Приложение В (справочное). Анализ стандартов с позиции жизненного цикла программного обеспечения. Национальный стандарт РФ ГОСТ Р 56849-2015/ISO/TR 17791:2013 "Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря N 2241-ст)

Приложение В
(справочное)

Анализ стандартов с позиции жизненного цикла программного обеспечения

Таблица В.1 - Стандарты, рассмотренные с позиции жизненного цикла программного обеспечения

Стандарт	IEEE 1074:2006	МЭК 62304:2006	ИСО/МЭК 12207:2008	ИСО/ТР 27809:2007	МЭК/ТО 80001-1
Предметная область	Общая	Медицинские приборы	Общая	Общая	Медицинские приборы
Тип	Программное обеспечение	Программное обеспечение	Программное обеспечение (стадии системы не учитывались)	Программное обеспечение	ИТ-сети
Концепция	Исследование концепции				Запрос на внесение изменений или создание медицинской ИТ-сети (применимое разрешение на внесение изменений)
Требования	Требования к программному обеспечению	План разработки программного обеспечения. Анализ требований к программному обеспечению	Анализ требований к программному обеспечению
Проектирование	Проектирование	Проектирование архитектуры программного обеспечения. Детальное проектирование программных средств	Проектирование архитектуры программного обеспечения. Детальное проектирование программных средств	Проектирование	План проекта (документ ответственной организации)
Разработка	Реализация	Реализация программного модуля. Интеграция программного обеспечения и испытание интеграции	Конструирование программного обеспечения. Интеграция программного обеспечения. Квалификационное испытание программного средства. Принятие программного обеспечения	Разработка
Производство				Производство. Создание дистрибутива
Тип	Программное обеспечение	Программное обеспечение	Программное обеспечение (стадии системы не учитывались)	Программное обеспечение	ИТ-сети
Установка	Установка	Тестирование системы программного обеспечения	Установка программного обеспечения (интеграция системы) (квалификационные испытания системы)	Установка	Выполнение менеджмента рисков (MP). Обновленный файл MP. Оценивание остаточных рисков
Конфигурирование					Разрешение на внесение изменений. Управление конфигурациями
Интеграция
Реализация		Выпуск программного обеспечения			Ввод в действие
Эксплуатация	Эксплуатация и поддержка		Эксплуатационное использование программного обеспечения		Контроль и управление событиями
Клиническое применение
Техническая поддержка	Техническая поддержка	Техническая поддержка программного обеспечения	Техническая поддержка программного обеспечения	Усовершенствование/управление версиями/ обновление
Вывод из эксплуатации	Удаление
Уничтожение			Уничтожение программного обеспечения

В.1 Анализ общего подхода

Следующий анализ основан на использовании вышеупомянутых стандартов с точки зрения жизненного цикла.

В.1.1 Концепция

- Стадия описана как минимум в одном стандарте.

- Является исходной точкой для разработки программного обеспечения с элементами риска, если крайне заинтересованные стороны не участвуют в начальном построении концепции.

В.1.2 Требования

- Стадия описана в нескольких стандартах.

- Должны быть использованы стандартные процессы: примеры использования, карты событий, диаграммы взаимодействия и т.д.

- Стадия должна начинаться с рассмотрения требований к данным (начинается на этой стадии и продолжается на последующих).

- Выбор/определение элементов данных, методов моделирования данных, определений, кодировок, шаблонов и т.д.

В.1.3 Проектирование

- Стадия является общепринятой во многих стандартах.

- Должна включать архитектуру, алгоритмы, компоненты, исходную документацию, подтверждение соответствия.

- Должна включать словарь для идентификации (перевода, преобразования) (снижать риски путем обеспечения регистрации клинических данных точным, структурированным и своевременным образом или, по крайней мере, перевода этих данных, осуществляемого таким образом, чтобы их значение сохранялось при разделении/передаче рисков).

В.1.4 Разработка

- Стадия описана в других стандартах или кратко описывает множество других стадий.

- Нормативный сектор управляемого устройства рассматривает разработку программного обеспечения как производственное действие (промышленное, или механическое, или машинное производство).

- Слово "производство" (manufacture) согласовано с языком, используемым для нормативных положений, особенно тех, которые основаны на семействе стандартов ИСО 9000.

- Программное обеспечение (информационные системы) может регулироваться с целью защиты безопасности пациента разными способами, но информационные системы не просто произведенные устройства.

- Государственный сектор рассматривает разработку программного обеспечения как гибкое, сложное, программируемое и обладающее множеством настроек действие.

- Подходы к разработке программного обеспечения включают в себя: нисходящий/восходящий принцип, каскадную модель, спиральную модель, хаотичную модель, прототипирование, эволюционирующее прототипирование, итеративную и инкрементальную разработку экстремальное программирование и т.д.

В.1.5 Производство, создание дистрибутива, выпуск и поставка

- Стадия описана как минимум в одном стандарте.

- В некоторых случаях рассматривается как часть "ввода в эксплуатацию".

- Имеет первостепенное значение с точки зрения выпуска, причем выпуск и поставка являются двумя смежными ключевыми событиями, где существует переход риска (между организацией, которая предоставляет программное обеспечение и покупателем программного обеспечения).

- Стандарты по рискам и применимые стандарты для каждого отдельного выпуска и поставки различаются.

В.1.6 Установка, конфигурирование, интеграция, реализация и ввод в эксплуатацию

- Стадия установки описана в нескольких стандартах.

- Стадии между выпуском и поставкой и приемкой и вводом в действие могут быть объединены. Необходимо различать установку конфигурирование, интеграцию, реализацию и ввод в эксплуатацию, чтобы не придать им иного значения.

- Маловероятно, что разные стандарты будут применяться к подстадиям реализации или ввода в эксплуатацию.

- Степень персонификации и конфигурирования между поставкой и вводом в действие в большинстве случаев является значительной и затратной. Существует часть этой стадии жизненного цикла, которая также включает в себя подготовку документации для вводимой в эксплуатацию системы и обучение пользователей.

- Компоненты обучения и поддержки особенно важны для снижения рисков безопасности и должны использовать подходы, представленные:

- в специальных стандартах, связанных с безопасностью, которые включают сертификационные испытания, обмен сообщениями, словарь, конфиденциальность и безопасность, установление личности пользователя/аутентификацию/авторизацию, управление согласованием; и

- стандартах на системы для обеспечения соответствия стандартам медицинских организаций по эксплуатации и уходу, рабочим процессам, персоналу, требованиям к составлению отчетности и учету, природоохранным требованиям, требованиям к совместимости, а также управлению, технической поддержке, обучению и т.д.

В.1.7 Приемка и ввод в эксплуатацию

- Не описывается ни в одном из известных стандартов, связанных с жизненным циклом.

- Является событием, в отношении которого существует мнение, связанное с передачей риска, о том, что на этапе ввода в эксплуатацию заказчик берет на себя большую часть от общего риска. Кроме того, на этапе ввода в эксплуатацию существует кардинальное изменение профиля риска. Теперь программное обеспечение используется в клинической практике, поэтому присутствует возможность возникновения потенциального вреда для пациентов.

В.1.8 Эксплуатация

- Стадия описана в нескольких стандартах.

- Различие между эксплуатацией и технической поддержкой состоит не в том, что они являются разными стадиями жизненного цикла, а в том, что в ходе этих стадий жизненного цикла существуют различные функции, которые выполняют оператор и разработчик.

- Таким образом, существуют два разных "получателя" риска.

В.1.9 Клиническое использование

- Стадия не описывается ни в одном из известных стандартов.

- На данной стадии происходит кардинальное изменение профиля риска (характеристик: пригодности к использованию, семантической, основанных на данных исследований и т.д.), а также переход рисков от специалиста по реализации медицинской информационной технологии/оператора к пользователю медицинской информационной технологией, обычно к врачу.

- Существует необходимость следить за тем, чтобы клиническая информация, то есть "информация о чело веке, касающаяся его здоровья или здравоохранения" (см. 13606-1:2008), была точно, структурированно и своевременно зафиксирована или преобразована так, чтобы смысл надлежащим образом сохранялся при ее совместном использовании/передаче.

В.1.10 Техническая поддержка

- Стадия описана во многих стандартах.

- Различие между эксплуатацией и технической поддержкой состоит не в том, что они являются разными этапами жизненного цикла, а в том, что в ходе этих этапов жизненного цикла существуют различные функции, которые выполняют оператор и разработчик.

- Таким образом, существуют два разных "получателя" риска.

- Важно понимать, что "обычный ход деятельности" включает в себя значительные эволюционные изменения в системах, которые могут присутствовать в них на протяжении десятилетий, но вовсе не обязательно будет выглядеть так же в том случае, когда системы впервые начали использоваться. Техническое обслуживание (как разработка) является важной стадией.

В.1.11 Вывод из эксплуатации

- Стадия описана как минимум в одном стандарте.

- Стадия требует передачи обслуживания пациента и клинической информации из одной системы в другую.

- Вопросы безопасности на данной стадии касаются возможности переносимости, т.е. передачи данных из одной системы в другую.

В.1.12 Удаление

- Стадия описана как минимум в одном стандарте.