冯健　李文　陈蓓

1 北京市医疗器械检验所　（北京　101111）

2 北京怡和嘉业医疗科技有限公司　（北京　100043）

基于ISO/TR 17791：2013探讨中国医疗器械软件标准化体系建设

冯健1李文1陈蓓2

1 北京市医疗器械检验所（北京101111）

2 北京怡和嘉业医疗科技有限公司（北京100043）

内容提要： 近年来，医疗器械独立软件行业发展迅猛，功能也越来越强大；软件组件医疗器械所占的比重越来越多，作用也越来越大。与此同时，由于软件的失效而导致的医疗事故也越来越多，有的失效后的后果也非常严重。因此，国际标准化组织成立了多个标准化工作组，制定了一系列国际标准，旨在最大限度地规范医疗器械软件的研发、测试以及使用过程，降低软件产品的风险。本文在深入研究ISO/TR 17791：2013的基础上，根据医疗器械软件国际标准化体系建设情况，探讨我国医疗器械软件标准化体系的建设情况。

ISO/TR 17791医疗器械软件标准化体系

0.引言

随着软件技术和信息化技术的发展，软件在医疗器械所占的比重越来越多，作用也越来越大。与此同时，由于软件的失效而导致的医疗事故也越来越多。因此，国际标准化组织成立了多个标准化工作组，制定了一系列国际标准，旨在最大限度地规范医疗器械软件的研发、测试以及使用过程，降低软件产品的风险。因涉及标准较多，为便于应用，ISO于2013年发布了一份指导文件“ISO/TR 17791∶2013——Health informatics-Guidance on standards for enabling safety in health software”，这是一份技术报告，它指出了在医疗软件生存期的各个阶段上为确保软件安全应分别应用哪些国际标准。我国医疗器械软件的标准化工作虽然起步较晚，但是近些年也取得了长足进步。本文基于国际医疗软件标准体系和上述ISO/ TR 17791∶2013标准，从范围、风险适用性/可接受性、生存周期和颗粒度覆盖、与其他标准关系等方面解析了我国现存医疗器械软件标准，并介绍了我国医疗软件安全标准存在内容重叠和缺失的情况，希望对我国医疗器械软件标准化的体系建设有所帮助。

1.概述

1.1定义

根据YY/T 0664-2008的定义，医疗器械软件是指旨在包括在被开发的医疗器械内的已开发的软件系统，或者预期本身用作医疗器械而开发的软件系统。根据定义可以看出，医疗器械软件可以分为两类：本身预期作为医疗器械的软件（独立软件）和作为医疗器械内部组成部分的软件（软件组件）。［2］

1.2标准化体系的评价方面

从标准制定角度出发，医疗器械软件的标准需要明确两个方面的内容：生存周期和颗粒度（见图1）。

1.2.1生存周期

根据GB/T 8566-2007《信息技术 软件生存周期过程》的定义，生存周期是指系统、产品、服务、项目或者其他人造实体从概念到废止的进化过程。一个标准完整的软件生存周期包括以下阶段：概念、需求、设计、开发、产品、发布、采购、安装、启动、操作、临床使用、维护、废弃、清理［11］。另外，为了有利于技术文档的编制，也可以将生存周期过程概述为：设计、开发、实施、操作、废弃。

1.2.2颗粒度

根据ISO 27799∶2008的定义，颗粒度指的是复杂度的级别或者一个系统分解成小部分的程度［3］。本文中将医疗器械软件的颗粒度分成三级：组件级、应用级和机构应用级。组件是指软件的单元，在计算机程序内有效或者被计算机程序使用，包括数据、对象或者其他实体，包括软件项（定义见YY/T 0664-2008）和单元开发。应用是指计算机程序或者系列计算机程序，为明确的和专用的商业目的服务。机构应用是指由人员、过程、信息和技术构成的实体或组织使用一个应用或者系列应用来支持整个企业的商务。

2.国际医疗器械软件的标准体系概述

目前，国际医疗器械软件的标准主要来源这些标准化组织：ISO/TC 215健康信息学；ISO/ TC 210医疗器械质量管理和相关通用部分；IEC/ TC62 SC62A医用电子设备的共同方面；ISO/ TC176 质量管理和质量评估 ；ISO/IEC JTC1其分委员会和ISO/IEC 安全技术顾问团；以及IT市场和关于安全的健康信息学标准的专家纵论。

表1给出了目前医疗器械软件相关国际标准的标准号、题目和其对应的标准化组织，图1 用图示的方式给出了医疗器械软件国际标准在软件的生存周期和颗粒度两个维度上的映射关系。

表1. 医疗器械或者医疗器械软件专用标准［3］

表2. 我国医疗器械软件相关标准

图1. 医疗器械软件国际标准的生存周期和颗粒度图示［3］

3.我国目前医疗器械软件的标准

目前我国医疗器械软件标准基本上等同采用国际标准，表2列出的标准除了专用于医疗器械软件的标准外，还列举了一个我国信息技术标准化技术委员会负责编制的通用软件标准。为了满足我国医疗器械软件注册的需要，把GB/T 25000.51-2010《软件工程 软件产品质量要求与评价（SQuaRE） 商业现货（COTS）软件产品的质量要求和测试细则》标准列为独立软件产品性能标准［2］。

3.1YY/T 0287-2003 医疗器械 质量管理体系 用于法规的要求

3.1.1范围

此标准等同采用ISO 13485∶2003《医疗器械质量管理体系 用于法规的要求》。

YY/T 0287-2003标准规定了质量管理体系要求，组织可依此要求进行医疗器械的设计和开发、生产、安装和服务以及相关服务的设计、开发和提供。［4］

此标准适用于所有医疗器械硬件产品或者系统产品。由于目前还没有医疗器械软件质量管理体系的标准，因此本标准也适用于医疗器械软件。

3.1.2风险适用性/可接受性

YY/T 0287-2003标准是有关医疗器械质量管理系统的法规，它要求通过持续质量管理降低风险。软件制造商可将此标准应用于软件产品，或与医疗器械相关的软件产品的设计/开发和产品。

3.1.3生存周期和颗粒度覆盖

从生存周期考虑，此标准适用于设计（从定义到设计）和开发（开发和产品）阶段。从颗粒度考虑，此标准适用于组件和应用。

3.1.4关系

ISO 13485∶2003（与国内的YY/T 0287-2003对应）基于ISO 9001∶2000，与ISO 9001∶2000具有相同的格式和大部分相同的要求，但是修改了“用户满意度”和“持续改进”等方面的要求。

3.2YY/T 0664-2008 医疗器械软件 软件生存周期过程

3.2.1范围

此标准为医疗器械软件的安全设计和维护提供了包括必要活动和任务的生存周期过程框架。此标准为软件生存周期每个过程规定了要求。每个生存周期过程进一步划分为一组活动，多数活动又进一步划分为一组任务。［5］

3.2.2风险适用性/可接受性

YY/T 0664特用于医疗器械软件，包括本身作为医疗器械的软件。此标准指明了软件制造商将质量管理系统应用于包含设计、开发、制造和维护等生存周期中的特性，这些过程特性对软件制造商需要实施的风险评价和风险分析是十分重要的。

3.2.3生存周期和颗粒度覆盖

从生存周期考虑，此标准应用于设计（从定义到设计）和开发（开发、制造和上市后）。从颗粒度考虑，此标准应用于组件和应用。

3.2.4关系

医疗器械管理标准提供了产品开发的管理环境基础，例如YY/T 0287-2003和YY/T 0316-2008。安全标准给出了制造安全医疗器械的要求，例如GB 9706.1和GB 4793.1。当软件是这些医疗器械的组成部分时，YY/T 0664-2008提供了更多开发和维护安全的医疗器械软件的细致指南。IEC 62304（对应国标是YY/T 0664-2008）源于ISO/ IEC 12207（修改转化为GB/T 8566-2007），包含一个与这个标准的关系表。

3.3YY/T 0316-2008 医疗器械 风险管理对医疗器械的应用

3.3.1范围

此标准为制造商规定了一个过程，以判定与医疗器械，包括体外诊断（IVD）医疗器械有关的危害，估计和评价相关的风险，控制这些风险，并监视控制的有效性。此标准的要求适用于医疗器械生存周期的所有阶段［6］。需要注意的是，此标准不用于临床决策，也不规定可接受的风险水平。此标准涉及管理风险的过程，主要是对患者的风险，但也包括对操作者、其他人员、其他设备和环境的风险。

3.3.2风险适用性/可接受性

此标准规定了制造商识别、量化和管理风险的过程，被YY/T 0664-2008引用，经常被制造商用做符合YY/T 0287-2003风险管理要素的证据。

3.3.3生存周期和颗粒度覆盖

从生存周期考虑，此标准应用于设计（定义到设计）和开发（开发、产品和产品后）。从颗粒度考虑，此标准应用于组件和一些应用。

3.3.4关系

此标准向YY/T 0664-2008提供了风险管理过程的要求，并且被YY/T 0664-2008详述了这些要求。

ISO 14971∶2007（等同转化为YY/T 0316-2008）有一个伴随指南：IEC/TR 80002-1∶2009。IEC/TR 80002-1∶2009提供了向医疗器械软件应用ISO 14971，并且参考IEC 62304∶2006要求的指南。IEC/TR 80002-1∶2009没有增加，也没有改变ISO 14971∶ 2007或者IEC 62304∶ 2006的要求。

3.4GB/T 25000.51-2010 软件工程 软件产品质量要求与评价（SQuaRE） 商业现货（COTS）软件产品的质量要求和测试细则

3.4.1范围

此标准适用于商业现货（COTS）软件产品。COTS软件产品是一种打包出售的现货产品，典型情况是，这种软件产品与其用户文档集一起预先包装好出售。此标准规定了COTS软件产品的质量要求，用于测试COTS软件产品的测试文档要求，以及COTS软件产品的符合性评价细则。［7］

3.4.2风险适用性/可接受性

此标准没有要求在COTS软件中应用风险分析和风险管理，但是在5.1.4.3和附录B中，使用风险分析对关键功能进行诠释。

3.4.3生存周期和颗粒度覆盖

从生存周期考虑，此标准应用于产品和产品后。从颗粒度考虑，此标准应用于组件和应用，以及企业级应用。

3.4.4关系

此标准是我国工信部全国信息技术标准化技术委员会制定的软件产品质量要求与评价（SQuaRE）系列标准中的一个标准，旨在对COTS软件的质量要求、测试要求和符合性评价细则进行规范。此标准与GB/T 16260.1-2006的关系密切，在标准正文中，七次使用GB/T 16260.1-2006的陈述提供依从性证据。

由于目前我国没有医疗器械软件的专用产品质量要求和测试细则标准，因此目前使用此标准规定独立医疗器械软件的产品质量要求，并使用此标准的测试方法和符合性评价方法进行测试和评价。

4.重叠与缺失

4.1重叠

YY/T 0287-2003，YY/T 0664-2008和YY/T 0316-2008是与医疗器械软件相关的标准。YY/ T 0287-2003和YY/T 0664-2008阐明了对于组织开发医疗器械产品至关重要的管理环境。YY/T 0287-2003着重于质量管理要求，而YY/T 0664-2008着重于软件生存周期要求。YY/T 0316-2008着重于风险管理应用（危害识别、风险评估和评价、风险控制）。

这三个标准在国际上与其他标准有重叠的地方，比如IEC 62304（等同转化为YY/T 0664）和ISO/IEC 12207生存周期标准、ISO/TS 25238和ISO/TR 27809与ISO14971（等同转化为YY/ T 0316）风险标准）。由于上述国际标准或者没有转化，或者没有引入我国医疗器械标准体系，所以上述三个标准在我国医疗器械标准体系中没有重叠。

4.2缺失

4.2.1建议转化的标准

4.2.1.1IEC 80001-1∶2010风险管理在IT网络引入医疗器械时的应用 第一部分：角色、责任与活动

越来越多的医疗器械被设计为可以与用户环境中包括其他医疗器械在内的设备进行电子信息交换。这些信息交换通常通过网络（IT网络）进行，在这些网络上通常也传输一些普通的数据。与此同时，IT网络日益成为临床环境至关重要的因素。它所承载的信息多种多样，有需要紧急传送与响应的生死攸关的病人信息，也有普通的公司运营数据，甚至还有那些包含恶意内容的电子邮件（如：病毒）［8］。因此，有必要对IT网络引入医疗器械时的风险管理进行指导和规范。

4.2.1.2ISO 27799∶2008 健康信息——使用ISO/ IEC 27002进行健康信息安全管理

此标准是在医疗信息领域应用ISO/IEC 27002，是以ISO/IEC 27002为基础，为ISO/IEC 27002在医疗领域的应用提供了补充要求，以满足医疗信息领域提供信息的最小安全要求［9］。ISO/IEC 27002《信息技术——信息安全管理实施细则》与ISO/IEC 27001《信息技术——信息安全管理体系要求》关系密切。ISO/IEC 27002 重点关注的是实施细则，而 ISO/IEC 27001重点关注的是建设体系的要求。ISO/IEC 27001标准提供给准备建立、运作、维护、改进信息安全管理体系的组织，在设计过程、信息系统、控制措施时就要考虑信息安全［10］。由于大数据时代的到来，以及各个医院实体之间互联互通等的要求，信息安全已经日益突出，ISO 27799可以对医疗信息领域的信息安全进行指导和规范。

4.2.2国际标准体系中的缺失

以下内容是国际标准体系在医疗器械软件方面的缺失，作为我国医疗器械软件今后完善医疗器械软件标准体系的参考。

4.2.2.1缺失机构应用级侧重于临床风险和相关过程的标准

尽管IEC 80001系列标准致力于阐述在包含IT网络的医疗器械设备中应用风险管理，但是在整个健康软件风险和安全过程领域，缺少侧重于临床风险和相关过程中，能反映机构应用层级在日益复杂的社会技术环境中最佳实践的标准。

4.2.2.2缺失在健康软件的实施、操作和废弃过程中的风险管理应用的指南。IEC/TR 80002-1需要进一步扩展到软件的整个生命周期。

4.2.2.3缺失在健康软件实施和操作阶段与人为因素相关的指南。

4.2.2.4缺失将风险控制、人因工程和质量管理应用到临床工作流程的设计和临床操作过程的指南。

4.2.2.5缺失保障电子健康软件安全的业务守则指南。

4.2.2.6缺失验证和测试软件配置的指南。

4.2.2.7缺失使健康软件开发、实施和操作更安全的附加要求指南。如对安全相关功能、稳定性和可靠性等非功能性特征、标识和使用说明书的要求。

5.总结

上文通过对医疗器械软件国际标准体系和国内标准体系的梳理，以及相关标准在范围、风险适用性/可接受性、生存周期和颗粒度覆盖、与其他标准关系等方面的解析，可以看出我国医疗器械软件标准化体系方面紧跟国际的发展，基本上将重要的国际标准都转化成了国家或者行业标准。需要提醒的是，生命周期中的不同阶段有不同的适用标准。随着IT技术、信息技术和网络技术的发展，在医疗器械软件标准化体系方面我国仍然有所缺失。另外，在转化国际标准的同时，我国也可以通过分析医疗器械软件的特殊性，参考国际标准化体系的缺失情况，制定具有自主知识产权的国家或者行业标准。

［1］ FDA，Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices，Document issued on∶ May 11， 2005

［2］ 彭亮，医疗器械软件标准体系建设探讨［J］，中国医疗设备 2015年第30卷 03期 VOL.30 No.03，59-62.

［3］ ISO/TR 17791 Health informatics — Guidance on standards for enabling safety in healthsoftware，2013-12-15

［4］ YY/T 0287-2003 医疗器械 质量管理体系 用于法规的要求，国家食品药品监督管理局，2003-09-17

［5］ YY/T 0664-2008 医疗器械软件 软件生存周期过程，国家食品药品监督管理局，2008-04-25

［6］ YY/T 0316-2008 医疗器械 风险管理对医疗器械的应用，国家食品药品监督管理局，2008-04-25

［7］ GB/T 25000.51-2010 软件工程 软件产品质量要求与评价（SQuaRE1） 商业现货（COTS）软件产品的质量要求和测试细则，中华人民共和国国家质量监督检验检疫总局，2010-09-02

［8］ IEC 80001-1∶2010风险管理在IT网络引入医疗器械时的应用 第一部分：角色、责任与活动

［9］ ISO 27799∶2008健康信息——使用ISO/IEC 27002进行健康信息安全管理，2008-07

［10］ ISO/IEC 27001 信息技术——信息安全管理体系要求， 2013-10-01

［11］ GB/T 8566-2007 信息技术 软件生存周期过程，2007-04-30

Discussion of China Medical Software Standardization System Based on ISO/TR 17791∶2013

FENG Jian1LI Wen1CHEN Bei2
1 Beijing Institute of Medical Device Testing（Beijing101111）
2 BMC Medical Co.， Ltd.（Beijing100043）

The medical stand-alone software industry is developing rapidly， and software function is becoming more and more powerful. Component software plays a more and more important role in medical devices. Meanwhile， the amount of medical negligence due to software failure is growing up rapidly， and some of the software failures can result in really serious consequences. International standardization organizations have thus established many standardization working groups to enact a series of international standards to reduce software product risks during software development， testing and usage. This paper is aimed at discussing China's medical software standardization system based on an in-depth study of ISO/TR 17791∶2013.

ISO/TR 17791，medical software，standardization system

1006-6586（2016）09-0012-06

TP31

A

2016-07-28