正視IEC 62304標(biāo)準(zhǔn)下醫(yī)療器械軟件的安全規(guī)則

軟件的安全漏洞會(huì)帶來(lái)諸多隱患，醫(yī)療器械軟件領(lǐng)域的安全規(guī)則一直都不是很?chē)?yán)格，造成的后果就會(huì)更嚴(yán)重。同時(shí)，軟件一直都未被歐盟的醫(yī)療設(shè)備指令正式列為醫(yī)療產(chǎn)品。而今，這種現(xiàn)象已有所改變，歐盟已建立了一種新體制管理各類(lèi)器械中的所有醫(yī)療器械軟件的開(kāi)發(fā)。

此前的軟件安全標(biāo)準(zhǔn)十分適用于低風(fēng)險(xiǎn)的醫(yī)療器械，而對(duì)于那些由于軟件故障可能引起極為嚴(yán)重的后果, 甚至導(dǎo)致死亡的產(chǎn)品則不然。隨著越來(lái)越多的電子產(chǎn)品開(kāi)始依賴(lài)嵌入式軟件，人們關(guān)注的焦點(diǎn)也開(kāi)始轉(zhuǎn)移到器械的軟件系統(tǒng)的可靠性及各種用途下的風(fēng)險(xiǎn)方面。 EN/IEC 62304新標(biāo)準(zhǔn)便由此應(yīng)運(yùn)而生，它是軟件開(kāi)發(fā)周期管理的全球性基準(zhǔn)（圖1）。

圖1：IEC 62304如何融入合規(guī)性過(guò)程及其與其它標(biāo)準(zhǔn)的關(guān)系。

硬件和軟件設(shè)計(jì)的風(fēng)險(xiǎn)分析

醫(yī)療產(chǎn)品設(shè)計(jì)者采用風(fēng)險(xiǎn)管理技術(shù)幫助降低器械硬件的相關(guān)風(fēng)險(xiǎn)。BS/EN/ISO 14971一般被用作醫(yī)療器械風(fēng)險(xiǎn)管理的基本標(biāo)準(zhǔn)。2007版的此標(biāo)準(zhǔn)比此前版本范圍更廣泛,其中介紹的技術(shù)現(xiàn)可應(yīng)用于軟件和硬件系統(tǒng)。

應(yīng)采取的方法是先全面考慮醫(yī)療器械的風(fēng)險(xiǎn)，后分開(kāi)衡量軟件/硬件。然后同時(shí)進(jìn)行硬件風(fēng)險(xiǎn)和軟件風(fēng)險(xiǎn)分析，確定器械所需的安全系統(tǒng)。

協(xié)調(diào)標(biāo)準(zhǔn)

IEC 62304是歐盟和美國(guó)均采納的醫(yī)療產(chǎn)品軟件設(shè)計(jì)協(xié)調(diào)標(biāo)準(zhǔn)。由于該標(biāo)準(zhǔn)是“協(xié)調(diào)的”，醫(yī)療器械制造商采納它將符合醫(yī)療器械指令93/42/EEC (MDD)及修正案M5 (2007/47/EC)所涵蓋的有關(guān)軟件開(kāi)發(fā)的基本要求。這是確保符合MDD要求的最簡(jiǎn)單途徑。美國(guó)FDA也將承認(rèn)ANSI/AAMI/IEC 62304:2006，作為醫(yī)療器械軟件設(shè)計(jì)符合可接受標(biāo)準(zhǔn)的證據(jù)。該標(biāo)準(zhǔn)的所有基本細(xì)節(jié)均與EN/ISO版本一致。

根據(jù)IEC 62304進(jìn)行設(shè)計(jì)能確保采用既定和受控的軟件開(kāi)發(fā)過(guò)程生產(chǎn)出高質(zhì)量軟件。該過(guò)程必須包括根據(jù)開(kāi)發(fā)軟件的安全分類(lèi)制定的一整套要求。

軟件安全分類(lèi)

最初，IEC 62304標(biāo)準(zhǔn)希望制造商為整個(gè)軟件系統(tǒng)指定一個(gè)安全類(lèi)別。這種分類(lèi)是基于其可造成危險(xiǎn)導(dǎo)致用戶(hù)、患者或其它人受傷的潛在可能。

可將軟件分為以下三個(gè)大類(lèi)：
?? ?* A類(lèi)：不會(huì)對(duì)健康造成傷害或損傷
??? * B類(lèi)：不會(huì)造成嚴(yán)重傷害
??? * C類(lèi)：可能導(dǎo)致死亡或嚴(yán)重傷害

定義“嚴(yán)重傷害”、“非嚴(yán)重傷害”、“傷害”和“健康損傷”是進(jìn)行有效分類(lèi)的關(guān)鍵。哪些會(huì)造成傷害咋一看可能很明顯；但當(dāng)考慮到器械的應(yīng)用背景時(shí)，這個(gè)問(wèn)題就會(huì)變得復(fù)雜得多。不幸的是, 該標(biāo)準(zhǔn)僅定義了“嚴(yán)重傷害”，具體如下：

- 嚴(yán)重傷害

傷害或疾病可直接或間接造成以下后果：

a) 危及生命，

b) 造成人體功能的永久性損傷或身體結(jié)構(gòu)的永久性傷害，

c) 需要醫(yī)療或手術(shù)干預(yù)來(lái)防止人體功能的永久性損傷或身體結(jié)構(gòu)的永久性傷害。

注：永久性損傷是指身體結(jié)構(gòu)或功能的不可逆損傷或傷害（不包括微小損傷或傷害）。

?

圖2：關(guān)鍵安全軟件系統(tǒng)可以分為不同的項(xiàng)目，每個(gè)項(xiàng)目在不同的處理器上運(yùn)行，且安全分類(lèi)各不相同。

使用上述定義的反面論述衍生出非嚴(yán)重傷害的定義是相對(duì)比較簡(jiǎn)單的。但A類(lèi)軟件安全分類(lèi)的傷害定義還值得商榷。由于缺乏對(duì)健康傷害或損傷的定義，因此較為復(fù)雜。例如，在疾病治療而非器械本身引起的傷害的正常副反應(yīng)方面可能存在著灰色地帶。

如今已經(jīng)制定了執(zhí)行初始分析和定義適用類(lèi)別的程序。在某些情況下，相關(guān)認(rèn)證機(jī)構(gòu)會(huì)對(duì)此決策產(chǎn)生影響。一些機(jī)構(gòu)推薦B類(lèi)作為所有醫(yī)療產(chǎn)品的最低適用標(biāo)準(zhǔn)，A類(lèi)安全分類(lèi)并不適用于非常嚴(yán)格的軟件開(kāi)發(fā)過(guò)程。A類(lèi)和B類(lèi)代碼的開(kāi)發(fā)成本和時(shí)間差異較大。因此，醫(yī)療器械開(kāi)發(fā)商在開(kāi)發(fā)初期確定分類(lèi)是非常必要的。安全分類(lèi)還會(huì)對(duì)需要的文件和過(guò)程產(chǎn)生極大的影響。

軟件項(xiàng)目和單元

一旦完成系統(tǒng)的初始安全分類(lèi)后，則需將系統(tǒng)分為軟件項(xiàng)目和軟件單元。它們的定義如下：
??? * 軟件項(xiàng)目：“計(jì)算機(jī)程序所有可標(biāo)識(shí)的部分” [ISO/IEC 90003:2004，定義3.14，修訂版]
??? * 軟件單元：“不可以再細(xì)分為其它項(xiàng)目的軟件項(xiàng)目” [ISO/IEC 90003:2004，定義3. 28，修訂版]

事實(shí)上，軟件項(xiàng)目可以是系統(tǒng)或其組成部件的分部。需要利用系統(tǒng)結(jié)構(gòu)圖說(shuō)明軟件項(xiàng)目和軟件單元。如果軟件系統(tǒng)的部件可以分隔開(kāi)，則可降低其安全分類(lèi)級(jí)別。標(biāo)準(zhǔn)的第5.3.5節(jié)的注釋舉例說(shuō)明了分隔：

“分隔的例子是在不同的處理器上執(zhí)行軟件項(xiàng)目?？梢詳嚅_(kāi)處理器間的共享資源，確保分隔的功效?！?/p>

事實(shí)上，這意味著關(guān)鍵安全軟件系統(tǒng)可以分成不同的項(xiàng)目，每個(gè)項(xiàng)目在不同的處理器上運(yùn)行，且安全分類(lèi)各不相同（圖2）。同樣，在初期保證分隔正確是確保系統(tǒng)的安全和高質(zhì)量，且在適當(dāng)?shù)某杀竞蜁r(shí)間期限內(nèi)完成的關(guān)鍵。這些過(guò)程可以大幅減少醫(yī)療器械開(kāi)發(fā)的時(shí)間和成本。

表1 安全分類(lèi)對(duì)代碼開(kāi)發(fā)文件和過(guò)程的影響概況。

?

安全分類(lèi)的影響

安全分類(lèi)對(duì)代碼開(kāi)發(fā)過(guò)程的影響巨大。因此在第一時(shí)間進(jìn)行正確分類(lèi)，以免在項(xiàng)目后期進(jìn)行昂貴且耗時(shí)的返工符合醫(yī)療器械制造商的利益。

安全分類(lèi)對(duì)文件和過(guò)程的效應(yīng)的簡(jiǎn)短總結(jié)如表1所示。事實(shí)上，所有開(kāi)發(fā)醫(yī)療器械軟件的公司將對(duì)所有軟件分類(lèi)進(jìn)行驗(yàn)證、集成和系統(tǒng)測(cè)試。但差別在于A類(lèi)代碼無(wú)需生成正式的詳細(xì)文件。也無(wú)需對(duì)要求參照和驗(yàn)證進(jìn)行正式證明。這大大節(jié)約了軟件開(kāi)發(fā)的時(shí)間和成本。

SOUP

未知來(lái)源軟件或SOUP是無(wú)正式文件或由第三方開(kāi)發(fā)且無(wú)開(kāi)發(fā)過(guò)程控制證據(jù)的代碼（工具或資源代碼）。這種代碼會(huì)出現(xiàn)錯(cuò)誤。對(duì)所有用于軟件開(kāi)發(fā)的SOUP代碼進(jìn)行軟件風(fēng)險(xiǎn)分析并解釋為何使用這些代碼是至關(guān)重要的。

SOUP的使用受代碼安全分類(lèi)影響。如果代碼屬于A類(lèi)，則SOUP代碼無(wú)需進(jìn)一步說(shuō)明即可使用。隨著級(jí)別上升，風(fēng)險(xiǎn)也隨之增加，則需更詳細(xì)的說(shuō)明理由。事實(shí)上，這意味著只有功能簡(jiǎn)單、大家熟悉而且應(yīng)用廣泛的SOUP代碼可作為C類(lèi)應(yīng)用。

專(zhuān)門(mén)從事電子產(chǎn)品設(shè)計(jì)和生產(chǎn)服務(wù)的技術(shù)解決方案供應(yīng)商開(kāi)發(fā)出了識(shí)別并證明醫(yī)療器械軟件中的SOUP應(yīng)用的過(guò)程。其服務(wù)經(jīng)驗(yàn)證明該過(guò)程可以大幅減少開(kāi)發(fā)時(shí)間和成本。醫(yī)療器械開(kāi)發(fā)商需將該過(guò)程整合到他們的設(shè)計(jì)過(guò)程中。

結(jié)論

IEC 62304是開(kāi)發(fā)醫(yī)療器械中關(guān)鍵安全和高可靠性軟件的良好邏輯標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)已開(kāi)始生效，醫(yī)療器械軟件開(kāi)發(fā)商便很難證明符合MDD要求但不遵循該標(biāo)準(zhǔn)的同等途徑。這有助于改善患者的安全，也有益于制造商自身，因?yàn)樵摌?biāo)準(zhǔn)建立了一個(gè)更為規(guī)范的市場(chǎng)環(huán)境。這樣可以消除不受控制的初級(jí)軟件開(kāi)發(fā)過(guò)程，從而廣泛提升了質(zhì)量。

此外，由于IEC 62304是國(guó)際通用的協(xié)調(diào)標(biāo)準(zhǔn)，它統(tǒng)一了歐洲和美國(guó)的質(zhì)量要求。對(duì)于醫(yī)療器械制造商而言，選擇擁有完善的風(fēng)險(xiǎn)管理系統(tǒng)的軟件設(shè)計(jì)師是十分重要的，因?yàn)樗麄円呀?jīng)建立了符合IEC 62304的基礎(chǔ)。（來(lái)源：CMDM）
?