現(xiàn)在，利用高級(jí)醫(yī)療器械比以往任何時(shí)候都更有助于醫(yī)療從業(yè)人員輕松、準(zhǔn)確地做出診斷。然而，他們對(duì)器械的依賴程度也引發(fā)了確保器械安全性和質(zhì)量的擔(dān)憂。

值得注意地是，醫(yī)療器械嚴(yán)重依賴第三方和早期軟件，亦即“未知系譜的軟件（SOUP）”。該SOUP構(gòu)成了新發(fā)展的基礎(chǔ)，其現(xiàn)在可能符合新醫(yī)療器械要求或者政府推行的現(xiàn)代編碼標(biāo)準(zhǔn)、客戶需求或者僅僅是開(kāi)發(fā)組織內(nèi)的持續(xù)改進(jìn)政策。在滿足新標(biāo)準(zhǔn)和進(jìn)一步開(kāi)發(fā)新功能的同時(shí)，對(duì)利用SOUP價(jià)值的需要提出了它自己的獨(dú)特挑戰(zhàn)。

FDA于1992至1998年間對(duì)3140次醫(yī)療器件召回事件進(jìn)行的分析顯示，其中有242次（占7.7%）可歸因于軟件故障。在所有軟件召回事件中，192次（占79%）是因軟件升級(jí)后引入的軟件缺陷而起。產(chǎn)品升級(jí)過(guò)程中引入的高誤差率讓政府醫(yī)療器械機(jī)構(gòu)不僅要集中精力開(kāi)發(fā)新產(chǎn)品，還要關(guān)注后期維護(hù)和軟件變更對(duì)現(xiàn)有系統(tǒng)的影響。

因此，很多公司改變方法，改善軟件過(guò)程，采用歐盟和美國(guó)近期簽署的醫(yī)療產(chǎn)品設(shè)計(jì)標(biāo)準(zhǔn)IEC 62304。IEC 62304引進(jìn)了一種基于風(fēng)險(xiǎn)的合規(guī)性結(jié)構(gòu)，可以確保醫(yī)學(xué)應(yīng)用符合其風(fēng)險(xiǎn)評(píng)估適用標(biāo)準(zhǔn)的要求。該合規(guī)性結(jié)構(gòu)可以分成A~C類，其中C類軟件故障可能導(dǎo)致死亡或重傷。

IEC 62304軟件開(kāi)發(fā)生命周期

IEC 62304著眼于軟件開(kāi)發(fā)過(guò)程，定義了大部分軟件開(kāi)發(fā)與驗(yàn)證活動(dòng)。該過(guò)程包括軟件開(kāi)發(fā)規(guī)劃、需求分析、架構(gòu)設(shè)計(jì)、軟件設(shè)計(jì)、單元實(shí)現(xiàn)與驗(yàn)證、軟件集成與集成測(cè)試、系統(tǒng)測(cè)試和軟件發(fā)布之類的活動(dòng)。

該標(biāo)準(zhǔn)不僅概括了開(kāi)發(fā)生命周期的各個(gè)階段的要求，還顧及了維護(hù)過(guò)程、軟件變更對(duì)現(xiàn)有系統(tǒng)的影響和實(shí)現(xiàn)軟件變更所涉及的風(fēng)險(xiǎn)。IEC 62304還直接從規(guī)劃、需求分析、架構(gòu)設(shè)計(jì)、維護(hù)和風(fēng)險(xiǎn)管理階段開(kāi)始詳細(xì)介紹了SOUP項(xiàng)目的作用。

EIC 62304和SOUP

可重新用于新器件開(kāi)發(fā)的SOUP軟件已流行起來(lái)，因?yàn)獒t(yī)療器械現(xiàn)在傾向于采用通用嵌入式硬件，以及操作系統(tǒng)，面向USB、以太網(wǎng)或制圖的器件驅(qū)動(dòng)器、文件系統(tǒng)、網(wǎng)絡(luò)堆棧等。在醫(yī)療器械中使用SOUP有其優(yōu)勢(shì)，因?yàn)橹圃焐炭梢詫⒕性趹?yīng)用軟件上。

然而，由于應(yīng)用需要運(yùn)行專用功能，所以醫(yī)療器械內(nèi)的SOUP增加了挑戰(zhàn)難度。大多數(shù)SOUP模塊都由第三方供應(yīng)商提供，而他們不遵守任何軟件過(guò)程和軟件標(biāo)準(zhǔn)，甚至不記錄代碼。雖然它解決了平臺(tái)挑戰(zhàn)，但SOUP是在緊迫的時(shí)間表內(nèi)開(kāi)發(fā)而來(lái)，并且強(qiáng)調(diào)的是生產(chǎn)率，而不是標(biāo)準(zhǔn)兼容性。在進(jìn)行系統(tǒng)測(cè)試以便檢驗(yàn)功能性時(shí)，SOUP項(xiàng)目通常表現(xiàn)出代碼覆蓋率極差的特點(diǎn)，并且留下了很多未使用的代碼路徑。圖1中的藍(lán)色曲線代表進(jìn)行了功能測(cè)試的代碼。采用該代碼時(shí)，不同的數(shù)據(jù)和情形有可能第一次使用很多未經(jīng)測(cè)試的路徑，從而產(chǎn)生意料之外的結(jié)果。圖1中的紅點(diǎn)曲線表示現(xiàn)場(chǎng)運(yùn)行應(yīng)用時(shí)使用的代碼。

圖1 傳統(tǒng)功能測(cè)試可能無(wú)法檢驗(yàn)代碼的很多部分。藍(lán)色曲線表示傳統(tǒng)功能測(cè)試使用的代碼；紅點(diǎn)曲線表示應(yīng)用現(xiàn)場(chǎng)運(yùn)行時(shí)使用的代碼；綠點(diǎn)曲線表示代碼增強(qiáng)，其傾向于使用先前未遇到的數(shù)據(jù)組合，從而出現(xiàn)進(jìn)入先前未使用路徑的可能性。

歐洲軟件和系統(tǒng)提案之“利用經(jīng)驗(yàn)驅(qū)動(dòng)測(cè)試（PET）檢驗(yàn)誤碼性能”計(jì)劃調(diào)查了這種現(xiàn)象，并且同意采用的代碼通常帶有很多誤碼的觀點(diǎn)。PET旨在將發(fā)布后報(bào)告的漏洞數(shù)量減少50%和將每找出一個(gè)漏洞所耗費(fèi)的測(cè)試工作時(shí)間縮短40%。有意思的是，PET超過(guò)了該標(biāo)準(zhǔn)，將報(bào)告的漏洞數(shù)減少了75%，將測(cè)試效率提高了46%。PET的發(fā)現(xiàn)表明可以利用較新的測(cè)試方法（如靜態(tài)和動(dòng)態(tài)分析）找出大量漏洞，即使代碼已經(jīng)通過(guò)了功能系統(tǒng)測(cè)試并于隨后發(fā)布。

那么，可以采用先前通過(guò)功能測(cè)試的SOUP做進(jìn)一步測(cè)試。即使它運(yùn)行良好，代碼的某些部分也可能未曾使用過(guò)，即使是產(chǎn)品正在現(xiàn)場(chǎng)使用的時(shí)候。如果SOUP代碼需要作進(jìn)一步開(kāi)發(fā)以便于后來(lái)的修訂或新應(yīng)用，那么先前從未碰到的數(shù)據(jù)組合也可能會(huì)使用先前未使用的代碼路徑，從而產(chǎn)生意料之外的結(jié)果。圖1中的綠點(diǎn)曲線表示對(duì)SOUP代碼進(jìn)行增強(qiáng)時(shí)使用的代碼。

為了克服這種潛在弱點(diǎn)，需要進(jìn)行詳細(xì)的結(jié)構(gòu)覆蓋率分析，以確保早期軟件內(nèi)不存在未使用的代碼。IEC 62304要求測(cè)試早期軟件的功能覆蓋率和結(jié)構(gòu)覆蓋率，還要詳細(xì)分析增加這類軟件可能引入的風(fēng)險(xiǎn)。功能覆蓋率確保軟件能夠按照系統(tǒng)設(shè)計(jì)要求運(yùn)行，而結(jié)構(gòu)覆蓋率則確保使用了所有代碼并且能夠正常運(yùn)行。

IEC 62304要求整合到醫(yī)療器械設(shè)計(jì)中的所有SOUP項(xiàng)目均符合功能和性能要求規(guī)范。醫(yī)療器械制造商需要確保任意SOUP項(xiàng)目的正常運(yùn)行，還要保證它們符合功能和性能要求。

IEC 62304軟件開(kāi)發(fā)過(guò)程始于軟件開(kāi)發(fā)規(guī)劃，包括所用SOUP項(xiàng)目的詳細(xì)計(jì)劃。這些細(xì)節(jié)介紹了如何將SOUP項(xiàng)目整合到現(xiàn)有系統(tǒng)中、如何管理SOUP相關(guān)風(fēng)險(xiǎn)和軟件配置、以及變更管理如何影響系統(tǒng)。

緊接著是軟件需求管理、架構(gòu)設(shè)計(jì)、集成測(cè)試、系統(tǒng)測(cè)試、風(fēng)險(xiǎn)管理、維護(hù)和變更管理階段。在軟件開(kāi)發(fā)生命周期的各個(gè)階段，都需要保持所有階段之間的可追蹤性。

傳統(tǒng)的軟件開(kāi)發(fā)觀點(diǎn)表明了各個(gè)階段如何進(jìn)入下一個(gè)階段，可能還帶有前幾個(gè)階段的反饋信息，以及配置管理與過(guò)程的周邊架構(gòu)?？勺粉櫺员灰暈楦鱾€(gè)階段間關(guān)系的一部分。然而，很少規(guī)定記錄跟蹤鏈路的機(jī)制。

實(shí)際上，雖然由于先進(jìn)工具技術(shù)投資，各個(gè)階段都能夠有效實(shí)施，但是這些工具很少能夠自動(dòng)提高階段間可追蹤性。因此，在整個(gè)項(xiàng)目進(jìn)行的過(guò)程中，其間鏈路的維護(hù)就變得越來(lái)越差。最終的結(jié)果就是需求與設(shè)計(jì)之間的交叉檢驗(yàn)缺失或者流于表面，以及最終系統(tǒng)的機(jī)能不全。為了獲得真正的自動(dòng)可追蹤性，則需要需求跟蹤矩陣（RTM）。RTM是各個(gè)項(xiàng)目的核心，是很多開(kāi)發(fā)標(biāo)準(zhǔn)（包括IEC 62304）的關(guān)鍵所在。