醫療設備安全軟件的10項前提

　　
圖2 一臺醫療監測設備系統級故障樹細節

　　在圖2所示的醫療監測設備系統級故障樹中，使用的貝葉斯網絡，可以天衣無縫地地融入采用貝葉斯技術的安全案例之中。

　　要證明我們的系統滿足其安全要求，我們必須采用包括測試在內的多種手段：

　　靜態分析­——受到包括FDA在內的多家機構的推薦，靜態分析對于定位可疑代碼十分有價值。它包含針對編碼標準的語法檢查、故障概率估計、針對代碼指令的正確驗證，以及符號執行（靜態/動態混合）。

　　實地使用和曾用數據——對建立可靠性指標至關重要，使用時間和該段時間內的故障情況的搜集應該貫穿整個產品生命周期：樣本越多，我們對提出的指標也就越有信心。

　　故障輸入——故意輸入故障既可以檢驗用來處理錯誤檢測的代碼，還可以幫助預估剩余故障的數目。和隨機測試分析一樣，故障輸入的結果需要細致的統計分析。

　　形式化和半形式化的設計驗證——傳統上是在執行前完成，設計驗證也可回顧性執行。

　　7、COTS和SOUP

　　無論是COTS，甚或是SOUP，只要這個部件有足夠證據來支持系統的整體安全案例，就可以采用。

　　建立一個安全軟件系統的最佳途徑通常不是完全自力更生，因為這樣所承擔的風險要比建立一個采用選定COTS（commercial off-the-shelf，商業成品）零部件的系統要大。建立操作系統、通信棧和數據庫需要專門的知識，而相應的COTS也許會有上千萬小時的使用歷史優勢。

　　雖然如此，對醫療設備開發者來說，COTS軟件通常是SOUP（software of uncertain provenance，不確定出處軟件），因而應該謹慎對待。IEC 61508和IEC 62304都假定SOUP會被用到。關鍵在于要有充足的可靠證據來量化SOUP對系統安全指標的影響。

　　這些證據將包括在實地使用數據、故障歷史記錄和其他歷史數據。我們應該要求獲得源代碼和測試計劃，這樣可以利用靜態代碼分析工具來檢驗軟件。供應商還應該提供用來構建軟件的詳細流程，或者是外部審核員的聲明，肯定這些流程適用于IEC 62304設備。

　　8、經認證的零部件及其供應商

　　具備安全認證的零部件，比如通過IEC 61508認證的操作系統，可以加速開發和驗證，有助于加快審準步伐。

　　如果使用COTS，采用獲得相關批準的零部件很有幫助。諸如FDA、MHAR、加拿大衛生部以及其他國家的同等部門的組織所審批的不是這些零部件，而且面向市場的整個系統或設備；即便如此，獲得類似IEC 61508或IEC 62304認證的零部件可以簡化審批流程，縮短上市時間。

　　要獲得認證，a）這些零部件必須在一個流程和質量管理都到位的環境中進行開發，b）它們必須經過合理的測試和驗證，c） COTS軟件供應商必須提供所有必要的文檔，來支持最終設備獲得批準。

　　9、審