侯丙营 陈蓓 李泽瑾 北京怡和嘉业医疗科技股份有限公司 （北京 100043）

2015年8月15日国家食品药品监督管理总局（CFDA）发布了《医疗器械软件注册技术审查指导原则》[1]，在这份文件中明确将医疗器械软件分为独立软件和软件组件。独立软件是指预期本身用作医疗器械或其附件而开发的软件；而软件组件是指在作为医疗器械或其部件、附件组成的软件。

随着移动医疗、云计算与人工智能等计算机技术的不断发展，涌现了越来越多需要作为医疗器械来管理的独立软件，其组成部分不包含医用电气部分。比如借助人工智能进行病灶自动识别的影像处理软件、可以对医用电气设备进行远程监测管理与参数修改的云平台与移动APP等。这些独立软件的安全性非常重要，而它的复杂性甚至超过了那些单纯的治疗、诊断医用电气设备，这些独立软件的错误导致的后果可能非常严重。如何指导制造商开发、监管方审查高质量的独立软件已经成为一个重要的课题。

1.国内与国际医疗器械软件监管介绍

美国FDA自上世纪80年代末开始着手医疗器械软件的监管工作，先后发布了软件申报、软件确认、网络安全、移动医疗APP等指南文件[2-5]。欧盟对于医疗器械软件的管理主要依靠国际标准来进行管理，最主要的标准就是IEC 62304:2006[6]与IEC 62304:2016/AMD1:2015[7]《医疗器械软件 软件生存周期过程》。针对当前医疗器械软件联网功能的普遍化，相关国家与组织也在升级或制定新的标准来适应这种形式，比如AAMI TIR57：医疗器械信息安全原则——风险管理[8]，ISO TC215与IEC 62A联合制定的IEC 80001系列标准等。

中国在2002年8月国家食品药品监督管理局发布了《医疗器械分类目录》[9]，增加了“软件”产品的管理分类，医疗器械软件正式纳入监管范围。2012年4月国家食品药品监督管理局器械审评中心发布了《关于医疗器械软件注册申报基本要求的说明》[10]，提出了医疗器械软件注册申报的基本要求。2015年8月国家食品药品监督管理总局发布《医疗器械软件注册技术审查指导原则》，对《关于医疗器械软件注册申报基本要求的说明》中的内容进行了调整和修订，在现行法规框架下针对软件的特殊性进一步明确了软件的监管要求，特别是对软件更新、软件版本的要求。在结合风险管理、质量管理和软件工程基础上较大程度的保证软件质量。2017年1月国家食品药品监督管理总局发布《医疗器械网络安全注册技术审查指导原则》[11]，明确对医疗器械，特别是软件针对网络安全需要提交的注册资料。国内也对IEC 62304做了转化，即YY/T 0664《医疗器械软件 软件生存周期过程》[12]，但目前并没有强制执行。

通过以上分析，不难看出，国内外基于医疗器械软件管理的根本就是指南或者标准，其中最为核心的是IEC 62304标准，而各国又根据本国产业发展现状，监管的侧重点有所不同。另外，IEC 62304也是医疗器械制造企业开发医疗器械软件依靠的重要标准。在图1 IEC 62304标准附录C中的V模型中，描述了IEC 62304与IEC 60601-1 PEMS[13]开发过程的关系。从图中可以看出IEC 62304并不包括PEMS的用户需求与确认部分。如果把PEMS换成独立软件，IEC 62304并不能包括独立软件的用户需求与确认过程。即IEC 62304只是一个软件生存周期过程标准，并不能覆盖独立软件（本身是产品）的所有生存周期活动。但是IEC 60601-1中的PEMS与独立软件在产品形态、组成、安装与维护以及监管上还是有非常大的区别，在IEC 62304中不能覆盖的独立软件其他过程，不能完全通过参考通标IEC 60601-1获得补充。

图2. IEC 82304-1 健康软件产品过程

目前欧盟，FDA与国内对独立软件产品IEC 62304所不能覆盖的那部分注册要求并没有明确的参考标准，都是在各自指南或指导文件中分散提及。虽然这些指南或指导文件可以对企业的产品注册提供帮助，但是对企业的独立软件产品开发与维护所起作用有限。在这种情况下，IEC 82304-1标准[14]的发布，正是独立软件产品开发与监管可以参考的标准，它解决了IEC 62304不能完全覆盖独立软件产品所有过程的问题。

2.IEC 82304-1标准介绍

IEC 82304-1：健康软件 第1部分：产品安全的通用要求（IEC 82304-1：Health Software–Part 1：General requirements for product safety），该标准由ISO TC215（健康信息学）与IEC 62A（医疗器械共性问题小组）的专家联合开发，并于2016年10月正式发布。

过去，提升个人健康主要是通过临床用户（护士、医生、技师等）对医疗器械软件的使用完成，但现在越来越多的健康软件产品可以在临床用户不参与的情况下，由患者本人或家属来完成对个人健康的管理、维护与提升。所以IEC 82304-1标准在开始制定时就把范围拓宽到了整个健康软件产品，而不只是医疗器械独立软件。目前CFDA监管范围仍然是医疗器械，对本文来讲也就是《医疗器械软件注册技术审查指导原则》中的医疗器械独立软件，正如后面讨论的，医疗器械独立软件是健康软件产品的子集。所以这不妨碍讨论IEC 82304-1的应用。

对制造商而言，IEC 82304-1涵盖了健康软件产品的整个生命周期过程，如图2所示。该标准正文共包含8个章节，其中第4～8章对应的生命周期过程在图2已进行了体现。

2.1 范围

本标准限定为纯软件，即健康软件自身就是产品，不包含硬件部分，对于如下标准管控的硬件系统不在本标准覆盖范围内：①IEC 60601，IEC 80601系列的医用电气设备；②IEC 61010系列的体外诊断设备；③ISO 14708系列的植入设备。

由于本标准覆盖的是健康软件产品，不只包含医疗器械独立软件，故不考虑软件是否在监管范围内。健康软件相关的定义请参看下文2.3节的详细表述。

对于该标准的符合性：用文档核查方法来确定合规性。制造商如果不使用此标准中相关的安全要求，如风险管理标准ISO 14971[15]（国内标准号YY/T 0316-2016[16]）与可用性工程标准IEC 62366-1[17]（国内标准号YY/T 1474-2016[18]），而是使用替代方法，那么必须证明可追溯性与剩余风险可接受，并且方法等同。

2.2 规范性引用文件

该标准强依赖于IEC 62304:2006与IEC 62304:2016/AMD1:2015，其软件生命周期过程完全引用IEC 62304，但需要注意IEC 62304对应的必须是医疗器械软件，不包括非医疗器械目的的健康软件，可以不是软件产品，而IEC 82304-1对应的必须是健康软件产品，不包括软件组件。所以在IEC 82304-1中明确要求在引用IEC 62304时，需要使用Health Software与Health Software Product替代现行IEC 62304标准中的“Medical Device”或“Medical Device Software”。

2.3 术语和定义

摘抄标准中非常重要的几个定义：①医疗器械软件（Medical Device Software，等同于国内医疗器械独立软件+软件组件）旨在包括在被开发的医疗器械内的已开发的软件系统，或者预期本身用作医疗器械而开发的软件系统。②医疗器械独立软件（SaMD，等同于国内医疗器械独立软件概念）定义为预期用作一个或多个医疗用途的软件，且它不是一个硬件医疗器械的组成部分。③健康（Health）健康不仅是没有疾病，而且包括躯体健康、心理健康、社会适应良好和道德健康。④健康软件（Health Software）预期用于特定的管理、维护或提升个体健康或提供健康服务的软件。⑤健康软件产品（Health Software Product）健康软件与附属文件的组合。

从图3中可以看出健康软件包含四个子概念：用于医疗器械的嵌入式软件（左上角）、用于其他健康用途硬件产品的嵌入式软件（右上角）、医疗器械独立软件（左下角）、其他健康用途的纯软件（右下角）。这四个子概念的象限，横坐标以医疗用途与其他健康用途分成左右两部分，纵坐标以嵌入式软件（特定硬件）与纯软件（通用计算平台）分成上下两部分。IEC 82304-1的范围即为图中的纯软件（虚线边框内）部分。本文开头两节提到的医疗器械独立软件是IEC 82304-1健康软件产品概念的子集。

图3. 健康软件相关概念示意图

关于IEC 82304-1所指的健康软件产品所覆盖范围的举例见图4。

图4. IEC 82304-1覆盖健康软件产品范围举例

2.4 健康软件产品需求

IEC 82304-1第四章描述了健康软件产品的需求，该章节的最终输出内容，即软件产品系统需求是IEC 62304软件开发过程的输入。该章节的主要内容摘要如下：

4.1初始风险评定：a）识别危害、对危害处境相应的风险进行估计；b）评价估计的风险与风险控制措施后，决定风险是否可接受。

4.2健康软件产品用户需求：a）为了实现预期用途的用户需求；b）用户接口需求，注意此处的接口需求并不包含详细的规格参数；c）不受同平台其他软件的干扰；d）针对隐私与对信息安全需要采取的措施；e）附属文件；f）支持性需求（升级，发布，数据提取与传输，退市）；g）监管需求。

4.3健康软件产品用户需求的验证：确保其为系统需求的输入；确保用户需求在制造商的能力范围之内。

4.4更新健康软件产品用户需求：在用户需求验证认为有必要时；IEC 62304 5.2节执行软件需求分析认为有必要时。

4.5系统需求：与IEC 62304的5.2.1内容实质等同，但在IEC 62304的5.2.1中并没有详细介绍此部分。a）互操作性；b）本地化与语言支持；c）基于4.1风险分析结果，在系统级别需要执行的风险控制措施；d）用户接口规范；e）在预期负载与性能要求下的软硬件环境要求；f）允许在正常使用时检测、识别、记录、执行与信息安全相关的功能；g）在软件信息安全遭到破坏时保护基本功能可以被执行的功能；h）通过认证特权用户保留和恢复产品配置的方法。

4.6系统需求验证：a）需求之间无相互冲突；b）表述无歧义；c）表述可测试；d）可唯一确定。

4.7更新健康软件产品系统需求：在健康软件产品用户需求变更时；系统需求验证认为有必要时；IEC 62304 5.2节执行软件需求分析认为有必要时。

2.5 健康软件生命周期过程

本章节直接引用IEC 62304生命周期5大过程：①软件开发过程；②软件维护过程；③风险管理过程；④配置管理过程；⑤问题解决过程。

关于这5大过程的详细内容可以参考IEC 62304相关内容。

2.6 健康软件产品确认

验证与确认是两个不同的概念，验证是对设计的验证，而确认是对用户需求的确认。IEC 62304标准中并不包括软件的确认活动，在IEC 62304第5章单元验证、软件集成与测试、软件系统测试之后终止于软件发布。对于健康软件产品的确认，输入就是IEC 62304 5.8节发布之后的软件。

该章包括的主要内容如下：

6.1确认计划

制造商必须建立一个健康产品确认计划，确保4.2用户需求得到满足。

a)确定确认计划的范围与活动；

b)确定确认计划的局限；

c)选择确认的方法、输入与接受标准；

d)支持确认所必须的支持系统与服务；

e)执行确认人员的资质要求与培训；

f)确认团队与设计团队的独立性。

6.2实施确认

已建立确认计划；

已建立由有资质人员组成的确认团队；

健康软件开发生命周期过程已结束，即软件已发布。

6.3编写确认报告

保留证据。

a)追溯性；

b)证明满足用户需求；

c)剩余风险可接受。

记录确认的状态。

在执行确认时，可采用检查、分析、类比、演示、模拟、同行评审、测试或者第三方认证的方法。具体在执行时采用什么样的确认方法，经常受到一些约束条件，也就是确认限制，比如：技术可行性、成本、时间、验证执行者或有资质人员的可用性、合同限制、任务的边界限制等。

3.健康软件产品标识与附属文件

本章是健康软件产品的一个重要组成部分，主要内容有两部分，标识与附属文件。IEC 82304-1花了相当大的篇幅来对附属文件进行要求，制造商必须保证预期使用健康软件产品的用户或/与负责任组织可以获取到这些文件。附属文件中对健康软件产品的退市与处置部分的要求很容易被制造商忽略。另外，附属文件的技术描述部分，也特意增加了对预期用于IT网络的健康软件产品应提供的技术信息的要求，特别是可能产生的未预期风险，应该告知负责任组织去识别，分析，评价与控制。关于此部分的风险管理还可以参考IEC80001-1:2010[19]与IEC80001-2-x系列标准[20-28]。

4.上市后活动

IEC 62304标准中已包含了软件维护过程的详细活动，包括制定软件维护计划、问题和修改分析以及修改实施，故在IEC 82304-1中对软件维护过程并没有详细描述。本章中对健康软件产品维护所涉及的部分要求实施再确认，必要时需要更新IEC 82304-1第6章提到软件确认计划。对于上市后的沟通，在IEC 62304的6.2.5也有要求，但IEC 82304-1的范围是健康软件产品，所以还增加了标识与附属文件的维护要求。对于健康软件产品生命周期的最后一步，退市与处置也明确提出了要求。目前各国针对信息安全与隐私都在制定或已发布相关的法规要求，一旦违反，相关组织会面临严厉制裁，而大部分健康软件产品在使用过程中不可避免的会记录一些个人与健康数据，如何安全的处理这些数据，安全销毁或者是迁移到新的系统，是负责任组织需要考虑的。这些数据的处理办法也需要制造商在附属文件中明确描述。

5.为什么使用IEC 82304-1

对于医用电气设备（含硬件组成的医疗器械）制造商与监管方均会参考通标IEC 60601-1。IEC 60601-1除第14章可编程医用电器系统（PEMS）引进了过程要求，其他各章节都可以通过检查、检测医用电气设备相应组成部分进行安全有效性评价。但这种方式对于医疗器械独立软件并不适用，这是因为软件与硬件的特性有非常大的不同。软件相对硬件更复杂，对于稍微有点规模的软件，如果想简单的通过测试检查软件所有可能的执行路径，这几乎不可能，所以不能仅仅通过测试来衡量软件的安全与有效性。另外，对于软件运行过程中出现的问题，绝大多数都是由于软件自身的设计造成，软件本身并不会因为磨损而导致运行失败。最后，软件更改相比硬件灵活性更强，表现为软件的经常性升级，针对这些升级所做的修改很可能会引入其他新的问题。所以对软件安全与有效性的评价，主要是要借助软件工程有关的概念来对软件的生命周期进行系统性的评价。IEC 62304与IEC 82304-1标准都参考了软件工程标准ISO/IEC 12207:2008[29]，IEC 62304是一个纯面向过程的标准，而IEC 82304-1针对健康软件产品又增加了一些其他过程要求。正因为如此，对于医疗器械独立软件，IEC 82304-1地位相当于通标IEC 60601-1，如图5所示。IEC 82304-1的转化可以更全面的指导国内制造商开发高质量的医疗器械独立软件，并使制造商实际开发过程与监管要求实现统一。

对于医疗器械独立软件，就如IEC 60601-1与IEC 62304那样，IEC 82304-1也可以强制要求制造商使用ISO 14971进行风险管理，使用IEC 62366-1进行可用性工程，已和含硬件组成的医疗器械要求保持一致。另外，IEC 82304-1中大部分过程都对预期用于IT网络情况的健康软件产品应该提供的支持、信息安全与隐私提出了要求。虽然CFDA，FDA都有相应网络安全相关的指导文件，但均比较分散，没有和软件产品的生命周期过程描述相结合。应用IEC 82304-1标准，可有利于解决：①当前普遍制造商对独立软件联网使用支持不足；②临床使用时对来自于联网使用风险考虑不足；③与网络中其他设备、软件存在的兼容性问题；④缺乏有效的信息安全方面的保护能力。

为了应对信息技术的发展与普及给医疗健康服务带来的新机遇与挑战，为了解决更广泛的健康软件安全问题，ISO TC215与IEC 62A联合工作组JWG7（联合工作组名称：包含医疗器械的安全、有效、信息安全的健康软件与健康IT系统）对健康软件与健康IT系统安全标准的架构/框架进行了重新定义，如图6。新的标准架构涵盖了健康软件从设计与开发、部署、临床应用到退市整个产品生命周期过程。IEC 82304-1正是由JWG7在这个大背景下开发出来的。目前JWG7还负责IEC 62304第二版的开发，目前已经进行到CD2阶段，预期2019年发布。该工作组已出版标准包括IEC 80001-1，风险管理在包含医疗器械的IT网络中的应用——第一部分：角色，责任与活动；以及IEC 80001-2-X系列，该系列是针对IEC 80001-1如何应用的技术报告。在新的标准框架下，IEC 80001系列标准也在重新修订中。国内目前已经转化IEC 62304:2006，对IEC 82304-1的转化，有利于国内医疗器械软件标准与国际标准体系接轨。

图5. 医用电气设备与健康软件产品标准关系

图6. 健康软件与健康IT系统安全标准的架构/框架

6.总结

IEC 82304-1是针对健康软件产品的一个通用标准，该标准的转化有利于完善国内关于医疗器械软件标准体系，与国际保持接轨，更全面的指导国内制造商开发高质量的医疗器械独立软件，并使制造商实际开发过程与监管要求实现统一。

[1]医疗器械软件注册技术审查指导原则[Z].国家食品药品监督管理总局,2015-8-5.

[2]FDA.Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices[Z].2005-05-11.

[3]FDA.General Principles of Software Validation - Final Guidance for Industry and FDA Staff[Z].2002-01-11.

[4]FDA.Content of Premarket Submissions for Management of Cybersecurity in Medical Devices-Guidance for Industry and Food and Drug Administration Staff[Z].2014-10-02.

[5]FDA.Mobile Medical Applications-Guidance for Industry and Food and Drug Administration Staff[Z].2015-2-9.

[6]IEC 62304:2006,Medical device software-Software life cycle processes[S].2006-05.https://www.iso.org/obp/ui/#iso:std:iec:62304:ed-1:v1:en.

[7]IEC 62304 AMD1:2015,Medical device software-Software life cycle processes[S].2015-06.

[8]AAMI TIR57:2016,Principles for medical device security-Risk management[S].2015.

[9]国家药品监督管理局.医疗器械分类目录[Z].2002-08-28.http://www.sda.gov.cn/WS01/CL0055/9891.html.

[10]国家食品药品监督管理总局.关于医疗器械软件注册申报基本要求的说明[Z].2012-04-28.http://www.cmde.org.cn/CL0030/1882.html.

[11]国家食品药品监督管理总局.医疗器械网络安全注册技术审查指导原则[Z].2017-01-20.http://www.sda.gov.cn/WS01/CL0087/169202.html.

[12]YY/T 0664-2008[S].医疗器械软件 软件生存周期过程.

[13]IEC 60601-1:2005[S].Medical electrical equipment–Part 1:General requirements for basic safety and essential performance IEC 60601-1:2005/AMD1:2012.

[14]IEC 82304-1:2016[S].Health Software - Part1:General requirements for product safety.

[15]ISO 14971:2007[S].Medical devices–Application of risk management to medical devices.

[16]YY/T 0316-2008.医疗器械风险管理对医疗器械的应用[S].2008.

[17]IEC 62366-1:2015.Medical devices–Application of usability engineering to medical devices[S].2015.

[18]YY/T 1474-2016.医疗器械可用性工程对医疗器械的应用[S].2016.

[19]IEC80001-1:2010[S].Application of risk management for IT-networks incorporating medical devices-Part 1:Roles,responsibilities and activities.2010.

[20]IEC/TR 80001-2-1:2012[S].Application of risk management for IT-networks.incorporating medical devices-Part 2-1:Step-by-step risk management of medical IT-networks–Practical applications and examples.2012.

[21]IEC/TR 80001-2-2:2012[S].Application of risk management for IT-networks incorporating medical devices-Part 2-2:Guidance for the disclosure and communication of medical device security needs,risks and controls.2012.

[22]IEC/TR 80001-2-3:2012[S].Application of risk management for IT-networks incorporating medical devices-Part 2-3:Guidance for wireless networks.2012.

[23]IEC/TR 80001-2-4:2012[S].Application of risk management for IT-networks incorporating medical devices-Part 2-4:Application guidance-General implementation guidance for healthcare delivery organizations.2012.

[24]IEC TR 80001-2-5:2014[S].Application of risk management for IT-networks incorporating medical devices–Part 2-5:Application guidance–Guidance on distributed alarm systems.2014.

[25]IEC/TR 80001-2-6:2014[S].Application of risk management for IT-networks incorporating medical device—Part 2-6:Application guidance—Guidance for responsibility agreements.2014.

[26]IEC/TR 80001-2-7:2015[S].Application of risk management for IT-networks incorporating medical devices—Application guidance—Part 2-7:Guidance for Healthcare Delivery Organizations (HDOs) on how to self assess their conformance with IEC 80001-1.2015.

[27]IEC/TR 80001-2-8:2015[S].Application of risk management for IT networks incorporating medical devices–Part 2-8:Application guidance–Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2.2015.

[28]IEC/TR 80001-2-9:2016[S].Application of risk management for IT networks incorporating medical devices–Part 2-9:Application guidance- Guidance for use of security assurance cases to demonstrate confidence in IEC/TR 80001-2-2 security capabilities.2016.

[29]ISO/IEC 12207:2008[S].Systems and software engineering–Software life cycle processes.2008.