使用错误分析¶

概述¶

使用错误（Use Error）是可用性工程的核心概念，指用户的行为或行为缺失导致与制造商预期不同的结果。识别、分析和控制使用错误是确保医疗器械安全的关键。

使用错误定义¶

IEC 62366-1定义¶

使用错误: 用户的行为或行为缺失导致与制造商预期不同的结果。

关键要点¶

不是用户的错 - 使用错误是设计问题，不是用户能力问题
可预见的 - 制造商应该预见可能的使用错误
可控制的 - 通过设计改进可以降低或消除

使用错误分类¶

按行为类型分类¶

1. 操作错误（Commission Error）¶

执行了错误的操作。

示例：

### 案例：输液泵剂量设置

**错误**: 用户将"5.0 mL/h"输入为"50 mL/h"
**原因**: 小数点不清晰，用户误读
**后果**: 药物过量，患者伤害
**控制措施**: 
- 大字体显示小数点
- 剂量确认对话框
- 限制最大输入值

常见操作错误：

按错按钮
选错选项
输入错误数值
连接错误接口
使用错误附件

2. 遗漏错误（Omission Error）¶

未执行应该执行的操作。

示例：

### 案例：血糖仪测试

**错误**: 用户忘记插入测试条就采血
**原因**: 步骤提示不明显
**后果**: 浪费测试条和血样，需要重新测试
**控制措施**:
- 强制顺序：未插入测试条时禁用采血按钮
- 视觉提示：显示"请插入测试条"
- 声音提示：蜂鸣提醒

常见遗漏错误：

忘记执行关键步骤
未检查设备状态
未进行必要的校准
未阅读警告信息
未记录测量结果

3. 顺序错误（Sequence Error）¶

步骤执行顺序错误。

示例：

### 案例：除颤器使用

**错误**: 用户在分析心律前就按下电击按钮
**原因**: 按钮布局不合理，操作流程不清晰
**后果**: 不必要的电击，可能伤害患者
**控制措施**:
- 强制流程：未完成分析前禁用电击按钮
- 流程指示：屏幕显示当前步骤和下一步
- 语音引导：逐步语音提示

4. 时间错误（Timing Error）¶

操作时机不当。

示例：

### 案例：呼吸机同步

**错误**: 用户在患者吸气时调整压力设置
**原因**: 未提供呼吸周期指示
**后果**: 患者不适，治疗效果下降
**控制措施**:
- 实时显示呼吸周期波形
- 在呼气期自动锁定某些设置
- 提示最佳调整时机

按严重性分类¶

关键使用错误（Critical Use Error）¶

可能导致严重伤害或死亡的使用错误。

特征：

高严重性后果
必须通过设计控制
需要在总结性评估中验证

示例：

胰岛素剂量错误10倍
除颤器能量设置错误
呼吸机参数设置导致窒息

严重使用错误（Serious Use Error）¶

可能导致中等伤害或治疗失败的使用错误。

示例：

血压计袖带尺寸选择错误
监护仪报警阈值设置不当
药物输注速率偏差20%

轻微使用错误（Minor Use Error）¶

仅影响用户体验或效率的使用错误。

示例：

菜单导航困难
数据输入繁琐
显示信息不清晰

按根本原因分类¶

1. 感知错误（Perception Error）¶

用户未能正确感知信息。

原因：

视觉问题
字体太小
对比度不足
颜色区分困难（色盲）
光照反射
听觉问题
报警音量不足
音调相似
环境噪声干扰
触觉问题
按钮反馈不明显
触摸屏灵敏度问题

示例：

### 案例：监护仪报警

**错误**: 护士未听到心率过低报警
**原因**: 
- 报警音量设置过低
- ICU环境噪声大（多个设备报警）
- 报警音调与其他设备相似
**控制措施**:
- 增加视觉报警（闪烁红灯）
- 差异化报警音调
- 分级报警系统（紧急报警更响亮）
- 远程报警推送到护士站

2. 认知错误（Cognitive Error）¶

用户未能正确理解或记忆信息。

原因：

理解困难
术语复杂
说明不清
逻辑混乱
记忆负担
步骤过多
信息过载
缺少提示
注意力分散
多任务干扰
工作压力
疲劳

示例：

### 案例：多步骤操作

**错误**: 用户忘记在测量后校准设备
**原因**: 
- 校准步骤在用户手册第50页
- 无屏幕提示
- 校准周期不明确（每周？每月？）
**控制措施**:
- 自动校准提醒（基于使用次数或时间）
- 屏幕显示"距离下次校准还有X天"
- 简化校准流程
- 提供快速参考卡

3. 运动错误（Motor Error）¶

用户未能正确执行物理操作。

原因：

精细动作困难
按钮太小
触摸目标太密集
需要精确对准
力量要求
按钮太硬
连接器太紧
需要双手操作
姿势不适
操作位置不便
需要特殊角度
长时间保持姿势

示例：

### 案例：老年患者使用注射笔

**错误**: 患者未能完全按下注射按钮，剂量不足
**原因**: 
- 按钮需要较大力量
- 患者有关节炎，手指力量不足
- 无明确的"注射完成"反馈
**控制措施**:
- 降低按钮所需力量
- 增加按钮尺寸，便于握持
- 提供明确的触觉和听觉反馈（咔哒声）
- 显示"注射完成"信息

使用错误识别方法¶

1. 任务分析（Task Analysis）¶

逐步分解任务，识别每个步骤可能的错误。

分析模板：

步骤	用户操作	可能错误	错误原因	后果	严重性
1	开机	未按住电源键足够长	反馈不明确	设备未启动	低
2	选择模式	选错测量模式	图标相似	错误测量	中
3	输入参数	数值输入错误	小数点不清	治疗剂量错误	高

2. 失效模式分析（FMEA）¶

系统化识别潜在失效模式和影响。

FMEA表格：

功能	失效模式	失效原因	失效影响	严重性	发生率	检测度	RPN
剂量输入	输入错误数值	界面不清晰	药物过量	9	5	3	135

RPN（风险优先数）= 严重性 × 发生率 × 检测度

3. 用户测试观察¶

在可用性测试中观察实际使用错误。

观察记录：

### 测试参与者 #5 - 护士，5年经验

**任务**: 设置输液速率为2.5 mL/h

**观察**:
- 00:15 - 参与者按下"速率"按钮
- 00:20 - 参与者输入"25"（错误，应为"2.5"）
- 00:25 - 参与者按下"确认"
- 00:30 - 参与者注意到屏幕显示"25 mL/h"
- 00:35 - 参与者说"哦，我忘了小数点"
- 00:40 - 参与者按下"取消"重新输入

**使用错误**: 遗漏小数点
**错误类型**: 操作错误
**根本原因**: 
- 小数点输入不直观（需要额外按键）
- 无输入格式提示
**严重性**: 高（10倍剂量错误）
**是否自我纠正**: 是

4. 历史数据分析¶

分析类似产品的不良事件报告和用户投诉。

数据来源：

FDA MAUDE数据库
公司内部投诉记录
文献报道的事故
竞品召回信息

分析示例：

### 历史数据：输液泵使用错误

**数据来源**: FDA MAUDE数据库，2018-2023

**常见使用错误**:
1. 剂量输入错误（35%）
   - 小数点错误
   - 单位混淆（mL vs μL）
   - 数字键误按

2. 管路连接错误（25%）
   - 连接到错误端口
   - 未完全插入
   - 管路扭结

3. 报警响应不当（20%）
   - 报警静音后忘记处理
   - 误解报警含义
   - 报警疲劳

**启示**:
- 剂量输入需要特别关注
- 管路连接需要防错设计
- 报警系统需要优化

5. 专家评审¶

邀请可用性专家和临床专家识别潜在使用错误。

评审方法：

启发式评估 - 对照可用性原则检查
认知走查 - 模拟用户思维过程
临床场景模拟 - 专家演示使用流程

使用错误风险评估¶

风险评估矩阵¶

根据严重性和发生概率评估风险等级。

发生概率 \ 严重性	可忽略	轻微	中等	严重	灾难性
频繁	中	高	高	极高	极高
可能	低	中	高	高	极高
偶尔	低	中	中	高	高
罕见	低	低	中	中	高
极罕见	低	低	低	中	中

风险等级：

极高 - 不可接受，必须消除或降低
高 - 需要降低到中等或以下
中 - 需要评估是否可接受
低 - 通常可接受

风险可接受性判断¶

判断标准：

ALARP原则（As Low As Reasonably Practicable）
风险已降低到合理可行的最低水平
进一步降低的成本与收益不成比例
风险-收益分析
设备的临床收益是否超过残余风险
是否有更安全的替代方案
监管要求
是否符合相关标准和法规
是否需要特殊批准

使用错误控制策略¶

控制措施层级¶

按优先级从高到低：

1. 本质安全设计（Inherent Safety）¶

通过设计消除危害或降低风险。

策略：

物理约束
防呆设计（Poka-Yoke）
接口不兼容设计
尺寸/形状差异

示例：

### 案例：氧气和压缩空气接口

**危害**: 将氧气管路连接到压缩空气接口
**本质安全设计**:
- 使用不同的接口标准（DISS vs NIST）
- 接口尺寸和螺纹不同
- 物理上无法错误连接

**效果**: 完全消除错误连接的可能性

软件约束
输入范围限制
逻辑检查
自动纠错

示例：

### 案例：体重输入

**危害**: 输入错误体重导致药物剂量计算错误
**本质安全设计**:
- 限制输入范围：0.5-300 kg
- 异常值警告：<3 kg或>200 kg时提示"请确认"
- 单位自动识别：输入"70"自动识别为kg，"154"识别为lb

**效果**: 大幅降低输入错误风险

2. 保护措施（Protective Measures）¶

降低危害发生的概率或严重性。

策略：

确认对话框
关键操作需要二次确认
显示操作后果
提供取消选项

示例：

### 案例：删除患者数据

**保护措施**:
弹出对话框：
"您即将删除患者 [姓名] 的所有数据。
此操作无法撤销。
是否继续？"
[取消] [确认删除]

**增强版**:
- 要求输入患者ID确认
- 提供"归档"替代"删除"
- 记录操作日志

报警和警告
异常状态报警
操作前警告
分级报警系统
自动检测和纠正
传感器监测
自动关机
故障安全模式

3. 使用说明（Information for Safety）¶

通过信息告知用户风险和正确使用方法。

策略：

用户手册
详细操作说明
警告和注意事项
故障排除指南
设备标签
警告标签
操作提示
快速参考
培训
用户培训课程
操作视频
在线帮助

局限性：

用户可能不阅读说明书
信息可能被忽视或遗忘
紧急情况下无时间查阅

仅依靠使用说明是不够的

使用说明是最弱的风险控制措施，应优先采用本质安全设计和保护措施。

多层防护（Defense in Depth）¶

对关键风险实施多层控制措施。

示例：胰岛素泵剂量安全

### 第1层：本质安全
- 最大剂量硬件限制（25单位/小时）
- 单次推注限制（10单位）

### 第2层：软件保护
- 剂量计算算法验证
- 异常剂量警告（超过日常剂量150%）
- 剂量确认对话框

### 第3层：用户确认
- 显示计算的剂量和依据
- 要求用户确认
- 提供取消选项

### 第4层：监测和报警
- 持续监测血糖水平
- 低血糖报警
- 自动暂停输注

### 第5层：使用说明
- 用户手册详细说明剂量设置
- 警告过量风险
- 培训课程

使用错误文档化¶

使用错误日志¶

记录所有识别的使用错误。

日志模板：

## 使用错误 #UE-001

**描述**: 用户将输液速率"2.5 mL/h"输入为"25 mL/h"

**发现来源**: 形成性评估，参与者#3

**任务**: T-003 设置输液速率

**错误类型**: 操作错误 - 遗漏小数点

**根本原因**: 
- 小数点输入需要额外按键，不直观
- 无输入格式提示或示例
- 数字键盘布局与计算器不同

**后果**: 药物过量10倍

**严重性**: 灾难性（可能致命）

**发生概率**: 可能（3/15参与者犯此错误）

**风险等级**: 极高

**控制措施**:
1. [本质安全] 限制最大输入值为10 mL/h
2. [保护] 显示输入格式示例"示例：2.5"
3. [保护] 自动添加小数点（输入"25"显示为"2.5"）
4. [保护] 确认对话框显示"速率：2.5 mL/h，确认？"
5. [信息] 用户手册强调小数点输入

**验证**: 总结性评估中验证

**状态**: 已实施，待验证

**负责人**: 张工

**日期**: 2024-03-15

可追溯性矩阵¶

建立使用错误、风险、控制措施和验证之间的可追溯性。

使用错误ID	危害	风险等级	控制措施	验证方法	验证状态
UE-001	药物过量	极高	CM-001, CM-002	总结性评估	通过
UE-002	治疗延误	高	CM-003	形成性评估	通过

实际案例分析¶

案例1：Therac-25放射治疗机事故¶

背景: 1985-1987年，Therac-25放射治疗机导致6名患者过量辐射，3人死亡。

使用错误:

操作员在设置界面快速输入参数
软件存在竞态条件（race condition）
操作员习惯性忽略错误信息（"Malfunction 54"）

根本原因:

设计缺陷:
过度依赖软件安全，缺少硬件互锁
错误信息不清晰，无法指导操作员
允许快速重复操作，触发软件缺陷
可用性问题:
错误信息频繁出现，导致报警疲劳
操作员培训不足，不理解错误含义
缺少明确的安全确认步骤

教训:

不能过度依赖软件安全，需要硬件互锁
错误信息必须清晰、可操作
防止报警疲劳
充分的用户培训和测试

案例2：输液泵小数点错误¶

背景: 多起输液泵剂量输入错误导致患者伤害。

使用错误:

护士将"0.5 mg"输入为"5 mg"（遗漏小数点）
护士将"1.5 mL/h"输入为"15 mL/h"（小数点位置错误）

根本原因:

小数点显示不清晰（小字体、低对比度）
输入界面无格式提示
缺少异常值检测
确认界面不够醒目

改进措施:

### 改进前
输入界面：[____] mg
确认界面：剂量：5 mg [确认]

### 改进后
输入界面：
- 显示格式示例："示例：0.5"
- 大字体显示小数点
- 输入时实时显示："您输入的是：5.0 mg"

确认界面：
- 大字体、高对比度显示剂量
- 颜色编码：异常高剂量显示为红色
- 明确的警告："此剂量高于常规剂量，请仔细确认"
- 要求输入患者体重进行合理性检查

案例3：除颤器电极片放置错误¶

背景: 急救人员在紧急情况下错误放置除颤器电极片。

使用错误:

电极片位置错误（前后位置颠倒）
电极片未完全贴合皮肤
在患者身体潮湿时使用

根本原因:

压力和时间限制: 心脏骤停急救，极度紧张
培训不足: 非专业人员使用AED
指示不清: 电极片上的图示不够清晰
环境因素: 现场混乱，光线不足

改进措施:

### 设计改进

1. **电极片设计**:
   - 大幅清晰的放置图示
   - 颜色编码（红色=前胸，蓝色=侧胸）
   - 文字说明："放置在右上胸"

2. **设备引导**:
   - 语音指导："将红色电极片放置在右上胸"
   - 图示动画显示正确位置
   - 电极片连接后自动检测位置（通过阻抗）

3. **质量检查**:
   - 检测电极片接触质量
   - 提示："电极片未完全贴合，请按压"
   - 检测皮肤潮湿，提示擦干

4. **培训**:
   - 简化操作流程
   - 提供练习模式
   - 定期复训提醒

总结¶

使用错误分析是可用性工程的核心，关键要点：

使用错误是设计问题，不是用户问题
系统化识别使用错误，使用多种方法
风险评估确定优先级
多层控制措施，优先本质安全设计
文档化所有使用错误和控制措施
持续改进，从测试和上市后数据中学习

下一步: 学习用户界面设计原则，了解如何通过良好的设计预防使用错误。

报告问题链接失效建议改进

💬 讨论区

欢迎在这里分享您的想法、提出问题或参与讨论。需要 GitHub 账号登录。