IEC 62304在醫(yī)械軟件開發(fā)中的實施

現(xiàn)在，利用高級醫(yī)療器械比以往任何時候都更有助于醫(yī)療從業(yè)人員輕松、準(zhǔn)確地做出診斷。然而，他們對器械的依賴程度也引發(fā)了確保器械安全性和質(zhì)量的擔(dān)憂。

值得注意地是，醫(yī)療器械嚴(yán)重依賴第三方和早期軟件，亦即“未知系譜的軟件(SOUP)。該SOUP構(gòu)成了新發(fā)展的基礎(chǔ)，其現(xiàn)在可能符合新醫(yī)療器械要求或者政府推行的現(xiàn)代編碼標(biāo)準(zhǔn)、客戶需求或者僅僅是開發(fā)組織內(nèi)的持續(xù)改進政策。在滿足新標(biāo)準(zhǔn)和進一步開發(fā)新功能的同時，對利用SOUP價值的需要提出了它自己的獨特挑戰(zhàn)。

FDA于1992至1998年間對3140次醫(yī)療器件召回事件進行的分析顯示，其中有242次(占7.7%)可歸因于軟件故障。在所有軟件召回事件中，192次(占79%)是因軟件升級后引入的軟件缺陷而起。產(chǎn)品升級過程中引入的高誤差率讓政府醫(yī)療器械機構(gòu)不僅要集中精力開發(fā)新產(chǎn)品，還要關(guān)注后期維護和軟件變更對現(xiàn)有系統(tǒng)的影響。

因此，很多公司改變方法，改善軟件過程，采用歐盟和美國近期簽署的醫(yī)療產(chǎn)品設(shè)計標(biāo)準(zhǔn)IEC 62304。IEC62304引進了一種基于風(fēng)險的合規(guī)性結(jié)構(gòu)，可以確保醫(yī)學(xué)應(yīng)用符合其風(fēng)險評估適用標(biāo)準(zhǔn)的要求。該合規(guī)性結(jié)構(gòu)可以分成A~C類，其中C類軟件故障可能導(dǎo)致死亡或重傷。

IEC 62304軟件開發(fā)生命周期

IEC62304著眼于軟件開發(fā)過程，定義了大部分軟件開發(fā)與驗證活動。該過程包括軟件開發(fā)規(guī)劃、需求分析、架構(gòu)設(shè)計、軟件設(shè)計、單元實現(xiàn)與驗證、軟件集成與集成測試、系統(tǒng)測試和軟件發(fā)布之類的活動。

該標(biāo)準(zhǔn)不僅概括了開發(fā)生命周期的各個階段的要求，還顧及了維護過程、軟件變更對現(xiàn)有系統(tǒng)的影響和實現(xiàn)軟件變更所涉及的風(fēng)險。IEC62304還直接從規(guī)劃、需求分析、架構(gòu)設(shè)計、維護和風(fēng)險管理階段開始詳細(xì)介紹了SOUP項目的作用。

EIC 62304和SOUP

可重新用于新器件開發(fā)的SOUP軟件已流行起來，因為醫(yī)療器械現(xiàn)在傾向于采用通用嵌入式硬件，以及操作系統(tǒng)，面向USB、以太網(wǎng)或制圖的器件驅(qū)動器、文件系統(tǒng)、網(wǎng)絡(luò)堆棧等。在醫(yī)療器械中使用SOUP有其優(yōu)勢，因為制造商可以將精力集中在應(yīng)用軟件上。

然而，由于應(yīng)用需要運行專用功能，所以醫(yī)療器械內(nèi)的SOUP增加了挑戰(zhàn)難度。大多數(shù)SOUP模塊都由第三方供應(yīng)商提供，而他們不遵守任何軟件過程和軟件標(biāo)準(zhǔn)，甚至不記錄代碼。雖然它解決了平臺挑戰(zhàn)，但 SOUP是在緊迫的時間表內(nèi)開發(fā)而來，并且強調(diào)的是生產(chǎn)率，而不是標(biāo)準(zhǔn)兼容性。在進行系統(tǒng)測試以便檢驗功能性時，SOUP項目通常表現(xiàn)出代碼覆蓋率極差的特點，并且留下了很多未使用的代碼路徑。圖1中的藍(lán)色曲線代表進行了功能測試的代碼。采用該代碼時，不同的數(shù)據(jù)和情形有可能第一次使用很多未經(jīng)測試的路徑，從而產(chǎn)生意料之外的結(jié)果。圖1中的紅點曲線表示現(xiàn)場運行應(yīng)用時使用的代碼。

                                      圖1

圖1傳統(tǒng)功能測試可能無法檢驗代碼的很多部分。藍(lán)色曲線表示傳統(tǒng)功能測試使用的代碼;紅點曲線表示應(yīng)用現(xiàn)場運行時使用的代碼;綠點曲線表示代碼增強，其傾向于使用先前未遇到的數(shù)據(jù)組合，從而出現(xiàn)進入先前未使用路徑的可能性。

歐洲軟件和系統(tǒng)提案之“利用經(jīng)驗驅(qū)動測試(PET)檢驗誤碼性能計劃調(diào)查了這種現(xiàn)象，并且同意采用的代碼通常帶有很多誤碼的觀點。PET旨在將發(fā)布后報告的漏洞數(shù)量減少50%和將每找出一個漏洞所耗費的測試工作時間縮短40%。有意思的是，PET超過了該標(biāo)準(zhǔn)，將報告的漏洞數(shù)減少了75%，將測試效率提高了46%。PET的發(fā)現(xiàn)表明可以利用較新的測試方法(如靜態(tài)和動態(tài)分析)找出大量漏洞，即使代碼已經(jīng)通過了功能系統(tǒng)測試并于隨后發(fā)布。

那么，可以采用先前通過功能測試的SOUP做進一步測試。即使它運行良好，代碼的某些部分也可能未曾使用過，即使是產(chǎn)品正在現(xiàn)場使用的時候。如果 SOUP代碼需要作進一步開發(fā)以便于后來的修訂或新應(yīng)用，那么先前從未碰到的數(shù)據(jù)組合也可能會使用先前未使用的代碼路徑，從而產(chǎn)生意料之外的結(jié)果。圖1中的綠點曲線表示對SOUP代碼進行增強時使用的代碼。

為了克服這種潛在弱點，需要進行詳細(xì)的結(jié)構(gòu)覆蓋率分析，以確保早期軟件內(nèi)不存在未使用的代碼。IEC62304要求測試早期軟件的功能覆蓋率和結(jié)構(gòu)覆蓋率，還要詳細(xì)分析增加這類軟件可能引入的風(fēng)險。功能覆蓋率確保軟件能夠按照系統(tǒng)設(shè)計要求運行，而結(jié)構(gòu)覆蓋率則確保使用了所有代碼并且能夠正常運行。

IEC62304要求整合到醫(yī)療器械設(shè)計中的所有SOUP項目均符合功能和性能要求規(guī)范。醫(yī)療器械制造商需要確保任意SOUP項目的正常運行，還要保證它們符合功能和性能要求。

IEC62304軟件開發(fā)過程始于軟件開發(fā)規(guī)劃，包括所用SOUP項目的詳細(xì)計劃。這些細(xì)節(jié)介紹了如何將SOUP項目整合到現(xiàn)有系統(tǒng)中、如何管理SOUP相關(guān)風(fēng)險和軟件配置、以及變更管理如何影響系統(tǒng)。

緊接著是軟件需求管理、架構(gòu)設(shè)計、集成測試、系統(tǒng)測試、風(fēng)險管理、維護和變更管理階段。在軟件開發(fā)生命周期的各個階段，都需要保持所有階段之間的可追蹤性。

傳統(tǒng)的軟件開發(fā)觀點表明了各個階段如何進入下一個階段，可能還帶有前幾個階段的反饋信息，以及配置管理與過程的周邊架構(gòu)。可追蹤性被視為各個階段間關(guān)系的一部分。然而，很少規(guī)定記錄跟蹤鏈路的機制。

實際上，雖然由于先進工具技術(shù)投資，各個階段都能夠有效實施，但是這些工具很少能夠自動提高階段間可追蹤性。因此，在整個項目進行的過程中，其間鏈路的維護就變得越來越差。最終的結(jié)果就是需求與設(shè)計之間的交叉檢驗缺失或者流于表面，以及最終系統(tǒng)的機能不全。為了獲得真正的自動可追蹤性，則需要需求跟蹤矩陣(RTM)。RTM是各個項目的核心，是很多開發(fā)標(biāo)準(zhǔn)(包括IEC62304)的關(guān)鍵所在。

需求跟蹤與SOUP

需求跟蹤矩陣是一種用于管理和跟蹤需求的習(xí)慣做法，在管理軟件需求和系統(tǒng)所用SOUP項目方面起著重要作用。RTM能夠通過醫(yī)療器械應(yīng)用的架構(gòu)設(shè)計在與SOUP有關(guān)的高級需求之間實現(xiàn)可追蹤性(圖2)。

                               圖2

圖2 需求跟蹤矩陣(RTM)在開發(fā)生命周期模型中起著重要作用，即使是在SOUP項目是系統(tǒng)的一部分的時候。各個階段的典型產(chǎn)物都直接與需求矩陣相連，各個階段的變更都會自動更新RTM。

為了確保SOUP能夠滿足IEC 62304規(guī)定的系統(tǒng)級要求，醫(yī)療器械制造商需要規(guī)定：

• 預(yù)期用途所需的SOUP項目的功能和性能要求

• 讓SOUP項目正常運行所需的系統(tǒng)硬件和軟件的生產(chǎn)規(guī)范

• 證明醫(yī)療器械架構(gòu)能夠讓任意SOUP項目正常運行所需的詳情

大多數(shù)情況下，SOUP項目是作為源代碼提供的，但是不帶設(shè)計文件，這樣就很難分析它們。使用現(xiàn)代測試工具有助于實現(xiàn)早期代碼設(shè)計可視化。

不論它是否應(yīng)用于語句模塊、進程(或類)、應(yīng)用和/或系統(tǒng)，現(xiàn)代測試工具提供的系統(tǒng)可視化設(shè)施功能都非常強大。應(yīng)用和系統(tǒng)實體的分層示意圖如圖3a 內(nèi)的靜態(tài)調(diào)用圖所示;圖3b內(nèi)的靜態(tài)流程圖展示了整個程序模塊的控制流程。利用彩色編碼圖對于了解SOUP極有好處。這類調(diào)用圖和流程圖只是綜合分析代碼內(nèi)使用的所有參數(shù)和數(shù)據(jù)對象的一部分優(yōu)勢。

                                   圖3

圖3 靜態(tài)調(diào)用圖(a)和流程圖(b)以圖形的形式分別說明了代碼的結(jié)構(gòu)和邏輯。

需求管理和跟蹤已經(jīng)證明了它們在軟件開發(fā)生命周期內(nèi)的優(yōu)勢，能夠確保實現(xiàn)所有需求和所有開發(fā)成果都可以追溯到一個或多個需求。同樣的，需求管理與跟蹤可以保證根據(jù)系統(tǒng)要求添加和驗證SOUP項目。

RTM在架構(gòu)設(shè)計和SOUP項目之間實現(xiàn)了可追蹤性。由于這些項目都包含在源代碼內(nèi)并且現(xiàn)在需要按照IEC 62304的要求進行系統(tǒng)級合規(guī)性測試，所以代碼驗證就成了制造商的責(zé)任。

大多數(shù)SOUP項目都不嚴(yán)謹(jǐn)，從而為系統(tǒng)集成商提高了嚴(yán)格驗證與風(fēng)險分析要求。由于SOUP驗證非常耗時，所以開發(fā)人員一開始通常需要滿足一系列編碼標(biāo)準(zhǔn)，再逐漸采用其他規(guī)則。雖然測試工具只辨別而不糾正代碼內(nèi)存在的違規(guī)之處和本征誤差，但是它們確實通過指出問題所在而加快了代碼糾正速度。

IEC 62304希望醫(yī)療器械制造商評估SOUP項目供應(yīng)商提供的軟件異常列表，以便確定已知異常是否會引發(fā)事件，進而導(dǎo)致出現(xiàn)危險情形。

測試工具的靜態(tài)分析能力能夠確定異常及其對軟件系統(tǒng)的影響。如果確定了SOUP供應(yīng)商提供的列表以外的任何其他異常，則應(yīng)告知相應(yīng)供應(yīng)商以解決問題。

靜態(tài)分析和異常糾正完成后，進行動態(tài)分析(包括系統(tǒng)、集成度和單元測試)以便驗證SOUP項目的功能和結(jié)構(gòu)覆蓋率。雖然全系統(tǒng)功能測試提供了 SOUP項目的功能簡介，但是它不測試所有代碼路徑。測試工具確定使用過的軟件部分，并且重點突出需要注意的區(qū)域，要對這些區(qū)域進行單元測試以便保證各個單元都能夠獨立運行。

進行功能測試與結(jié)構(gòu)覆蓋率分析能夠確保使用了所有代碼路徑和驗證了多個單元之間的接口。它還有助于確保系統(tǒng)能夠按照設(shè)計要求運行，即使集成了 SOUP項目。值得注意的是，IEC 62304要求SOUP項目驗證遵循軟件規(guī)劃期間制定的集成計劃，再一次表明IEC 62304強調(diào)的重點在于確保醫(yī)療軟件升級不會引入誤碼。

根據(jù)先前制定的測試計劃，RTM在對SOUP項目進行的各種分析之間實現(xiàn)了可追蹤性。該測試計劃包括有待執(zhí)行的測試用例以及基于系統(tǒng)要求的預(yù)期結(jié)果。利用RTM，項目經(jīng)理可以評估整合的SOUP項目的影響以及它們?nèi)绾斡绊懴到y(tǒng)安全。

SOUP項目維護

醫(yī)療器械行業(yè)的很多意外都與醫(yī)療器械系統(tǒng)的服務(wù)或維護有關(guān)，包括軟件更新和升級不當(dāng)。在這里，SOUP項目還起著重要作用，因為這些項目由不同的供應(yīng)商提供并且需要驗證。

在IEC 62304中，軟件維護過程和軟件開發(fā)過程一樣重要。強調(diào)維護旨在抑制產(chǎn)品發(fā)布以后(如軟件維護期間)引入的高醫(yī)療器械軟件缺陷率。

維護過程要求，制造商監(jiān)控組織內(nèi)部和用戶提供的已發(fā)布產(chǎn)品相關(guān)的反饋信息。必須記錄和分析該反饋信息，以便確定是否存在問題。發(fā)現(xiàn)問題時，應(yīng)編寫和分析問題報告，以便確定SOUP項目是否增加了問題的嚴(yán)重性。如果SOUP就是問題所在，則必須將該問題傳達(dá)給相應(yīng)的供應(yīng)商，以便通過升級或補丁來解決問題。

IEC 62304要求制造商制定規(guī)程，以便評估和實現(xiàn)SOUP項目升級、漏洞修復(fù)、補丁和報廢。必須分析和驗證每個升級、漏洞修復(fù)和補丁，以便確定這些升級是否引入了其它潛在的、可能導(dǎo)致出現(xiàn)危險情形的因素。一如往常，必須確定是否需要采取其它軟件風(fēng)險控制措施。

維護期間，要求制造商分析SOUP項目變更，以便確定軟件修訂是否會干擾現(xiàn)有的風(fēng)險控制措施。制造商必須制定獨特的配置項目和版本識別機制。對于使用的各種SOUP配置項目，制造商需要記錄標(biāo)題、SOUP制造商名稱和獨特的SOUP標(biāo)志符。該標(biāo)識符可以確定醫(yī)療器械軟件內(nèi)包含的軟件配置項目及其版本。

通過采用IEC 62304的高級軟件過程，公司能夠更好地開發(fā)安全的產(chǎn)品，避免代價高昂的召回，確保相同的開發(fā)過程能夠鞏固維護和升級過程。