俞思聰，潘鷹， 俞西萍， 朱穎峰上海市食品藥品監(jiān)督管理局 醫(yī)療器械注冊(cè)處，上海，200010

國(guó)內(nèi)外醫(yī)療器械軟件安全性評(píng)價(jià)方法比較研究

【作 者】俞思聰，潘鷹， 俞西萍， 朱穎峰上海市食品藥品監(jiān)督管理局 醫(yī)療器械注冊(cè)處，上海，200010

采用比較研究與調(diào)研分析相結(jié)合的方法，通過(guò)對(duì)比歐美國(guó)家對(duì)醫(yī)療器械軟件上市前評(píng)價(jià)與上市方法，并實(shí)地調(diào)研分析上海市醫(yī)療器械生產(chǎn)企業(yè)對(duì)軟件研發(fā)質(zhì)量控制程序，分析醫(yī)療器械軟件安全存在的問(wèn)題，并對(duì)高風(fēng)險(xiǎn)醫(yī)療器械軟件的上市前安全性評(píng)價(jià)進(jìn)行了有益的探索。

醫(yī)療器械；軟件；高風(fēng)險(xiǎn)；安全性評(píng)價(jià)；內(nèi)外比較；借鑒

隨著計(jì)算機(jī)科學(xué)與技術(shù)的迅猛發(fā)展，數(shù)字電路、DSP、嵌入式系統(tǒng)、信息處理系統(tǒng)的大規(guī)模應(yīng)用，越來(lái)越多有源醫(yī)療器械中都包括了軟件系統(tǒng)。從大型的影像診斷設(shè)備CT、MRI到小型的監(jiān)護(hù)儀、注射泵等都出現(xiàn)了軟件系統(tǒng)的身影。如：監(jiān)護(hù)儀中分析報(bào)警軟件、呼吸機(jī)控制類軟件、輸液泵中自動(dòng)控制軟件、高頻手術(shù)電刀中嵌入式軟件、CT中后期重建軟件等等。除此以外，單獨(dú)軟件產(chǎn)品作醫(yī)療器械管理也不斷涌現(xiàn)，如動(dòng)態(tài)心電分析系統(tǒng)、遠(yuǎn)程診斷中使用的影像檔案?jìng)鬏?、處理系統(tǒng)軟件、輔助診斷疾病軟件、唐氏綜合癥篩查分析類軟件、手術(shù)導(dǎo)航軟件等。軟件系統(tǒng)已經(jīng)是醫(yī)療器械中重要組成部分。但與此同時(shí)，由于軟件系統(tǒng)缺陷而發(fā)生的醫(yī)療危害事件不斷升級(jí)，那么，軟件系統(tǒng)上市前究竟該如何進(jìn)行安全性評(píng)價(jià)？政府該如何確保產(chǎn)品安全上市？這些問(wèn)題應(yīng)當(dāng)引起我們的重視。

1 醫(yī)療器械軟件產(chǎn)品安全性評(píng)價(jià)的重要性

醫(yī)療器械軟件產(chǎn)品，從外部特征來(lái)看，它是一種非實(shí)物型信息產(chǎn)品；從內(nèi)部特性來(lái)說(shuō)，它是一個(gè)具有高度抽象性和嚴(yán)密邏輯性的邏輯系統(tǒng)。醫(yī)療器械軟件的運(yùn)行必須與現(xiàn)有硬件系統(tǒng)接口保持一致，其復(fù)雜性遠(yuǎn)遠(yuǎn)超過(guò)醫(yī)療器械產(chǎn)品硬件本身。

現(xiàn)代醫(yī)療器械技術(shù)中，數(shù)字芯片使用率越來(lái)越多，這些芯片都可以進(jìn)行編程運(yùn)行。而隨著人工智能，信號(hào)處理和圖像后處理技術(shù)等新技術(shù)發(fā)展，軟件研發(fā)在醫(yī)療器械設(shè)計(jì)開(kāi)發(fā)過(guò)程中已占據(jù)越來(lái)越重要地位。醫(yī)療器械的許多重要功能，越來(lái)越多地依靠軟件進(jìn)行控制。其管理部門必須保護(hù)公眾免受與軟件相關(guān)的器械故障造成的危害。

根據(jù)美國(guó)FDA統(tǒng)計(jì)報(bào)告，1992-1998年間共召回醫(yī)療器械3140起，其中，242起是由于醫(yī)療器械產(chǎn)品中軟件失效而引起的。而另一份調(diào)查報(bào)告指出，1968—1997年，美國(guó)FDA提交了450多份報(bào)告，詳述了醫(yī)學(xué)設(shè)備中的軟件缺陷，其中24個(gè)導(dǎo)致了死亡或者傷害。從上所述，軟件的安全性至關(guān)重要，已直接關(guān)系到人類的生命安全。

2 本市高風(fēng)險(xiǎn)的醫(yī)療器械軟件產(chǎn)品研發(fā)現(xiàn)狀及分析

為了評(píng)價(jià)本市醫(yī)療器械軟件產(chǎn)品的安全性，本課題組對(duì)本市部分高風(fēng)險(xiǎn)的醫(yī)療器械軟件產(chǎn)品生產(chǎn)企業(yè)進(jìn)行了問(wèn)卷調(diào)查。從醫(yī)療器械生產(chǎn)企業(yè)數(shù)據(jù)庫(kù)選擇了20家企業(yè)（近百種產(chǎn)品），其中有純軟件生產(chǎn)企業(yè)，也有嵌入式軟件開(kāi)發(fā)企業(yè)；有國(guó)有企業(yè)、外資企業(yè)、私營(yíng)企業(yè)等?，F(xiàn)將調(diào)查情況匯總?cè)缦隆?/p>

2.1軟件企業(yè)研發(fā)外包情況

2家企業(yè)將軟件研發(fā)外包，占10%；1家企業(yè)將部分軟件模塊研發(fā)外包，占5%；17家企業(yè)自行開(kāi)發(fā)，占85%。對(duì)于研發(fā)外包企業(yè)，采用質(zhì)量體系管理辦法對(duì)外包企業(yè)進(jìn)行控制。

2.2軟件按模塊進(jìn)行風(fēng)險(xiǎn)分析

在20家企業(yè)中，僅有3家企業(yè)對(duì)產(chǎn)品按模塊進(jìn)行風(fēng)險(xiǎn)分析，占15%。

2.3軟件驗(yàn)證計(jì)劃方法

由于各企業(yè)軟件開(kāi)發(fā)計(jì)劃不同，驗(yàn)證計(jì)劃方法：有單元測(cè)試、模塊測(cè)試、集成測(cè)試、系統(tǒng)集成測(cè)試、用戶功能測(cè)試。僅有5家企業(yè)全部按上述測(cè)試完成，另有15家企業(yè)僅作其中部分測(cè)試項(xiàng)目。從測(cè)試項(xiàng)目來(lái)看，10企業(yè)家進(jìn)行單元測(cè)試，8家企業(yè)進(jìn)行模塊測(cè)試，9家企業(yè)進(jìn)行集成測(cè)試，14家企業(yè)進(jìn)行系統(tǒng)測(cè)試，18家企業(yè)進(jìn)行用戶功能測(cè)試，4家企業(yè)用其他測(cè)試。

2.4軟件開(kāi)發(fā)過(guò)程中，研發(fā)和測(cè)試投入比重

20家企業(yè)中，在研發(fā)中平均投入和測(cè)試時(shí)間比為4.8：1，研發(fā)和測(cè)試投入費(fèi)用比為3.8：1

2.5軟件執(zhí)行標(biāo)準(zhǔn)

20家企業(yè)中，全部執(zhí)行了GB/T17544標(biāo)準(zhǔn)，同時(shí)執(zhí)行IEC62304或YY/T0664軟件安全標(biāo)準(zhǔn)僅有3家。

調(diào)查結(jié)果分析顯示，本市目前高風(fēng)險(xiǎn)的醫(yī)療器械軟件產(chǎn)品研發(fā)企業(yè)現(xiàn)狀呈現(xiàn)以下特點(diǎn).

（1）17家企業(yè)企業(yè)還是采用自行研發(fā)軟件方式；2家企業(yè)采用外包研發(fā)方式；1 家企業(yè)軟件模塊外包。也就是說(shuō)大部分企業(yè)可以對(duì)軟件進(jìn)行全生命周期管理。

（2）只有3 家企業(yè)對(duì)產(chǎn)品按模塊進(jìn)行風(fēng)險(xiǎn)分析。大部分企業(yè)未按產(chǎn)品風(fēng)險(xiǎn)等級(jí)，對(duì)產(chǎn)品模塊提出控制要求。

（3）企業(yè)重視研發(fā)投入，忽視測(cè)試。從研發(fā)與測(cè)試投入費(fèi)用比為3.8：1，時(shí)間比為4.8：1。在研發(fā)軟件上投入時(shí)間大大超過(guò)測(cè)試的投入，而一般國(guó)外優(yōu)秀企業(yè)產(chǎn)品研發(fā)和測(cè)試投入上接近1：1，說(shuō)明本市企業(yè)仍不重視測(cè)試投入。

（4）測(cè)試和驗(yàn)證方法中重視最終產(chǎn)品功能測(cè)試，對(duì)于其他過(guò)程測(cè)試重視不足。從驗(yàn)證結(jié)果百分比來(lái)看，企業(yè)對(duì)研發(fā)過(guò)程中較忽視測(cè)試，僅看重最終產(chǎn)品能否滿足功能要求。

（5）對(duì)軟件安全標(biāo)準(zhǔn)研究不足。本次調(diào)研結(jié)果顯示大部分企業(yè)仍未研究執(zhí)行YY/T0664軟件安全標(biāo)準(zhǔn)，對(duì)軟件生命周期安全評(píng)價(jià)，仍不重視。

3 美國(guó)、歐盟、中國(guó)醫(yī)療器械軟件產(chǎn)品安全性評(píng)價(jià)方法比較

本課題組系統(tǒng)研究了美國(guó)和歐盟對(duì)醫(yī)療器械軟件產(chǎn)品調(diào)整的法律法規(guī)和對(duì)安全性評(píng)價(jià)、風(fēng)險(xiǎn)控制的方法，并與中國(guó)的實(shí)際的方法進(jìn)行比較分析。

3.1法規(guī)文件與標(biāo)準(zhǔn)

美國(guó)對(duì)軟件上市有明確上市指南，歐盟也有建議文件，生產(chǎn)商或制造商可以在官方網(wǎng)站上找到相應(yīng)文件，明確產(chǎn)品上市前所需要準(zhǔn)備資料。但我國(guó)尚未建立全面性的可供企業(yè)參照的指南性文件。

3.1.1 美國(guó)

用以下三份審評(píng)指南規(guī)范醫(yī)療器械軟件上市要求。

① Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices；

② General Principles of Software Validation ;Final Guidance for Industry and FDA Staff；

③ Off-The-Shelf Software Use in Medical Devices。

3.1.2 歐盟

對(duì)醫(yī)療器械的管理有三個(gè)指令：有源植入醫(yī)療器械指令（AIMD）、醫(yī)療器械指令（MDD）、體外診斷醫(yī)療器械指令（IVDD）。這三個(gè)指令均涉及到軟件。歐盟通過(guò)指定機(jī)構(gòu)協(xié)調(diào)小組（NB-MED）專門發(fā)布的建議文件（NB-MED/2.2/REC4《軟件和醫(yī)療器械》），指導(dǎo)公告機(jī)構(gòu)和制造商執(zhí)行軟件按醫(yī)療器械管理指令上市時(shí)應(yīng)滿足的基本要求。

歐盟對(duì)于器械軟件管理主要按標(biāo)準(zhǔn)管理，根據(jù)法令任何器械，只要符合依據(jù)協(xié)調(diào)標(biāo)準(zhǔn)轉(zhuǎn)換的國(guó)家標(biāo)準(zhǔn)，成員國(guó)應(yīng)推定其符合本指令條款所述的基本要求。主要軟件相關(guān)的標(biāo)準(zhǔn)有：①IEC 62304:2006 - medical device software -software life cycle processes②IEC 60601-1-4 - programmable electrical medical systems③IEC61508-3-1998 functional safety of electrical/electronic/programmable safety related systems

3.1.3 中國(guó)

國(guó)家食藥監(jiān)局尚未對(duì)醫(yī)療器械軟件產(chǎn)品有具體審評(píng)指南、北京市食藥監(jiān)局編寫(xiě)的“北京市醫(yī)療器械軟件產(chǎn)品監(jiān)督管理規(guī)定（暫行）”，目前對(duì)于軟件產(chǎn)品上市方法還缺少法規(guī)支持。

目前，普通軟件標(biāo)準(zhǔn)有GB/T16260系列軟件工程產(chǎn)品質(zhì)量、GB/T17544 信息技術(shù)軟件包質(zhì)量要求和測(cè)試、醫(yī)療器械軟件標(biāo)準(zhǔn)有YY/T0664-2008 醫(yī)療器械軟件生存周期過(guò)程。而針對(duì)純軟件產(chǎn)品上市基本按GB/T17544進(jìn)行標(biāo)準(zhǔn)編寫(xiě)，而該份標(biāo)準(zhǔn)偏重于對(duì)軟件功能覆蓋測(cè)試，對(duì)軟件安全性并未提出具體要求。

3.2醫(yī)療器械軟件范圍

美國(guó)和歐盟對(duì)于醫(yī)療器械軟件定義已趨于一致，對(duì)于醫(yī)療器械軟件已包括傳統(tǒng)意義上的純軟件與嵌入式軟件。我國(guó)對(duì)醫(yī)療器械軟件定義在推薦標(biāo)準(zhǔn)中與歐盟和美國(guó)的定義基本相一致。

美國(guó)和歐盟都對(duì)純軟件和嵌入式軟件視為醫(yī)療器械軟件，對(duì)軟件研發(fā)、測(cè)試過(guò)程提出具體安全要求，我國(guó)對(duì)僅純軟件有安全要求，對(duì)嵌入式軟件未明確要求，僅隨成品器械做功能測(cè)試。

3.2.1 美國(guó)

美國(guó)FDA明確規(guī)定了醫(yī)療器械軟件產(chǎn)品是指包含一個(gè)或多個(gè)的軟件組件、部件、附件或僅由軟件組成的器械，包括固定或其他方式基于軟件控制的醫(yī)療器械，專業(yè)用的硬/軟件醫(yī)療器械。

3.2.2 歐盟

在醫(yī)療器械指令中將明確用途，或用于控制或影響醫(yī)療器械，或預(yù)期用于分析由醫(yī)療器械生成的患者數(shù)據(jù)來(lái)診斷和監(jiān)護(hù)的軟件，或用于診斷或治療身體或精神疾病時(shí)用的軟件都應(yīng)視為醫(yī)療器械軟件。但將用于保健設(shè)施的一般目的時(shí)軟件排除在醫(yī)療器械軟件產(chǎn)品之外。

另外，根據(jù)歐盟EN 62304標(biāo)準(zhǔn)的定義，醫(yī)療器械軟件產(chǎn)品旨在包括在被開(kāi)發(fā)的醫(yī)療器械內(nèi)的已開(kāi)發(fā)的軟件系統(tǒng)，或者預(yù)期本身用作醫(yī)療器械而開(kāi)發(fā)的軟件系統(tǒng)。3.2.3 中國(guó)

根據(jù)我國(guó)現(xiàn)有法規(guī)文件，未對(duì)醫(yī)療器械軟件做具體定義，但I(xiàn)EC62304已等同轉(zhuǎn)換為YY/T0664-2008于09年6月正式施行。該標(biāo)準(zhǔn)定義醫(yī)療器械軟件旨在包括在被開(kāi)發(fā)的醫(yī)療器械內(nèi)的已開(kāi)發(fā)的軟件系統(tǒng)，或者預(yù)期本身用作醫(yī)療器械而開(kāi)發(fā)的軟件系統(tǒng)。

3.3風(fēng)險(xiǎn)分級(jí)管理

美國(guó)對(duì)軟件安全性采用表格式問(wèn)答法，企業(yè)根據(jù)表格中問(wèn)題進(jìn)行回答，然后從中能夠?qū)︼L(fēng)險(xiǎn)分級(jí)較為明確；歐盟風(fēng)險(xiǎn)分級(jí)方法用定義法，由企業(yè)根據(jù)定義來(lái)自定，并需對(duì)具體模塊風(fēng)險(xiǎn)定義，對(duì)企業(yè)風(fēng)險(xiǎn)分析能力和自律性要求較高。而我國(guó)目前對(duì)純軟件安全性分級(jí)，分為II類和III類管理，對(duì)嵌入式軟件分級(jí)尚未真正進(jìn)行。3.3.1 美國(guó)

指南中采用“關(guān)注級(jí)別”的概念對(duì)軟件風(fēng)險(xiǎn)進(jìn)行分級(jí)。FDA采用問(wèn)答表格的方式使制造者明確軟件風(fēng)險(xiǎn)的關(guān)注級(jí)別。關(guān)注級(jí)別分為嚴(yán)重關(guān)注、中等關(guān)注、較低關(guān)注。

嚴(yán)重關(guān)注，軟件中故障或潛在缺點(diǎn)可能對(duì)病人或醫(yī)務(wù)人員直接導(dǎo)致死亡或嚴(yán)重傷害；如果軟件中故障或潛在缺點(diǎn)通過(guò)錯(cuò)誤或延遲信息傳遞或通過(guò)監(jiān)護(hù)人員錯(cuò)誤行為而間接對(duì)病人或醫(yī)務(wù)人員導(dǎo)致死亡或嚴(yán)重傷害，也認(rèn)為是嚴(yán)重關(guān)注。下列情況被認(rèn)為屬于嚴(yán)重關(guān)注：

（1）軟件用于血液分析；

（2）軟件系統(tǒng)用于輔助藥物或生物制品使用；

（3）軟件是包含在定位嚴(yán)重關(guān)注等級(jí)的醫(yī)療器械中一部分；

（4）在減輕危害之前，軟件失敗可能會(huì)對(duì)病人或操作者導(dǎo)致死亡或嚴(yán)重傷害。如① 含有軟件設(shè)備有控制生命支持或維持生命功能；② 軟件控制那種可能導(dǎo)致死亡或嚴(yán)重傷害的危害能量(放射治療系統(tǒng)，除顫器，消融發(fā)生器等)；③ 軟件裝置控制因?yàn)殄e(cuò)誤或故障而導(dǎo)致的嚴(yán)重死亡傷害的治療方法的傳遞；④ 軟件直接提供診斷信息，這種信息直接對(duì)治療方案起決定作用，如當(dāng)被誤診后，會(huì)導(dǎo)致死亡或嚴(yán)重傷害；⑤ 軟件會(huì)對(duì)潛在生命危險(xiǎn)狀況（醫(yī)療救治必須介入）提供生命體征監(jiān)護(hù)和報(bào)警。

中等關(guān)注，指軟件中故障或潛在缺點(diǎn)可能對(duì)病人或醫(yī)務(wù)人員直接導(dǎo)致較低傷害。如果軟件中故障或潛在缺點(diǎn)通過(guò)錯(cuò)誤或延遲信息傳遞或通過(guò)監(jiān)護(hù)人員錯(cuò)誤行為而間接對(duì)病人或醫(yī)務(wù)人員導(dǎo)致較低的傷害，也認(rèn)為是中等關(guān)注。下列情況被認(rèn)為中等關(guān)注

(1) 軟件是屬于中等關(guān)注級(jí)別醫(yī)療設(shè)備

(2)在減輕危害之前，軟件失敗可能會(huì)對(duì)病人或操作者導(dǎo)致死亡或較低傷害

(3) 如果軟件存在錯(cuò)誤或潛在設(shè)計(jì)錯(cuò)誤導(dǎo)致誤診或延誤合適的醫(yī)療救治會(huì)導(dǎo)致較低傷害。

較低關(guān)注，軟件中故障或潛在缺點(diǎn)不會(huì)導(dǎo)致任何對(duì)醫(yī)務(wù)人員或病人的傷害。如果軟件未列入嚴(yán)重關(guān)注或中等關(guān)注，那么它就被定為較低關(guān)注。

美國(guó)FDA認(rèn)為，由于不同風(fēng)險(xiǎn)分級(jí)，企業(yè)為上市準(zhǔn)備提交文檔應(yīng)該是有所區(qū)別的，但應(yīng)該至少包括軟件設(shè)備的預(yù)期用途、風(fēng)險(xiǎn)關(guān)注級(jí)別、提交類型。具體提交資料可以參見(jiàn)表3。通常來(lái)說(shuō)，提交資料需要包括：①描述設(shè)備設(shè)計(jì)想法；②書(shū)面驗(yàn)證設(shè)計(jì)如何實(shí)現(xiàn)；④論證產(chǎn)品設(shè)計(jì)是如何測(cè)試的；④展示如何有效進(jìn)行風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)管理；⑤提供 設(shè)計(jì)、執(zhí)行、測(cè)試和風(fēng)險(xiǎn)管理的可追溯性聯(lián)系。

對(duì)于嚴(yán)重關(guān)注產(chǎn)品要求提供資料最多包括關(guān)注級(jí)別闡述、軟件描述、器械危害分析、軟件規(guī)格需求說(shuō)明書(shū)（SRS）、軟件設(shè)計(jì)結(jié)構(gòu)圖、可追溯性分析、軟件開(kāi)發(fā)環(huán)境的描述、驗(yàn)證和確認(rèn)文檔、版本歷史、未解決異常（Bug或缺陷）。軟件開(kāi)發(fā)環(huán)境需要概述軟件生命周期開(kāi)發(fā)計(jì)劃。注釋在開(kāi)發(fā)過(guò)程中控制文檔中控制點(diǎn)。包括配置管理和測(cè)試活動(dòng)。驗(yàn)證和測(cè)試文檔需對(duì)單元、綜合和系統(tǒng)水平驗(yàn)證和測(cè)試活動(dòng)的描述。單元、綜合和系統(tǒng)測(cè)試協(xié)議，包括 通過(guò)/失敗標(biāo)準(zhǔn)，測(cè)試報(bào)告，概要和測(cè)試結(jié)果。而對(duì)于中等和一般關(guān)注級(jí)別的產(chǎn)品，需提交資料復(fù)雜程度依次降低。

3.3.2 歐盟

歐盟標(biāo)準(zhǔn)對(duì)于醫(yī)療軟件也采用風(fēng)險(xiǎn)分級(jí)管理概念——“軟件安全級(jí)別”。制造商應(yīng)按照軟件系統(tǒng)引起的危害對(duì)于患者、操作者或其他人員的可能影響的嚴(yán)重度，賦予每個(gè)軟件系統(tǒng)一個(gè)“軟件安全性級(jí)別”：

A級(jí)：不可能對(duì)健康有傷害或損壞；

B級(jí)：可能有不嚴(yán)重的傷害；

C級(jí)：可能死亡或嚴(yán)重傷害。

其中，歐盟將醫(yī)療器械軟件產(chǎn)品的嚴(yán)重傷害定義為直接或間接導(dǎo)致危及生命、造成人體功能的永久性損害或人體結(jié)構(gòu)的永久性損壞，或需要內(nèi)科或外科介人以防止人體功能的永久性損害或人體結(jié)構(gòu)的永久性損傷。

值得注意的是，歐盟也特別強(qiáng)調(diào)了，如果由于軟件失效引起死亡或嚴(yán)重傷害的風(fēng)險(xiǎn)，隨后由硬件風(fēng)險(xiǎn)控制措施降低到可接受水平，那么它的安全級(jí)別可逐級(jí)降低。也就是說(shuō)更相信硬件設(shè)計(jì)可靠性。

歐盟對(duì)軟件生存周期，根據(jù)風(fēng)險(xiǎn)程度不同，提出相應(yīng)要求，總的來(lái)說(shuō)軟件生命周期包含軟件開(kāi)發(fā)過(guò)程、軟件維護(hù)過(guò)程、軟件風(fēng)險(xiǎn)管理過(guò)程、軟件配置管理過(guò)程、軟件問(wèn)題解決過(guò)程。對(duì)于C級(jí)軟件，特別對(duì)軟件開(kāi)發(fā)標(biāo)準(zhǔn)、方法和工具策劃、風(fēng)險(xiǎn)隔離、軟件單元開(kāi)發(fā)詳細(xì)設(shè)計(jì)、為接口開(kāi)發(fā)詳細(xì)設(shè)計(jì)、驗(yàn)證詳細(xì)設(shè)計(jì)、補(bǔ)充的軟件單元驗(yàn)收準(zhǔn)則提出要求。A、B級(jí)軟件要求亦在IEC62304中有明確要求。

3.3.3 中國(guó)

對(duì)于單獨(dú)安裝的醫(yī)療軟件，2002年8月國(guó)家食品藥品監(jiān)督管理局發(fā)布了《醫(yī)療器械分類目錄》，增加了“軟件”產(chǎn)品的管理分類，并且按照醫(yī)療軟件的特點(diǎn)和臨床用途的不同，將醫(yī)療軟件分為診斷圖像處理軟件、診斷數(shù)據(jù)處理軟件、功能程序化軟件、影象檔案?jìng)鬏斕幚碥浖腿梭w解剖學(xué)測(cè)量軟件五類。以上基本對(duì)純軟件分類管理，同時(shí)按風(fēng)險(xiǎn)級(jí)別不同，分為II類和III類管理。

3.4上市需提交資料

（1）單獨(dú)安裝的醫(yī)療軟件 標(biāo)準(zhǔn)按GB/T17544編寫(xiě)，并送有資質(zhì)的檢測(cè)機(jī)構(gòu)進(jìn)行功能測(cè)試，但對(duì)于軟件安全性上未提出具體要求，提交資料驗(yàn)證也較為簡(jiǎn)單。

（2）包括在被開(kāi)發(fā)的醫(yī)療器械內(nèi)的已開(kāi)發(fā)的軟件系統(tǒng) 對(duì)軟件未作具體安全性要求，僅隨產(chǎn)品提交整機(jī)測(cè)試報(bào)告。

3.4安全性評(píng)價(jià)方法

美國(guó)重視企業(yè)對(duì)軟件研發(fā)過(guò)程控制，強(qiáng)調(diào)危害分析，要求企業(yè)在開(kāi)發(fā)過(guò)程中充分考慮風(fēng)險(xiǎn)級(jí)別不同軟件，采取不同安全控制措施，并由企業(yè)進(jìn)行自我驗(yàn)證測(cè)試，提交自我驗(yàn)證報(bào)告，但對(duì)于產(chǎn)品上市前的第三方機(jī)構(gòu)測(cè)試并不強(qiáng)調(diào)。歐盟則對(duì)更關(guān)注企業(yè)對(duì)產(chǎn)品生命周期全過(guò)程控制，從研發(fā)到上市后維護(hù)，也更注重在產(chǎn)品研發(fā)過(guò)程中，企業(yè)自身如何確保軟件安全，對(duì)于風(fēng)險(xiǎn)如何分析隔離，同樣不強(qiáng)調(diào)上市前的第三方機(jī)構(gòu)測(cè)試。我國(guó)對(duì)軟件產(chǎn)品，更注重結(jié)果驗(yàn)證，對(duì)產(chǎn)品進(jìn)行上市前“黑盒測(cè)試”，對(duì)設(shè)計(jì)開(kāi)發(fā)過(guò)程并未提出具體要求。

3.5上市需遞交資料

美國(guó)通過(guò)技術(shù)審評(píng)指南，對(duì)產(chǎn)品全部上市資料有詳細(xì)規(guī)定，企業(yè)可以了解FDA所關(guān)心內(nèi)容，并按要求遞交資料，包括對(duì)產(chǎn)品風(fēng)險(xiǎn)分析、開(kāi)發(fā)環(huán)境、設(shè)計(jì)流程、對(duì)單元、綜合和系統(tǒng)水平驗(yàn)證以及測(cè)試活動(dòng)的描述等。對(duì)于風(fēng)險(xiǎn)等級(jí)從低至高產(chǎn)品，所需遞交的資料也越來(lái)越多。歐盟則在合格評(píng)定程序過(guò)程中，由公告機(jī)構(gòu)確認(rèn)產(chǎn)品是否合乎上市要求。我國(guó)，強(qiáng)調(diào)第三方測(cè)試機(jī)構(gòu)測(cè)試報(bào)告，對(duì)企業(yè)研發(fā)階段如何控制風(fēng)險(xiǎn)，如何確保軟件安全還未關(guān)注。

4 建立和改善我國(guó)醫(yī)療器械軟件產(chǎn)品安全性評(píng)價(jià)方法的探討

從上所述可以看出，歐美發(fā)達(dá)國(guó)家對(duì)軟件安全性評(píng)價(jià)已形成完整的體系，建立了科學(xué)有效的評(píng)價(jià)方法，而我國(guó)醫(yī)療器械生產(chǎn)企業(yè)對(duì)軟件研發(fā)過(guò)程中風(fēng)險(xiǎn)管理意識(shí)還比較薄弱，那么在我國(guó)如何建立和改善對(duì)醫(yī)療器械軟件產(chǎn)品產(chǎn)品安全性性評(píng)價(jià)的方法，本課題組提出如下幾點(diǎn)建議：

（1）參照FDA分級(jí)方法，對(duì)軟件進(jìn)行風(fēng)險(xiǎn)分級(jí)

根據(jù)分類目錄，我國(guó)僅把醫(yī)療器械純軟件分為II類、III類管理，但根據(jù)美國(guó)FDA上市后數(shù)據(jù)收集和安全分析分級(jí)方法，發(fā)現(xiàn)我國(guó)部分II類醫(yī)療器械中的嵌入式軟件也屬嚴(yán)重關(guān)注類別中，如 監(jiān)護(hù)儀中嵌入軟件、輸液泵中的控制軟件、輔助診斷軟件等。對(duì)該類軟件安全性應(yīng)有較高要求。我們是否可以按美國(guó)風(fēng)險(xiǎn)評(píng)級(jí)方法，參照問(wèn)答表格，對(duì)醫(yī)療器械中的軟件產(chǎn)品安全風(fēng)險(xiǎn)進(jìn)行分級(jí)管理。

（2）循序漸進(jìn)，加強(qiáng)對(duì)高風(fēng)險(xiǎn)醫(yī)療器械軟件的安全性評(píng)價(jià)

從現(xiàn)代產(chǎn)品設(shè)計(jì)理念來(lái)講，醫(yī)療器械核心設(shè)計(jì)已由原來(lái)的硬件設(shè)計(jì)慢慢轉(zhuǎn)變?yōu)檐浖O(shè)計(jì)更新，現(xiàn)代醫(yī)療器械可以通過(guò)軟件升級(jí)實(shí)現(xiàn)更新功能，而從軟件缺點(diǎn)危害案例和FDA對(duì)不良反應(yīng)數(shù)據(jù)統(tǒng)計(jì)中可以看看出，軟件安全性評(píng)價(jià)已成為一項(xiàng)重要課題。歐美都在法規(guī)文件中，加強(qiáng)了對(duì)軟件安全性評(píng)價(jià)要求。而從本市所調(diào)研數(shù)據(jù)來(lái)看，大部分企業(yè)對(duì)軟件研發(fā)質(zhì)量控制觀念還比較淡薄，也很有可能發(fā)生安全性問(wèn)題。從風(fēng)險(xiǎn)分析角度考慮應(yīng)首先考慮對(duì)高風(fēng)險(xiǎn)醫(yī)療器械進(jìn)行軟件的安全性評(píng)價(jià)，以從中摸索經(jīng)驗(yàn)。

從現(xiàn)行管理辦法中，我國(guó)僅對(duì)純軟件提出安全評(píng)價(jià)要求，對(duì)于嵌入式軟件并未有具體法規(guī)要求，而歐美等國(guó)的經(jīng)驗(yàn)告訴我們，嵌入式軟件一樣存在安全風(fēng)險(xiǎn)，因而，在產(chǎn)品上市前就應(yīng)單獨(dú)對(duì)軟件部分進(jìn)行安全評(píng)價(jià)。

（3）明確要求，對(duì)高風(fēng)險(xiǎn)的醫(yī)療器械軟件產(chǎn)品提出具體上市資料

根據(jù)對(duì)軟件安全性定級(jí)，那么對(duì)于高風(fēng)險(xiǎn)醫(yī)療器械軟件，應(yīng)提出具體質(zhì)量要求，如：器械危害分析、軟件設(shè)計(jì)結(jié)構(gòu)圖、軟件設(shè)計(jì)規(guī)格說(shuō)明書(shū)（SDS）、可追溯性分析軟件開(kāi)發(fā)環(huán)境的描述、驗(yàn)證和確認(rèn)文檔、版本歷史、未解決異常（Bug或缺陷）等。

由于軟件產(chǎn)品特殊性，故軟件安全性保證無(wú)法單獨(dú)依靠第三方檢測(cè)機(jī)構(gòu)，必須由企業(yè)完成高風(fēng)險(xiǎn)模塊測(cè)試，內(nèi)部質(zhì)量評(píng)審?？筛鶕?jù)企業(yè)所提供材料，對(duì)企業(yè)自測(cè)行為進(jìn)行評(píng)估。從FDA不良反應(yīng)數(shù)據(jù)和我國(guó)不良反應(yīng)數(shù)據(jù)中，對(duì)企業(yè)軟件安全性提出評(píng)價(jià)意見(jiàn)。

（4）加強(qiáng)對(duì)軟件研發(fā)企業(yè)質(zhì)量體系控制

軟件安全性風(fēng)險(xiǎn)，本質(zhì)源于設(shè)計(jì)開(kāi)發(fā)時(shí)風(fēng)險(xiǎn)分析全面性與測(cè)試嚴(yán)密性，這兩點(diǎn)都需要企業(yè)在研發(fā)時(shí)對(duì)產(chǎn)品質(zhì)量控制，而根據(jù)國(guó)際標(biāo)準(zhǔn)IEC62304要求，更強(qiáng)調(diào)企業(yè)在產(chǎn)品研發(fā)時(shí)風(fēng)險(xiǎn)分析，和對(duì)軟件模塊風(fēng)險(xiǎn)分析要求。雖然該標(biāo)準(zhǔn)已被等同轉(zhuǎn)換為國(guó)內(nèi)推薦性行標(biāo)，但從調(diào)研數(shù)據(jù)來(lái)看，本市企業(yè)參照?qǐng)?zhí)行的很少，因此對(duì)該類企業(yè)應(yīng)對(duì)其設(shè)計(jì)開(kāi)發(fā)過(guò)程進(jìn)行質(zhì)量體系考核，以符合安全性要求。

5 對(duì)于軟件安全性評(píng)價(jià)一點(diǎn)其它思考

（1）對(duì)于軟件開(kāi)發(fā)分包企業(yè)，是否需對(duì)分包軟件開(kāi)發(fā)過(guò)程提出控制要求。

從本市調(diào)研中可以看出，有部分生產(chǎn)企業(yè)將軟件研發(fā)外包，而外包開(kāi)發(fā)后，安全性控制將由分包企業(yè)完成，那么制造商選擇分包軟件的開(kāi)發(fā)過(guò)程，應(yīng)證明在軟件的生存周期內(nèi)對(duì)此過(guò)程控制。并由制造商要求承包商滿足標(biāo)準(zhǔn)及定期評(píng)估對(duì)承包商對(duì)標(biāo)準(zhǔn)要求的符合性。

（2）對(duì)軟件的升級(jí)如何控制安全風(fēng)險(xiǎn)

由于軟件升級(jí)較為簡(jiǎn)單，也可以實(shí)現(xiàn)新功能，一般而言軟件升級(jí)總是為了修復(fù)之前錯(cuò)誤，或?qū)崿F(xiàn)新功能，由上文分析可知，軟件升級(jí)是比較容易引起產(chǎn)品不穩(wěn)定的，而且也可能會(huì)實(shí)現(xiàn)新功能。那么如果軟件與早期版本相比有變新，或預(yù)期用途的發(fā)生變化，及預(yù)定運(yùn)行的平臺(tái)的變更，制造商應(yīng)確定以下內(nèi)容：產(chǎn)品在變更后仍然滿足基本要求；變化應(yīng)有通過(guò)配置管理過(guò)程的文檔記錄；變更已經(jīng)被確認(rèn)和批準(zhǔn)；應(yīng)確認(rèn)與（新）硬件、已有軟件的兼容性；如涉及變更的重大變化，需進(jìn)行重新注冊(cè)申報(bào)。

（3）第三方測(cè)試機(jī)構(gòu)，是否應(yīng)建立軟件bug報(bào)告制度

在第三方機(jī)構(gòu)產(chǎn)品測(cè)試中，常常會(huì)遇到軟件錯(cuò)誤、崩潰情況，但在檢測(cè)報(bào)告中一般無(wú)法體現(xiàn)這類情況，而可能導(dǎo)致產(chǎn)品雖通過(guò)測(cè)試，但質(zhì)量很不穩(wěn)定，而這些技術(shù)審評(píng)人員無(wú)法觀察到的。那么，是否可以建立一份軟件bug報(bào)告制度，如果檢測(cè)過(guò)程中出現(xiàn)出錯(cuò)，可填寫(xiě)表格，包括錯(cuò)誤類型、后果、發(fā)生頻率等并隨報(bào)告上報(bào)，供審評(píng)人員參考分析。

（4） 從不良反應(yīng)案例中，收集風(fēng)險(xiǎn)分析經(jīng)驗(yàn)

從美國(guó)FDA數(shù)據(jù)庫(kù)可以得知，美國(guó)之所以可以制定出大量風(fēng)險(xiǎn)分級(jí)原則，就是因?yàn)樗麄冃兄行У牟涣挤磻?yīng)收集制度，從中可以總結(jié)出大量安全性分析點(diǎn)。我們也因從不良反應(yīng)案例中，收集風(fēng)險(xiǎn)分析經(jīng)驗(yàn)，編制成冊(cè)，為今后審評(píng)提供參考。

[1] Ian Sommerville. 軟件工程[M]. 北京: 機(jī)械工業(yè)出社, 2003.

[2] 朱少云. 軟件質(zhì)量保障和管理[M]. 北京: 清華大學(xué)出版社, 2004.

[3] 孫志安. 軟件可靠性工程. 北京: 北京航空航天大學(xué)出版社, 2009.

[4] Timothy C.Lethbridge Robert Laganiere. 面向?qū)ο筌浖こ蘙M].北京: 機(jī)械工業(yè)出版社, 2003.

[5] Dirk Huberty. 軟件質(zhì)量和軟件測(cè)試[M]. 北京: 清華大學(xué)出版社, 2003.

[6] Gerard O’Regan. 軟件質(zhì)量實(shí)用方法論[M]. 北京: 清華大學(xué)出版社, 2004.

[7] 武俊華. 醫(yī)療器械軟件生存周期過(guò)程[J]. 中國(guó)醫(yī)療器械信息, 2006, 12(9): 32-38.

[8] GBT16260. 1-2006 軟件工程 產(chǎn)品質(zhì)量 第1部分: 質(zhì)量模型.

[9] YY/T0664-2008 醫(yī)療器械軟件 軟件生存周期過(guò)程.

[10] 杜堃, 何建, 馬莉, 等. 醫(yī)療器械軟件安全性評(píng)價(jià)[J]. 中國(guó)醫(yī)療器械信息. 2009, 15(1): 30-33.

Comparison of the Software Safety Evaluation Methods in Medical Devices

【W(wǎng)riters】Yu Sicong, Pan Ying, Yu Xiping, Zhu Yinfeng Medical Device Registration Department Shanghai Municipal Food and Drug Administration, Shanghai, 200010

Medical Device, Software, High-risk, Safety Evaluation, Comparison, Illumination

】The article intends to analyze the software safety problems in high-risk medical devices based on the investigation of software R & D Quality control procedures in Shanghai medical device manufacturing enterprises. The idea of improving the software pre-market safety evaluation method in China is also explored through the way of comparing those in US and Europe.

1671-7104(2010)05-0360-05

2010-03-22

俞思聰，E-mail:yusicong@smda.gov.cn

TH77

A

10.3969/j.isnn.1671-7104.2100.05.012

【