IMDRF/SaMD WG/N81 FINAL: 2025
醫療器材軟體和軟體特定風險的特徵化考量事項
(見前篇)© All Rights reserved。 版權聲明。CC BY-SA 4。0。
5. Medical Device Software Risk Characterization 醫療器材軟體風險特徵化
識別和估計醫療器材軟體特定風險可能會引發特有的問題,和其他醫療器材相比顯得較不尋常。如 ISO 14971 提出的風險管理方法,通常將風險特徵化為傷害發生機率和傷害嚴重程度的組合。然而,傷害可以是直接的,也可以是間接的,全面地識別特定於軟體可能造成多大的傷害相當有挑戰性,因為軟體本身可能不會造成「實體性」危害,而傷害通常係歸因到此類顯然可見的危害。同樣重要的是須考慮軟體何時會造成實體傷害,例如:當自主型器材提供的輸出衝擊後續的臨床措施或決定時,並無任何使用者干預;例如:軟體自動地控制輸送給病患的物質。
評估軟體特定對可能傷害的貢獻可能需要解釋主要涉及性能相關的危險「註2:參見ISO 14971:2019 醫療器材 – 風險管理在醫療器材中的應用」(參見「醫療器材風險管理邁步走」的介紹),或者更具體地說,重要的是與資訊相關的危險,且了解相關風險與對器材預期用途/預期目的和特定實施甚為重要。換句話說,在評鑑醫療器材軟體的風險時,理解與資訊相關的危險情況做出的貢獻非常重要,這與軟體功能性在實現預期醫療目的中的角色作用密切相關。該等危險情況通常可以通過 ISO 14971 中描述的「與性能相關的危險」的觀察透鏡來理解,例如:與資料存取、可獲得性、完整性、交付和診斷資訊相關的危險,而不是能源、生物或化學危險。
對醫療器材軟體進行準確的特徵化,包括其預期用途、輸出類型、使用環境、自主性等特徵,既可以更全面地識別這些直接和間接傷害,也可以清楚地了解軟體特定傷害如何導致給定預期用途/預期目的所特有的風險。
雖然軟體相關的特定性能危險和風險未必涵蓋器材所有風險(例如:軟體可能向硬體執行器提供資料或產生輸入,進而導致實體危害),但清楚說明軟體的具體實施或解決方案對器材風險的可能衝擊仍屬重要。這是因為軟體可能直接或間接導致衝擊患者安全及器材有效性。
此外,重要的是須考慮到軟體特定危險通常處於安全和網路資安風險的交界處。因此,將與傷害相關的軟體特定考量事項視為【如何定義安全和網路資安傷害的組合】可能會有所幫助。換句話說,醫療器材軟體對傷害的特定考慮可以被視為使人們受傷或對健康的損害「註3:雖然 ISO 14971:2019 將《傷害》定義為【對人員健康的傷害或損害,或對財產或環境的損害】,但更具體地說,考慮傷害可能會有所幫助,因為它與【對人員健康的傷害或損害】有關,故在該指引中討論醫療器材安全。對患者傷害的狹義定義的最終效果是優先考慮對保護公眾健康所需的變更進行法規管制審查。」和降低有效性「註4:TIR57:2016/(R)2023 中將《損害》定義為 IEC 80001-1:2021 中所述的【人身傷害或對人員健康造成損害,或對財產或環境造成損害,或有效性降低或破壞資料和系統安全】。」 有關;其中【降低有效性】可能是由於以不適當的時間、速率或使用不適當的方法,向人類或產品提供的資料不充分、不正確或缺少資料。例如:向做決定的系統挹注不需要的或無意的偏差,無論它是否對患者造成直接傷害,都可以理解為有害地降低有效性。換句話說,特定軟體解決方案向做決定的系統挹注產生了負面衝擊。通常,可以視之為軟體的「間接傷害」,如上所述,將會對患者造成潛在的直接衝擊。
與軟體相關的性能相關危險(即特別是與資訊相關的危險)可能會衝擊其他產品或系統的功能、工作流程或流程的通知方式,並可能直接衝擊使用者做出決定(例如:軟體輸出不可接受之速率係為錯誤診斷的資訊)。因此,對這些主題進行協調討論有助於促進對這些器材以及它們如何衝擊跨法規管制管轄區的風險分類的一致和詳細的理解。
關鍵點:
要識別和特徵化軟體風險,包括與網路資安相關的各式風險,首先識別器材特性,然後詢問 為什麼 該特徵化對軟體的預期用途/預期目的很重要,然後根據蓄意的軟體設計決定和無意的軟體故障,以資識別可能出現的危險情況。然而,確保以這種方式探索器材特徵化不是在真空中進行的,並且仔細考慮軟體的相互依賴性以全面地描述醫療器材軟體的《風險特徵化》仍然很重要。
附錄 C 提供了與先前在第 4 節中確定的每個特徵特性一起考慮的問題。提供這些問題是為了幫助加深對「為什麼特徵化對軟體的預期用途/預期目的很重要」的理解,作為幫助識別可能與軟體設計和預期用途/預期目的相關的特定危險情況的一種手段。雖然並不全面,但這些問題旨在強調每個器材的獨特特徵化所提供的背景如何衝擊對特定軟體引入的潛在傷害的理解,從而影響醫療器材的整體風險。這些問題旨在幫助指導在引入風險控制/緩解措施之前徹底考慮醫療器材軟體可能引入的潛在傷害,並非所有問題都適用於每個醫療器材軟體或與之相關。
附錄 D 包括示例,說明回答附錄 C 中的問題如何幫助識別不同的特徵特性及其相互作用可能影響對特定醫療器材軟體引入的風險之理解。重要的是,識別這些對器材風險的「軟體特定」貢獻,旨在闡明為什麼用於特定醫療用途/目的之軟體可能會(或可能不會)改變多種數量架構下的器材風險分類。該指引的第 5.3 節進一步討論此等概念。
對於醫療器材軟體,風險管理需要識別與危險情況相關的潛在直接和間接危害,例如:軟體的錯誤輸出,然後評鑑該等危傷的嚴重程度,例如:縮短預期壽命、心理受傷、不適當或不必要的侵入性治療和/或試驗。雖然在估計風險時通常有助於考慮傷害概率,但對於定量估計軟體故障發生概率的方法尚未達成廣泛共識。此外,網路資安風險管理通常考慮漏洞的可利用性,而不是傷害發生的可能性;人們普遍認為,與軟體相關的傷害的機率可能會受到可使用性等因素的影響,因而使得估計風險更加困難「註5:參見參考標準如:IEC 62304, AAMI TIR57, AAMI TIR34971」。為此,在估計軟體特定風險時,將軟體故障的機率設定為《1》 會有所幫助,如果可能的話,亦可根據其他因素估計機率來執行估計風險。
附錄 C 的指導性問題有助於評估風險。這些問題透過了解軟體解決方案對醫療器材預期用途/預期目的之影響,協助辨識特定軟體相關危險並評估其潛在傷害的嚴重程度。
上述概念可應用於風險特徵化,例如依照 ISO 14971 進行風險評鑑,以判定由軟體相關的特定危險情境(如災難性、重大、嚴重、輕微、可忽略不計)所導致的直接或間接傷害之嚴重程度。確定傷害後,「軟體貢獻」的風險估算方法並非僅止於此。當需要在器材的不同階段考慮軟體以達成預期用途或目的時,須分析軟體是否可能成為造成特定傷害的單一故障點,若是,則需進一步討論其對風險估算及相關緩解措施的衝擊。
不同的司法管轄區可能有不同的理念和法律義務,從而形成不同的基於風險的分類。因此,第 5 節中提供的討論並在附錄 B 中進一步說明,旨在作為考慮和闡明特徵特性如何影響符合醫療器材定義的軟體風險的共同基礎,特別是通過相互依賴的因素的觀點,塑造對給定預期用途/預期目的之軟體特定風險的理解。換句話說,該指引旨在深入了解如何達到特定的軟體風險分類,而無需為任何給定器材規定某個《正確》和通用類別。如前所述,暫時排除其他複雜情況,軟體特定風險可能會對適用於給定器材的風險分類產生重大但並非排他性的影響。首先嘗試著,該文件可以作為討論關係到更廣泛的器材系統或法規管制結構中,醫療器材軟體風險的給定理解的基礎。
第 4.0 節和第 5.0 節中提出的考量事項可用於支持對醫療器材軟體及其風險的理解,並促進跨司法管轄區不同器材風險分類系統的解釋和應用。雖然該文件中描述的醫療器材軟體特徵化與評鑑估器材的風險有關,但重要的是,任何法規管制評鑑也必須考慮使用器材對健康的受益,並權衡受益於器材的因素對應到任何風險事項。
給定司法管轄區的器材分類最終將由主管機關、法律和法規決定。在可能的情況下,司法管轄區可以考慮將該文件中的協調語言和概念納入其當地指引或流程中,例如:將文件中的器材和風險特徵化語言與其標籤和風險管理期待內容或分類法規聯繫起來。
司法管轄區可能能夠利用特徵特性和屬性的子集,以及對醫療器材軟體風險及其嚴重性的評鑑,來描述其將風險分類應用於醫療器材軟體的方法。
這些概念旨在供利益相關者與其現有架構一起使用,以利決定提供額外的細節和闡述,最終促進和告知醫療器材軟體的清晰、一致和準確的特徵化。
(未完,見續篇)評估軟體特定對可能傷害的貢獻可能需要解釋主要涉及性能相關的危險「註2:參見ISO 14971:2019 醫療器材 – 風險管理在醫療器材中的應用」(參見「醫療器材風險管理邁步走」的介紹),或者更具體地說,重要的是與資訊相關的危險,且了解相關風險與對器材預期用途/預期目的和特定實施甚為重要。換句話說,在評鑑醫療器材軟體的風險時,理解與資訊相關的危險情況做出的貢獻非常重要,這與軟體功能性在實現預期醫療目的中的角色作用密切相關。該等危險情況通常可以通過 ISO 14971 中描述的「與性能相關的危險」的觀察透鏡來理解,例如:與資料存取、可獲得性、完整性、交付和診斷資訊相關的危險,而不是能源、生物或化學危險。
對醫療器材軟體進行準確的特徵化,包括其預期用途、輸出類型、使用環境、自主性等特徵,既可以更全面地識別這些直接和間接傷害,也可以清楚地了解軟體特定傷害如何導致給定預期用途/預期目的所特有的風險。
雖然軟體相關的特定性能危險和風險未必涵蓋器材所有風險(例如:軟體可能向硬體執行器提供資料或產生輸入,進而導致實體危害),但清楚說明軟體的具體實施或解決方案對器材風險的可能衝擊仍屬重要。這是因為軟體可能直接或間接導致衝擊患者安全及器材有效性。
此外,重要的是須考慮到軟體特定危險通常處於安全和網路資安風險的交界處。因此,將與傷害相關的軟體特定考量事項視為【如何定義安全和網路資安傷害的組合】可能會有所幫助。換句話說,醫療器材軟體對傷害的特定考慮可以被視為使人們受傷或對健康的損害「註3:雖然 ISO 14971:2019 將《傷害》定義為【對人員健康的傷害或損害,或對財產或環境的損害】,但更具體地說,考慮傷害可能會有所幫助,因為它與【對人員健康的傷害或損害】有關,故在該指引中討論醫療器材安全。對患者傷害的狹義定義的最終效果是優先考慮對保護公眾健康所需的變更進行法規管制審查。」和降低有效性「註4:TIR57:2016/(R)2023 中將《損害》定義為 IEC 80001-1:2021 中所述的【人身傷害或對人員健康造成損害,或對財產或環境造成損害,或有效性降低或破壞資料和系統安全】。」 有關;其中【降低有效性】可能是由於以不適當的時間、速率或使用不適當的方法,向人類或產品提供的資料不充分、不正確或缺少資料。例如:向做決定的系統挹注不需要的或無意的偏差,無論它是否對患者造成直接傷害,都可以理解為有害地降低有效性。換句話說,特定軟體解決方案向做決定的系統挹注產生了負面衝擊。通常,可以視之為軟體的「間接傷害」,如上所述,將會對患者造成潛在的直接衝擊。
與軟體相關的性能相關危險(即特別是與資訊相關的危險)可能會衝擊其他產品或系統的功能、工作流程或流程的通知方式,並可能直接衝擊使用者做出決定(例如:軟體輸出不可接受之速率係為錯誤診斷的資訊)。因此,對這些主題進行協調討論有助於促進對這些器材以及它們如何衝擊跨法規管制管轄區的風險分類的一致和詳細的理解。
關鍵點:
- 在評估軟體帶來的風險(資訊和/或基於實體的風險)時,直接和間接傷害都是需要考慮的重要因素。
- 當與軟體相關的危險是基於資訊的危險(例如:延遲、不適當或錯誤的資訊)時,在考慮間接傷害時,重要的是要將潛在傷害視為受傷或損害健康,抑或降低有效性。
- 與實施軟體相關的可能傷害和相關風險取決於器材的特定預期用途。
5.1. Identification and Analysis 識別與分析
風險評鑑和管理活動的成功取決於風險評鑑人員對醫療器材軟體的用途和預期應用的理解,以及醫療器材軟體的使用方式、地點、時間和由誰使用。考慮到該指引第 4 節中提供的資訊,醫療器材軟體的涵蓋整體的特徵化,為特定於軟體的風險特徵提供了必要的基礎。以下提供識別和考慮第 4 節中每個資訊分類群組中風險的方法,逐部分解,利於說明許多變數如何貢獻和相互作用,以形成對可能衝擊特定醫療器材軟體的獨特風險更全面地理解。要識別和特徵化軟體風險,包括與網路資安相關的各式風險,首先識別器材特性,然後詢問 為什麼 該特徵化對軟體的預期用途/預期目的很重要,然後根據蓄意的軟體設計決定和無意的軟體故障,以資識別可能出現的危險情況。然而,確保以這種方式探索器材特徵化不是在真空中進行的,並且仔細考慮軟體的相互依賴性以全面地描述醫療器材軟體的《風險特徵化》仍然很重要。
附錄 C 提供了與先前在第 4 節中確定的每個特徵特性一起考慮的問題。提供這些問題是為了幫助加深對「為什麼特徵化對軟體的預期用途/預期目的很重要」的理解,作為幫助識別可能與軟體設計和預期用途/預期目的相關的特定危險情況的一種手段。雖然並不全面,但這些問題旨在強調每個器材的獨特特徵化所提供的背景如何衝擊對特定軟體引入的潛在傷害的理解,從而影響醫療器材的整體風險。這些問題旨在幫助指導在引入風險控制/緩解措施之前徹底考慮醫療器材軟體可能引入的潛在傷害,並非所有問題都適用於每個醫療器材軟體或與之相關。
附錄 D 包括示例,說明回答附錄 C 中的問題如何幫助識別不同的特徵特性及其相互作用可能影響對特定醫療器材軟體引入的風險之理解。重要的是,識別這些對器材風險的「軟體特定」貢獻,旨在闡明為什麼用於特定醫療用途/目的之軟體可能會(或可能不會)改變多種數量架構下的器材風險分類。該指引的第 5.3 節進一步討論此等概念。
5.2. Estimation 估計
如上所述,風險管理方法(例如 ISO 14971 中提出的方法)通常將風險描述為傷害發生機率和傷害嚴重程度的組合。這些風險估計特性,以及該指引第 4 節中概述的醫療器材軟體特徵特性,對於評鑑和管理風險甚為重要。對於醫療器材軟體,風險管理需要識別與危險情況相關的潛在直接和間接危害,例如:軟體的錯誤輸出,然後評鑑該等危傷的嚴重程度,例如:縮短預期壽命、心理受傷、不適當或不必要的侵入性治療和/或試驗。雖然在估計風險時通常有助於考慮傷害概率,但對於定量估計軟體故障發生概率的方法尚未達成廣泛共識。此外,網路資安風險管理通常考慮漏洞的可利用性,而不是傷害發生的可能性;人們普遍認為,與軟體相關的傷害的機率可能會受到可使用性等因素的影響,因而使得估計風險更加困難「註5:參見參考標準如:IEC 62304, AAMI TIR57, AAMI TIR34971」。為此,在估計軟體特定風險時,將軟體故障的機率設定為《1》 會有所幫助,如果可能的話,亦可根據其他因素估計機率來執行估計風險。
附錄 C 的指導性問題有助於評估風險。這些問題透過了解軟體解決方案對醫療器材預期用途/預期目的之影響,協助辨識特定軟體相關危險並評估其潛在傷害的嚴重程度。
上述概念可應用於風險特徵化,例如依照 ISO 14971 進行風險評鑑,以判定由軟體相關的特定危險情境(如災難性、重大、嚴重、輕微、可忽略不計)所導致的直接或間接傷害之嚴重程度。確定傷害後,「軟體貢獻」的風險估算方法並非僅止於此。當需要在器材的不同階段考慮軟體以達成預期用途或目的時,須分析軟體是否可能成為造成特定傷害的單一故障點,若是,則需進一步討論其對風險估算及相關緩解措施的衝擊。
5.3. Approaches for Risk Categorization風險特徵化的做法
在生命週期的設計階段早期執行軟體風險特徵化非常重要。與該文件中討論的風險特徵化一樣,在實施醫療器材軟體的風險控制(而非僅止於剩餘風險)之前須進行風險分類。為任何一種類型的功能、疾病、干預措施、群體或使用者創建完全穩健和區格型的風險類別可能並非普遍適合或是有所助益。對於任何給定的醫療器材軟體,特徵化分組之間可能存在相互依賴性和權重不均勻,惟其最終有助於理解器材風險,因此可能會衝擊後續的分類。此外,在處理軟體對器材風險的具體作用時,例如:給定使用者群體將如何擷取所提供的資訊等考量事項(僅係舉例言之)可能在跨司法管轄區合理地沒有統一或通用的答案。不同的司法管轄區可能有不同的理念和法律義務,從而形成不同的基於風險的分類。因此,第 5 節中提供的討論並在附錄 B 中進一步說明,旨在作為考慮和闡明特徵特性如何影響符合醫療器材定義的軟體風險的共同基礎,特別是通過相互依賴的因素的觀點,塑造對給定預期用途/預期目的之軟體特定風險的理解。換句話說,該指引旨在深入了解如何達到特定的軟體風險分類,而無需為任何給定器材規定某個《正確》和通用類別。如前所述,暫時排除其他複雜情況,軟體特定風險可能會對適用於給定器材的風險分類產生重大但並非排他性的影響。首先嘗試著,該文件可以作為討論關係到更廣泛的器材系統或法規管制結構中,醫療器材軟體風險的給定理解的基礎。
6. Considerations for Implementation實踐時考量事項
為描述醫療器材軟體提供共同基礎,並考慮不同特性如何衝擊風險,有助於提高安全性和有效性,以及跨司法管轄區的一致性和協調效益。第 4.0 節和第 5.0 節中提出的考量事項可用於支持對醫療器材軟體及其風險的理解,並促進跨司法管轄區不同器材風險分類系統的解釋和應用。雖然該文件中描述的醫療器材軟體特徵化與評鑑估器材的風險有關,但重要的是,任何法規管制評鑑也必須考慮使用器材對健康的受益,並權衡受益於器材的因素對應到任何風險事項。
給定司法管轄區的器材分類最終將由主管機關、法律和法規決定。在可能的情況下,司法管轄區可以考慮將該文件中的協調語言和概念納入其當地指引或流程中,例如:將文件中的器材和風險特徵化語言與其標籤和風險管理期待內容或分類法規聯繫起來。
司法管轄區可能能夠利用特徵特性和屬性的子集,以及對醫療器材軟體風險及其嚴重性的評鑑,來描述其將風險分類應用於醫療器材軟體的方法。
這些概念旨在供利益相關者與其現有架構一起使用,以利決定提供額外的細節和闡述,最終促進和告知醫療器材軟體的清晰、一致和準確的特徵化。
沒有留言:
張貼留言