淺析醫(yī)療器械軟件相關標準

李佳戈，劉艷珍，蘇宗文，王建宇，鄭 佳，任海萍（中國食品藥品檢定研究院，北京 100050）

醫(yī)療器械行業(yè)標準YY/T 0664-2008《醫(yī)療器械軟件軟件生存周期過程》（等同轉化IEC 62304）中，將醫(yī)療器械軟件定義為：指包括在被開發(fā)的醫(yī)療器械內的已開發(fā)的軟件系統(tǒng)，或者預期本身用作醫(yī)療器械而開發(fā)的軟件系統(tǒng)。

在醫(yī)療器械軟件檢測標準方面，國內主要是借鑒信息技術標準GB/T 17544-1998《信息技術 軟件包 質量要求和測試》，該標準目前已經被GB/T 25000.51-2010《軟件工程 軟件產品質量要求和評價 （SQuaRE）商業(yè)現(xiàn)貨 （COTS）軟件產品的質量要求和測試細則》替換，并于2011-02-01后正式作廢。GB/T 25000.51-2010標準主要是運用黑盒測試方法對醫(yī)療器械軟件成品進行評測。而醫(yī)療器械軟件作為一類特殊的醫(yī)療器械，其本身具有系統(tǒng)性、易變性和靈活性的特點。同時，軟件的缺陷不易被發(fā)現(xiàn)，沒有預警，更為隱蔽，并且很多缺陷可能會在長期使用后才能被意識到。因此，僅僅依靠上市前的檢測來控制其安全風險是遠遠不夠的。

目前，國際上通行的做法是在檢測基礎上對軟件整個生存周期的全過程進行風險管理。這就需要生產企業(yè)和相關評測機構運用適當的風險管理方法對醫(yī)療器械軟件從設計、開發(fā)、使用、維護的整個生存周期進行管理和驗證。

國內在醫(yī)療器械軟件風險管理方面的標準主要有：YY/T 0708-2009《醫(yī)用電氣設備 第1-4部分：安全通用要求：可編程醫(yī)用電氣系統(tǒng)》、YY/T 0664-2008《醫(yī)療器械軟件 軟件生存周期過程》和YY/T 0316-2008《醫(yī)療器械 風險管理對醫(yī)療器械的應用》。但這些標準由于實施時間不長，對于生產企業(yè)和第三方檢測/評測機構來說，都需要調整以適應標準的要求。本文針對上述與醫(yī)療器械軟件檢測相關的最新標準要求及實際執(zhí)行情況進行分析，供相關人員參考。

1 GB/T 25000.51-2010標準分析

1.1 標準背景

如前所述，國內醫(yī)療器械軟件檢測標準之前主要是借鑒信息技術標準 GB/T 17544-1998。GB/T 17544-1998等同采用了ISO/IEC 12119：1994，后者又被修訂為ISO/IEC 25051：2006。國內對標準進行了升級，將ISO/IEC 25051：2006等同轉化為GB/T 25000.51-2010，修訂目的之一是為了與SQuaRE系列標準協(xié)調一致。此標準于2010年9月發(fā)布，2011-02-01正式實施；在2010年9月～2011-02-01之 間 與 GB/T 17544-1998 并 行 使 用，2011-02-01以后 GB/T 17544-1998作廢。

隨著新的國標 GB/T 25000.51-2010的發(fā)布與實施，以及舊版標準GB/T 17544-1998的作廢，即要求相關軟件檢測實驗室根據新的國家標準實施評測活動。

1.2 新標準的主要內容

1.2.1 標準結構

新版標準的結構作了調整和修改，GB/T 17544-1998共4章3個附錄；而新版標準共7章3個附錄和1個參考文獻。

1.2.2 標準的內容

（1）GB/T 25000.51-2010標準相比較于 GB/T 17544-1998標準的適用范圍作了擴充，但限定于商業(yè)現(xiàn)貨產品。

（2）新版標準的第4章與舊版標準的第3章基本上是一致的，只是舊版標準中3.3的名稱 “程序和數據”在新版中改為4.3“軟件的質量要求”。

（3）新版標準的第5章對應于舊版標準的第4章，其內容變化較大。新版標準刪去了測試活動，主要是針對測試文檔，特別是測試計劃、測試規(guī)程、測試報告的編制等提出了更為具體的要求。

新標準5.1產品說明要求：相比較于GB/T 17544-1998，增加了 “可用性”和 “用戶使用質量”的要求，共計10項規(guī)定。

新標準5.2用戶文檔要求：相比較 GB/T 17544-1998，增加 “易學性”和 “易操作性”的要求，去掉了 “易瀏覽性”要求。

新標準5.3軟件質量要求：在GB/T 17544-1998中6個特性 （功能性、可靠性、易用性、效率、維護性、可移植性）的基礎上，增加了一個新特性：“使用質量”要求。

（4）新標準第6章測試文檔要求：GB/T 25000.51-2010標準對測試文檔進行了規(guī)范，重點要求了 “測試計劃”，“測試說明”，“測試規(guī)程”和“測試結果”。

（5）新標準第7章符合性評價細則：此內容是GB/T 25000.51-2010標準新增加的章節(jié)，主要用來對 “商業(yè)現(xiàn)貨軟件產品”國標的符合性進行評價。要求從產品說明、用戶文檔、測試文檔集等方面評價其符合性。

（6）新版標準的附錄部分也作了改動，刪去了舊版中的 “產品描述的例子”，增加了 “COTS軟件產品在完整性等級高的應用系統(tǒng)中的應用指南”和 “如何使用本標準”兩個附錄。

（7）新版標準增加了三章內容，即第2章 “符合性”、第3章 “規(guī)范性引用文件”和第7章 “符合性評價細則”。第2章說明了COTS軟件產品符合本標準的條件。第3章列出了標準的引用文件，使用者可參照相關文件更好地理解GB/T 25000.51-2010標準的相關要求。第7章從符合性方面規(guī)定了如何評價COTS軟件產品以及如何編制符合性評價報告。

1.3 標準測試要求

（1）新標準在 “產品說明”中對于軟件每一個特性的描述均要求參見 GB/T 16260.1-2006的相關規(guī)定。對于第三方評測實驗室來說，在原有的對于GB/T 17544-1998標準理解的基礎上，在執(zhí)行GB/T 25000.51-2010時，只要重點抓住對于新標準中GB/T 16260.1-2006相關要求的理解，就能夠很快的掌握新標準并在檢測/評測工作中加以使用。

（2）新標準重點針對測試文檔集提出了要求，對 “測試計劃”、“測試規(guī)程”、“測試結果”等均進行了詳細的規(guī)范，更注重于對測試文檔集的控制，意在通過測試文檔集來規(guī)范測試過程。

（3）新標準7.4中針對供方提供的測試用COTS軟件產品是否附帶測試文檔集的不同情況，對于第三方評測機構執(zhí)行本標準作了不同的規(guī)定。當供方僅提供COTS軟件而沒有提供測試文檔時，則要對被測軟件實施符合性評價。這就需要第三方評測機構在與生產企業(yè)充分確認后，根據軟件自身的功能特點，制定測試計劃、編寫測試用例、搭建合適的軟硬件測試平臺完成測試并形成評測報告。

2 YY/T 0708-2009標準分析

2.1 標準背景

YY/T 0708-2009等同采用了IEC 60601-1-4：2000《醫(yī)用電氣設備 第1-4部分：安全通用要求并列標準：可編程醫(yī)用電氣系統(tǒng)》。該并列標準是GB 9706.1-2007通用標準的并列標準，于2009－11-15發(fā)布，2010-12-01實施。

本標準適用于帶有可編程電子子系統(tǒng) （PESS）的醫(yī)用電氣設備和醫(yī)用電氣系統(tǒng)，即嵌入式的軟件。該標準要求生產商遵循某一過程，該過程包括風險管理和開發(fā)活動，并產生該過程的記錄來支持帶有可編程電子子系統(tǒng)的醫(yī)用電氣設備的安全。

由于該標準是以風險管理和開發(fā)生存周期為基礎而起草的，其作為醫(yī)療設備的風險管理標準是非常重要的。美國FDA對大部分醫(yī)療器械中的軟件都是依據該標準的要求進行管理。

2.2 標準的主要內容

本標準的重點內容主要集中在 “52章：不正常的運行和故障狀態(tài)”。標準要求：應維護應用本標準形成的風險管理文檔并應使其成為質量記錄的一部分。對于標準的兩大基礎，其中，開發(fā)生存周期應包括風險管理的整個過程；同時，風險管理活動應合適地貫穿于開發(fā)生存周期中。

依據該標準所形成的風險管理文檔包括：風險管理計劃 （標準52.202）、開發(fā)生存周期 （標準52.203）、風險管理過程 （主要要素：風險分析和風險控制） （標準52.204）、人員資格 （標準52.205）、軟件需求規(guī)格說明 （標準52.206）、體系結構 （標準52.207）、設計和實現(xiàn) （標準52.208）、驗證 （標準52.209）、確認 （標準52.210）、修改（標準52.211）和評定 （標準52.212）。

2.3 標準測試要求

（1）對于第三方評測機構來說，允許通過對供方所提供的文檔核查來檢查其與本標準的過程要求的符合性。

同時，標準的相關資料性附錄BBB～EEE也給出了執(zhí)行和驗證相關風險管理過程的參考方法。對于依據本標準進行醫(yī)療器械軟件風險管理的生產企業(yè)和評測的第三方檢測機構來說，都具有一定的參考意義。

這里需要重點說明的是，醫(yī)療器械軟件生產企業(yè) （供方）在滿足本標準要求的基礎上，還可參考YY/T 0316-2008《醫(yī)療器械 風險管理對醫(yī)療器械的應用》標準的要求進行風險管理。這是因為，YY/T 0316-2008 參考了IEC 60601-1-4標準的要求。因此，YY/T 0316-2008與 YY/T 0708-2009兩者對風險管理過程要求的基本理念是一致的。

但不同的是，YY/T 0316-2008標準適用范圍更廣，對于所有醫(yī)療器械的風險管理過程都可以參照執(zhí)行。在實際檢測中，也會碰到有些醫(yī)療器械軟件生產企業(yè)按照YY/T 0316-2008標準要求進行風險管理并形成文檔。這就要求評測機構明晰兩個標準的內在聯(lián)系，明確標準適用范圍和要求的異同，指導企業(yè)按照適用的標準進行管理和整改，更好地符合標準要求，減少風險。

（2）應注意在產品整個開發(fā)生存周期內形成風險管理概要，具體要求可參考標準中的表DDD.1。

（3）如企業(yè)風險管理計劃有變更時，在檢測中要重點檢查其保留的相應更改記錄。

（4）在企業(yè)提交的風險管理文檔中要包含問題解決體系，該體系應具備7個特征：定義、報告（對用戶報告錯誤有無流程）、問題 （有無分析流程）、準則、措施、確認 （有無確認和發(fā)布的流程）、步驟。

（5）執(zhí)行標準52.204.3.1進行危害分析檢測時，由于其提到的可能導致危害的原因體現(xiàn)在標準52.204.3.1.6所述的事項上，所以，對這些原因和可能性需要進行排列組合。同時，可參考YY0316的附錄說明。

（6）對于資料文件要注意審查：a）人員的教育背景、培訓經歷；b）是否有流程、按流程執(zhí)行；c）是否認識到重要性，需要有多人包括作者、審評人員、批準人員的職務；d）是否有完整的記錄。

3 YY/T 0664-2008標準分析

3.1 標準背景

本標準等同采用ISO/IEC 62304：2006，對每一個醫(yī)療器械軟件生命周期過程提出了要求，該標準為醫(yī)療器械軟件開發(fā)和維護的最基本的活動和任務規(guī)定了框架，以確保能夠提供安全可靠的軟件產品。

本標準適用于醫(yī)療器械軟件的開發(fā)和維護。

3.2 標準的主要內容

該標準包括正文共計九章和4個資料性附錄。按照標準4.3的規(guī)定，將被測軟件按照安全性級別A～C級分別提出了相應的要求。

3.3 標準測試要求

本標準設想醫(yī)療器械軟件是在質量管理體系（符合YY/T 0287或國家質量管理體系標準）和風險管理體系 （符合YY/T 0316）之內開發(fā)和維護的。以此為前提，本標準只是在YY/T 0316的基礎上補充了一些風險管理要求。

對于評測機構來說，主要是對供方所提供的相關文檔進行核查，確認其滿足YY/T 0316標準的基礎上，進而符合本標準的要求。

4 問題與討論

上述標準由于實施時間不長，同時涉及醫(yī)療器械軟件成品檢測及風險管理要求，因此，對生產企業(yè)和第三方評測機構來說，都需要按照標準要求及時調整和適應。目前，急需解決如下問題：

（1）醫(yī)療器械軟件生產企業(yè)應準確理解新標準要求，及時調整設計、研發(fā)、生產和維護過程管理。按照最新的方法 （在開發(fā)早期，可采用 “自上而下”的工具，如故障樹分析；對成品或設計末期，可采用 “自下而上”的工具，如失效模式和效應分析）對產品重新進行風險管理和測試并形成相關文檔記錄。不能流于形式，切忌把相關工作停留在文件準備的層面。

（2）對于第三方評測機構而言，新標準的執(zhí)行問題主要體現(xiàn)在對醫(yī)療器械風險管理理念和方法的理解。要解決這一問題，就要求評測機構和供方一起，結合醫(yī)療器械軟件的特點從產品的整個生存周期過程加以考慮和檢測，同時輔以對成品的功能性、安全性、性能等項目的檢測 （采用黑盒檢測方法），及時發(fā)現(xiàn)問題，提出整改建議，幫助企業(yè)提高產品的質量。

［1］武俊華.醫(yī)療器械軟件生存周期過程—IEC/DIS 62304標準的應用 ［J］.中國醫(yī)療器械信息，2006，12 （9）：32-35.

［2］軟件工程 軟件產品質量要求和評價 （SQuaRE）商業(yè)現(xiàn)貨（COTS）軟件產品的質量要求和測試細則 ［S］.GB/T 25000.51-2010，2010.

［3］醫(yī)用電氣設備 第1-4部分：安全通用要求：可編程醫(yī)用電氣系統(tǒng) ［S］.YY/T 0708-2009，2009.

［4］醫(yī)療器械軟件 軟件生存周期過程 ［S］.YY/T 0664-2008，2008.

［5］醫(yī)療器械 風險管理對醫(yī)療器械的應用 ［S］.YY/T 0316-2008，2008.

［6］俞思聰，潘鷹，俞西萍，等.國內外醫(yī)療器械軟件安全性評價方法比較研究 ［J］.中國醫(yī)療器械雜志，2010，34（5）：360-364.