Статус документа

ГОСТ Р 56849-2015/ISO/TR 17791:2013 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения

4.4 Жизненный цикл медицинского программного обеспечения

Подход для оценки применимости и практической пользы стандартов, посвященных безопасности медицинского программного обеспечения, необходим для того, чтобы определить применимость, а также выявить пробелы среди стандартов, имеющихся в настоящее время.

Как правило, в роли моделей жизненного цикла программного обеспечения выступают концептуальные общие схемы, используемые для организации и управления разработками, эксплуатацией, техническим обслуживанием и действиями по выводу из эксплуатации программного продукта с начала появления до окончательного прекращения работы программного обеспечения (см. ИСО/МЭК 12207:2008). Такие модели жизненного цикла предоставляют средства для проведения всеобъемлющего, полного исследования и оценки стандартов, содействующих повышению безопасности медицинского программного обеспечения.

В настоящем стандарте для содействия такому исследованию и оценке был принят прагматический подход к моделям жизненного цикла. Следующие вопросы являются основополагающими при определении стадий жизненного цикла программного обеспечения:

- существует ли изменение риска на разных стадиях;

- существуют ли другие: профиль риска, характеристика менеджмента рисков или необходимость минимизации его последствий между стадиями; и

- существует ли вероятность распространения риска от одной стадии к другой.

Если ответ на любой из трех вышеперечисленных пунктов оказался положительным, то это может означать, что существует необходимость в использовании других стандартов, таким образом, существует необходимость в рассмотрении вышеуказанных вопросов при анализе рисков.

Стадии жизненного цикла, используемые в настоящем стандарте, основаны либо как минимум на одном или на нескольких стандартах, в которых уже определены такие стадии, либо если стадии не были определены в известном стандарте, то он рассматривает изменения риска или другой профиль менеджмента рисков, характеристик, либо возникает необходимость в использовании разных стандартов, или констатируем наличие пробела в текущих используемых стандартах.

Процесс определения стадий жизненного цикла повторяется путем использования результатов анализа, взятых из "жизненного цикла работающего программного продукта" для разработки окончательного готового к использованию жизненного цикла программного обеспечения. В целом, наиболее полезно и эффективно выявление минимального количества стадий жизненного цикла, которых достаточно для осуществления достоверной оценки стандартами, содействующими безопасности медицинского программного обеспечения.

Необходимо отметить, что жизненный цикл программного обеспечения отличается от ЦРПО, несмотря на то что стандарты по ЦРПО предоставляют информацию для настоящего стандарта. Эти стадии жизненного цикла программного обеспечения не предполагают никакого конкретного ЦРПО.

Также в соответствии с целями настоящего стандарта следует отметить, что жизненный цикл программного обеспечения имеет как стадии, так и события:

- стадиями являются те компоненты жизненного цикла программного обеспечения, которые сопровождаются сопутствующими видами работ, назначенными ресурсами и результатами, и

- событиями считаются те компоненты, которые являются существенными явлениями, происходящими в данном месте и в данное время.

Стадии жизненного цикла медицинского программного обеспечения включают сложный набор последовательных и повторяющихся действий, которые вместе формируют непрерывный менеджмент этого программного обеспечения, осуществляемый всеми заинтересованными сторонами:

- разработчики отвечают за проектирование, разработку, производство и техническую поддержку медицинского программного обеспечения (также в некоторых стандартах называемые "производитель" или "поставщик"),

- специалисты по внедрению отвечают за установку и интеграцию программного обеспечения в клинических условиях (специалист по внедрению может быть разработчиком или владельцем),

- владельцами являются медицинские организации, закупающие программное обеспечение (и/или специалисты по внедрению управляемых услуг),

- операторы отвечают за предоставление медицинской услуги за счет использования медицинского программного обеспечения,

- пользователями являются лица, использующие медицинское программное обеспечение в клинических условиях, они могут включать, например, потребителей, если речь идет о личных медицинских картах.

Основываясь на вышеописанном подходе и информации, изложенной в приложении В, для оценки стандартов, обеспечивающих безопасность медицинского программного обеспечения, в следующих стадиях жизненного цикла предоставлено соответствующее разделение профиля рисков, характеристик, потребностей и допущений (см. таблицу 1).

Примечания

1 Данные стадии необязательно подразумевают линейное упорядочивание или строгую последовательность во времени.

2 По возможности, для описаний стадий жизненного цикла приведены ссылки; там, где это недоступно, описания стадий жизненного цикла носят лишь информативный характер.

Таблица 1 - Описания жизненного цикла в стандартах


Стандартная стадия жизненного цикла	Подстадия(и)	Определение	Участ- ник(и)
Концепция	Документ	Формулировка, представление и определение исходного проекта, эстетики и основные функции программного обеспечения	Р, П
Требования	Документ	Требование является необходимостью, условием или обязательством. Оно может устанавливаться или предполагаться организацией, покупателями или другими заинтересованными сторонами [см. ИСО 9000]	Р
Проектирование	Документ	Является фазой разработки программного обеспечения, следующей за анализом, которая определяет, как должна быть решена проблема [SKMT - Глоссарий организации Canada Health Infoway]	Р
Разработка	Код, испытание, документ	Проектирование и разработка представляет собой процесс (или набор процессов), использующий ресурсы для преобразования требований (входов) в характеристики или спецификации (результаты) изделий, процессов и систем	Р
Производство		Обеспечение наличия изделия для покупателя или пользователя	Р
Выпуск	Распространение	Выпуск - это определенная версия конфигурационной единицы, которая предоставлена или выпущена для конкретной цели [ИСО/МЭК 90003]	Р, В
Закупка		Покупка коммерчески доступного продукта или привлечение организации к производству "программного обеспечения, сделанного по заказу, или собственной разработки"	Р, В, ВО
Внедрение	Конфигурация оборудования, интеграция, размещение	Проверка на совместимость программного обеспечения и сертификация также могут быть включены в этап внедрения либо как первый этап, либо как этап перед установкой	Р, В, ВО
Ввод в действие		Полная активация некоторой системы, которая находилась на стадии разработки или функционировала в ограниченном тестовом режиме, так чтобы предполагаемые пользователи могли получить к ней доступ [Интернет-сайт AllWords.com]	В, П, ВО
Эксплуатация		Любое использование медицинского программного обеспечения при любых настройках, не предназначенных для испытания. Существует вероятность того, что для нового программного обеспечения может возникнуть интервал между вводом его в эксплуатацию и полным применением в клинических условиях	П, ВО
Клиническое применение		Стадия клинического применения программного обеспечения, на которой в клинике в полном объеме используется программное обеспечение, установленное в соответствии с определением медицинского программного обеспечения из настоящего стандарта, и ее "..влияние на здоровье и здравоохранение субъекта оказания медицинской помощи"	П, ВО
Техническая поддержка		Техническая поддержка при разработке программного обеспечения является модификацией программного продукта после поставки, с целью исправления ошибки, улучшения производительности и других характеристик [ИСО/МЭК 14764]	Р, В, П, ВО
Вывод из эксплуатации		Система выводится из среды эксплуатации, и результаты работы системы и данные архивируются соответствующими способами	Р, П, ВО
Окончательное удаление		Удаление и завершение работы имеющихся программных продуктов или служб системы, сохраняя при этом целостность работы организации [по материалам ИСО/МЭК 12207]	Р, П, ВО
Не каждая стадия жизненного цикла имеет подстадию. Р - разработчик; В - специалист по внедрению; ВО - владелец-оператор; П - пользователь. Также именуемый "производитель". Проектирование и разработка могут рассматриваться как разные стадии отдельного интегрированного процесса проектирования и разработки или как два (или более) отдельных процесса (см. ИСО 9000, ИСО 9001 или ИСО 9004). Для данной стадии система и все связанные с ней продукты передаются покупателю или пользователю. Данные также могут быть перемещены или перенесены из одной системы в другую при сохранении семантической целостности.

Авторами настоящего стандарта признается, что "язык" жизненного цикла программного обеспечения, особенно в части, касающейся обеспечения безопасности медицинского программного обеспечения, не фиксирован. Признано считать, что формулировки и определения (если они отсутствуют в каком-либо документе ИСО или другом утвержденном стандарте) могут быть уточнены при дальнейшей разработке стандартов. Также принято считать, что имеются и другие модели программного обеспечения, например модель базовых компонентов (GCM) и связанный с ней комплекс стандартов [6]. Будущий или дальнейший анализ и представление группы применимых стандартов по безопасности медицинского программного обеспечения, например тех, что приведены в данном стандарте, могут быть осуществлены при последующей разработке стандартов, используя классификацию GCM.