正視IEC 62304標(biāo)準(zhǔn)下醫(yī)療器械軟件的安全規(guī)則

軟件的安全漏洞會帶來諸多隱患，醫(yī)療器械軟件領(lǐng)域的安全規(guī)則一直都不是很嚴(yán)格，造成的后果就會更嚴(yán)重。同時，軟件一直都未被歐盟的醫(yī)療設(shè)備指令正式列為醫(yī)療產(chǎn)品。而今，這種現(xiàn)象已有所改變，歐盟已建立了一種新體制管理各類器械中的所有醫(yī)療器械軟件的開發(fā)。

此前的軟件安全標(biāo)準(zhǔn)十分適用于低風(fēng)險的醫(yī)療器械，而對于那些由于軟件故障可能引起極為嚴(yán)重的后果, 甚至導(dǎo)致死亡的產(chǎn)品則不然。隨著越來越多的電子產(chǎn)品開始依賴嵌入式軟件，人們關(guān)注的焦點也開始轉(zhuǎn)移到器械的軟件系統(tǒng)的可靠性及各種用途下的風(fēng)險方面。 EN/IEC 62304新標(biāo)準(zhǔn)便由此應(yīng)運而生，它是軟件開發(fā)周期管理的全球性基準(zhǔn)（圖1）。

圖1：IEC 62304如何融入合規(guī)性過程及其與其它標(biāo)準(zhǔn)的關(guān)系。

硬件和軟件設(shè)計的風(fēng)險分析

醫(yī)療產(chǎn)品設(shè)計者采用風(fēng)險管理技術(shù)幫助降低器械硬件的相關(guān)風(fēng)險。BS/EN/ISO 14971一般被用作醫(yī)療器械風(fēng)險管理的基本標(biāo)準(zhǔn)。2007版的此標(biāo)準(zhǔn)比此前版本范圍更廣泛,其中介紹的技術(shù)現(xiàn)可應(yīng)用于軟件和硬件系統(tǒng)。

應(yīng)采取的方法是先全面考慮醫(yī)療器械的風(fēng)險，后分開衡量軟件/硬件。然后同時進(jìn)行硬件風(fēng)險和軟件風(fēng)險分析，確定器械所需的安全系統(tǒng)。

協(xié)調(diào)標(biāo)準(zhǔn)

IEC 62304是歐盟和美國均采納的醫(yī)療產(chǎn)品軟件設(shè)計協(xié)調(diào)標(biāo)準(zhǔn)。由于該標(biāo)準(zhǔn)是“協(xié)調(diào)的”，醫(yī)療器械制造商采納它將符合醫(yī)療器械指令93/42/EEC (MDD)及修正案M5 (2007/47/EC)所涵蓋的有關(guān)軟件開發(fā)的基本要求。這是確保符合MDD要求的最簡單途徑。美國FDA也將承認(rèn)ANSI/AAMI/IEC 62304:2006，作為醫(yī)療器械軟件設(shè)計符合可接受標(biāo)準(zhǔn)的證據(jù)。該標(biāo)準(zhǔn)的所有基本細(xì)節(jié)均與EN/ISO版本一致。

根據(jù)IEC 62304進(jìn)行設(shè)計能確保采用既定和受控的軟件開發(fā)過程生產(chǎn)出高質(zhì)量軟件。該過程必須包括根據(jù)開發(fā)軟件的安全分類制定的一整套要求。

軟件安全分類

最初，IEC 62304標(biāo)準(zhǔn)希望制造商為整個軟件系統(tǒng)指定一個安全類別。這種分類是基于其可造成危險導(dǎo)致用戶、患者或其它人受傷的潛在可能。

可將軟件分為以下三個大類：
?? ?* A類：不會對健康造成傷害或損傷
??? * B類：不會造成嚴(yán)重傷害
??? * C類：可能導(dǎo)致死亡或嚴(yán)重傷害

定義“嚴(yán)重傷害”、“非嚴(yán)重傷害”、“傷害”和“健康損傷”是進(jìn)行有效分類的關(guān)鍵。哪些會造成傷害咋一看可能很明顯；但當(dāng)考慮到器械的應(yīng)用背景時，這個問題就會變得復(fù)雜得多。不幸的是, 該標(biāo)準(zhǔn)僅定義了“嚴(yán)重傷害”，具體如下：

- 嚴(yán)重傷害

傷害或疾病可直接或間接造成以下后果：

a) 危及生命，

b) 造成人體功能的永久性損傷或身體結(jié)構(gòu)的永久性傷害，

c) 需要醫(yī)療或手術(shù)干預(yù)來防止人體功能的永久性損傷或身體結(jié)構(gòu)的永久性傷害。

注：永久性損傷是指身體結(jié)構(gòu)或功能的不可逆損傷或傷害（不包括微小損傷或傷害）。

?

圖2：關(guān)鍵安全軟件系統(tǒng)可以分為不同的項目，每個項目在不同的處理器上運行，且安全分類各不相同。

使用上述定義的反面論述衍生出非嚴(yán)重傷害的定義是相對比較簡單的。但A類軟件安全分類的傷害定義還值得商榷。由于缺乏對健康傷害或損傷的定義，因此較為復(fù)雜。例如，在疾病治療而非器械本身引起的傷害的正常副反應(yīng)方面可能存在著灰色地帶。

如今已經(jīng)制定了執(zhí)行初始分析和定義適用類別的程序。在某些情況下，相關(guān)認(rèn)證機(jī)構(gòu)會對此決策產(chǎn)生影響。一些機(jī)構(gòu)推薦B類作為所有醫(yī)療產(chǎn)品的最低適用標(biāo)準(zhǔn)，A類安全分類并不適用于非常嚴(yán)格的軟件開發(fā)過程。A類和B類代碼的開發(fā)成本和時間差異較大。因此，醫(yī)療器械開發(fā)商在開發(fā)初期確定分類是非常必要的。安全分類還會對需要的文件和過程產(chǎn)生極大的影響。

軟件項目和單元

一旦完成系統(tǒng)的初始安全分類后，則需將系統(tǒng)分為軟件項目和軟件單元。它們的定義如下：
??? * 軟件項目：“計算機(jī)程序所有可標(biāo)識的部分” [ISO/IEC 90003:2004，定義3.14，修訂版]
??? * 軟件單元：“不可以再細(xì)分為其它項目的軟件項目” [ISO/IEC 90003:2004，定義3. 28，修訂版]

事實上，軟件項目可以是系統(tǒng)或其組成部件的分部。需要利用系統(tǒng)結(jié)構(gòu)圖說明軟件項目和軟件單元。如果軟件系統(tǒng)的部件可以分隔開，則可降低其安全分類級別。標(biāo)準(zhǔn)的第5.3.5節(jié)的注釋舉例說明了分隔：

“分隔的例子是在不同的處理器上執(zhí)行軟件項目?？梢詳嚅_處理器間的共享資源，確保分隔的功效。”

事實上，這意味著關(guān)鍵安全軟件系統(tǒng)可以分成不同的項目，每個項目在不同的處理器上運行，且安全分類各不相同（圖2）。同樣，在初期保證分隔正確是確保系統(tǒng)的安全和高質(zhì)量，且在適當(dāng)?shù)某杀竞蜁r間期限內(nèi)完成的關(guān)鍵。這些過程可以大幅減少醫(yī)療器械開發(fā)的時間和成本。

表1 安全分類對代碼開發(fā)文件和過程的影響概況。

?

安全分類的影響

安全分類對代碼開發(fā)過程的影響巨大。因此在第一時間進(jìn)行正確分類，以免在項目后期進(jìn)行昂貴且耗時的返工符合醫(yī)療器械制造商的利益。

安全分類對文件和過程的效應(yīng)的簡短總結(jié)如表1所示。事實上，所有開發(fā)醫(yī)療器械軟件的公司將對所有軟件分類進(jìn)行驗證、集成和系統(tǒng)測試。但差別在于A類代碼無需生成正式的詳細(xì)文件。也無需對要求參照和驗證進(jìn)行正式證明。這大大節(jié)約了軟件開發(fā)的時間和成本。

SOUP

未知來源軟件或SOUP是無正式文件或由第三方開發(fā)且無開發(fā)過程控制證據(jù)的代碼（工具或資源代碼）。這種代碼會出現(xiàn)錯誤。對所有用于軟件開發(fā)的SOUP代碼進(jìn)行軟件風(fēng)險分析并解釋為何使用這些代碼是至關(guān)重要的。

SOUP的使用受代碼安全分類影響。如果代碼屬于A類，則SOUP代碼無需進(jìn)一步說明即可使用。隨著級別上升，風(fēng)險也隨之增加，則需更詳細(xì)的說明理由。事實上，這意味著只有功能簡單、大家熟悉而且應(yīng)用廣泛的SOUP代碼可作為C類應(yīng)用。

專門從事電子產(chǎn)品設(shè)計和生產(chǎn)服務(wù)的技術(shù)解決方案供應(yīng)商開發(fā)出了識別并證明醫(yī)療器械軟件中的SOUP應(yīng)用的過程。其服務(wù)經(jīng)驗證明該過程可以大幅減少開發(fā)時間和成本。醫(yī)療器械開發(fā)商需將該過程整合到他們的設(shè)計過程中。

結(jié)論

IEC 62304是開發(fā)醫(yī)療器械中關(guān)鍵安全和高可靠性軟件的良好邏輯標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)已開始生效，醫(yī)療器械軟件開發(fā)商便很難證明符合MDD要求但不遵循該標(biāo)準(zhǔn)的同等途徑。這有助于改善患者的安全，也有益于制造商自身，因為該標(biāo)準(zhǔn)建立了一個更為規(guī)范的市場環(huán)境。這樣可以消除不受控制的初級軟件開發(fā)過程，從而廣泛提升了質(zhì)量。

此外，由于IEC 62304是國際通用的協(xié)調(diào)標(biāo)準(zhǔn)，它統(tǒng)一了歐洲和美國的質(zhì)量要求。對于醫(yī)療器械制造商而言，選擇擁有完善的風(fēng)險管理系統(tǒng)的軟件設(shè)計師是十分重要的，因為他們已經(jīng)建立了符合IEC 62304的基礎(chǔ)。（來源：CMDM）
?