基于FMEDA的醫(yī)療設(shè)備硬件可靠性和安全性分析

熊文澤，王璐，唐春娥

（機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所，北京 100055）

0 引言

傳統(tǒng)上，對(duì)于微型心室輔助裝置等醫(yī)療設(shè)備的安全性和可靠性評(píng)價(jià)主要以整機(jī)的功能、性能和適用性等為主，從元器件層面對(duì)其開(kāi)展白盒分析的方法不多。FMEDA（Failure Modes Effects and Diagnostic Analysis，失效模式、影響及其診斷分析）在功能安全技術(shù)的快速發(fā)展下得到迅速推廣，是功能安全相關(guān)基礎(chǔ)標(biāo)準(zhǔn)推薦的方法之一，目前已經(jīng)逐漸成為面向安全關(guān)鍵設(shè)備的定量安全分析的重要手段。微型心室輔助裝置是對(duì)運(yùn)行過(guò)程中安全性和可靠性要求非常高的醫(yī)療設(shè)備，除了機(jī)械結(jié)構(gòu)的可靠性之外，其控制器的功能可靠性也是決定微型心室輔助裝置能夠安全工作的關(guān)鍵。由于其需要24 h 安裝在人體上，且一旦發(fā)生錯(cuò)誤將對(duì)患者產(chǎn)生生命危害，因此需要對(duì)于控制器的所有安全相關(guān)組件進(jìn)行詳細(xì)分析，從而，一方面可以對(duì)其持續(xù)運(yùn)行的可靠性進(jìn)行改良和提升，另一方面可以對(duì)其設(shè)計(jì)的故障診斷功能進(jìn)行全面檢查，以確保當(dāng)控制器能力降低或發(fā)生關(guān)鍵故障時(shí)能夠及時(shí)提醒患者盡快就醫(yī)。

1 FMEDA技術(shù)簡(jiǎn)介

1.1 FMEDA 的來(lái)源和目的

FMEDA 技術(shù)是開(kāi)展安全關(guān)鍵設(shè)備的安全和可靠性評(píng)估的一種重要方法，F(xiàn)MEDA 是對(duì)FMEA 的擴(kuò)展，其在傳統(tǒng)FMEA 的基礎(chǔ)上，考慮了診斷功能的影響，并引入定量失效率，從而實(shí)現(xiàn)對(duì)于設(shè)備可靠性指標(biāo)的定量計(jì)算。它對(duì)各種可能的風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)、分析，以便在現(xiàn)有技術(shù)的基礎(chǔ)上消除這些風(fēng)險(xiǎn)或?qū)⑦@些風(fēng)險(xiǎn)減小到可接受的水平。具體來(lái)說(shuō)，通過(guò)實(shí)行FMEDA，可在產(chǎn)品設(shè)計(jì)真正實(shí)現(xiàn)之前發(fā)現(xiàn)產(chǎn)品的弱點(diǎn)，可在原形樣機(jī)階段或在大批量生產(chǎn)之前確定產(chǎn)品缺陷。及時(shí)性是成功實(shí)施FMEA 的最重要因素之一，它是一個(gè)“事前的行為”，而不是“事后的行為”。

FMEDA 分析的目的是：

根據(jù)已知安全要求，提出待評(píng)估設(shè)備的目標(biāo)失效量控制要求、結(jié)構(gòu)約束要求與診斷要求；

依據(jù)上述結(jié)論對(duì)待評(píng)估設(shè)備進(jìn)行失效模式影響及其診斷分析，統(tǒng)計(jì)該系統(tǒng)的安全失效率、危險(xiǎn)可診斷的失效率（Danger Detected Failure Rate）、危險(xiǎn)不可診斷的失效率（Danger Undetected Failure Rate），并計(jì)算診斷覆蓋率（Diagonosis Coverage）、安全失效分?jǐn)?shù)（Safety Failure Fraction）、要求時(shí)平均失效概率（PFD）、每小時(shí)危險(xiǎn)失效頻率（PFH）等安全參數(shù)；

總結(jié)該系統(tǒng)目前與對(duì)應(yīng)的安全和可靠性要求的符合情況，并給出為完全滿足安全和可靠性要求的建議技術(shù)措施及其實(shí)現(xiàn)辦法。

1.2 FMEDA 中失效劃分方法和工作流程

在FMEDA 分析前，應(yīng)根據(jù)系統(tǒng)具體應(yīng)用情況，結(jié)合安全理論，定義待分析對(duì)象的“安全”“危險(xiǎn)”“能診斷”和“不能診斷”狀態(tài)，對(duì)于冗余結(jié)構(gòu)，還要考慮其共因失效。再根據(jù)設(shè)備結(jié)構(gòu)和原理，將其分成不同的層次，對(duì)于每個(gè)層次，再將其分解為不同的模塊。失效劃分的原理如圖1 所示。

圖1 失效劃分原理

FMEDA 分析的原理是結(jié)合安全關(guān)鍵系統(tǒng)具體應(yīng)用情況，根據(jù)系統(tǒng)中特定失效發(fā)生時(shí)的影響，將每一個(gè)待分析的模塊中的每一個(gè)失效模式歸為下列4 種失效類型中的一種：

安全可檢測(cè)的失效，即λ；安全不可檢測(cè)的失效，即λ；危險(xiǎn)可檢測(cè)的失效，即λ；危險(xiǎn)不可檢測(cè)的失效，即λ。

（注：上述計(jì)算公式引自于GB/T 20438.2 的附錄C 診斷覆蓋率和安全失效分?jǐn)?shù)）

具體的FMEDA 分析流程如圖2 所示。

圖2 FMEDA分析流程圖

2 微型心室輔助裝置控制器FMEDA分析實(shí)踐

本文以微型心室輔助裝置控制器為對(duì)象，對(duì)其實(shí)施FMEDA 分析，以確定該控制器的安全性和可靠性。

2.1 微型心室輔助裝置控制器基本結(jié)構(gòu)（見(jiàn)圖3）

圖3 微型心室輔助裝置控制器基本結(jié)構(gòu)

2.2 分析假設(shè)及基礎(chǔ)失效率數(shù)據(jù)庫(kù)

參考“GB/T 7826《系統(tǒng)可靠性分析技術(shù) 失效模式和影響分析（FMEA）程序》/IEC 60812”中的分析方法，完成本次的分析過(guò)程。元器件的基本失效率數(shù)據(jù)采用西門(mén)子的電子元件可靠性手冊(cè)SN29500 中的數(shù)據(jù)。元器件的失效模式以及應(yīng)力模型參考GB/T 7289《電學(xué)元器件可靠性 失效率的基準(zhǔn)條件和失效率轉(zhuǎn)換的應(yīng)力模型》/IEC 61709 制定。參考GB/T 20438《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》/IEC 61508 估計(jì)不同安全措施的診斷覆蓋率，并且應(yīng)用標(biāo)準(zhǔn)中給定的PFD和PFH 計(jì)算公式，以及引用標(biāo)準(zhǔn)中對(duì)不同SIL 的結(jié)構(gòu)要求和失效率要求。

本次的分析是建立在如下的假設(shè)條件上的：元件失效被視為彼此獨(dú)立；元件失效時(shí)，其他元件全部未失效；元件的失效不考慮瞬時(shí)狀態(tài)，不考慮失效的參數(shù)值變化過(guò)程；元件的設(shè)計(jì)、制造、安裝、使用均符合規(guī)范，降額設(shè)計(jì)幅度滿足最高限值的2/3；元件的失效率在計(jì)算所取的時(shí)間段內(nèi)恒定；元件的基本失效率和應(yīng)力模型，采用通用的標(biāo)準(zhǔn)規(guī)定，不考慮特殊工藝或特殊材料對(duì)失效率的影響。

2.3 分析計(jì)算表格

抽取控制器的電機(jī)驅(qū)動(dòng)模塊中的驅(qū)動(dòng)芯片和穩(wěn)壓二極管，介紹說(shuō)明分析的具體過(guò)程。

FMEDA 的詳細(xì)分表（見(jiàn)表1）的項(xiàng)目包括：位號(hào)、型號(hào)/參數(shù)、電路圖、組件類型、失效模式、失效占比、模式失效率、失效后果、失效類型、安全措施、DC、

表1 FMEDA 詳細(xì)分表

對(duì)于元件的失效模式和應(yīng)力模型，參照IEC 61709得到表2。

表2 元件的失效模式和應(yīng)力模型

2.4 分析結(jié)論

經(jīng)過(guò)計(jì)算（見(jiàn)表3）可知，控制器、電源適配器以及組成電機(jī)控制系統(tǒng)，硬件隨機(jī)失效率能夠滿足SIL3 的安全回路要求，受限于結(jié)構(gòu)約束，產(chǎn)品沒(méi)有實(shí)現(xiàn)完全的硬件冗余，因此根據(jù)HFT 和SFF 的組合條件，只能滿足SIL2 的要求。

表3 硬件隨機(jī)失效評(píng)估計(jì)算結(jié)果

綜合上述情況，該產(chǎn)品能夠應(yīng)用于安全完整性等級(jí)不超過(guò)SIL2 的應(yīng)用環(huán)境。

3 總結(jié)

在功能安全技術(shù)的推動(dòng)下，F(xiàn)MEDA 在安全關(guān)鍵設(shè)備設(shè)計(jì)過(guò)程中發(fā)揮著越來(lái)越重要的作用，F(xiàn)MEDA 也是故障插入測(cè)試的基礎(chǔ)。這對(duì)于安全性和可靠性要求高的醫(yī)療設(shè)備也有較好的適應(yīng)性，當(dāng)然這種分析的有效性依賴于基礎(chǔ)元器件失效數(shù)據(jù)的準(zhǔn)確性、分析人員的專業(yè)能力以及面向特定醫(yī)療設(shè)備的失效后果評(píng)價(jià)等方面，如果能夠繼續(xù)深入研究，構(gòu)建適用于醫(yī)療設(shè)備應(yīng)用環(huán)境和標(biāo)準(zhǔn)要求的數(shù)據(jù)庫(kù)或功能庫(kù)，可以進(jìn)一步發(fā)揮FMEDA的功能和效果。