常见问答：医疗器械的功能安全

常见问答：医疗器械的功能安全

1. 什么是功能安全？
   通常来说，功能安全针对医疗器械功能可能造成的危害。依据IEC 61508，安全相关系统能够执行必要的动作，使受控设备（EUC）达到安全状态或保持安全状态。
2. 我们何时可以采用功能安全？ 
   我们应在以下情况下采用功能安全：
   

   a.一项重大风险与医疗器械的某项功能有关，或

   b.产品具体标准包含明确的功能安全相关要求。

   重大风险是指，在采取风险缓解措施前存在不可接受的功能相关风险，或功能风险的严重性高（例如，导致死亡或造成严重伤害）。
   
   假定高严重性风险发生的概率极低，但在采取风险缓解措施前，可能造成可接受的风险，则有必要采取第二种办法。另外，我们需要质疑发生概率低的证据，并对这些功能进行深入研究。
   
   微控制器故障发生概率很低，所以即使不采取缓解措施，风险也可接受，这是一个典型案例。
3. 为什么确保功能安全很重要？
   通过开展风险分析和制造功能安全的医疗器械，公司可从提高市场认可和积极的品牌关联中获益。无法确保功能安全会带来严重后果。
4. 功能安全原则
   以下六项是功能安全评估的基础：
1. 首次随机硬件故障可能会在任何位置任何时间出现。
2. 首次失效不应造成不可接受的风险。
3. 若操作员认为首次故障很明显，则不能再使用该医疗器械，且要对其进行修理（操作手册！）。程序结束。
4. 若首次故障无法检测，则假定一段时间后（MFOT*）发生二次故障。
5. 首次和二次故障造成的综合影响不应引起危害。
6. 程序结束。注：在电动医疗器械的典型生命周期内，通常假设不会发生三次独立的随机硬件故障（仅适用于功能安全）。
5. 什么是多故障发生时间（MFOT）？
   多故障发生时间是指，在这段时间，两次独立故障会被忽视。
   
   对于有些产品，MFOT定义见相应的标准。比如，对于输注泵，MFOT是指一次性耗材的更换时间。值得指出的是有些标准中没有这一定义。但是，通常多故障发生时间被假定为一个处理疗程（若处理时间不长），例如一天一次。
   
   对于简单的部件，若客观证据表明其可靠性高，则多故障发生时间可能会延长（例如，在常规的安全检验过程中，高可靠性紧急停止按钮可能需要一年测试一次）。
6. 什么是平均故障间隔时间（MTBF），或平均无故障时间（MTTF）？
   平均故障间隔时间是指，两次故障之间的平均时间。平均无故障时间是发生故障前（首次）的平均时间。这些事件在这些时间点发生的概率约为50%。这些时间明显长于多故障发生时间（例如，系数为100）。
   
7. 什么是容错时间（FTT）？
   容错时间是指错误在演变成危险前持续的时间。与多故障发生时间相比，容错时间与危害有关。
8. 为什么需要进行自检？
   医疗器械自检有助于用户看到或检测暗藏的首次故障。如故障可见，遵循第3点原则。
   
9. 需要多久执行一次医疗器械自检？
   自检时间间隔比多故障发生时间(MFOT)短。
10. 哪种架构适合履行功能安全？
    最常见的系统架构及其功能安全的适用性和要求如下表所述。功能控制系统（与功能安全有关）标记为“C”，保护系统标记为“P”。
    
    以下是简化后的早产儿恒温箱部件的示例。示例中给出的危害是温度过高（41℃以上）。控制系统应控制温度，例如，采用闭合的电路控制器。温度达到41℃时，保护系统会将加热器关闭。.*备注：未显示系统中的其它部件，例如传感器。
    

简易架构	适合性和要求
	纯控制系统（C） “不适合” 纯控制系统（C）不适合功能安全要求，因为违反了第2)项原则。
	控制系统 + 独立关闭路径（C + WD） “可接受” 自检要求： ——依据IEC 61508，在容错时间内和“中等”类别进行“C”自检。 ——依据IEC 61508，在多故障发生时间内和“简单”类别进行监视器 + 关闭路径自检，或作为黑匣子进行功能自检。 带附加监视器的控制系统可接受。但是，这难以实现，因为控制系统的总体功能必须在容错时间内进行检测。此外，自检深度也在加强（依据IEC61508，“中等”类别）。监视器包括其关闭路径需要在多故障发生时间内完成检测。 在纯物理通道内采用不同的（非冗余）控制和保护系统可以减少自检需要。每个硬件故障不会以同样的方式影响到两个通道，即可形成多样化。上述高强度自检还涵盖潜在的共态故障检测。
	控制系统 + 保护系统（CP） “标准工况” 自检要求： ——依据IEC 61508，在多故障发生时间内和“简单”类别进行“P”自检。自检可根据部件逐一进行，或作为黑匣子进行功能检测。 带保护系统的控制系统和独立的保护系统广泛用于功能安全中。保护系统需要在多故障发生时间内检测（依据IEC 61508，“简单”类别，或者作为黑匣子）。
	控制系统 + 保护系统（CPP） “不可能执行自检时采用这种架构” 自检要求： ——无 带两个独立保护系统的控制系统无需执行任何自检。这种架构通常在不能执行自检时使用，例如用于过压保护。
	硬件中含控制系统与保护系统（CP在硬件中） “复杂工况” 自检要求： ——控制器（C和P）的自检级别取决于C和P的多元化 ——依据IEC 61508，在多故障发生时间内和“简单”类别进行监视器 + 关闭路径的自检，或作为黑匣子进行功能自检。