醫(yī)療設(shè)備安全軟件的10項前提
圖2 一臺醫(yī)療監(jiān)測設(shè)備系統(tǒng)級故障樹細(xì)節(jié)
在圖2所示的醫(yī)療監(jiān)測設(shè)備系統(tǒng)級故障樹中,使用的貝葉斯網(wǎng)絡(luò),可以天衣無縫地地融入采用貝葉斯技術(shù)的安全案例之中。
要證明我們的系統(tǒng)滿足其安全要求,我們必須采用包括測試在內(nèi)的多種手段:
靜態(tài)分析——受到包括FDA在內(nèi)的多家機(jī)構(gòu)的推薦,靜態(tài)分析對于定位可疑代碼十分有價值。它包含針對編碼標(biāo)準(zhǔn)的語法檢查、故障概率估計、針對代碼指令的正確驗證,以及符號執(zhí)行(靜態(tài)/動態(tài)混合)。
實地使用和曾用數(shù)據(jù)——對建立可靠性指標(biāo)至關(guān)重要,使用時間和該段時間內(nèi)的故障情況的搜集應(yīng)該貫穿整個產(chǎn)品生命周期:樣本越多,我們對提出的指標(biāo)也就越有信心。
故障輸入——故意輸入故障既可以檢驗用來處理錯誤檢測的代碼,還可以幫助預(yù)估剩余故障的數(shù)目。和隨機(jī)測試分析一樣,故障輸入的結(jié)果需要細(xì)致的統(tǒng)計分析。
形式化和半形式化的設(shè)計驗證——傳統(tǒng)上是在執(zhí)行前完成,設(shè)計驗證也可回顧性執(zhí)行。
7、COTS和SOUP
無論是COTS,甚或是SOUP,只要這個部件有足夠證據(jù)來支持系統(tǒng)的整體安全案例,就可以采用。
建立一個安全軟件系統(tǒng)的最佳途徑通常不是完全自力更生,因為這樣所承擔(dān)的風(fēng)險要比建立一個采用選定COTS(commercial off-the-shelf,商業(yè)成品)零部件的系統(tǒng)要大。建立操作系統(tǒng)、通信棧和數(shù)據(jù)庫需要專門的知識,而相應(yīng)的COTS也許會有上千萬小時的使用歷史優(yōu)勢。
雖然如此,對醫(yī)療設(shè)備開發(fā)者來說,COTS軟件通常是SOUP(software of uncertain provenance,不確定出處軟件),因而應(yīng)該謹(jǐn)慎對待。IEC 61508和IEC 62304都假定SOUP會被用到。關(guān)鍵在于要有充足的可靠證據(jù)來量化SOUP對系統(tǒng)安全指標(biāo)的影響。
這些證據(jù)將包括在實地使用數(shù)據(jù)、故障歷史記錄和其他歷史數(shù)據(jù)。我們應(yīng)該要求獲得源代碼和測試計劃,這樣可以利用靜態(tài)代碼分析工具來檢驗軟件。供應(yīng)商還應(yīng)該提供用來構(gòu)建軟件的詳細(xì)流程,或者是外部審核員的聲明,肯定這些流程適用于IEC 62304設(shè)備。
8、經(jīng)認(rèn)證的零部件及其供應(yīng)商
具備安全認(rèn)證的零部件,比如通過IEC 61508認(rèn)證的操作系統(tǒng),可以加速開發(fā)和驗證,有助于加快審準(zhǔn)步伐。
如果使用COTS,采用獲得相關(guān)批準(zhǔn)的零部件很有幫助。諸如FDA、MHAR、加拿大衛(wèi)生部以及其他國家的同等部門的組織所審批的不是這些零部件,而且面向市場的整個系統(tǒng)或設(shè)備;即便如此,獲得類似IEC 61508或IEC 62304認(rèn)證的零部件可以簡化審批流程,縮短上市時間。
要獲得認(rèn)證,a)這些零部件必須在一個流程和質(zhì)量管理都到位的環(huán)境中進(jìn)行開發(fā),b)它們必須經(jīng)過合理的測試和驗證,c) COTS軟件供應(yīng)商必須提供所有必要的文檔,來支持最終設(shè)備獲得批準(zhǔn)。
9、審
助聽器原理相關(guān)文章:助聽器原理
評論