30、医疗级软件开发：风险、可用性与网络安全

咖啡因依赖

于 2025-09-09 12:15:13 发布

阅读量37

点赞数

CC 4.0 BY-SA版权

分类专栏：医疗级软件开发精要文章标签：医疗级软件开发风险管理可用性工程

本文链接：https://blog.youkuaiyun.com/numpy6sculptor/article/details/151632341

医疗级软件开发精要专栏收录该内容

34 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

医疗级软件开发：风险、可用性与网络安全

1. 风险分析方法

在医疗设备风险管理中，有多种方法可供选择。失效模式与效应分析（FMEA）是一种常用方法，但故障树分析（FTA）也是受欢迎的选择。FTA 是一种自上而下的方法，用于识别可能对患者、用户、旁观者和环境造成伤害的风险。它通过所谓的顶级事件进行分析，顶级事件是故障的抽象，可与危害、危险情况和伤害相关联。

方法	特点	标准参考
FMEA	广泛应用的风险分析方法	IEC 61025
FTA	自上而下识别风险	IEC 61025

需要注意的是，无论选择哪种方法，都必须满足 ISO 14971 和适用法规的要求。而且并非所有标准对风险的定义都一致，商业风险通常不在医疗设备风险管理范围内，除非它们可能对患者和用户造成伤害。

2. 可用性工程

在医疗设备中，良好的可用性意味着安全优先于炫酷。医疗软件的可用性常从风险管理的角度进行探讨，不同司法管辖区和市场区域可能对医疗设备的可用性提出要求，这些要求主要是为了避免因设计不佳导致的使用错误。

在医疗设备中，可用性主要涉及理解设备与用户或用户群体之间的交互。用户界面在两个相反方向发挥作用：一是设备向用户呈现信息的媒介，二是用户操纵设备的手段。为确保可用性，信息应清晰、恰当且易于解释，用户操作应合理。

以下是一些软件可用性方面常见的不足领域：
- 标签（包括可见和可听的交互提示）
- 导航（包括下拉菜单）
- 警报（包括警报疲劳）
- 预设用户组的预设
- 用户或维护人员进行的配置

IEC 62366 - 1 标准是确保医疗设备通过可用性实现安全的基石，它对医疗设备可用性提出了以下要求：
- 制造商必须有可用性工程流程，由合格人员实施。
- 任何风险控制应符合 ISO 14971 第 7.1 条，考虑固有安全、保护措施和安全信息等控制措施。
- 若使用安全信息作为风险控制，需验证其可感知、可理解并支持设备的正确使用。
- 可用性工程活动应进行规划，适合设备阶段或变更幅度。
- 维护适当的文档，便于在设备技术文件中使用可用性工程信息。

当制造商启动可用性工程流程时，第一步是准备设备的使用规范，包括预期用途、预期患者群体、预期交互的身体部位或组织类型、预期用户概况、预期使用环境和设备的工作原理。

graph LR
    A[预期用途分析] --> B[确定设备使用特征]
    B --> C[确定设备的利益和风险]
    B --> D[使用规范]
    B --> E[任务描述]

任务分析是开发任务描述的好方法，它有助于了解用户与设备的交互方式，为设计合适的用户界面和分析风险与利益奠定基础。在完成使用场景建模后，选择用于最终总结性评估的场景，然后进行初始形成性评估和最终总结性评估。

可用性工程并非额外的工作，它是理解用户、用户与设备的交互方式和目的的基本活动，与软件开发生命周期的多个阶段相关，如需求规格说明、设计和风险管理等。通过合理的可用性工程方法，如任务分析，可以更好地理解软件使用的风险和利益，进行可靠的风险 - 利益比评估。

医疗级软件开发：风险、可用性与网络安全

3. 网络安全

在医疗设备领域，网络安全是当下热门话题，其重要性仅次于人工智能。短期内，网络安全对医疗设备的影响可能比人工智能更大，因为它几乎涉及所有医疗设备软件，而人工智能在很多方面仍更多是一种前景而非现实应用。

像《约翰尼·记忆术》展现了网络犯罪猖獗，人们采取极端措施保护信息的虚无主义未来；《少数派报告》则呈现了为消除犯罪而侵犯个人隐私和自由意志的另一个极端。虽然这些未来尚未成为现实，但网络安全问题持续引发我们的关注和担忧。对于医疗设备而言，网络安全的利害关系重大，影响可能立竿见影。

如果医疗设备是独立、未连接网络的，网络安全可能不是问题。但一旦连接到网络（无论是局域网还是互联网），就可能面临网络相关问题的风险，这会对设备的设计、实施、测试、附带信息和维护等方面提出新要求。网络安全和可用性工程一样，是医疗设备开发不可或缺的一部分。

网络安全问题可能带来多种风险：
| 风险类型 | 具体表现 |
| ---- | ---- |
| 财务风险 | 损害品牌形象 |
| 隐私风险 | 泄露患者敏感数据 |
| 患者安全风险 | 如心脏起搏器软件被黑客攻击 |

其中，最令人担忧的是可能对患者造成严重、危及生命伤害的情况，例如手术中控制软件被加密锁定，或者医院重症监护室生命支持设备出现故障。即使是小的网络安全漏洞也可能造成巨大损失，而且有些网络安全问题可能是意外而非恶意攻击导致的，所以必须重视网络安全问题，尽可能预防所有网络安全问题。

3.1 产品生命周期中的网络安全

在实际操作中，解决网络安全问题需要在设备的设计、生产、维护和退役阶段采取行动。
- 设计阶段 ：在定义设备要求以及设计设备和未来几年的维护方案时，要考虑所有相关信息来源，包括当前的技术水平。从早期开始，就应从安全和保障的角度分析软件开发架构和使用的技术，例如采用防御性设计。渗透测试和威胁分析等技术可能会有帮助，同时必须遵循 ISO 14971 规定的基本风险管理框架。ISO 13485 第 7 条有助于确保设计合理，IEC 82304 - 1 等标准也可能根据设备类型适用。理解用户、患者和任何操作环境至关重要，可用性工程可以提供部分必要信息。虽然在医疗设备的标准和法规中，“网络安全”一词可能不总是显而易见，但它始终是医疗设备风险考虑的一部分。
- 生产阶段 ：此阶段相对设计阶段可能更容易处理，但要确保软件在发布时没有恶意软件和病毒，这可能像克隆二进制文件一样简单，也可能像评估所有新的组件化软件（SOUP）版本一样复杂。此外，设备安装阶段如果允许配置，可能会导致预期设置发生重大变化，例如为了方便安装而放松一些关键安全设置。为了避免这些问题，需要为用户提供适当的附带信息和培训，并设置简单的机制来检查更新的可用性。

graph LR
    A[设计阶段] --> B[考虑信息源和技术分析]
    B --> C[遵循风险管理框架]
    C --> D[结合可用性工程]
    A --> E[确定设备要求和维护方案]
    E --> F[采用防御性设计等]
    G[生产阶段] --> H[确保软件无恶意软件]
    H --> I[评估组件版本]
    I --> J[提供附带信息和培训]
    J --> K[设置更新检查机制]

维护阶段 ：虽然软件本身不会像物理设备那样出现磨损，但当软件暴露在网络环境中时，维护同样重要。在不断变化的环境中，软件需要及时更新以保持安全。维护的首要任务是通过快速响应问题并为设备提供可靠的更新来确保设备安全，提供功能更新则是次要的。尽管制造商内部可能将维护工作视为开发新功能的机会，但从保障网络安全的角度来看，首要目标是巩固现有功能的安全性。

虽然有人可能倾向于在软件接近完成时才进行网络安全相关活动，因为后期评估更接近产品上市，数据更及时。但实际上，一些威胁可能在软件的需求规格说明或架构设计阶段就可以被消除。在产品发布前发现的问题可能需要添加新的需求、测试用例和设计修改。因此，网络安全应贯穿整个软件开发生命周期，从早期设计到后期维护，都要给予足够的重视，以确保医疗设备在网络环境中的安全性和可靠性。

网络安全是医疗级软件开发中不可忽视的重要方面，它与可用性工程和风险管理等共同构成了保障医疗设备质量和患者安全的关键要素。通过在产品生命周期的各个阶段采取有效的网络安全措施，可以最大程度地降低网络安全风险，为医疗设备的安全运行提供坚实保障。