CC BY
51
ОБЩИЕ ВОПРОСЫ СТАНДАРТИЗАЦИИ
К ВОПРОСУ О КЛАССИФИКАЦИИ РИСКОВ ПРИМЕНЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В МЕДИЦИНЕ
А.П. Столбов
ФГАОУ ВО Первый Московский государственный медицинский университет им. И.М. Сеченова Минздрава России, Москва, Россия
Авторы заявляют об отсутствии возможных конфликтов интересов.
TO THE QUESTION OF RISK CLASSIFICATION OF THE SOFTWARE APPLICATION IN MEDICINE
A.P. Stolbov
I.M. Sechenov First Moscow State Medical University of the Ministry of Health of the Russian, Moscow, Russia
Proposed criteria for Software as a Medical Device (SaMD). The proposed classification of SaMD based on potential risk to the health of the patient. Describes the rules for identifying these risks and determining the risk class for SaMD.
Keywords: medical information systems, medical device, software, software as a medical device, risks of the use of software in medicine
Смартфоны, компьютеры и Интернет радикально изменили нашу жизнь. Возможность получения необходимой информации «в любом месте, в любое время и на любое устройство» стала
Authors declare lack of the possible conflicts of interests.
одним из ведущих факторов повышения безопасности и эффективности медицинской деятельности. Сегодня уже невозможно себе представить развитие здравоохранения без современных ин-
формационных технологий и систем (ИТ, ИС). Компьютер становится не только удобным средством учета и ведения медицинских документов, но и эффективным инструментом информационной и интеллектуальной поддержки работы врача [1]. В декабре 2013 г. Международным форумом регуляторов медицинских изделий (IMDRF, www.imdrf.org) было введено понятие «Software as a Medical Device» (SaMD) — «программное медицинское изделие» (далее ПМИ, программное изделие) [2—5]. Тем самым подчеркнута новая роль программного обеспечения (ПО) как одного из функциональных элементов современных медицинских технологий. При этом важнейшими требованиями являются безопасность и эффективность применения ПМИ — уверенность врача и пациента в адекватности и достоверности информации, формируемой программным изделием, которые обеспечиваются, в том числе путем выполнения соответствующих регистрационных и контрольных процедур на всех этапах его жизненного цикла [6—14].
Вместе с тем сегодня пока еще нет полного понимания и единого мнения относительно того, какими должны быть критерии и процедуры анализа и оценки рисков применения ПО в клинической практике, за исключением нескольких вполне очевидных случаев. В стандартах Международной организации стандартизации (ISO, www.iso.org) [8—14] и документах IMDRF [2—5] приведены только самые общие «рамочные» требования к указанным процедурам и метрикам. Кроме того, прошло уже достаточно много лет и современная медицинская наука, информатика и электроника развиваются чрезвычайно интенсивно-нормативные документы и стандарты быстро устаревают и становятся одним из факторов, сдерживающих внедрение новейших достижений науки и ИТ в клиническую практику.
Целью настоящей работы являются анализ и обсуждение возможных путей решения существующих сегодня проблем, связанных с введением в действие с 06.01.2015 г. новой Номенклатурной классификации медицинских изделий, утвержденной приказом Минздрава России от 06.06.2012 г. № 4н (в редакции приказа № 557н от 25.09.2014 г., далее Приказ № 4н), в части отнесения некоторых видов «медицинского» ПО к медицинским изделиям (МИ) и необходимостью его государственной регистрации с обяза-
тельным подтверждением качества, эффективности и безопасности.
В соответствии со ст. 38 Федерального закона «Основы охраны здоровья граждан в Российской Федерации» от 21.11.2011 г. № 323-ФЗ медицинские изделия подразделяются: а) на виды (далее Номенклатура видов); б) на классы — в зависимости от потенциального риска применения МИ (далее класс риска, КР).
В соответствии с постановлением Правительства РФ от 27.12.2012 г. № 1416 Номенклатура видов МИ ведется Росздравнадзором в электронном виде и публикуется на его официальном сайте — http://roszdravnadzor.ru/seryices/mi_reesetr.
Класс риска применения МИ определяется априорно по формальным правилам, которые разработаны «экспертным способом» и имеют институциональный характер — приняты на основе соглашений и утверждены официально.
Ключевыми вопросами, требующими решения, по нашему мнению, являются [15]:
— определение четких критериев отнесения ПО, применяемого для автоматизации лечебно-диагностического процесса, к медицинским изделиям;
— разработка и утверждение правил определения класса риска для ПМИ; в Приказе № 4н такие правила описаны только для ПО, предназначенного для применения совместно с медицинскими изделиями, непосредственно взаимодействующими с пациентом, а также для ПО, используемого для диагностики in vitro (ИВД).
Письмо Росздравнадзора от 30.12.2015 г. №01И-2538/15 «О регистрации программного обеспечения», к сожалению, не в полной мере проясняет эти вопросы.
Применение правил определения класса риска для медицинских изделий, утвержденных решением Коллегии ЕАЭС от 22.12.2015 г. № 173 (далее Решение № 173), для «медицинского» программного обеспечения также требует соответствующих официальных разъяснений.
В «Методических рекомендациях по обеспечению функциональных возможностей медицинских информационных систем медицинских организаций (МИС МО)», утвержденных 01.02.2016 г. Министром здравоохранения РФ (письмо Минздрава России от 05.02.2016 г. № 18-0/10/2-603), о регистрации ПО в качестве МИ ничего не сказано.
Далее будет рассматриваться только самостоятельное ПО, являющееся отдельным программным продуктом — объектом разработки, регистрации, производства, поставки и сопровождения (СПО). Встроенное в МИ (медицинскую технику, МТ) ПО, а также ПО в составе МИ или используемое в качестве принадлежности для МИ не является отдельным, самостоятельным изделием и далее здесь не рассматривается.
Критерии отнесения программного обеспечения к медицинским изделиям
Предлагается определить три категории самостоятельного ПО, которое относится к МИ и подлежит государственной регистрации (здесь и далее указаны условные буквенные обозначения категорий ПО, его функций и характеристик):
1) ПМТ — предназначенное производителем для применения совместно с медицинским изделием, непосредственно взаимодействующим с пациентом либо обеспечивающим необходимые условия для пациентов и персонала при осуществлении диагностических, лечебных и профилактических мероприятий или уходе за больными; определение класса риска для данной категории ПО осуществляется по правилам, утвержденным Решением № 173.
2) ПИВ — предназначенное производителем для применения в системах для ИВД: для управления роботизированной лабораторной техникой; работы с биочипами; визуализации и/или обработки измерительной информации, диагностических изображений; анализа и/или интерпретации результатов; класс риска для данной категории ПО также определяется по правилам, утвержденным Решением № 173.
ПМИ — программное медицинское изделие — если оно не относится к указанным выше категориям ПО и предназначено производителем для выполнения одной или нескольких следующих функций при оказания медицинской помощи пациенту (далее клинически важные функции, КВФ), в том числе, возможно, совместно с другим ПО или базами данных, указанными в технической и эксплуатационной документации: • МФ — мониторинга физиологических параметров организма пациента (в том числе удаленного) и автоматического распознавания (обнаружения) определенных состояний и ситуаций;
• ВД — визуализации (отображения) файлов медицинских изображений и диаграмм (например ЭКГ), сформированных рентгеновскими, магнитно-резонансными, ультразвуковыми и другими диагностическими приборами, записанными на машинных носителях информации в «вендор-независимых» (УМА) стандартных форматах ф1СОМ, SCP-ECG и др.);
• О И — формирования, обработки и анализа медицинских изображений, в том числе построения (реконструкции), визуализации и анализа индивидуальных анатомических 3D-и/или 4D-моделей пациента, наложения изображений, полученных различными методами или от разных источников, морфометричес-кого и структурного анализа изображений, выполнения геометрических измерений и т.д.;
• ОФ — обработки, визуализации и анализа записей (фонограмм) физиологических шумов или речи пациента;
• РД — расчета дозы лекарственного препарата, контрастного вещества, доз облучения, концентраций растворов и т.д.;
• ИД — интерпретации клинических данных, в том числе, например, данных инструментальных и/или лабораторных исследований, и формирования заключений и рекомендаций для принятия клинического (врачебного) решения;
• ВМ — вычислительного моделирования физиологических и патологических процессов для оценки и прогнозирования состояния пациента (исследования т sШco);
• АВ — формирования аудио- и/или видеопотока, воспроизводимого с помощью настольного компьютера, ноутбука, планшета или смартфона и воспринимаемого пациентом при выполнении лечебно-диагностических процедур, в том числе, возможно, с обработкой сигналов биологической обратной связи, вводимых с помощью клавиатуры, мыши, джойстика, сенсорного экрана и т.д.;
• ПН — проверки взаимодействия / совместимости лекарственных препаратов, диагностических исследований и/или лечебных процедур;
• МК — расчета показателей для оценки состояния пациента по «стандартным» формулам, шкалам, таблицам, скоринг-картам и т.д., апробированным клинической практикой, ко-
торые часто называют «медицинскими калькуляторами».
Заметим, что целесообразность отнесения программ для выполнения НП- и МК-функций к медицинским изделиям сегодня не представляется вполне очевидной. Имеется множество как бесплатных, так и коммерческих прикладных программ и Интернет-сервисов, предназначенных для выполнения указанных функций, которые достаточно давно и широко используются на практике. Каких-либо сведений о том, что они работают не корректно или с ошибками не отмечено.
Не вполне очевидным является также вопрос, следует ли относить к МИ программные средства МИС, предназначенные для ведения первичной медицинской документации — электронной медицинской карты пациента (ЭМК)? С одной стороны, ЭМК — это основной документ, содержащий всю необходимую информацию, используемую при принятии клинических решений и организации процесса ведения пациента. Поэтому доверие врача к ЭМК, с точки зрения гарантированной сохранности всех электронных записей в карте и отсутствия в них несанкционированных изменений (целостность информации), а также возможность чтения и записи в карту в любой момент, когда это потребуется (доступность информации), — это важнейшие требования к такого рода ПО, без чего невозможно обеспечить безопасность и качество медицинской помощи. С другой стороны, источники угроз нарушения целостности, доступности и конфиденциальности информации в ЭМК, а также меры, необходимые для их нейтрализации, относятся к области информационной безопасности (ИБ) [16]. Критерии оценки рисков ИБ, процедуры контроля выполнения требований по защите информации в медицинских ИС (оценка соответствия, аттестация и т.д.) существенно отличаются от критериев и процедур, применяемых сегодня для обеспечения безопасности обращения МИ. Поэтому отнесение к медицинским изделиям ПО, предназначенного для ведения ЭМК, по нашему мнению, в настоящее время нецелесообразно — подтверждение безопасности его применения в клинической практике должно осуществляться в форме оценки соответствия требованиям по защите информации либо аттестации МИС в соответствии с ГОСТ РО 0043—003 и ГОСТ РО 0043—004.
Таким образом, основными функциональными критериями отнесения ПО к ПМИ являются его применение для: а) обработки и/или визуализации данных, полученных от медицинских приборов, и/или б) формирования (вычисления) и отображения содержательно новой, клинически значимой информации, которая используется при принятии врачебных решений. При этом принципиально важно, что необходимые исходные данные для ПМИ могут поступать не только от МТ, но и из локальных или удаленных баз данных, ЭМК, других ИС и/или вводиться пользователем, которому затем отображаются результаты работы ПМИ.
Следует заметить, что в США ПО, применяемое для автоматизации медицинской деятельности, проходит обязательную сертификацию и регистрацию в ONC (англ. Office of the National Coordinator for Health Information Technology, www.healthit.gov) на соответствие требованиям интероперабельности и кибербезопасности (HI PAA-HITECH), а также при необходимости в FDA (англ. Food and Drug Administration, www.fda.gov) — как медицинское изделие для оценки безопасности для здоровья пациента и персонала. При этом в США, начиная с 2009 г., был разработан и принят целый пакет нормативных документов, содержащих детальные требования к безопасности применения медицинского ПО, в том числе кибербезопасности, и подробный перечень мер, направленных на нейтрализацию различного рода угроз.
Правила определения класса риска программного медицинского изделия
Класс риска применения ПМИ определяет требования к процессам и процедурам разработки, испытаний (оценка качества, эффективности и безопасности), регистрации, производства, применения (эксплуатации), сопровождения и мониторинга безопасности медицинского изделия. Чем выше класс риска МИ, тем больше «точек контроля» и тем более жесткие требования предъявляются к процессам и процедурам. Очевидно, что при разработке правил определения класса риска ПМИ необходимо исходить из принципа разумной достаточности на основе сочетания: а) требований обеспечения безопасности пациента и персонала, и б) сокращения общественных издержек, связанных с осуществлени-
ем контрольных процедур, обеспечивающих выполнение указанных требований на всех этапах его жизненного цикла.
При определении класса риска ПМИ будем пользоваться следующими определениями [11], (Решение № 173): вред — травмирование или нанесение ущерба здоровью человека (пациента), оборудованию или окружающей среде; опасность (угроза) — потенциальный источник вреда; опасная ситуация — обстоятельства, при которых люди, имущество или окружающая среда подвержены одной или нескольким опасностям; вероятность причинения вреда — произведение (суперпозиция) вероятностей воздействия опасностей и возникновения опасной ситуации; потенциальный риск применения МИ (далее риск) — комбинация вероятности причинения вреда при применении МИ в соответствии с назначением, определенным производителем, и тяжести этого вреда.
В данном случае «вред», «вероятность» и «риск» оцениваются в условиях существенной неопределенности и поэтому измеряются не количественной мерой (числом), а экспертно с использованием некоторой порядковой лингвистической шкалы. При этом количество градаций (классов) на шкале и различие между ними, как правило, основывается на выборе доступных процедур многокритериального экспертного оценивания.
Потенциальный риск применения ПМИ идентифицируется, оценивается и классифицируется в зависимости от последствий для здоровья пациента, к которым может привести неправильное применение, отказ или неправильная работа ПМИ, независимо от возможных причин — алгоритмических и/или программных ошибок в ПМИ, в применяемом совместно с ним прикладном и/или в системном ПО, неполных или неверных исходных данных, ошибок и/или неверных действий пользователя при работе с ПМИ, в том числе неправильной интерпретации сообщений, формируемых ПМИ, сбоев в работе средств вычислительной техники, а также отказа или нарушения в работе ПМИ, обусловленного внешним кибервоздействием. При этом считается, что во всех случаях пользователь: а) всегда следует предписаниям и рекомендациям, формируемым ПМИ; б) не может распознать неправильную работу программного изделия, при том, что неправильная работа ПМИ может привести даже к бо-
лее тяжелым последствиям, чем его явный «полный отказ».
Программные медицинские изделия в зависимости от степени потенциального риска применения, так же как и иные категории МИ, подразделяются на четыре класса: с низким (код 1), средним (2а), повышенным (2б) и высоким (3) риском.
Считается, что указанные классы риска ПМИ сопоставимы (соотносимы) с соответствующими классами для «материальных» МИ и изделий для ИВД, с учетом того, что содержательные определения классов риска для ИВД-изделий и иных категорий МИ различны (для ИВД-изделий класс риска определяется как сочетание «диагностического» риска для пациента (косвенный риск) и риска в виде биологической, химической, электрической и иных опасностей для персонала и общественного здоровья (прямой риск) [17].
Классификацию рисков применения ПМИ предлагается осуществлять в соответствии с [11] с помощью метода анализа и оценки риска по качественным признакам с использованием матрицы рисков «3 х 3» (табл. 1), оси которой — это лингвистические шкалы уровней: а) вероятности причинения вреда (табл. 2); б) тяжести вреда здоровью пациента (табл. 3), с учетом того, что количественная оценка вероятностей возникновения опасных ситуаций при использовании
Таблица 1
Классы риска: комбинации «Вероятность — Тяжесть вреда»
Уровень вероятности Последствия для здоровья пациента (тяжесть вреда)
значительный умеренный незначительный
Высокий 3 2б 2а
Средний 2б 2а 1
Низкий 2а 1 1
Таблица 2 Шкала уровней вероятности события (причинения вреда)
Уровень вероятности Описание
Высокий Средний Низкий Очень вероятно, что событие произойдет Есть вероятность, что событие произойдет Событие может произойти, но в большинстве случаев не произойдет
Таблица 3 Шкала уровней тяжести вреда
Уровень тяжести вреда Описание
Значительный Умеренный Незначительный Смерть или утрата функций организма или изменение анатомического строения тела Обратимая или незначительная травма (поражение) Отсутствие травмы (поражения) или очень незначительная травма (поражение)
ПМИ в общем случае не представляется возможной [3, 8, 9].
Каждой клетке матрицы (см. табл. 1) соответствует определенный уровень риска применения ПО. При этом для девяти возможных комбинаций определены четыре уровня — четыре класса риска, как это определено в Решении № 173.
Заметим, что формальное применение критериев и правил определения класса риска, изложенных в Приказе № 4н, для ПМИ не представляется вполне обоснованным и корректным. В соответствии с этими критериями практически все ПМИ будут иметь низкий класс риска (см. п. 4.1 для неинвазивных МИ в приложении № 2 к этому Приказу), как это отмечено в [3, 8, 9] и в целом ряде других публикаций, в общем случае не вполне оправданно и не безопасно, даже при том, что окончательное решение принимает врач.
Основные методологические трудности идентификации, априорной оценки и классификации (измерения) рисков применения ПМИ обусловлены тем, что источником возможного вреда является неверная информация на «выходе» ПМИ, которая может стать причиной врачебной ошибки, то есть имеет интеллектуальную, когнитивную природу, в отличие от источников возможного вреда при определении рисков применения «материальных» МИ и лекарственных препаратов. При этом источниками возникновения указанных потенциальных угроз в ПМИ могут быть:
— недостаточный уровень доказательности безопасности и эффективности критериев и правил принятия решений, описанных в клинических рекомендациях (протоколах), на основе которых разработано ПМИ;
— ошибки, допущенные при формализации указанных клинических правил и алгоритмов,
а также алгоритмические и/или программные ошибки, внесенные в процессе разработки ПМИ;
— неэргономичный интерфейс конечного пользователя, затрудняющий восприятие, понимание и интерпретацию отображаемой информации либо провоцирующий ошибки при вводе исходных данных и/или команд управления работой ПМИ [8, 9, 18];
— недостаточные объем и глубина тестирования разработанного программного обеспечения и верификации данных в используемых классификаторах и справочниках; следует заметить, что любое изменение программного кода и недостаточный объем регрессионного тестирования, могут стать причиной непредусмотренного изменения логики работы ПО и источником потенциальной угрозы для здоровья пациента;
— низкая защищенность от несанкционированного внешнего кибервоздействия на ПМИ, результатами которого могут быть потеря работоспособности или неправильная работа ПМИ, а также потеря или искажение данных [19].
Что касается угроз и рисков, связанных с технической надежностью компьютерной техники, то сегодня они уже практически не актуальны — как правило, используется вычислительная техника с достаточно высокой отказоустойчивостью.
Определение класса риска программного МИ осуществляется исходя из следующих положений:
1. Класс риска программного изделия определяется в зависимости от его назначения и наличия или отсутствия соответствующих признаков — классификационных характеристик, которые должны быть указаны в технической и/или эксплуатационной документации ПМИ. При этом при определении класса риска могут учитываться не все характеристики, указанные в документации.
2. Каждому классу риска соответствует определенный набор характеристик. При этом одному и тому же классу могут соответствовать несколько различных наборов (сочетаний) характеристик.
3. Программное изделие может обладать набором характеристик, одновременно соответствующим: а) нескольким разным классам риска, и/или б) нескольким разным сочетаниям (наборам) характеристик, соответствующих одному и тому же классу риска.
4. В тех случаях когда ПМИ обладает набором характеристик, соответствующих разным
классам, программному изделию присваивается класс, соответствующий наибольшей степени потенциального риска применения ПМИ.
5. Анализ, оценка и классификация рисков осуществляются на основе «принципа наихудшей ситуации» — при прочих равных условиях наиболее вероятным считается событие, которое приводит к наиболее тяжелым последствиям.
Класс риска самостоятельного ПО предлагается определять исходя из его функционального назначения:
а) для ПМТ и ПИВ — по правилам, утвержденным Решением № 173, в соответствии с классом риска МИ, для применения с которым оно предназначено производителем;
б) для ПМИ, предназначенных для выполнения МФ-функций, — на основе критериев и правил, описанных в Решении № 173, в которых при определении класса риска самостоятельное ПО рассматривается как активное МИ. В данном случае имеет место экстраполяция правил определения класса риска для активных МИ на ПМИ с учетом его функционального назначения. При этом полагаем, что понятия «самостоятельное программное обеспечение» и «программное медицинское изделие» — это синонимы;
в) для ПМИ, предназначенных для выполнения ВД-, ОИ- и РД-функций, — по аналогии с критериями для схожих по назначению МИ, описанных в Решении № 173;
г) для ПМИ, предназначенных для выполнения ИД- и ВМ-функций, — на основе рекомендованной документом IMDRF [3] классификационной матрицы «3 х 3» (табл. 4), в которой класс риска ПМИ определяется по сочетанию двух характеристик: а) значимости формируемой ПМИ выходной информации для принятия клинического решения; б) типа клиническая ситуации, для применения в которой предназначено ПМИ.
Значимость информации для принятия клинического решения оценивается с помощью следующей порядковой шкалы: РИ — решающая (определяющая) информация для принятия клинического диагностического и/или терапевтического решения (постановки диагноза, назначения лечения и т.д.); ВИ — важная информация, которая учитывается при принятии клинического решения, однако, не имеет решающего значения (предварительный результат не имеет критического медицинского статуса, требуются
Таблица 4
Матрица рисков «Клиническая ситуация — Значимость информации»
Клиническая ситуация (форма оказания медпомощи) Важность формируемой информации
решающая важная справочная
Экстренная 3 2б 1
Неотложная 2б 2а 1
Плановая 1 1 1
дополнительные исследования, сопоставление с другими данными и т.д.); СИ — информация, имеющая справочный или уведомительный характер (справочная информация), которая может быть учтена или полезна при принятии клинического решения. В тех случаях, когда непосредственным пользователем ПМИ является пациент либо лицо, осуществляющее уход за пациентом, полагается, что «выходная» информация (сигнал) воспринимается и понимается им однозначно, что должно быть предусмотрено и обеспечено при разработке ПМИ (см. [18]). Заметим, что формализация критериев значимости выходной информации для принятия клинического решения для различных функциональных классов ПМИ — это особая тема.
Тип клинической ситуации будем сопоставлять с формой оказания медицинской помощи: ЭФ — экстренная форма, когда требуется неотложное медицинское вмешательство при заболеваниях и/или состояниях, представляющих угрозу жизни пациента; НФ — неотложная форма, когда медицинская помощь оказывается при внезапных острых заболеваниях, состояниях, обострении хронических заболеваний без явных признаков угрозы жизни пациента; ПФ — плановая форма, когда помощь оказывается при заболеваниях и состояниях, не сопровождающихся угрозой жизни пациента, и отсрочка оказания которой на определенное время не повлечет за собой ухудшение состояния пациента, а также при оказании медицинской помощи с профилактической целью.
Каждой клетке матрицы (табл. 4) соответствует определенный класс риска ПМИ. При этом во всех случаях, если ПМИ формирует только справочную информацию (СИ), то ему присваивается низкий класс риска КР = 1.
При анализе и оценке рисков применения ПМИ необходимо исходить из того, что оконча-
тельное принятие клинического решения осуществляется врачом. Однако при этом надо учитывать, что неверная, искаженная, ошибочная информация, сформированная неправильно работающим ПМИ, может повлиять на решение врача, в том числе стать причиной врачебной ошибки. Поэтому следует считать, что неправильная работа ПМИ во всех случаях повышает вероятность врачебной ошибки по сравнению с «базовым» уровнем — без использования ПМИ. Низким уровень риска может считаться только в случаях, когда в соответствии с установленными процедурами (порядками, клиническими протоколами и т.п.) результат работы ПМИ должен и может быть каким-либо образом верифицирован — имеется возможность перепроверки результата, в том числе по времени; при этом полагается, что при оказании экстренной помощи такая верификация не представляется возможной, что повышает потенциальный риск применения ПМИ.
В качестве критериев при определении класса риска СПО используются следующие классификационные характеристики, с учетом того, что конкретное программное изделие может быть многофункциональным, например, применяться как с диагностической, так и с терапевтической целью:
1. Категория самостоятельного ПО медицинские назначения: ПМТ, ПИВ или ПМИ.
2. Функциональное назначение ПМИ — перечень КВФ, для выполнения которых предназначено программное изделие (см. выше).
3. Тип клинической ситуации — форма оказания медицинской помощи (ЭФ, НФ, ПФ), для применения в которой предназначено ПМИ. Как показали многочисленные исследования [1, 3, 8, 9], «стрессовая» ситуация при оказании экстренной помощи является источником повышенного риска врачебных ошибок или принятия не вполне адекватных клинических решений — фактором повышения потенциального риска применения программного изделия.
4. Значимость информации (РИ, ВИ, СИ), формируемой ПМИ и представляемой (отображаемой) пользователю в виде: а) текстовых сообщений и/или б) визуальных и/или звуковых сигналов, смысл которых заранее определен.
5. Специальные дополнительные признаки: ЖВ — применение ПМИ для диагностики или контроля параметров жизненно важных органов
и систем организма пациента — сердца, центральной системы кровообращения (ЦСК), дыхания, центральной нервной системы (ЦНС); СП — самостоятельное применение ПМИ пациентом для «самотестирования»; при этом полагается, что во всех случаях применение ПМИ пациентом осуществляется только «по назначению врача» и пациент обучен работе с ПМИ (прошел инструктаж, изучил инструкцию и т.д.).
Предлагаемые правила определения класса риска КР для «медицинского» СПО можно представить в виде следующих логических формул (критериев):
Р1: ПМТ V ПИВ ^ КР = КРМИ;
Р2: ПМИ л МФ ^ КР = 2а;
Р3: ПМИ л МФ л ЖВ ^ КР = 2б;
А1: ПМИ л МФ л СП ^ КР = 2а;
А2: ПМИ л МФ л ЖВ л СП ^ КР = 2б;
А3: ПМИ л (ВД V ОИ) ^ КР = 2а;
А4: ПМИ л РД ^ КР = 2а;
А5: ПМИ л РД л ЖВ ^ КР = 2б;
В1: ПМИ л (ИД V ВМ) л ЭФ л РИ ^ КР = 3;
В2: ПМИ л (ИД V ВМ) л ЭФ л ВИ ^ КР = 2б;
В3: ПМИ л (ИД V ВМ) л НФ л л (РИ л ВИ л ЖВ) ^ КР = 2б;
В4: ПМИ л (ИД V ВМ) л НФ л ВИ ^ КР = 2а;
В5: ПМИ л (ИД V ВМ) л ПФ л РИ л ЖВ ^ ^ КР = 2а.
Р0: ПМИ ^ КР = 1;
где символы V и л — это знаки логических операций «ИЛИ» (дизъюнкция) и «И» (конъюнкция) соответственно, ^ — знак логического следствия (импликации: «если... , то...»).
Формула Р1 означает, что если СПО относится к категориям ПМТ или ПИВ, то ему присваивается тот же класс риска, что и для МИ, для работы с которым оно предназначено; здесь КРМИ — класс риска МИ, который определяется по правилам, описанным в Решении № 173. Формула Р2 — если СПО относится к ПМИ и используется для диагностики или мониторинга (МФ) жизненно важных функций организма (кроме сердца, ЦСК, ЦНС и системы дыхания), то ему присваивается средний класс риска КР = 2а; формула Р3 — если ПМИ применяется для диагностики или мониторинга жизненно важных органов или систем организма (ЖВ),
то ему присваивается повышенный класс риска КР = 2б.
Формулы А1 и А2 означают, что если ПМИ предназначены для контроля жизненно важных функций, систем и органов (МФ) самим пациентом (СП), то они имеют такой же класс риска, как и аналогичные ПМИ для профессионального использования (см. формулы Р2 и Р3), — по аналогии с п. 39 для МИ для ИВД, предназначенных для самотестирования, в Решении № 173. Формула А3 означает, что если ПМИ предназначено для визуализации (ВД), формирования и обработки (ОИ) медицинских изображений, то оно относится к классу риска 2а, — по аналогии с классом риска МИ для регистрации изображений, получаемых от диагностических аппаратов (см. п. 22 в Решении № 173). Критерии А4 и А5 определения класса риска ПМИ, предназначенного для расчета параметров дозы лекарственного препарата, контрастного вещества и т.п. (РД), также сформулированы по аналогии с критериями, описанными в Решении № 173 для МИ, предназначенных для введения лекарственных препаратов (п. 17) и контроля уровней лекарств (п. 38(з)).
Критерии В1-В5 для ПМИ, предназначенных для вычислительного моделирования патофизиологических процессов (ВМ) или интерпретации клинических данных (ИД), определены на основе классификационной матрицы — см. табл. 4. Формула В1 означает, что если ПМИ применя-
ется при оказании экстренной медицинской помощи (ЭФ) и формируемая информация имеет решающее значение для принятия клинического решения (РИ), то ПМИ имеет высокий класс риска КР = 3; формула В2 — для аналогичной ситуации, если выходная информация имеет важное значение (ВИ), то ПМИ имеет повышенный класс риска КР = 2б. Формулы В3 и В4 описывают критерии для ситуаций оказания неотложной помощи (НФ); формула В5 — для плановой помощи (ПФ). Признак ЖВ в указанных ситуациях является фактором повышения класса риска относительно соответствующего уровня, указанного в табл. 4. Заметим, что в соответствии с критериями, описанными в Решении № 173, программные изделия, предназначенные для выполнения ВМ- и ИД-функций, имеют низкий класс риска, даже в том случае, если формируемая ими информация может иметь решающее значение при принятии клинического решения, связанного с медицинским вмешательством с высокой степенью риска. Однако сегодня такого рода ПО в отечественной клинической практике используется очень редко, в основном оно применяется в научных и учебных целях, например в симуляторах. Формула Р0 означает, что во всех остальных случаях ПМИ имеет низкий класс риска КР = 1.
Для удобства и наглядности критерии определения класса риска ПО представлены в виде матрицы (табл. 5). Строки матрицы соответствуют
Таблица 5
Классификационная матрица рисков применения СПО
Класс риска Примечания
15 16
3 п. 28, п. 35; Р1
3 В1;таблица 4
2б п. 28, п. 35; Р1
2б п. 15(в), п. 39; Р3, А2
2б п. 17, п. 38(з); А5
2б В2; таблица 4
2б В3; таблица 4
2б В3; таблица 4
2а п. 28, п. 35; Р1
2а п. 15(в), п. 39; Р2, А1
2а п. 22; А3
2а п. 17; А4
2а В4; таблица 4
2а В5; таблица 4
1 п. 28, п. 35; Р1
1 п. 6, п. 18, п. 35; Р0
№
ПМТ, ПИВ
КР
ПМИ
МФ
ВД, ОИ
РД
ИД, ВМ
ЖВ
ЭФ
НФ
ПФ
РИ
ВИ
10
11
12
13
14
1
2
3
4
5
6 7
9
10 11 12
13
14
15
16 17
2б
2а
+ + + + + + + + + +
+ + +
+ +
+ +
+ +
+ +
3
4
5
6
7
8
3
+
+
+
+
+
+
+
+
+
+
+
+
+
+
1
+
+
приведенным выше критериям; знак «+» в графах 2—14 означает наличие соответствующего классификационного признака; в графе 15 указан код риска ПО, устанавливаемый при данном сочетании признаков; в графе 16 приведены ссылки на соответствующие пункты в Решении №173 и логические формулы. Признак СП не включен в классификационную матрицу, поскольку класс риска для МФ-изделий не зависит от того, предназначены они для профессионального или самостоятельного использования пациентом (см. формулы Р2, Р3, А1 и А2). Аналогично, признак СИ также не включен в матрицу (см. табл. 4).
В строках 1, 3, 10 и 16 табл. 5 приведены критерии определения класса риска ПМТ и ПИВ (см. формулу Р1), в остальных строках — критерии для определения класса риска ПМИ: в строках 4 и 11 — критерии, описанные в Решении № 174 (формулы Р2, Р3); в строках 5, 12 и 13 — сформированные по аналогии с критериями для схожих по назначению МИ, описанных в Решении № 173 (формулы А3—А5); в строках 2, 6—9 и 14—15 — сформированные на основе рекомендаций IMDRF для ПМИ, предназначенных для компьютерного моделирования патологических и физиологических процессов и интерпретации клинических данных (формулы В1—В5, см. табл. 4).
Описанные выше функциональная классификация ПМИ и дополнительные критерии расширяют правила определения класса риска «медицинского» самостоятельного ПО, утвержденные Решением № 173, что, по нашему мнению, вполне соответствует основным тенденциям развития и новой роли программного обеспечения в современных медицинских технологиях, когда компьютер становится эффективным инструментом, предназначенным не только для информационной, но и для интеллектуальной поддержки работы врача, снижения количества врачебных ошибок и повышения безопасности пациентов.
В качестве методической основы при разработке процедур, обеспечивающих приемлемый риск и безопасность ПМИ на различных этапах его жизненного цикла, следует использовать нормативно-технические документы, регламентирующие требования к «традиционным» медицинским изделиям и ПО, входящему в их состав,
которых за последнее время было принято достаточно много (см. перечень литературы). В [13] приведен обзор основных стандартов ISO по безопасности медицинского ПО, в том числе кибер-безопасности. Большинство этих документов имеет «рамочный» характер — в них описываются общие требования, подходы и принципы. Целесообразно разработать специальные руководства по практическому применению этих стандартов для различных функциональных классов ПМИ с учетом особенностей их использования в клинической практике, а также разработать типовые программы и методики испытаний для различных видов и классов ПМИ.
В составе «медицинского» ПО целесообразно по возможности выделять «клинически важные» модули и именно их регистрировать как медицинские изделия (ПМИ), подобно тому, как это делается для «метрологического» ПО [20]. Некоторые особенности оценки риска применения ПО при выделении таких «потенциально опасных» модулей описаны в [10, 12]. Выделение в архитектуре МИС функциональных подсистем и модулей, реализующих клинически важные функции, позволит сократить издержки на контрольно-регистрационные процедуры и совокупные затраты на разработку и внедрение ПМИ в целом.
ВЫВОДЫ
1. Представляется необходимым формализовать и утвердить единые критерии отнесения ПО, используемого в медицинских организациях, к медицинским изделиям.
2. В Номенклатуре видов МИ для самостоятельного ПО, в том числе ПМИ, целесообразно определить специальные группы и подгруппы и присвоить им соответствующие классификационные коды, с указанием этих кодов в описании видов МИ (как это сделано сейчас для ПО для ИВД — код группы 5.3).
3. Виды ПО, предназначенного только для ведения медицинской документации, выполнения административных и учетных функций, в том числе ведения регистров, управления ресурсами медицинской организации и т.д., следует исключить из Номенклатуры видов медицинских изделий.
4. Необходимо разработать и утвердить правила определения класса риска для программных медицинских изделий.
5. Важнейшей задачей является разработка типовых требований и методических рекомендаций по оценке качества, эффективности и безопасности для различных функциональных классов ПМИ.
В заключение хотелось бы еще раз отметить, что отсутствие в нормативно-методических документах четких и понятных критериев определения класса риска ПМИ, а также достаточно большие затраты и сроки регистрации МИ могут стать причиной некоторого снижения общих темпов внедрения в медицинские ИС функций, обеспечивающих информационную и интеллектуальную поддержку деятельности врача. Поэтому разработка указанных выше нормативных и методических документов — это сегодня одна из приоритетных задач информатизации здравоохранения.
Автор будет признателен всем, кто пришлет свои замечания и предложения по выше описанным вопросам по адресу электронной почты: ap100Lbov@mail.ru.
ЛИТЕРАТУРА
1. Кобринский Б.А. и др. Интеллектуальные и информационные системы в медицине: мониторинг и поддержка принятия решений: сборник статей. М.—Берлин: Ди-рект-Медиа, 2016. 529 с.
2. IMDRF/SaMD WG/N10:2013 Software as a Medical Device: Key Definitions, 9 December 2013. Доступно по: http://imdrf.org/docs/imdrf/final/technical/imdrf-tech-131209-samd-key-definitions-140901 .docx. Ссылка активна на 10.02.2017.
3. IMDRF/SaMD WG/N12:2014 Software as a Medical Device: Possible Framework for Risk Categorization and Corresponding Considerations, 18 September 2014. Доступно по: http://imdrf.org/docs/imdrf/final/technical/imdrf-tech-140918-samd-framework-risk-categorization-141013.docx. Ссылка активна на 10.02.2017.
4. IMDRF/SaMD WG/N23:2015 Software as a Medical Device: Application of Quality Management System, 2 October 2015. Доступно по: http://imdrf.org/docs/imdrf/fi-nal/technical/imdrf-tech-151002-samd-qms.docx. Ссылка активна на 10.02.2017.
5. IMDRF/SaMD WG(PD1 )/N41R3:2016 Software as a Medical Device: Clinical Evaluation, 13 December 2016. Доступно по: http://imdrf.org/docs/imdrf/final/consul-tations/imdrf-cons-samd-ce.docx. Ссылка активна на 10.02.2017.
6. Порядок организации и проведения экспертизы качества, эффективности и безопасности медицинских изделий. Приказ Минздрава России от 21.12.2012 г. № 1353н (в ред. приказа от 03.06.2015 № 303н). Доступно по: http://www.roszdravnadzor.rU/i/upload/images/2015/ 7/20/1437394198.34969-1-17635.rtf. Ссылка активна на 10.02.2017.
7. Порядок проведения оценки соответствия медицинских изделий в форме технических испытаний, токсикологических исследований, клинических испытаний в целях государственной регистрации медицинских изделий. Приказ Минздрава России от 09.01.2014 № 2н. Доступно по: http: //www. roszdravnadzor. ru/i/upload/ images/2014/10/3/1412330435.10464-1-22344.rtf. Ссылка активна на 10.02.2017.
8. ГОСТ Р ИСО/ТС 25238—2009 Классификация угроз безопасности от медицинского программного обеспечения. Доступно по: http://gostinform.ru/gosty/gost-r-iso-ts-25238-2009.shtml. Ссылка активна на 10.02.2017.
9. ГОСТ Р ИСО/ТО 27809—2009 Меры по обеспечению безопасности пациента при использовании медицинского программного обеспечения. Доступно по: http:// gostinform.ru/gosty/gost-r-iso-to-27809-2009.shtml. Ссылка активна на 10.02.2017.
10. ГОСТ Р МЭК 62304—2013 Изделия медицинские. Программное обеспечение. Процессы жизненного цикла. Доступно по: http://gostinform.ru/gosty/gost-r-iso-to-27809-2009.shtml. Ссылка активна на 10.02.2017.
11. ГОСТ ISO 14971—2011 Изделия медицинские. Применение менеджмента риска к медицинским изделиям. Доступно по: http://meganorm.ru/Data2/1/4293783/ 4293783231.pdf. Ссылка активна на 10.02.2017.
12. ГОСТ Р 55544—2013 / IEC/TR 80002-1:2009 Программное обеспечение медицинских изделий. Часть 1 Руководство по применению ИСО 14971 к программному обеспечению изделий. Доступно по: http:// meganorm.ru/Index/54/54965.htm. Ссылка активна на 10.02.2017.
13. ГОСТ Р 56849—2015 / ISO/TR 17791:2013 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения. Доступно по: http://meganorm.ru/Data2/1/4293755/ 4293755543.pdf. Ссылка активна на 10.02.2017.
14. ГОСТ Р 56429—2015 (GHTF/SG5/N2R8:2007) Изделия медицинские. Клиническая оценка. Доступно по: http://meganorm.ru/Index/60/60388.htm. Ссылка активна на 10.02.2017.
15. Столбов А.П. Об отнесении программного обеспечения к медицинским изделиям. Информационно-измерительные и управляющие системы. 2015; 10: 3—7.
16. ГОСТ Р 57301—2016 / ISO/TS 14441:2013 Информатизация здоровья. Требования защиты и конфиденциальности систем EHR (ЭМК), используемые при оценке соответствия. Доступно по: http://meganorm.ru/ Index/64/64025.htm. Ссылка активна на 10.02.2017.
17. ГОСТ Р 51088—2013 Медицинские изделия для диагностики ин витро. Реагенты, наборы реагентов, тест-системы, контрольные материалы, питательные среды. Требования к изделиям и поддерживающей документации. Доступно по: http://meganorm.ru/Data2/1/ 42937 74/42937 74199.pdf. Ссылка активна на 10.02.2017.
18. ГОСТ Р МЭК 62366—2013 Изделия медицинские. Проектирование медицинских изделий с учетом эксплуатационной пригодности. Доступно по: http:// meganorm.ru/Index/55/55434.htm. Ссылка активна на 10.02.2017.
19. Столбов А.П. Об определении классов кибербезопас-ности медицинской техники. Проблемы стандартизации в здравоохранении. 2016; 7-8: 14—21.
20. ГОСТ Р 8.654—2015 Государственная система обеспечения единства измерений. Требования к программному обеспечению средств измерений. Основные положения. Доступно по: http://meganorm.ru/Data2/1/ 4293763/4293763494.pdf. Ссылка активна на 10.02.2017.
Поступила 28.02.2017 Принята к опубликованию 10.03.2017
REFERENCES
1. Kobrinskyi B.A. et al. Intellectual and information systems in medicine: monitoring and decision support: a collection of articles. M.—Berlin: Direkt-Media, 2016. 529 p. (in Russ.).
2. IMDRF/SaMD WG/N10:2013 Software as a Medical Device: Key Definitions, 9 December 2013. Available at ht-tp://imdrf.org/docs/imdrf/final/technical/imdrf-tech-131209-samd-key-definitions-140901.docx. Accessed on 10.02.2017.
3. IMDRF/SaMD WG/N12:2014 Software as a Medical Device: Possible Framework for Risk Categorization and Corresponding Considerations, 18 September 2014. Available at http://imdrf.org/docs/imdrf/final/technical/imdrf-tech-140918-samd-framework-risk-categorization-141013.docx. Accessed on 10.02.2017.
4. IMDRF/SaMD WG/N23:2015 Software as a Medical Device: Application of Quality Management System, 2 October 2015. Available at http://imdrf.org/docs/imdrf/fi-nal/technical/imdrf -tech-151002 - samd - qms.docx. Accessed on 10.02.2017.
5. IMDRF/SaMD WG(PD1 )/N41R3:2016 Software as a Medical Device: Clinical Evaluation, 13 December 2016. Available at http://imdrf.org/docs/imdrf/final/consulta-tions/imdrf-cons-samd-ce.docx. Accessed on 10.02.2017.
6. The order of the organization and carrying out of examination of quality, efficiency and safety of medical products. Order of the Ministry of Health of 21.12.2012 № 1353n (edition of order from 03.06.2015 № 303н). Available at: http://www.roszdravnadzor.ru/i/upload/imag-
es/2015/7/20/1437394198.34969-1-17635.rtf. Accessed on 10.02.2017.
7. The order of the organization and carrying out of examination of quality, efficiency and safety of medical products. Order of the Ministry of Health of 21.12.2012 № 1353n (edition of order from 03.06.2015 № 303н). Available at: http://www.roszdravnadzor.ru/i/upload/images/2015/ 7/20/1437394198.34969-1-17635.rtf. Accessed on 10.02.2017.
8. GOST R ISO/TS 25238—2009 Health informatics. Classification of safety risks from health software. Available at
http://gostinform.ru/gosty/gost-r-iso-ts-25238-2009.shtml. Accessed on 10.02.2017.
9. GOST R ISO/TR 27809—2009 Health informatics. Measures for ensuring patient safety of health software. Available at http://gostinform.ru/gosty/gost-r-iso-to-27809-2009.shtml. Accessed on 10.02.2017.
10. GOST R IEC 62304—2013 Medical device. Software. Life cycle processes. Available at http://gostin-form.ru/gosty/gost-r-iso-to-27809-2009.shtml. Accessed on 10.02.2017.
11. GOST ISO 14971—2011 Medical devices. Application of risk management to medical devices. Available at http:// meganorm.ru/Data2/1/4293783/4293783231.pdf. Accessed on 01.04.2017.
12. GOST R 55544—2013 / IEC/TR 80002-1:2009 Medical devices software. Part 1. Guidance on the application of ISO 14971 medical devices software. Available at http:// meganorm.ru/Index/54/54965.htm. Accessed on 10.02.2017.
13. GOST R 56849—2015 / ISO/TR 17791:2013 Health informatics. Guidance on standards for enabling safety in health software. Available at http://meganorm.ru/Data2/ 1/4293755/4293755543.pdf. Accessed on 10.02.2017.
14. GOST R 56429—2015 (GHTF/SG5/N2R8:2007) Medical devices. Clinical evaluation. Available at http://mega-norm.ru/Index/60/60388.htm. Accessed on 10.02.2017.
15. Stolbov A.P. On the attribution of software to medical devices. Information-measuring and control systems. 2015; 10: 3—7 (in Russ.).
16. GOST R 57301—2016 / ISO/TS 14441:2013 Health informatics. Security and privacy requirements of EHR systems for use in conformity assessment. Available at http : //meganorm. ru/Index/64/64025. htm. Accessed on 10.02.2017.
17. GOST R 51088—2013 In vitro diagnostic medical devices. Reagents, kits, the test-systems, control materials, culture media. Requirements to devices and to supporting documentation. Available at http://meganorm.ru/Data2/ 1/4293774/4293774199.pdf. Accessed on 01.04.2017.
18. GOST R IEC 62366—2013 Medical devices. Application of usability engineering to medical devices. Available at ht-tp://meganorm.ru/Index/55/55434.htm. Accessed on 10.02.2017.
19. Stolbov A.P. On the definition of classes of cybersecurity of medical equipment. Problems of standardization in health care. 2016; 7-8: 14—21. (in Russ.).
20. GOST R 8.654—2015 State system for ensuring the uniformity of measurements. Requirements for software of measuring instruments. Main principles. Available at http://meganorm.ru/Data2/1/4293763/4293763494.pdf. Accessed on 10.02.2017.
Received 28.02.2017 Accepted 10.03.2017
Сведения об авторе:
Столбов Андрей Павлович — д.т.н., профессор Высшей школы управления здравоохранением Первого московского государственного медицинского университета им. И.М. Сеченова. 109004, г. Москва, ул. Александра Солженицына, 28. Тел.: 8-495-724-70-46. E-mail: ap100Lbov@mail.ru
About the author:
Stolbov Andrei Pavlovich — Doctor of Technical Sciences, professor of Higher School of Health Management, I.M. Sechenov First Moscow State Medical University. 109004, Moscow, 28, Aleksandra Solzhenitsyna St. Tel: 8-495-724-70-46. E-mail: ap100Lbov@mail.ru
