医疗设备软件静态和动态分析技巧 医疗器械软件开发中的风险管理

摘要

上一篇文章我们简单介绍了医疗设备软件关于风险方面的相关背景和两个技巧。这篇文我们将继续介绍剩下的三个技巧，以及如何管理风险。

4. 动态分析

静态分析将源代码解析为文本，并在不执行单个指令的情况下根据解析器输出得出所有结果，而动态应用程序安全测试（DAST）则为代码提供了不同的视角。它检查运行中的代码，显示代码覆盖率、充分性和单元测试的质量、内存泄漏和其他潜在的弱点问题。

技巧3：灵活使用运行时环境

“嵌入式”一词涵盖了许多设备，从具有数千字节 RAM 和闪存的 8 位 MCU 到具有千兆字节 RAM 和高速 SSD 的 64 位多核 CPU。如果设备的日常操作需要最少的内存和处理能力，制造商可能会选择仅满足其需求的硬件，也可能因为尺寸、重量或成本限制。

虽然它们通常会留出一些用于软件更新和维护的可用硬件资源，但当涉及到对软件进行动态分析工具检测时，这可能仍然不够，因为与正常操作模式相比，该过程将需要大量的 RAM 和存储空间来收集测试和代码覆盖率结果。

因此，当设备上的内存量太低而无法运行测试和收集代码覆盖率时，目标平台可能不适合收集单元和集成测试的代码覆盖率。

如果您的主要目标平台不支持做动态分析，请搜索有效的替代平台。可能有一个同类型的平台，具有更多接口和内存，并且被动态分析工具支持，因此客户可以很轻松地在这个平台上进行单元测试和一些集成测试。另一种选择是硬件模拟器，也就是我们常说地simulator，比如QEMU 的硬件模拟器，它可以支持运行ARM可执行程序。

虽然在目标平台上运行测试是最理想的，但很多时候团队选择在开发人员工作站（例如 Linux、Mac、Windows）上执行单元测试和一些应用程序集成测试，这样可以节省更多的时间，加快了开发周期。在这种情况下，用户需要移植嵌入式代码，让这些代码可以使用主机编译器进行编译，但这个过程会有一些挑战。

有很多编译器、构建工具、框架和运行它们的方法。动态分析工具支持一些常见的构建技术，并且有对应的材料，让开发人员快速上手。但是即使代码是可移植的，项目团队很可能需要额外的时间来根据项目构建系统的工作方式来调整动态分析工具的设置。

强烈建议在进行这类工作前，进行工作时间和成本评估，以便从长远角度为未来的发展找到最佳方法。

技巧4：不要过度依赖自动生成的测试用例

现代动态分析工具会自动生成单元测试用例以增加代码覆盖率。但工具只是工具。它们不知道如何使用业务代码的各种场景，特别是当用户尝试增加代码覆盖率并跨越纯单元测试和集成测试之间的界限时。用户仍然需要手动更新生成的单元测试，甚至编写新的单元测试用例，因为只有用户知道代码在涉及正面和负面测试结果时的用途。

关键区域中的一组选定文件可以自动生成每个文件覆盖范围从 40% 到 100% 的单元测试。但平均而言，对于整个项目，数值可能在 25% 到 60% 之间变化。

此外，仅使用源代码作为输入的自动生成的单元测试通常可以在有错误的代码上完美运行。自动生成测试用例应该作为开始单元测试过程的良好开端，手动创建测试用例的过程可以提高代码的质量，因为它强制进行额外的代码审查并为代码结构设计提供了不同的考虑方向。

技巧5：不要低估工具验证和确认的工作量

FDA 要求正式开发过程中使用的任何工具都必须针对预期用途进行验证，以确保其执行预期的操作并产生正确的结果。通常，这是一种称为 IUV（预期用途验证）的特殊测试协议。

业界领先的静态和动态分析工具供应商可帮助生成必要的程序和文档，这对于最大限度地减少用户的工作量非常有帮助。Parasoft 的解决方案特别有价值，因为它实现了大部分流程的自动化。与任何其他通用包一样，用户可能需要花费一些时间来审查和调整文档，以便将它们与用户自己的 QMS 程序同步。例如，Parasoft 的工具资格套件提供了一组要在用户的环境中执行的测试用例，以验证静态和动态分析功能。

5. 5个技巧回顾

将编译器警告视为错误。对于同一编译器的较新版本，警告可能会变成错误。警告通常意味着编译器隐式执行某些操作：

在项目早期运行静态分析工具并修复出现的问题

保持代码可移植。即使您不打算将产品移植到另一个平台，这也可能是未来的一个选择。另一方面，这也将有助于保持代码干净、可维护和可读，这总是有利于审查和进一步支持

不要过度依赖自动生成的测试用例来提高代码质量

不要低估验证工具是否达到预期用途的需求和工作量

6. 医疗器械软件开发中的风险管理

在开发医疗设备软件时，管理风险是该过程的关键组成部分。医疗设备软件通常很复杂，必须在严格的基准范围内运行，以确保医疗设备的安全性和效率。因此，识别、分析和减轻开发过程中可能出现的潜在风险至关重要。

医疗设备软件开发中的有效风险管理涉及许多不同的活动， 这些可能包括：

识别与设备及其软件相关的潜在危险和风险

评估风险的可能性和严重性

实施风险控制以减轻或消除风险

随着时间的推移监控这些控制措施的有效性

此外，医疗设备软件开发中的风险管理还需要深入了解医疗软件缺陷可能造成的危害程度。这可以通过风险索引来完成，风险索引根据风险的严重程度对风险进行分类。

在医疗设备软件方面，建立风险指数有助于确定风险管理指标，例如在软件发布使用之前应进行的所需测试、验证和确认级别。它还可以帮助为确保软件持续安全性和有效性所需的持续测试、监控和维护定下基调。

安全完整性等级 (SIL) 示例表

6.1 风险管理在医疗器械软件开发中的重要性

有效的风险管理对于医疗设备软件的开发至关重要。即使是很小的错误或疏忽也可能给医疗保健部门的患者带来严重后果。因此，在开发过程中尽早识别和减轻潜在风险至关重要。以下是风险管理在医疗设备软件开发中很重要的一些原因：

1．确保患者安全。 医疗设备软件故障可能会导致生命安全。有效的风险管理有助于识别潜在风险并在对患者造成伤害之前减轻风险。

2．确保合规性。 医疗设备软件开发须遵守 FDA 和 EU MDR 等监管机构制定的监管要求。遵守这些法规对于避免处罚和降低产品召回的可能性至关重要。它还可以使医疗器械制造商免于为其产品造成的任何伤害承担责任，从而避免法律和财务后果。

3．节省时间和金钱。 有效的风险管理有助于减少处理产品问题和法律诉讼的时间和成本 在软件开发生命周期的早期识别风险可以防止以后出现问题并防止产品上市时间的延迟。

4．提高声誉。 没有医疗器械制造商愿意冒声誉不佳的风险，因为声誉受损会在很大程度上影响公司。有效的风险管理有助于证明制造商致力于患者安全和产品质量，这可以提高公司的声誉。   

6.2 医疗器械软件开发中风险管理的关键要素

在医疗设备软件开发中进行风险管理可能很复杂。然而，有一些关键要素可以作为医疗设备软件开发人员和质量保证测试人员的指南, 这是其中五个：

1．从风险识别开始。 风险管理的第一步是识别与医疗设备软件开发过程相关的潜在风险。这可以通过对软件设计、开发和测试过程的彻底分析来完成。潜在风险包括软件故障、数据安全漏洞和硬件故障。

2．进行风险评估。 一旦识别出风险，下一步就是评估每个风险的严重性和可能性。这涉及考虑风险的严重性、风险发生的可能性及其潜在后果等因素。

3．制定风险缓解和控制措施。 此时，目标是制定风险缓解策略以减少或消除已识别的风险。这可能包括重新设计软件、实施安全功能或提供用户培训。开发人员还可以制定风险控制措施，通过重新设计软件、实施额外的安全功能或为设备开发用户手册和培训计划等措施，最大限度地减少或消除已识别的风险。

4．监控风险。 监控医疗设备软件中的潜在风险应该是一个持续过程。这意味着即使风险缓解和控制策略已经到位，在整个软件开发生命周期中继续监控风险也至关重要。这可能涉及对软件的持续测试和评估，以确保其继续按预期运行并且不会带来任何新的风险。

5．记录风险。 记录所有风险管理活动非常重要，包括风险评估、风险缓解策略和持续监控。该文档对于证明遵守法规要求并确保在整个软件开发过程中有效管理风险至关重要。

总结：

风险管理是医疗设备软件开发的一个重要方面。对医疗设备进行静态和动态分析是评估医疗设备软件风险的两种最佳方法。

通过静态和动态分析，医疗设备软件开发人员可以及早识别潜在风险，防止对患者造成伤害，确保合规性，节省时间并构建不易受到网络攻击的软件。

幸运的是，Parasoft 提供了一套全面的软件测试自动化解决方案，支持 C/C++、Java 和 .NET 应用程序中医疗设备测试的各种最佳实践。这些工具已被证明可以增强医疗设备软件的安全性、可靠性和用户体验。

审核编辑：汤梓红