用于医疗设备开发的透明SOUP 和COTS 软件.pdf-道客多多

资源描述

1、用于医疗设备开发的透明 SOUP 和 COTS 软件 Chris Hobbs ， QNX 软件系统有限公司安全系统部高级软件开发员摘要在许多行业中，制造商都通过在产品中应用商业现货 (COTS) 软件和硬件，从而缩短了开发周期。与所有制造商一样，医疗设备制造商也承受着让功能丰富的新产品迅速面市的巨大压力，但由于 COTS 意味着软件来源不明 (SOUP) ，而这很可能影响设备安全以及 FDA 和其他监管机构的上市前审批，这种合理担忧让业内对采用这种软件的做法犹豫不决。虽然为医疗设备选择 COTS 软件必须事先做足调查工作，谨慎行事，

2、但 IEC 62304 “医疗设备软件” 标准和功能安全需求都不排斥使用这种软件。实际上，只要有严格的选择标准，并且在系统和设备完成后加以同样严格且对口的验证，COTS 软件的采用是完全可以接受的。如果我们仔细分析一下不透明 SOUP 1 （应避免使用）和透明 SOUP （源代码、故障历史记录和长期使用记录可查的 SOUP ）之间虽然细微却很关键的区别，我们就会发现 COTS 软件可能是许多关乎安全的医疗设备的最佳选择。常见的挑战与所有复杂系统的制造商一样，医疗设备制造商也面临相同的挑战：时间、质量、规模（功能

3、的数量和复杂性）和成本。此外，还必须加上功能安全性和上市前审批（由美国食品及药品管理局 (FDA) 、欧盟医疗器械指令司 (MDD) 、英国药监局 (MHRA) 、加拿大卫生部，以及医疗设备销售地的同类监管机构负责）。这种审批是医疗设备必不可少的。通不过审批的设备一文不值。然而，审批不会从根本上改变我们在设计医疗设备的软件系统时面临的挑战，也不会彻底改变我们对1不透明 SOUP 有时被戏称为“豌豆汤” （SOUP 也表示“汤 ” ），但还没有人把透明 SOUP 叫做“肉汤 ” 。解决方案的选择。基本上有两种选择

4、：a) 从操作系统甚至板级支持包 (BSP) 开始，自己逐级设计和创建所有组件（有时也称“自主研发”） 2 ；b) 在有利于设计的前提下，尽可能选用现成的软件组件，然后与自有组件一起集成到我们设计的系统中。图 1. 开发是在功能集、交付日期和质量之间寻求最佳平衡的一系列过程。任何一个环节发生变化都会影响其他环节。例如，缩短交付期限会减少功能集或降低质量，或者同时影响二者。开发和交付产品的总成本是这些过程相互作用的结果。自主研发也许只适用于功能有限而不需要完整操作系统的简单设计。遇到更复杂的系统时，如果想完全靠自己从头设计，势

5、必费时费力，而且与使用精挑细选的组件构建系统相比，那样风险会更大。当然，关键是要确定什么样的现成软件既能集成到医疗设备中，又不会影响功能安全性和违背审批要求，然后证明完成的系统符合这些要求。 2板级支持包：特定操作系统的板卡专用软件，它具有载入操作系统所需的最低设备支持功能，包括一个引导程序和板卡上各种设备的驱动程序。用于医疗设备开发的透明 SOUP 和 COTS 软件 QNX 软件系统公司 2 确定性和不确定性系统从理论上说，任何软件系统都是确定性的，也就是说，我们能掌握、记录和测试系统内的每种状态和状态之间的变换。而实际上，目前的软件系统

6、已经复杂到应该被作为不确定性系统处理的程度。 3事实上，我们无法了解或预知其内部所有的状态和状态变化。这一事实所导致的一大后果就是：软件系统的验证，不能再完全依赖测试了。当我们无法了解和记录一个系统内的所有状态和状态间转换的时候，单靠测试来验证系统是不够的，原因很简单：测试只能显示缺陷的存在，而无法证明没有缺陷。医疗设备软件也不例外。实际上，在医疗设备软件第 1 部分：医疗设备软件的 ISO 14971 标准应用指南中，美国医疗器械促进协会 (AAMI) 就警告过，需要避免的一个误区是“将测试作为一种风险控制手

7、段即使不能进行 100% 测试” 4 。通过一个电梯控制器的简单实例就能很好地说明测试的局限性。图 2 显示了电梯控制器的状态图，电梯控制器可向建筑内的电梯和电梯门发送指令。这个控制器非常简单，但它存在一个不会立即显现的缺陷。例如，我们考虑到如果电梯门打开，而电梯却不在，有人可能面临跌入电梯井的危险，所以我们在系统设计里防止了这种事故的发生，然而我们可能没有考虑到有人会被困在电梯里面。利用图 2 显示的控制器，我们能从底层搭乘电梯，然后我们会发现电梯竟然会在楼层间不停往返。电梯门再也不打开了。

8、为了自救，我们必须在电梯到达某楼层时，并且在控制器发出另一个! 向上或! 向下指令前，设法让系统以外的人员发出! 开指令，或者强迫控制器在执行了一定次数的上下运行指令后，发出! 开指令，就像电信网络丢弃无法传递的数据包那样。这个简例表明了系统验证所面临的一个主要难题，即使很简单的系统也不例外。由于我们疏忽了定义3随着多核处理器成本的不断降低，其支持的功能集也迅速增加和日益复杂，这更加剧了软件的复杂程度。 4AAMI ，医疗设备软件第 1 部分：医疗设备软件的 ISO 14971 标准应用指南，2009 年，第 55 页。所有电梯路程必须最

9、终结束这一要求，设计出来的系统就存在非常严重的缺陷。当然，系统越复杂，此类缺陷的数量就会越多。图 2. 有缺陷的简单电梯系统：无法确保电梯在被召唤到一楼层前，电梯门会在某楼层开启。 55 选自 Gerard J. Holzmann（著） SPIN 模型检验器。波士顿： Addison-Wesley 出版社 2004 年出版。 QNX 软件系统公司用于医疗设备开发的透明 SOUP 和 COTS 软件 3 一句话，只有从理论到实际都具有确定性的简单系统，才能用测试来证实它没有缺陷。 6我们能掌握和测试所有可能的状态和状态变化；我们也能了

10、解和提出所有必要的问题。我们可以用形式模型论证来辅助测试，以证明设计的正确性，然而那个简单的电梯用例已经说明，如果设计前提不正确，什么方式都于事无补。当然，我们不能放弃测试，但必须从统计分析的角度看待测试结果，而且要结合其他方法（如严格的过程控制、设计验证和故障历史记录的统计分析）加以完善。功能安全医疗设备故障通常不会像空难或火车脱轨那样引人关注。但对病人而言，医疗设备一旦发生故障，其后果同样不堪设想，所以无论从道德、法律还是经济角度，医疗设备行业都必须尽最大努力确保其产品绝对安全。尽管在验证医疗设备的功

11、能安全性方面已投入巨大精力，但各种缺陷、错误和故障还是层出不穷。例如，据 FDA 记录，在 1990 年和 2000 年间，全美范围内有 20 万台起搏器因软件问题被召回， 1985 年和 2005 年间，因医疗设备故障导致 3 万例死亡事故和 60 万例伤害事故 (1985-2005) ，其中有 8% 的事故都是由软件造成的。 7功能安全是指安全相关的系统按照设计要求运行以确保系统安全的能力：它要求执行主要任务的安全相关系统既能连续运行，又能保证人员、财产和环境不会遭遇重大风险或损害。 8总之，功能安全的系统会按照设计要求

12、运行，不会无意中造成人身伤害或财产损失。以放射治疗机为例，如果它不损害操作员或其他人员的健康、不破坏病人体内的健康6英国铁路安全委员会代表英国铁路业出版的工程安全管理黄皮书第 3 卷，应用指南 2 ：软件与 EN 50128甚至规定， “ 如果一个设备内部储存的状态寥寥无几，可以通过测试完全涵盖，那么把这个设备作为硬件处理更为妥善 ” 。第 3 页。 7Daniel Jackson 等（编）可信系统的软件：证据充分？华盛顿：国家学术出版社 2007 年出版。第 23 页。 8Chris Hobbs 等（著）在复杂软件系统中构建功能安全性，第 1 部分

13、。 QNX 软件系统公司，2011 年。细胞和环境安全，那么它就是功能安全的设备。它对癌细胞产生的破坏力不会影响其功能安全性，因为那是它的设计用途。什么是功能安全？举例说明以能产生危险电磁辐射（如 X 光）的医疗设备为例。如果技术人员在辐射开启时挪开防护屏，就很可能对自己造成 “不可接受的伤害” 。认识到这种危险时，我们就能采取多种办法解决问题。我们可以把仪器设计成确保当开关处于“开启”位置时，无法移动防护屏：开关处于该位置时防护屏处于固定状态。这种解决方案虽然安全，但是不能算是功能安全，因为这种安全性是系统本身固有，而且是被动的

14、，它不依赖任何子系统的连续运行。另外，我们还能创建一种主动式的子系统，当检测到防护屏移动时，它能及时关闭辐射，以防危险的发生。这种子系统就是功能安全的系统：整个系统的持久安全性依赖于这一子系统的连续正常运行。因此，我们能采取被动安全措施（如设计系统时确保无法移动防护屏）和主动安全措施（系统检测到防护屏移动后能自动关闭辐射）来构建安全系统。实际上，大部分复杂系统都同时采取两种措施。就我们对 COTS 的讨论而言，总的前提就是医疗设备的安全运行需要主动式系统，也就是功能安全性。目前有多种标准规定了功能安全系统在特定环境下的构成要素，在产品或系统的

15、生命周期内必须严格完成的过程和活动，以确保产品或系统的功能安全。其中最常见的有 IEC 61508 （电气/ 电子/ 可编程电子安全）、ISO 26262 （汽车安全）和 CENELEC 5012x 系列（轨道交通安全），这些标准在各自领域中定义了系统的功能安全性和安全完整性等级 (SIL) 目标，同时规定了在证明符合这些标准时必须遵循的流程和措施。用于医疗设备开发的透明 SOUP 和 COTS 软件 QNX 软件系统公司 4 IEC 62304 IEC 62304 已成为医疗设备软件的生命周期过程必须遵循的全球统一标准。FDA 推动了它的发展，而且

16、该标准正与欧盟标准 93/42 EWG (MDD) 逐步取得一致。 9与 IEC 61508 和 EN 50128 不同， IEC 62304 未定义可接受故障率的常见数值；遵循 IEC 62304 并不需要通过什么安全完整性等级，而 IEC 61508 则以安全完整性等级为基础（如 IEC 61508 SIL3）。 IEC 62304 局限于“ 定义医疗设备软件安全设计和维护的生命周期过程框架 ” 。 10它做了两个关于质量管理和风险管理的假设：a) 医疗设备软件“ 是按照质量管理体系（即 ISO 13485 或 ISO 90003 ）9Cri

17、stoph Gerber （编）医疗设备的软件生命周期简介， Stryker Navigation ：幻灯片演示（2008 年 9 月 4 日） 10国际电工技术委员会，IEC 62304 ：医疗设备软件软件的生命周期过程。初版，2005-2006 年。日内瓦：国际电工技术委员会，2006 年出版。引言。开发和维护的” ，b) 风险管理符合 ISO 14971 的要求和 IEC 62304 第 7 条关于软件的补充要求。值得注意的是，IEC 62304 并未特别规定应如何满足其要求，也就是说，它不制定某一种软件开发模型，或特定文件以支持符合标准的

18、声明。IEC 62304 中引用到 ISO 14971 ，后者规定了医疗设备风险管理体系的要求。这两种标准既未规定风险等级，也未规定或提出一种能根据传统统计分析法确定软件故障机率的方法。 11我们能任意选择最符合要求的开发模型，因为我们能自由选择最终用来验证所构建系统的功能安全系数的方法。 IEC 62304 确实制定了软件生命周期的流程（包括风险管理过程）、活动和任务，并指出该周期不应随着产品的发布而结束，只要软件还在运行，这个流程就必须贯穿于产品维护和问题解决的全过程。它还根据故障可能对病人、操作员或其他人员造成的伤害程度规定了安全等级。这些等级与

19、 FDA 的医疗设备等级类似：A（不会损害健康）、B （可能轻微损害健康）和 C （可能严重损害健康甚至导致死亡）。最后，还有一点和本文的论题特别相关，IEC 62304 明确提及 SOUP ，它将其定义为一种软件体，特征是已经开发而且广泛面市的软件，而开发目的并不是用于集成到医疗设备中（也称 “现成软件”），或以前开发的不具备详细可查的开发过程记录的软件。 1211Gerber ，幻灯片 19 。 12IEC 62304 3.29 SOUP 图 3. 与医疗设备的功能安全有关的一些标准。 QNX 软件系统公司用于医疗设备开发的透明 SOUP

20、和 COTS 软件 5 上文中需要特别注意的是，IEC 62304 a) 假设会使用现成软件（商业或其他）和 b) 提出 SOUP 的两种定义，即开发目的不是用于集成医疗设备的软件，或开发过程记录不详或无法查询的软件（或同时符合两种条件的软件）。 IEC 62304 不禁止在医疗设备中使用 SOUP，事实上，该标准内有一些条款已假设会实际用到 SOUP 。例如，5.1.1 “ 软件开发计划”就规定，“ 计划必须重视软件配置和变更管理，包括 SOUP 配置项 ” 13 ，SOUP 是部分小节中的一个明确主题，例如 5.3.4“ 规定 SOUP

21、项所需的系统硬件和软件” 。所以说，问题的关键不在于医疗设备软件是否允许使用 COTS 软件和/ 或 SOUP，而是 a) 如何确定一种特定的 COTS 软件或 SOUP 适用于相关医疗设备，b) 如何验证这种 COTS 或 SOUP 满足该医疗设备的功能安全要求。要回答这个问题，我们应该深入分析 SOUP 的定义，并正确理解 SOUP 和 COTS 软件之间的关系。 SOUP 和透明 SOUP 一些软件供应商将 COTS 和 SOUP 之间的区别描述得过于简单甚至错误百出。他们认为 COTS 软件背后有供应商的支持，

22、其商誉和金融前景有赖于软件产品的正常运行，而 SOUP 背后则没有这样的保障。这就像人们买药时，往往更愿意去信誉良好的药店，而不会选择使用垃圾电子邮件进行推销的网站。其实这样的区别方式并没有多大意义，因为对我们来说，大部分 COTS 软件很可能也是 SOUP ；供应商遵照执行的过程（或者没有执行！）、源代码、故障历史记录和假如我们自主研发产品时所需的一切，对供应商以外的人而言都是空中楼阁。更有效的做法是区分（不透明）SOUP 和透明 SOUP 。这种区分不依据任何商业标准（商业或非商业），而是建立在支持软件安全案例的证据之上

23、的。我们需要这些证据来支持采用 SOUP 构建的系统符合风险和安全等级的声明。 13IEC 62304 5.1.1 软件开发计划质量与审批由监管机构负责的上市前审批和产品质量是密不可分的，但它们不能互换。首先，我们很容易想象一种器械或工具（如注射器），虽然具备正常的使用功能（刺入血管抽血），但它可能永远无法通过审批，因为它的生产过程中没有消毒过程，或者这种注射器符合所有审批要求：尖锐、无菌、使用简单安全，但它可能在首次消毒过程中碎裂，尽管它不会对病人或医生产生危险，但它不符合质量标准。 COTS 系统（如 Microsoft Win

24、dows 操作系统）可能有证据充分的开发过程，其供应商可能会执行这种定义明确、记录完善的开发过程，也拥有随时可查的源代码和可追溯与可证明的软件故障历史记录。但由于公众无法获取这些信息，因此对我们来说， Windows 操作系统是一种（不透明）SOUP。 14操作系统架构运行 COTS 软件的操作系统必须支持供应商的功能安全声明。因此，我们必须对操作系统，特别是它的架构进行评估，因为操作系统架构对系统的可信性至关重要。需要评估的重要特征包括：抢占式内核运行为了保证系统满足实时提交的要求，实时操作系统必须允许内核进行抢占式运行，而且无法

25、抢占的视窗应很短暂。内存保护操作系统架构应将应用程序与关键进程分开放入各自的内存空间，这样单一的故障就不会殃及整个系统。优先级继承为防止优先级反转，实时操作系统应将被阻止的高优先级任务的优先级分配给阻止任务的低优先级线程，直至完成阻止的任务。分区为确保可用性，实时操作系统应支持固定分14这样，从知名药店或通过垃圾邮件促销网站买药的类比就站不住脚了。药店销售的药品与不透明软件不同：它的每种成分（包括“ 非活性” 成分）、用于制造或提取这些成分的每个过程，以及成品药物都必须有据可查以便监管机构审查。这就是制药和生化技术公司如此依赖专利的原因；

26、他们可能守不住商业秘密，所以专利是他们唯一的保障。用于医疗设备开发的透明 SOUP 和 COTS 软件 QNX 软件系统公司 6 区，最好是自适应分区，因为它能在执行系统资源预算时，使用动态调度算法将分区内闲置的 CPU 周期重新分配到需要额外处理周期的分区。高可用性自启动的软件监视程序能监视、停止和重启进程（如能确保安全），而无需系统重置。相反，开源项目（如 Apache 和 Linux ）都提供可随时查询的源代码和故障历史记录，以供详细审查。在人们多年的积极努力下，这种软件的特点广为人知。与自产软件类似，这种软件虽然名义上“

27、来路不明” ，但可以用代码符号执行和路径覆盖来分析来仔细检审，而且此类软件悠久（并可免费查找）的使用历史也能让通过数据分析得出的结论变得尤其可信。因此，我们可将在开源项目中开发的软件视为透明 SOUP ；也就是能审查和验证的 SOUP ，就像是我们自己编写的软件一样。尽管开源软件有这些引人注目的特点，但它可能不是医疗设备的最佳解决方案。在功能安全的系统内使用开源软件的困难在于，开源软件的开发过程既未明确定义也无证据证明，而这正是 IEC 62304 明确要求的内容。我们无法了解软件的设计方法、编码方式或验证

28、过程，没有这些依据就验证功能安全声明等于竹篮打水。此外，SOUP 或 COTS 软件可能包含一些不需要的功能，这会在系统中留下失效代码。IEC 61508 等功能安全标准对此做法都明令禁止。当然，如果 COTS 软件供应商提供其产品的源代码和故障历史记录，那么其 SOUP 便实现了透明化。有些供应商力求完美，他们不仅提供透明的 SOUP ，而且还提供一个 SOUP 的透明成分。也就是说，他们向客户公布其开发软件的详细过程，以及完整的开发历史记录。这实质上是一种非正式的审查跟踪，我们可借此来验证其宣称的软件可靠性和可用性。还有些供应商更

29、进一步，他们允许外界审查自己提交的证明，以取得产品的安全等级认证（如 IEC 61508 SIL3）。除了对医疗设备的首次审批至关重要外，透明 SOUP 的 COTS 软件成分（证据充分的开发与验证工件、详尽的历史记录和可证明的开发过程）还能为后续验证和产品升级后的审批提供宝贵证明。 15这点非常重要，例如 FDA 在 1992 和 1998 年间的研究中发现，3140 起医疗设备召回事件中有 242 起 (7.7%) 是由缺陷软件造成的。这其中有 192 起（近 80%）是由于软件维护过程中引入的缺陷造成的。换句话说，缺陷是在产品面市后引入设

30、备的：设备开始能正常运行，但后来有人破坏了它或发现了其内部隐藏的缺陷。所以，在开发、维护和升级强调功能安全（IEC 62304 B 级和 C 级设备）的医疗设备的软件系统时，我们最好使用透明 SOUP （软件成分透明，而且有长期和可证明的成功应用记录）来完成。购买 COTS 软件在为医疗设备选择 COTS 软件时，必须弄清一个最关键的问题，那就是“软件供应商要提供什么证据证明其产品符合我们的要求？”除了要咨询与功能、特征、成本和技术支持有关的常规问题外，还要知道“ 这种 COTS 软件能帮我们顺利通过医疗设备的审批吗？” 因为它不是我们自

31、己开发的，所以在假设所有 COTS 软件都是某种 SOUP 时，必须查明它是哪种 SOUP。如果经证实它是“以前开发的无法提供开发过程详尽记录的软件”，我们就很难证明它适用于我们的系统。首先，对含有这种软件的系统进行功能安全性验证需要投入大量的精力和财力。其次，这种软件不符合 IEC 62304 对证据充分、严格执行的软件生命周期过程的要求。 15参阅 Anil Kumar （著）面向开发人员的医疗设备 IEC 62304 认证攻略选自电子医疗器械解决方案杂志，2011 年 6 月 20 日。 QNX 软件系统公司

32、用于医疗设备开发的透明 SOUP 和 COTS 软件 7 但是，假如这种 COTS 软件是一种透明 SOUP ，那我们的任务就简单多了。也就是说，这种软件的 “开发目的不是集成到医疗设备中”，但它有随时可查的开发过程的详尽记录，所以它可能适用于我们的医疗设备。 COTS 检查表我们可使用下列高级检查表，确定一个特定的 COTS 组件是否适合集成到医疗设备的软件系统中首要前提是，这种 COTS 软件是透明的 SOUP 。我们是否选择这种 COTS 软件主要取决于它能否完全支持我们为整个系统规定的功能安全性和遵规性要求。功能安全声明我

33、们可以先验证 COTS 软件供应商对其软件所作的功能安全声明。供应商提出任何功能安全声明了吗？这些声明符合我们项目的功能安全要求吗？声明规定运行环境和限制了吗？例如，这些声明是关于不间断运行还是按需求运行的？ COTS 软件的功能安全声明规定出现危险故障的机率了吗？或者换句话，软件供应商对软件可信性作了何种声明？软件供应商定义“足够可信性”了吗？他是如何量化可信性声明的？例如，量化是属于“ 五个九 (99.999%) ” 一类的吗（实质上无意义）？或者它提供相关环境下的可用性和可靠性的重要

34、信息了吗？软件供应商对 COTS 软件下列特征声明进行了量化了吗：可用性：系统能及时响应事件的频率？可靠性：响应的正确率？过程涵盖整个软件生命周期的定义明确、证据充分的过程是一项必不可少的要求；没有它，就没必要进行下一步了。 COTS 软件供应商已经执行质量管理体系 (QMS) 了吗？该体系符合下列其中一项要求吗： ISO 9000 系列 QMS 标准？ ISO 15504 （“ 软件过程改进和能力测定 SPICE” ）？能力成熟度模型集成 (CMMI) ？软件供应商采用了何种源代码控制过程（包括修订控制和版本控

35、制）？软件供应商如何记录、跟踪和解决缺陷，包括通过验证、确认和实际应用发现的缺陷？软件供应商为缺陷分类并随后进行故障分析了吗？故障树分析使用贝叶斯置信网络等方法的故障树分析是一种发现、解决设计错误和评估系统可信性的重要工具。它还提供了软件工件，负责医疗设备面市审批的机构会对其进行审查。 16已利用故障树分析对 COTS 软件进行评估了吗？分析同时使用先验（由因推果）和后验（由果推因）证据了吗？我们能获取故障树分析的结果吗？ 16参阅 Chris Hobbs （著），使用贝叶斯置信网络对安全关键软件进行故障分析

36、，2010 年。用于医疗设备开发的透明 SOUP 和 COTS 软件 QNX 软件系统公司 8 静态分析静态分析是确定可疑代码位置的重要工具，FDA 等监管机构 17都建议使用这种分析，它提出“ 研究各种静态分析技术，如符号执行、抽象解释、逆向工程，并将这些技术用于医疗设备的软件分析 ” 。该任务的目标是，提高 FDA 的器械与辐射健康中心 (CDRH) “在上市前和上市后审批过程中评估软件的能力”，并“通过提高静态分析工具（专门用于医疗设备软件）的精度和效率，使静态分析技术更先进” 。 18图 3. 一种非常简单的故障树。数

37、字代表故障（1 、2 等），字母代表树叶（A 、B 等）。 17例如， “静态分析提供了一种能在代码执行前检测到错误的高效工具” ，参阅 FDA 颁布的软件验证的一般原则：行业与 FDA 工作人员的最终指南。 2002 年 1 月 11 日。 18FDA 研究项目：医疗设备软件的静态分析，2011 年 2 月 11 日更新。 COTS 软件供应商使用静态分析识别产品中潜在的问题了吗？软件供应商使用了何种静态分析技术？根据公布的编码标准进行语法检查了吗？评估故障机率了吗？提供正确性证明（如代码中的断言）了吗？符号执行（静

38、态分析- 混合）？为支持其静态分析的结果，COTS 软件供应商提供了什么工件？ “ 边用边证明 ”数据在验证 COTS 软件可信性声明和构建声明时， “边用边证明”数据非常重要。当人们构建一种需要某天（即使遥遥无期）提交其可信性证明的系统时，他应该将“使用中收集的数据”收入其业务模型中。 COTS 软件供应商能提供“边用边证明”数据吗？数据能回溯到多久以前？数据有多全面？数据可用的样本大小？该样本代表供应商的少部分还是大部分运行时？供应商如何收集此数据？软件供应商提供了具有“边用边证明 ”数据的故障分析

39、结果，还是只提供了使用数据？ QNX 软件系统公司用于医疗设备开发的透明 SOUP 和 COTS 软件 9 设计软件工件设计和验证软件工件是 SOUP 和透明 SOUP 之间的一个关键区别。如果 COTS 软件供应商无法提供广泛的工件集合，那选择他的产品还不如选择开源软件。 COTS 软件供应商为其软件提供了什么设计工件？供应商提供了：架构设计文件？详细设计文件？ COTS 软件的测试计划和方法是什么？供应商公布详细结果了吗？ COTS 软件供应商使用了什么其他验证方法（参见前文）？这些方法和详细结果可以获取吗？供应

40、商保留和提供可追溯性矩阵（从要求到交付）了吗？这些都能验证吗？供应商保留了什么样的软件生命周期记录？其中包括：变更？问题和解决方案？安全手册安全手册是另一项必不可少的要求。如果 COTS 软件不包含安全手册，就应将产品退回再找其他供应商。安全手册重申 COTS 软件的功能安全声明了吗？安全手册规定 COTS 软件功能安全声明的环境和局限了吗？这些应包括功能安全声明的有效环境和用途。例如： “ 处理器架构的列表细致详尽。” “禁止在信号处理程序内进行浮点运算。” “ 关键预算限于窗口大小。”

41、软件供应商提供有关安全使用产品的培训了吗？认证组件即使完全遵照上述建议执行，并且 COTS 软件符合透明 SOUP 的所有要求，也无法保证最终产品会按照计划如期通过审批。要确保万无一失，不妨与具有审批申请经验的 COTS 软件供应商合作，并利用已通过相关认证的组件。虽然 FDA 、MHRA、加拿大卫生部和其他地区的监管机构审批的不是单独组件，而是即将面市的完整系统或设备，但使用已通过认证（如 IEC 61508 或 IEC 62304 ）的组件确实能简化审批流程，加快产品面市。首先，要通过认证，这些组件必须是在执行正确流程和质量管理的环

42、境下开发的，它们必须经过适当的测试和验证，而且 COTS 软件供应商应拥有所有必需的工件，它们反过来能支持最终设备的审批。最后，具有认证经验的软件供应商能为客户提供宝贵建议和专业支持。结论 IEC 62304 “医疗设备软件”标准和功能安全需求都不排斥在医疗设备中使用 COTS 软件。我们必须非常专注和特别谨慎，但 COTS 软件完全可以接受，因为它有非常严格的选择标准，而且完工的系统和设备必须经过同样严格的验证。事实上，如果注意到不透明 SOUP 19 （应该避免）和透明 SOUP （源代码、故障历史记录和长期使用记录可查的来源不明软件

43、）之间虽然细微却很关键的区别，我们就会发现 COTS 软件可能是许多关乎安全的医疗设备的最佳选择。 19不透明 SOUP 有时被戏称为 “豌豆汤” （SOUP 也表示“汤 ” ），但还没有人把透明 SOUP 叫做“肉汤 ” 。用于医疗设备开发的透明 SOUP 和 COTS 软件 QNX 软件系统公司 10 参考文献 AAMI 医疗设备软件第 1 部分：医疗设备软件的 ISO 14971 标准应用指南。医疗器械促进协会 2009 年出版。 Berard, B. 等。系统与软件验证。柏林： Springer 出版社 2001 年出版。 Bi

44、rman, Kenneth P. 与 Thomas A. Joseph（合著）在分布式系统中利用虚拟同步。康奈尔大学。1987 年 2 月。 Birman, Kenneth P. （著）构建安全和可靠的网络应用程序。格林威治：Manning 出版社 1996 年出版。 FDA. 软件验证的一般原则：行业与 FDA 工作人员的最终指南。2002 年 1 月 11 日。FDA 研究项目：医疗设备软件的静态分析， 2011 年 2 月 11 日更新。 Gerber ，Cristoph（著）医疗设备软件的生命周期

45、简介。德国弗赖堡：Stryker Navigation。幻灯片演示（2008 年 9 月 4 日）。 Green，Blake （著）从监管角度理解软件开发。医疗设备管理期刊，6:1（2009 年 2 月），自费出版。14-23。 Helminen，Atte（著）利用贝叶斯网络对基于安全关键软件的系统进行可靠性评估。赫尔辛基：芬兰辐射与核安全局（Steilyturvakeskus ） 2001 年出版。 http:/www.stuk.fi/julkaisut/tr/stuk-yto-tr178.pdf Hobbs, Chr

46、is （著）。使用贝叶斯置信网络对安全关键软件进行故障分析。QNX 软件系统公司 2010 年出版。。 Hobbs, Chris, 等（合著）在复杂软件系统中构建功能安全，第 1 部分。QNX 软件系统公司， 2011 年出版。。 _. 在复杂软件系统中构建功能安全，第 2 部分。QNX 软件系统公司，2011 年出版。。 Holzmann, Gerard J. （著） SPIN 模型检验器。波士顿：Addison-Wesley 出版社 2004 年出版。国际电工技术委员会。IEC 62

47、304 ：医疗设备软件软件的生命周期过程。初版，2005-2006 年。日内瓦：国际电工技术委员会 2006 年出版。 Jackson, Daniel 等（著）可信系统的软件：证据充分？华盛顿：国家学术出版社 2007 年出版。 Jackson, Daniel 等（著）证据充分：全美可信系统软件的学术研究扼要。Kumar, Anil （著）面向开发人员的医疗设备 IEC 62304 认证攻略。选自电子医疗器械解决方案杂志。2011 年 6 月 20 日出版 Lions, J. L. 等（合著）

48、 Ariane 501 调查委员会报告。巴黎：ESA 1996 年出版。 NASA. 机构风险管理的程序要求 (NP4 8000.4A) 。NASA 2008 年 12 月 16 日出版。 QNX Neutrino 实时操作系统安全内核 1.0 ：安全手册：QMS0054 1.0 QNX 软件系统公司 2010 年出版。。 Reason, James （著）人为错误。剑桥：剑桥大学出版社 1990 年出版。 QNX 软件系统公司用于医疗设备开发的透明 SOUP 和 COTS 软件关于 QNX 软件系统公司 QNX 软件系统公司是全

49、球领先的创新嵌入式技术（包括中间件、开发工具和操作系统）供应商。QNX Neutrino 实时操作系统基于组件的架构、QNX Momentics 工具套件和 QNX Aviage 中间件产品系列能为构建高性能嵌入式系统提供业内最可靠和可扩展的框架。包括思科、戴姆勒、通用电气、洛克希德马丁和西门子在内的全球技术领导者都依靠 QNX 的技术生产车用远程信息处理装置和信息娱乐系统、工业机器人、网络路由器、医疗器械、安全与国防系统，并满足其他任务或生命关键型应用的需要。公司总部位于加拿大渥太华，其产品销售覆盖全球 100 多个国家。 2011 QNX 软件系统有限责任公司（Research In Motion Lt

展开阅读全文