FMEA在某質(zhì)子治療安全系統(tǒng)風(fēng)險管理中的應(yīng)用

王守元 宋云濤 馮漢升 李 實

(1.中國科學(xué)院合肥物質(zhì)科學(xué)研究院等離子體物理研究所 安徽 合肥 230031；2.中國科學(xué)技術(shù)大學(xué) 安徽 合肥 230027；3.合肥中科離子醫(yī)學(xué)技術(shù)裝備有限公司 安徽 合肥 230088)

一、導(dǎo)言

上世紀(jì) 50 年代，美國首先在軍事設(shè)備的設(shè)計中進(jìn)行 FMEA應(yīng)用，70年代后期，F(xiàn)MEA技術(shù)應(yīng)用于日常生活，工業(yè)和醫(yī)療行業(yè)，90年代ISO9000推薦使用FMEA提高產(chǎn)品和過程設(shè)計。FMEA 作為風(fēng)險管理工具可以對風(fēng)險進(jìn)行識別后，并對每種風(fēng)險的發(fā)生概率和嚴(yán)重程度進(jìn)行評估，獲取風(fēng)險的風(fēng)險度排序，對風(fēng)險度較高的風(fēng)險進(jìn)行控制，降低風(fēng)險度[1]。根據(jù)目前的FMEA研究情況，F(xiàn)MEA 在產(chǎn)品的設(shè)計開發(fā)項目中，可以科學(xué)合理的進(jìn)行風(fēng)險管理，本文嘗試探究 FMEA 在安全系統(tǒng)風(fēng)險管理中的應(yīng)用。

二、基于FMEA的風(fēng)險管理模型

風(fēng)險管理伴隨著系統(tǒng)的全生命周期，包括風(fēng)險管理計劃、風(fēng)險識別、風(fēng)險評價、風(fēng)險控制四個步驟[2]，見圖1所示。

圖1 風(fēng)險管理模型

風(fēng)險管理計劃

在此階段，需要成立風(fēng)險管理小組，進(jìn)行風(fēng)險管理活動職責(zé)和權(quán)限的分配，確認(rèn)評審組人員，確定風(fēng)險管理的總體方案，按照風(fēng)險識別、風(fēng)險評價和風(fēng)險控制的思路進(jìn)行風(fēng)險管理，定期進(jìn)行風(fēng)險管理評審。

針對安全系統(tǒng)的失效風(fēng)險，在風(fēng)險管理計劃中，需要規(guī)定從技術(shù)以及管理的角度進(jìn)行風(fēng)險管理。

風(fēng)險識別

風(fēng)險識別伴隨著安全系統(tǒng)的整個生命周期，其目的是對識別對項目產(chǎn)生危害的風(fēng)險，幫助在風(fēng)險識別過程后對風(fēng)險的評價以及尋找措施進(jìn)行風(fēng)險控制，降低產(chǎn)生的嚴(yán)重后果，保障系統(tǒng)在可接受的風(fēng)險下運行。

安全系統(tǒng)的風(fēng)險主要包括技術(shù)風(fēng)險和管理風(fēng)險，技術(shù)風(fēng)險是指設(shè)備研發(fā)過程中的硬件選型風(fēng)險和軟件設(shè)計風(fēng)險。管理風(fēng)險指的是由于管理不當(dāng)導(dǎo)致的系統(tǒng)失效風(fēng)險，如設(shè)備定期巡檢和維護(hù)等。

安全系統(tǒng)開發(fā)過程見圖2所示，主要包括需求分析、架構(gòu)設(shè)計、系統(tǒng)詳細(xì)設(shè)計、系統(tǒng)單元實施和驗證、系統(tǒng)集成和集成測試以及系統(tǒng)運行這幾個部分，風(fēng)險識別需圍繞系統(tǒng)開發(fā)進(jìn)行[3]。一般通過小組討論、風(fēng)險分類、工作分解、故障樹、德爾菲法識別風(fēng)險[4]。

圖2 系統(tǒng)開發(fā)活動

風(fēng)險分析和評價

風(fēng)險分析主要是分析風(fēng)險的出現(xiàn)概率、出現(xiàn)后導(dǎo)致的嚴(yán)重程度以及風(fēng)險的可探測性。在本項目中，采用FMEA的方法進(jìn)行對安全系統(tǒng)進(jìn)行風(fēng)險分析，使用嚴(yán)重度(S)、發(fā)生率(O)、不易探測度(D)和危險優(yōu)先數(shù)(RPN)等作為風(fēng)險的度量參數(shù)，風(fēng)險優(yōu)先指數(shù)RPN=S*O*D，風(fēng)險優(yōu)先指數(shù)越高風(fēng)險越高[5]。通過風(fēng)險優(yōu)先指數(shù)，可以劃分風(fēng)險級別，RPN指數(shù)越高，越需要優(yōu)先處理。風(fēng)險分析一般通過采納專家意見，歷史數(shù)據(jù)分析來進(jìn)行[6]。

用于本項目的FMEA參數(shù)評價標(biāo)準(zhǔn)見表1所示：

表 1

風(fēng)險控制

在風(fēng)險被識別后，需要采取措施進(jìn)行風(fēng)險度降低，使其風(fēng)險可接受。通常會在風(fēng)險發(fā)生前以及風(fēng)險發(fā)生后這兩個階段采取措施降低風(fēng)險，風(fēng)險發(fā)生前主要采取風(fēng)險預(yù)防措施，風(fēng)險發(fā)生后采取風(fēng)險后果降低措施。通常可以采用風(fēng)險降低、風(fēng)險預(yù)防、風(fēng)險分散等方法來進(jìn)行控制[7]。

三、風(fēng)險管理的實踐效果

近年來，國家大力發(fā)展高端醫(yī)療行業(yè)，根據(jù)《國務(wù)院關(guān)于促進(jìn)健康服務(wù)業(yè)發(fā)展的若干意見》和 “十三五”關(guān)于高端醫(yī)療器械領(lǐng)域戰(zhàn)略性產(chǎn)品規(guī)劃，應(yīng)加快諸如質(zhì)子醫(yī)學(xué)治療裝置等粒子加速器應(yīng)用于實際醫(yī)療的進(jìn)程。但國內(nèi)質(zhì)子放療尚處于起步階段，安全系統(tǒng)作為質(zhì)子治療系統(tǒng)的重要組成部分，需要充分考慮其失效風(fēng)險，保護(hù)輻射區(qū)域的人員安全。

安全系統(tǒng)風(fēng)險識別

根據(jù)小組討論結(jié)果，在系統(tǒng)開發(fā)過程中，可能的風(fēng)險點主要包括系統(tǒng)功能需求有遺漏、硬件需求不完整、未考慮安全的系統(tǒng)通信方式、未考慮安全的邏輯回路、未考慮安全接口冗余、邏輯設(shè)計錯誤、硬件選型不符合安全要求、測試人員與開發(fā)人員溝通不足、系統(tǒng)單元接口不匹配、硬件達(dá)到使用壽命。

安全系統(tǒng)風(fēng)險分析和評價

在某質(zhì)子治療安全系統(tǒng)項目中，規(guī)定RPN≤3的風(fēng)險為低風(fēng)險等級，3

表 2

安全系統(tǒng)風(fēng)險控制

在風(fēng)險控制階段，需要根據(jù)風(fēng)險評價結(jié)果綜合評估風(fēng)險應(yīng)對的方式，重點需要從發(fā)生概率和嚴(yán)重度層面降低搞風(fēng)險等級的風(fēng)險點，對風(fēng)險等級中等或者較低的風(fēng)險采取風(fēng)險預(yù)防或者風(fēng)險分散的應(yīng)對措施。本項目對每個風(fēng)險事項制定了控制方案，并根據(jù)執(zhí)行了控制方案后的風(fēng)險重新進(jìn)行了RPN參數(shù)計算，對控制前和控制后的RPN進(jìn)行比較，見表2所示。

通過表2可以看出，利用FMEA工具，該安全系統(tǒng)的在執(zhí)行了風(fēng)險控制方案后RPN明顯降低，基于FMEA的安全系統(tǒng)風(fēng)險管理在質(zhì)子系統(tǒng)中的有效性得到了成功驗證。

表 3

四、結(jié)語

本文通過對某質(zhì)子治療安全系統(tǒng)采用FMEA的方法進(jìn)行風(fēng)險管理，針對該安全系統(tǒng)的全生命周期，對項目開發(fā)及后期運行過程中的需求分析、架構(gòu)設(shè)計、系統(tǒng)詳細(xì)設(shè)計、系統(tǒng)單元實施和驗證、系統(tǒng)集成和集成測試以及系統(tǒng)運行階段分別進(jìn)行了風(fēng)險識別。隨后使用FMEA的方法對識別的風(fēng)險進(jìn)行了分析和評價，獲取已識別風(fēng)險的RPN指數(shù)。根據(jù)RPN的分析結(jié)果，對風(fēng)險點采取控制方案來降低風(fēng)險的概率或者后果，使項目在可接受的風(fēng)險等級下穩(wěn)定運行，驗證了FMEA工具在安全系統(tǒng)項目中的有效性。該方法在安全系統(tǒng)項目風(fēng)險管理的有效應(yīng)用可以為其他領(lǐng)域的項目風(fēng)險管理提供參考。