胡凱，楊輝，沈亦紅，張丹

浙江省醫(yī)療器械審評中心，浙江 杭州 311121

引言

近年來，隨著制造業(yè)技術(shù)升級和“人工智能”“互聯(lián)網(wǎng)+”等概念的普及，醫(yī)療領(lǐng)域的智能化和信息化已大步向前邁進。醫(yī)療器械軟件，在醫(yī)療智能化和“互聯(lián)網(wǎng)+醫(yī)療”中占有核心地位。FDA 已審批了多種預(yù)期用途的醫(yī)療器械軟件，舉例：① 直接診斷和檢測疾病，如腦脊液光譜數(shù)據(jù)分析來診斷兒童肺結(jié)核或病毒性腦膜炎；② 通過連接控制實體醫(yī)療器械，對患者實行治療，為治療和緩解耳鳴提供聲音治療；③ 輔助診斷決策支持，使用個體數(shù)據(jù)預(yù)測進展性卒中或心臟疾病的風險系數(shù)；④ 醫(yī)療數(shù)據(jù)管理，醫(yī)學圖像傳輸與存檔。

而軟件本身獨特的非實體化存在的形式，其質(zhì)量管理工作給醫(yī)療器械從業(yè)人員帶來不小的困惑。據(jù)相關(guān)文獻報道，1999～2005 年，F(xiàn)DA 共有3771 個產(chǎn)品被召回，由于軟件故障被召回的產(chǎn)品有425 個，占全部被召回產(chǎn)品的11.3%[1]。2015 年，西門子公司的PACS 產(chǎn)品因打印配置文件與打印機不匹配導(dǎo)致打印圖像尺寸失真而被召回。2017年，Spacelabs Healthcare 公司的麻醉氣體輸送系統(tǒng)中的軟件，因在送氣故障時未顯示故障及報警而被召回[2]。軟件工程領(lǐng)域已有管理方法的探討[3-4]，但針對作為醫(yī)療器械的軟件，未有正式的管理規(guī)范結(jié)合醫(yī)療器械相關(guān)要求（截至收稿時）?？梢?，如何科學有效的管理醫(yī)療器械軟件是一個意義重大的課題。本文將通過對相關(guān)國家的生產(chǎn)質(zhì)量管理規(guī)范的探索，對ISO 13485 和IEC 62304 等標準進行討論，結(jié)合軟件生產(chǎn)企業(yè)的實際檢查，給出初步建議。

1 醫(yī)療器械獨立軟件生產(chǎn)管理過程的特點

軟件作為邏輯產(chǎn)品不具有實體。它滲透了大量的腦力勞動，人的邏輯思維、智能活動和技術(shù)水平是軟件產(chǎn)品的關(guān)鍵。軟件通常以程序和文檔的形式保存在作為計算機存儲器的磁盤和光盤介質(zhì)上，通過操作計算機才能體現(xiàn)出它的功能和作用。以上特性決定了軟件具有以下特點。

（1）生產(chǎn)與研發(fā)緊密結(jié)合，生產(chǎn)過程趨于扁平化。軟件產(chǎn)品的人力資源和成本主要集中在軟件的開發(fā)和研制上。如果把代碼理解為“零件”，模塊理解為“組件”，那么編譯并封裝就相當于成品的“組裝”。軟件開發(fā)研制完成后，通過復(fù)制就可以產(chǎn)生大量的軟件產(chǎn)品，不需要投入大量的人力和設(shè)備構(gòu)建生產(chǎn)線，相對地會在后期維護中升級。軟件產(chǎn)品不會用壞，不存在磨損、消耗等問題。

（2）研發(fā)元素的多元化。第一，軟件開發(fā)商會依據(jù)客戶需求，制定研發(fā)計劃并編寫代碼，而客戶需求會依據(jù)主客觀環(huán)境的不同有區(qū)別；第二，軟件開發(fā)過程可能會使用第三方產(chǎn)品或技術(shù)，如現(xiàn)成軟件[5]、開源API[6]，融入產(chǎn)品本身或配合產(chǎn)品使用；第三，不同開發(fā)商的基礎(chǔ)數(shù)據(jù)庫數(shù)據(jù)來源不同。如骨密度檢測軟件基于不同的適用人群會有不同的臨床數(shù)據(jù)庫人群分布[7]。

（3）售后安裝及使用情況多變復(fù)雜。不同的使用者，其使用的網(wǎng)絡(luò)、信息設(shè)備、終端、系統(tǒng)軟件不盡相同。軟件開發(fā)商在為客戶安裝的時候，可能會根據(jù)使用者現(xiàn)有信息接口的不同，對軟件中間件[8]做出相應(yīng)的調(diào)整。現(xiàn)有版本軟件的小升級、大升級、后續(xù)版本開發(fā)等工作，是獨立軟件產(chǎn)品全生命周期質(zhì)量管理的重要內(nèi)容。因此，同一企業(yè)的同一軟件產(chǎn)品可能存在多種有細微差異的“版本”。

2 目前存在的管理難題

2.1 由于生產(chǎn)過程扁平化及高靈活度導(dǎo)致難以全面記錄

設(shè)計開發(fā)和生產(chǎn)有合并的趨勢。在設(shè)計研發(fā)階段輸出成果（代碼）后，企業(yè)根據(jù)軟件載體的不同，采用不同的生產(chǎn)方式。實體載體如光盤，通過拷錄電腦進行拷貝。虛擬載體形式則將軟件產(chǎn)品上傳至服務(wù)器，通過使用者或裝維人員自行下載。在現(xiàn)場檢查過程中，管理人員可能對于最終軟件成品的拷錄電腦或存儲服務(wù)器，缺乏相應(yīng)的使用管理，具體表現(xiàn)為：現(xiàn)場拷錄電腦不固定、未進行安全驗證、沒有使用記錄，存儲服務(wù)器缺少安全驗證等。《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范現(xiàn)場檢查指導(dǎo)原則》（以下簡稱《檢查指導(dǎo)原則》）中，“設(shè)備”“文件管理”“生產(chǎn)管理”均有涉及上述內(nèi)容，如3.2.1、3.2.3、4.4.2、7.5.2、7.6.1 等條款。

2.2 研發(fā)要素多元化、更新快導(dǎo)致的過程評價不及時

評價不及時體現(xiàn)在：① 對第三方軟件或開源代碼缺少評價與驗證，研發(fā)人員利用開源代碼直接嵌入；② 由于軟件的需求變化較快，軟件的更改未得到及時的評價；③ 核心算法中的經(jīng)驗系數(shù)，缺少臨床確認記錄。在企業(yè)的體系文件中，IEC 62304（YY/T 0664）、《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》等往往作為法規(guī)標準的研發(fā)輸入，但企業(yè)往往未實際按照以上標準建立評價過程和記錄。在《檢查指導(dǎo)原則》中，“設(shè)計開發(fā)”章節(jié)較多的涉及此內(nèi)容，如5.2.1、5.6.1、5.9.1、5.10.1 等。

2.3 售后體系對已售出的產(chǎn)品實施的追溯和控制容易被忽視

售后支撐人員依據(jù)客戶現(xiàn)場的實際情況，對產(chǎn)品本身可能做出的調(diào)試性修改，但不能有效記錄；不同客戶可能具有細微差別的產(chǎn)品，版本管理不能有效識別這些差異。

由于上述過程的疏忽，直接導(dǎo)致對應(yīng)的信息安全風險不能有效識別，舉例有：第三方和開源API 對患者信息的處理流程不清晰，導(dǎo)致人種、人群數(shù)據(jù)被竊?。黄髽I(yè)代碼被內(nèi)部人員惡意竊取/修改；因內(nèi)部代碼管理服務(wù)器被入侵而導(dǎo)致產(chǎn)品遭惡意修改；已售產(chǎn)品版本管理混亂導(dǎo)致的未能及時升級補丁造成的漏洞等。

3 強化執(zhí)行醫(yī)療器械獨立軟件生產(chǎn)質(zhì)量管理法規(guī)和標準的建議

3.1 醫(yī)療器械企業(yè)質(zhì)量體系建立

在我國，醫(yī)療器械獨立軟件在2002 版醫(yī)療器械分類目錄編碼為“6870-軟件”，2017 年發(fā)布新版目錄中為“21 醫(yī)用軟件”，屬有源醫(yī)療器械。其生產(chǎn)質(zhì)量體系需滿足總局2014[64]號文件《醫(yī)療器械生產(chǎn)管理規(guī)范要求》。

美國FDA 醫(yī)療器械的分類由21 CFR（美國聯(lián)邦法規(guī)第21 部分）進行列舉，未給醫(yī)療器械軟件單獨的CFR 編碼。軟件根據(jù)風險等級分為Class III-I，申報PMA/510K 或豁免。產(chǎn)品需滿足 21 CFR 820 的要求，即QSR。其中對于510k 產(chǎn)品，F(xiàn)DA 會視情況對企業(yè)進行文檔或現(xiàn)場審核，PMA 需現(xiàn)場審核。

歐盟的產(chǎn)品分類方式為“基于規(guī)則（By Rule）”，即無分類列表，只闡述分類原則，醫(yī)療器械獨立軟件根據(jù)風險可能分為I、IIa、IIb、III。其質(zhì)量管理體系需得到公告機構(gòu)的認證，建議使用歐盟的協(xié)調(diào)化標準（EN ISO 13485）要求。

IMDRF 在綜合了多國的法規(guī)要求基礎(chǔ)上，出臺了獨立軟件質(zhì)量體系要求，該文件同時為FDA 的等同性指南，我國也是該組織的參與國。

醫(yī)療器械企業(yè)質(zhì)量體系的建立參照ISO 13485（YY/T 0287）的要求，同時其設(shè)計研發(fā)過程應(yīng)當滿足IEC 62304（YY/T 0664）。IEC 62304 附表部分給出了兩大標準的對應(yīng)關(guān)系。在此基礎(chǔ)上，筆者增加了新版ISO 13485 等部分內(nèi)容，但并非完全列舉，見表1。

上述表格中，主對比列為“IEC 62304- ISO 13485:2003”，出自IEC 62304 附表部分內(nèi)容?！癐SO 13485:2016”列增加的對比項為相比“ISO 13485:2003”的改版增加的“設(shè)計開發(fā)轉(zhuǎn)換”“投訴處理”“安裝活動”等內(nèi)容，依據(jù)“IEC 62304- ISO 13485:2016”條款文字表述進行填寫。“IMDRF”列內(nèi)容為在“IMDRF/SaMD WG/N23”（下文簡稱WG/N23）文件基礎(chǔ)上，并結(jié)合條款表述進行填寫。“中國《規(guī)范》”列為基于WG/N23 文件的映射提示。

3.2 建議

結(jié)合IEC 62304、ISO13485 并基于WG/N23 對軟件實現(xiàn)的定義劃分，針對前文所述的管理問題，提出以下兩方面綜合建議。

3.2.1 強化各過程的評價措施

（1）設(shè)計、開發(fā)。設(shè)計活動旨在基于用戶等需求確定軟件系統(tǒng)的架構(gòu)、組件和界面，并且與獨立軟件預(yù)期用途及計劃運行的各種臨床和家庭使用環(huán)境相符。開發(fā)活動將需求、架構(gòu)、設(shè)計（包括接口定義）、公認的編碼操作（安全）及架構(gòu)模式轉(zhuǎn)化為軟件項，并將這些軟件項整合進獨立軟件中。WG/N23 的7.6 部分指出，開發(fā)商可以基于其內(nèi)部優(yōu)勢和能力選擇將其獨立軟件的不同部分外包；也可以采購商用現(xiàn)貨軟件（Commercial off the Shelf，COTS）或另一個獨立軟件來納入其產(chǎn)品中?？梢?，了解、維持控制并管理這種外包過程、活動或產(chǎn)品的影響是重要的，并且對于交付安全有效的獨立軟件是必需的。舉例，在開發(fā)階段采用必要的科學檢測模型來杜絕開發(fā)人員對未知來源的開源代碼復(fù)制到獨立軟件產(chǎn)品中，如基于修改日志克隆代碼跟蹤及演化模式識別[9]。

表1 醫(yī)療器械企業(yè)質(zhì)量體系建立新增內(nèi)容對比

（2）驗證和確認。驗證和確認活動的目標應(yīng)該是獨立軟件對患者安全的影響及危險程度。WG/N23 的8.4 指出，驗證和確認活動應(yīng)該將重點放在獨立軟件與操作系統(tǒng)、外包組件及與計算平臺相關(guān)的其他相關(guān)性的接口上，充分考慮到以下因素：患者安全和臨床環(huán)境、技術(shù)和系統(tǒng)環(huán)境。如針對日益移動化的醫(yī)療場景，匹配獨立軟件產(chǎn)品與移動終端的信息安全考慮，可建立匹配開發(fā)商獨立軟件產(chǎn)品的模型對其進行評價[10]。

（3）部署、維護。部署活動包括支持獨立軟件受控、有效地分發(fā)給客戶的交貨、安裝、設(shè)置和配置方面，包括針對獨立軟件整個生命周期支持過程和實現(xiàn)使用過程中識別的危害的任何計劃的風險緩解措施。維護活動可以是來源于軟件生命周期過程和活動的適應(yīng)性、改善性、預(yù)防性和糾正性活動，或基于用戶需求或社會-技術(shù)環(huán)境的改變。采用合適的問題分析框架，對軟件系統(tǒng)部署方法和技術(shù)的選擇及開發(fā)具有重要的指導(dǎo)意義，如W4H[11]等。

3.2.2 提供合理的軟件開發(fā)工具及相關(guān)管理軟件

WG/N23 的6.2 部分指出，基礎(chǔ)設(shè)施包括在生命周期過程中提供模擬預(yù)期使用環(huán)境的測試環(huán)境及支持管理各種軟件配置的工具，比如，開發(fā)期間針對源代碼的版本管理。7.4 部分指出，在獨立軟件配置的管理中，軟件工具通常用于管理源代碼、發(fā)布、記錄、部署、維護等。常用的測試軟件工具舉例：白盒測試工具giscope、DevPartner；黑盒測試工具LoadRunner、Quantify；測試管理工具TestDirector[10]。常用項目管理工具：SVN[13]，GitLab[14]等。

4 結(jié)語

醫(yī)療器械獨立軟件作為醫(yī)療領(lǐng)域內(nèi)的熱點，其生產(chǎn)質(zhì)量管理體系應(yīng)根據(jù)軟件產(chǎn)品的特點形式來進行?；诂F(xiàn)有通用標準和共識，充分運用基于PDCA（Plan-Do-Check-Act）的各種管理模式[15-19]，對獨立醫(yī)療器械軟件的質(zhì)量體系進行科學管理，對于獨立軟件的產(chǎn)品安全意義重大。