醫(yī)療設備安全軟件的10項前提

　　
圖2 一臺醫(yī)療監(jiān)測設備系統(tǒng)級故障樹細節(jié)

　　在圖2所示的醫(yī)療監(jiān)測設備系統(tǒng)級故障樹中，使用的貝葉斯網(wǎng)絡，可以天衣無縫地地融入采用貝葉斯技術(shù)的安全案例之中。

　　要證明我們的系統(tǒng)滿足其安全要求，我們必須采用包括測試在內(nèi)的多種手段：

　　靜態(tài)分析­——受到包括FDA在內(nèi)的多家機構(gòu)的推薦，靜態(tài)分析對于定位可疑代碼十分有價值。它包含針對編碼標準的語法檢查、故障概率估計、針對代碼指令的正確驗證，以及符號執(zhí)行（靜態(tài)/動態(tài)混合）。

　　實地使用和曾用數(shù)據(jù)——對建立可靠性指標至關(guān)重要，使用時間和該段時間內(nèi)的故障情況的搜集應該貫穿整個產(chǎn)品生命周期：樣本越多，我們對提出的指標也就越有信心。

　　故障輸入——故意輸入故障既可以檢驗用來處理錯誤檢測的代碼，還可以幫助預估剩余故障的數(shù)目。和隨機測試分析一樣，故障輸入的結(jié)果需要細致的統(tǒng)計分析。

　　形式化和半形式化的設計驗證——傳統(tǒng)上是在執(zhí)行前完成，設計驗證也可回顧性執(zhí)行。

　　7、COTS和SOUP

　　無論是COTS，甚或是SOUP，只要這個部件有足夠證據(jù)來支持系統(tǒng)的整體安全案例，就可以采用。

　　建立一個安全軟件系統(tǒng)的最佳途徑通常不是完全自力更生，因為這樣所承擔的風險要比建立一個采用選定COTS（commercial off-the-shelf，商業(yè)成品）零部件的系統(tǒng)要大。建立操作系統(tǒng)、通信棧和數(shù)據(jù)庫需要專門的知識，而相應的COTS也許會有上千萬小時的使用歷史優(yōu)勢。

　　雖然如此，對醫(yī)療設備開發(fā)者來說，COTS軟件通常是SOUP（software of uncertain provenance，不確定出處軟件），因而應該謹慎對待。IEC 61508和IEC 62304都假定SOUP會被用到。關(guān)鍵在于要有充足的可靠證據(jù)來量化SOUP對系統(tǒng)安全指標的影響。

　　這些證據(jù)將包括在實地使用數(shù)據(jù)、故障歷史記錄和其他歷史數(shù)據(jù)。我們應該要求獲得源代碼和測試計劃，這樣可以利用靜態(tài)代碼分析工具來檢驗軟件。供應商還應該提供用來構(gòu)建軟件的詳細流程，或者是外部審核員的聲明，肯定這些流程適用于IEC 62304設備。

　　8、經(jīng)認證的零部件及其供應商

　　具備安全認證的零部件，比如通過IEC 61508認證的操作系統(tǒng)，可以加速開發(fā)和驗證，有助于加快審準步伐。

　　如果使用COTS，采用獲得相關(guān)批準的零部件很有幫助。諸如FDA、MHAR、加拿大衛(wèi)生部以及其他國家的同等部門的組織所審批的不是這些零部件，而且面向市場的整個系統(tǒng)或設備；即便如此，獲得類似IEC 61508或IEC 62304認證的零部件可以簡化審批流程，縮短上市時間。

　　要獲得認證，a）這些零部件必須在一個流程和質(zhì)量管理都到位的環(huán)境中進行開發(fā)，b）它們必須經(jīng)過合理的測試和驗證，c） COTS軟件供應商必須提供所有必要的文檔，來支持最終設備獲得批準。

　　9、審