ГОСТ Р МЭК 60601-1-2022. Национальный стандарт Российской Федерации. Изделия медицинские электрические. Часть 1. Общие требования безопасности с учетом основных функциональных характеристик

14* Программируемые электрические медицинские системы (ПЭМС)

 

14.1* Общие положения

Требования 14.2 - 14.12 (включительно) должны применяться к ПЭМС, если:

- ни одна из ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ ПОДСИСТЕМ (ПЭПС) не обеспечивает функциональность, необходимую для ОСНОВНОЙ БЕЗОПАСНОСТИ или ОСНОВНЫХ ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК, или

- применение МЕНЕДЖМЕНТА РИСКА, как описано в 4.2, показывает, что выход из строя любой ПЭПС не приводит к недопустимому РИСКУ.

Требования 14.3 применимы к любой ПЭМС, предназначенной для подключения к ИТ-СЕТИ, независимо от того, применяются ли требования, изложенные в 14.2 - 14.12.

Примечание 1 - Данный пункт требует, чтобы ПРОЦЕССУ следовали в течение всего ЖИЗНЕННОГО ЦИКЛА РАЗРАБОТКИ ПЭМС и чтобы была подготовлена ЗАПИСЬ об этом ПРОЦЕССЕ. Концепции МЕНЕДЖМЕНТА РИСКА и ЖИЗНЕННОГО ЦИКЛА РАЗРАБОТКИ ПЭМС могут служить основой для этого ПРОЦЕССА, однако поскольку ПРОЦЕСС МЕНЕДЖМЕНТА РИСКА уже требуется согласно настоящему стандарту, то в этом пункте будут определены лишь минимальные элементы ЖИЗНЕННОГО ЦИКЛА РАЗРАБОТКИ ПЭМС и только те дополнительные элементы, которые нужно рассматривать как часть ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА (см. 4.2) для ПЭМС.

Примечание 2 - Если мера по УПРАВЛЕНИЮ РИСКОМ осуществляется в рамках ПЭПС, то необходимо применить требования пункта 14 для демонстрации того, что неисправность ПЭПС не приводит к недопустимому РИСКУ.

Примечание 3 - Установлено, что ИЗГОТОВИТЕЛЬ может не иметь возможности следовать всем ПРОЦЕССАМ, указанным в пункте 14 для каждого компонента ПЭМС - программного обеспечения неизвестного происхождения (ПОНП), подсистемы немедицинского назначения и заимствованного стандартного устройства. В этом случае ИЗГОТОВИТЕЛЬ должен уделить особое внимание необходимости дополнительных мероприятий для УПРАВЛЕНИЯ РИСКОМ. ПОНП определено в МЭК 62304:2006/AMD1:2015 как "программный элемент, который уже разработан и общедоступен, но не был предназначен для включения в состав медицинского изделия (также известен как "готовое программное обеспечение") или программное обеспечение, разработанное ранее, для которого недоступны требуемые ЗАПИСИ ПРОЦЕССОВ разработки".

 

Соответствие определяют рассмотрением всей требуемой документации и, когда это необходимо, оценкой требований 14.2 - 14.13 (включительно).

Примечание 4 - Эти оценки могут выполняться путем внутренней проверки.

 

Если требования 14.2 - 14.13 применяются, то требования, предусмотренные в подпункте 4.3, пунктах 5, 7, 8 и 9 МЭК 62304:2006 и МЭК 62304:2006/AMD1:2015, также необходимо применять к разработке или модификации программного обеспечения для каждого ПЭПС.

Соответствие определяют рассмотрением и оценкой в соответствии с требованиями подпункта 1.4 МЭК 62304:2006 и МЭК 62304:2006/AMD1:2015.

Примечание 5 - ПРОЦЕСС разработки программного обеспечения, необходимый для соответствия требованиям настоящего стандарта, не содержит постпроизводство, мониторинг и обслуживание, требуемые пунктом 6 МЭК 62304:2006 и МЭК 62304:2006/AMD1:2015.

 

14.2* Документирование

Документы, требуемые в соответствии с пунктом 14, необходимо рассматривать, утверждать, выпускать и изменять в соответствии с документированной ПРОЦЕДУРОЙ управления документацией.

14.3* План МЕНЕДЖМЕНТА РИСКА

План МЕНЕДЖМЕНТА РИСКА, требуемый согласно 4.2.2, должен также включать ссылку на план ПРОВЕРКИ СООТВЕТСТВИЯ ПЭМС (см. 14.11).

14.4* ЖИЗНЕННЫЙ ЦИКЛ РАЗРАБОТКИ ПЭМС

ЖИЗНЕННЫЙ ЦИКЛ РАЗРАБОТКИ ПЭМС должен быть документально оформлен.

Примечание - В пункте H.2 приведены более подробные сведения о ЖИЗНЕННОМ ЦИКЛЕ РАЗРАБОТКИ ПЭМС.

 

ЖИЗНЕННЫЙ ЦИКЛ РАЗРАБОТКИ ПЭМС должен состоять из набора определенных этапов.

На каждом этапе должны определяться работы, которые должны быть завершены, а также методы ВЕРИФИКАЦИИ, которые необходимо применять в отношении этих работ.

Каждую работу необходимо определять с указанием входных и выходных характеристик.

На каждом этапе должны определяться работы по МЕНЕДЖМЕНТУ РИСКА, которые необходимо завершить перед этим этапом.

ЖИЗНЕННЫЙ ЦИКЛ РАЗРАБОТКИ ПЭМС необходимо составлять для каждой разработки путем создания планов, в которых уточняются работы и этапы их выполнения.

ЖИЗНЕННЫЙ ЦИКЛ РАЗРАБОТКИ ПЭМС должен также включать требования к документации.

14.5* Решение проблем

Когда это целесообразно, необходимо разрабатывать и поддерживать зарегистрированную систему решения проблем, возникающих на каждом этапе (и между ними) ЖИЗНЕННОГО ЦИКЛА РАЗРАБОТКИ ПЭМС.

В зависимости от типа изделия система решения проблем может:

- регистрироваться как часть ЖИЗНЕННОГО ЦИКЛА РАЗРАБОТКИ ПЭМС;

- позволять уведомлять о потенциальных или возникающих проблемах, затрагивающих ОСНОВНУЮ БЕЗОПАСНОСТЬ или ОСНОВНЫЕ ФУНКЦИОНАЛЬНЫЕ ХАРАКТЕРИСТИКИ ПЭМС;

- включать оценку каждой проблемы с точки зрения связанных с ней РИСКОВ;

- определять критерии завершения решения проблем;

- определять работы, которые необходимо выполнять для решения каждой проблемы.

14.6 ПРОЦЕСС МЕНЕДЖМЕНТА РИСКА

14.6.1* Идентификация известных и прогнозируемых ОПАСНОСТЕЙ

При составлении перечня известных или прогнозируемых ОПАСНОСТЕЙ ИЗГОТОВИТЕЛЬ должен учитывать те из них, которые связаны с программным обеспечением и особенностями аппаратных средств ПЭМС, включая связанные с совмещением ПЭМС с ИТ-СЕТЬЮ, компонентами сторонних изготовителей и стандартными подсистемами.

Примечание - В дополнение к материалу, приведенному в приложении C ИСО 14971:2019, перечень возможных причин возникновения ОПАСНОСТЕЙ, связанных с ПЭМС, может также содержать:

- наличие нежелательной обратной связи (физической и информационной), которая может включать некорректные входные данные, входные данные с параметрами, выходящими за пределы допустимого диапазона, противоречивые входные данные или входные данные, искаженные под действием электромагнитных помех;

- недоступность данных;

- недостаточную согласованность данных;

- некорректность данных;

- неправильную временную последовательность данных;

- непредусмотренные взаимодействия в рамках одной ПЭПС и между различными ПЭПС;

- неизвестные аспекты или качество программного обеспечения сторонних организаций;

- неизвестные аспекты или качество ПЭПС сторонних организаций;

- недостаточную защищенность данных, включая влияние на конфиденциальность данных, особенно их чувствительность к постороннему вмешательству и непредусмотренному взаимодействию с другими программами и вирусами;

- неисправность ИТ-СЕТИ, передающей характеристики, необходимые ПЭМС для достижения ОСНОВНОЙ БЕЗОПАСНОСТИ или ОСНОВНЫХ ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК. См. примеры в H.7.2 приложения H.

 

14.6.2* УПРАВЛЕНИЕ РИСКОМ

Нижеследующие требования к ПЭМС дополняют требования 4.2.2.

Для выполнения каждого мероприятия по УПРАВЛЕНИЮ РИСКОМ необходимо выбирать и идентифицировать соответствующим образом обоснованные методы и ПРОЦЕДУРЫ. Эти методы и ПРОЦЕДУРЫ должны быть пригодны для гарантии того, что каждое мероприятие по УПРАВЛЕНИЮ РИСКОМ уменьшает идентифицированные РИСК(И) в достаточной степени.

14.7* Перечень требований

Для любой ПЭМС и каждой из ее подсистем (например, для ПЭПС) должен быть разработан и задокументирован перечень требований.

Примечание - Примеры структуры ПЭМС приведены в H.1.

 

Перечень требований к системе или подсистеме должен включать и характеризовать все ОСНОВНЫЕ ФУНКЦИОНАЛЬНЫЕ ХАРАКТЕРИСТИКИ и все мероприятия по УПРАВЛЕНИЮ РИСКОМ, реализуемые в этой системе или подсистеме.

14.8* Структура

Для любой ПЭМС и каждой из ее подсистем должна быть определена структура, удовлетворяющая перечню требований.

Когда это целесообразно для снижения РИСКА до допустимого уровня, в требованиях к структуре ПЭМС необходимо использовать:

a) КОМПОНЕНТЫ С ВЫСОКОЙ СТЕПЕНЬЮ НАДЕЖНОСТИ;

b) устойчивые к отказам функции;

c) избыточность;

d) диверсификацию;

e)* разделение функций;

f) защищенную структуру, служащую, например, для ограничения представляющих потенциальную ОПАСНОСТЬ эффектов путем ограничения допускаемой выходной мощности или введения устройств, ограничивающих свободный ход исполнительных устройств.

Структура ПЭМС должна также учитывать:

g)* распределение мероприятий по УПРАВЛЕНИЮ РИСКОМ в подсистемах и компонентах ПЭМС.

Примечание - Подсистемы и компоненты включают датчики, исполнительные устройства, ПЭПС и интерфейсы;

 

h) режимы (состояния) отказов компонентов и их последствия;

i) неспецифические отказы;

j) систематические отказы;

k) период проведения испытания или диагностики;

l) ремонтопригодность;

m) защиту от прогнозируемых ошибок в применении;

n) если применимо, требования к ИТ-СЕТИ.

14.9* Проектирование и реализация ПЭМС

Когда это целесообразно, проектирование необходимо проводить для отдельных подсистем, каждая из которых должна иметь собственные требования к разработке и требования к испытаниям.

Пояснения относительно условий проектирования должны быть задокументированы.

Примечание - Для ознакомления с примерами условий проектирования см. H.4 a).

 

14.10* ВЕРИФИКАЦИЯ

ВЕРИФИКАЦИЯ требуется для всех функций, которые обеспечивают ОСНОВНУЮ БЕЗОПАСНОСТЬ, ОСНОВНЫЕ ФУНКЦИОНАЛЬНЫЕ ХАРАКТЕРИСТИКИ или УПРАВЛЕНИЕ РИСКОМ.

План ВЕРИФИКАЦИИ должен формироваться для указания способов проверки этих функций и включать:

- указания о том, на каком этапе (этапах) каждая функция должна проходить ВЕРИФИКАЦИЮ;

- выбор и документирование принципов, мероприятий, методов и соответствующего уровня независимости персонала, выполняющего ВЕРИФИКАЦИЮ;

- выбор и использование методов ВЕРИФИКАЦИИ;

- критерии ВЕРИФИКАЦИИ.

Примечание - Примеры методов и способов ВЕРИФИКАЦИИ:

- контрольные прогоны;

- выборочные проверки;

- статический анализ;

- динамический анализ;

- испытание по типу "белый ящик";

- испытание по типу "черный ящик";

- статистическое испытание.

 

ВЕРИФИКАЦИЮ необходимо выполнять в соответствии с планом ВЕРИФИКАЦИИ, а ее результаты - документировать.

14.11* ПРОВЕРКА СООТВЕТСТВИЯ (ВАЛИДАЦИЯ) ПЭМС

План ПРОВЕРКИ СООТВЕТСТВИЯ (ВАЛИДАЦИИ) ПЭМС должен включать проверку ОСНОВНОЙ БЕЗОПАСНОСТИ и ОСНОВНЫХ ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК.

Методы, используемые для ПРОВЕРКИ СООТВЕТСТВИЯ (ВАЛИДАЦИИ), должны быть задокументированы.

ПРОВЕРКУ СООТВЕТСТВИЯ (ВАЛИДАЦИЮ) ПЭМС необходимо выполнять в соответствии с планом ВАЛИДАЦИИ, а ее результаты - документировать.

Лицо, несущее основную ответственность за ПРОВЕРКУ СООТВЕТСТВИЯ (ВАЛИДАЦИЮ) ПЭМС, должно быть независимым от коллектива разработчиков ПЭМС. ИЗГОТОВИТЕЛЬ должен задокументировать обоснование уровня его независимости.

Никакой член коллектива разработчиков ПЭМС не должен нести ответственность за процесс ПРОВЕРКИ СООТВЕТСТВИЯ ПЭМС их собственного проекта.

Все профессиональные взаимодействия между членами коллектива, выполняющего работы по ПРОВЕРКЕ СООТВЕТСТВИЯ (ВАЛИДАЦИИ) ПЭМС, и членами коллектива разработчиков ПЭМС необходимо регистрировать в ФАЙЛЕ МЕНЕДЖМЕНТА РИСКА.

14.12* Модификация

Если часть или весь существующий проект является модификацией более раннего проекта, то к нему следует либо применять требования всего настоящего пункта так, как если бы эта модификация была новым проектом, либо с помощью задокументированной ПРОЦЕДУРЫ модификации в процессе внесения изменений оценивать возможность дальнейшего использования предыдущей проектной документации.

В случае если происходит модификация программного обеспечения, требования, изложенные в подпунктах 4.3 и 4.4, а также в пунктах 5, 7, 8 и 9 МЭК 62304:2006 и МЭК 62304:2006/AMD1:2015, также необходимо применять к модифицированному программному обеспечению.

14.13* ПЭМС, предназначенная для совмещения с ИТ-СЕТЬЮ

Если ПЭМС предназначена для совмещения с ИТ-СЕТЬЮ, которая не была валидирована ИЗГОТОВИТЕЛЕМ ПЭМС, то ИЗГОТОВИТЕЛЬ должен предоставить необходимые инструкции для выполнения такого соединения, включая следующие:

a) цель подключения ПЭМС к ИТ-СЕТИ;

b) необходимые характеристики ИТ-СЕТИ, совмещенной с ПЭМС;

c) необходимую конфигурацию ИТ-СЕТИ, совмещенной с ПЭМС;

d) технические характеристики сетевого подключения ПЭМС, включая спецификации защиты;

e) предполагаемый поток данных между ПЭМС, ИТ-СЕТЬЮ и другими устройствами в ИТ-СЕТИ и предполагаемую маршрутизацию через ИТ-СЕТЬ, а также

Примечание 1 - Это может включать аспекты эффективности и безопасности данных и системы в отношении ОСНОВНОЙ БЕЗОПАСНОСТИ и ОСНОВНЫХ ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК (см. также пункт H.6 и МЭК 80001-1:2010).

 

f) перечень ОПАСНЫХ СИТУАЦИЙ, возникающих в результате неисправности ИТ-СЕТИ, с целью предоставления характеристик, необходимых для подключения ПЭМС к ИТ-СЕТИ.

Примечание 2 - Подключение ПЭМС к другому оборудованию для передачи данных создает двухузловую ИТ-СЕТЬ. Например, подключение ПЭМС к принтеру создает ИТ-СЕТЬ. Если ИЗГОТОВИТЕЛЬ проверил работу ПЭМС с принтером, созданную сеть будет контролировать ИЗГОТОВИТЕЛЬ.

 

Соответствие требованиям устанавливают путем проверки инструкций.

В ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТАХ ИЗГОТОВИТЕЛЬ должен дать указания ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ касательно того, что:

- подключение ПЭМС к ИТ-СЕТИ, которая включает другие изделия, может привести к возникновению ранее не установленных РИСКОВ для ПАЦИЕНТОВ, ОПЕРАТОРОВ или третьих лиц;

- ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ следует выявлять, анализировать, оценивать и контролировать эти РИСКИ.

Примечание 3 - МЭК 80001-1:2010 содержит рекомендации для ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ для устранения этих РИСКОВ;

 

- последующие изменения в ИТ-СЕТИ могут вносить новые РИСКИ, и для них необходимо провести дополнительный анализ; а также

- изменения в ИТ-СЕТИ включают:

- изменения в конфигурации ИТ-СЕТИ;

- подключение дополнительных элементов к ИТ-СЕТИ;

- отключение элементов от ИТ-СЕТИ;

- обновление оборудования, подключенного к ИТ-СЕТИ, а также

- модернизацию оборудования, подключенного к ИТ-СЕТИ.

Соответствие проверяют рассмотрением ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ.