作成
- 第4章 リスクの根拠・製品要求仕様への相互リンク
- 第5章 APIS IQ による柔軟な運用
- まとめ ― APIS IQ による一連の流れ
はじめに ― なぜ APIS IQ なのか
APIS IQ-Software は、ドイツ APIS 社が開発する FMEA(故障モード影響解析)とリスク分析の専用ツールです。構造ツリー・機能分析・故障ネット(Failure Net)をひとつのデータベース上で統合し、故障の連鎖をネットワーク状に管理できます。自動車業界の AIAG-VDA FMEA に加え、医療機器の ISO 14971 にも対応し、設計 FMEA から市販後のリスク管理までライフサイクル全体を一貫して支援します。
医療機器のリスクマネジメントは ISO 14971 に基づき、「ハザード → 一連の事象 → 危険状態 → 危害」の連鎖を特定・評価し、リスクコントロールで受容可能なレベルまで低減することが求められます。一方、設計の信頼性手法として広く使われる FMEA(故障モード影響解析)は「原因 → 故障モード → 影響」を分析します。
| FMEA の用語 | ISO 14971 の用語 |
|---|---|
| 原因(Cause) | ハザード/一連の事象の起点 |
| 故障モード(Failure Mode) | 一連の事象 |
| 影響(Effect) | 危険状態 → 危害 |
APIS IQ-Software は、構造ツリー・機能分析・故障ネットをひとつのデータベース上で統合し、FMEA と ISO 14971 のハザード分析を1つのプロジェクトで同時運用できる点が最大の特長です。ひとつの故障エントリを直せば、関連するすべての FMEA 行とハザード評価が自動的に追従します。
本稿では、心血管カテーテルを題材に、構造ツリーの作成からハザード特定、故障ネットによるトレース、ハザードトレーサビリティマトリックス(HTM)作成、市販後フィードバック、根拠となるファイルへの相互リンクまで、APIS IQ を使った一連の流れを具体的に解説します。
題材:心血管カテーテルの構成
例として、冠動脈造影や治療デバイスの誘導に用いる心血管カテーテルを取り上げます。主な構成要素は次のとおりです。
- シャフト(カテーテル本体。押し込み性・追従性を担う)
- 先端チップ(Tip)(血管内へ先進する先端部)
- ルーメン(内腔)(ガイドワイヤー・造影剤・デバイスの通路)
- ガイドワイヤー(先行して経路を確保する)
- シース/ハブ(ルアー接続部)(体外側の接続部)
- X線不透過マーカー(透視下での先端位置の確認用)
第1章 構造ツリー・機能分析によるハザードの特定
APIS IQ の構造ツリーは、分析対象を階層的に分解して表現する機能です。医療機器では最上位(ルート)に危害が及ぶ「患者」を置き、その下に製品全体・サブシステム・コンポーネント・部品を展開します。各要素には設計責任者やサプライヤー等の属性を付与でき、続く機能分析や故障ネットの土台となります。この階層構造が、部品の故障から患者への危害までを一貫してトレースする基盤を提供します。
1-1. 構造ツリーを作る
最初に、製品を階層的に分解した構造ツリーを APIS IQ 上に作成します。これがすべての分析の土台になります。APIS IQ の構造エディタは、システム構造を画面上で左から右へと伸びる「ツリー」で表現します。このツリーは、システム全体がどのような「システム要素」で構成されているかを示します。
各システム要素については、該当する「機能」と「故障」を選択的に表示できます。
これらの情報は、表形式の FMEA フォームと連動します。 FMEA フォームに表示する内容は、Ondal をはじめ、複数の異なる形式(VDA、AIAG、MILなど)で表現できます。
- Ondal とは、独 Ondal 社によるハザード・危険状態・危害など ISO 14971 の項目に沿った医療機器向けの FMEA フォーム(HTM)レイアウトです。APIS IQ にはこの形式が標準搭載されており、表示→レイアウトから「Ondal」を選択することで医療機器向けのフォームを指定できます。ユーザーはツリー構造と FMEA フォームを容易に切り替えることが可能です。
医療機器の FMEA で特徴的なのは、ツリーの「ルート(最上位)」を「患者」とする点です。一般的な工業製品の FMEA では製品全体をルートに置きますが、医療機器で考慮すべき「影響」の最終到達点は 危害が及ぶ患者です。ルートを患者にしておくことで、後段の故障ネットで「ハザード → … → 患者への危害」という連鎖を、ツリーの右端(部品特性)から左端(患者)まで一直線にトレースできるようになります。
1-2. 機能分析
次に、各要素の「機能」を定義します。機能はその要素の「役割」や「要求事項」を具体的に書きます。例えば、患者に対しては「患者に適切な処置を行うこと」という要求事項、シャフトについては「正常にカテーテルを血管内で推進する」という役割を記入します。「特性」とは、システム要素の定量的な要件です。この例では、「シャフトのハザード」というシステム要素を追加し、そこに具体的な特性を定義します。以下に記述例を示します。
| システム要素 | 機能 |
|---|---|
| 患者 | 患者に適切な処置を行うこと |
| システム要素 | 機能 |
| 心血管カテーテル | 正しく血管内に挿入され推進し処置を行えること |
| シャフト | 正常にカテーテルを血管内で推進する |
| システム要素 | 特性 |
| シャフトのハザード | 材料強度 |
| 接合部強度 | |
| 表面コーティング密着性 |
- 「患者」要素には、「機能」として「患者に適切な処置を行うこと」を定義します。→この機能に対して具体的な「危害」の具体的内容を定義します(例:「血管穿孔・解離・出血」など)。
- 「心血管カテーテル」要素の機能には「正しく血管内に挿入され推進し処置を行えること」を定義します。→この機能に対して「危険状態」の具体的内容を定義します。
- 部品の階層には、各部品の機能を定義します。たとえば、「シャフト」要素の機能には、「正常にカテーテルを血管内で推進する」を定義します。→この機能に対してハザードから危険状態に至る「一連の事象」の具体的内容を定義します。
- 最下層の要素には各部品の特性を定義します。たとえば、「シャフトのハザード」要素の特性には、「材料強度」、「接合部強度」、「表面コーティング密着性」といったシャフトの具体的な特性を定義します。→これらの特性に対して具体的な「ハザード」を定義します(例:「材料強度不足」など)。
構造ツリーに「機能」を定義した例
機能ネットで機能と機能/特性の関係をつなぐ
機能ネットは、調査対象とするシステム中の特定の機能(いわゆる「フォーカスエレメント」)のあらゆる可能性のある原因と結果に関する情報をグラフィカルに提供するものです。これにより ISO 14971 の「ハザード」から「危害」までの一連の流れをトレースするためのベースができあがります。
1-3. 機能を「裏返して」危害・危険状態・ハザードを特定
ISO 14971 のハザードは、故障時に限らず、正常使用時に生じるリスク(生体適合性・エネルギー・鋭利さ等)や、合理的に予見可能な誤使用(使用エラー)も含めて、危害の潜在的源を幅広く対象とします。一方 FMEA は「故障モード起点」の手法で、部品や機能の故障に起因するリスクのみを扱うため、ISO 14971 のハザードの部分集合にすぎません。 APIS IQ は、このような違いにも柔軟に対応できます。 APIS IQ では、FMEA のツリーと、ハザード分析・使用エラーのツリーを複数構築し、これらを故障ネット(Failure Net)で相互に接続できます。これにより、故障由来のリスクと非故障ハザードを単一のプロジェクトで統合的にトレースでき、FMEA だけではカバーできない正常使用・誤使用のハザードを補完しながら、ISO 14971 が求める網羅的なリスク分析を実現できます(詳細は第5章参照)。
| ハザード | カテゴリ |
|---|---|
| 先端チップの機械的剛性・形状 | 機械的エネルギー |
| 先端チップ/接合部の機械的脆弱性(破断・遺残) | 機械的エネルギー |
| シャフトの機械的脆弱性(キンク・破断) | 機械的エネルギー |
| 内腔への空気混入の可能性 | 機械的(塞栓) |
| 表面の血栓形成性/生体適合性の限界 | 生物学的 |
| カテーテル表面への微生物付着 | 生物学的(感染) |
| ルアー接続部の結合限界 | 使用関連 |
| 類似サイズの識別性の限界 | 使用関連(IEC 62366-1 連動) |
まず、機械的カテゴリの観点から各「機能」を裏返すことで ISO 14971 の「危害・危険状態・一連の事象・ハザード」 (FMEA の故障に相当) を特定します。
なお、APIS IQ では、「ユーザーが定義した属性」として「ハザード → 一連の事象 → 危険状態 → 危害」を用意することが可能で、これによってFMEA 的な故障の連鎖を危害→ハザードの連鎖としてあらわすことができます。
以下に具体的な記述例を示します。
例)患者の機能と危害
| システム要素 | 機能 |
|---|---|
| 患者 | 患者に適切な処置を行うこと |
| システム要素 | 危害 |
|---|---|
| 患者 | 血管穿孔・解離・出血 |
| 血管閉塞・塞栓症・血流阻害、外科的回収のための追加侵襲 |
例)心血管カテーテルの機能/危険状態
| システム要素 | 機能 |
|---|---|
| 心血管カテーテル | 正しく血管内に挿入され推進し処置を行えること |
| システム要素 | 危険状態 |
|---|---|
| 心血管カテーテル | 先端が過度な圧力で血管内壁に押し当てられている状態 |
| 異物が血管・心腔内に存在している状態 |
例)シャフトの機能/一連の事象
| システム要素 | 機能 |
|---|---|
| シャフト | 正常にカテーテルを血管内で推進する |
| システム要素 | 一連の事象 |
|---|---|
| シャフト | シャフトに局所的な応力が集中し破断 |
| 蛇行した血管内での繰り返し操作による親水性コーティング剥離 |
例)シャフトのハザードの特性/ハザード
※ハザードの分類(機械的エネルギー、生物学的/化学的)は、レイアウト機能を利用して表示しています。
| システム要素 | 機能 |
|---|---|
| シャフトのハザード | 材料強度 |
| 接合部強度 | |
| 表面コーティング密着性 |
| システム要素 | ハザード |
|---|---|
| シャフトのハザード | 材料強度不足 |
| シャフト・チップの接合部の脆弱性 | |
| 表面コーティングの密着不良 |
APIS IQ のツリー形式で作成した例。
第2章 故障ネットによる「ハザード →一連の事象→ 危険状態 → 危害」のトレース
2-1. 故障ネットとは
APIS IQ の「故障ネット」は、FMEA 的な「原因→故障モード→影響」の連鎖をネットワーク状にリンクする中核機能です。このネット上に ISO 14971 の「ハザード→一連の事象→危険状態→危害」の連鎖を接続することで、ハザードから患者への危害までを一貫してトレースできます。
2-2. 故障ネットに ISO 14971 のハザードチェーンを乗せる
ここが医療機器固有の要です。APIS IQ では、故障の連鎖に ハザード分析の連鎖を接続できます。
- ハザード:先端剛性が過大/先端形状の異常(バリ・鋭利部)
↓(一連の事象) - 製造ばらつきで先端が硬く成形される → 蛇行血管の屈曲部で術者が押し込み操作を行う → 硬い先端が血管内壁に強く当たる
↓ - 危険状態:硬い先端が血管内壁に過度な圧力で押し当てられている状態
↓ - 危害:血管穿孔・解離・出血(心タンポナーデ等)
APIS の 故障ネットエディタ で、ハザード(先端剛性が過大)を一連の事象を介して 危険状態 ノード「硬い先端が血管内壁に押し当てられている状態」へリンクし、さらに 危害(Harm) ノードへリンクします。
APIS IQ では、マウスのドラッグ&ドロップを使って故障を連鎖できます。リンク先の変更などもクリック&ドラッグ操作で容易に行うことができます。
トップダウン × ボトムアップの突き合わせ:ハザード分析(トップダウン)と FMEA(ボトムアップ)を別々に組み、最後にリンクで突き合わせると、「FMEA の故障モードがどのハザードにもつながらない」「ハザードに対応する故障モードがない」というギャップが可視化されます。このギャップ潰しが ISO 14971 適合の質を決めます。
第3章 医療機器向けハザードトレーサビリティマトリックス(HTM)の作成
ハザードトレーサビリティマトリックス(HTM)は、ISO 14971 で用いるリスク管理表です。ハザード→危険状態→危害の連鎖に、リスク評価・リスクコントロール・残存リスクを横一列に並べ、ハザードから危害までの追跡性(トレーサビリティ)を確保します。APIS IQ のハザードトレーサビリティマトリックス(HTM)は、構造ツリーの故障ネットから自動生成されます。ツリー上の故障や評価値を修正すると HTM に即座に反映され、両者は常に連動して整合が保たれます。
3-1. FMEA フォームを開き、医療用レイアウトに切り替える
故障ネット (Failure Net) が組めたら、ノードを右クリック →「FMEA フォーム」で表示します。APIS では表示レイアウトを切り替えられるので、医療系フォーマット(例:ONDAL レイアウト)を選択し、列見出しを ハザード/危険状態/危害の ISO 14971 用語に変更します。
これにより、FMEA の故障連鎖が HTM(ハザードトレーサビリティマトリクス) に相当する一覧表として出力されます。リスクコントロールは初期・実装・残存の3状態で記録し、根拠となるファイル双方向リンクします。市販後データも同じツリーへ還流でき、設計から製造後まで一貫したリスク管理を実現します。
3-2. リスクの計算式:R = S × P
リスクは、危害の重大度(S:Severity)と発生確率(P:Probability)の組み合わせで評価し、一般に R = S × P で算出します。S は危害がどれだけ重篤かを、P は危害がどれだけ起こりやすいかを表します。算出したリスクを受容基準と照らして許容可否を判定し、許容できない場合はリスクコントロールで重大度または発生確率を低減します。重大度は通常下げられないため、発生確率の低減が中心となります。
3-3. リスクコントロール
評価で受容できない(非受容)と判定された行に、ISO 14971 §7 の優先順位でリスクコントロールを追加します。
- 本質的安全設計(最優先):危害源そのものを除去/低減
- 例:先端のソフトチップ化・テーパー形状の最適化(血管壁への応力集中を低減)、先端剛性の段階的設計
- 保護手段:構造的工夫・冗長
- 例:先端成形部の接合強度の強化、破断時にも遊離しにくい先端補強構造、X線不透過マーカーによる先端位置の視認性向上
- 安全のための情報:IFU の警告・ラベル・トレーニング
- 例:「ガイドワイヤを先行させ、抵抗を感じたら無理に押し込まないこと」の IFU 記載
3-4. 総合残留リスクの評価
個別行がすべて受容範囲でも、ISO 14971 §8 では製品全体の総合残留リスク評価が別途必要です。APIS のフィルタで「残留リスクが高めの行」「直近改訂行」を抽出し、ベネフィット・リスク比較とともにレビュー記録として残します。
第4章 リスクの根拠・製品要求仕様への相互リンク
APIS IQ では、リスク評価の根拠(重大度・発生確率の判定根拠、試験報告書、文献など)を、各ノードのメモ・ハイパーリンク・構造化属性として管理できます。さらに、リスクコントロールで定めた要求事項を製品要求仕様書と双方向にリンクでき、仕様書側からも該当するリスク評価へ辿れます。属性は自由記述と異なりフィルタ・集計が可能なため、根拠のトレーサビリティを確保できます。例えばリスク低減策「先端材料の硬度・伸び率の適正化」と、要求仕様書上の数値を相互参照させる運用が可能です。
4-1. APIS IQ で使えるリンクの仕組み
APIS IQ では、各エントリにブックマークやハイパーリンク、メモを付与でき、リスクの根拠資料・要求仕様書などの外部文書や他項目へ相互にリンクできます。これにより双方向のトレーサビリティを確保できます。
第5章 APIS IQ による柔軟な運用
APIS IQ は、故障由来のリスクと非故障ハザードを単一のプロジェクトで統合的にトレースでき、FMEA だけではカバーできない正常使用・誤使用のハザードを補完しながら、ISO 14971 が求める網羅的なリスク分析を実現できます。
APIS IQ は1つのプロジェクトに複数のシステム構造ツリーを作成可能で、構造ツリー間をまたぐハザードを故障ネット(Failure Net)で相互に連結できます。製品・使用・サブシステムなど別々に構築したツリーに設定された「ハザード、危険状態、危害」を一つの網として接続すれば、複数の要素に共通するハザードを一元的に参照できます。これにより、FMEA とハザード分析をツリー間の関係を保ったまま統合的な運用が可能で、一つの故障を修正すれば関連する評価が自動的に更新されるため、整合性を保持しながら全体を一貫してトレースできる点が大きなメリットです。
異なるツリー構造間のトレース例
手技に関するツリー構造を新たに作成し、ハザードとして「抵抗を無視して前進する」を定義します。
オリジナルのツリー構造の「危険状態」の1つ「先端が過度な圧力で血管内壁に押し当てられている状態」にドラッグして接続します。
カテゴリごとに異なるツリーに作成されたハザードを故障ネットで相互に連結することで、統合的なハザードのトレースが可能になります。
まとめ ― APIS IQ による一連の流れ
- 構造ツリー(System Structure)
↓ - 機能分析(Function Structure)→ 裏返してハザード特定
↓ - 故障ネット(Failure Net)
原因→故障モード→影響 = ハザード→危険状態→危害 を 1 構造で接続
↓ - FMEA フォーム(医療レイアウト)= HTM
R = S × P で評価 → 予防・検出措置を追加
初期 → 実装(V&V) → 残存リスク を記録
↓ - 総合残留リスク評価(§8)→ リスクマネジメントレビュー・報告書(§9)
↓ - 市販後フィードバック(§10)
操作性・保守性の声を該当ノードへ還流 → 評価更新 → 横展開
↓ - 根拠となるファイルを構造化属性+ブックマークで双方向リンク
(監査対応の完全トレーサビリティ)
Excel 運用では FMEA とハザード分析を別シートで作り後から突き合わせるため整合が崩れやすく、監査で不整合を指摘されがちです。APIS IQ は両者を1本の故障ネットで統合管理するため、ひとつの故障を直せば関連する全行が自動追従し、転記ミスや更新漏れが構造的に起きません。根拠となるファイルの双方向リンクや変更履歴も保持でき、市販後の知見も同じツリーへ還流可能。設計から製造後まで一貫したトレーサビリティを維持できる点が決定的な優位性です。
APIS IQ による医療機器向けハザード分析 運用上のメリット
- 整合性:FMEA とハザード分析を 1 本の故障ネットで統合運用 → Excel 運用の不整合が構造的に起きない
- 変更の自動追従:ひとつの故障を修正すれば関連する全行に自動反映 → 設計変更時の手戻りを最小化
- トレーサビリティ:根拠を構造化属性で双方向リンク → 苦情からリスク再評価まで一貫追跡
- 市販後対応:市販後の知見を同じツリーへ還流 → ライフサイクル全体で最新化
- 監査対応:変更履歴(Audit Trail)と根拠が残り、監査に耐える証跡を維持
APIS IQ なら FMEA と ISO 14971 のハザード分析を1つのモデルで統合的に管理できます。変更は自動追従し、表計算ソフトで起こりがちな不整合や転記ミスを回避できます。監査に耐えるトレーサビリティを、設計から市販後まで一貫してサポートします。
この例では「患者」の下位に心血管カテーテルの DFMEA を配置しましたが、PFMEA・コントロールプランはもちろんのこと、医療従事者の使用手順と各手順の機能のツリーやその故障ネットをつなげることで、操作性や使用エラーに関する uFMEA やユーザビリティエンジニアリングも実施可能です。APIS IQ を使えば医療機器リスクマネジメント及びユーザビリティエンジニアリングで求められる対象領域全体をカバーできます。
引用文献:
- The illustrated guide to risk management for medical devices and ISO 14971
- FMEA vs ISO 14971 – Medical Device HQ 1