功能安全在醫用電氣設備中的應用

邵凌云 張 亮

[文章編號] 1672-8270(2015)09-0035-06 [中圖分類號] R197.39 [文獻標識碼] A

功能安全在醫用電氣設備中的應用

邵凌云①②張 亮①②

[文章編號] 1672-8270(2015)09-0035-06 [中圖分類號] R197.39 [文獻標識碼] A

目的：提高醫用電氣設備的安全功能，降低醫用電氣設備使用過程中對患者產生的風險。方法：分析功能安全標準IEC 61508的定義和應用范圍，功能安全中安全完整性等級在醫用電氣設備中的確定及其設計結構和開發，并展示部分應用實例。結果：為醫用設備生產廠商在安全方面的設計提供建議。結論：引用功能安全標準IEC 61508到開發過程中，能輔助提高醫用電氣設備的安全等級，降低對患者造成的醫療風險。

醫用電氣設備；功能安全；開發過程；安全完整性等級

[First-author’s address] 1.National Engineering & Research Center for Medical Diagnostic Device, Shenzhen 518057, China. 2.Shenzhen Mindray Bio-medical Electronics Co.,Ltd., Shenzhen, Guangdong 518057, China.

隨著我國人口老齡化的進程加劇，醫療器械應用范圍逐漸增大，其安全性關系著患者的安危，特別是其中的醫用電氣設備，由于帶有電氣/電子/可編程電子安全(electrical/electronic/programmable electronic safety，E/E/PES)系統，使得結構更加復雜，不可能完全判斷每種失效模式或者對各種出現的情況進行驗證，因而安全性能難以預期。同樣與功能安全相關，尤其是生命支持類的設備，如除顫儀、麻醉機、呼吸機、體外循環設備以及嬰兒培養箱等設備的控制系統和保護系統安全功能更為重要。為此，本研究從提高醫用電氣設備的安全功能，降低醫用電氣設備使用過程中對患者產生的風險進行探討，提出采用功能安全的理念來設計產品，可有效保障產品的安全性。

1 受控設備功能安全

1.1 ME設備功能安全定義

(1)功能安全。指與受控設備和受控設備控制系統相關的整體安全的組成部分，其取決于E/E/PES、其他技術安全相關系統及外部風險降低設施功能的正確

E/E/PES用來執行安全功能，其功能安全概念源于2000年2月，國際電工委員會(IEC)發布的功能安全基礎標準IEC 61508，分為61508-1～7的七個部分(對應國標GB/T 20438-2006系列)[1-4]。醫用電氣(medical electrical，ME)設備[5-6]由于包含涉及E/E/PES系統，行使[7]。其中，受控設備(equipment under control，EUC)是用于制造、加工、運輸、制藥或其他活動的設備、機器、器械或成套裝置；安全狀態是達到安全時EUC的狀態。功能安全的簡單描述即為安全相關系統采取必要措施使受控設備達到或維持某種安全狀態的能力。

(2)操作模式。安全相關系統使用的方式，根據其要求產生的頻率而言，可為兩種模式之一：①低要求操作模式，在該模式下對一個安全相關系統提出操作要求的頻率≤1年/1次和≤2倍的檢驗測試頻率；②高要求或連續模式，在該模式下對一個安全相關系統提出操作要求的頻率＞1年/1次和＞2倍的檢驗測試頻率。

(3)目標失效量。相對于安全完整性要求達到預計的危險模式失效概率，規定為下列兩種失效概率之一：①按要求執行涉及功能的平均失效概率(對于低要求操作模式)；②每小時危險失效的概率(對于高要求或連續操作模式)。

(4)安全完整性。在規定的條件下和規定的時間內，安全相關系統(即所謂的保護系統)成功實現所要求的安全功能的概率。

(5)安全完整性等級(safety integrity level，SIL)。一種離散的等級(4種可能等級之一)，用于規定分配給E/E/PES安全相關系統的安全功能的安全完整性要求[8]。安全完整性等級4為最高，等級1為最低。其與安全功能目標失效量相關，通常情況下ME設備的目標失效量不會量化到每小時的失效概率，因此醫用電氣設備的SIL是在低要求操作模式下分配，其符合市場上大多數ME設備要求的對于安全相關系統的維護頻率為1年/1次或2年/1次，以確保設備不會因為控制系統失效而對患者造成不可接受的風險[9]。

(6)失效容許時間(fault tolerance time，FTT)。從失效發生到產生危險的最大時間間隔，如220 V電擊危險，FTT為數毫秒(ms)。

(7)多重故障發生時間(multiple fault occurrence time，MFOT)。ME設備通用標準GB9706.1-2007條款3.6顯示，兩個獨立的硬件失效同時發生概率極小，可忽略不計，但存在一定的時間間隔，超過其時間間隔，兩個獨立的失效可能發生，此時間間隔就是MFOT。如在有控制和保護架構的系統中，保護系統中前端采集傳感器未設計自檢，其產生漂移失效，由于無自檢及其他檢測方法，系統不能檢測到該失效，此時失效叫做失眠時效，即不能被發現的失效，失眠時效可能維持很長時期，在低要求操作模式下考慮經過半年時間間隔(IEC 61508-6[10]中附錄B)，需要模擬第二個硬件失效。這半年時間則是MFOT，因此多數設備會在手冊中提出需要對某些器件進行定期檢查，其目的是為了防止兩個獨立失效的可能發生。

1.2 ME設備功能安全應用范圍

IEC 61508系列標準作為功能安全的基礎標準，研究范圍涉及跟設備功能有關的危險，電氣安全、機械安全、電磁兼容、生物兼容和環境方面未覆蓋的危險，基于電子的復雜反應性保護系統，可應用于機械制造、流程工業、運輸及醫藥等所有領域[11-12]。在IEC 61508基礎上，不同應用領域的功能安全專標陸續出臺，如專門針對流程工業領域安全儀表系統的IEC 61511[13]、針對機械領域的IEC 62061、針對核領域的IEC 61513以及針對鐵路領域的EN 50126/7/8等標準[14-15]。醫療器械行業雖無功能安全專用標準要求，但IEC 61508關于功能安全定義要求，ME設備通用安全標準及其對應的專用標準可作為功能安全設計指南。

1.3 ME設備與一般電氣安全的區別

電氣安全防護形式通常包括固有安全、預防性安全和反應性安全。ME設備通用標準GB9706.1-2007關于電氣安全涉及絕緣、漏電流及耐壓與固有安全和預防性安全相關，包括簡單的反應性防護，采用單個器件如電流過大，保險絲熔斷而起到保護作用。而功能安全屬于反應性安全中實現比較復雜的一種，通常需要多個器件來完成安全的防護設計，且具有保護系統，其關系如圖1所示。

圖1 電氣安全與功能安全關系框圖

2 SIL和安全功能的目標失效量確定

2.1 SIL確定

安全性完整性的定義表明，其與目標失效量(即安全功能執行其設計功能的失效概率)有關，因此需要定義ME設備的SIL，以指導功能安全的設計。確定SIL有定量和定性兩種方法，由于定量的方法涉及大量數據比較繁瑣，本研究參考IEC 61508-5[16]中附錄D的風險圖法和表D.1，從定性角度介紹SIL的確定(如圖2所示)。

圖2 風險分析總框圖

對于ME設備而言，其失效產生的危險會導致對一人或多人的嚴重永久傷害(選擇C2)；且其經常會被使用，患者經常暴露在危險區域(選擇F2)；最壞情況下這種危險為電擊危險，發生時間極端，患者幾乎不可能避開此種危險(選擇P2)；通常ME設備按標準方法設計此種不期望時間發生概率小且只有少量不期望事件出現(選擇W2)。查看圖2虛線箭頭標記，確定SIL=2(見表1)。

表1 風險圖中的數據示例

2.2 目標失效量確定

ME設備功能安全定義表明，ME設備的目標失效量為低要求的操作模式，SIL確定為2后，可根據IEC 61508-1表2確定安全相關系統(即保護系統)，允許的平均失效概率≥10-3且＜10-2(見表2)，這為ME設備的功能安全設計提供數據參考。符合IEC 61508中關于SIL=2的一個方法是遵循ME設備通用標準和專用標準中闡述的單一故障狀態要求，即醫療器械的單一故障狀態安全要求實際上是SIL=2。

表2 SIL在低要求操作模式下分配E/E/PES系統的安全功能目標失效量

3 功能安全中保護系統的結構原理

(1)典型的控制系統為前端采集、中間判斷及后端執行器，GB9706.1-2007要求的ME設備在單一故障狀態下不產生安全危險，因此需要提供保護系統。

(2)控制和保護系統組合通常有3種結構：①單CPU；②CP，即1個控制系統C和1個保護系統P，即雙通道模型；③CPP，即1個控制系統C、2個保護系統P。

(3)單CPU結構通常設計為單CPU＋獨立的“看門狗”來實現保護功能，但需要高頻度的自檢以保證單一故障安全，包括開機和過程中，因為CPU開機自檢只能確保開機無問題，但由于失效可能隨時發生，在使用過程中不能確保CPU失效。目前，多數制造商認為單個CPU足以用來進行控制和防護，從理論上分析這種單一結構是無法達到單一故障的安全要求。

(4)CP結構的雙通道模型控制系統和保護系統的采集、控制和執行完全獨立。設計優點是分析、設計和確認簡單化，可靠性提高，但缺點是設計成本高。因此可設計為控制和保護系統中部分器件共用，組成混合雙通道模型，但需要對共用部分進行自檢，共用部分越多自檢越復雜。因此，設計結構中有2個CPU不一定是所謂的雙通道模型(如圖3所示)。

CPP結構設計同CP結構設計類似，但設計成本顯然較前兩者均高，需要制造商綜合衡量產品的風險和受益比。

4 ME設備中功能安全的開發過程

圖3 控制系統和保護系統的典型結構圖

ME設備功能安全設計要求應貫穿ME設備的開發過程，包括系統需求、系統架構設計、詳細設計以及驗證和確認。功能安全設計主要從需求、系統架構設計和驗證著手，設計前期需求考慮越充分，后期對產品的設計改動越小。其主要流程為：概述→功能和結構→適用標準清單→主要防護目標→共因失效的防護→微處理器安全→自檢→開放項和誤差→評論和總結。

ME設備功能安全開發包括預期用途、設備的安全狀態(同時需要定義FTT和MFOT)和技術數據(電源、安全分類及運行環境等)，需求階段定義。

4.1 功能和結構

描述設備的主要功能，并給出結構示意圖，包括控制系統和保護系統所有涉及的模塊，闡述各模塊的功能及數據流向，系統架構設計階段定義。

4.2 適用標準清單

主要是與功能安全測試相關的標準號和條款號，涉及通用安全標準和專用標準，按順序詳細列出(具體到條款和內容)標準中涉及在單一故障下產品仍要保持某些特性的要求，需求階段定義。

4.3 主要防護目標

分為標準要求的具體功能安全防護要求和自定義具體功能安全防護要求。對于標準要求的功能安全防護要求，需列出標準規定的基本性能的功能安全防護設計，通常為標準中有單一故障條件要求的以及直接列為基本性能的條款。需要清晰表明按標準要求設計，參考開展模式如下。

(1)過壓防護(條款號)：①標準要求，列出標準條款的要求，主要針對過壓防護的單獨要求，需求階段定義；②控制系統，詳細列出功能安全的控制系統的組成部件，并說明控制系統的工作原理，附上其工作原理圖，系統架構設計階段定義、驗證階段驗證；③失效模式，分析控制系統哪些部件的失效會導致功能安全失效，建議按照控制系統的典型結構逐一部件進行分析，系統架構設計階段定義、驗證階段驗證；④保護系統，詳細列出保護系統的組成部件，并說明其工作原理，附工作原理圖，如果控制系統失效，保護系統存在可確保功能安全的實現，系統架構設計階段定義、驗證階段驗證；⑤獨立性，分析控制系統和保護系統是否相互獨立(即是否有共用部件)、系統中所有的電源和電源間的關系，以及控制系統和保護系統各部件的供電電源，如有需要，附上控制系統和保護系統各部件的電路圖，系統架構設計階段定義、驗證階段驗證；⑥自檢，分析并列出控制系統和保護系統開機自檢的部件，如MCU、“看門狗”及A/D等，系統架構設計階段定義、驗證階段驗證；⑦評估，在設備設計階段和設備成型后的驗證階段進行評估分析，從控制系統和保護系統角度對部件進行單一故障下分析(通常模擬無開機自檢部件的失效，在未發現的單個故障的情況下且在MFOT外，需要考慮會導致危險的第二個故障條件)，判斷是否滿足標準要求，并給出通過與否結論，驗證階段評估。

(2)自定義具體功能安全防護要求，列出除標準規定的基本性能外，根據設備的實際應用風險而自定義的基本性能防護設計(如依據風險分析識別出的關鍵變量的防護)。參考開展模式：①基本原理，由于無標準要求，需描述功能安全失效的條件；②實現，防止功能安全失效的方法或安全功能失效后的反應；③保護措施，詳細描述保護措施的實現過程。

4.4 共因失效的防護

考慮涉及內容過多，單獨提煉出來。闡述對共因失效而影響兩個通道的防護，常見的如兩個通道共用的同一電源過高、過低的失效分析、共用同一基準源以及通訊接口(USB、網口、緊急呼叫端口)等。系統架構設計階段定義、驗證階段驗證。

4.5 微處理器

闡述微處理器的CPU、RAM、ROM、寄存器和多個功能模塊CPU間的通訊的要求、實現和驗證措施。系統架構設計階段定義、驗證階段驗證。

4.6 開放項和誤差

闡述功能安全分析中未涉及的內容。

4.7 評論與總結

綜合上述內容給出是否符合功能安全要求的結論，如有不符合，指出具體項和建議方法(如圖4所示)。

5 ME設備功能安全設計

以注射泵為例，其預期用途是通過泵產生的正壓來控制流入患者體內的液體流量的設備，用于臨床對患者進行藥品的精確連續輸注。

5.1 關鍵變量設計考量

ME設備與安全相關的關鍵變量應進行防護，以防止被異常修改。推薦的設計方法為冗余設計(存儲兩次)、多樣性設計(存儲為不同格式或位置)和訪問前先校驗備份內容。注射泵中關系患者生命安全的是其注射速度，而注射速度的值修改后建議增加確認步驟實現，防止合理可預見的誤修改。注射速度值建議以不同的格式存儲兩次，當需要用到注射速度值(如檢測是否反向輸液)，將當前值與備份值進行校驗，兩者一致再進行后續操作，不一致則停止輸液，同時觸發報警。

5.2 電源設計考量

圖4 單一故障分析方法

注射泵電源經開關電源將網電源電壓轉換成低電壓而后分到各個模塊供電，設計要求控制系統與保護系統供電電路不同。考慮到不同器件可能存在不同供電電壓情況，可將控制系統分為幾路供電，但仍獨立于保護系統的供電電路，防止因供電電路故障，導致控制和保護同時失效，造成安全危險。但控制系統和保護系統共用部件和通過某種措施能檢測到電源故障并提供報警的除外。通過測試和檢查電路圖來檢查電源獨立性設計。

5.3 微處理器安全設計

(1)CPU。①要求：CPU自檢程序應至少檢測到數據和地址固定故障錯誤編碼或未執行的命令；②實現：在包含CPU的功能模塊中進行以下測試，外部看門狗的開機檢查，寄存器測試(CCCCH，5555h)，寫入和讀回ALU測試(如加、減、乘、除)標記位和條件和(或)非條件轉移測試；③驗證：檢查開機自檢文檔中的源代碼。

(2)ROM。①要求：ROM自檢程序應至少檢測到數據和地址固定故障；②實現：在所有的CPU中執行以下測試，ROM中的代碼是通過CRC 16位校驗和加密的，在開機時計算校驗之和而后與存儲的校驗之和進行比較；③驗證：篡改校驗之和，開機時系統會顯示錯誤。

(3)CPU-CPU通訊。①要求：需要實現控制CPU和保護CPU通訊失效的安全措施；②實現：CPU間的通訊通過串口URAT實現，CPU間發送的每個數據包均經過CRC16位加密；③常規的通訊檢查：主CPU←←監控CPU，主CPU進入主循環后以1次/s的頻率向監控CPU發送狀態查詢命令包，如果在規定的時間(3 s)內主CPU未能接收到來自監控CPU的版本信息包，則認為通信失敗。

(4)監控CPU。①主CPU在收到監控CPU的狀態包后還對主CPU、監控CPU之間的狀態進行比對，異常則報系統錯；②監控CPU在接收到來自主CPU的狀態查詢命令包時，應及時的發送版本信息數據包，進行握手應答；③實現檢查通訊檢查功能代碼以及在接收端監控CPU篡改數據包，模擬通訊破壞故障，觀察系統的反應；④中斷主CPU和監控CPU，觀察報警反應是否與規定的一致。

6 結語

本研究從功能安全角度介紹ME設備如何確定SIL和設計結構，主要引入功能安全在ME設備中的開發過程，并選取部分實例進行分析。ME設備特別是高風險設備(如醫療器械分類為III類的設備)需要考慮功能安全，以提供其安全性，同時也是獲取CE認證的前提和規避美國食品藥品監督管理局(FDA)召回風險的有效手段。

[1] IEC 61508.電氣/電子/可編程電子安全相關系統的功能安全[S].瑞士：IEC，2010.

[2] 鄧意.功能安全和安全完整性等級[C].第七屆工業儀表與自動化學術會議，2006.

[3] 靳江紅，吳宗之，趙壽堂，等.安全儀表系統的功能安全國內外發展綜述[J].化工自動化及儀表，2010(5)：1-6.

[4] 國家質量監督檢驗檢疫總局.GB/T 20438-2006.電氣電子可編程電子安全相關系統的功能安全[S].北京：中國標準出版社，2007.

[5] 國家質量監督檢驗檢疫總局.GB9706.1.醫用電氣設備第1部分：安全通用要求[S].北京：中國標準出版社，2008.

[6] IEC 60601-1.Medical electrical equipment-Part 1：General requirements for basic safety and essential performance.A3.1：2012[S]. Switzerland：IEC，2010.

[7] IEC 61508-4.Functional safety of electrical/ electronic/programmable electronic safety-related systems-Part 4：Definitionsand abbreviations[S]. Switzerland：IEC，2010.

[8] 陳丹，徐建平，李佳嘉.新功能安全標準IEC 61508-2的研究[J].信息技術，2014(3)：111-113.

[9] 史學玲，馮曉升.功能安全與安全完整性等級綜述[J].自動化博覽，2013(3)：24-27.

[10] IEC 61508-6.Functional safety of electrical electronic programmable electronic safetyrelated system-Part 6 guidelines on the application of IEC 61508-2 and IEC 61508-3[S]. Switzerland：IEC，2010.

[11] 劉瑤.第二十二講功能安全評估的應用研究[J].儀器儀表標準化與計量，2010(4)：14-16.

[12] 方來華.安全系統的功能安全的發展及實施建議[J].中國安全生產科學技術，2012(9)：85-90.

[13] IEC.Application of IEC 61508 and IEC 61511 in the norwegian petroleum industry[EB/OL]. [2013-02-04] http：/www.olf.no，2013.

[14] 史學玲.功能安全標準的歷史過程與發展趨勢[J].儀器儀表與標準化計量，2006(2)：6-8.

[15] 史學玲，馮小升.功能安全與我國安全相關的產業創新模式研究[J].世界儀表與自動化，2006(11)：21-23.

[16] IEC.IEC 61508-5 Functional safety of electrical electronic programmable electronic safetyrelated system-part 5 examples of methods for the determination of safety integrity levels[S]. Switzerland：IEC，2010.

Application of functional safety for medical electrical equipment/SHAO Ling-yun, ZHANG Liang// China Medical Equipment,2015,12(9)∶35-40.

Objective∶ To enhance the functional safety of medical electrical equipment and reduce the risk to patient when using the medical electrical equipment. Methods∶ Theory and rationale introduction of functional safety and provide application cases. Results∶ Introduce the definition and application scope of functional safety standards IEC 61508, the determination of safety integrity level of functional safety in the Medical Electrical equipment, and the design structure and development, meanwhile show some application examples. Conclusion∶ Provide suggestions for the manufactures for safety design that introduce functional safety standards IEC 61508 to the development process of Medical Electrical equipment will help enhance the safety level of Medical Electrical equipment and reduce the unacceptable risk’s probability to patient.

Medical electrical equipment; Functional safety; Development process; Safety integrity level

邵凌云,男,(1976- ),碩士，高級工程師。國家醫用診斷儀器工程技術研究中心，深圳邁瑞生物醫療電子股份有限公司產品安全與公共平臺部副總監，從事產品安全、PCB設計、熱設計與力學分析、機械標準化、研發機械測量等方面工作。

2015-01-13

①國家醫用診斷儀器工程技術研究中心 廣東 深圳 518057

②深圳邁瑞生物醫療電子股份有限公司產品安全與公共平臺部 廣東 深圳 518057

DOI∶ 10.3969/J.ISSN.1672-8270.2015.09.011