設(shè)計(jì)一臺醫(yī)療器械需要承擔(dān)極大的風(fēng)險(xiǎn)�����。以下五條建議有助于設(shè)計(jì)安全至上的醫(yī)療器械�����,同時(shí)避免出現(xiàn)對開發(fā)過程不利的常見錯(cuò)誤做法�����。
在20世紀(jì)80年代�����,由于簡單的數(shù)據(jù)輸入錯(cuò)誤�����,導(dǎo)致六名患者接受Therac-25放射治療系統(tǒng)的輻射量超出了規(guī)定范圍10.000%�����。該錯(cuò)誤導(dǎo)致了至少有3名患者死亡�����。該事件證明�����,醫(yī)療器械制造商承擔(dān)的風(fēng)險(xiǎn)極高�����。過失行為不僅導(dǎo)致人員傷亡�����,而且常常使企業(yè)面臨官司和永無休止的訴訟。如今�����,臭名昭著的Therac-25事件提醒人們設(shè)計(jì)醫(yī)療行業(yè)的器械時(shí)必須慎重�����,開發(fā)過程除了符合基本要求外更應(yīng)以安全至上為準(zhǔn)則�����。本文將概述設(shè)計(jì)安全至上的醫(yī)療器械中的幾大要素�����,并處理對開發(fā)過程不利的一些最常見錯(cuò)誤做法�����。
1�����、超越標(biāo)準(zhǔn)
美國規(guī)定安全至上項(xiàng)目的開發(fā)必須遵守軟件開發(fā)生命周期(SDLC)標(biāo)準(zhǔn)�����。醫(yī)療器械SDLC對應(yīng)的標(biāo)準(zhǔn)是IEC 62304�����。其中列出了詳細(xì)的記錄和監(jiān)控流程�����,幾乎覆蓋軟件規(guī)范�����、設(shè)計(jì)�����、編碼和測試的所有方面�����,有關(guān)監(jiān)督�����、合規(guī)和認(rèn)證的標(biāo)準(zhǔn)也異常嚴(yán)格。
2�����、降低設(shè)計(jì)的復(fù)雜性
對能在預(yù)算緊�����、時(shí)間短的情況下開發(fā)出系統(tǒng)的經(jīng)理�����,企業(yè)通常給與獎(jiǎng)勵(lì)�����。但強(qiáng)調(diào)速度�����、壓縮成本也助長了偷工減料�����、造假數(shù)據(jù)和忽視小警示等現(xiàn)象�����。周轉(zhuǎn)速度的重要性應(yīng)該低于質(zhì)量�����。
不能只重視時(shí)間和成本�����,只有提高安全性才有望縮減開支�����。設(shè)計(jì)復(fù)雜性降低時(shí)�����,通常實(shí)現(xiàn)的改進(jìn)最大�����,包括選擇性地使用更高級的工具�����,例如功能和類型安全編程語言,以及模型驅(qū)動開發(fā)(MDD)�����。對于安全至上的系統(tǒng)�����,C和C++語言很流行�����,但也讓人生畏�����。流行的原因是�����,它是各種工具使用的語言�����,可供有經(jīng)驗(yàn)的開發(fā)人員使用�����。讓人生畏的原因是�����,進(jìn)行不安全指針和直接內(nèi)存管理時(shí)�����,它造成了幾乎無法解決的測試設(shè)計(jì)問題�����。
程序員的腦容量是有限的�����,因此在給定設(shè)定下�����,能解決的問題范圍取決于大腦所處的抽象級別�����。強(qiáng)大的工具功能和快速的反饋有利于更快地生成系統(tǒng),同時(shí)改進(jìn)各種可構(gòu)建的系統(tǒng)�����。
3�����、所提要求必須是可測試的
系統(tǒng)要求的設(shè)置流程本身是一個(gè)巨大的錯(cuò)誤來源�����。隨著系統(tǒng)越來越復(fù)雜�����,樣板文本會按照原設(shè)計(jì)進(jìn)行制作或“調(diào)整”�����。一切運(yùn)作順利時(shí)�����,會及早發(fā)現(xiàn)并處理或刪除這些錯(cuò)誤;流程失敗時(shí)�����,將運(yùn)行一個(gè)無意義的代碼�����,跟蹤不適用的要求�����。
需要盡早確定利益相關(guān)者�����。通過代碼可以追蹤相關(guān)要求�����,對于深入了解這些利益相關(guān)者需求的個(gè)人�����,也需要對其要求進(jìn)行追蹤�����。相較于其他描述內(nèi)容�����,進(jìn)行動態(tài)�����、靈活的開發(fā)�����、采用�����、審查和要求拒絕過程對系統(tǒng)安全性的影響更大�����。
4�����、設(shè)計(jì)要通過每一個(gè)測試
對于高效可靠的軟件來說,全面的集成式內(nèi)部測試設(shè)計(jì)與有效的要求同樣至關(guān)重要�����。這恰恰也是開發(fā)早期最容易被忽略的要素�����,如果不從頭開始有效地重寫代碼�����,就無法將其添加到現(xiàn)有的代碼庫中�����。
代碼設(shè)計(jì)中必須包括有效的測試設(shè)計(jì)�����。在寫第一行代碼前�����,必須在前端使用測試范式評估語言�����、框架�����、模擬器和其他工具套件�����。
5�����、忽略失敗之間的平均時(shí)間
最后�����,讓我們來解決故障計(jì)算之間平均時(shí)間的謬誤�����。簡單來說�����,討論軟件時(shí)應(yīng)該禁止談?wù)撨@個(gè)問題。有關(guān)這些陳述的數(shù)學(xué)基礎(chǔ)的假設(shè)本身就太過主觀�����,容易出錯(cuò)�����,因此我們應(yīng)該假設(shè)所有精心構(gòu)建的圖表和圖形無任何意義�����。
首先應(yīng)當(dāng)假設(shè)任何進(jìn)程和系統(tǒng)都有可能出現(xiàn)故障�����。構(gòu)建完整的測試套件不能只依賴一個(gè)團(tuán)隊(duì)�����,故障修復(fù)也必須依靠多個(gè)團(tuán)隊(duì)提出各種不同意見�����。獨(dú)立的監(jiān)督過程�����,特別是將其與冗余�����、獨(dú)立的硬件傳感器陣列結(jié)合使用后�����,可以使技術(shù)性能優(yōu)異�����,故障模式少�����。由于“軟件可以做到”�����,因此要避免去除機(jī)械和電子防護(hù)措施�����。
啟示
任何一個(gè)大型工程缺陷幾乎不會造成像Therac-25這類造成重大傷亡的事故,但整個(gè)設(shè)計(jì)過程中的小失誤不斷累積后卻會造成安全性問題�����。對先前模型的過度自信�����、在現(xiàn)實(shí)環(huán)境中缺乏測試以及不愿意相信系統(tǒng)會發(fā)生故障�����,這三者均會導(dǎo)致機(jī)器在臨床使用時(shí)完全失靈�����。開發(fā)團(tuán)隊(duì)無法預(yù)測并防止此類錯(cuò)誤�����,這使人們意識到�����,設(shè)計(jì)安全至上的軟件時(shí)即便是最小的步驟也非常重要�����。通過對設(shè)計(jì)流程的各個(gè)里程碑節(jié)點(diǎn)以及超出基線標(biāo)準(zhǔn)的測試方案的深思熟慮�����,可以將這樣的悲劇扼殺在搖籃里�����,而不是等傷害發(fā)生后才追悔莫及�����。
京公網(wǎng)安備11010802046783號