人工呼吸器に見るセーフティ・クリティカル・システム設計　――2重3重のバックアップで生命を守る

● アラームは別系統に

　止まってはならない人工呼吸器ですが，たとえ止まったとしてもアラームが鳴り，3分以内に駆けつけて相応の処置を施せば，生命にかかわる確率は低くなります．そのため，アラームの発生回路は非常に重要です．アラームが鳴っても駆けつけなければ看護師の責任，アラームが鳴らなかったらメーカの責任となります．

　鉄則は，コンピュータが動作していなくてもアラームが出るようにしておくことです．アラーム回路を単独でも動作するように組んでおけば，システムがどのようにおかしくなってもアラームだけは出ます．アラーム回路は信頼性を上げるため，部品点数を少なくすることが望まれます．

　人工呼吸器で一番大切な動作は呼吸を途切らせないことですから，最重要のアラームは無呼吸アラームです．どんなことがあっても，これだけは動作しなければなりません．

　人工呼吸器は自発呼吸の検出（吸気トリガ）を待って動作するモードもありますが，20秒も待つようだったら（患者の様態変化が疑われる），必ず強制呼吸を行うようにプログラムが組んであります．つまり，20秒を過ぎてもシステム（強制呼吸）が動作しなかったら，プログラムが正常に動いていないことになります．

　このような状況をコンピュータとは独立に監視するには，リトリガラブル・ワンショット・パルス・ジェネレータ相当の回路を用意し，20秒間吸気トリガ信号が来なかったら出力がアクティブになるようにしておきます．