Статус документа
Статус документа

    
ГОСТ Р 56849-2015/
ISO/TR 17791:2013

Группа П85

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

РУКОВОДСТВО ПО СТАНДАРТАМ БЕЗОПАСНОСТИ МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Health informatics. Guidance on standards for enabling safety in health software



ОКС 35.240.80

ОКСТУ 4002

Дата введения 2016-11-01

     

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного перевода на русский язык англоязычной версии международного документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO ТС 215

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря N 2241-ст*

________________

* Вероятно, ошибка оригинала. Следует читать Приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря 2015 года N 2241-ст. - Примечание изготовителя базы данных.

4 Настоящий стандарт идентичен международному документу ISO/TR 17791:2013* "Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения" (ISO/TR 17791:2013 "Health informatics - Guidance on standards for enabling safety in health software", IDT)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Повышение безопасности пациентов

Безопасность пациентов является одной из основных общемировых проблем в здравоохранении. Как отмечается в публикации ИСО/ТК 215 "Сводный отчет экспертной группы по качеству обслуживания и безопасности пациента" (ISO/TC 215 Summary Report from the Task Force on Patient Safety and Quality) 2010 г., прошло более десяти лет с момента выпуска фундаментальной публикации в 1999 г. "Человеку свойственно ошибаться: создание более надежной системы здравоохранения" Института медицины (ИМ) [1], [2].

С 1999 г. безопасность пациентов являлась объектом пристального внимания во время обсуждений и принятия решения на национальном и международном уровнях. Появились передовые практические решения в области обеспечения безопасности пациентов, связанные с созданием документов, описывающих первопричины риска, а также методы его анализа, предотвращения и ослабления. Эти решения повлияли на национальные и общемировые подходы к повышению безопасности пациентов. Образовательные программы, национальные кампании, первостепенные задачи местных больниц, неблагоприятные события и инструменты создания отчетов об аварийных событиях, обучение менеджменту рисков и программы аттестации практикующих врачей по безопасности являются примерами постоянной работы по формированию культуры повышения безопасности пациентов и улучшению качества.

Такое внимание к безопасности пациентов стимулировало инвестирование в интероперабельные системы электронного медицинского архива (ЭМА) и средства поддержки принятия решений, такие как автоматизированная система назначения лечения (АСНЛ) (компьютеризированный ввод заказа врача). Эти инвестиции в конечном счете позволят избежать, если не снизить, частоту возникновения инцидентов, угрожающих безопасности пациентов, вызванных такими факторами, как взаимодействие препаратов.

Информатизация здоровья может как снизить существующие, так и добавить новые риски обеспечения безопасности пациентов

Информатизация здоровья и связанные с ней электронные медицинские системы имеют значительные возможности для устранения, снижения или ослабления установленных угроз безопасности пациента и качеству обслуживания (см. приложение А) и являются на данный момент объектами для крупных инвестиций в здравоохранение.

Любое крупное преобразующее технологическое изменение, внедренное в промышленность, особенно в такую сложную и изменяющую жизнь область, как здравоохранение, будет иметь как предсказуемые, так и непредвиденные последствия. Непредвиденные последствия могут быть как положительными (например, способствовать развитию новых возможностей для совместной работы клинических врачей в качестве пользователей, работающих с новой технологией, и тем самым улучшению клинического процесса), так и отрицательными (например, появление новых рисков, возникающих при разработке, реализации или использовании технологии в сложных клинических условиях).

Хотя польза информатизации здоровья для обеспечения безопасности пациентов получает все большее признание, существуют риски случайных и неблагоприятных событий, вызванных реализациями медицинского программного обеспечения, и эти риски становятся все более очевидными. Так как разворачиваются все более сложные реализации медицинского программного обеспечения, которые обеспечивают более высокий уровень поддержки принятия решений и интегрируют данные пациентов различных систем в различных организациях и различных предоставленных медицинских услуг, то безопасность пациента повышается наряду с возникновением рисков неблагоприятных событий, вызванных программным обеспечением.

В ИТ-программе Национальной службы здравоохранения Англии (НСЗ) "Connecting for Health" был создан упреждающий процесс управления инцидентами, связанными с безопасностью, для решения вопросов, связанных с безопасностью программного обеспечения [3]. За пятилетний период с 2006 г. по 2010 г. было зарегистрировано и изучено 708 сообщений об инцидентах. Было установлено, что примерно 80% этих инцидентов представляли некоторую угрозу безопасности пациентов (4.1).

Стандарты, направленные на обеспечение безопасности медицинского программного обеспечения. Текущие разработки

Вопрос безопасности медицинского программного обеспечения впервые затронут в ИСО/ТК 215 в 2006 г., когда началась работа над следующими стандартами:

- ISO/TS 25238:2007 Health informatics - Classification of safety risks from health software (Информатизация здоровья. Классификация угроз для безопасности, вызванных медицинским программным обеспечением), и

- ISO/TR 27809:2007 Health informatics - Measures for ensuring patient safety of health software (Информатизация здоровья. Меры обеспечения безопасности пациента при использовании медицинского программного обеспечения).

ISO/TS 25238 направлен на определение концепции и требований для стадий жизненного цикла программного обеспечения, где необходимо понять в общих чертах, каким будет класс риска предложенной системы. Несмотря на то что ISO/TS 25238 включает примеры категорий степени тяжести и вероятности риска, а также демонстрационную матрицу риска, которые могут иметь более широкое использование, его применение при проектировании медицинского программного обеспечения или снижение любых выявленных рисков до приемлемого уровня не является задачей этого стандарта.

В ISO/TR 27809 дан обзор классификаций продуктов медицинского программного обеспечения, обсуждаются варианты мер управления, связанные с таким программным обеспечением, схема классификации риска, описанная в ISO/TS 25238, а также идентификация национальных и международных стандартов по менеджменту рисков.

В течение многих лет сообщество, образовавшееся вокруг медицинского оборудования, поддерживало разработку стандартов на программное обеспечение в МЭК/ТК 62 ПК А [Общие аспекты электрооборудования, используемого в медицинской деятельности (Common aspects of electrical equipment used in medical practice)], в ИСО/ТК 215 [Информатизация здоровья (Health informatics)] и в ИСО/ТК 210 [Менеджмент качества и соответствующие общие аспекты медицинских приборов (Quality management and corresponding general aspects for medical devices)]. Несколько других технических комитетов ИСО и МЭК, таких как ИСО/МЭК СТК 1 подкомитет 7 [Разработка систем и программного обеспечения (Software and systems engineering)], создавали стандарты по разработке систем и программного обеспечения начиная с конца 1980-х гг.

Действующие в настоящее время стандарты по медицинскому оборудованию сосредоточены на функциональности и испытании установленного медицинского оборудования и включают в себя стандарты на "программное обеспечение как медицинский прибор" [в МЭК 62304 Медицинское программное обеспечение устройства. Процессы жизненного цикла программного обеспечения (IEC 62304:2006, Medical device software - Software life cycle processes). "Программное обеспечение как медицинский прибор" определяется как "система программного обеспечения, которая разработана с целью включения в разрабатываемый медицинский прибор или предназначена для самостоятельного использования в качестве медицинского прибора"]. Основные стандарты, разработанные или приведенные в качестве справочного материала, используемые для обеспечения безопасности медицинских приборов и программного обеспечения для медицинских приборов, включают:

- ISO 13485:2003, Medical devices - Quality management systems - Requirements for regulatory purposes (Медицинские приборы. Системы менеджмента качества. Требования для целей регулирования);

- ISO/TR 14969:2004, Medical devices - Quality management systems - Guidance on the application of ISO 13485:2003 (Медицинские приборы. Системы менеджмента качества. Руководство по применению ИСО 13485:2003);

- IEC 62304:2006, Medical device software - Software life cycle processes (Программное обеспечение медицинских приборов. Процессы жизненного цикла программного обеспечения);

- ISO 14971:2007, Medical devices -Application of risk management to medical devices (Медицинские приборы. Применение менеджмента риска к медицинским приборам);

- IEC 80001-1:2010, Application of risk management for IT networks incorporating medical devices, Part 1: Roles, responsibilities and activities (Применение менеджмента рисков для ИТ-сетей с медицинскими приборами. Часть 1. Роли, ответственности и деятельность).

В центре внимания данных стандартов отражена заинтересованность медицинского приборостроения в предпродажных (т.е. проектирование и разработка) стадиях жизненного цикла приборов с программным обеспечением, включая программное обеспечение и медицинские приборы, работающие самостоятельно. Недавнее дополнение IEC/TR 80001-1 является признаком растущего внимания к подключению приборов к физической сети.

Поскольку понимание того, какое программное обеспечение считается самостоятельным медицинским изделием, существенно различается в разных странах, настоящий стандарт дает представление о передовых практических методах обеспечения безопасной разработки, внедрения и эксплуатации медицинского программного обеспечения независимо от того, работает ли оно как медицинское изделие. Настоящий стандарт рассматривает стандарты, которые могут предоставить полезное руководство для покупателей, специалистов по внедрению и пользователей, а также для разработчиков и производителей вплоть до конфигурирования, реализации и текущего использования при любых настройках и условиях работы. Анализ и рекомендации, представленные в настоящем стандарте, указывают, что медицинское программное обеспечение все чаще внедряется и эксплуатируется в сложной среде "экосистемы" или "социально-технологической системы", где программное обеспечение тесно связано с другими системами, технологиями, инфраструктурами и предметными областями (людьми, организациями и внешними условиями) и где оно также должно быть сконфигурировано, чтобы поддерживать локальные клинические и бизнес-процессы.

Следовательно, повышение безопасности пациента и риски, связанные с реализацией отдельных программных компонентов, должны оцениваться и управляться в рамках контекста реализуемой информационной структуры организации, используя стандарты и проверенные процессы, которые направляют и вовлекают как специалистов по информатизации здоровья, так и врачей на всех стадиях, а также используя семейство стандартов, которые обеспечивают безопасность медицинского программного обеспечения.

Раздел 4 рассматривает вопросы, связанные с обеспечением условий безопасности, и предоставляет концептуальный подход для оценки стандартов вместе с кратким описанием соответствующих стандартов.

Раздел 5 построен на этом основополагающем подходе, предоставляя аналитические оценки того, какие стандарты являются наиболее подходящими для различных стадий жизненного цикла программного обеспечения. В данном разделе также идентифицируются существующие проблемы и содержится практическое руководство по стандартам, представляющим передовые практические методы. Важно отметить, что, несмотря на то что нормативные документы, рассмотренные в настоящем стандарте, могут быть полезны для обеспечения безопасности медицинского программного обеспечения, во многих случаях они не были подготовлены специально для этой цели.

Кому следует ознакомиться с настоящим стандартом?

Общий вопрос красной нитью проходит через все обсуждения безопасности медицинского программного обеспечения: "Какие стандарты должны использоваться для того, чтобы обеспечить безопасность медицинского программного обеспечения?" Настоящий стандарт предназначен для национальных комитетов-членов и пользователей, которые ищут ответ на этот вопрос.

     1 Область применения


Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и пользователей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение. Такое отображение ясно демонстрирует, где существуют пробелы и совпадения в стандарте. В частности, настоящий стандарт:

- определяет связанный набор международных стандартов, которые поддерживают безопасную для пациента (или более безопасную) разработку, внедрение и использование медицинского программного обеспечения;

- дает представление о применимости этих стандартов для достижения оптимальной безопасности медицинского программного обеспечения в рамках методов всеобщего менеджмента риска и менеджмента качества, а также в рамках стадий жизненного цикла и процессов разработки медицинского программного обеспечения;

- решает вопросы безопасности медицинского программного обеспечения, которые остаются нерассмотренными или дублируются в рассматриваемых стандартах;

- рассматривает, как эти пробелы и дублирование можно устранить (за короткий или длительный срок) путем пересмотра действующих стандартов или разработки новых.

Вред, наносимый операторам медицинским программным обеспечением, если такой риск существует, выходит за рамки настоящего стандарта.

Несмотря на ссылки, касающиеся норм и правил для медицинского программного обеспечения, имеющиеся в настоящем стандарте, установление, обеспечение исполнения и подтверждение норм и правил не является ни целью, ни намерением настоящего стандарта. Это в первую очередь является зоной национальной ответственности или ответственности юрисдикции и не входит в область применения настоящего стандарта. Тем не менее настоящий стандарт не стремится создать такую структуру международных стандартов, которая будет всемирно признана и принята, а также дать указания, с помощью которых органы юрисдикции в составе НКЧ смогут решить, есть ли необходимость реализации данного подхода на нормативной основе. Поэтому, несмотря на то что поддержка НКЧ в их стремлении к гармонизации среды норм и правил могла бы быть эффективной, она не является целью или намерением настоящего стандарта.

Кроме того, если некоторый стандарт рекомендован для использования в настоящем стандарте, то это не означает, что требуется полное соблюдение всех требований такого рекомендованного стандарта. Поэтому соответствие требованиям также не входит в задачу настоящего стандарта.

     2 Термины и определения


В соответствии с целями и задачами настоящего стандарта применены следующие термины с соответствующими определениями:

2.1 общий подход (framework): Неотъемлемая поддерживающая или лежащая в основе структура.

[ИСО 9001:2008]

2.2 степень структурированности (granularity): Уровень сложности или то, до какой степени система поделена на более мелкие части.

Примечание - Несмотря на то что определение для термина "степень структурированности" можно найти в ИСО 17115 Информатизация здоровья. Словарь терминологических систем, оно не касается области применения и контекста настоящего стандарта.

2.3 вред (harm): Смерть, телесное повреждение и/или ущерб, причиненный здоровью или состоянию пациента.

[Руководство ИСО/МЭК 51:1999 измененное]

2.4 опасность (hazard): Потенциальный источник вреда.

[Руководство ИСО/МЭК 51:1999]

2.5 информатизация здоровья (health informatics): Пересечение клинических практик, практик ИМ/ИТ (информационный менеджмент, информационные технологии) и методик управления для достижения наилучшего качества здравоохранения.

Примечание - Информатизация здоровья включает в себя применение информационных технологий для облегчения создания и использования данных, информации и знаний, связанных со здравоохранением. Информатизация здоровья обеспечивает условия и поддерживает все аспекты медицинского обслуживания. [ИСО/ТК 215 Отчет рабочей группы организации (Organization Task Force Report) (план) - по материалам www.coachorg.com].

2.6 медицинское программное обеспечение (health software): Программное обеспечение, используемое в здравоохранении, способное оказывать влияние на здоровье и предоставление медицинских услуг субъекту оказания медицинской помощи.

Доступ к полной версии документа ограничен
Полный текст этого документа доступен на портале с 20 до 24 часов по московскому времени 7 дней в неделю.
Также этот документ или информация о нем всегда доступны в профессиональных справочных системах «Техэксперт» и «Кодекс».
Нужен полный текст и статус документов ГОСТ, СНИП, СП?
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно
Реклама. Рекламодатель: Акционерное общество "Информационная компания "Кодекс". 2VtzqvQZoVs