医疗设备安全软件的10项前提

　　
图2 一台医疗监测设备系统级故障树细节

　　在图2所示的医疗监测设备系统级故障树中，使用的贝叶斯网络，可以天衣无缝地地融入采用贝叶斯技术的安全案例之中。

　　要证明我们的系统满足其安全要求，我们必须采用包括测试在内的多种手段：

　　静态分析­——受到包括FDA在内的多家机构的推荐，静态分析对于定位可疑代码十分有价值。它包含针对编码标准的语法检查、故障概率估计、针对代码指令的正确验证，以及符号执行（静态/动态混合）。

　　实地使用和曾用数据——对建立可靠性指标至关重要，使用时间和该段时间内的故障情况的搜集应该贯穿整个产品生命周期：样本越多，我们对提出的指标也就越有信心。

　　故障输入——故意输入故障既可以检验用来处理错误检测的代码，还可以帮助预估剩余故障的数目。和随机测试分析一样，故障输入的结果需要细致的统计分析。

　　形式化和半形式化的设计验证——传统上是在执行前完成，设计验证也可回顾性执行。

　　7、COTS和SOUP

　　无论是COTS，甚或是SOUP，只要这个部件有足够证据来支持系统的整体安全案例，就可以采用。

　　建立一个安全软件系统的最佳途径通常不是完全自力更生，因为这样所承担的风险要比建立一个采用选定COTS（commercial off-the-shelf，商业成品）零部件的系统要大。建立操作系统、通信栈和数据库需要专门的知识，而相应的COTS也许会有上千万小时的使用历史优势。

　　虽然如此，对医疗设备开发者来说，COTS软件通常是SOUP（software of uncertain provenance，不确定出处软件），因而应该谨慎对待。IEC 61508和IEC 62304都假定SOUP会被用到。关键在于要有充足的可靠证据来量化SOUP对系统安全指标的影响。

　　这些证据将包括在实地使用数据、故障历史记录和其他历史数据。我们应该要求获得源代码和测试计划，这样可以利用静态代码分析工具来检验软件。供应商还应该提供用来构建软件的详细流程，或者是外部审核员的声明，肯定这些流程适用于IEC 62304设备。

　　8、经认证的零部件及其供应商

　　具备安全认证的零部件，比如通过IEC 61508认证的操作系统，可以加速开发和验证，有助于加快审准步伐。

　　如果使用COTS，采用获得相关批准的零部件很有帮助。诸如FDA、MHAR、加拿大卫生部以及其他国家的同等部门的组织所审批的不是这些零部件，而且面向市场的整个系统或设备；即便如此，获得类似IEC 61508或IEC 62304认证的零部件可以简化审批流程，缩短上市时间。

　　要获得认证，a）这些零部件必须在一个流程和质量管理都到位的环境中进行开发，b）它们必须经过合理的测试和验证，c） COTS软件供应商必须提供所有必要的文档，来支持最终设备获得批准。

　　9、审