熊文澤，王璐，唐春娥

（機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，北京 100055）

0 引言

傳統(tǒng)上，對于微型心室輔助裝置等醫(yī)療設(shè)備的安全性和可靠性評價主要以整機的功能、性能和適用性等為主，從元器件層面對其開展白盒分析的方法不多。FMEDA（Failure Modes Effects and Diagnostic Analysis，失效模式、影響及其診斷分析）在功能安全技術(shù)的快速發(fā)展下得到迅速推廣，是功能安全相關(guān)基礎(chǔ)標(biāo)準(zhǔn)推薦的方法之一，目前已經(jīng)逐漸成為面向安全關(guān)鍵設(shè)備的定量安全分析的重要手段。微型心室輔助裝置是對運行過程中安全性和可靠性要求非常高的醫(yī)療設(shè)備，除了機械結(jié)構(gòu)的可靠性之外，其控制器的功能可靠性也是決定微型心室輔助裝置能夠安全工作的關(guān)鍵。由于其需要24 h 安裝在人體上，且一旦發(fā)生錯誤將對患者產(chǎn)生生命危害，因此需要對于控制器的所有安全相關(guān)組件進行詳細(xì)分析，從而，一方面可以對其持續(xù)運行的可靠性進行改良和提升，另一方面可以對其設(shè)計的故障診斷功能進行全面檢查，以確保當(dāng)控制器能力降低或發(fā)生關(guān)鍵故障時能夠及時提醒患者盡快就醫(yī)。

1 FMEDA技術(shù)簡介

1.1 FMEDA 的來源和目的

FMEDA 技術(shù)是開展安全關(guān)鍵設(shè)備的安全和可靠性評估的一種重要方法，F(xiàn)MEDA 是對FMEA 的擴展，其在傳統(tǒng)FMEA 的基礎(chǔ)上，考慮了診斷功能的影響，并引入定量失效率，從而實現(xiàn)對于設(shè)備可靠性指標(biāo)的定量計算。它對各種可能的風(fēng)險進行評價、分析，以便在現(xiàn)有技術(shù)的基礎(chǔ)上消除這些風(fēng)險或?qū)⑦@些風(fēng)險減小到可接受的水平。具體來說，通過實行FMEDA，可在產(chǎn)品設(shè)計真正實現(xiàn)之前發(fā)現(xiàn)產(chǎn)品的弱點，可在原形樣機階段或在大批量生產(chǎn)之前確定產(chǎn)品缺陷。及時性是成功實施FMEA 的最重要因素之一，它是一個“事前的行為”，而不是“事后的行為”。

FMEDA 分析的目的是：

根據(jù)已知安全要求，提出待評估設(shè)備的目標(biāo)失效量控制要求、結(jié)構(gòu)約束要求與診斷要求；

依據(jù)上述結(jié)論對待評估設(shè)備進行失效模式影響及其診斷分析，統(tǒng)計該系統(tǒng)的安全失效率、危險可診斷的失效率（Danger Detected Failure Rate）、危險不可診斷的失效率（Danger Undetected Failure Rate），并計算診斷覆蓋率（Diagonosis Coverage）、安全失效分?jǐn)?shù)（Safety Failure Fraction）、要求時平均失效概率（PFD）、每小時危險失效頻率（PFH）等安全參數(shù)；

總結(jié)該系統(tǒng)目前與對應(yīng)的安全和可靠性要求的符合情況，并給出為完全滿足安全和可靠性要求的建議技術(shù)措施及其實現(xiàn)辦法。

1.2 FMEDA 中失效劃分方法和工作流程

在FMEDA 分析前，應(yīng)根據(jù)系統(tǒng)具體應(yīng)用情況，結(jié)合安全理論，定義待分析對象的“安全”“危險”“能診斷”和“不能診斷”狀態(tài)，對于冗余結(jié)構(gòu)，還要考慮其共因失效。再根據(jù)設(shè)備結(jié)構(gòu)和原理，將其分成不同的層次，對于每個層次，再將其分解為不同的模塊。失效劃分的原理如圖1 所示。

圖1 失效劃分原理

FMEDA 分析的原理是結(jié)合安全關(guān)鍵系統(tǒng)具體應(yīng)用情況，根據(jù)系統(tǒng)中特定失效發(fā)生時的影響，將每一個待分析的模塊中的每一個失效模式歸為下列4 種失效類型中的一種：

安全可檢測的失效，即λ；安全不可檢測的失效，即λ；危險可檢測的失效，即λ；危險不可檢測的失效，即λ。

（注：上述計算公式引自于GB/T 20438.2 的附錄C 診斷覆蓋率和安全失效分?jǐn)?shù)）

具體的FMEDA 分析流程如圖2 所示。

圖2 FMEDA分析流程圖

2 微型心室輔助裝置控制器FMEDA分析實踐

本文以微型心室輔助裝置控制器為對象，對其實施FMEDA 分析，以確定該控制器的安全性和可靠性。

2.1 微型心室輔助裝置控制器基本結(jié)構(gòu)（見圖3）

圖3 微型心室輔助裝置控制器基本結(jié)構(gòu)

2.2 分析假設(shè)及基礎(chǔ)失效率數(shù)據(jù)庫

參考“GB/T 7826《系統(tǒng)可靠性分析技術(shù) 失效模式和影響分析（FMEA）程序》/IEC 60812”中的分析方法，完成本次的分析過程。元器件的基本失效率數(shù)據(jù)采用西門子的電子元件可靠性手冊SN29500 中的數(shù)據(jù)。元器件的失效模式以及應(yīng)力模型參考GB/T 7289《電學(xué)元器件可靠性 失效率的基準(zhǔn)條件和失效率轉(zhuǎn)換的應(yīng)力模型》/IEC 61709 制定。參考GB/T 20438《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》/IEC 61508 估計不同安全措施的診斷覆蓋率，并且應(yīng)用標(biāo)準(zhǔn)中給定的PFD和PFH 計算公式，以及引用標(biāo)準(zhǔn)中對不同SIL 的結(jié)構(gòu)要求和失效率要求。

本次的分析是建立在如下的假設(shè)條件上的：元件失效被視為彼此獨立；元件失效時，其他元件全部未失效；元件的失效不考慮瞬時狀態(tài)，不考慮失效的參數(shù)值變化過程；元件的設(shè)計、制造、安裝、使用均符合規(guī)范，降額設(shè)計幅度滿足最高限值的2/3；元件的失效率在計算所取的時間段內(nèi)恒定；元件的基本失效率和應(yīng)力模型，采用通用的標(biāo)準(zhǔn)規(guī)定，不考慮特殊工藝或特殊材料對失效率的影響。

2.3 分析計算表格

抽取控制器的電機驅(qū)動模塊中的驅(qū)動芯片和穩(wěn)壓二極管，介紹說明分析的具體過程。

FMEDA 的詳細(xì)分表（見表1）的項目包括：位號、型號/參數(shù)、電路圖、組件類型、失效模式、失效占比、模式失效率、失效后果、失效類型、安全措施、DC、

表1 FMEDA 詳細(xì)分表

對于元件的失效模式和應(yīng)力模型，參照IEC 61709得到表2。

表2 元件的失效模式和應(yīng)力模型

2.4 分析結(jié)論

經(jīng)過計算（見表3）可知，控制器、電源適配器以及組成電機控制系統(tǒng)，硬件隨機失效率能夠滿足SIL3 的安全回路要求，受限于結(jié)構(gòu)約束，產(chǎn)品沒有實現(xiàn)完全的硬件冗余，因此根據(jù)HFT 和SFF 的組合條件，只能滿足SIL2 的要求。

表3 硬件隨機失效評估計算結(jié)果

綜合上述情況，該產(chǎn)品能夠應(yīng)用于安全完整性等級不超過SIL2 的應(yīng)用環(huán)境。

3 總結(jié)

在功能安全技術(shù)的推動下，F(xiàn)MEDA 在安全關(guān)鍵設(shè)備設(shè)計過程中發(fā)揮著越來越重要的作用，F(xiàn)MEDA 也是故障插入測試的基礎(chǔ)。這對于安全性和可靠性要求高的醫(yī)療設(shè)備也有較好的適應(yīng)性，當(dāng)然這種分析的有效性依賴于基礎(chǔ)元器件失效數(shù)據(jù)的準(zhǔn)確性、分析人員的專業(yè)能力以及面向特定醫(yī)療設(shè)備的失效后果評價等方面，如果能夠繼續(xù)深入研究，構(gòu)建適用于醫(yī)療設(shè)備應(yīng)用環(huán)境和標(biāo)準(zhǔn)要求的數(shù)據(jù)庫或功能庫，可以進一步發(fā)揮FMEDA的功能和效果。