ГОСТ Р 56849-2015/ISO/TR 17791:2013 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения

Введение

Повышение безопасности пациентов

Безопасность пациентов является одной из основных общемировых проблем в здравоохранении. Как отмечается в публикации ИСО/ТК 215 "Сводный отчет экспертной группы по качеству обслуживания и безопасности пациента" (ISO/TC 215 Summary Report from the Task Force on Patient Safety and Quality) 2010 г., прошло более десяти лет с момента выпуска фундаментальной публикации в 1999 г. "Человеку свойственно ошибаться: создание более надежной системы здравоохранения" Института медицины (ИМ) [1], [2].

С 1999 г. безопасность пациентов являлась объектом пристального внимания во время обсуждений и принятия решения на национальном и международном уровнях. Появились передовые практические решения в области обеспечения безопасности пациентов, связанные с созданием документов, описывающих первопричины риска, а также методы его анализа, предотвращения и ослабления. Эти решения повлияли на национальные и общемировые подходы к повышению безопасности пациентов. Образовательные программы, национальные кампании, первостепенные задачи местных больниц, неблагоприятные события и инструменты создания отчетов об аварийных событиях, обучение менеджменту рисков и программы аттестации практикующих врачей по безопасности являются примерами постоянной работы по формированию культуры повышения безопасности пациентов и улучшению качества.

Такое внимание к безопасности пациентов стимулировало инвестирование в интероперабельные системы электронного медицинского архива (ЭМА) и средства поддержки принятия решений, такие как автоматизированная система назначения лечения (АСНЛ) (компьютеризированный ввод заказа врача). Эти инвестиции в конечном счете позволят избежать, если не снизить, частоту возникновения инцидентов, угрожающих безопасности пациентов, вызванных такими факторами, как взаимодействие препаратов.

Информатизация здоровья может как снизить существующие, так и добавить новые риски обеспечения безопасности пациентов

Информатизация здоровья и связанные с ней электронные медицинские системы имеют значительные возможности для устранения, снижения или ослабления установленных угроз безопасности пациента и качеству обслуживания (см. приложение А) и являются на данный момент объектами для крупных инвестиций в здравоохранение.

Любое крупное преобразующее технологическое изменение, внедренное в промышленность, особенно в такую сложную и изменяющую жизнь область, как здравоохранение, будет иметь как предсказуемые, так и непредвиденные последствия. Непредвиденные последствия могут быть как положительными (например, способствовать развитию новых возможностей для совместной работы клинических врачей в качестве пользователей, работающих с новой технологией, и тем самым улучшению клинического процесса), так и отрицательными (например, появление новых рисков, возникающих при разработке, реализации или использовании технологии в сложных клинических условиях).

Хотя польза информатизации здоровья для обеспечения безопасности пациентов получает все большее признание, существуют риски случайных и неблагоприятных событий, вызванных реализациями медицинского программного обеспечения, и эти риски становятся все более очевидными. Так как разворачиваются все более сложные реализации медицинского программного обеспечения, которые обеспечивают более высокий уровень поддержки принятия решений и интегрируют данные пациентов различных систем в различных организациях и различных предоставленных медицинских услуг, то безопасность пациента повышается наряду с возникновением рисков неблагоприятных событий, вызванных программным обеспечением.

В ИТ-программе Национальной службы здравоохранения Англии (НСЗ) "Connecting for Health" был создан упреждающий процесс управления инцидентами, связанными с безопасностью, для решения вопросов, связанных с безопасностью программного обеспечения [3]. За пятилетний период с 2006 г. по 2010 г. было зарегистрировано и изучено 708 сообщений об инцидентах. Было установлено, что примерно 80% этих инцидентов представляли некоторую угрозу безопасности пациентов (4.1).

Стандарты, направленные на обеспечение безопасности медицинского программного обеспечения. Текущие разработки

Вопрос безопасности медицинского программного обеспечения впервые затронут в ИСО/ТК 215 в 2006 г., когда началась работа над следующими стандартами:

- ISO/TS 25238:2007 Health informatics - Classification of safety risks from health software (Информатизация здоровья. Классификация угроз для безопасности, вызванных медицинским программным обеспечением), и

- ISO/TR 27809:2007 Health informatics - Measures for ensuring patient safety of health software (Информатизация здоровья. Меры обеспечения безопасности пациента при использовании медицинского программного обеспечения).

ISO/TS 25238 направлен на определение концепции и требований для стадий жизненного цикла программного обеспечения, где необходимо понять в общих чертах, каким будет класс риска предложенной системы. Несмотря на то что ISO/TS 25238 включает примеры категорий степени тяжести и вероятности риска, а также демонстрационную матрицу риска, которые могут иметь более широкое использование, его применение при проектировании медицинского программного обеспечения или снижение любых выявленных рисков до приемлемого уровня не является задачей этого стандарта.

В ISO/TR 27809 дан обзор классификаций продуктов медицинского программного обеспечения, обсуждаются варианты мер управления, связанные с таким программным обеспечением, схема классификации риска, описанная в ISO/TS 25238, а также идентификация национальных и международных стандартов по менеджменту рисков.

В течение многих лет сообщество, образовавшееся вокруг медицинского оборудования, поддерживало разработку стандартов на программное обеспечение в МЭК/ТК 62 ПК А [Общие аспекты электрооборудования, используемого в медицинской деятельности (Common aspects of electrical equipment used in medical practice)], в ИСО/ТК 215 [Информатизация здоровья (Health informatics)] и в ИСО/ТК 210 [Менеджмент качества и соответствующие общие аспекты медицинских приборов (Quality management and corresponding general aspects for medical devices)]. Несколько других технических комитетов ИСО и МЭК, таких как ИСО/МЭК СТК 1 подкомитет 7 [Разработка систем и программного обеспечения (Software and systems engineering)], создавали стандарты по разработке систем и программного обеспечения начиная с конца 1980-х гг.

Действующие в настоящее время стандарты по медицинскому оборудованию сосредоточены на функциональности и испытании установленного медицинского оборудования и включают в себя стандарты на "программное обеспечение как медицинский прибор" [в МЭК 62304 Медицинское программное обеспечение устройства. Процессы жизненного цикла программного обеспечения (IEC 62304:2006, Medical device software - Software life cycle processes). "Программное обеспечение как медицинский прибор" определяется как "система программного обеспечения, которая разработана с целью включения в разрабатываемый медицинский прибор или предназначена для самостоятельного использования в качестве медицинского прибора"]. Основные стандарты, разработанные или приведенные в качестве справочного материала, используемые для обеспечения безопасности медицинских приборов и программного обеспечения для медицинских приборов, включают:

- ISO 13485:2003, Medical devices - Quality management systems - Requirements for regulatory purposes (Медицинские приборы. Системы менеджмента качества. Требования для целей регулирования);

- ISO/TR 14969:2004, Medical devices - Quality management systems - Guidance on the application of ISO 13485:2003 (Медицинские приборы. Системы менеджмента качества. Руководство по применению ИСО 13485:2003);

- IEC 62304:2006, Medical device software - Software life cycle processes (Программное обеспечение медицинских приборов. Процессы жизненного цикла программного обеспечения);

- ISO 14971:2007, Medical devices -Application of risk management to medical devices (Медицинские приборы. Применение менеджмента риска к медицинским приборам);

- IEC 80001-1:2010, Application of risk management for IT networks incorporating medical devices, Part 1: Roles, responsibilities and activities (Применение менеджмента рисков для ИТ-сетей с медицинскими приборами. Часть 1. Роли, ответственности и деятельность).

В центре внимания данных стандартов отражена заинтересованность медицинского приборостроения в предпродажных (т.е. проектирование и разработка) стадиях жизненного цикла приборов с программным обеспечением, включая программное обеспечение и медицинские приборы, работающие самостоятельно. Недавнее дополнение IEC/TR 80001-1 является признаком растущего внимания к подключению приборов к физической сети.

Поскольку понимание того, какое программное обеспечение считается самостоятельным медицинским изделием, существенно различается в разных странах, настоящий стандарт дает представление о передовых практических методах обеспечения безопасной разработки, внедрения и эксплуатации медицинского программного обеспечения независимо от того, работает ли оно как медицинское изделие. Настоящий стандарт рассматривает стандарты, которые могут предоставить полезное руководство для покупателей, специалистов по внедрению и пользователей, а также для разработчиков и производителей вплоть до конфигурирования, реализации и текущего использования при любых настройках и условиях работы. Анализ и рекомендации, представленные в настоящем стандарте, указывают, что медицинское программное обеспечение все чаще внедряется и эксплуатируется в сложной среде "экосистемы" или "социально-технологической системы", где программное обеспечение тесно связано с другими системами, технологиями, инфраструктурами и предметными областями (людьми, организациями и внешними условиями) и где оно также должно быть сконфигурировано, чтобы поддерживать локальные клинические и бизнес-процессы.

Следовательно, повышение безопасности пациента и риски, связанные с реализацией отдельных программных компонентов, должны оцениваться и управляться в рамках контекста реализуемой информационной структуры организации, используя стандарты и проверенные процессы, которые направляют и вовлекают как специалистов по информатизации здоровья, так и врачей на всех стадиях, а также используя семейство стандартов, которые обеспечивают безопасность медицинского программного обеспечения.

Раздел 4 рассматривает вопросы, связанные с обеспечением условий безопасности, и предоставляет концептуальный подход для оценки стандартов вместе с кратким описанием соответствующих стандартов.

Раздел 5 построен на этом основополагающем подходе, предоставляя аналитические оценки того, какие стандарты являются наиболее подходящими для различных стадий жизненного цикла программного обеспечения. В данном разделе также идентифицируются существующие проблемы и содержится практическое руководство по стандартам, представляющим передовые практические методы. Важно отметить, что, несмотря на то что нормативные документы, рассмотренные в настоящем стандарте, могут быть полезны для обеспечения безопасности медицинского программного обеспечения, во многих случаях они не были подготовлены специально для этой цели.

Кому следует ознакомиться с настоящим стандартом?