基于FMEDA的医疗设备硬件可靠性和安全性分析

熊文泽，王璐，唐春娥

（机械工业仪器仪表综合技术经济研究所，北京 100055）

0 引言

传统上，对于微型心室辅助装置等医疗设备的安全性和可靠性评价主要以整机的功能、性能和适用性等为主，从元器件层面对其开展白盒分析的方法不多。FMEDA（Failure Modes Effects and Diagnostic Analysis，失效模式、影响及其诊断分析）在功能安全技术的快速发展下得到迅速推广，是功能安全相关基础标准推荐的方法之一，目前已经逐渐成为面向安全关键设备的定量安全分析的重要手段。微型心室辅助装置是对运行过程中安全性和可靠性要求非常高的医疗设备，除了机械结构的可靠性之外，其控制器的功能可靠性也是决定微型心室辅助装置能够安全工作的关键。由于其需要24 h 安装在人体上，且一旦发生错误将对患者产生生命危害，因此需要对于控制器的所有安全相关组件进行详细分析，从而，一方面可以对其持续运行的可靠性进行改良和提升，另一方面可以对其设计的故障诊断功能进行全面检查，以确保当控制器能力降低或发生关键故障时能够及时提醒患者尽快就医。

1 FMEDA技术简介

1.1 FMEDA 的来源和目的

FMEDA 技术是开展安全关键设备的安全和可靠性评估的一种重要方法，FMEDA 是对FMEA 的扩展，其在传统FMEA 的基础上，考虑了诊断功能的影响，并引入定量失效率，从而实现对于设备可靠性指标的定量计算。它对各种可能的风险进行评价、分析，以便在现有技术的基础上消除这些风险或将这些风险减小到可接受的水平。具体来说，通过实行FMEDA，可在产品设计真正实现之前发现产品的弱点，可在原形样机阶段或在大批量生产之前确定产品缺陷。及时性是成功实施FMEA 的最重要因素之一，它是一个“事前的行为”，而不是“事后的行为”。

FMEDA 分析的目的是：

根据已知安全要求，提出待评估设备的目标失效量控制要求、结构约束要求与诊断要求；

依据上述结论对待评估设备进行失效模式影响及其诊断分析，统计该系统的安全失效率、危险可诊断的失效率（Danger Detected Failure Rate）、危险不可诊断的失效率（Danger Undetected Failure Rate），并计算诊断覆盖率（Diagonosis Coverage）、安全失效分数（Safety Failure Fraction）、要求时平均失效概率（PFD）、每小时危险失效频率（PFH）等安全参数；

总结该系统目前与对应的安全和可靠性要求的符合情况，并给出为完全满足安全和可靠性要求的建议技术措施及其实现办法。

1.2 FMEDA 中失效划分方法和工作流程

在FMEDA 分析前，应根据系统具体应用情况，结合安全理论，定义待分析对象的“安全”“危险”“能诊断”和“不能诊断”状态，对于冗余结构，还要考虑其共因失效。再根据设备结构和原理，将其分成不同的层次，对于每个层次，再将其分解为不同的模块。失效划分的原理如图1 所示。

图1 失效划分原理

FMEDA 分析的原理是结合安全关键系统具体应用情况，根据系统中特定失效发生时的影响，将每一个待分析的模块中的每一个失效模式归为下列4 种失效类型中的一种：

安全可检测的失效，即λ；安全不可检测的失效，即λ；危险可检测的失效，即λ；危险不可检测的失效，即λ。

（注：上述计算公式引自于GB/T 20438.2 的附录C 诊断覆盖率和安全失效分数）

具体的FMEDA 分析流程如图2 所示。

图2 FMEDA分析流程图

2 微型心室辅助装置控制器FMEDA分析实践

本文以微型心室辅助装置控制器为对象，对其实施FMEDA 分析，以确定该控制器的安全性和可靠性。

2.1 微型心室辅助装置控制器基本结构（见图3）

图3 微型心室辅助装置控制器基本结构

2.2 分析假设及基础失效率数据库

参考“GB/T 7826《系统可靠性分析技术 失效模式和影响分析（FMEA）程序》/IEC 60812”中的分析方法，完成本次的分析过程。元器件的基本失效率数据采用西门子的电子元件可靠性手册SN29500 中的数据。元器件的失效模式以及应力模型参考GB/T 7289《电学元器件可靠性 失效率的基准条件和失效率转换的应力模型》/IEC 61709 制定。参考GB/T 20438《电气/电子/可编程电子安全相关系统的功能安全》/IEC 61508 估计不同安全措施的诊断覆盖率，并且应用标准中给定的PFD和PFH 计算公式，以及引用标准中对不同SIL 的结构要求和失效率要求。

本次的分析是建立在如下的假设条件上的：元件失效被视为彼此独立；元件失效时，其他元件全部未失效；元件的失效不考虑瞬时状态，不考虑失效的参数值变化过程；元件的设计、制造、安装、使用均符合规范，降额设计幅度满足最高限值的2/3；元件的失效率在计算所取的时间段内恒定；元件的基本失效率和应力模型，采用通用的标准规定，不考虑特殊工艺或特殊材料对失效率的影响。

2.3 分析计算表格

抽取控制器的电机驱动模块中的驱动芯片和稳压二极管，介绍说明分析的具体过程。

FMEDA 的详细分表（见表1）的项目包括：位号、型号/参数、电路图、组件类型、失效模式、失效占比、模式失效率、失效后果、失效类型、安全措施、DC、

表1 FMEDA 详细分表

对于元件的失效模式和应力模型，参照IEC 61709得到表2。

表2 元件的失效模式和应力模型

2.4 分析结论

经过计算（见表3）可知，控制器、电源适配器以及组成电机控制系统，硬件随机失效率能够满足SIL3 的安全回路要求，受限于结构约束，产品没有实现完全的硬件冗余，因此根据HFT 和SFF 的组合条件，只能满足SIL2 的要求。

表3 硬件随机失效评估计算结果

综合上述情况，该产品能够应用于安全完整性等级不超过SIL2 的应用环境。

3 总结

在功能安全技术的推动下，FMEDA 在安全关键设备设计过程中发挥着越来越重要的作用，FMEDA 也是故障插入测试的基础。这对于安全性和可靠性要求高的医疗设备也有较好的适应性，当然这种分析的有效性依赖于基础元器件失效数据的准确性、分析人员的专业能力以及面向特定医疗设备的失效后果评价等方面，如果能够继续深入研究，构建适用于医疗设备应用环境和标准要求的数据库或功能库，可以进一步发挥FMEDA的功能和效果。