医疗器械安全最佳实践

创提信息
2022/11/30

分享到

全球各地对医疗器械安全的担忧与日俱增。在美国,由于连接设备的数量不断增加,以及网络攻击对患者的护理造成的破坏力,导致新的立法正在出台。
 
2022年6月8日,美国众议院通过了H.R.7667号法案,该法案旨在解决医疗器械的网络安全问题,只有几项除外,该法案旨在阐明什么应当被认为是“合理的”医疗器械安全。


在这里,我们将讨论医疗器械安全H.R.7667号法案包括哪些内容,以及您可以为此做些什么准备。
 
     • 什么是H.R.7667号法案?
 
     • 该法案如何影响医疗器械软件开发人员?
 
     • 如何准备:FDA网络安全指南
 
     • 如何准备:医疗器械标准和准则


什么是H.R.7667号法案?
 
H.R.7667号法案包括针对确保网络医疗器械整个生命周期的网络安全的要求,网络医疗器械的定义如下:
 
    • 包括软件,比如本身就是软件或运行在设备中的软件。
 
    • 具备联网功能。
 
    • 包含可能易受网络安全威胁攻击的任何此类技术特征。


该法案如何影响医疗器械软件开发人员?
 
该法案明确规定,医疗器械制造商必须至少做到如下几点:
 
    • 制定计划,在合理的时间内适当地监测、识别和处理上市后的网络安全漏洞,包括协调一致的漏洞披露和程序。
 
    • 设计、开发并维护流程和程序,以确保设备和相关系统的网络安全。
 
    • 在网络设备和相关系统的整个生命周期内提供更新和补丁。
 
    • 在网络设备标签中提供软件组成清单。
 
    • 需要遵守H.R.7667号法案的要求,从而证明出于网络安全的目的对设备的安全性和有效性所作的合理的保障。


如何为该法案做准备:医疗器械安全最佳实践
 
为了有效地为该医疗器械安全H.R.7667号法案做准备,您应当采取以下最佳实践。


FDA网络安全指南
 
FDA网络安全指南概述了如何保持医疗器械的安全并帮助满足许可要求。该指南在如下方面提供了指导:
 
    • 提供与设计控制相关的文档,其中必须包括设计验证、软件验证和风险分析的文档。
 
    • 确保输入的数据符合所需的规格,并且在传输或静止时无法修改。
 
    • 使用行业接受的最佳实践,因为这些最佳实践能够在医疗器械代码执行的同时,维护和验证代码的完整性。
 
    • 设计医疗器械以检测和响应网络安全风险,包括网络安全更新、补丁和应急方案。
 
    • 实现医疗器械功能,即使医疗器械的网络安全受到威胁,也能保护关键功能和数据。
 
除了上述指南之外,您还必须使用基于风险的开发策略。根据上述指南,医疗器械分为两类:
 
    • 1类:连接设备,如果它们被破坏,可能会极大地影响患者的健康。这些设备面临的网络安全威胁风险更高。
 
    • 2类:这些设备存在标准的网络安全风险,包括所有其他不能归为1类的设备。
 
无论如何,对于这两类医疗器械,您都需要完成以下任务:
 
    • 进行全面的风险评估,找出软件安全漏洞。
 
    • 了解每个漏洞可能对医疗器械和患者产生的潜在影响。
 
    • 处理软件安全漏洞。
 
    • 使用设计控制来确保安全性。
 
    • 确立数据完整性需求。
 
通过遵循基于风险的实践,您可以在风险出现时更有效地处理风险,而不是在发布后花费更多的成本修复风险。
 
有关FDA网络安全指南的更多信息,请访问FDA CYBERSECURITY


医疗器械标准和准则
 
医疗器械开发在全球范围内受到高度监管,其中包括几个关键的监管标准:
 
    • ISO 13485是规定医疗器械质量管理要求的监管标准。
 
    • ISO 14971是针对医疗器械的风险管理监管标准。
 
    • FDA法规是满足医疗器械合规性的美国标准。
 
    • 《欧盟医疗器械法规》 (EU Medical Device Regulation) 是一项欧盟标准,取代了《医疗器械指令》(Medical Devices Directive),后者涵盖供人使用的医疗器械的临床调查和销售。
 
然而,医疗器械软件最相关、最基本的国际标准是《IEC 62304:医疗器械软件——软件生命周期过程》,适用于医疗器械软件的开发和维护,可以提供确保安全性的流程、活动和任务。
 
该标准包括软件安全分类,以确定需要遵循的安全相关流程。这影响到了整个软件的开发生命周期。
 
医疗器械软件有三种安全级别:
 
    1. A级:不可能对健康造成伤害或损害。
 
    2. B级:可能造成伤害,但不严重。
 
    3. C级:可能造成死亡或严重的伤害。
 
符合IEC 62304是必要的,因为IEC 62304可以满足其他地区标准的要求。例如,FDA接受符合IEC 62304的证明作为监管程序已经完成的证据。
 
此外,MISRA还经常用于医疗器械嵌入式软件的开发。这有助于满足IEC 62304中定义的软件验收标准。


静态分析如何支持医疗器械安全
 
有效地确保您的医疗器械软件合规和安全的最简单的方法之一是使用行业标准化的工具——特别是静态分析工具。
 
通过使用静态分析工具,如Helix QACKlocwork,您可以提高软件质量,加速满足合规,并确保实现安全性,包括:
 
    • 执行编码标准和准则,包括IEC 62304, CERT和MISRA。
 
    • 在开发的早期检测代码漏洞、合规问题和违规情况。
 
    • 加速代码评审和手动测试工作。
 
    • 生成随时间推移和跨产品版本的合规性报告。
 
此外,Helix QACKlocwork都通过用于安全关键系统的TÜV-SÜD认证,包括IEC 62304,最高可达Software Safety C级。
 
如果您准备亲自体验Perforce静态分析工具如何帮助确保您的医疗器械软件是兼容和安全的,立刻注册申请7天的免费试用吧。