包含軟件系統(tǒng)的醫(yī)療設備與構建復雜系統(tǒng)一樣,制造商面臨著相同的挑戰(zhàn):時間����、質量、規(guī)模(功能的數(shù)量和復雜性)和成本����。此外���,產(chǎn)品還需通過當?shù)乇O(jiān)管部門的審批,如美國食品及藥品管理局(FDA)����、歐盟醫(yī)療器械指令司(MDD)、英國藥監(jiān)局(MHRA)以及其他同類監(jiān)管機構�。
在本文中我們將探討動態(tài)代碼分析如何幫助醫(yī)療設備展示安全合規(guī)性以及動態(tài)分析工具所應具備的關鍵功能。為了幫助設計人員選擇操作系統(tǒng)(OS)�,文章還簡要介紹了OS的哪些特性可以推動安全相關軟件加速設計、開發(fā)和審批流程等����。
專業(yè)知識和流程
專業(yè)知識和良好的開發(fā)流程并不能確保系統(tǒng)符合所需滿足的可靠性�,甚至不能確保它是一個好系統(tǒng)�����。但是這兩者的確能極大提高這種可能性�����。
創(chuàng)造安全關鍵系統(tǒng)所要求的簡潔設計需要卓越的專業(yè)知識�。要證明被測試的軟件系統(tǒng)符合安全要求,需要對軟件驗證方法���、被評估的軟件以及評估環(huán)境(包括類似系統(tǒng)的驗證)有全面透徹的了解��。
毫無疑問���,IEC62304標準專注于開發(fā)流程。理解這點��,我們的工作將會做得更好����,不僅僅是在滿足最嚴苛質量管理標準的環(huán)境下進行軟件開發(fā)����,同時還使用工具來幫助確保我們的系統(tǒng)符合這些標準����,并向審計員和監(jiān)管機構提供證據(jù)加以證明。
展示可靠性
為了確保通過監(jiān)管機構的審批����,制造商必須證明這些設備滿足安全規(guī)格。對于設備軟件來說����,要證明他們符合可信任(可靠性和可用性)標準的要求。具體是滿足可靠性還是可用性方面的要求�����,則要取決于系統(tǒng)的使用情況��。詳細的要求限制和精確的可信性要求提供了既定的前提和精準的方法�,幫助我們驗證軟件系統(tǒng)的可信性����。
定義可接受風險
沒有任何軟件系統(tǒng)是絕對可靠的���。即使系統(tǒng)絕對可靠,我們也無法證明它?�,F(xiàn)有可用的方法無法證明系統(tǒng)將永不失效��,他們僅能幫助我們找到并避免錯誤的發(fā)生����,并估計失效的可能性。因此�����,當軟件系統(tǒng)的故障率足夠低��,沒有不可接受的風險�,它就是“安全”的?��!安豢山邮茱L險”或“可接受風險”的精確含義因行業(yè)及行政轄區(qū)而異���。衡量方法包括:
? ALARP(As Low as Reasonably
Practical���,最低合理可行):將潛在的危害和相關的風險定義和分類為:a)明確不可接受,b)如果移除成本過高�����,則可以容忍��,以及c)可接受����。所有不可接受風險必須被移除,但是僅當移除成本和時間較為合理時���,可容忍風險才會被移除����。
? GAMAB(globalement au moins aussi bon)或GAME((globalement au moins
équivalent):新系統(tǒng)的風險水平至少要與現(xiàn)有系統(tǒng)的風險水平大體相當�。
? MEM(Minimum Endogenous
Mortality):在新系統(tǒng)部署的領域,它帶來的死亡率不能超過該地區(qū)常規(guī)死亡率的十分之一�。舉例來說,在西方國家年齡為20多歲的人群��,這個值約為0.0002���。
所有這些方法都需要按實際情況調整�,主要取決于設備的嚴重故障可能同步影響到的人數(shù)��。當使用ALARP方法時�����,為了確定哪些風險不可接受�、哪些可容忍以及可接受,我們需要決定每個風險的嚴重故障所允許的最大失敗可能性�����。而如果使用GAMAB和MEM準則����,我們則需要在全球范圍確定這個數(shù)值。
證明軟件可靠性的方法
目前�����,沒有任何一種單一的方法足以證明軟件系統(tǒng)滿足可靠性方面的要求��。因此�����,我們的可靠性演示必須使用整合了各種方法和技巧,它們包括但不限于:
? 符合IEC 62304及其他同類標準要求的開發(fā)環(huán)境
? 要求跟蹤矩陣�,確保所有安全相關的要求都已得到滿足
? 正規(guī)的設計方法和工具,可以為設計的正確性提供數(shù)學依據(jù)
? 使用貝葉斯置信網(wǎng)絡方法的故障樹分析
? 回顧性設計驗證���,基于已完成的工作來評估系統(tǒng)設計
? 靜態(tài)分析��,使用模型檢測或者數(shù)據(jù)流分析等方法
? 使用直接故障檢測技術進行測試����,如動態(tài)分析�����,通過產(chǎn)生的誤差和失效來識別故障
圖1 IEC
62304標準涉及的不同分析方法和相關章節(jié)�����,表現(xiàn)為典型的“V”字形發(fā)展模型����。圖中顯示的每一種方法都不依賴于進程。任何其他開發(fā)進程模型都可用類似的表述:瀑布式��、迭代的、靈敏的等
