基于FMEDA的醫療設備硬件可靠性和安全性分析

熊文澤，王璐，唐春娥

（機械工業儀器儀表綜合技術經濟研究所，北京 100055）

0 引言

傳統上，對于微型心室輔助裝置等醫療設備的安全性和可靠性評價主要以整機的功能、性能和適用性等為主，從元器件層面對其開展白盒分析的方法不多。FMEDA（Failure Modes Effects and Diagnostic Analysis，失效模式、影響及其診斷分析）在功能安全技術的快速發展下得到迅速推廣，是功能安全相關基礎標準推薦的方法之一，目前已經逐漸成為面向安全關鍵設備的定量安全分析的重要手段。微型心室輔助裝置是對運行過程中安全性和可靠性要求非常高的醫療設備，除了機械結構的可靠性之外，其控制器的功能可靠性也是決定微型心室輔助裝置能夠安全工作的關鍵。由于其需要24 h 安裝在人體上，且一旦發生錯誤將對患者產生生命危害，因此需要對于控制器的所有安全相關組件進行詳細分析，從而，一方面可以對其持續運行的可靠性進行改良和提升，另一方面可以對其設計的故障診斷功能進行全面檢查，以確保當控制器能力降低或發生關鍵故障時能夠及時提醒患者盡快就醫。

1 FMEDA技術簡介

1.1 FMEDA 的來源和目的

FMEDA 技術是開展安全關鍵設備的安全和可靠性評估的一種重要方法，FMEDA 是對FMEA 的擴展，其在傳統FMEA 的基礎上，考慮了診斷功能的影響，并引入定量失效率，從而實現對于設備可靠性指標的定量計算。它對各種可能的風險進行評價、分析，以便在現有技術的基礎上消除這些風險或將這些風險減小到可接受的水平。具體來說，通過實行FMEDA，可在產品設計真正實現之前發現產品的弱點，可在原形樣機階段或在大批量生產之前確定產品缺陷。及時性是成功實施FMEA 的最重要因素之一，它是一個“事前的行為”，而不是“事后的行為”。

FMEDA 分析的目的是：

根據已知安全要求，提出待評估設備的目標失效量控制要求、結構約束要求與診斷要求；

依據上述結論對待評估設備進行失效模式影響及其診斷分析，統計該系統的安全失效率、危險可診斷的失效率（Danger Detected Failure Rate）、危險不可診斷的失效率（Danger Undetected Failure Rate），并計算診斷覆蓋率（Diagonosis Coverage）、安全失效分數（Safety Failure Fraction）、要求時平均失效概率（PFD）、每小時危險失效頻率（PFH）等安全參數；

總結該系統目前與對應的安全和可靠性要求的符合情況，并給出為完全滿足安全和可靠性要求的建議技術措施及其實現辦法。

1.2 FMEDA 中失效劃分方法和工作流程

在FMEDA 分析前，應根據系統具體應用情況，結合安全理論，定義待分析對象的“安全”“危險”“能診斷”和“不能診斷”狀態，對于冗余結構，還要考慮其共因失效。再根據設備結構和原理，將其分成不同的層次，對于每個層次，再將其分解為不同的模塊。失效劃分的原理如圖1 所示。

圖1 失效劃分原理

FMEDA 分析的原理是結合安全關鍵系統具體應用情況，根據系統中特定失效發生時的影響，將每一個待分析的模塊中的每一個失效模式歸為下列4 種失效類型中的一種：

安全可檢測的失效，即λ；安全不可檢測的失效，即λ；危險可檢測的失效，即λ；危險不可檢測的失效，即λ。

（注：上述計算公式引自于GB/T 20438.2 的附錄C 診斷覆蓋率和安全失效分數）

具體的FMEDA 分析流程如圖2 所示。

圖2 FMEDA分析流程圖

2 微型心室輔助裝置控制器FMEDA分析實踐

本文以微型心室輔助裝置控制器為對象，對其實施FMEDA 分析，以確定該控制器的安全性和可靠性。

2.1 微型心室輔助裝置控制器基本結構（見圖3）

圖3 微型心室輔助裝置控制器基本結構

2.2 分析假設及基礎失效率數據庫

參考“GB/T 7826《系統可靠性分析技術 失效模式和影響分析（FMEA）程序》/IEC 60812”中的分析方法，完成本次的分析過程。元器件的基本失效率數據采用西門子的電子元件可靠性手冊SN29500 中的數據。元器件的失效模式以及應力模型參考GB/T 7289《電學元器件可靠性 失效率的基準條件和失效率轉換的應力模型》/IEC 61709 制定。參考GB/T 20438《電氣/電子/可編程電子安全相關系統的功能安全》/IEC 61508 估計不同安全措施的診斷覆蓋率，并且應用標準中給定的PFD和PFH 計算公式，以及引用標準中對不同SIL 的結構要求和失效率要求。

本次的分析是建立在如下的假設條件上的：元件失效被視為彼此獨立；元件失效時，其他元件全部未失效；元件的失效不考慮瞬時狀態，不考慮失效的參數值變化過程；元件的設計、制造、安裝、使用均符合規范，降額設計幅度滿足最高限值的2/3；元件的失效率在計算所取的時間段內恒定；元件的基本失效率和應力模型，采用通用的標準規定，不考慮特殊工藝或特殊材料對失效率的影響。

2.3 分析計算表格

抽取控制器的電機驅動模塊中的驅動芯片和穩壓二極管，介紹說明分析的具體過程。

FMEDA 的詳細分表（見表1）的項目包括：位號、型號/參數、電路圖、組件類型、失效模式、失效占比、模式失效率、失效后果、失效類型、安全措施、DC、

表1 FMEDA 詳細分表

對于元件的失效模式和應力模型，參照IEC 61709得到表2。

表2 元件的失效模式和應力模型

2.4 分析結論

經過計算（見表3）可知，控制器、電源適配器以及組成電機控制系統，硬件隨機失效率能夠滿足SIL3 的安全回路要求，受限于結構約束，產品沒有實現完全的硬件冗余，因此根據HFT 和SFF 的組合條件，只能滿足SIL2 的要求。

表3 硬件隨機失效評估計算結果

綜合上述情況，該產品能夠應用于安全完整性等級不超過SIL2 的應用環境。

3 總結

在功能安全技術的推動下，FMEDA 在安全關鍵設備設計過程中發揮著越來越重要的作用，FMEDA 也是故障插入測試的基礎。這對于安全性和可靠性要求高的醫療設備也有較好的適應性，當然這種分析的有效性依賴于基礎元器件失效數據的準確性、分析人員的專業能力以及面向特定醫療設備的失效后果評價等方面，如果能夠繼續深入研究，構建適用于醫療設備應用環境和標準要求的數據庫或功能庫，可以進一步發揮FMEDA的功能和效果。