包含軟件系統的醫療設備與構建復雜系統一樣,制造商面臨著相同的挑戰:時間、質量、規模(功能的數量和復雜性)和成本。此外,產品還需通過當地監管部門的審批,如美國食品及藥品管理局(FDA)、歐盟醫療器械指令司(MDD)、英國藥監局(MHRA)以及其他同類監管機構。
在本文中我們將探討動態代碼分析如何幫助醫療設備展示安全合規性以及動態分析工具所應具備的關鍵功能。為了幫助設計人員選擇操作系統(OS),文章還簡要介紹了OS的哪些特性可以推動安全相關軟件加速設計、開發和審批流程等。
專業知識和流程
專業知識和良好的開發流程并不能確保系統符合所需滿足的可靠性,甚至不能確保它是一個好系統。但是這兩者的確能極大提高這種可能性。
創造安全關鍵系統所要求的簡潔設計需要卓越的專業知識。要證明被測試的軟件系統符合安全要求,需要對軟件驗證方法、被評估的軟件以及評估環境(包括類似系統的驗證)有全面透徹的了解。
毫無疑問,IEC62304標準專注于開發流程。理解這點,我們的工作將會做得更好,不僅僅是在滿足最嚴苛質量管理標準的環境下進行軟件開發,同時還使用工具來幫助確保我們的系統符合這些標準,并向審計員和監管機構提供證據加以證明。
展示可靠性
為了確保通過監管機構的審批,制造商必須證明這些設備滿足安全規格。對于設備軟件來說,要證明他們符合可信任(可靠性和可用性)標準的要求。具體是滿足可靠性還是可用性方面的要求,則要取決于系統的使用情況。詳細的要求限制和精確的可信性要求提供了既定的前提和精準的方法,幫助我們驗證軟件系統的可信性。
定義可接受風險
沒有任何軟件系統是絕對可靠的。即使系統絕對可靠,我們也無法證明它。現有可用的方法無法證明系統將永不失效,他們僅能幫助我們找到并避免錯誤的發生,并估計失效的可能性。因此,當軟件系統的故障率足夠低,沒有不可接受的風險,它就是“安全”的。“不可接受風險”或“可接受風險”的精確含義因行業及行政轄區而異。衡量方法包括:
? ALARP(As Low as Reasonably Practical,最低合理可行):將潛在的危害和相關的風險定義和分類為:a)明確不可接受,b)如果移除成本過高,則可以容忍,以及c)可接受。所有不可接受風險必須被移除,但是僅當移除成本和時間較為合理時,可容忍風險才會被移除。
? GAMAB(globalement au moins aussi bon)或GAME((globalement au moins équivalent):新系統的風險水平至少要與現有系統的風險水平大體相當。
? MEM(Minimum Endogenous Mortality):在新系統部署的領域,它帶來的死亡率不能超過該地區常規死亡率的十分之一。舉例來說,在西方國家年齡為20多歲的人群,這個值約為0.0002。
所有這些方法都需要按實際情況調整,主要取決于設備的嚴重故障可能同步影響到的人數。當使用ALARP方法時,為了確定哪些風險不可接受、哪些可容忍以及可接受,我們需要決定每個風險的嚴重故障所允許的最大失敗可能性。而如果使用GAMAB和MEM準則,我們則需要在全球范圍確定這個數值。
證明軟件可靠性的方法
目前,沒有任何一種單一的方法足以證明軟件系統滿足可靠性方面的要求。因此,我們的可靠性演示必須使用整合了各種方法和技巧,它們包括但不限于:
? 符合IEC 62304及其他同類標準要求的開發環境
? 要求跟蹤矩陣,確保所有安全相關的要求都已得到滿足
? 正規的設計方法和工具,可以為設計的正確性提供數學依據
? 使用貝葉斯置信網絡方法的故障樹分析
? 回顧性設計驗證,基于已完成的工作來評估系統設計
? 靜態分析,使用模型檢測或者數據流分析等方法
? 使用直接故障檢測技術進行測試,如動態分析,通過產生的誤差和失效來識別故障
圖1 IEC 62304標準涉及的不同分析方法和相關章節,表現為典型的“V”字形發展模型。圖中顯示的每一種方法都不依賴于進程。任何其他開發進程模型都可用類似的表述:瀑布式、迭代的、靈敏的等
