Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/ТС 25238-2009 "Информатизация здоровья. Классификация угроз безопасности от медицинского программного обеспечения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 14 сентября 2009 г. N 404-ст)
- Приложение А (справочное). Программные продукты для сферы здравоохранения и медицинские приборы
Приложение А (справочное). Программные продукты для сферы здравоохранения и медицинские приборы
Приложение А
(справочное)
Программные продукты для сферы здравоохранения и медицинские приборы
А.1 Общие сведения
Во многих странах безопасность медицинских приборов обеспечивается законодательными мерами. Контроль различных видов программного обеспечения отличается в деталях, но в целом применяется в целях определения правильности применения медицинского прибора.
На практике, по крайней мере в настоящее время, программные продукты для сферы здравоохранения (см. 2.3) не охватываются данными средствами контроля. Примерами являются системы врачей общей практики, вызова и повторного вызова, исследовательские базы данных, программное обеспечение для электронных предписаний, диспетчерские системы скорой помощи и т.д.
При рассмотрении классификации программных продуктов для сферы здравоохранения имеет смысл оценить подход, принятый для медицинских приборов, и в рамках данного подхода взаимосвязь между классификациями и средствами контроля для обеспечения безопасности, чтобы, насколько это возможно, подходы были сходными. Данный вопрос рассмотрен в настоящем приложении. В целях краткости не приведен углубленный анализ, а ряд сложных проблем и вопросов, связанных с определениями, были упрощены.
Подход, относящийся к медицинским приборам, основан на следующем:
- во-первых, позволяет классифицировать приборы по классам на основе осознанного потенциального риска для пациентов (обычно по четырем классам с подклассами);
- во-вторых, позволяет применять средства контроля в отношении проектирования, производства, систем качества, маркировки и т.д., причем охват средствами контроля и строгость их применения зависят от класса: чем выше класс риска, тем более жесткие средства контроля.
В данном сценарии вопрос риска поднимается в двух очень разных контекстах - в контексте классификации и в контексте средств контроля систем качества.
Система классификации основана на осознанном потенциальном риске для пациентов. Однако для медицинских приборов определение класса риска не требует анализа риска как такового. Классификация существенно зависит от применений прибора, например является ли он инвазивным, неинвазивным, активным, контактирует ли с кожей или нет, передает ли энергию телу и т.д. Классификация основывается на предположении, что, с некоторыми исключениями, инвазивные приборы представляют больший потенциальный риск, чем неинвазивные приборы. Программные продукты для сферы здравоохранения не могут быть охарактеризованы такими терминами, как "инвазивный" или "активный", или что они контактируют с кожей. Таким образом, системы классификации, используемые для медицинских приборов, не могут быть применены к программным продуктам для сферы здравоохранения.
Напротив, обычным контрольным мероприятием является требование наличия у производителя удовлетворяющей техническим требованиям системы качества. Частью данного требования может быть требование управления рисками и проведения полной и углубленной оценки рисков при использовании прибора, а также снижения рисков до приемлемого уровня.
Настоящий стандарт касается рисков только в контексте системы классификации программных продуктов для сферы здравоохранения и, являясь таковым, рассматривает потенциальный риск для пациентов при использовании программных продуктов в общем смысле. В настоящем стандарте не рассматриваются контрольные мероприятия по обеспечению безопасности программных продуктов для сферы здравоохранения. Однако в нем учитывается, что, если контрольные мероприятия должны быть внедрены, то предварительно следует классифицировать программные продукты для сферы здравоохранения, чтобы обеспечить для безопасности пациентов соответствие средств контроля риску. Средства контроля могут, разумеется, включать требование к системе управления качеством, а в его рамках - требование применения процесса полной оценки рисков для программного продукта и снижения рисков до приемлемого уровня. Однако анализ рисков в данном контексте не является предметом настоящего стандарта.
Имеет смысл исследовать, могут ли системы классификации, применяемые в контексте медицинских приборов, применяться к программным продуктам для сферы здравоохранения. По причинам, указанным в данном приложении, можно сделать вывод о том, что их применить нельзя. Отсюда вытекает актуальность настоящего стандарта.
А.2 Руководство FDA по программному обеспечению
В США Управление по контролю за продуктами питания и лекарствами (FDA) разработало руководство по программному обеспечению, охватываемому средствами контроля для медицинских приборов. Оно содержит материалы, имеющие значение для настоящего стандарта.
В [20] представлена классификация такого программного обеспечения исходя из уровня его значимости для безопасности пациентов или операторов. Суть и объем документации, необходимой для предпродажного представления, затем сопоставляются с уровнем значимости. Уровень значимости определяется оценкой серьезности травмы, которую прибор может нанести или причинить, напрямую или косвенно, пациенту или оператору в результате сбоев в работе прибора, конструктивных недоработок или просто при применении прибора не по назначению. В данном руководстве определены три следующих уровня значимости:
- высокий - если сбой или скрытые ошибки проектирования могут привести непосредственно к летальному исходу или нанесению серьезного вреда для пациента или оператора; уровень значимости также определяется как высокий, если сбой или скрытые ошибки могут косвенно привести к летальному исходу или нанесению серьезного вреда для пациента или оператора вследствие искажения или задержки информации либо действий медицинского работника;
- средний - если сбой или скрытые ошибки проектирования могут привести непосредственно к нанесению незначительного вреда для пациента или оператора; уровень значимости также определяется как средний, если сбой или скрытые ошибки могут косвенно привести к нанесению незначительного вреда для пациента или оператора вследствие искажения или задержки информации либо действий медицинского работника;
- низкий - если сбой или скрытые ошибки проектирования не могут привести к нанесению какого-либо вреда для пациента или оператора.
Серьезный вред определен как травма или заболевание, которое:
- угрожает жизни;
- приводит к устойчивому ухудшению функций организма или к устойчивому повреждению структуры организма;
- требует медицинского или хирургического вмешательства для предотвращения устойчивого ухудшения функций организма или устойчивого повреждения структуры организма.
Термин "устойчивый" определен как "необратимое ухудшение или повреждение структуры или функций организма, за исключением незначительных ухудшений или повреждений".
Незначительный вред определен как вред, который не подпадает под определение серьезного вреда.
Особое значение имеет рекомендация, в соответствии с которой уровень значимости оценивается "до снижения опасности", т.е. прибор, содержащий программное обеспечение, должен оцениваться без учета принятых мер по снижению опасности. В настоящем стандарте установлено аналогичное требование (см. 4.2 и 4.3).
Руководство Центра по приборам и радиологической безопасности (CDRH) FDA по использованию присутствующего на рынке программного обеспечения в медицинских приборах [21] содержит следующее положение:
"Поскольку оценить риски для опасностей, связанных с программным обеспечением, на основании частоты сбоев программного обеспечения достаточно трудно, CDRH пришел к выводу, что управление техническими рисками для программного обеспечения медицинских приборов должно фокусироваться на серьезности вреда, который может быть нанесен в результате сбоя программного обеспечения. Анализ опасностей определяется как идентификация опасностей и вызывающих их причин [22]. Основываясь на определениях анализа рисков из [11] и [23], можно сказать, что анализ опасностей, по сути, является подмножеством анализа рисков; поскольку анализ рисков для программного обеспечения не может основываться на вероятности инцидента, то реальная функция анализа рисков для программного обеспечения может быть сведена к функции анализа опасностей. С технической точки зрения использование любого из терминов - "анализ рисков" или "анализ опасностей" является уместным. Однако CDRH принял решение применять термин "анализ опасностей", чтобы подчеркнуть положение, что расчет риска на основании частоты сбоев программного обеспечения, как правило, неправомерен, и поэтому более уместно управлять рисками со стороны программного обеспечения на основании серьезности вреда, а не на основании частоты сбоев программного обеспечения".
В данном руководстве [21] также предложена классификация, основанная на "уровне значимости", по существу, с аналогичными определениями.
Необходимо отметить, что в руководстве по программному обеспечению для медицинских целей четко заявлено, что руководство по "уровню значимости" применимо только к предпродажным оценкам и "не относится к классификации приборов (по классам I, II или III) или непосредственно к анализу опасностей или рисков". Тем не менее возникает вопрос о том, может ли данная классификация быть применима к программным продуктам для сферы здравоохранения, т.е. использована в настоящем стандарте.
Подобно руководству FDA [20], настоящий стандарт признает, что проблемой для программного обеспечения является систематическая ошибка и что риск не может определяться на основе частоты сбоев программного обеспечения. По существу, если ошибка заложена в программу, то она обязательно проявится, то есть вероятность сбоя программы составляет 100%. Таким образом, для программного обеспечения анализ рисков сводится к анализу опасностей, т.е. к идентификации сути и серьезности потенциального вреда при проявлении систематической ошибки. Настоящий стандарт классифицирует суть и серьезность потенциального вреда по пяти категориям последствий (в отличие от трех категорий, установленных FDA) в целях более детального разграничения, которое не затрагивает операторов. Кроме того, в настоящем стандарте дано более полное определение последствий, например проводится различие между вредом для одного пациента и вредом для многочисленных пациентов, особо выделено нанесение психологической травмы. Последнее обстоятельство, например, может быть достаточно существенным при неправильной работе системы обеспечения безопасности базы данных по исследованиям ВИЧ-инфицированных пациентов с их идентификацией. Тем не менее, термины, используемые в настоящем стандарте, аналогичны тем, которые использованы в руководстве FDA [20].
Однако в руководстве FDA не рассмотрен вопрос о том, будет ли вред действительно нанесен в достаточно предсказуемых обстоятельствах, если произойдет неблагоприятное событие, которое потенциально может нанести данный вред. Например, в случае неправильной работы системы программного обеспечения, предназначенной для отправки пациентам напоминаний о посещениях врача, назначенных им в поликлинике, можно сказать, что вред пациенту может быть нанесен в результате пропущенного посещения врача. Тем не менее, вероятность реализации такого вреда на практике имеет отдаленную причинную связь, поскольку пациент, знающий о назначенном посещении, предпримет необходимое действие, когда поймет, что посещение врача было пропущено или пропущенное посещение будет замечено в поликлинике и будет предпринято действие по назначению следующего посещения врача. С другой стороны, если неправильная работа системы вызовов и повторных вызовов приведет к тому, что пациент не получит уведомление о неблагоприятных результатах анализа, то пациенту не только может быть нанесен вред, но и вероятность реально нанесенного вреда может быть высокой, то есть пациент не будет знать о необходимости повторного анализа, а система не распознает, что пациент не был вызван. Целесообразно различать подобные случаи при определении класса риска.
Таким образом, настоящий стандарт устанавливает возможность реального нанесения вреда в предсказуемых обстоятельствах, если произошло неблагоприятное событие, которое потенциально могло нанести данный вред.
Важно понимать, что хотя матрица 5x5, определяющая пять классов риска (см. 4.4 и таблицу 4), и выглядит, как классическая матрица рисков, которая может быть получена, например, в результате анализа рисков для медицинского прибора в системе управления качеством (например, как в [11]), ее ось "правдоподобие" имеет фундаментальное отличие. Ось "правдоподобие" в настоящем стандарте не определяет качественную вероятность возникновения неблагоприятного события в программном продукте для сферы здравоохранения. Она определяет правдоподобие того, что последствия данного неблагоприятного события будут действительно иметь место, если данное неблагоприятное событие произошло. Оценка данного фактора особенно важна при возможных последующих пересмотрах настоящего стандарта.