功能安全在医用电气设备中的应用

邵凌云 张 亮

[文章编号] 1672-8270(2015)09-0035-06 [中图分类号] R197.39 [文献标识码] A

功能安全在医用电气设备中的应用

邵凌云①②张 亮①②

[文章编号] 1672-8270(2015)09-0035-06 [中图分类号] R197.39 [文献标识码] A

目的：提高医用电气设备的安全功能，降低医用电气设备使用过程中对患者产生的风险。方法：分析功能安全标准IEC 61508的定义和应用范围，功能安全中安全完整性等级在医用电气设备中的确定及其设计结构和开发，并展示部分应用实例。结果：为医用设备生产厂商在安全方面的设计提供建议。结论：引用功能安全标准IEC 61508到开发过程中，能辅助提高医用电气设备的安全等级，降低对患者造成的医疗风险。

医用电气设备；功能安全；开发过程；安全完整性等级

[First-author’s address] 1.National Engineering & Research Center for Medical Diagnostic Device, Shenzhen 518057, China. 2.Shenzhen Mindray Bio-medical Electronics Co.,Ltd., Shenzhen, Guangdong 518057, China.

随着我国人口老龄化的进程加剧，医疗器械应用范围逐渐增大，其安全性关系着患者的安危，特别是其中的医用电气设备，由于带有电气/电子/可编程电子安全(electrical/electronic/programmable electronic safety，E/E/PES)系统，使得结构更加复杂，不可能完全判断每种失效模式或者对各种出现的情况进行验证，因而安全性能难以预期。同样与功能安全相关，尤其是生命支持类的设备，如除颤仪、麻醉机、呼吸机、体外循环设备以及婴儿培养箱等设备的控制系统和保护系统安全功能更为重要。为此，本研究从提高医用电气设备的安全功能，降低医用电气设备使用过程中对患者产生的风险进行探讨，提出采用功能安全的理念来设计产品，可有效保障产品的安全性。

1 受控设备功能安全

1.1 ME设备功能安全定义

(1)功能安全。指与受控设备和受控设备控制系统相关的整体安全的组成部分，其取决于E/E/PES、其他技术安全相关系统及外部风险降低设施功能的正确

E/E/PES用来执行安全功能，其功能安全概念源于2000年2月，国际电工委员会(IEC)发布的功能安全基础标准IEC 61508，分为61508-1～7的七个部分(对应国标GB/T 20438-2006系列)[1-4]。医用电气(medical electrical，ME)设备[5-6]由于包含涉及E/E/PES系统，行使[7]。其中，受控设备(equipment under control，EUC)是用于制造、加工、运输、制药或其他活动的设备、机器、器械或成套装置；安全状态是达到安全时EUC的状态。功能安全的简单描述即为安全相关系统采取必要措施使受控设备达到或维持某种安全状态的能力。

(2)操作模式。安全相关系统使用的方式，根据其要求产生的频率而言，可为两种模式之一：①低要求操作模式，在该模式下对一个安全相关系统提出操作要求的频率≤1年/1次和≤2倍的检验测试频率；②高要求或连续模式，在该模式下对一个安全相关系统提出操作要求的频率＞1年/1次和＞2倍的检验测试频率。

(3)目标失效量。相对于安全完整性要求达到预计的危险模式失效概率，规定为下列两种失效概率之一：①按要求执行涉及功能的平均失效概率(对于低要求操作模式)；②每小时危险失效的概率(对于高要求或连续操作模式)。

(4)安全完整性。在规定的条件下和规定的时间内，安全相关系统(即所谓的保护系统)成功实现所要求的安全功能的概率。

(5)安全完整性等级(safety integrity level，SIL)。一种离散的等级(4种可能等级之一)，用于规定分配给E/E/PES安全相关系统的安全功能的安全完整性要求[8]。安全完整性等级4为最高，等级1为最低。其与安全功能目标失效量相关，通常情况下ME设备的目标失效量不会量化到每小时的失效概率，因此医用电气设备的SIL是在低要求操作模式下分配，其符合市场上大多数ME设备要求的对于安全相关系统的维护频率为1年/1次或2年/1次，以确保设备不会因为控制系统失效而对患者造成不可接受的风险[9]。

(6)失效容许时间(fault tolerance time，FTT)。从失效发生到产生危险的最大时间间隔，如220 V电击危险，FTT为数毫秒(ms)。

(7)多重故障发生时间(multiple fault occurrence time，MFOT)。ME设备通用标准GB9706.1-2007条款3.6显示，两个独立的硬件失效同时发生概率极小，可忽略不计，但存在一定的时间间隔，超过其时间间隔，两个独立的失效可能发生，此时间间隔就是MFOT。如在有控制和保护架构的系统中，保护系统中前端采集传感器未设计自检，其产生漂移失效，由于无自检及其他检测方法，系统不能检测到该失效，此时失效叫做失眠时效，即不能被发现的失效，失眠时效可能维持很长时期，在低要求操作模式下考虑经过半年时间间隔(IEC 61508-6[10]中附录B)，需要模拟第二个硬件失效。这半年时间则是MFOT，因此多数设备会在手册中提出需要对某些器件进行定期检查，其目的是为了防止两个独立失效的可能发生。

1.2 ME设备功能安全应用范围

IEC 61508系列标准作为功能安全的基础标准，研究范围涉及跟设备功能有关的危险，电气安全、机械安全、电磁兼容、生物兼容和环境方面未覆盖的危险，基于电子的复杂反应性保护系统，可应用于机械制造、流程工业、运输及医药等所有领域[11-12]。在IEC 61508基础上，不同应用领域的功能安全专标陆续出台，如专门针对流程工业领域安全仪表系统的IEC 61511[13]、针对机械领域的IEC 62061、针对核领域的IEC 61513以及针对铁路领域的EN 50126/7/8等标准[14-15]。医疗器械行业虽无功能安全专用标准要求，但IEC 61508关于功能安全定义要求，ME设备通用安全标准及其对应的专用标准可作为功能安全设计指南。

1.3 ME设备与一般电气安全的区别

电气安全防护形式通常包括固有安全、预防性安全和反应性安全。ME设备通用标准GB9706.1-2007关于电气安全涉及绝缘、漏电流及耐压与固有安全和预防性安全相关，包括简单的反应性防护，采用单个器件如电流过大，保险丝熔断而起到保护作用。而功能安全属于反应性安全中实现比较复杂的一种，通常需要多个器件来完成安全的防护设计，且具有保护系统，其关系如图1所示。

图1 电气安全与功能安全关系框图

2 SIL和安全功能的目标失效量确定

2.1 SIL确定

安全性完整性的定义表明，其与目标失效量(即安全功能执行其设计功能的失效概率)有关，因此需要定义ME设备的SIL，以指导功能安全的设计。确定SIL有定量和定性两种方法，由于定量的方法涉及大量数据比较繁琐，本研究参考IEC 61508-5[16]中附录D的风险图法和表D.1，从定性角度介绍SIL的确定(如图2所示)。

图2 风险分析总框图

对于ME设备而言，其失效产生的危险会导致对一人或多人的严重永久伤害(选择C2)；且其经常会被使用，患者经常暴露在危险区域(选择F2)；最坏情况下这种危险为电击危险，发生时间极端，患者几乎不可能避开此种危险(选择P2)；通常ME设备按标准方法设计此种不期望时间发生概率小且只有少量不期望事件出现(选择W2)。查看图2虚线箭头标记，确定SIL=2(见表1)。

表1 风险图中的数据示例

2.2 目标失效量确定

ME设备功能安全定义表明，ME设备的目标失效量为低要求的操作模式，SIL确定为2后，可根据IEC 61508-1表2确定安全相关系统(即保护系统)，允许的平均失效概率≥10-3且＜10-2(见表2)，这为ME设备的功能安全设计提供数据参考。符合IEC 61508中关于SIL=2的一个方法是遵循ME设备通用标准和专用标准中阐述的单一故障状态要求，即医疗器械的单一故障状态安全要求实际上是SIL=2。

表2 SIL在低要求操作模式下分配E/E/PES系统的安全功能目标失效量

3 功能安全中保护系统的结构原理

(1)典型的控制系统为前端采集、中间判断及后端执行器，GB9706.1-2007要求的ME设备在单一故障状态下不产生安全危险，因此需要提供保护系统。

(2)控制和保护系统组合通常有3种结构：①单CPU；②CP，即1个控制系统C和1个保护系统P，即双通道模型；③CPP，即1个控制系统C、2个保护系统P。

(3)单CPU结构通常设计为单CPU＋独立的“看门狗”来实现保护功能，但需要高频度的自检以保证单一故障安全，包括开机和过程中，因为CPU开机自检只能确保开机无问题，但由于失效可能随时发生，在使用过程中不能确保CPU失效。目前，多数制造商认为单个CPU足以用来进行控制和防护，从理论上分析这种单一结构是无法达到单一故障的安全要求。

(4)CP结构的双通道模型控制系统和保护系统的采集、控制和执行完全独立。设计优点是分析、设计和确认简单化，可靠性提高，但缺点是设计成本高。因此可设计为控制和保护系统中部分器件共用，组成混合双通道模型，但需要对共用部分进行自检，共用部分越多自检越复杂。因此，设计结构中有2个CPU不一定是所谓的双通道模型(如图3所示)。

CPP结构设计同CP结构设计类似，但设计成本显然较前两者均高，需要制造商综合衡量产品的风险和受益比。

4 ME设备中功能安全的开发过程

图3 控制系统和保护系统的典型结构图

ME设备功能安全设计要求应贯穿ME设备的开发过程，包括系统需求、系统架构设计、详细设计以及验证和确认。功能安全设计主要从需求、系统架构设计和验证着手，设计前期需求考虑越充分，后期对产品的设计改动越小。其主要流程为：概述→功能和结构→适用标准清单→主要防护目标→共因失效的防护→微处理器安全→自检→开放项和误差→评论和总结。

ME设备功能安全开发包括预期用途、设备的安全状态(同时需要定义FTT和MFOT)和技术数据(电源、安全分类及运行环境等)，需求阶段定义。

4.1 功能和结构

描述设备的主要功能，并给出结构示意图，包括控制系统和保护系统所有涉及的模块，阐述各模块的功能及数据流向，系统架构设计阶段定义。

4.2 适用标准清单

主要是与功能安全测试相关的标准号和条款号，涉及通用安全标准和专用标准，按顺序详细列出(具体到条款和内容)标准中涉及在单一故障下产品仍要保持某些特性的要求，需求阶段定义。

4.3 主要防护目标

分为标准要求的具体功能安全防护要求和自定义具体功能安全防护要求。对于标准要求的功能安全防护要求，需列出标准规定的基本性能的功能安全防护设计，通常为标准中有单一故障条件要求的以及直接列为基本性能的条款。需要清晰表明按标准要求设计，参考开展模式如下。

(1)过压防护(条款号)：①标准要求，列出标准条款的要求，主要针对过压防护的单独要求，需求阶段定义；②控制系统，详细列出功能安全的控制系统的组成部件，并说明控制系统的工作原理，附上其工作原理图，系统架构设计阶段定义、验证阶段验证；③失效模式，分析控制系统哪些部件的失效会导致功能安全失效，建议按照控制系统的典型结构逐一部件进行分析，系统架构设计阶段定义、验证阶段验证；④保护系统，详细列出保护系统的组成部件，并说明其工作原理，附工作原理图，如果控制系统失效，保护系统存在可确保功能安全的实现，系统架构设计阶段定义、验证阶段验证；⑤独立性，分析控制系统和保护系统是否相互独立(即是否有共用部件)、系统中所有的电源和电源间的关系，以及控制系统和保护系统各部件的供电电源，如有需要，附上控制系统和保护系统各部件的电路图，系统架构设计阶段定义、验证阶段验证；⑥自检，分析并列出控制系统和保护系统开机自检的部件，如MCU、“看门狗”及A/D等，系统架构设计阶段定义、验证阶段验证；⑦评估，在设备设计阶段和设备成型后的验证阶段进行评估分析，从控制系统和保护系统角度对部件进行单一故障下分析(通常模拟无开机自检部件的失效，在未发现的单个故障的情况下且在MFOT外，需要考虑会导致危险的第二个故障条件)，判断是否满足标准要求，并给出通过与否结论，验证阶段评估。

(2)自定义具体功能安全防护要求，列出除标准规定的基本性能外，根据设备的实际应用风险而自定义的基本性能防护设计(如依据风险分析识别出的关键变量的防护)。参考开展模式：①基本原理，由于无标准要求，需描述功能安全失效的条件；②实现，防止功能安全失效的方法或安全功能失效后的反应；③保护措施，详细描述保护措施的实现过程。

4.4 共因失效的防护

考虑涉及内容过多，单独提炼出来。阐述对共因失效而影响两个通道的防护，常见的如两个通道共用的同一电源过高、过低的失效分析、共用同一基准源以及通讯接口(USB、网口、紧急呼叫端口)等。系统架构设计阶段定义、验证阶段验证。

4.5 微处理器

阐述微处理器的CPU、RAM、ROM、寄存器和多个功能模块CPU间的通讯的要求、实现和验证措施。系统架构设计阶段定义、验证阶段验证。

4.6 开放项和误差

阐述功能安全分析中未涉及的内容。

4.7 评论与总结

综合上述内容给出是否符合功能安全要求的结论，如有不符合，指出具体项和建议方法(如图4所示)。

5 ME设备功能安全设计

以注射泵为例，其预期用途是通过泵产生的正压来控制流入患者体内的液体流量的设备，用于临床对患者进行药品的精确连续输注。

5.1 关键变量设计考量

ME设备与安全相关的关键变量应进行防护，以防止被异常修改。推荐的设计方法为冗余设计(存储两次)、多样性设计(存储为不同格式或位置)和访问前先校验备份内容。注射泵中关系患者生命安全的是其注射速度，而注射速度的值修改后建议增加确认步骤实现，防止合理可预见的误修改。注射速度值建议以不同的格式存储两次，当需要用到注射速度值(如检测是否反向输液)，将当前值与备份值进行校验，两者一致再进行后续操作，不一致则停止输液，同时触发报警。

5.2 电源设计考量

图4 单一故障分析方法

注射泵电源经开关电源将网电源电压转换成低电压而后分到各个模块供电，设计要求控制系统与保护系统供电电路不同。考虑到不同器件可能存在不同供电电压情况，可将控制系统分为几路供电，但仍独立于保护系统的供电电路，防止因供电电路故障，导致控制和保护同时失效，造成安全危险。但控制系统和保护系统共用部件和通过某种措施能检测到电源故障并提供报警的除外。通过测试和检查电路图来检查电源独立性设计。

5.3 微处理器安全设计

(1)CPU。①要求：CPU自检程序应至少检测到数据和地址固定故障错误编码或未执行的命令；②实现：在包含CPU的功能模块中进行以下测试，外部看门狗的开机检查，寄存器测试(CCCCH，5555h)，写入和读回ALU测试(如加、减、乘、除)标记位和条件和(或)非条件转移测试；③验证：检查开机自检文档中的源代码。

(2)ROM。①要求：ROM自检程序应至少检测到数据和地址固定故障；②实现：在所有的CPU中执行以下测试，ROM中的代码是通过CRC 16位校验和加密的，在开机时计算校验之和而后与存储的校验之和进行比较；③验证：篡改校验之和，开机时系统会显示错误。

(3)CPU-CPU通讯。①要求：需要实现控制CPU和保护CPU通讯失效的安全措施；②实现：CPU间的通讯通过串口URAT实现，CPU间发送的每个数据包均经过CRC16位加密；③常规的通讯检查：主CPU←←监控CPU，主CPU进入主循环后以1次/s的频率向监控CPU发送状态查询命令包，如果在规定的时间(3 s)内主CPU未能接收到来自监控CPU的版本信息包，则认为通信失败。

(4)监控CPU。①主CPU在收到监控CPU的状态包后还对主CPU、监控CPU之间的状态进行比对，异常则报系统错；②监控CPU在接收到来自主CPU的状态查询命令包时，应及时的发送版本信息数据包，进行握手应答；③实现检查通讯检查功能代码以及在接收端监控CPU篡改数据包，模拟通讯破坏故障，观察系统的反应；④中断主CPU和监控CPU，观察报警反应是否与规定的一致。

6 结语

本研究从功能安全角度介绍ME设备如何确定SIL和设计结构，主要引入功能安全在ME设备中的开发过程，并选取部分实例进行分析。ME设备特别是高风险设备(如医疗器械分类为III类的设备)需要考虑功能安全，以提供其安全性，同时也是获取CE认证的前提和规避美国食品药品监督管理局(FDA)召回风险的有效手段。

[1] IEC 61508.电气/电子/可编程电子安全相关系统的功能安全[S].瑞士：IEC，2010.

[2] 邓意.功能安全和安全完整性等级[C].第七届工业仪表与自动化学术会议，2006.

[3] 靳江红，吴宗之，赵寿堂，等.安全仪表系统的功能安全国内外发展综述[J].化工自动化及仪表，2010(5)：1-6.

[4] 国家质量监督检验检疫总局.GB/T 20438-2006.电气电子可编程电子安全相关系统的功能安全[S].北京：中国标准出版社，2007.

[5] 国家质量监督检验检疫总局.GB9706.1.医用电气设备第1部分：安全通用要求[S].北京：中国标准出版社，2008.

[6] IEC 60601-1.Medical electrical equipment-Part 1：General requirements for basic safety and essential performance.A3.1：2012[S]. Switzerland：IEC，2010.

[7] IEC 61508-4.Functional safety of electrical/ electronic/programmable electronic safety-related systems-Part 4：Definitionsand abbreviations[S]. Switzerland：IEC，2010.

[8] 陈丹，徐建平，李佳嘉.新功能安全标准IEC 61508-2的研究[J].信息技术，2014(3)：111-113.

[9] 史学玲，冯晓升.功能安全与安全完整性等级综述[J].自动化博览，2013(3)：24-27.

[10] IEC 61508-6.Functional safety of electrical electronic programmable electronic safetyrelated system-Part 6 guidelines on the application of IEC 61508-2 and IEC 61508-3[S]. Switzerland：IEC，2010.

[11] 刘瑶.第二十二讲功能安全评估的应用研究[J].仪器仪表标准化与计量，2010(4)：14-16.

[12] 方来华.安全系统的功能安全的发展及实施建议[J].中国安全生产科学技术，2012(9)：85-90.

[13] IEC.Application of IEC 61508 and IEC 61511 in the norwegian petroleum industry[EB/OL]. [2013-02-04] http：/www.olf.no，2013.

[14] 史学玲.功能安全标准的历史过程与发展趋势[J].仪器仪表与标准化计量，2006(2)：6-8.

[15] 史学玲，冯小升.功能安全与我国安全相关的产业创新模式研究[J].世界仪表与自动化，2006(11)：21-23.

[16] IEC.IEC 61508-5 Functional safety of electrical electronic programmable electronic safetyrelated system-part 5 examples of methods for the determination of safety integrity levels[S]. Switzerland：IEC，2010.

Application of functional safety for medical electrical equipment/SHAO Ling-yun, ZHANG Liang// China Medical Equipment,2015,12(9)∶35-40.

Objective∶ To enhance the functional safety of medical electrical equipment and reduce the risk to patient when using the medical electrical equipment. Methods∶ Theory and rationale introduction of functional safety and provide application cases. Results∶ Introduce the definition and application scope of functional safety standards IEC 61508, the determination of safety integrity level of functional safety in the Medical Electrical equipment, and the design structure and development, meanwhile show some application examples. Conclusion∶ Provide suggestions for the manufactures for safety design that introduce functional safety standards IEC 61508 to the development process of Medical Electrical equipment will help enhance the safety level of Medical Electrical equipment and reduce the unacceptable risk’s probability to patient.

Medical electrical equipment; Functional safety; Development process; Safety integrity level

邵凌云,男,(1976- ),硕士，高级工程师。国家医用诊断仪器工程技术研究中心，深圳迈瑞生物医疗电子股份有限公司产品安全与公共平台部副总监，从事产品安全、PCB设计、热设计与力学分析、机械标准化、研发机械测量等方面工作。

2015-01-13

①国家医用诊断仪器工程技术研究中心 广东 深圳 518057

②深圳迈瑞生物医疗电子股份有限公司产品安全与公共平台部 广东 深圳 518057

DOI∶ 10.3969/J.ISSN.1672-8270.2015.09.011