UNIVERSIDADE FEDERAL DE SÃO PAULO

INSTITUTO DE CIÊNCIA E TECNOLOGIA

PÓS-GRADUAÇÃO EM ENGENHARIA BIOMÉDICA

Gerenciamento de risco de uma bomba de infusão de

insulina de baixo custo

Autor: Aldo Martinazzo

Orientadora: Profa. Dra. Tatiana de Sousa da Cunha Uchiyama

Coorientador: Prof. Dr. Luiz Eduardo Galvão Martins

São José dos Campos

2022

UNIVERSIDADE FEDERAL DE SÃO PAULO

INSTITUTO DE CIÊNCIA E TECNOLOGIA

 PÓS-GRADUAÇÃO EM ENGENHARIA BIOMÉDICA

Gerenciamento de risco de uma bomba de infusão de

insulina de baixo custo

Autor: Aldo Martinazzo

Orientadora: Profa. Dra. Tatiana de Sousa da Cunha Uchiyama

Coorientador: Prof. Dr. Luiz Eduardo Galvão Martins

Dissertação de Mestrado apresentada ao

Instituto de Ciência e Tecnologia da
Universidade Federal de São Paulo como
requisito parcial para obtenção do título de
Mestre em Engenharia Biomédica.

São José dos Campos

2022
iii
 AGRADECIMENTOS

Agradeço a minha esposa Noemi, e minhas filhas Ana Carolina e Gabriela pelo
incentivo, suporte, e paciência para ouvir os assuntos relacionados ao mestrado, desde a
primeira disciplina como aluno especial até hoje.

Agradeço a minha orientadora Profa. Dra. Tatiana de Sousa da Cunha Uchiyama

por me ajudar alcançar os resultados, com motivação para continuar aprendendo. Muito
obrigado por transmitir tranquilidade nos momentos de maior preocupação.

Agradeço o meu coorientador Prof. Dr. Luiz Eduardo Galvão Martins pela
oportunidade de participar deste projeto, pela orientação recebida, e por me incentivar a
ampliar os conhecimentos de análise de segurança.

As doutorandas Ana Lúcia Neves, Fernanda Tenório e Marcia Reberte pelas

contribuições nas discussões que tivemos sobre análise de segurança no tratamento com
bomba de insulina. Muito obrigado por todo apoio e ajuda que recebi durante o mestrado.

Aos membros da banca examinadora, muito obrigado por aceitar o convite e

dedicar seu tempo para contribuir com esse trabalho.

Aos colegas com quem tive a satisfação de conviver, como aluno especial e como
aluno regular, muito obrigado pelo acolhimento e companheirismo.

Agradeço os funcionários da secretaria da pós-graduação, que sempre me

atenderam de maneira muito cordial e prestativa, ajudando a resolver as questões
administrativas do mestrado.

iv
 SUMÁRIO
AGRADECIMENTOS .................................................................................................... iii
LISTA DE FIGURAS ................................................................................................... viii
LISTA DE TABELAS ..................................................................................................... x
LISTA DE ABREVIATURAS........................................................................................ xi
RESUMO ....................................................................................................................... 12
ABSTRACT ................................................................................................................... 14
1 INTRODUÇÃO ...................................................................................................... 16
1.1 Diabetes mellitus.............................................................................................. 16
1.2 Tratamento para DM1 ...................................................................................... 17
1.2.1 Terapia intensiva com MDI ...................................................................... 18
1.2.2 Terapia intensiva com SICI ...................................................................... 18
1.3 Evolução da segurança das bombas de insulina .............................................. 19
1.3.1 Breve descrição da bomba de infusão contínua de insulina ..................... 19
1.3.2 Histórico da bomba de infusão contínua de insulina com foco em
segurança ................................................................................................................. 20
1.4 Gerenciamento de risco ................................................................................... 22
1.5 Desenvolvimento de uma bomba de infusão contínua de insulina de baixo
custo na UNIFESP ...................................................................................................... 22
1.6 Trabalhos correlatos ......................................................................................... 25
2 OBJETIVOS............................................................................................................ 26
2.1 Objetivo geral .................................................................................................. 26
2.2 Objetivos específicos ....................................................................................... 26
3 MATERIAL E MÉTODOS .................................................................................... 27
3.1 Funções do equipamento e ambiente operacional ........................................... 28
3.2 Requisitos de segurança para a arquitetura ...................................................... 31
3.2.1 Identificação de situações perigosas e causas – Análise Preliminar de
Perigos 32
3.2.2 Identificação de situações perigosas e causas- metodologia STPA ......... 37
3.2.3 Comparação das metodologias para identificação de situações perigosas e
suas causas............................................................................................................... 43
3.2.4 Especificação de requisitos de segurança para a arquitetura .................... 44
3.3 Adequação da arquitetura ................................................................................ 45
3.4 Avaliação da arquitetura e especificação de requisitos de segurança para
componentes ............................................................................................................... 45

v
 3.4.1 Análise de falhas de componentes físicos ................................................ 45
3.4.2 Análise de erros do usuário ...................................................................... 50
3.4.3 Análise de alarmes .................................................................................... 51
4 RESULTADOS ....................................................................................................... 53
4.1 Requisitos de segurança para a arquitetura ...................................................... 53
4.1.1 Situações perigosas e suas causas – Análise Preliminar de Perigos ......... 53
4.1.2 Situações perigosas e suas causas - metodologia STPA .......................... 61
4.1.3 Requisitos oriundos das situações perigosas e suas causas ...................... 64
4.2 Adequação da arquitetura ................................................................................ 70
4.3 Requisitos de segurança para componentes ..................................................... 73
4.3.1 Análise de falhas de componentes físicos ................................................ 73
4.3.2 Análise de erros do usuário ...................................................................... 77
4.3.3 Análise de falhas de monitores e alarmes ................................................. 80
5 DISCUSSÃO........................................................................................................... 82
5.1 Falhas randômicas de componentes físicos ..................................................... 82
5.1.1 Controlador de segurança ......................................................................... 83
5.1.2 Proteção contra tensão excessiva e perda de energia elétrica ................... 83
5.1.3 Autotestes da CPU, memória e tela de cristal líquido .............................. 83
5.1.4 Detecção de falha dos botões de controle ................................................. 84
5.1.5 Detecção de falha do motor de passo / driver associado .......................... 84
5.1.6 Teste de alarmes relevantes para segurança ............................................. 84
5.2 Falhas sistêmicas relacionadas às condições operacionais e ambientais ......... 84
5.2.1 Indicações / alarmes de carga da bateria e volume da seringa ................. 85
5.2.2 Dispositivo para equalização de pressão .................................................. 85
5.2.3 Imunidade eletromagnética....................................................................... 85
5.2.4 Proteção contra superaquecimento ........................................................... 86
5.3 Erros do usuário ............................................................................................... 86
5.3.1 Proteções contra oclusão do conjunto de infusão ..................................... 86
5.3.2 Limite máximo para programação de infusão basal e bolus .................... 87
5.3.3 Alarme de tampa do compartimento da seringa aberto ............................ 87
5.3.4 Confirmação de tarefas que afetam segurança ......................................... 87
6 CONCLUSÕES....................................................................................................... 88
7 REFERÊNCIAS BIBLIOGRÁFICAS .................................................................... 90
APÊNDICES .................................................................................................................. 95
Apêndice 1: Causas de situações perigosas – Análise Preliminar de Perigos. ........... 95

vi
Apêndice 2: Causas de situações perigosas – metodologia STPA ............................. 97
Apêndice 3: Análise de falhas de componentes físicos ............................................ 102
Apêndice 4: Análise de erros do usuário .................................................................. 109
Apêndice 5: Análise de falhas de monitores / alarmes ............................................. 117

vii
 LISTA DE FIGURAS
Figura 1: Ilustração do tratamento com bomba de insulina .......................................... 18
Figura 2: Diagrama de blocos simplificado da bomba de infusão contínua de insulina.
........................................................................................................................................ 20
Figura 3: Relação entre o nível de segurança e o uso da bomba de infusão contínua de
insulina nos anos 80 e 90. ............................................................................................... 21
Figura 4: Protótipo versão 1 da bomba de infusão de insulina em desenvolvimento ... 23
Figura 5: Protótipo versão 2 da bomba de infusão de insulina em desenvolvimento ... 23
Figura 6: Protótipos miniaturizados da bomba de infusão de insulina em
desenvolvimento. ............................................................................................................ 24
Figura 7: Visão geral do processo de gerenciamento de risco, conforme a norma ABNT
ISO 14971. ...................................................................................................................... 27
Figura 8: Gerenciamento de risco integrado ao desenvolvimento do equipamento. .... 28
Figura 9: Ilustração das funções básicas e ambiente operacional da bomba de infusão
de insulina de baixo custo............................................................................................... 29
Figura 10: Ilustração de dosagem basal e bolus ............................................................ 30
Figura 11: Ilustração da especificação de requisitos de segurança para a arquitetura de
uma bomba de infusão de insulina de baixo custo, em desenvolvimento. ..................... 31
Figura 12: Arquitetura da bomba de infusão contínua de insulina sem medidas de
controle de risco.............................................................................................................. 35
Figura 13: Visão geral da metodologia STPA .............................................................. 37
Figura 14: Estrutura de Controle usada para análise STPA .......................................... 38
Figura 15: Estrutura de Controle ilustrando os Controladores e Ações de Controle
associadas ....................................................................................................................... 39
Figura 16: Estrutura de Controle ilustrando causas de ações de controle inseguras
associadas ao Controlador Humano ............................................................................... 41
Figura 17: Estrutura de Controle ilustrando causas de ações de controle inseguras
associadas ao Microcontrolador ..................................................................................... 42
Figura 18: Comparação do nível de detalhe de situações perigosas e suas causas
oriundos da Análise Preliminar de Perigos e da Metodologia STPA ............................. 43
Figura 19: Arquitetura da bomba de insulina com medidas de controle de risco ......... 45
Figura 20: Fonte de energia elétrica .............................................................................. 46
Figura 21: Tela de cristal líquido .................................................................................. 47
Figura 22: Interfaces do microcontrolador .................................................................... 47
Figura 23: Interfaces do controlador de segurança ....................................................... 48
Figura 24: Motor de passo e driver associado ............................................................... 48
Figura 25: Transmissão mecânica ................................................................................. 48
Figura 26: Seringa e conjunto de infusão ...................................................................... 49
Figura 27: Rastreabilidade dos requisitos de segurança para a arquitetura................... 53
Figura 28: Mecanismo de acionamento indevido do êmbolo da seringa devido a
variações de pressão ambiente........................................................................................ 72

viii
Figura 29: Rastreabilidade dos requisitos oriundos da análise de falhas de componentes
físicos .............................................................................................................................. 73
Figura 30: Rastreabilidade dos requisitos oriundos da análise de erros do usuário ...... 77
Figura 31: Rastreabilidade dos requisitos oriundos da análise de falhas de monitores 80

ix
 LISTA DE TABELAS
Tabela 1: Condições ambientais para uso da bomba de insulina................................... 31
Tabela 2: Classificação de severidade de situações perigosas associadas ao uso da
bomba de infusão contínua de insulina, de acordo com os efeitos no paciente. ............ 33
Tabela 3: Classificação de severidade para situações perigosas que causam
hipoglicemia ................................................................................................................... 34
Tabela 4: Classificação de severidade para situações perigosas que causam
hiperglicemia .................................................................................................................. 34
Tabela 5: Situações perigosas de alto nível no uso da bomba de infusão de insulina... 54
Tabela 6: Visão geral das funções da terapia com bomba de infusão de insulina......... 55
Tabela 7: Funções alocadas ao paciente no uso da bomba de infusão de insulina........ 57
Tabela 8: Funções alocadas à bomba de infusão de insulina ........................................ 59
Tabela 9: Ações de Controle Inseguras do Controlador Humano ................................. 62
Tabela 10: Ações de Controle Inseguras do Microcontrolador ..................................... 63
Tabela 11: Requisitos de segurança para adequação da arquitetura ............................. 65
Tabela 12: Requisitos de segurança para o manual do usuário da bomba de infusão de
insulina ........................................................................................................................... 68
Tabela 13: Propostas de medidas de segurança para a arquitetura da bomba de infusão
de insulina ....................................................................................................................... 70
Tabela 14: Requisitos oriundos da análise de falhas de componentes físicos da bomba
de infusão de insulina ..................................................................................................... 75
Tabela 15: Requisitos oriundos da análise de erros do usuário da bomba de infusão de
insulina ........................................................................................................................... 78
Tabela 16: Causas de situações perigosas de alto nível ................................................ 95
Tabela 17: Causas de Ações de Controle Inseguras do Controlador Humano .............. 97
Tabela 18: Causas de Ações de Controle Inseguras do Microcontrolador .................... 99
Tabela 19: Análise de falhas de componentes físicos ................................................. 102
Tabela 20: Análise de erros do usuário ....................................................................... 109
Tabela 21: Análise de falhas de monitores / alarmes .................................................. 117

x
 LISTA DE ABREVIATURAS
ABNT Associação Brasileira de Normas Técnicas

ANVISA Agência Nacional de Vigilância Sanitária

CAD Cetoacidose Diabética

COVID-19 Corona Virus Disease 2019

CPU Central Processing Unit

DCCT Diabetes Control and Complications Trial

DM Diabetes Mellitus

DM1 Diabetes Mellitus tipo 1

DM2 Diabetes Mellitus tipo 2

FDA Food and Drug Administration

FMECA Failure Modes, Effects and Criticality Analysis

ICT Instituto de Ciência e Tecnologia

IDF International Diabetes Federation

IEC International Electrotechnical Commission

ISO International Organization for Standardization

MDI Múltiplas Doses de Insulina

MHRA Medicines & Healthcare products Regulatory Agency

PMV Produto Minimamente Viável

RA Requisito para a Arquitetura

SBD Sociedade Brasileira de Diabetes

SAE Society of Automotive Engineers

SHH Síndrome Hiperglicêmica Hiperosmolar não cetótica

SICI Sistema de Infusão Contínua de Insulina

STPA System Theoretic Process Analysis

UNIFESP Universidade Federal de São Paulo

WIFI Wireless Fidelity

xi
 RESUMO
Introdução: Diabetes mellitus (DM) é uma doença metabólica, caracterizada por excesso
de glicose no sangue, que se não for tratada adequadamente causa complicações agudas
e crônicas com consequências graves. Os principais tipos de diabetes são o Diabetes
Mellitus tipo 1 (DM1), causado pela falta de secreção de insulina pelo pâncreas, e o
Diabetes Mellitus tipo 2 (DM2), originado pela resistência dos tecidos-alvo à ação do
hormônio. Os tratamentos para o DM visam controlar a glicemia de modo a prevenir as
complicações, sendo que a terapia com bomba de infusão contínua de insulina é a que
proporciona mais recursos para controle glicêmico de pacientes com DM1, aproximando-
se do padrão de secreção pancreático do hormônio. Porém o alto custo limita o acesso a
essa terapia, razão pela qual um grupo de pesquisa da Universidade Federal de São Paulo
(UNIFESP) está desenvolvendo uma bomba de infusão de insulina de baixo custo, em
parceria com uma empresa da área de equipamentos médicos. Visando uso seguro do
equipamento, a certificação da bomba de insulina em desenvolvimento requer a aplicação
de um protocolo de gerenciamento de risco conforme a norma da Associação Brasileira
de Normas Técnicas - International Organization for Standardization ABNT ISO 14971.
Objetivo: O objetivo desse trabalho foi conduzir um protocolo de gerenciamento de
risco, definindo propostas de medidas de segurança a serem incorporadas na bomba de
infusão de insulina em desenvolvimento. Metodologia: O gerenciamento de risco foi
baseado na norma ABNT ISO 14971, e conduzido de maneira integrada às atividades do
processo de desenvolvimento do produto. O trabalho foi dividido em quatro passos:
identificação das funções e ambiente operacional do equipamento; especificação de
requisitos de segurança para o projeto arquitetural; adequação da arquitetura do ponto de
vista de segurança; e especificação de requisitos de segurança para o projeto detalhado.
A especificação de requisitos de segurança foi realizada a partir da identificação de
situações perigosas para o paciente no uso da bomba de insulina. Resultados e
Conclusão: Foram especificados requisitos de segurança para proteger o paciente contra
hiperglicemia, hipoglicemia, variações glicêmicas e problemas dermatológicos,
endereçando as causas de situações perigosas: falhas de componentes físicos, erros de
desenvolvimento e erros do usuário. Ademais, foram propostas medidas de controle de
risco para adequar o projeto arquitetural do ponto de vista de segurança. A comparação
dos resultados com a norma sobre bombas de infusão, recomendações da Food and Drug
Administration (FDA) e bombas de insulina certificadas, mostrou que os requisitos e as

12
medidas de segurança oriundos do gerenciamento de risco desenvolvido no presente
estudo são equivalentes às melhores práticas adotadas. Sendo assim, esses resultados
contribuirão para a certificação da Agência Nacional de Vigilância Sanitária (ANVISA)
e uso seguro do equipamento em desenvolvimento.

Palavras-chave: Bomba de infusão de insulina, diabetes, gerenciamento de risco,

segurança, ABNT ISO 14971.

13
 ABSTRACT

Introduction: Diabetes mellitus (DM) is a metabolic disease, characterized by excessive

blood glucose, that if not adequately treated may lead to acute and chronic complications
with serious consequences. The main types of diabetes are type 1 diabetes mellitus
(T1DM), caused by lack of insulin secretion by the pancreas, and type 2 diabetes mellitus,
initiated by the resistance of the target tissues to the hormone action. The treatments for
DM are intended to control blood glucose to prevent complications. The insulin pump
therapy provides glycemic control which mimics with more fidelity the pancreatic
secretion of the hormone. However, the high-cost limits patient access to this treatment,
which is why a research group from the Federal University of São Paulo (UNIFESP),
together with a medical device company, is developing a low-cost insulin infusion pump.
Risk management according to the standard International Organization for
Standardization ISO 14971 is required for certification and safe use of the insulin pump
being developed. Objective: The objective of this work was to conduct a risk
management protocol, to define proposals of safety measures for the insulin pump under
development. Methodology: The risk management was based on the standard ISO 14971
and conducted integrated with the product development process. The work was performed
in four steps: identification of equipment functions and operational scenario; specification
of safety requirements for the architectural design; adequacy of the architecture from a
safety perspective; and specification of safety requirements for the detailed design. The
specification of safety requirements was performed from the identification of hazardous
situations for the patient during the use of the insulin infusion pump. Results and
Conclusion: Safety requirements were specified to protect the patient against
hypoglycemia, hyperglycemia, glycemic oscillations, and dermatologic issues,
addressing the causes of hazardous situations: physical components failures, development
errors, and user errors. Besides, safety measures were proposed for the architectural
design. Comparison with a standard for infusion pumps, recommendations from the Food
and Drug Administration (FDA), and certified insulin pumps showed that the specified
safety requirements and proposed safeguards arising from the present study are equivalent
to existing best practices. Therefore, the results of this study will contribute to National
Health Surveillance Agency (ANVISA) certification and safe use of the equipment under
development.

14
Keywords: Insulin infusion pump, diabetes mellitus, risk management, safety, ISO
14971.

15
1 INTRODUÇÃO
A introdução está dividida em 5 subseções, conforme descrito a seguir: a primeira
subseção aborda o diabetes mellitus (DM) e os principais tipos de DM, o diabetes mellitus
tipo 1 (DM1) e o diabetes mellitus tipo 2 (DM2); a segunda subseção foca no tratamento
intensivo para o DM1, que inclui a terapia com bomba de infusão de insulina; a terceira
subseção apresenta uma evolução histórica da segurança de bombas de insulina; a quarta
subseção descreve brevemente o processo de gerenciamento de risco de equipamento
médico; e a quinta subseção mostra a evolução do desenvolvimento de uma bomba de
infusão de insulina de baixo custo na UNIFESP, culminando com o objetivo geral do
presente trabalho.

1.1 Diabetes mellitus

De acordo com a Federação Internacional de Diabetes (IDF, do inglês
International Diabetes Federation) o número de adultos, entre 20 e 79 anos, com Diabetes
Mellitus (DM) no mundo era 537 milhões em 2021, totalizando 6,7 milhões de mortes
(20 a 79 anos) causadas pela doença no mesmo ano, sem considerar o risco de mortalidade
relacionado à COVID-19. A incidência do DM está em crescimento no mundo, com
previsão de 643 milhões de pessoas acometidas em 2030, e 783 milhões em 2045. Em
2021, o Brasil ocupou o sexto lugar no ranking de número de diabéticos, com 15,7
milhões de adultos e estimativa de crescimento para 23,2 milhões em 2045 (IDF, 2021).

O DM é uma doença metabólica causada pela insuficiência da secreção

pancreática de insulina ou falta de resposta das células alvo à ação do hormônio. A
insulina estimula a captação e utilização da glicose pelas células em diversos órgãos,
mantendo a homeostase glicêmica, e desempenha papel importante também no
metabolismo de proteínas e gorduras. Os picos de secreção do hormônio ocorrem após
cada refeição, estimulando a metabolização dos nutrientes ingeridos. A glicose que
excede as necessidades imediatas de utilização é convertida em glicogênio e gordura que
são armazenados como reserva de energia para os períodos de jejum. Por outro lado, no
diabetes a glicose não é adequadamente captada pelos tecidos-alvo resultando em
hiperglicemia e alteração no metabolismo dos nutrientes para produção de energia (IDF,
2017; Newsholme et al., 2014)

O DM não adequadamente tratado está associado a complicações agudas e

crônicas. As complicações crônicas são causadas por danos micro e macro vasculares

16
devido à hiperglicemia. As complicações microvasculares causam insuficiência renal,
neuropatia e retinopatia. Por outro lado, as anormalidades macro vasculares podem levar
a infarto do miocárdio, acidente vascular cerebral e amputação de membros inferiores
(IDF, 2017).

Os principais tipos de DM são o Diabetes Mellitus tipo 1 (DM1) e o Diabetes

Mellitus tipo 2 (DM2). O DM1 está associado à deficiência grave na secreção de insulina
decorrente da destruição autoimune das células β-pancreáticas. O início do DM1 ocorre
com mais frequência em crianças e adolescentes, de tal forma que essas pessoas ficam
expostas às complicações da doença durante a maior parte da vida (IDF, 2017; IDF,
2021). O tratamento do DM1 requer administração de insulina diariamente, em equilíbrio
com alimentação e atividades físicas. Além das complicações a longo prazo da DM, os
portadores de DM1 são susceptíveis a cetoacidose diabética (CAD), uma crise aguda
potencialmente fatal caracterizada por hiperglicemia descontrolada, alta concentração de
corpos cetônicos e acidose metabólica. A CAD tem incidência maior em portadores de
DM1, mas pode ocorrer também em pessoas com DM2 (IDF, 2021; SBD, 2019; Kitabchi
et al., 2009; Laffel, 1999; Nyenwe e Kitabchi, 2016).

O DM2 é causado inicialmente pela diminuição da sensibilidade dos tecidos-alvo

à insulina e deficiência da secreção do hormônio em fases avançadas da doença, e
geralmente está relacionado ao excesso de peso e obesidade (IDF, 2021). Os indivíduos
com DM2 representam mais de 90% dos diabéticos e, em adição às complicações de
longo prazo, estão sujeitos à síndrome hiperglicêmica hiperosmolar não cetótica (SHH),
uma crise aguda grave caracterizada por hiperglicemia severa, hiperosmolaridade e
desidratação, sem cetoacidose (IDF, 2021; SBD, 2019; Kitabchi et al., 2009; Pasquel e
Umpierrez, 2014).

1.2 Tratamento para DM1

O controle glicêmico é fator essencial para a prevenção das complicações micro e
macro vasculares associadas ao DM. Um dos grandes ensaios clínicos randomizados, o
Diabetes Control and Complications Trial (DCCT), concluído em 1993, demonstrou que
o tratamento intensivo com insulina retardou o início e reduziu a progressão das
complicações do DM1 quando comparado com a terapia convencional. Também foi
demonstrado neste estudo que o tratamento intensivo é mais efetivo quando aplicado no
início do DM1. Essa terapia busca mimetizar o perfil de liberação de insulina pelo

17
pâncreas por meio de uma dosagem basal cobrindo 24 horas por dia, além de possibilitar
a administração de doses em pulso (bolus) pós-prandial e de correção. O objetivo do
tratamento intensivo analisado no ensaio DCCT foi manter a glicemia próxima do valor
fisiológico, por meio de duas formas de administração de insulina: múltiplas doses de
insulina (MDI) e sistema de infusão contínua de insulina (SICI), ambas associadas ao
monitoramento frequente (3 a 4 vezes ao dia) da glicemia. No tratamento intensivo com
insulina, o valor médio de hemoglobina glicada obtido foi de 7%, ao passo que no
tratamento convencional foi de 9% (Nathan, 2014; SBD, 2019; Gabbay, 2019). Uma
breve descrição da terapia intensiva por meio de MDI e SICI é apresentada a seguir.

1.2.1 Terapia intensiva com MDI

A terapia com MDI provê as necessidades de insulina basal e bolus da seguinte
forma: a dosagem basal é administrada por meio de uma injeção diária de insulina de
longa duração, e a demanda de bolus é suprida com injeção de insulina de ação rápida, a
cada refeição (Bolli et al., 2009).

1.2.2 Terapia intensiva com SICI

A terapia intensiva por meio de SICI contempla uma bomba de insulina integrada
ao conjunto de infusão, conforme ilustrado na figura 1. O paciente programa a dosagem
de insulina necessária para controlar a glicemia ao longo do tempo. A bomba libera a
insulina conforme programado e o conjunto de infusão faz a interface com o local de
aplicação no paciente (Lenhard e Reeves, 2001; Garvey e Wolfsdorf, 2015).

Autoria própria

Figura 1: Ilustração do tratamento com bomba de insulina

O tratamento intensivo com SICI utiliza insulina de ação rápida para as demandas
basal e bolus, o que possibilita mimetizar com maior fidelidade a secreção pancreática do
hormônio, em comparação à terapia MDI. A terapia com SICI apresenta mais recursos
para controle glicêmico que o tratamento com MDI, propiciando maior flexibilidade de
estilo de vida ao paciente (Lenhard e Reeves, 2001). Por exemplo, a taxa de infusão basal

18
pode ser ajustada para melhor atender as situações a seguir (Lenhard e Reeves, 2001;
Garvey e Wolfsdorf, 2015):

• Aumento da demanda de insulina das 4:00 às 8:00 da manhã devido ao fenômeno do

amanhecer;
• Redução da taxa de infusão de insulina para compatibilizar com atividades físicas.

Os eventos adversos inerentes à terapia com SICI incluem complicações

metabólicas (hiperglicemia e hipoglicemia) e anormalidades cutâneas locais. A
hipoglicemia e hiperglicemia são causadas respectivamente por excesso ou falta de
infusão de insulina, e apresentam efeitos com graves consequências para o paciente.
Como o tratamento com SICI usa insulina de ação rápida, os efeitos de infusão
insuficiente ou excessiva do hormônio se manifestam em curto espaço de tempo. As
anormalidades cutâneas no local de infusão são comuns, e incluem infecção,
lipohipertrofia e reação alérgica, com consequências raramente graves (Unger e
Fredrickson, 1997; Lenhard e Reeves, 2001; Ross et al., 2015).

1.3 Evolução da segurança das bombas de insulina

No presente trabalho foi conduzido o gerenciamento de risco de uma bomba de
infusão de insulina, e por este motivo apresentamos uma descrição sucinta do
equipamento e sua evolução histórica, com foco em segurança.

1.3.1 Breve descrição da bomba de infusão contínua de insulina

O dispositivo utilizado como objeto deste estudo contém uma seringa preenchida
com insulina, cujo êmbolo é acionado para infundir o hormônio no tecido subcutâneo do
paciente, por meio de um conjunto de infusão (Figura 2). O acionamento do êmbolo é
realizado por um motor de passos, comandado pelo controlador microprocessado,
liberando a insulina conforme programado na interface com o usuário. A transmissão
mecânica converte o movimento de rotação do motor em deslocamento do êmbolo da
seringa. O motor de passo, controlador e interface com o usuário dependem de energia
elétrica que é fornecida por uma pequena pilha comercial (Vecchete, 2018).

19
 Autoria própria

Figura 2: Diagrama de blocos simplificado da bomba de infusão contínua de insulina.

1.3.2 Histórico da bomba de infusão contínua de insulina com foco em segurança

O nível de segurança da bomba de infusão contínua de insulina evoluiu ao longo
do tempo, com a incorporação das melhores práticas para solução de problemas
encontrados. A figura 3 ilustra a relação entre o nível de segurança e a aceitação da bomba
de insulina até o final da década de 90. A primeira bomba para infusão contínua de
insulina em malha aberta foi lançada na Inglaterra em 1978, teve grande aceitação na área
médica e foi um sucesso inicial de vendas. Em 1979 iniciaram os trabalhos com bomba
similar na Universidade de Yale, nos Estado Unidos e o número de empresas
desenvolvendo bombas de insulina cresceu.

As bombas de insulina dessa primeira geração eram grandes, pesadas e não tinham
dispositivos de segurança, alarmes e imunidade eletromagnética para proteção contra
infusão excessiva ou insuficiente de insulina. Existia o risco de hipoglicemia causada por
disparo da bomba, bem como de hiperglicemia devido a perda de infusão sem alarme para
o paciente, e a obstrução ou desprendimento do conjunto de infusão eram causas
frequentes de perda da infusão do hormônio (Alsaleh et al, 2010; Bell, 1994; Trence e
Hirsch, 2015). Em 1982 foram reportadas 35 mortes de usuários de bombas de insulina
nos Estados Unidos, causando redução drástica do número de usuários e de fabricantes
no mercado (Bell, 1994).

20
 Fontes: Alsaleh et al, 2010; Bell, 1994; Trence e Hirsch, 2015

Figura 3: Relação entre o nível de segurança e o uso da bomba de infusão contínua de insulina nos
anos 80 e 90.

Em 1983 foi lançada a primeira bomba de insulina microprocessada, endereçando

questões que limitavam a aceitação da primeira geração de bombas: peso, tamanho,
funcionalidades oferecidas e problemas de segurança. Essa bomba incorporava circuitos
eletrônicos para detectar excesso e falta de infusão de insulina, bem como alarmes para
falhas e condições operacionais (Rothwell et al., 1983). Porém, o interesse pela terapia
com SICI foi retomado apenas na década de 90, impulsionado pela publicação de um
grande ensaio clínico randomizado, o DCCT, pela solução de problemas técnicos da
primeira geração de bombas e pelo aumento da funcionalidade e da segurança destes
dispositivos (Natham, 2014; Alsaleh et al., 2010; Trence e Hirsch, 2015; Kesavadev et
al., 2020).

Desde então outros avanços aconteceram, e os mais significativos estão

relacionados à integração da bomba de infusão de insulina com a Monitorização Contínua
de Glicose, por meio de conexão WIFI. Inicialmente a informação sobre glicemia em
tempo real foi usada pela bomba de insulina para calcular a dosagem sugerida de bolus.
Numa etapa seguinte esse sinal foi empregado para suspender automaticamente a infusão
de insulina em caso de hipoglicemia e mais recentemente para controlar em malha
fechada a dosagem de insulina basal (Kesavadev et al., 2020).

21
1.4 Gerenciamento de risco
Visando o uso seguro de equipamento médico, a certificação em muitos países
requer que seja aplicado ao produto um gerenciamento de risco conforme estabelecido na
norma ISO 14971 (Dolan, 2004). No Brasil, a certificação da Agência Nacional de
Vigilância Sanitária (ANVISA) requer aplicação do processo de gerenciamento de risco
definido na ABNT NBR ISO 14971. Esse processo identifica, avalia e controla o risco de
situações perigosas (circunstâncias que apresentam efeito adverso para o paciente no uso
do equipamento médico), contemplando todo ciclo de vida do produto (ABNT, 2020).

1.5 Desenvolvimento de uma bomba de infusão contínua de insulina de baixo

custo na UNIFESP
O custo do tratamento intensivo por meio de SICI é maior que o do MDI, o que
limita o número de usuários que podem ser beneficiados pela terapia com uso da bomba.
Visando oferecer uma opção mais acessível, um grupo de pesquisa da Universidade
Federal de São Paulo (UNIFESP) no Instituto de Ciência e Tecnologia (ICT) em São José
dos Campos está desenvolvendo uma bomba de infusão de insulina de baixo custo. A
evolução do projeto até o estágio atual passou pelo desenvolvimento, testes e análises de
4 versões de protótipo.

O protótipo versão 1, mostrado na figura 4, não é representativo do tamanho,

forma e peso das bombas de insulina comercialmente disponíveis, e teve como objetivo
a realização de testes iniciais de precisão de administração do hormônio. Essa versão de
protótipo é composta por um conjunto mecânico que aciona o êmbolo de uma seringa de
insulina, e uma placa eletrônica que comanda a liberação do hormônio conforme
programado. O acionamento do êmbolo da seringa é realizado por um motor de passo
acoplado a uma transmissão mecânica composta de fuso e bloco. O software embarcado
na placa eletrônica suportou a programação de insulina basal, através da interface com o
usuário (interruptores e display). Os resultados dos testes foram usados para implementar
melhorias no protótipo versão 2 (Tenorio, 2019; Vecchete, 2018).

22
 Fontes: Tenório, 2019; Vecchete, 2018

Figura 4: Protótipo versão 1 da bomba de infusão de insulina em desenvolvimento

O protótipo versão 2, ilustrado na figura 5, também não é representativo do

tamanho, forma e peso de uma bomba de insulina disponível no mercado, e teve como
objetivo melhorar a precisão de administração de insulina. Para esse fim, o conjunto
mecânico foi reestruturado, visando reduzir folgas e atrito. Os resultados dos testes
mostraram que foi alcançado o objetivo de melhorar a precisão de administração do
hormônio (Tenorio, 2019; Vecchete, 2018).

Fonte: Tenório, 2019; Vecchete, 2018

Figura 5: Protótipo versão 2 da bomba de infusão de insulina em desenvolvimento

23
 Os protótipos miniaturizados, mostrados na figura 6, representam um produto
minimamente viável (PMV), com dimensões e forma similares às de bombas de infusão
de insulina disponíveis comercialmente. Para tanto, o conjunto mecânico foi
miniaturizado e a placa eletrônica foi modificada, visando atender o envelope
dimensional mais restrito. No primeiro protótipo miniaturizado, o reservatório de insulina
é uma seringa comercialmente disponível. Também foram realizados testes de precisão
de entrega de insulina com esse protótipo (Martins et al., 2015; Tenorio et al., 2021). O
segundo protótipo miniaturizado usa um refil de caneta de insulina como reservatório,
com objetivo de reduzir custo para o usuário.

(A) Primeiro protótipo miniaturizado (B) Segundo protótipo miniaturizado

Fonte: Fernanda Tenório

Figura 6: Protótipos miniaturizados da bomba de infusão de insulina em desenvolvimento.

Entretanto, o protótipo no estágio atual de desenvolvimento não contempla

alarmes e dispositivos de segurança. Para que o equipamento possa ser comercializado e
usado pelo público é necessário conduzir o processo de gerenciamento de risco e
implementar as adequações necessárias para atender os regulamentos de segurança da
ANVISA.

Sendo assim, no presente estudo foi realizado o gerenciamento de risco de uma

bomba de infusão contínua de insulina de baixo custo, visando a segurança do paciente,
certificação ANVISA, prevenção de problemas em operação e preservação da imagem do
produto.

24
1.6 Trabalhos correlatos
Pesquisadores da Food and Drug Administration (FDA) realizaram em uma
Análise Preliminar de Perigos para uma bomba de infusão de insulina genérica, a partir
de um modelo que contempla características usuais nesse tipo de equipamento. A
identificação de situações perigosas para o paciente no uso da bomba de insulina, bem
como as causas correspondentes, foi feita com a participação de fabricantes, usuários, e
especialistas em tratamento de diabetes. Também foram usados relatos de eventos
adversos na elicitação das situações perigosas e suas causas. Essa Análise Preliminar de
Perigos é uma referência útil para conduzir o gerenciamento de risco bombas de infusão
de insulina (Zhang et al., 2010).

A FDA emitiu um documento de orientação direcionado à indústria e às pessoas

da própria FDA, visando reduzir a incidência de problemas relacionados à segurança no
uso de bombas de infusão. Esse documento inclui recomendações para o gerenciamento
de risco requerido para certificação de bombas de infusão, e foi baseado na avaliação de
recalls e relatos de eventos adversos (FDA, 2014b).

25
2 OBJETIVOS

2.1 Objetivo geral

O objetivo geral deste trabalho foi conduzir um gerenciamento de risco da uma
bomba de infusão contínua de insulina de baixo custo, em desenvolvimento.

2.2 Objetivos específicos

Os objetivos específicos deste trabalho estão arrolados a seguir:

• Definir requisitos de segurança para a arquitetura de uma bomba de infusão contínua

de insulina de baixo custo;
• Propor soluções para adequar a arquitetura do dispositivo aos requisitos de segurança;
e
• Definir os requisitos de segurança para o projeto detalhado da bomba de infusão
contínua de insulina de baixo custo.

26
3 MATERIAL E MÉTODOS
O gerenciamento de risco foi conduzido de acordo com as orientações da norma
ABNT ISO 14971, cuja visão geral do processo está ilustrada na figura 7.

Fonte: ABNT, 2020

Figura 7: Visão geral do processo de gerenciamento de risco, conforme a norma ABNT

ISO 14971.

O presente estudo contemplou as atividades referentes ao desenvolvimento do

equipamento, mostradas na figura 7. Para melhorar a confiança quanto à completude da
identificação de situações perigosas associadas ao uso da bomba de insulina, foram
empregadas duas metodologias complementares para conduzir essa atividade.

A classificação da severidade dos efeitos e avaliação de aceitabilidade dos riscos,

para cada situação perigosa, seguiu critérios estabelecidos para o presente trabalho. A
aplicação dos critérios de aceitação de risco levou à incorporação de medidas de controle
de risco, e os riscos adicionais oriundos de tais medidas também foram analisados. A
coleta e análise de informação sobre segurança, nos estágios de produção e utilização do
equipamento, não estão no escopo desse trabalho.

O gerenciamento de risco, segundo a norma ABNT ISO 14971, foi conduzido de

maneira integrada ao desenvolvimento da bomba de insulina, como ilustrado na figura 8.
Essa figura foi baseada num modelo de processo de análise de segurança de sistemas
aeronáuticos, que leva em consideração as interdependências com o processo de

27
desenvolvimento desses sistemas (SAE, 2010). A integração dos processos melhora a
qualidade do produto e reduz a necessidade de modificações de grande impacto, oriundas
do gerenciamento de risco (FDA, 2014b). As atividades da norma ABNT ISO 14971
(figura 7), referentes à fase de desenvolvimento do equipamento, foram incorporadas ao
processo integrado. As atividades em branco na figura 8 estão fora do escopo do presente
trabalho.

Fonte: Baseada em SAE, 2010.

Figura 8: Gerenciamento de risco integrado ao desenvolvimento do equipamento.

O ponto de partida foi a identificação das funções do equipamento e ambiente

operacional. O próximo passo foi gerar requisitos de segurança de alto nível, que foram
utilizados para definir medidas de controle de risco incorporadas ao projeto arquitetural
da bomba de insulina de baixo custo. E finalmente foi realizada a avaliação de segurança
da arquitetura, com as medidas de controle para especificar requisitos para detalhamento
do projeto da bomba de insulina. Uma descrição de cada bloco de atividades ilustrado na
figura 8 está apresentada a seguir.

3.1 Funções do equipamento e ambiente operacional

A função primária da terapia intensiva com SICI é prover infusão de insulina

visando controle da glicemia. Para desempenhar essa função o paciente (controlador
humano) programa a dosagem de insulina e a bomba de insulina entrega o hormônio,
conforme programado (Figura 9). O paciente (controlador humano) recebe treinamento

28
para avaliar a glicemia e operar a bomba, bem como assistência médica de uma equipe
especializada em diabetes.

Autoria própria

Figura 9: Ilustração das funções básicas e ambiente operacional da bomba de infusão de

insulina de baixo custo.

A equipe médica é composta por endocrinologista, enfermeiras e nutricionistas.

As atribuições dessa equipe incluem:

• Acompanhamento do tratamento para o diabetes com uso da bomba de

insulina;
• Orientação ao paciente quanto à programação da bomba de insulina,
alimentação e contagem de carboidratos;
• Exame do pé do paciente para diagnosticar evolução do diabetes;
• Análise subcutânea para identificar lipodistrofia no local de infusão;
• Orientação ao paciente quanto ao rodízio do local de infusão e da ponta de
dedo para medição de glicemia.

O paciente também realiza consultas periódicas com especialistas que

acompanham a evolução das complicações crônicas do diabetes: cardiovascular,
oftalmologista, nefrologista.

A programação de dosagem de insulina é realizada pelo paciente, levando em

consideração alimentação, atividades físicas e glicemia. A dosagem de insulina inclui
dois componentes, basal e bolus, como ilustrado na figura 10:

• A dose basal é aplicada continuamente durante as 24 horas do dia. Pode

ser programado um valor diferente de infusão basal para cada hora do dia,
de modo a atender a demanda de insulina de cada momento. Também é

29
 possível alterar provisoriamente a infusão basal, adequando-a a situações
tais como exercícios físicos.
• Doses em bolus (pulso) pós-prandiais e de correção de glicemia. Pode ser
programado bolus com duração maior (bolus estendido), para situações em
que o paciente ingere alimentos durante um longo tempo, como ocorre em
festas.

Autoria própria

Figura 10: Ilustração de dosagem basal e bolus

A bomba de insulina administra o hormônio no paciente (corpo humano)

conforme programado, e o processo é realimentado por pelo menos 4 medidas de glucose
sanguínea realizadas manualmente pelo paciente com uso de um glicosímetro disponível
comercialmente. O controle glicêmico depende do equilíbrio entre ingestão de alimento,
atividades físicas e administração de insulina.

As condições ambientais de uso da bomba de insulina utilizadas para conduzir o

gerenciamento de risco estão descritas na tabela 1.

30
Tabela 1: Condições ambientais para uso da bomba de insulina

Parâmetro ambiental Condições de operação

Temperatura 5oC a 40oC
Umidade relativa 20% a 90%
Exposição a água Breve exposição a respingos de água. A bomba de insulina
precisa ser removida antes de banho ou imersão em água
Pressão atmosférica 10,2 PSIA (3.000 m altitude) a 15,4 PSIA (-400 m altitude)
Variação de pressão Viagem de carro em regiões montanhosas
atmosférica
Viagem de avião comercial:
• Cabine não pressurizada
• Cabine pressurizada (situação normal e descompressão
de cabine)
Perturbações Ambiente doméstico de cuidado à saúde, conforme
eletromagnéticas definido na norma ABNT IEC 60601-1-2.

Fontes: FDA, 2014a; Medtronic Minimed,2015; Heinemann et al, 2020; King BR et al, 2011; ABNT, 2017.

3.2 Requisitos de segurança para a arquitetura

Requisitos de segurança são os requisitos especificados com o objetivo de

controlar o risco de situações perigosas consideradas inaceitáveis (ABNT, 2020; SAE,
2010). A especificação de requisitos de segurança para a arquitetura foi realizada a partir
da identificação de situações perigosas no uso da bomba de insulina, e causas associadas,
conforme ilustrado na figura 11.

Autoria própria

Figura 11: Ilustração da especificação de requisitos de segurança para a arquitetura

de uma bomba de infusão de insulina de baixo custo, em desenvolvimento.

31
 Foram empregadas duas metodologias para identificação das situações perigosas
e suas causas: a Análise Preliminar de Perigos, e a metodologia STPA (do inglês System
Theoretic Process Analysis), na qual as situações perigosas são denominadas Ações de
Controle Inseguras. Os requisitos de segurança para a arquitetura foram especificados a
partir das situações perigosas e identificação de causas associadas. A identificação das
causas de situações perigosas levou em consideração:

• Falha randômica, que ocorre quando um componente físico (hardware)

que estava em perfeito estado deixa de funcionar conforme planejado;
• Falha sistêmica, oriunda de erro de desenvolvimento que se manifesta em
determinada situação operacional ou condição ambiental;
• Erro de utilização.

A subseção 3.2.1 descreve a identificação de situações perigosas e suas causas,

com base na Análise Preliminar de Perigos. A subseção 3.2.2. relata a identificação de
situações perigosas e causas associadas por meio da metodologia STPA. A subseção 3.2.3
compara as duas metodologias usadas para identificar as situações perigosas e suas
causas. Na subseção 3.2.4 apresentamos a metodologia adotada para especificar os
requisitos de segurança para a arquitetura da bomba de infusão de insulina de baixo custo,
em desenvolvimento.

3.2.1 Identificação de situações perigosas e causas – Análise Preliminar de

Perigos
A Análise Preliminar de Perigos é uma técnica recomendada pelo documento de
orientação para aplicação de gerenciamento de risco conforme ABNT ISO 14971, e pode
ser usada no início do desenvolvimento de equipamentos médicos, quando poucas
informações sobre o projeto estão disponíveis (ABNT, 2022).

A identificação de situações perigosas de alto nível levou em consideração falhas

da função primária da terapia com bomba de insulina e relatos de eventos adversos
inerentes a essa terapia. A função primária é prover infusão de insulina para controle
glicêmico do paciente, e os eventos adversos inerentes ao tratamento com bomba de
insulina estão relacionados a problemas dermatológicos (Ross et al., 2015).

32
 A elicitação de situações perigosas a partir da função primária levou em conta a
seguinte lista de possibilidades, oriunda de um processo usado em análise de segurança
de sistemas aeronáuticos (SAE, 1996):

• Perda da função
• Perda da função sem conhecimento do paciente
• Desempenho errôneo da função
• Desempenho errôneo da função sem conhecimento do paciente

A Análise de falhas da função sem conhecimento do paciente foi útil para

identificar a necessidade de alarmes.

Foram definidos os efeitos de cada situação perigosa de alto nível, com base em
relatos de casos similares encontrados na literatura (Ross et al., 2015; Midthjell et al.,
1994; Ziegler et al., 2019).

A classificação de severidade dos efeitos no paciente foi feita de acordo com o

critério adotado no presente trabalho, apresentado na tabela 2. Esse critério foi baseado
em:
• Exemplos mostrados no documento de orientação para aplicação do
gerenciamento de risco em dispositivos médicos (ABNT, 2022).
• Critério da norma sobre software para dispositivos médicos, que define o
nível de rigor do processo de desenvolvimento de software (IEC, 2015).

Foi adotado um critério harmonizado de classificação de severidade, visando

facilitar a interface entre os processos de gerenciamento de risco e desenvolvimento de
software.

Tabela 2: Classificação de severidade de situações perigosas associadas ao uso da bomba de infusão

contínua de insulina, de acordo com os efeitos no paciente.

Classificação de severidade Efeitos no paciente

Morte, lesão com ameaça de morte, ou
Crítica
invalidez permanente
Moderada Lesão reversível sem ameaça de morte
Desprezível Ausência de lesão

Fontes: ABNT, 2022; IEC, 2015

33
 Critérios mais específicos foram usados para classificação da severidade dos
efeitos de hipoglicemia e hiperglicemia, com base na classificação usada para ensaios
clínicos (Gabbay, 2019; SBD, 2019; Iqbal e Heller, 2016; kitabchi et al., 2009). Esses
critérios estão descritos nas tabelas 3 e 4, que apresentam a correspondência entre a
classificação de hipoglicemia e hiperglicemia para ensaios clínicos e a classificação de
severidade de situações perigosas do presente estudo.

Tabela 3: Classificação de severidade para situações perigosas que causam hipoglicemia

Classificação de Efeitos no paciente Classificação

hipoglicemia de severidade
Não aplicável Glicose sanguínea dentro do alvo Desprezível
Alerta de Glicemia entre 70 e 54 mg / dL
hipoglicemia
Hipoglicemia Glicemia abaixo de 54 mg / dL Moderada
clinicamente Requer ação imediata
significativa
Hipoglicemia Perda de consciência Crítica
severa O paciente precisa de ajuda externa

Fontes: Gabbay, 2019; SBD, 2019; Iqbal e Heller, 2016

Tabela 4: Classificação de severidade para situações perigosas que causam hiperglicemia

Classificação de Efeitos no paciente Classificação

hiperglicemia de severidade
Não aplicável Glicose sanguínea dentro do alvo Desprezível

Alerta de Glicose sanguínea entre 180 e 250 mg / dL

hiperglicemia
Hiperglicemia Glicose sanguínea acima de 250 mg / dL Moderada
clinicamente Requer ação imediata
significativa
Hiperglicemia Glicemia acima de 250 mg / dL Crítica
com cetoacidose Cetoacidose devido à presença de cetonas na
corrente sanguínea
Pode levar a coma e até mesmo óbito
Paciente necessita ajuda externa

Fontes: SBD, 2019; kitabchi et al., 2009

34
 A identificação de falhas randômicas que contribuem para as situações perigosas
de alto nível foi realizada por meio de análise do protótipo da bomba de insulina, sem
medidas de controle de risco (Figura 12). Uma descrição sucinta dessa configuração da
bomba de insulina está apresentada a seguir. O paciente programa a bomba de insulina
através da interface com o usuário, que inclui os botões e a tela de cristal líquido. O
microcontrolador permite a programação da dosagem de insulina, por meio da interface
com o usuário, e envia comandos ao driver de motor de passos para executar a infusão,
conforme programado. O motor de passos aciona o êmbolo da seringa através da
transmissão mecânica, e o conjunto de infusão faz a interface para entregar a insulina no
tecido subcutâneo do paciente. A pilha e o regulador de tensão fornecem energia elétrica
para o funcionamento da bomba de insulina (Vecchete, 2018).

Autoria própria

Figura 12: Arquitetura da bomba de infusão contínua de insulina sem medidas de controle de risco

A identificação de falhas sistêmicas que contribuem para as situações perigosas

de alto nível levou em consideração:
• Relatos de comportamentos indesejáveis em determinadas condições
ambientais
o Infusão excessiva devido a radiações eletromagnéticas presentes
no ambiente de uso da bomba de insulina (Bell, 1994).
o Infusão excessiva causada por acionamento indesejável do êmbolo
da seringa devido a variações de pressão ambiente dentro do
envelope operacional do equipamento (Midthjell et al., 1994; king
BR et al., 2011).
• Limites de temperatura da insulina e de componentes da bomba de insulina
o Temperatura no compartimento da seringa acima do limite causa
perda de efetividade da insulina (Heinemann et al.,2020).

35
 o Temperatura de componentes eletrônicos acima do limite causa
mau funcionamento.
• Recomendações da FDA sobre bombas de infusão (FDA, 2014b)
• Análise de risco de uma bomba de infusão de insulina genérica (Zhang et
al., 2010).

A identificação de erros do usuário que contribuem com situações perigosas de

alto nível levou em conta:
• Erros na execução das funções de alto nível da terapia com bomba de
insulina, alocadas ao paciente:
o Programar administração de insulina.
o Prevenir problemas dermatológicos no local de infusão
• Uso da bomba de insulina fora dos limites de condições ambientais (FDA,
2014a; Heinemann et al., 2020).

36
 3.2.2 Identificação de situações perigosas e causas- metodologia STPA
O uso da metodologia STPA é recomendado por um documento da FDA que
provê orientações para análise de segurança de bombas de infusão, com objetivo de
reduzir a quantidade de eventos adversos e recalls (FDA, 2014b). A metodologia STPA
visa ampliar as possibilidades de causas de acidentes a serem consideradas em análises
de segurança, principalmente em sistemas complexos, e pode ser usada desde o início do
desenvolvimento (Leveson, 2018).

A identificação de situações perigosas e suas causas pela metodologia STPA foi

feita seguindo os passos ilustrados na figura 13. Na metodologia STPA, as situações
perigosas são denominadas Ações de Controle Inseguras. Cada um dos passos
apresentados na figura 13 está descrito a seguir.

Fonte: adaptação de Leveson e Thomas, 2018

Figura 13: Visão geral da metodologia STPA

A análise foi conduzida com o objetivo de proteger o paciente em tratamento com

a bomba de infusão de insulina, contra efeitos indesejados, incluindo óbito ou lesão com
risco de vida, oriundos de hipoglicemia ou hiperglicemia.

A metodologia STPA utiliza uma estrutura de controle para identificar Ações de

Controle Inseguras e suas causas. A estrutura de controle do presente trabalho, mostrada
na figura 14, representa a terapia com bomba de insulina ilustrada na figura 9, e foi
modelada seguindo a metodologia descrita por Leveson e Thomas (2018). A bomba de

37
insulina incluída na estrutura de controle corresponde ao protótipo em desenvolvimento,
sem medidas de controle de risco, ilustrado na figura 12.

Autoria própria

Figura 14: Estrutura de Controle usada para análise STPA

A Estrutura de controle usada nesse trabalho permite visualizar as interações entre

todos os seus elementos, bem como a interface com as equipes de assistência médica e de
treinamento. Os elementos dessa estrutura incluem os componentes físicos e o paciente,
que desempenha múltiplos papéis: controlador humano e corpo humano, além de realizar
medições de glicemia e contagem de carboidrato dos alimentos ingeridos. Essa
característica da estrutura facilitou a comunicação com membros da equipe do projeto da
bomba de insulina com especialidades heterogêneas, incluindo assistência médica,
projeto mecânico, projeto eletrônico e desenvolvimento de software.

A estrutura de controle contempla dois controladores: o paciente e o

microcontrolador, mostrados em destaque na figura 15. O controlador humano (paciente)

38
programa a dosagem de insulina levando em consideração as orientações da equipe
médica, alimentação, atividades físicas, glicemia e informações visuais e sonoras da
bomba de insulina. O microcontrolador comanda a infusão de insulina de acordo com o
que foi programado pelo controlador humano.

As ações de controle inseguras estão associadas às ações de controle, ilustradas

em destaque na figura 15: ação de controle do controlador humano (programação da
dosagem de insulina), e ação de controle do microcontrolador (comando para infusão de
insulina, conforme programado).

Autoria própria

Figura 15: Estrutura de Controle ilustrando os Controladores e

Ações de Controle associadas

As ações de controle inseguras foram identificadas levando em consideração as

possibilidades descritas a seguir (Leveson e Thomas, 2018):
• O controlador não provê a ação de controle
• O controlador provê ação de controle errônea:
o Ação de controle insuficiente, excessiva, no sentido errado, com
parâmetro incorreto, situações em que não deve ser aplicada a ação
de controle

39
 o Ação de controle adiantada, tardia, na ordem errada
o Duração da ação de controle muito curta ou muito longa

O checklist da metodologia STPA apresenta muitas possibilidades para auxiliar

na identificação de ações de controle inseguras nas quais o controlador provê ação de
controle errônea.

Em seguida foram identificadas as causas para as ações de controle inseguras do

Controlador Humano e do Microcontrolador, considerando as possibilidades descritas por
Leveson e Thomas (2018).

Para o Controlador Humano foram investigadas as seguintes possibilidades de

causa de ação de controle insegura, mostradas em cor azul na figura 16:
• Situações que levam à ação de controle insegura
o Problemas relacionados ao paciente, incluindo dificuldade visual
para usar a bomba de insulina, devido à evolução das complicações
crônicas do diabetes
o Informações visuais e sonoras errôneas fornecidas pela tela de
cristal líquido e pelo sistema de áudio
o Problemas relacionados a medição de glicemia
o Erro do paciente em considerar atividades físicas e quantidade de
carboidrato de refeições
• Situações em que a ação de controle não é executada ou é executada de
maneira errônea:
o Falha dos botões de controle

40
 Autoria própria

Figura 16: Estrutura de Controle ilustrando causas de ações de

controle inseguras associadas ao Controlador Humano

Para o Microcontrolador foram investigadas as seguintes possibilidades de causas

de ação de controle insegura, que estão ilustradas em cor azul na figura 17:
• Situações que levam à ação de controle insegura
o Problemas relacionados ao microcontrolador, incluindo falha
física, erro de software, perda de energia elétrica, tensão excessiva,
aquecimento excessivo, e perturbações eletromagnéticas.
• Situações em que a ação de controle não é executada ou é executada de
maneira errônea:
o Problemas relacionados ao driver do motor de passo, motor de
passo, transmissão mecânica e seringa de insulina
o Problemas do conjunto de infusão e interface com o corpo humano.

41
Autoria própria

Figura 17: Estrutura de Controle ilustrando causas de ações de

controle inseguras associadas ao Microcontrolador

42
 3.2.3 Comparação das metodologias para identificação de situações perigosas
e suas causas
A figura 18 ilustra o nível de detalhe das situações perigosas e suas causas,
elicitadas pela Análise Preliminar de Perigos e pela metodologia STPA.

Autoria própria

Figura 18: Comparação do nível de detalhe de situações perigosas e suas causas

oriundos da Análise Preliminar de Perigos e da Metodologia STPA

As situações perigosas oriundas da Análise Preliminar de Perigos foram definidas

num nível de abstração mais elevado que as ações de controle inseguras (STPA), usando
apenas informações sobre o uso pretendido da bomba de infusão de insulina. Essa
estratégia permite especificar requisitos de segurança para influenciar a definição da
arquitetura de equipamentos.

Pela metodologia STPA foram geradas ações de controle inseguras que não foram
elicitadas na Análise Preliminar de Perigos, relacionadas a aplicação de insulina (basal e
bolus) no tempo errado.

As causas de situações perigosas geradas pela metodologia STPA são mais

detalhadas que aquelas originadas na Análise Preliminar de Perigos. A elicitação das
causas das situações perigosas na Análise Preliminar de Perigos foi conduzida de forma
independente para falhas randômicas, falhas sistêmicas e erros de utilização. Na
metodologia STPA a identificação dos vários tipos de causas das ações de controle
inseguras foi feita simultaneamente, levando em consideração a interação entre os
componentes da estrutura de controle, o que favorece a realização de uma análise mais
integrada.

43
 3.2.4 Especificação de requisitos de segurança para a arquitetura
A especificação dos requisitos de segurança para a arquitetura a partir das
situações perigosas e suas causas contemplou as seguintes etapas:
1. Identificação das situações perigosas e causas associadas conforme
descrito em 3.2.1 (Análise Preliminar de Perigos) e em 3.2.2 (metodologia
STPA)
2. Avaliação da aceitabilidade do risco associado a cada situação perigosa,
usando os seguintes critérios:
a. Falha única não pode causar morte, lesão com ameaça de morte,
ou invalidez permanente do paciente (ABNT, 2016)
b. Falha única não pode causar infusão excessiva de insulina (ABNT,
2015)
c. Medidas de controle de risco para proteger contra situações
perigosas devem ser equivalentes às melhores práticas em uso
(ABNT, 2022).
3. Especificação de requisitos de segurança, conforme necessário para
atender os critérios de aceitação de risco. A especificação dos requisitos
foi feita por meio de análise embasada por informações da literatura:
a. Recomendações da FDA e norma sobre bombas de infusão (FDA,
2014b; ABNT, 2015)
b. Medidas de segurança adotadas em bombas de infusão de insulina
(Maxim Integrated, 2010; Rothwell et al. ,1983; Midthjell et al.,
1994; Medtronic Minimed, 2015; Roche diagnostics, 2012)
4. Requisitos que atendiam a mais de uma situação perigosa foram fundidos.
5. Os requisitos de segurança resultantes foram divididos em dois grupos:
a. Requisitos de segurança para adequação da arquitetura, e
b. Requisitos de segurança para o manual do usuário

44
3.3 Adequação da arquitetura

A definição de propostas de solução para atender os requisitos de segurança para

a arquitetura da bomba de insulina levou em consideração:
• Análise de cada requisito
• Análise de conflito entre requisitos
• Soluções que podem atender mais de um requisito
• Recomendações da norma sobre bombas de infusão (ABNT, 2015)
• Soluções adotadas em outras bombas de insulina (Rothwell et al., 1983;
Gabbay, 2019; Medtronic MiniMed, 2015; Roche diagnostics, 2012)
• Uso de redundância para proteger contra falhas físicas
• Uso de ação de confirmação para prevenir erros de utilização com efeito
adverso em segurança
As propostas de solução foram discutidas e harmonizadas com a equipe do projeto
da bomba de insulina de baixo custo.

3.4 Avaliação da arquitetura e especificação de requisitos de segurança para

componentes

As análises a seguir foram conduzidas com o intuito de gerar requisitos de

segurança para componentes: análise de falhas de componentes físicos, análise de erros
do usuário, e análise de alarmes.

3.4.1 Análise de falhas de componentes físicos

Foram analisadas as falhas dos componentes físicos da arquitetura da bomba de
insulina com medidas de controle de risco incorporadas (Figura 19).

Autoria própria

Figura 19: Arquitetura da bomba de insulina com medidas de controle de risco

A análise foi conduzida usando a metodologia FMECA (Análise de Modos de

Falha, Efeitos e Criticidade, do inglês Failure Modes, Effects and Criticality Analysis). A

45
análise realizada para cada componente ou conjunto de componentes contemplou a
seguinte sequência de atividades:
• Identificação das falhas associadas ao componente / conjunto de
componentes desempenhando uma função
• Definição dos efeitos de cada falha no funcionamento da bomba de
insulina, levando em consideração as interações entre componentes
• Identificação dos efeitos de cada falha no paciente, incluindo hipoglicemia
e hiperglicemia
• Classificação da severidade dos efeitos de cada falha no paciente,
conforme definido nas tabelas 2, 3 e 4.

Uma breve descrição de cada componente ou conjunto de componentes analisado

está apresentada a seguir:

Fonte de energia elétrica

A fonte primária de energia elétrica para funcionamento da bomba de insulina
inclui uma pilha comercial e um regulador de tensão, conforme mostrado na figura 20.
Foram consideradas falhas da pilha, do regulador de tensão e do circuito de transmissão
de energia elétrica para os usuários.

Autoria própria

Figura 20: Fonte de energia elétrica

Botões de controle
Os botões de controle são usados pelo paciente para ligar-desligar a bomba de
insulina, navegar no menu de funções, programar a dosagem de insulina, e ativar-
desativar a liberação do hormônio. Foram analisadas falhas das seguintes funções dos
botões de controle, relacionadas à liberação de insulina para o paciente:

• Programar a dosagem de insulina

• Ativar-desativar a liberação de insulina

46
 Tela de cristal líquido
A tela de cristal líquido, ilustrada na figura 21, apresenta informações e alarmes
para auxiliar o paciente no uso da bomba de insulina.

Fonte: Vecchete, 2018

Figura 21: Tela de cristal líquido

Microcontrolador
O microcontrolador permite a programação da infusão de insulina pelo paciente,
comanda a infusão de insulina conforme programado, e provê informações e alarmes ao
paciente. As interfaces do microcontrolador estão ilustradas na figura 22. As entradas do
microcontrolador são sinais dos botões de controle da interface com o usuário, do sensor
de tensão da fonte elétrica, e do sensor de rotação do motor de passo. As saídas são sinais
para comando do motor de passo, e informações para a tela de cristal líquido e alarmes
sonoros.

Autoria própria

Figura 22: Interfaces do microcontrolador

Controlador de segurança
As funções do controlador de segurança são: desativar o motor de passos em caso
de infusão excessiva de insulina e enviar sinal para alarme visual e sonoro. As interfaces
do controlador de segurança estão apresentadas na figura 23. A entrada é sinal do sensor
de rotação do motor de passo. As saídas incluem sinal para desativar o motor de passo
em caso de infusão excessiva, e sinais para alarme visual e sonoro.

47
 Autoria própria

Figura 23: Interfaces do controlador de segurança

Motor de passo e driver associado

O driver controla o motor de passo, de acordo com sinais recebidos do
microcontrolador e do controlador de segurança, como ilustrado na figura 24

Autoria própria

Figura 24: Motor de passo e driver associado

Transmissão mecânica
A transmissão mecânica converte o movimento rotacional do motor de passo em
movimento linear para atuação do êmbolo da seringa. O mecanismo é composto por um
fuso e um bloco de arrasto, como ilustrado na figura 25. A rotação do fuso causa o
movimento linear do bloco de arrasto que comprime o êmbolo da seringa.

Autoria própria

Figura 25: Transmissão mecânica

Seringa
A seringa armazena a insulina que é aplicada ao paciente pela bomba de infusão.
O movimento do êmbolo da seringa direciona a insulina para o conjunto de infusão. A
figura 26 ilustra a interface entre a seringa e o conjunto de infusão.

48
 Conjunto de infusão
O conjunto de infusão, mostrado na figura 26, é a interface para entrega da insulina
ao paciente. Esse conjunto é formado por um cateter conectado à seringa e por uma
cânula, inserida no tecido subcutâneo do paciente.

Autoria própria

Figura 26: Seringa e conjunto de infusão

A especificação dos requisitos de segurança oriundos da análise de componentes

físicos incluiu os seguintes passos:
1. Foi avaliada a aceitabilidade do risco associada a cada falha analisada,
usando os critérios de aceitação de risco:
a. Falha única não pode causar morte, lesão com ameaça de morte,
ou invalidez permanente do paciente (ABNT, 2016)
b. Falha única não pode causar infusão excessiva de insulina (ABNT,
2015)
c. Medidas de controle de risco para proteger contra situações
perigosas devem ser equivalentes às melhores práticas em uso
(ABNT, 2022)
2. Foram especificados requisitos de segurança para as falhas com risco
considerado inaceitável. A especificação dos requisitos foi feita por meio
de análise suportada por informações da literatura:
a. Recomendações da FDA e norma sobre bombas de infusão (FDA,
2014b; ABNT, 2015)
b. Medidas de segurança adotadas em bombas de infusão de insulina
(Maxim Integrated, 2010; Medtronic Minimed, 2015; Roche
diagnostics, 2012)

49
 3.4.2 Análise de erros do usuário

A análise de erros do usuário foi conduzida usando a metodologia FMECA, e

contemplou:
• Operação da bomba de insulina fora das condições ambientais
especificadas para uso

• Erros na execução de tarefas executas pelo paciente na terapia com a

bomba de infusão de insulina

Foram analisadas as seguintes tarefas executadas pelo paciente, no uso da bomba

de infusão de insulina de baixo custo (Rocha, 2021):
• Ligar / desligar a bomba de insulina
• Programar infusão basal
• Programar infusão em bolus
• Configurar parâmetros para bolus
• Programar bolus padrão
• Programar bolus estendido
• Cancelar bolus sendo administrado
• Ajustar a hora da bomba de insulina
• Trocar a pilha
• Trocar a seringa
• Substituir o conjunto de infusão

Para cada tarefa / subtarefa foram conduzidas as atividades listadas a seguir:

• Identificação de erros previsíveis do paciente na execução da tarefa /
subtarefa
• Definição dos efeitos de cada erro no funcionamento da bomba de insulina
• Identificação dos efeitos de cada erro no paciente
• Classificação da severidade dos efeitos de cada erro no paciente, conforme
definido nas tabelas 2, 3, e 4

A especificação dos requisitos de segurança oriundos da análise de erros do

usuário contemplou os seguintes passos:
1. Foi avaliada a aceitabilidade do risco associada a cada erro analisado.
a. Recomendações da norma sobre bombas bomba de infusão a
respeito de erros de utilização (ABNT, 2015)

50
 b. Comparação com as melhores práticas quanto a proteção contra
erros do usuário (ABNT, 2022).
2. Foram especificados requisitos de segurança para os erros com risco
considerado inaceitável. A especificação dos requisitos foi feita por meio
de análise suportada por informações sobre medidas de segurança
adotadas em bombas de infusão de insulina (Medtronic Minimed, 2015;
Roche diagnostics, 2012)

3.4.3 Análise de alarmes

A necessidade de monitores e alarmes foi identificada nas seguintes análises:
• Análises para especificação de requisitos de segurança para a arquitetura.
• Avaliação da arquitetura e especificação de requisitos de segurança para
componentes:
o Análise de componentes físicos
o Análise de erros do usuário

A análise de segurança de cada monitor / alarme foi conduzida com uso da

metodologia FMECA, e contemplou:
• Identificação do objetivo do monitor / alarme
• Identificação dos casos de falha de cada monitor / alarme relevantes
quanto a segurança (FDA, 2014b):
o O monitor / alarme não aciona em caso de ocorrência do evento
monitorado
o Acionamento indevido do monitor / alarme
• Definição dos efeitos de cada caso de falha no paciente
• Classificação da severidade dos efeitos de cada caso de falha no paciente,
conforme definido nas tabelas 2, 3 e 4

A especificação de requisitos de segurança a partir da análise de falhas de

monitores / alarmes incluiu os passos descritos a seguir:
1. Avaliação da aceitabilidade do risco associado a cada caso de falha
analisado
2. Especificação de requisitos de segurança para os casos de falha, com risco
considerado inaceitável. Os requisitos visam assegurar que os monitores /

51
alarmes relevantes para segurança estarão disponíveis em caso de
ocorrência do evento monitorado.

52
4 RESULTADOS

4.1 Requisitos de segurança para a arquitetura

Essa subseção apresenta:

• As situações perigosas e causas associadas, usadas para especificar os
requisitos de segurança para a arquitetura:
o Situações perigosas e causas identificadas usando a Análise
Preliminar de Perigos.
o Situações perigosas e causas identificadas com uso da metodologia
STPA
• Os requisitos de segurança oriundos das situações perigosas e suas causas

Os requisitos de segurança para a arquitetura estão associados às funções de alto

nível da terapia com bomba de insulina, como ilustrado na figura 27.

• Cada requisito de segurança para a arquitetura está rastreado para a

situação perigosa que originou o requisito, e
• Cada situação perigosa está rastreada para a função correspondente

Autoria própria

Figura 27: Rastreabilidade dos requisitos de segurança

para a arquitetura

4.1.1 Situações perigosas e suas causas – Análise Preliminar de Perigos

As situações perigosas de alto nível, com efeitos correspondentes, classificação de
severidade, e informações sobre como foram originadas, estão descritas na tabela 5. Essas
situações perigosas apresentam os seguintes efeitos no paciente: hipoglicemia,
hiperglicemia e problemas dermatológicos no local de infusão.

53
Tabela 5: Situações perigosas de alto nível no uso da bomba de infusão de insulina

Situação perigosa Efeitos no paciente Classificação Origem da

severidade situação perigosa
SP-1: Infusão excessiva de insulina (pior caso: Hipoglicemia severa, podendo causar Análise Preliminar
liberação rápida de todo o volume da seringa) [F-1] Crítica
convulsões e coma. de Perigos
SP-2: Perda de infusão de insulina sem conhecimento Análise Preliminar
do paciente [F-1] de Perigos
Hiperglicemia, que pode evoluir para Artigo científico
Crítica (Zhang et al., 2010)
cetoacidose, coma e até mesmo óbito
SP-3: Perda de efetividade da insulina sem Análise Preliminar
conhecimento do paciente [F-1]. de Perigos
SP-4: Perda de infusão de insulina com conhecimento Para manter controle glicêmico, o paciente
do paciente [F-1] administra insulina temporariamente usando Análise Preliminar
Desprezível
caneta ou seringa de Perigos

SP-5: Infecção no local de infusão [F-2] Desconforto e risco do paciente abandonar a

terapia com bomba de insulina Moderada

SP-6: Lipodistrofia no local de infusão [F-2] Perda ou excesso de tecido adiposo no local
de infusão, causando variações de absorção Artigo científico
de insulina e redução de sensibilidade do Moderada (Ross et al., 2015)
paciente, nesse local
SP-7: Reação alérgica no local de infusão [F-2] Desconforto para o paciente Desprezível
Fontes: Midtjell et al., 1994; Ziegler et al., 2019; Ross et al., 2015

54
 A Tabela 5 mostra que 3 situações perigosas de alto nível foram originadas por
análise, e 3 foram identificadas em artigo científico, e 1 foi originada por análise e
corroborada por artigo científico

As causas das situações perigosas de alto nível incluem falha de componente

físico, situações operacionais, erro do usuário e erro no desenvolvimento do equipamento.
O apêndice 1 apresenta as causas associadas a cada situação perigosa de alto nível, e
mostra como foram originadas essas causas.

Cada situação perigosa associada à terapia com bomba de insulina e descrita na

tabela 5 está identificada e rastreada para as funções de alto nível. O identificador é
mostrado antes de cada situação perigosa e a função para a qual a situação perigosa é
rastreada aparece entre colchetes, ao final. Sendo assim, a situação perigosa identificada
como “SP-1” está rastreada para a função “F-1”.

A tabela 6 apresenta uma organização hierárquica das funções de alto nível da

terapia com bomba de insulina. Na tabela, o nível de detalhe das funções aumenta da
esquerda para a direita. As funções alocadas ao paciente estão identificadas com a cor
verde e as funções alocadas à bomba de insulina estão em azul.

Tabela 6: Visão geral das funções da terapia com bomba de infusão de insulina

Funções da terapia com bomba de insulina

F-1.1.1: Realizar medições
de glicemia

F-1.1: Programar a F-1.1.2: Realizar contagem

dosagem de insulina de carboidrato das refeições
F-1: Prover infusão de F-1.1.3: Programar a
insulina para controle bomba de insulina
glicêmico do paciente
F-1.2: Suportar a programação da bomba de
insulina
F-1.3: Prover infusão de insulina conforme
programado
F-2.1: Prevenir infecção no local de infusão
F-2: Prevenir problemas
F-2.2: Prevenir lipodistrofia no local de infusão
dermatológicos
F-2.3: Prevenir reação alérgica no local de infusão

55
 A tabela 7 apresenta em mais detalhes as funções alocadas ao paciente, e a tabela
8 mostra informações adicionais sobre as funções alocadas à bomba de insulina.

56
Tabela 7: Funções alocadas ao paciente no uso da bomba de infusão de insulina

Funções alocadas ao paciente

F-1.1.1: Realizar medições de glicemia
F-1.1.2: Realizar contagem de carboidratos das refeições
F-1.1.3.1: Ligar / desligar a bomba de insulina
F-1.1.3.2: Ajustar a hora da bomba de insulina
F-1.1.3.3.1: Configurar limite máximo de dosagem basal
F-1.1.3.3.2: Programar perfis basal
F-1.1.3.3: Programar a
dosagem basal F-1.1.3.3.3: Ativar / destivar dosagem basal
F-1.1: Programar a
dosagem de insulina F-1.1.3.3.4: Programar dosagem basal temporária
F-1.1.3: Programar a
bomba de insulina F-1.1.3.4.1.1: Limite máximo de
dosagem bolus
F-1.1.3.4.1.2: Glicemia alvo
F-1.1.3.4: Programar a F-1.1.3.4.1: Configurar F-1.1.3.4.1.3: Fator de sensibilidade
dosagem em bolus parâmetros para bolus
F-1.1.3.4.1.4: Razão carboidrato/
insulina
F-1.1.3.4.1.5: Tempo de insulina ativa

57
 F-1.1.3.4.2.1: Inserir glicemia atual
F-1.1.3.4.2: Programar
F-1.1.3.4.2.2: Inserir quantidade de
bolus padrão
carboidratos
F-1.1.3.4.3.1: Inserir glicemia atual

F-1.1.3.4.3: Programar F-1.1.3.4.3.2: Inserir quantidade de

bolus estendido carboidratos
F-1.1.3.4.3.3: Inserir duração do bolus
F-1.1.3.4.4: Cancelar bolus sendo administrado
F-1.3: Prover infusão F.1.3.1: Substituir a pilha
conforme programado F.1.3.2: Substituir a seringa
F-2.1: Prevenir infecção F.2.1.1: Substituir o conjunto de infusão
no local de infusão
F-2.2: Prevenir lipodistrofia no local de infusão

58
Tabela 8: Funções alocadas à bomba de infusão de insulina

Funções alocadas à bomba de infusão de insulina

F-1.2.1: Prover interface para comandos do paciente
F-1.2.2: Prover informação e alarmes ao paciente
F-1.2.3: Permitir ligar e desligar a bomba de insulina
F-1.2.4: Permitir ajuste da hora da bomba de insulina
F-1.2.5.1: Suportar a programação de perfis basal
F-1.2.5: Suportar a programação F-1.2.5.2: Suportar ativação / desativação de dosagem basal
da dosagem basal
F-1.2.5.3: Suportar a programção de dosagem basal temporária
F-1.2: Suportar a programação da
dosagem de insulina F-1.2.6.1.1: Glicemia alvo
F-1.2.6.1: Suportar a F-1.2.6.1.2: Fator de sensibilidade
configuração de
F-1.2.6.1.3: Razão carboidrato / insulina
parâmetros para bolus
F-1.2.6: Suportar a programação F-1.2.6.1.4: Tempo de insulina ativa
de dosagem em bolus
F-1.2.6.2: Suportar a programação de bolus padrão
F-1.2.6.3: Suportar a programação de bolus estendido
F-1.2.6.4: Suportar cancelamento de bolus sendo administrado

59

F-1.3: Prover infusão de insulina
conforme programado
F-2.3: Prevenir reação alérgica no local de infusão
Funções alocadas à bomba de infusão de insulina
F-1.3.1: Enviar comandos ao motor de passo
F-1.3.2: Gerar movimento rotacional em resposta aos comandos
F-1.3.3: Converter o movimento rotacional em movimento linear
F-1.3.4: Liberar insulina para o paciente
F-1.3.5: Infundir insulina no tecido subcutâneo do paciente
F-1.3.6: Suportar substituição da pilha
F-1.3.7: Suportar substituição da seringa
60
 4.1.2 Situações perigosas e suas causas - metodologia STPA
As situações perigosas identificadas usando a metodologia STPA são
denominadas ações de controle inseguras. A tabela 9 apresenta as ações de controle
inseguras do Controlador Humano, que estão identificadas de “ACI-1” a “ACI-10”, e a
tabela 10 mostra as ações de controle inseguras do Microcontrolador, identificadas de
“ACI-11” a “ACI-23”. A rastreabilidade das ações de controle inseguras para as funções
da terapia com bomba de insulina está indicada entre colchetes nas tabelas 9 e 10.

Os meios empregados na elicitação das ações de controle inseguras estão listados

a seguir:
• As ações de controle inseguras em texto verde nas tabelas 9 e 10 foram
originadas somente por análise, pela metodologia STPA.
• As demais ações de controle inseguras foram geradas por análise (STPA)
e confirmadas por informações da literatura.

As ações de controle inseguras das seguintes colunas das tabelas 9 e 10 estão

descritas num nível de detalhe maior que as situações perigosas de alto nível
correspondentes, apresentadas na tabela 5:
• “Não prover ação de controle causa perigo”, e
• “Prover ação errônea causa perigo”

As ações de controle inseguras das colunas abaixo das tabelas 9 e 10, relacionadas
ao tempo da ação de controle, não foram identificadas pela Análise Preliminar de Perigos
conduzida no presente trabalho:
• “Ação adiantada, tardia, na ordem errada”, e
• “Duração da ação muito curta ou muito longa”

As causas das ações de controle inseguras e a maneira como foram geradas essas
causas, estão descritas no apêndice 2.

61
Tabela 9: Ações de Controle Inseguras do Controlador Humano
Ação de controle Não prover ação de
controle causa perigo
Programar dosagem ACI-1: O paciente não
de insulina basal / ajusta a dosagem basal para
bolus atividades físicas
[F-1.1.3.3.4.].
ACI-2: O paciente não
programa bolus para
refeição [F1.1.3.4]
Ações de controle inseguras
Prover ação errônea causa
perigo
ACI-3: O paciente programa
dosagem basal excessiva
[F-1.1.3.3].
ACI-4: O paciente programa
dosagem basal insuficiente
[F-1.1.3.3].
ACI-5: O paciente programa
dosagem bolus excessiva
[F-1.1.3.4].
ACI-6: O paciente programa
dosagem bolus insuficiente
[F-1.1.3.4].
Ação adiantada, tardia, Duração da ação muito
na ordem errada curta ou muito longa
ACI-7: O paciente ACI-9: O paciente
programa a dosagem programa bolus estendido
basal para cada hora do muito curto [F-1.1.3.2], [F-
dia em ordem errada 1.1.3.4.3], [F-1.2.6.3].
[F-1.1.3.2], [F-1.1.3.3].
ACI-10: O paciente
ACI-8: O paciente programa bolus estendido
programa basal muito longo [F-1.1.3.2], [F-
temporário para um 1.1.3.4.3].
intervalo de tempo
errado [F-1.1.3.2], [F-
1.1.3.3.4].
62
Tabela 10: Ações de Controle Inseguras do Microcontrolador

Ações de controle inseguras

Ação de
controle Não prover ação de controle Prover ação errônea causa Ação adiantada, tardia, na Duração da ação muito
causa perigo perigo ordem errada curta ou muito longa
Comandar a ACI-11: O microcontrolador ACI-14: O microcontrolador ACI-19: O microcontrolador ACI-22: O microcontrolador
infusão de não envia comando para comanda dosagem basal comanda a dosagem basal comanda bolus estendido
insulina de dosagem basal [F-1.2.5], [F- excessiva [F-1.2.5], [F-1.3.1]. para cada hora do dia em muito curto [F-1.2.6.3], [F-
acordo com a 1.3.1]. ordem errada [F-1.2.4], [F- 1.3.1].
ACI-15: O microcontrolador
dosagem 1.2.5], [F-1.3.1].
ACI-12: O microcontrolador comanda dosagem basal ACI-23: O microcontrolador
programada não envia comando para insuficiente [F-1.2.5], [F- ACI-20: O microcontrolador comanda bolus estendido
dosagem em bolus [F-1.2.6], 1.3.1]. comanda basal temporário muito longo [F-1.2.6.3], [F-
[F-1.3.1] no intervalo de tempo 1.3.1].
ACI-16: O microcontrolador
errado [F-1.2.4], [F-1.2.5.3],
ACI-13: O microcontrolador comanda dosagem em bolus
não envia comando para [F1-3.1].
excessiva [F-1.2.6], [F-1.3.1].
dosagem basal nem dosagem ACI-21: O microcontrolador
ACI-17: O microcontrolador
bolus [F-1.2.5]. [F-1.2.6], [F- comanda bolus atrasado [F-
comanda dosagem em bolus
1.3.1]. 1.2.4], [F-1.2.6], [F-1.3.1].
insuficiente [F-1.2.6], [F-
1.3.1]
ACI-18: O microcontrolador
comanda liberação imediata
de todo o volume de insulina
da seringa [F-1.3.4].

63
 4.1.3 Requisitos oriundos das situações perigosas e suas causas
Os requisitos de segurança oriundos das situações perigosas e suas causas são
aplicáveis ao projeto arquitetural da bomba de infusão de insulina e ao manual do usuário.
Os requisitos para adequação da arquitetura, apresentados na tabela 11, protegem contra
hipoglicemia, hiperglicemia, e efeitos dermatológicos no paciente. Esses requisitos estão
identificados de RA-1 a RA-11. A rastreabilidade de cada requisito para as Situações
Perigosas da tabela 5 ou Ações de Controle Inseguras das tabelas 9 e 10 está indicada
entre colchetes.

Os principais meios utilizados para elicitar cada requisitos de segurança para

adequação da arquitetura estão mostrados na tabela 11:

• Dois requisitos (RA-6 e RA-7) foram elicitados somente por análise.

• Quatro requisitos (RA-2, RA-3, RA-4 e RA-11) foram elicitados somente
com informação da literatura.
• Cinco requisitos (RA-1, RA-5, RA-8, RA-9, e RA-10), foram gerados por
análise e informação da literatura.

Dos requisitos elicitados por análise tivemos:

• Três requisitos (RA-1, RA-7 e RA-8) foram elicitados somente pela

metodologia Análise Preliminar de Perigos
• Quatro requisitos (RA-5, RA-6, RA-9 e RA-10) pelas duas metodologias:
Análise Preliminar de Perigos e STPA.

64
Tabela 11: Requisitos de segurança para adequação da arquitetura

Requisito Intenção Origem dos requisitos

RA-1: Falha única não deve causar infusão Evitar hipoglicemia devido a falha única de • Análise preliminar de perigos
excessiva de insulina [SP-1] componente físico • Norma ABNT – bombas de infusão
(ABNT, 2015)
RA-2: A interface com o usuário deve incluir Prevenir hipoglicemia / hiperglicemia devido • Norma ABNT - bombas de infusão
confirmação da programação da dosagem de a erro do paciente ao programar a dosagem de (ABNT, 2015)
insulina [ACI-3], [ACI-4], [ACI-5], [ACI-6]. insulina • Manuais de bombas de insulina
(Medtronic MiniMed, 2015; Roche
diagnostics, 2012)
RA-3: Deve ser definido um limite máximo para Prevenir hipoglicemia devido a erro do • Manual de bomba de insulina
programação de dosagem de insulina [ACI-3], paciente na programação da dosagem de (Medtronic MiniMed, 2015)
[ACI-5]. insulina
RA-4: Variações da pressão ambiente dentro dos Prevenir infusão excessiva de insulina devido • Artigo científico (Midthjell et al.,
limites de operação não devem causar acionamento a variações da pressão ambiente 1994)
do êmbolo da seringa [SP-1].
RA-5: Perturbações eletromagnéticas dentro dos Prover imunidade da bomba de insulina • Análise preliminar de perigos
limites de operação não devem causar infusão de contra perturbações eletromagnéticas. • Análise – metodologia STPA
insulina excessiva nem insuficiente [SP-1], [SP-2], • Artigo científico (Bell, 1994)
[SP-4]
RA-6: A temperatura de componentes eletrônicos Prevenir funcionamento errôneo devido a • Análise preliminar de perigos
em situação normal não deve exceder o limite para temperatura excessiva, causando infusão de • Análise – metodologia STPA
operação [SP-1], [SP-2], [SP-4]. insulina excessiva ou insuficiente.

65
 Requisito
RA-7: A temperatura no compartimento da seringa
em operação normal não deve exceder o limite de
uso da insulina [SP-3].
RA-8: Deve ser provido alarme para falhas que
causam perda de infusão de insulina [SP-2].
RA-9: Devem ser providos alarme e indicação para
prevenir perda de infusão de insulina devido a
bateria descarregada [SP-2].
RA-10: Devem ser providos alarme e indicação
para evitar perda de infusão de insulina devido a
seringa vazia [SP-2].
RA-11: Deve ser disponibilizada opção de adesivo
antialérgico para fixação da cânula no paciente [SP-
7].
RA: Requisito para a arquitetura
Intenção Origem dos requisitos
Prevenir perda de efetividade da insulina. • Análise preliminar de perigos
Proteger contra hiperglicemia em caso de • Norma ABNT - bombas de infusão
falhas que causam perda de infusão de (ABNT, 2015)
insulina. • Análise preliminar de perigos
Prevenir perda de infusão devido a situação • Norma ABNT - bombas de infusão
operacional inerente ao uso da bomba de (ABNT, 2015)
insulina • Análise preliminar de perigos
• Análise – metodologia STPA
Prevenir perda de infusão devido a situação • Norma ABNT - bombas de infusão
operacional inerente ao uso da bomba de (ABNT, 2015)
insulina • Análise preliminar de perigos
• Análise – metodologia STPA
Prevenir reação alérgica no local de infusão • Artigo científico (Herman et al.,
no paciente. 2019)
66
 Os requisitos de segurança aplicáveis ao manual do usuário, descritos na tabela
12, proporcionam proteção contra hipoglicemia, hiperglicemia, oscilações glicêmicas, e
efeitos dermatológicos no paciente. Esses requisitos estão identificados de “RA-12” a
“RA-22” e são rastreados para as Situações Perigosas da tabela 5 ou Ações de Controle
Inseguras das tabelas 9 e 10.

Os principais meios utilizados para elicitar cada requisitos de segurança para

adequação da arquitetura estão mostrados na tabela 12:

• Três requisitos (RA-16, RA-17, e RA-18) foram elicitados somente por

análise.
• Sete requisitos (RA-13, RA-14, RA-15, RA-19, RA-20, RA-21 e RA-22)
foram elicitados usando informação da literatura.
• O requisito RA-12 foi gerado por análise e informação da literatura.

A elicitação de requisitos por análise foi feita com as duas metodologias (STPA e
Análise Preliminar de Perigos), sendo que o trabalho usando STPA foi facilitado pela
estrutura de controle.

67
Tabela 12: Requisitos de segurança para o manual do usuário da bomba de infusão de insulina

Requisito Intenção Origem do requisito

RA-12: O paciente deve atender o perfil de usuário Prevenir erros do paciente na terapia • Livro (Gabbay, 2019)
da bomba de insulina (Gabbay, 2019) [ACI-3] a intensiva com uso da bomba de infusão de • Análise – metodologia STPA
[ACI-10]: insulina
• RA-12.1: Experiência prévia em terapia intensiva
de insulina, com caneta ou injeção.
• RA-12.2: Aderência metódica à terapia
• RA-12:3 Proficiência em contagem de carboidratos
e medida de glicemia.
• RA-12:4 Assiduidade às consultas médicas.
• RA-12-5: Proficiência no uso da bomba de
insulina.
RA-13: O paciente deve ser submetido a exame Prevenir erros do usuário devido a • Artigo científico (Zhang et al., 2010)
periódico sobre a condição visual para uso da bomba complicações crônicas do diabetes.
de insulina [ACI-3] a [ACI-10].
RA-14: O paciente deve realizar 3 a 4 medições de • Permitir correções glicêmicas, e • Livro (Gabbay, 2019)
glicemia por dia [SP-1], [SP-2], [ACI-5], [ACI-6]. • Identificar falhas e erros que não são
detectados pela bomba de insulina.
RA-15: O paciente deve ajustar a data e o horário da Prevenir oscilações glicêmicas devido a • Manuais de bombas de insulina
bomba de insulina sempre que viajar para um local erro na data / horário da bomba de insulina (Medtronic MiniMed, 2015; Roche
com fuso horário diferente [ACI-7], [ACI-8]. diagnostics, 2012)

68
 Requisito
RA-16: Deve ser respeitada a temperatura máxima
para uso da bomba de insulina [SP-1], a [SP-3],
[ACI-11] a [ACI-13], [ACI-14] a [ACI-18].
RA-17: Deve ser respeitado o tempo de validade da
insulina [SP-3].
RA-18: Deve ser respeitada a temperatura mínima
permitida para uso da bomba de infusão de insulina
[SP-2].
RA-19: O conjunto de infusão deve ser substituído a
cada 3 dias [SP-5].
RA-20: Devem ser observados os cuidados
higiênicos na substituição da cânula [SP-5].
RA-21: Deve ser realizado rodízio do local de
infusão [SP-6].
RA-22: O paciente não deve realizar atividades
físicas de contato usando a bomba de insulina
(Gabbay, 2019) [SP-2], [ACI-13].
Intenção Origem do requisito
• Prevenir funcionamento errôneo da • Análise preliminar de perigos
bomba de insulina causado por sobre • Análise – metodologia STPA
aquecimento de componentes
eletrônicos
• Prevenir perda de efetividade da insulina
por temperatura acima do limite.
Prevenir perda de efetividade da insulina • Análise preliminar de perigos
• Análise – metodologia STPA
Prevenir perda de infusão devido ao • Análise preliminar de perigos
congelamento da insulina. • Análise – metodologia STPA
Prevenir infecção no local de infusão no • Livro (Gabbay, 2019)
paciente.
Prevenir infecção no local de infusão no • Artigo científico (Ross et al., 2015)
paciente.
Prevenir lipodistrofia no local de infusão no • Livro (Gabbay, 2019)
paciente.
Evitar desconexão acidental da bomba de • Livro (Gabbay, 2019)
insulina
69
4.2 Adequação da arquitetura
As propostas de solução para os requisitos aplicáveis ao projeto arquitetural da
bomba de infusão de insulina estão apresentadas na tabela 13.
Tabela 13: Propostas de medidas de segurança para a arquitetura da bomba de infusão de insulina
Requisito
RA-1: Falha única não deve causar
infusão excessiva de insulina
RA-2: A interface com o usuário
deve incluir confirmação da
programação da dosagem de insulina
RA-3: Deve ser definido um limite
máximo para programação de
dosagem de insulina.
RA-4: Variações da pressão
ambiente dentro dos limites de
operação não devem causar
acionamento do êmbolo da seringa.
RA-5: Perturbações eletromagnéticas
dentro dos limites de operação não
devem causar infusão de insulina
excessiva nem insuficiente.
RA-6: A temperatura de cada
componente eletrônico em situação
normal não deve exceder o limite de
operação.
RA-7: A temperatura no
compartimento da seringa em
operação normal não deve exceder o
limite de uso da insulina.
Proposta de solução
Inclusão do controlador de segurança, como
mostrado na figura 19, para desativar o motor
de passo em caso de sobre infusão de insulina
Incluir confirmação da programação de
dosagem basal, seleção do perfil basal e
programação dos parâmetros para bolus.
Implementar em software um limite máximo
para programação de dosagem de insulina:
• Basal máximo ajustável entre 2 e 18
unidades de insulina / hora (Rocha, 2021)
• Bolus máximo ajustável entre 10 e 90
unidades de insulina (Rocha, 2021)
Incluir um dispositivo para igualar a pressão
entre o interior da bomba de insulina e o
ambiente. Ver figura 28.
Projetar e testar a bomba de insulina para
atender ambiente eletromagnético doméstico
de cuidado à saúde, conforme definido na
norma ABNT NBR IEC 60601-1-2.
Medidas de contenção de risco:
• Uso de componentes eletroeletrônicos de
baixo consumo de energia elétrica para
minimizar aquecimento.
Medidas de contenção de risco:
• Uso de componentes eletroeletrônicos de
baixo consumo de energia elétrica para
minimizar aquecimento.
• Compartimento da seringa separado do
restante da bomba de insulina.
• Uso de material isolante térmico, caso
necessário.
70
 Requisito
RA-8: Deve ser provido alarme para
falhas que causam perda de infusão
de insulina.
RA-9: Devem ser providos alarme e
indicação para prevenir perda de
infusão de insulina devido a bateria
descarregada.
RA-10: Devem ser providos alarme e Medidas de controle de risco:
indicação para evitar perda de
infusão de insulina devido a seringa • Alarmes de baixo volume de insulina:
vazia.
RA-11: Deve ser disponibilizada
opção de adesivo antialérgico para
fixação da cânula no paciente.
Proposta de solução
A detecção de falhas que causam perda de
infusão inclui:
• Energia elétrica alternativa, por meio de
capacitor, para prover alarme de perda da
energia elétrica fornecida pela pilha
• Monitoramento do motor de passo
• Alarme de obstrução do conjunto de
infusão. Esse alarme detecta também
emperramento do êmbolo da seringa, falha
da transmissão mecânica e travamento do
motor de passo
• A detecção de desconexão do conjunto de
infusão será feita por meio de medições de
glicemia realizadas pelo paciente.
Medidas de controle de risco:
• Indicação de carga da pilha
• Alarmes de baixa carga da pilha:
• Carga abaixo de 20%: alarme de média
prioridade
• Carga abaixo de 5%: alarme de alta
prioridade
• Indicação de volume de insulina na seringa
• Volume abaixo de 40 unidades de
insulina: alarme de média prioridade
• Volume abaixo de 5 unidades de insulina:
alarme de alta prioridade
Desenvolver a cânula com adesivo
antialérgico.

O mecanismo de acionamento indevido do êmbolo da seringa devido a variações

de pressão ambiente está ilustrado na figura 28. Variação da pressão no ambiente onde
está o paciente com a bomba de insulina pode causar diferença de pressão entre o interior
da bomba e o tecido subcutâneo do paciente, provocando acionamento indevido do
êmbolo da seringa (Midthjell et al., 1994). As possibilidades a serem exploradas para
definição do dispositivo para equalização de pressão incluem:

71
 • Um orifício na carcaça da bomba de insulina, com filtro para proteger
contra a entrada de contaminantes.
• Uma pequena tampa na carcaça, que abre para aliviar a diferença de
pressão entre o interior da bomba de insulina e o ambiente.

Pambiente é a pressão do ambiente onde está o paciente com a bomba de insulina

Ppaciente é pressão no tecido subcutâneo do paciente, e
Pbomba é a pressão dentro da carcaça da bomba de insulina.
Autoria própria

Figura 28: Mecanismo de acionamento indevido do êmbolo da seringa devido a variações

de pressão ambiente

A proposta para o manual do usuário é incluir as seguintes informações /

instruções visando atender os requisitos descritos na tabela 12:
• Perfil do usuário da bomba de insulina
• Instrução para realizar as medições de glicemia
• Instruções sobre o período e procedimento de substituição do conjunto de
infusão
• Limitações ambientais para uso da bomba de insulina: temperatura,
pressão ambiente, variação de pressão, perturbações eletromagnéticas,
exposição a água.
• Instrução para ajustar a data e horário da bomba de insulina em caso de
mudança de fuso horário
• Instruções a respeito das condições de validade da insulina
• Instrução para o paciente não realizar atividades físicas de contato usando
a bomba de insulina

72
4.3 Requisitos de segurança para componentes

Essa subseção apresenta os requisitos de segurança aplicáveis ao projeto detalhado

da bomba de insulina, oriundos das seguintes atividades:
• Análise de falhas de componentes físicos
• Análise de erros do usuário
• Análise de falhas de monitores e alarmes

4.3.1 Análise de falhas de componentes físicos

Os requisitos de segurança oriundos da análise de falhas de componentes físicos
estão rastreados conforme ilustado na figura 29:

• Cada requisito oriundo da análise de falha de componentes está rastreado

ao caso de falha correspondente.
• Cada caso de falha de componente físico está rastreado para a função
correspondente da bomba de insulina.

Autoria própria

Figura 29: Rastreabilidade dos requisitos oriundos da

análise de falhas de componentes físicos

As falhas de componentes físicos, os efeitos na bomba de insulina e no paciente,

bem como a classificação da severidade desses efeitos estão apresentados no apêndice 3.
Os requisitos de segurança oriundos dessa análise estão descritos na tabela 14,
identificados de “RC-1” a “RC-12”. A rastreabilidade, para os casos de falha do apêndice
3, está indicada entre colchetes.

73
 Os principais meios utilizados para elicitar esses requisitos estão mostrados na
tabela 14:

• Três requisitos (RC-2, RC-9, e RC-12) foram elicitados somente por

análise.
• Dois requisitos (RC-1 e RC-3) foram derivados usando informação da
literatura.
• Sete requisitos (RC-4, RC-5, RC-6, RC-7, RC-8, RC-10, e RC-11) foram
gerados por análise e corroborados com informação da literatura.

74
Tabela 14: Requisitos oriundos da análise de falhas de componentes físicos da bomba de infusão de insulina

Requisito Intenção Origem do requisito

RC-1: Incluir alarme para informar que foi
instalada pilha com tensão excessiva [C-1.2]
RC-2: Incluir proteção contra sobreaquecimento
[C-1.3]
RC-3: O compartimento da pilha deve ser isolado
do restante da bomba de insulina [C-1.4]
RC-4: Deve ser implementada detecção de falha
dos botões de controle [C-2.1]
RC-5: Deve ser implementado autoteste da tela de
cristal líquido [C-3.2]
RC-6: Devem ser implementados autotestes do
microcontrolador [C-4.2], [C-4.3], [C-4.5], [C-
4.6]:
• RC-6.1: CPU
• RC-6.2: Memória ROM / RAM
• RC-6.3: Dispositivos de entrada e saída
Prevenir tensão excessiva, causando • Artigo científico (Berger e Burgi,
funcionamento errôneo do microcontrolador e 1982)
do controlador de segurança
Prevenir temperatura excessiva, causando Análise de falhas
funcionamento errôneo do microcontrolador e
do controlador de segurança
Prover proteção contra liberação de substâncias • Artigo científico (Murata et al., 2018)
do interior da pilha
Proteger contra falha de botão de controle, • Análise de falhas
levando a programação errada da dosagem de • Manual de bomba de insulina
insulina (Medtronic MiniMed, 2015)
Prevenir programação errada da dosagem de • Análise de falhas
insulina devido a informação falsa na tela de • Documento de orientação da FDA
cristal líquido (FDA, 2014b)
Prevenir saídas errôneas do microcontrolador: • Análise de falhas
• Comandos errôneos para o driver do motor • Documento de orientação da FDA
de passo (FDA, 2014b
• Informações errôneas para a tela de cristal
líquido
• Sinais errôneos para o alarme sonoro

75
 Requisito
RC-7: Deve ser implementado autoteste do
circuito de proteção contra infusão excessiva, a ser contra infusão excessiva.
iniciado pelo usuário [C-5.1], [C-5.3]
RC-8: Devem ser incluídas no manual do usuário
instruções para iniciar o autoteste do circuito de
proteção contra infusão excessiva [C-5.1], [C-5.3]
RC-9: Em caso de travamento do motor de passo
[C-6.2]:
• RC-9.1: O motor deve ser desligado
automaticamente
• RC-9.2: Deve ser emitido um alarme
RC-10: Vazamento de insulina no interior da
bomba não deve prejudicar o funcionamento
seguro do equipamento [C-8.1]
RC-11: A seringa e o conjunto de infusão devem
suportar a pressão resultante da obstrução do
conjunto de infusão [C-9.1]
RC-12: A transmissão mecânica e suas interfaces
devem suportar as cargas oriundas de travamento,
ou obstrução do conjunto de infusão [C-7.1], [C-
8.2], [C-9.1]
Intenção Origem do requisito
Identificar falha latente do circuito de proteção • Análise de falhas
• Norma ABNT – bombas de infusão
(ABNT, 2015)
Prover proteção contra motor de passo travado, • Análise de falhas
que pode ser causado por:
• Travamento do rotor do motor
• Emperramento da transmissão mecânica
• Emperramento do êmbolo da seringa.
• Obstrução do conjunto de infusão
Prover proteção contra vazamento da seringa • Análise de falhas
de insulina • Norma ABNT – bombas de infusão
(ABNT, 201)
Evitar vazamento de insulina em caso de • Análise de falhas
obstrução do conjunto de infusão • Norma ABNT – bombas de infusão
(ABNT, 2015)
Evitar danos ao sistema mecânico devido a • Análise de falhas
essas falhas

76
 4.3.2 Análise de erros do usuário
Os requisitos de segurança oriundos da análise de erros do usuário estão rastreados
conforme ilustado na figura 30:
• Os requisitos, oriundos da análise de erros do usuário, estão rastreados aos
casos de erro do usuário
• Os casos de erro do usuário estão rastreados para funções alocadas ao
usuário

Autoria própria

Figura 30: Rastreabilidade dos requisitos

oriundos da análise de erros do usuário

A análise de erros do usuário está descrita no apêndice 4. Os requisitos gerados a

partir dessa análise estão apresentados na tabela 15, identificados de “RU-1” a “RU-8”.
A rastreabilidade de cada requisito para os casos de Erro do Usuário está indicada entre
colchetes. Os principais meios utilizados para elicitar esses requisitos estão listados na
tabela 14:

• Os requisitos RU-1 e RU-7 foram gerados somente a partir da análise de

erros do usuário
• Os demais requisitos foram elicitados pela análise de erros do usuário e
confirmados com informações das referências bibliográficas

77
Tabela 15: Requisitos oriundos da análise de erros do usuário da bomba de infusão de insulina

Requisito Intenção Origem do requisito

RU-1: Incluir proteção contra desligamento Prevenir hiperglicemia causada por • Análise de erros do usuário
inadvertido da bomba de insulina pelo paciente [EU-1] desligamento acidental da bomba de
insulina
RU-2: O ajuste de hora da bomba de insulina deve ser A administração correta de dosagem basal • Análise de erros do usuário
confirmado [EU-2], [EU-3] e bolus depende do ajuste de hora • Manual de bomba de insulina
(Medtronic Minimed, 2015)
RU-3: Tarefas do usuário relacionadas à infusão basal Prevenir erro do usuário que resulta • Análise de erros do usuário
devem ser confirmadas por meio de ação distinta: dosagem basal excessiva ou insuficiente. • Manual de bomba de insulina (Roche
• RU-3.1: Configurar dose basal máxima [EU-4], diagnostics, 2012)
[EU-5]
• RU-3.2: Programar perfis basal [EU-6], [EU-7]
• RU-3.3: Selecionar perfil e iniciar infusão basal
[EU-8].
• RU-3.4: Pausar infusão basal [EU-10].
• RU-3.5: Parar infusão basal [EU-10].
• RU-3.6: Programar e iniciar basal temporário [E-
11], [E-12], [E-13].
RU-4: As configurações de parâmetros para bolus Prevenir erro do usuário que resulta • Análise de erros do usuário
devem ser confirmadas por ação distinta: dosagem bolus excessiva ou insuficiente • Manual de bomba de insulina (Roche
• RU-4.1: Dose máxima de bolus [EU-14], [EU-15]. diagnostics, 2012)
• RU-4.2: Glicemia alvo [EU-16], [EU-17].
• RU-4.3: Fator de sensibilidade [EU-18], [EU-19].
• RU-4.4. Relação insulina-carboidrato [EU-20].

78
 Requisito
• RU-4.5. Tempo de insulina ativa [EU-21].
RU-5: As tarefas do usuário relacionadas à
programação e início de bolus devem ser confirmadas:
• RU-5.1: Inserir o valor da glicemia atual [EU-22],
[EU-23], [EU-26].
• RU-5.2: Inserir o valor da quantidade de
carboidratos [EU-24], [EU-25], [EU-27]
• RU-5.3: Para bolus estendido, deve ser confirmado
também o valor da duração [EU-28]
RU-6: Cancelamento de bolus sendo administrado
deve ser confirmado [EU-29]
RU-7: A polaridade (+/-) deve ser claramente indicada
no compartimento da pilha [EU-32]
RU-8: Deve ser incluído alarme de tampa do
compartimento da seringa aberta [EU-38]
Intenção
Prevenir erro do usuário que resulta
dosagem bolus excessiva ou insuficiente
Prevenir cancelamento não intencional de
bolus.
Prevenir instalação da pilha com
polaridade invertida.
Prover proteção contra:
• Erro do usuário (esquecer de fechar a
tampa).
• Falha física do mecanismo de fechar a
tampa.
Origem do requisito
• Análise de erros do usuário
• Manual de bomba de insulina (Roche
diagnostics, 2012)
• Análise de erros do usuário
• Manual de bomba de insulina (Roche
diagnostics, 2012)
• Análise de erros do usuário
• Análise de erros do usuário
• Manual de bomba de insulina
(Medtronic Minimed, 2015)
79
 4.3.3 Análise de falhas de monitores e alarmes
A rastreabilidade dos requisitos de segurança oriundos da análise de falhas de
monitores está ilustrada na figura 31:
• Os requisitos oriundos da análise de falhas de monitores estão rastreados
aos casos de falha de monitores.
• Os casos de falha de monitores estão rastreados para funções da terapia
com bomba de insulina

Autoria própria

Figura 31: Rastreabilidade dos requisitos oriundos da análise de

falhas de monitores

A análise de falhas de monitores / alarmes está apresentada no apêndice 5. Os

requisitos de segurança gerados a partir dessa análise, identificados de RAL-1 a RAL-11,
estão listados a seguir. O caso de falha de monitor associado a cada requisito está indicado
entre colchetes:
• Deve ser implementado teste, a ser iniciado pelo usuário, para verificar
que os seguintes alarmes estão operativos:
o RAL-1: Alarme de pilha com baixa carga / descarregada [M-1.1].
o RAL-2: Alarme de pilha com tensão excessiva [M-1.2].
o RAL-3: Alarme de sobreaquecimento da placa de circuito
impresso [M-2.1].
o RAL-4: Alarme de falha de botões de controle [M-3.1].
o RAL-5: Alarme de informação errônea na tela de cristal líquido
[M-4.1].
o RAL-6: Alarme de falhas do microcontrolador [M-5.1]:
 RAL-6.1: CPU,

80
  RAL-6.2: Memória RAM / ROM,
 RAL-6.3: Dispositivos de entrada e saída
o RAL-7: Alarme de falha do motor de passo [M-6.1].
o RAL-8: Alarme de seringa com baixo volume / vazia [M-7.1].
o RAL-9: Alarme de ausência de seringa [M-8.1].
o RAL-10: Alarme de obstrução do conjunto de infusão [M-9.1].
• RAL-11: Deve ser incluído no manual do usuário o procedimento para teste
desses alarmes.

Esses requisitos foram elicitados somente por análise, e não foram encontradas
informações sobre eles na literatura.

81
5 DISCUSSÃO

No presente estudo, foi conduzido o processo de gerenciamento de risco referente

a uma bomba de infusão de insulina de baixo custo em desenvolvimento, seguindo a
norma ABNT ISO 14971. De acordo com a norma, as medidas de segurança estabelecidas
devem ser equivalentes às melhores práticas empregadas em equipamentos do mesmo
tipo ou similares, visando a segurança do paciente e certificação do equipamento. Nesse
trabalho foram propostos dispositivos de segurança, alarmes e instruções no manual do
usuário, para evitar infusão excessiva de insulina e mitigar o efeito de perda de infusão.
Essas medidas de segurança foram corroboradas por meio de:
• Normas sobre segurança e eficácia de bombas de infusão;
• Recomendações de órgãos reguladores sobre análise de segurança de
bombas de infusão; e
• Levantamento bibliográfico sobre dispositivos de segurança empregados
em bombas de infusão de insulina e procedimentos de segurança adotados
na terapia intensiva, usando bomba de infusão de insulina.

A discussão das medidas de segurança decorrentes do presente trabalho,

apresentada a seguir, está organizada em 3 grupos, de acordo com os fatores causais das
situações perigosas associadas:
• Falhas randômicas de componentes físicos;
• Falhas sistêmicas relacionadas às condições operacionais e ambientais; e
• Erros do usuário

5.1 Falhas randômicas de componentes físicos

As medidas de controle de risco listadas a seguir, relacionadas a falhas de
componentes físicos, são discutidas nessa subseção:
• Controlador de segurança,
• Proteção contra tensão excessiva e perda de energia elétrica,
• Autotestes da CPU, memória, e tela de cristal líquido,
• Detecção de falha dos botões de controle,
• Detecção de falha do motor de passo, e
• Teste de alarmes relevantes para segurança.

82
 5.1.1 Controlador de segurança
O controlador de segurança, ilustrado na figura 19, visa prevenir infusão excessiva
devido a falhas randômicas que causam comandos errôneos do microcontrolador.
Rothwell et al. (1983) descrevem uma bomba de insulina com um circuito independente
de proteção contra infusão excessiva, que atualmente é recomendado pela norma sobre
bombas de infusão (ABNT, 2015). Além disto, a norma preconiza a realização de um
autoteste do controlador de segurança, iniciado pelo usuário a cada intervalo de
substituição do conjunto de infusão, com a finalidade de identificar falha latente dessa
proteção (ABNT, 2015). É importante mencionar que trabalhos futuros serão realizados
visando definir o limiar para acionamento da proteção contra infusão excessiva, e que
também deve haver salvaguarda para prevenir disparo indevido do autoteste.

5.1.2 Proteção contra tensão excessiva e perda de energia elétrica

A função da proteção contra tensão excessiva é prevenir funcionamento errôneo
do sistema de controle eletrônico, que pode levar a infusão de insulina excessiva ou
insuficiente. Berger e Burgi (1982) relataram um caso de sobre tensão devido a instalação
de uma pilha inadequada que causou sobre infusão numa bomba de insulina da primeira
geração. Por outro lado, a perda de energia elétrica resulta interrupção da infusão do
hormônio. De acordo com Maxims Integrated (2010), é usual a proteção contra tensão
excessiva ou insuficiente em bombas de infusão. Por exemplo, a bomba de insulina
MiniMed 640 G contempla alarme que detecta instalação de pilha com tensão
incompatível (Medtronic MiniMed, 2015). A salvaguarda para tensão excessiva deve
proteger contra falha do regulador de tensão, ao passo que a proteção contra perda de
energia elétrica consiste em um alarme de perda de energia elétrica fornecida pela pilha,
alimentado por uma fonte alternativa de energia elétrica, de curta duração, a ser
implementada com capacitores. A fonte elétrica alternativa é uma medida de segurança
usual em bombas de insulina, e é útil também durante a troca de pilha, para não perder
informação armazenada em memória volátil. A bomba de insulina MiniMed 640-G, usada
no Brasil, contempla fonte de energia alternativa que suporta a troca de pilha (Medtronic
MiniMed, 2015).

5.1.3 Autotestes da CPU, memória e tela de cristal líquido

Os autotestes da CPU e memória tem o objetivo de verificar a integridade do
microcontrolador, para prevenir funcionamento errôneo que pode causar infusão de
insulina excessiva ou insuficiente. O autoteste da tela de cristal líquido visa detectar
83
informações falsas, que podem causar programação errônea da dosagem de insulina. FDA
(2014b) lista mecanismos de segurança usuais em bombas de infusão, incluindo testes
periódicos de CPU e memória. Maxim Integrated (2010) considera que autotestes de
componentes críticos de bombas de insulina, incluindo microprocessadores e tela de
cristal líquido, são requeridos para certificação FDA.

5.1.4 Detecção de falha dos botões de controle

A detecção de falha dos botões de controle visa prevenir infusão de insulina
excessiva ou insuficiente, devido a sinais errôneos enviados para o microcontrolador. O
monitoramento dos botões de controle é um mecanismo de segurança usual em bombas
de infusão (FDA 2014b; Medtronic MiniMed, 2015).

5.1.5 Detecção de falha do motor de passo / driver associado

O alarme de falha do motor de passo ou driver associado é acionado quando o
número de passos executados pelo motor não corresponde aos comandos enviados pelo
microcontrolador. A norma sobre bombas de infusão recomenda que os riscos de
subinfusão por qualquer fator sejam abordados no processo de gerenciamento de risco
(ABNT, 2015). A bomba de infusão de insulina Medtronic Paradigm contempla alarme
de falha do motor (Gabbay, 2019).

5.1.6 Teste de alarmes relevantes para segurança

Os alarmes também podem falhar, razão pela qual foram analisados no processo
de gerenciamento de risco. A análise de falhas das medidas de segurança é recomendada
pela norma de gerenciamento de risco de equipamentos médicos e pela FDA (ABNT,
2020; FDA 2014b). A análise de falhas dos alarmes identificou falhas latentes relevantes
para segurança, que precisam ser detectadas por meio de testes periódicos. Assim sendo,
é necessário incorporar na bomba de insulina dispositivos para simular as falhas
monitoradas pelos alarmes relevantes para segurança, para possibilitar o teste dos mesmos
pelo usuário.

5.2 Falhas sistêmicas relacionadas às condições operacionais e ambientais

As medidas de segurança relacionadas a seguir, associadas às condições
operacionais e ambientais de uso da bomba de insulina, são discutidas nessa subseção:
• Indicações / alarmes de carga da bateria e volume da seringa,
• Dispositivo para equalização de pressão,

84
 • Imunidade eletromagnética, e
• Proteção contra superaquecimento.

5.2.1 Indicações / alarmes de carga da bateria e volume da seringa

As indicações e alarmes de carga da bateria e volume de insulina na seringa têm
a finalidade de prevenir perda de infusão devido a condições operacionais inerentes ao
uso da bomba de insulina. Essas medidas de segurança são recomendadas pela norma de
bombas de infusão, e são empregadas em todas as bombas de infusão de insulina (ABNT,
2015; Medtronic MiniMed, 2015; Roche diagnostics, 2012).

5.2.2 Dispositivo para equalização de pressão

Bombas de seringa são suscetíveis a infusão excessiva devido a variações da
pressão ambiente. Neste sentido, o dispositivo para equalizar a pressão entre o interior da
bomba de insulina e o ambiente externo tem como objetivo evitar acionamento indevido
do êmbolo da seringa devido a variações de pressão ambiente, dentro dos limites para
operação do equipamento. A definição do dispositivo de equalização requer uma solução
que atenda objetivos conflitantes, ou seja, equalizar a pressão externa com a interna, e
proteger contra o ingresso de fluidos e contaminantes sólidos. De fato, Midthjell et al.
(1994) relataram ocorrências de disparo da bomba de insulina, causado por variações
rápidas de pressão ambiente durante viagem de carro em região montanhosa e viagens de
avião. A solução adotada foi equalizar a pressão do interior da bomba de insulina com a
pressão ambiente. Por outro lado, King et al. (2011) demonstraram que as variações de
pressão na cabine de um avião comercial, em voo normal, não causam acionamento do
êmbolo da seringa nas bombas de insulina Medtronic Paradigm e Animas IR1200/2020,
embora o movimento indevido do êmbolo possa ocorrer em caso de descompressão de
cabine. Para certificação de bombas de infusão nos Estados Unidos, é recomendado que
variações de pressão ambiente, dentro dos limites previstos para operação do
equipamento, não causem movimento do êmbolo da seringa (FDA, 2014b).

5.2.3 Imunidade eletromagnética

Para evitar infusão excessiva ou insuficiente de insulina, devido a perturbações
eletromagnéticas, a bomba de insulina deve atender o ambiente eletromagnético
doméstico de cuidado à saúde definido pela norma ABNT NBR IEC 60601-1-2 (FDA,
2014a; ABNT, 2017). Os próximos passos incluem a definição das proteções a serem
incorporadas ao projeto para atender o ambiente eletromagnético de uso da bomba de

85
insulina, e análise de falhas dessas proteções. As possíveis soluções para imunidade
eletromagnética incluem blindagem da carcaça da bomba de insulina e instalação de
filtros para proteger componentes eletrônicos (ABNT, 2017; Zhang et al., 2010).

5.2.4 Proteção contra superaquecimento

Superaquecimento da bomba de infusão de insulina pode provocar liberação
excessiva ou insuficiente do hormônio, em virtude do funcionamento errôneo de
componentes eletrônicos, além de perda de efetividade da insulina (Heinemann, 2020).
Estudos adicionais e testes precisam ser conduzidos para assegurar que a temperatura da
bomba de insulina fica dentro de um limite seguro, quando operada no extremo superior
do envelope de temperatura, e nas situações mais severas de dissipação de calor.

5.3 Erros do usuário

As medidas de segurança discutidas nessa subseção, relacionadas a erros do
usuário, contemplam:
• Proteções contra oclusão do conjunto de infusão
• Limite máximo para programação basal e bolus
• Alarme de tampa do compartimento da seringa aberto
• Confirmação de tarefas que afetam segurança

5.3.1 Proteções contra oclusão do conjunto de infusão

O conjunto de infusão é suscetível a oclusão, que pode ser causada por formação
de agregados de moléculas de insulina, cânula ou cateter dobrado, ou problemas
dermatológicos no local de infusão (Klonoff te al., 2017) . As proteções associadas a
oclusão incluem medidas de segurança para prevenir obstrução, além de medidas para
identificar a ocorrência do evento (Gabbay, 2019; Klonoff te al., 2017). As medidas para
evitar oclusão são instruções no manual do usuário a respeito das condições de validade
da insulina, período e procedimento para substituição do conjunto de infusão, e rodízio
do local de infusão (Heinemann et al., 2020; Gabbay, 2019, Klonoff et al., 2017). O
tempo de uso do conjunto de infusão afeta a incidência de oclusão, razão pela qual a
substituição com a periodicidade recomendada é uma prevenção importante (Pozzilli et
al., 2016; Klonoff et al., 2017). O procedimento de substituição, que protege também
contra desconexão do conjunto de infusão, deve enfatizar os cuidados para fixar
adequadamente a cânula e o cateter, sem dobrar (Ziegler et al., 2019). A identificação de
oclusão é feita por meio de alarme, e pela presença de hiperglicemia não explicada, que

86
ocorre principalmente após a troca do conjunto de infusão. Por essa razão, é adotado um
procedimento de monitorar a glicemia com mais frequência logo após a substituição do
conjunto de infusão (Gabbay, 2019).

O alarme de oclusão é recomendado pela norma de bombas de infusão, e está

presente nas bombas de insulina importadas usadas no Brasil (ABNT, 2015; Medtronic
MiniMed, 2015; Roche diagnostics, 2012). Além de detectar oclusão do conjunto de
infusão, o alarme pode identificar emperramento do êmbolo da seringa, falha da
transmissão mecânica e travamento do motor de passo. A obstrução do conjunto de
infusão provoca aumento da pressão de insulina, da força para acionar o êmbolo da
seringa, e da corrente do motor de passo, sendo que os componentes afetados são
dimensionados para suportar a condição de obstrução. Os próximos passos incluem testes
de duas possibilidades para detectar a obstrução: por meio da corrente do motor de passo,
ou por meio de sensor de força.

5.3.2 Limite máximo para programação de infusão basal e bolus

O limite máximo permitido pela bomba de insulina é uma proteção contra infusão
excessiva do hormônio, devido a erro do usuário na programação da dosagem basal /
bolus, e pode ser ajustado de acordo com a necessidade de cada paciente. Essa medida de
segurança está presente na bomba de insulina Minimed 640G (Medtronic Minimed,
2015).

5.3.3 Alarme de tampa do compartimento da seringa aberto

O alarme de tampa do compartimento aberto é uma proteção contra erro do
usuário durante a substituição da seringa. Essa medida de segurança é recomendada pela
FDA (FDA, 2014b), e está contemplada na bomba de insulina Minimed 640G (Medtronic
Minimed, 2015).

5.3.4 Confirmação de tarefas que afetam segurança

Tarefas no uso da bomba de insulina, que afetam segurança, precisam
confirmação por meio de uma ação distinta, conforme recomendado pela norma de
bombas de infusão (ABNT, 2015). Essa medida visa prevenir erros do usuário com
impacto adverso em segurança.

87
6 CONCLUSÕES
O gerenciamento de risco conduzido nesse trabalho faz parte do desenvolvimento
de uma bomba de infusão de insulina de baixo custo na UNIFESP, visando beneficiar
diabéticos tipo 1 de baixo poder aquisitivo. Os objetivos definidos foram alcançados: (i)
estabelecer requisitos de segurança para a arquitetura do equipamento em
desenvolvimento; (ii) propor soluções para atender esses requisitos; e (iii) estabelecer
requisitos para o projeto detalhado. Os requisitos estabelecidos, bem como as medidas de
segurança propostas, são equivalentes às melhores práticas adotadas em equipamento do
mesmo tipo ou similar, o que contribuirá para certificação ANVISA e uso seguro da
bomba de insulina de baixo custo pela população.

Outras contribuições desse trabalho se referem a aspectos da metodologia adotada,

que podem ser úteis em outros projetos: (i) integração entre gerenciamento de risco e
desenvolvimento do produto, (ii) uso de dois métodos para identificar situações perigosas,
e (iii) rastreabilidade entre as medidas de controle de risco e as funções da terapia com
SICI. A integração entre os processos de gerenciamento de risco e desenvolvimento do
produto visa minimizar a necessidade de retrabalhos de alto impacto para atender
requisitos de segurança. No presente trabalho foi usado um framework para sincronizar
as atividades de gerenciamento de risco com a evolução do desenvolvimento, de tal forma
que as medidas de segurança propostas foram embasadas por análises e requisitos de
segurança.

A especificação dos requisitos de segurança foi feita a partir de situações perigosas

e suas causas, identificadas no gerenciamento de risco. Para melhorar a completude do
conjunto de requisitos de segurança para a arquitetura, foram usadas duas metodologias
na identificação das situações perigosas e causas associadas: a Análise Preliminar de
Perigos, e a metodologia STPA. Os resultados obtidos com o uso de cada metodologia
foram usados para realimentar e melhorar a análise conduzida com a outra técnica.

A rastreabilidade entre as medidas de controle de risco e a função que originou a

situação perigosa correspondente ajuda identificar o impacto para implementar cada
função, do ponto de vista de segurança, e pode ter grande utilidade no gerenciamento do
projeto.

88
 Trabalhos futuros devem ser realizados, prosseguindo com o gerenciamento de
risco ao longo de todo o desenvolvimento da bomba de infusão de insulina de baixo custo.
Os próximos passos incluem detalhar as propostas de solução para a arquitetura (tabela
13), definir e desenvolver soluções para atender os requisitos de segurança para
componentes (tabelas 14 e 15), bem como implementar e testar todas as medidas de
segurança no protótipo da bomba de insulina em desenvolvimento.

89
7 REFERÊNCIAS BIBLIOGRÁFICAS
ABNT. ABNT ISO/TR 24971 Dispositivos médicos - Orientações para a aplicação
da ABNT NBR ISO 14971. 2022.

ABNT. ABNT NBR IEC 60601-1 - Equipamento eletromédico parte 1: Requisitos

gerais para segurança básica e desempenho essencial. 2a ed. Emenda 1. 2016.

ABNT. ABNT NBR IEC 60601-1-2 – Equipamento eletromédico parte 1-2:

Requisitos gerais para segurança básica e desempenho essencial – Norma Colateral:
Perturbações eletromagnéticas – Requisitos e ensaios. 5a ed. 2017.

ABNT. ABNT NBR IEC 60601-2-24 - Equipamento eletromédico - Parte 2-24:

Requisitos particulares para a segurança básica e o desempenho essencial de bombas
e de controladores de infusão. 2a ed. 2015.

ABNT. ABNT NBR ISO 14971 - Dispositivos médicos - Aplicação de

gerenciamento de risco a dispositivos médicos. 3a ed. 2020.

Alsaleh FM, Smith FJ, Keady S, Taylor KMG. Insulin pumps: from inception to the
present and toward the future. Journal of Clinical Pharmacy and Therapeutics. 2010;
35, 127–138.

ANVISA. Manual para regularização de equipamentos médicos na ANVISA,

versão 12, 2021. Disponível em: https://www.gov.br/anvisa/pt-
br/centraisdeconteudo/publicacoes/produtos-para-a-saude/manuais/manual-para-
regularizacao-de-equipamentos-medicos-na-anvisa.pdf/view Acessado em 06 de
julho de 2021.

Bell DSH. Insulin Pump Therapy for the 90s. The endocrinologist. 1994; volume 4,
number 4, p. 270-278.

Berger W, Burgi W. Hypoglycemic coma due to use of an improper battery in a

commonly used insulin pump. Diabetes Care. 1982; vol 5, no 6.

Bolli GB, Kerr D, Thomas R, Torlone E, Sola-Gazagnes A, Vitacolonna E, et al.

Comparison of a Multiple Daily Insulin Injection Regimen (Basal Once-Daily
Gargline Plus Mealtime Lispro) and Continuous Subcutaneous Insulin Infusion
(Lispro) in Type 1 Diabetes. Diabetes Care. 2009, vol 32, no 7.

90
Dolan AM. Risk management of medical devices: ensuring safety and efficacy
through ISO 14971. In: Proceedings of the World conference on quality and
improvement; Milwaukee; 2004. vol 58 p 69-72.

FDA. Design Considerations for Devices Intended for Home Use - Guidance for
Industry and Food and Drug Administration Staff. 2014.

FDA. Infusion Pumps Total Product Life Cycle - Guidance for Industry and FDA
Staff. 2014.

Gabbay MAL. Manual prático de bombas de insulina. São Paulo: Clannad; 2019.

Garvey K, Wolfsdorf JI. The Impact of Technology on Current Diabetes

Management. Pediatr Clin N Am. 2015; 62: 873–888.

Heinemann L, Braune K, Carter A, Zayani A, Kramer LA. Insulin Storage: A Critical

Reappraisal. Journal of Diabetes Science and Technology. 2020.

Herman A, Baeck M, de Montjoye L, Bruze M, Giertz E, Goosens A, Mowitz M.

Allergic contact dermatitis caused by isobornyl acrylate in the Enlite glucose sensor
and the Paradigm Minimed Quick-set insulin infusion set. Contact Dermatitis. 2019,
vol 8 issue 6 p432-437.

IDF. IDF Diabetes Atlas. 8th ed 2017.

IDF. IDF Diabetes Atlas. 10th ed 2021.

IEC. IEC 62304 - Medical device software – Software lifecycle processes. 2015.

Iqbal A, Heller S. Managing hypoglycaemia. Best Practice & Research Clinical

Endocrinology & Metabolism. 2016; 30:413-430.

Kesavadev J, Saboo B, Krishna MB, Krishnan G. Evolution of Insulin Delivery

Devices: From Syringes, Pens, and Pumps to DIY Artificial Pancreas. Diabetes Ther.
2020; 11:1251–1269.

King BR, Goss PW, Paterson MA, Crock PA, Anderson DG. Changes in altitude
cause unintended insulin delivery from insulin pumps - Mechanisms and
implications. Diabetes Care. 2011, vol. 34: 1932-1933.

Kitabchi AE, Guillermo EU, Miles JM, Fisher JN. Hyperglycemic Crisis in Adult
Patients With Diabetes. Diabetes Care. 2009, vol 32, no. 7.

91
Klonoff DC, Freckmann G, Heinemann L, Insulin Pump Occlusions: For Patients
Who Have Been Aroun the (Infusion) Block. Journal of Diabetes Science and
Technology. 2017; 11(3): 451-454.

Laffel L. Ketone Bodies: a Review of Physiology, Pathophysiology and Application

of Monitoring to Diabetes. Diabetes Metab. Res. Rev. 1999; 15: 423-426.

Lenhard MJ, Reeves GD. Continuous subcutaneous insulin infusion – A

Comprehensive Review of Insulin Pump Therapy. Arch intern med. 2001; vol. 161

Leveson NG. Thomas JP. STPA Handbook. 2018.

Martins LEG, Faria H, Vecchete L, Cunha T, Oliveira T, Casarini DE, et al.

Development of a low-cost insulin infusion pump: Lessons learned from an industry
case. In: 2015 IEEE 28th International symposium on computer-based medical
systems; 2015. p. 338–343.

Maxim Integrated. Important considerations for insulin pump and portable medical
designs. 2010. Available at https://www.maximintegrated.com/en/design/technical-
documents/tutorials/4/4675.html. Accessed on November 04, 2021.

Medtronic MiniMed. MiniMed 640 G: Guia do utilizador do sistema. 2015.

Midthjell K, Kapelrud H, Bjornerud A, Claudi, Borgeas M, Jervell J. Severe or life-

threatening hypoglycemia in insulin pump treatment. Diabetes Care. 1994; v.17, n.
10, p. 1235-1236.

Murata T, Nirengi S, Sakane N, Kuroda A, Hirota Y, Matsuhisa M, Namba M,

Kobayashi T. Safety of the batteries and power units used in insulin pumps: A pilot
cross-sectional study by the Association for the Study of Innovative Diabetes
Treatment in Japan. J. Diabetes Invest. 2018; 9: 903-907.

Nathan DM. The diabetes control and complications trial/epidemiology diabetes

interventions and complications study at 30 years: overview. Diabetes Care. 2014; v.
37, n.1, p. 9-16.

Newsholme P, Cruzat V, Arfuso F, Keane K. Nutrient regulation of insulin secretion

and action. Journal of Endocrinology. 2014; v.221, issue 3, p. 105-120.

92
Nyenwe EA, kitabchi AE. The evolution of diabetic Ketoacidosis: An update of its
etiology, pathogenesis and management. Metabolism Clinical and Experimental.
2016; v.65, p 507-521.

Pasquel FJ. Umpierrez GE. Hyperosmolar Hyperglycemic State: A Historic Review

of the Clinical Presentation, Diagnosis, and Treatment. Diabetes Care. 2014;
37:3124-3131.

Pozzilli P, Battelino T, Donne T, Havorka R, Jarosz-Chabot P, Renard E. Continuous

subcutaneous insulin infusion in diabetes: patient populations, safety, efficacy, and
pharmacoeconomics. Diabetes Metab Res Rev. 2016; 32:21-39.

Rocha FS. Desenvolvimento de software de simulação de uma bomba de infusão de

insulina de baixo custo. Mestrado Profissional em Inovação Tecnológica
[dissertação]. São José dos Campos (SP): Universidade Federal de São Paulo; 2021.

Roche diagnostics. Accu-chek spirit combo: Instruções de uso. 2012.

Ross PL, Milburn J, Reith DM, Wiltshire E, Wheeler BJ. Clinical review: insulin
pump-associated adverse events in adults and children. Acta Diabetol. 2015;
52:1017–1024.

Rothwell RD, Sutherland IA, Pickup JC, Bending JJ, Keen H, Parsons JA. A new
miniature, open loop, extracorporeal insulin infusion pump. J. Biomed. Eng. 1983;
vol 5, July.

SAE. SAE ARP 4754 - Guidelines for Development of Civil Aircraft and Systems.
Rev. A; 2010.

SAE. SAE ARP 4761 – Guidelines and methods for conducting the safety assessment
process on civil airborne systems and equipment. 1996.

SBD. Diretrizes Sociedade Brasileira de Diabetes 2019-2020. Clannad. 2019.

Tenorio FS. Desenvolvimento e implementação do sistema mecânico de um

protótipo de bomba de infusão de insulina de baixo custo. Mestrado em Medicina
Translacional [dissertação]. São Paulo (SP): Universidade Federal de São Paulo,
2019.

93
Tenorio FS, Martins LEG, Cunha TS. Accuracy of a low-cost continuous
subcutaneous insulin infusion pump prototype: in vitro study using combined
methodologies. Annals of Biomedical Engineering, 2021.

Trence DL, Hirsch IB. Insulin pumps. In: DeFronzo RA, Ferrannini E, Zimmet P,
Alberti G, editors. International Textbook of Diabetes Mellitus 4th ed. JohnWiley &
Sons; 2015. p. 745-757.

Vecchete L. Desenvolvimento de protótipos de bomba de infusão de insulina para

testes. Graduação Engenharia de Computação [monografia]. São José dos Campos
(SP): Universidade Federal de São Paulo; 2018.

Zhang Y, Jones PL, Jetley R. A hazard analysis for a generic insulin infusion pump.
Journal of Diabetics Science and Technology, 2010; vol 4, issue 2, p.263-283.

Ziegler A, Williams T, Yarid N, Schultz DL, Bundock EA. Fatalities due to failure
of continuous subcutaneous insulin infusion devices: A report of six cases. Journal
of Forensic Sciences. 2019; vol. 64, no1, p. 275-280.

94

Apêndice 1: Causas de situações perigosas – Análise Preliminar de Perigos.
Tabela 16: Causas de situações perigosas de alto nível
Situação perigosa
SP-1: Sobre infusão de insulina
SP-2: Perda de infusão de
insulina sem conhecimento do
paciente.
APÊNDICES
Causas
Falha de componente físico
• Falha causando sobreaquecimento e
funcionamento errôneo do microcontrolador
Erros do usuário
• Programação errônea da dosagem de insulina.
• Uso da bomba de insulina fora dos limites de
operação: temperatura, pressão ambiente,
perturbações eletromagnéticas.
Erro de desenvolvimento:
• Erro de software (requisito ou implementação).
• Funcionamento errôneo do microprocessador
devido a temperatura excessiva dentro dos
limites de operação.
• Acionamento indevido do motor de passo
devido a perturbações eletromagnéticas dentro
dos limites de operação (Bell, 1994).
• Acionamento indevido do êmbolo da seringa
devido a variações da pressão ambiente dentro
dos limites de operação (Midthjell, 1994).
Falha de componente físico
Situação operacional, inerente ao uso da bomba
de insulina (ABNT, 2015):
• Bateria descarregada
• Seringa vazia
Erro do usuário:
• Programação errônea da dosagem de insulina.
• Uso da bomba de insulina abaixo do limite de
temperatura, causando congelamento da
insulina
• Uso da bomba de insulina em ambiente
eletromagnético fora dos limites de operação.
Erro de desenvolvimento:
• Microcontrolador inoperativo devido a
temperatura excessiva dentro dos limites de
operação.
95
 Situação perigosa Causas
• Perda de infusão sem alarme devido a
perturbações eletromagnéticas dentro dos
limites de operação
SP-3: Perda de efetividade da Erro do paciente:
insulina. • Uso da insulina fora das condições de validade.
Erro de desenvolvimento:
• Temperatura no compartimento da seringa
excede o limite de uso da insulina.
Erro do paciente:
• Uso do conjunto de infusão por tempo
SP-5: Infecção no local de excessivo (Ross et al., 2015).
infusão Erro do paciente:
• Falta de cuidados higiênicos na substituição do
conjunto de infusão (Ross et al., 2015)
SP-6: Lipodistrofia no local de Erro do paciente:
infusão • Não realizar o rodízio do local de infusão
(Gabbay, 2019).
SP-7: Reação alérgica no local Erro de desenvolvimento:
de infusão. • Falta de adesivo antialérgico como opcional
(Herman et al., 2018).

Os meios usados para elicitação das causas das situações perigosas mostradas na
tabela 16 estão descritos a seguir:
• As 3 causas de situação perigosa em texto verde foram originadas somente
por análise
• As 4 causas em texto azul foram elicitadas somente com informação da
literatura
• As demais causas foram geradas por análise e corroboradas pela literatura

96
 Apêndice 2: Causas de situações perigosas – metodologia STPA
As causas de Ações de Controle Inseguras identificadas estão apresentadas nas
tabelas 17 e 18. Os meios usados para elicitação dessas causas estão apresentados a seguir:

• A causa de situação perigosa em texto verde na tabela 18 foi originada

somente por análise.
• As causas destacadas em texto azul nas tabelas 17 e 18 são mais sutis, e
foram elicitadas somente com informação da literatura.
• As demais causas foram geradas por análise e corroboradas pela literatura.

Tabela 17: Causas de Ações de Controle Inseguras do Controlador Humano

Ação de controle insegura Causas

ACI-1: O paciente não
ajusta a dosagem basal
para atividades físicas
ACI-2: O paciente não
programa bolus para
refeição
ACI-3: O paciente
programa dosagem basal
excessiva.
ACI-4: O paciente
programa dosagem basal
insuficiente.
ACI-5: O paciente
programa dosagem bolus
excessiva.
• O paciente realiza atividades físicas, mas não
programa o basal temporário correspondente.
• O paciente ingere uma refeição, mas não programa o
bolus correspondente
Situações que levam à ação de controle insegura:
• Erro do paciente na programação de dosagem basal
da bomba de insulina
• Dificuldade visual do paciente devido às
complicações crônicas do diabetes (Zhang et al.,
2010).
• Indicação errônea na tela de cristal líquido da bomba
de insulina, induzindo o paciente a erro na
programação da dosagem basal
Situações em que a ação de controle é executada
inadequadamente.
• Falha física dos botões de controle, passando
informação errada para o microcontrolador.
Situações que levam à ação de controle insegura:
• O paciente programa um bolus, mas não ingere a
refeição correspondente
• O paciente realiza estimativa errônea (muito alta) da
quantidade de carboidrato da refeição.
• Erro do paciente ao ler e anotar o valor da glicemia
sanguínea.

97
Ação de controle insegura Causas
• Erro do paciente na programação do bolus na bomba
de insulina
• Informação errônea na tela de cristal líquido da
bomba de insulina, induzindo o paciente a erro na
programação do bolus
• Dificuldade visual do paciente, devido às
complicações crônicas do diabetes, afetando a
medição de glicose sanguínea e a programação da
bomba de insulina.
Situações em que a ação de controle é executada
inadequadamente:
Falha física dos botões de controle, passando
informação errada para o microcontrolador.
ACI-6: O paciente Situações que levam à ação de controle insegura:
programa dosagem bolus • O paciente realiza estimativa errônea (muito baixa)
insuficiente da quantidade de carboidrato da refeição.
• Erro do paciente ao ler e anotar o valor da glicemia
sanguínea.
• Erro do paciente na programação do bolus na bomba
de insulina
• Indicação errônea na tela de cristal líquido da bomba
de insulina, induzindo o paciente a erro na
programação do bolus
• Dificuldade visual do paciente, devido às
complicações crônicas do diabetes, afetando a
medição de glicose sanguínea e a programação da
bomba de insulina.
Situações em que a ação de controle é executada
inadequadamente:
Falha física dos botões de controle, passando
informação errada para o microcontrolador
ACI-7: O paciente • Erro do paciente na programação de dosagem basal
programa a dosagem basal da bomba de insulina.
para cada hora do dia em
• Erro do paciente no ajuste de hora da bomba de
ordem errada.
insulina.
• O paciente viaja para um local com fuso horário
diferente e não ajusta a data e horário da bomba de
insulina (Zhang et al., 2010).

98
 Ação de controle insegura Causas
ACI-8: O paciente • Erro do paciente na programação do período de
programa basal temporário aplicação do basal temporário
para um intervalo de tempo • O paciente programa o basal temporário, mas o
errado. período de aplicação é alterado
ACI-9: O paciente • Erro do paciente na programação do bolus estendido
programa bolus estendido
• O paciente programa bolus estendido para um
muito curto.
intervalo de tempo, mas continua ingerindo alimentos
além do programado
ACI-10: O paciente • Erro do paciente na programação do bolus estendido
programa bolus estendido
• O paciente programa bolus estendido para um
muito longo. intervalo de tempo, mas interrompe a ingestão de
alimentos antes do programado.

Tabela 18: Causas de Ações de Controle Inseguras do Microcontrolador

Ação de controle insegura Causas

ACI-11: O microcontrolador
não envia comando para
dosagem basal
ACI-12: O microcontrolador
não envia comando para
dosagem em bolus
ACI-13: O microcontrolador
não envia comando para
dosagem basal nem
dosagem bolus.
Situações que levam à ação de controle insegura:
• Erro de software (erro de requisito de software, erro
de desenvolvimento de software, software
desatualizado)
Situações que levam à ação de controle insegura:
• Erro de software (erro de requisito de software, erro
de desenvolvimento de software, software
desatualizado)
• O paciente não substitui a bateria conforme
requerido, causando perda de energia elétrica para
funcionamento da bomba de insulina
• Microcontrolador inoperativo devido a
sobreaquecimento (falha elétrica ou erro de
desenvolvimento), ou uso da bomba de insulina fora
do limite de temperatura
• Falhas de componentes físicos: fonte de energia
elétrica, microcontrolador, comunicação entre o
microcontrolador e o driver do motor de passo.

99
Ação de controle insegura Causas
Situações em que a ação de controle (comando do
microcontrolador) não é executada:
• Uso da bomba de insulina em temperatura abaixo
do limite mínimo, causando congelamento da
insulina
• Perda de efetividade da insulina devido ao prazo de
validade excedido ou uso da bomba de insulina em
temperatura acima do limite.
• Seringa de insulina vazia, devido à falta de
substituição quando necessário.
• Conjunto de infusão bloqueado ou desconectado
• Falhas físicas de componentes: motor de passo /
driver associado, transmissão mecânica, seringa.
ACI-14: O microcontrolador Situações que levam à ação de controle insegura:
comanda dosagem basal • Erro de software (erro de requisito de software, erro
excessiva de desenvolvimento de software, software
desatualizado)
ACI-15: O microcontrolador
comanda dosagem basal
insuficiente
ACI-16: O microcontrolador
comanda dosagem em bolus
excessiva.
ACI-17: O microcontrolador
comanda dosagem em bolus
insuficiente
ACI-18: O microcontrolador Situações que levam à ação de controle insegura
comanda liberação imediata • Erro de software (erro de requisito de software, erro
de todo o volume de insulina de desenvolvimento de software, software
da seringa. desatualizado)
• Funcionamento errôneo do microcontrolador devido
à falta de imunidade contra perturbações
eletromagnéticas (erro de desenvolvimento).
• Funcionamento errôneo do microcontrolador
causado por sobre voltagem da fonte de energia
elétrica.
• Funcionamento errôneo do microcontrolador devido
a sobreaquecimento:

100
Ação de controle insegura Causas
• Erro de desenvolvimento resultando
sobreaquecimento em situação normal.
• Uso da bomba de insulina em temperatura
ambiente acima do limite permitido.
• Falha elétrica causando sobreaquecimento.
Situações em que a ação de controle é executada
inadequadamente.
• Erro de desenvolvimento causando acionamento
indevido do êmbolo da seringa devido a variações
de pressão ambiente dentro do envelope de
operação do equipamento (Midthjell et al., 1994).
ACI-19: O microcontrolador Situações que levam à ação de controle insegura:
comanda a dosagem basal Erro de software (erro de requisito de software, erro
para cada hora do dia em de desenvolvimento de software, software
ordem errada. desatualizado)
ACI-20: O microcontrolador
comanda basal temporário
no intervalo de tempo errado
ACI-21: O microcontrolador
comanda bolus atrasado
ACI-22: O microcontrolador
comanda bolus estendido
muito curto.
ACI-23: O microcontrolador
comanda bolus estendido
muito longo.

101
 Apêndice 3: Análise de falhas de componentes físicos
Tabela 19: Análise de falhas de componentes físicos

Falha Efeitos na bomba de insulina Efeitos no paciente Severidade

C-1: Pilha, regulador de tensão e circuito de distribuição de energia elétrica
Função: Fonte primária de energia elétrica para funcionamento da bomba de insulina [F-1.2], [F-1.3].
C-1.1: Perda da fonte primária
de energia elétrica:
• Bateria descarregada
• Falha do regulador de tensão
• Circuito aberto ou em curto
C-1.2:Tensão insuficiente:
• Falha do regulador de tensão
• Fuga de corrente
C-1.3:Tensão excessiva:
• Tensão da pilha acima do
especificado
• Falha do regulador de tensão
C-1.4: Sobreaquecimento:
• Fuga de corrente
Perda da infusão de insulina.
O Paciente deve substituir temporariamente
Uma fonte elétrica alternativa, usando
a bomba de insulina por caneta ou seringa Moderada
capacitor, é usada para fornecer alarme de
para manter a glicemia sob controle.
perda da energia elétrica da pilha.
O Microcontrolador e o controlador de Risco de hipoglicemia ou hiperglicemia Risco de
segurança são submetidos a tensão acima do efeito com
especificado: severidade
• Risco de comandos errôneos ou perda do crítica.
funcionamento, causando sobre infusão ou
perda de infusão de insulina
O Microcontrolador e o controlador de Risco de hipoglicemia ou hiperglicemia Risco de
segurança são submetidos a tensão acima do efeito com
especificado: severidade
crítica.

102
Falha
C-1.5: Liberação de substâncias
do interior da pilha
Efeitos na bomba de insulina Efeitos no paciente Severidade
• Risco de comandos errôneos ou perda do
funcionamento, causando sobre infusão ou
perda de infusão de insulina
Risco de sobre infusão ou sub infusão de Risco de hipoglicemia ou hiperglicemia Risco de
insulina devido a: efeito com
• Funcionamento errôneo da placa eletrônica severidade
crítica
de circuito impresso
• Emperramento da transmissão mecânica

C-2: Botões de controle

Função analisada: Suportar a programação da dosagem de insulina [F-1.2].
C-2.1: Foram consideradas as Pode ocorrer sobre infusão ou sub infusão de Pode ocorrer hipoglicemia ou Crítica
falhas mais severas da função insulina, dependendo do caso de falha hiperglicemia, conforme o caso de falha
analisada:
• Programação errônea da
dosagem de insulina.
• Ativação indevida da
administração do hormônio
• Desativação indevida da
administração de insulina

C-3: Tela de cristal líquido

Função: Apresentar informações e alarmes para o paciente controlar a bomba de insulina [F-1.2.2].

103
Falha
C-3.1: Perda de informação na
tela
C-3.2: Informação errônea na
tela
C-4: Microcontrolador
Funções analisadas: Enviar comandos ao motor de passo [F-1.3.1]; prover informações e alarmes ao paciente [F-1.2.2].
C-4.1: Perda de comando para o
motor de passo
C-4.2: Perda de comando para o
motor de passo e do sinal de
alarme
C-4.3: Comando errôneo para o
motor de passo
C-4.4: Perda de informação
para a tela de cristal líquido
Efeitos na bomba de insulina Efeitos no paciente Severidade
Não é possível continuar usando a bomba de O Paciente deve substituir temporariamente Moderada
insulina. a bomba de insulina por caneta ou seringa
para manter a glicemia sob controle.
A informação errônea induz o paciente a erro Pode ocorrer hipoglicemia ou hiperglicemia Crítica
no controle da bomba de insulina, podendo
resultar sobre infusão ou sub infusão
Resulta perda de infusão de insulina, com O Paciente deve substituir temporariamente Moderada
alarme para o paciente a bomba de insulina por caneta ou seringa
para manter a glicemia sob controle.
Resulta perda de infusão de insulina sem Hiperglicemia, identificada pelas medições Crítica
alarme para o paciente de glicemia ou sintomas no paciente
Pode ocorrer sobre infusão ou sub infusão de Pode ocorrer hipoglicemia ou Hipoglicemia
insulina. Em caso de sobre infusão severa o hiperglicemia. O controlador de segurança Moderada, ou
controlador de segurança corta previne hipoglicemia crítica.
automaticamente o motor de passo Hiperglicemia
crítica
Perda da capacidade de ajustar a dosagem de O Paciente deve substituir temporariamente Moderada
insulina e do monitoramento da bomba de a bomba de insulina por caneta ou seringa
insulina. para manter a glicemia sob controle
Não é permitido o uso da bomba de insulina
sem monitoramento
104
Falha Efeitos na bomba de insulina Efeitos no paciente Severidade
C-4.5: Informação errônea para Pode causar ajuste errôneo da dosagem de Pode ocorrer hipoglicemia ou Hipoglicemia
a tela de cristal líquido insulina. Existe limite máximo para proteger hiperglicemia. O limite máximo de infusão Moderada, ou
contra programação errônea da dosagem de previne hipoglicemia crítica.
insulina Hiperglicemia
crítica
C-4.6: Perda de alarmes sonoros Perda da chamada de atenção sonora para Pode levar o paciente a não responder Crítica
alarmes de alta prioridade prontamente a um alarme de alta prioridade
O alarme visual continua disponível.
C-4.7: Alarmes sonoros Chamada de atenção indevida por meio de O paciente é alertado desnecessariamente Moderada
espúrios alarme sonoro.

C-5: Controlador de segurança

Função: Desativar o motor de passo em caso de sobre infusão severa [F-1.3.1].
C-5.1: O controlador de Sobre infusão severa Hipoglicemia severa Crítica
segurança não desativa o motor
de passo quando requerido
C-5.2: O controlador de Interrupção da infusão de insulina com alarme O Paciente deve substituir temporariamente Moderada
segurança desativa para o paciente a bomba de insulina por caneta ou seringa
inadvertidamente o motor de para manter a glicemia sob controle.
passo.
C-5.3: O controlador de Interrupção da infusão de insulina sem alarme Hiperglicemia identificada por sintomas no Crítica
segurança desativa para o paciente paciente ou medições da glicemia
inadvertidamente o motor de sanguínea
passo sem prover alarme

105
Falha Efeitos na bomba de insulina Efeitos no paciente Severidade

C-6: Motor de passo e driver associado

Função: Acionar a transmissão mecânica, de acordo com os comandos do microcontrolador, para liberar insulina ao paciente [F-1.3.2].
C-6.1: O motor de passo não Perda de infusão de insulina, com alarme O Paciente deve substituir temporariamente Moderada
segue os comandos do para o paciente a bomba de insulina por caneta ou seringa
microcontrolador: para manter a glicemia sob controle.
• Falha do driver
• Falha do motor de passo
C-6.2: Motor de passo travado: • Aumento do consumo de corrente elétrica O Paciente deve substituir temporariamente Moderada
• Travamento do motor do motor de passo a bomba de insulina por caneta ou seringa
• Emperramento da • Sobreaquecimento do driver do motor de para manter a glicemia sob controle.
passo
transmissão mecânica
• Perda de infusão de insulina, com alarme
• Travamento do êmbolo da para o paciente
seringa.
• Oclusão do conjunto de
infusão

C-7: Transmissão mecânica

Função: Converter o movimento rotacional do motor de passo em movimento linear para atuação do êmbolo da seringa [F-1.3.3].
C-7.1: Emperramento do • Aumento do consumo de corrente elétrica O Paciente deve substituir temporariamente Moderada
mecanismo: do motor de passo a bomba de insulina por caneta ou seringa
• Emperramento do fuso com o • Sobreaquecimento do driver do motor de para manter a glicemia sob controle.
bloco de arrasto passo

106
Falha
• Emperramento do bloco de
arrasto
C-7.2: Rotação do motor de
passo não é transmitida ao
êmbolo da seringa:
• Desgaste no fuso ou bloco de
arrasto
• Desgaste na interface do fuso
com o motor de passo
C-8: Seringa
Funções: Conter a insulina e liberar o hormônio para o paciente [F-1.3.4].
C-8.1: Vazamento de insulina
C-8.2: Emperramento do
êmbolo da seringa
Efeitos na bomba de insulina
• Perda da infusão de insulina, com alarme
para o paciente
• Perda da infusão de insulina, com alarme
para o paciente
• Reduz a quantidade de insulina
administrada no paciente
• A insulina se esgota antes do previsto, com
alarme para o paciente
• O vazamento pode alcançar componentes
da bomba de insulina.
• Aumento do consumo de corrente elétrica
do motor de passo
• Perda da infusão de insulina, com alarme
para o paciente
Efeitos no paciente Severidade
O Paciente deve substituir temporariamente Moderada
a bomba de insulina por caneta ou seringa
para manter a glicemia sob controle.
O Paciente deve substituir temporariamente Moderada
a bomba de insulina por caneta ou seringa
para manter a glicemia sob controle.
O Paciente deve substituir temporariamente Moderada
a bomba de insulina por caneta ou seringa
para manter a glicemia sob controle.
107
C-9: Conjunto de infusão
Função: Infundir a insulina, proveniente da seringa, no tecido subcutâneo do paciente [F-1.3.5].
C-9.1: Obstrução do conjunto
de infusão.
C-9.2: Vazamento do conjunto
de infusão.
C-9.3: Cânula desconectada do
paciente.
• Aumento de pressão da insulina no cateter
e na seringa
• Aumento do consumo de corrente elétrica
do motor de passo
• Perda da infusão de insulina no paciente,
identificada por meio de alarme.
• Reduz a quantidade de insulina
administrada no paciente
• A insulina se esgota antes do previsto, com
alarme para o paciente
• Perda da infusão de insulina sem alarme
para o paciente. A situação é detectada por
meio das medições de glicemia e sintomas
do paciente.
O paciente deve substituir o conjunto de Moderada
infusão para prosseguir o tratamento com a
bomba de insulina.
O paciente deve substituir o conjunto de Moderada
infusão para prosseguir o tratamento com a
bomba de insulina.
Hiperglicemia, sem alarme para o paciente. Crítica
A situação é mais severa quando ocorre à
noite, com o paciente dormindo.
108
 Apêndice 4: Análise de erros do usuário
Tabela 20: Análise de erros do usuário

Tarefa Erro do usuário Efeitos na bomba de insulina Efeitos no paciente Severidade

Ligar / desligar a bomba de EU-1: O paciente desliga Perda da infusão de insulina Hiperglicemia, identificada Crítica
insulina [F-1.1.3.1]. inadvertidamente a bomba sem alarme para o paciente. por meio de medições
de insulina glicêmicas e sintomas no
paciente. A situação é mais
severa quando ocorre à
noite, com o paciente
dormindo.
Ajustar a hora da bomba de EU-2: O paciente ajusta a Pode ocorrer sobre infusão ou Oscilações glicêmicas ao Moderada
insulina [F-1.1.3.2]. hora erroneamente sub infusão, dependendo da longo das 24 horas do dia.
hora.
EU-3: O paciente se
desloca para outro fuso
horário e não ajusta a hora.
Configurar o EU-4: O paciente Limitação da proteção para Risco de erro do paciente Moderada
limite máximo configura o limite basal prevenir programação errônea na programação de
Programar a para muito alto (muito alta) de dosagem basal dosagem basal, causando
dosagem programação de hipoglicemia
basal [F- dosagem basal EU-5: O paciente Não será possível programar O paciente não poderá Desprezível
1.1.3.3]. [F-1.1.3.3.1]. configura o limite basal dosagem basal acima do limite programar dose basal acima
muito baixo configurado. do limite configurado

109
Tarefa Erro do usuário
Programar perfis EU-6: O paciente insere
de infusão basal valores errados de dose
[F-1.1.3.3.2]. basal
EU-7: O paciente insere
valores de dose basal fora
de ordem
Iniciar infusão EU-8: O paciente
basal seleciona o perfil basal
[F-1.1.3.3.3]. errado
EU-9: O paciente esquece
de iniciar a infusão basal
• Pausar EU-10: O paciente Perda da infusão de insulina
infusão basal interrompe sem alarme para o paciente.
• Parar infusão inadvertidamente a infusão
basal basal de insulina
[F-1.1.3.3.3].
Programar basal EU-11: O paciente insere
temporário fator de multiplicação
[F-1.1.3.3.4]. muito alto.
Efeitos na bomba de insulina Efeitos no paciente Severidade
Pode ocorrer basal excessivo Pode ocorrer hipoglicemia Hipoglicemia
ou insuficiente, dependendo do ou hiperglicemia. O limite Moderada, ou
erro. A sobre infusão é contida máximo de infusão previne Hiperglicemia
pelo limite máximo de infusão hipoglicemia crítica. crítica
basal.
Pode ocorrer sobre infusão ou Oscilações glicêmicas ao Moderada
sub infusão, dependendo da longo das 24 horas do dia.
hora.
Pode ocorrer sobre infusão ou Pode ocorrer hipoglicemia Moderada
sub infusão. ou hiperglicemia,
dependendo da situação.
A dosagem basal não é Hipoglicemia Moderada ou
administrada no paciente crítica
Hiperglicemia, identificada Crítica
por meio de medições
glicêmicas e sintomas no
paciente.
Sobre infusão de insulina Hipoglicemia Moderada
basal.
110
 Tarefa Erro do usuário Efeitos na bomba de insulina Efeitos no paciente Severidade
EU-12: O paciente insere Sub infusão de insulina basal. Hiperglicemia Moderada
fator de multiplicação
muito baixo.
EU-13: O paciente insere o Sobre ou sub infusão de Podem ocorrer oscilações Moderada
período errado insulina basal, dependendo do glicêmicas
dia e da hora.
Configurar o EU-14: O paciente Limitação da proteção para Risco de erro do paciente Moderada
limite máximo configura o limite para prevenir programação errônea na programação de
para bolus muito alto (muito alta) de bolus. dosagem basal, causando
programação de hipoglicemia
dosagem bolus
EU-15: O paciente Não será possível programar O paciente não poderá usar Desprezível
[F-1.1.3.4.1.1]
configura o limite para dosagem bolus acima do limite a bomba de insulina para
bolus muito baixo configurado. aplicar dosagem bolus
Configurar
acima do limite
parâmetros
configurado.
para bolus
[F-1.1.3.4.1] Configurar EU-16: O paciente Sub infusão de insulina em Glicemia acima do alvo, Moderada
glicemia alvo configura a glicemia alvo bolus identificada nas medições
[F-1.1.3.4.1.2] com valor errado (muito glicêmicas
alto)
EU-17: O paciente Sobre infusão de insulina em Glicemia abaixo do alvo, Moderada
configura a glicemia alvo bolus. identificada nas medições
glicêmicas

111
 Tarefa Erro do usuário Efeitos na bomba de insulina Efeitos no paciente Severidade
com valor errado (muito
baixo)
Configurar fator EU-18: O paciente Sub infusão de insulina em Glicemia acima do alvo, Moderada
de sensibilidade configura o fator de bolus identificada nas medições
[F-1.1.3.4.1.3] sensibilidade com valor glicêmicas
errado (muito alto)
EU-19: O paciente Sobre infusão de insulina em Glicemia abaixo do alvo, Moderada
configura o fator de bolus. identificada nas medições
sensibilidade com valor glicêmicas
errado (muito baixo)
Configurar EU-20: O paciente Sub infusão ou sobre infusão Glicemia fora do alvo Moderada
relação insulina- configura a relação de insulina, dependendo do
carboidrato [F- insulina-carboidrato com valor configurado
1.1.3.4.1.4] valor errado
Configurar EU-21: O paciente Sub infusão ou sobre infusão Glicemia fora do alvo Moderada
tempo de configura errado o tempo de insulina, dependendo do
insulina ativa de insulina ativa. valor configurado
[F-1.1.3.4.1.5]
Programar Inserir o valor EU-22: O paciente insere Sobre infusão de insulina em Glicemia fora do alvo Moderada
bolus padrão da glicemia valor errado (muito alto) bolus
[F-1.1.3.4.2] atual de glicemia atual

112
 Tarefa Erro do usuário Efeitos na bomba de insulina Efeitos no paciente Severidade
[F-1.1.3.4.2.1] EU-23: O paciente insere Sub infusão de insulina em Glicemia fora do alvo Moderada
valor errado (muito baixo) bolus
de glicemia atual
Inserir o valor EU-24: O paciente insere Sobre infusão de insulina em Glicemia fora do alvo Moderada
da quantidade de valor errado (muito alto) bolus
carboidratos de carboidratos
[F-1.1.3.4.2.2]
EU-25: O paciente insere Sub infusão de insulina em Glicemia fora do alvo Moderada
valor errado (muito baixo) bolus
de carboidratos
Programar Inserir o valor EU-26: O paciente insere Sub infusão ou sobre infusão Glicemia fora do alvo Moderada
bolus da glicemia valor errado de glicemia de insulina, dependendo do
estendido atual atual valor inserido.
[F-1.1.3.4.3] [F-1.1.3.4.3.1]
Inserir o valor EU-27: O paciente insere Sub infusão ou sobre infusão Glicemia fora do alvo Moderada
da quantidade de valor errado da quantidade de insulina, dependendo do
carboidratos de carboidrato ingerido valor inserido
[F-1.1.3.4.3.2]
Inserir a duração EU-28: O paciente insere Pode ocorrer sobre infusão ou Podem ocorrer oscilações Moderada
do bolus duração excessiva ou sub infusão, dependendo da glicêmicas.
[F-1.1.3.4.3.3] insuficiente duração inserida.

113
 Tarefa
Cancelar um bolus sendo
administrado [F-1.1.3.4.4]
Substituir a pilha [F-1.3.1], [F-
1.3], [F-1.2].
Erro do usuário Efeitos na bomba de insulina Efeitos no paciente Severidade
EU-29: O paciente Sub infusão de insulina em Hiperglicemia Moderada
interrompe bolus
inadvertidamente o bolus
EU-30: O paciente demora A fonte alternativa de energia Necessidade de inserir Desprezível
muito tempo para instalar elétrica se esgota, causando novamente as informações
a pilha nova perda de informações gravadas perdidas
em memória volátil.
EU-31: O paciente instala O Microcontrolador e o Risco de hipoglicemia ou Risco de
uma pilha com tensão controlador de segurança são hiperglicemia efeito com
muito alta submetidos a tensão acima do severidade
especificado: crítica.
Risco de comandos errôneos
ou perda do funcionamento,
causando sobre infusão ou
perda de infusão de insulina
EU-32: O paciente instala A pilha nova não funciona. O O paciente precisa corrigir Desprezível
a pilha com polaridade alarme de pilha descarregada a instalação da pilha
invertida continua ativado.
EU-33: O paciente não A pilha pode se soltar, O paciente é alertado e Moderada
fecha adequadamente a causando perda da fonte precisa corrigir o problema
tampa do compartimento primária de energia elétrica, ou usar meio alternativo
da pilha com alarme para o paciente (caneta ou injeção) para
114
 Tarefa
Substituir a seringa [F-1.3.2].
Erro do usuário Efeitos na bomba de insulina Efeitos no paciente Severidade
continuar administrando
insulina.
EU-34: O paciente não Risco de infusão acidental de Risco de hipoglicemia Moderada
desconecta o conjunto de insulina.
infusão do corpo para
trocar a seringa
EU-35: O paciente usa A bomba passa a administrar Hiperglicemia, identificada Moderada /
insulina sem efetividade insulina sem efetividade por medições de glicemia e crítica
para encher a seringa: sintomas no paciente
• Data de validade
vencida
• Insulina armazenada em
temperatura inadequada
EU-36: O paciente não O cateter pode soltar da Hiperglicemia, identificada Crítica
conecta adequadamente o seringa, causando perda de por medições de glicemia e
cateter à seringa. infusão no paciente sintomas no paciente
EU-37: O paciente não Presença de ar no interior do Hiperglicemia, identificada Moderada
enche o cateter com cateter, causando redução da por medições de glicemia e
insulina antes de conectar infusão de insulina no paciente. sintomas no paciente
o conjunto de infusão ao
corpo
115
 Tarefa
Substituir o conjunto de infusão
[F-2.1.1], [F-2.1], [F-2.2].
Erro do usuário Efeitos na bomba de insulina Efeitos no paciente Severidade
EU-38: O paciente não A seringa pode se soltar, Hiperglicemia, identificada Crítica
fecha adequadamente a causando perda de infusão de por medições de glicemia e
tampa do compartimento insulina no paciente sintomas no paciente
da seringa
EU-39: A cânula não é A insulina não é infundida no Hiperglicemia, identificada Severa
inserida no tecido paciente. Não existe alarme por medições de glicemia e
subcutâneo do paciente para alertar. sintomas no paciente
EU-40: O paciente não Sem efeito no funcionamento Lipodistrofia no local de Moderada
realiza o rodízio do local da bomba de insulina infusão
de fixação da cânula
EU-41: O paciente não Sem efeito no funcionamento Risco de infecção no local Moderada
substitui o conjunto de da bomba de insulina de infusão
infusão no prazo
recomendado
EU-42: O paciente não Sem efeito no funcionamento
adota os cuidados da bomba de insulina
higiênicos para
substituição do conjunto
de infusão
116

Tabela 21: Análise de falhas de monitores / alarmes
Objetivo do monitor
M-1: Detectar falhas da
fonte primária de energia
elétrica [F-1.2], [F-1.3]
M-2: Proteger contra
sobreaquecimento da placa
de circuito impresso
[F-1.2], [F-1.3]
Apêndice 5: Análise de falhas de monitores / alarmes
Casos de falha
M-1.1: O monitor não dispara
alarme em caso de perda da
fonte primária de energia
elétrica.
M-1.2: O monitor não dispara
alarme em caso de pilha com
tensão excessiva.
M-1.3: O monitor dispara
alarme falso de pilha
descarregada.
M-1.4: O monitor dispara
alarme falso de pilha com
tensão excessiva.
M-2.1: O monitor não dispara
alarme / ação automática em
caso de sobreaquecimento da
placa de circuito impresso
Efeitos na bomba de insulina Efeitos no paciente Severidade
Perda da infusão de insulina sem Hiperglicemia, que pode Crítica
alarme para o paciente evoluir para cetoacidose e
coma
Risco de funcionamento errôneo Risco de hipoglicemia ou Risco de
do microcontrolador e hiperglicemia efeito com
controlador de segurança, severidade
causando sobre infusão ou sub crítica
infusão de insulina
É preciso interromper o uso da O paciente controla Desprezível
bomba de insulina até solucionar temporariamente a glicemia
o problema administrando insulina por
meio de caneta ou injeção.
Risco de funcionamento errôneo Risco de hipoglicemia ou Risco de
do microcontrolador e hiperglicemia efeito com
controlador de segurança, severidade
causando sobre infusão ou sub crítica
infusão de insulina
117
 Objetivo do monitor Casos de falha
M-2.2: O monitor dispara
alarme / ação automática na
ausência de sobreaquecimento.
M-3: Detectar falha dos M-3.1: O monitor não dispara
botões de controle alarme em caso de falha de
[F-1.2.1] botão de controle
M-3.2: O monitor dispara
alarme falso de falha de botão
de controle
M-4: Detectar informação M-4.1: O monitor não dispara
errônea na tela de cristal alarme em caso de informação
líquido errônea na tela de cristal
[F-1.2.2] líquido
M-4.2: O monitor dispara
alarme falso de informação
errônea na tela de cristal
líquido
Efeitos na bomba de insulina Efeitos no paciente Severidade
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico administrando
o problema insulina por meio de caneta
ou injeção.
Sinais errôneos são enviados ao Risco de hipoglicemia ou Risco de
microcontrolador, podendo hiperglicemia efeito com
causar sobre ou sub infusão de severidade
insulina crítica
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico administrando
o problema. insulina por meio de caneta
ou injeção.
Informação falsa provoca erro Risco de hipoglicemia ou Risco de
do paciente na programação da hiperglicemia efeito com
dosagem de insulina e ativação / severidade
desativação da infusão. crítica
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico administrando
o problema. insulina por meio de caneta
ou injeção.
118
 Objetivo do monitor
M-5: Detectar falha do
microcontrolador:
[F-1.2], [F-1.3]
• CPU
• Memória RAM / ROM
• Dispositivos de entrada e
saída
M-6: Identificar perda de
funcionamento do motor de
passo
[F-1.3.2].
M-7: Detectar seringa vazia
[F-1.3.4].
Casos de falha
M-5.1: O monitor não dispara
alarme em caso de falha no
microcontrolador
M-5.2: O monitor dispara
alarme falso de falha no
microcontrolador
M-6.1: O monitor não dispara
alarme em caso de perda do
funcionamento do motor de
passo.
M-6.2: O monitor dispara
alarme falso de falha do motor
de passo.
M-7.1: O monitor não dispara
alarme em caso de seringa
vazia
M-7.2: O monitor dispara
alarme falso de seringa vazia
Efeitos na bomba de insulina Efeitos no paciente Severidade
Funcionamento errôneo do Risco de hipoglicemia ou Risco de
microcontrolador pode causar hiperglicemia efeito com
sobre infusão ou sub infusão de severidade
insulina crítica
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico usando caneta ou
o problema. injeção de insulina.
Perda da infusão de insulina sem Hiperglicemia, que pode Crítica
alarme para o paciente evoluir para cetoacidose e
coma
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico administrando
o problema. insulina por meio de caneta
ou injeção.
Perda da infusão de insulina sem Hiperglicemia, que pode Crítica
alarme para o paciente evoluir para cetoacidose e
coma
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico administrando
o problema. insulina por meio de caneta
ou injeção.
119
 Objetivo do monitor
M-8: Detectar ausência da
seringa [F-1.3.4].
M-9: Identificar as falhas:
• Obstrução do conjunto de
infusão [F-1.3.5].
• Emperramento do êmbolo
da seringa [F-1.3.4].
• Falha da transmissão
mecânica [F-1.3.3].
• Travamento do rotor do
motor de passo [F-1.3.2].
Casos de falha
M-8.1: O monitor não dispara
alarme em caso de ausência da
seringa.
M-8.2: O monitor dispara
alarme falso de ausência da
seringa
M-9.1: O monitor não dispara
alarme em caso de ocorrência
de uma das falhas.
M-9.2: O monitor dispara
alarme falso de ocorrência de
uma das falhas
Efeitos na bomba de insulina Efeitos no paciente Severidade
Perda da infusão de insulina sem Hiperglicemia, que pode Crítica
alarme para o paciente evoluir para cetoacidose e
coma.
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico administrando
o problema. insulina por meio de caneta
ou injeção.
Perda da infusão de insulina sem Hiperglicemia, que pode Crítica
alarme para o paciente evoluir para cetoacidose e
coma.
É preciso interromper o uso da O paciente mantém controle Desprezível
bomba de insulina até solucionar glicêmico administrando
o problema. insulina por meio de caneta
ou injeção.
120