一、什么是功能安全?
通常来说,功能安全针对医疗器械功能可能造成的危害。依据IEC 61508,安全相关系统能够执行必要的动作,使受控设备(EUC)达到安全状态或保持安全状态。
二、我们何时可以采用功能安全?
我们应在以下情况下采用功能安全:
a.一项重大风险与医疗器械的某项功能有关,
b.产品具体标准包含明确的功能安全相关要求。
重大风险是指,在采取风险缓解措施前存在不可接受的功能相关风险,或功能风险的严重性高(例如,导致死亡或造成严重伤害)。
假定高严重性风险发生的概率极低,但在采取风险缓解措施前,可能造成可接受的风险,则有必要采取第二种办法。另外,我们需要质疑发生概率低的证据,并对这些功能进行深入研究。
微控制器故障发生概率很低,所以即使不采取缓解措施,风险也可接受,这是一个典型案例。
三、为什么确保功能安全很重要?
通过开展风险分析和制造功能安全的医疗器械,公司可从提高市场认可和积极的品牌关联中获益。无法确保功能安全会带来严重后果。
四、功能安全原则
- 首次随机硬件故障可能会在任何位置任何时间出现。
- 首次失效不应造成不可接受的风险。
- 若操作员认为首次故障很明显,则不能再使用该医疗器械,且要对其进行修理(操作手册!)。程序结束。
- 若首次故障无法检测,则假定一段时间后(MFOT*)发生二次故障。
- 首次和二次故障造成的综合影响不应引起危害。
- 程序结束。注:在电动医疗器械的典型生命周期内,通常假设不会发生三次独立的随机硬件故障(仅适用于功能安全)。
五、什么是多故障发生时间(MFOT)?
多故障发生时间是指,在这段时间,两次独立故障会被忽视。
对于有些产品,MFOT定义见相应的标准。比如,对于输注泵,MFOT是指一次性耗材的更换时间。值得指出的是有些标准中没有这一定义。但是,通常多故障发生时间被假定为一个处理疗程(若处理时间不长),例如一天一次。
对于简单的部件,若客观证据表明其可靠性高,则多故障发生时间可能会延长(例如,在常规的安全检验过程中,高可靠性紧急停止按钮可能需要一年测试一次)。
六、什么是平均故障间隔时间(MTBF),或平均无故障时间(MTTF)?
平均故障间隔时间是指,两次故障之间的平均时间。平均无故障时间是发生故障前(首次)的平均时间。这些事件在这些时间点发生的概率约为50%。这些时间明显长于多故障发生时间(例如,系数为100)。
七、什么是容错时间(FTT)?
容错时间是指错误在演变成危险前持续的时间。与多故障发生时间相比,容错时间与危害有关。
八、为什么需要进行自检?
医疗器械自检有助于用户看到或检测暗藏的首次故障。如故障可见,遵循第3点原则。
九、需要多久执行一次医疗器械自检?
自检时间间隔比多故障发生时间(MFOT)短。
十、哪种架构适合履行功能安全?
最常见的系统架构及其功能安全的适用性和要求如下表所述。功能控制系统(与功能安全有关)标记为“C”,保护系统标记为“P”。