使用動(dòng)態(tài)軟件分析為醫(yī)療設(shè)備通過(guò)審批提供支持（一）

包含軟件系統(tǒng)的醫(yī)療設(shè)備與構(gòu)建復(fù)雜系統(tǒng)一樣，制造商面臨著相同的挑戰(zhàn)：時(shí)間、質(zhì)量、規(guī)模(功能的數(shù)量和復(fù)雜性)和成本。此外，產(chǎn)品還需通過(guò)當(dāng)?shù)乇O(jiān)管部門(mén)的審批，如美國(guó)食品及藥品管理局(FDA)、歐盟醫(yī)療器械指令司(MDD)、英國(guó)藥監(jiān)局(MHRA)以及其他同類(lèi)監(jiān)管機(jī)構(gòu)。

　　在本文中我們將探討動(dòng)態(tài)代碼分析如何幫助醫(yī)療設(shè)備展示安全合規(guī)性以及動(dòng)態(tài)分析工具所應(yīng)具備的關(guān)鍵功能。為了幫助設(shè)計(jì)人員選擇操作系統(tǒng)(OS)，文章還簡(jiǎn)要介紹了OS的哪些特性可以推動(dòng)安全相關(guān)軟件加速設(shè)計(jì)、開(kāi)發(fā)和審批流程等。

　　專(zhuān)業(yè)知識(shí)和流程

　　專(zhuān)業(yè)知識(shí)和良好的開(kāi)發(fā)流程并不能確保系統(tǒng)符合所需滿(mǎn)足的可靠性，甚至不能確保它是一個(gè)好系統(tǒng)。但是這兩者的確能極大提高這種可能性。

　　創(chuàng)造安全關(guān)鍵系統(tǒng)所要求的簡(jiǎn)潔設(shè)計(jì)需要卓越的專(zhuān)業(yè)知識(shí)。要證明被測(cè)試的軟件系統(tǒng)符合安全要求，需要對(duì)軟件驗(yàn)證方法、被評(píng)估的軟件以及評(píng)估環(huán)境(包括類(lèi)似系統(tǒng)的驗(yàn)證)有全面透徹的了解。

　　毫無(wú)疑問(wèn)，IEC62304標(biāo)準(zhǔn)專(zhuān)注于開(kāi)發(fā)流程。理解這點(diǎn)，我們的工作將會(huì)做得更好，不僅僅是在滿(mǎn)足最嚴(yán)苛質(zhì)量管理標(biāo)準(zhǔn)的環(huán)境下進(jìn)行軟件開(kāi)發(fā)，同時(shí)還使用工具來(lái)幫助確保我們的系統(tǒng)符合這些標(biāo)準(zhǔn)，并向?qū)徲?jì)員和監(jiān)管機(jī)構(gòu)提供證據(jù)加以證明。

　　展示可靠性

　　為了確保通過(guò)監(jiān)管機(jī)構(gòu)的審批，制造商必須證明這些設(shè)備滿(mǎn)足安全規(guī)格。對(duì)于設(shè)備軟件來(lái)說(shuō)，要證明他們符合可信任(可靠性和可用性)標(biāo)準(zhǔn)的要求。具體是滿(mǎn)足可靠性還是可用性方面的要求，則要取決于系統(tǒng)的使用情況。詳細(xì)的要求限制和精確的可信性要求提供了既定的前提和精準(zhǔn)的方法，幫助我們驗(yàn)證軟件系統(tǒng)的可信性。

　　定義可接受風(fēng)險(xiǎn)

　　沒(méi)有任何軟件系統(tǒng)是絕對(duì)可靠的。即使系統(tǒng)絕對(duì)可靠，我們也無(wú)法證明它。現(xiàn)有可用的方法無(wú)法證明系統(tǒng)將永不失效，他們僅能幫助我們找到并避免錯(cuò)誤的發(fā)生，并估計(jì)失效的可能性。因此，當(dāng)軟件系統(tǒng)的故障率足夠低，沒(méi)有不可接受的風(fēng)險(xiǎn)，它就是“安全”的。“不可接受風(fēng)險(xiǎn)”或“可接受風(fēng)險(xiǎn)”的精確含義因行業(yè)及行政轄區(qū)而異。衡量方法包括：

　　? ALARP(As Low as Reasonably Practical，最低合理可行)：將潛在的危害和相關(guān)的風(fēng)險(xiǎn)定義和分類(lèi)為：a)明確不可接受，b)如果移除成本過(guò)高，則可以容忍，以及c)可接受。所有不可接受風(fēng)險(xiǎn)必須被移除，但是僅當(dāng)移除成本和時(shí)間較為合理時(shí)，可容忍風(fēng)險(xiǎn)才會(huì)被移除。

　　? GAMAB(globalement au moins aussi bon)或GAME((globalement au moins équivalent)：新系統(tǒng)的風(fēng)險(xiǎn)水平至少要與現(xiàn)有系統(tǒng)的風(fēng)險(xiǎn)水平大體相當(dāng)。

　　? MEM(Minimum Endogenous Mortality)：在新系統(tǒng)部署的領(lǐng)域，它帶來(lái)的死亡率不能超過(guò)該地區(qū)常規(guī)死亡率的十分之一。舉例來(lái)說(shuō)，在西方國(guó)家年齡為20多歲的人群，這個(gè)值約為0.0002。

　　所有這些方法都需要按實(shí)際情況調(diào)整，主要取決于設(shè)備的嚴(yán)重故障可能同步影響到的人數(shù)。當(dāng)使用ALARP方法時(shí)，為了確定哪些風(fēng)險(xiǎn)不可接受、哪些可容忍以及可接受，我們需要決定每個(gè)風(fēng)險(xiǎn)的嚴(yán)重故障所允許的最大失敗可能性。而如果使用GAMAB和MEM準(zhǔn)則，我們則需要在全球范圍確定這個(gè)數(shù)值。

　　證明軟件可靠性的方法

　　目前，沒(méi)有任何一種單一的方法足以證明軟件系統(tǒng)滿(mǎn)足可靠性方面的要求。因此，我們的可靠性演示必須使用整合了各種方法和技巧，它們包括但不限于：