Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 30 декабря 2015 г. N 2241-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАТИЗАЦИЯ ЗДОРОВЬЯ
РУКОВОДСТВО ПО СТАНДАРТАМ БЕЗОПАСНОСТИ
МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Health informatics. Guidance on standards for enabling
safety in health software
ISO/TR 17791:2013
Health informatics - Guidance on standards
for enabling safety in health softwares
(IDT)
ГОСТ Р 56849-2015/ISO/TR 17791:2013
Группа П85
ОКС 35.240.80
ОКСТУ 4002
Дата введения
1 ноября 2016 года
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного аутентичного перевода русский язык международного документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO TC 215
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 декабря N 2241-ст
4 Настоящий стандарт идентичен международному документу ISO/TR 17791:2013 "Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения" (ISO/TR 17791:2013 "Health informatics - Guidance on standards for enabling safety in health software").
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Повышение безопасности пациентов
Безопасность пациентов является одной из основных общемировых проблем в здравоохранении. Как отмечается в публикации ИСО/ТК 215 "Сводный отчет экспертной группы по качеству обслуживания и безопасности пациента" (ISO/TC 215 Summary Report from the Task Force on Patient Safety and Quality) 2010 г., прошло более десяти лет с выпуска фундаментальной публикации в 1999 г. "Человеку свойственно ошибаться: создание более надежной системы здравоохранения" Института медицины (ИМ) [1], [2].
С 1999 г. безопасность пациентов являлась объектом пристального внимания во время обсуждений и принятия решения на национальном и международном уровнях. Появились передовые практические решения в области обеспечения безопасности пациентов, связанные с созданием документов, описывающих первопричины риска, а также методы его анализа, предотвращения и ослабления. Эти решения повлияли на национальные и общемировые подходы к повышению безопасности пациентов. Образовательные программы, национальные кампании, первостепенные задачи местных больниц, неблагоприятные события и инструменты создания отчетов об аварийных событиях, обучение менеджменту рисков и программы аттестации практикующих врачей по безопасности являются примерами постоянной работы по формированию культуры повышения безопасности пациентов и улучшению качества.
Такое внимание к безопасности пациентов стимулировало инвестирование в интероперабельные системы электронного медицинского архива (ЭМА) и средства поддержки принятия решений, такие как автоматизированная система назначения лечения (АСНЛ) (компьютеризированный ввод заказа врача). Эти инвестиции в конечном счете позволят избежать, если не снизить, частоту возникновения инцидентов, угрожающих безопасности пациентов, вызванных такими факторами, как взаимодействие препаратов.
Информатизация здоровья может как снизить существующие, так и добавить новые риски обеспечения безопасности пациентов
Информатизация здоровья и связанные с ней электронные медицинские системы имеют значительные возможности для устранения, снижения или ослабления установленных угроз безопасности пациента и качеству обслуживания (см. приложение A) и являются на данный момент объектами для крупных инвестиций в здравоохранение.
Любое крупное преобразующее технологическое изменение, внедренное в промышленность, особенно в такую сложную и изменяющую жизнь область, как здравоохранение, будет иметь как предсказуемые, так и непредвиденные последствия. Непредвиденные последствия могут быть как положительными (например, способствовать развитию новых возможностей для совместной работы клинических врачей в качестве пользователей, работающих с новой технологией, и тем самым способствовать улучшению клинического процесса), так и отрицательными (например, появление новых рисков, возникающих при разработке, реализации или использовании технологии в сложных клинических условиях).
Хотя польза информатизации здоровья для обеспечения безопасности пациентов получает все большее признание, существуют риски случайных и неблагоприятных событий, вызванных реализациями медицинского программного обеспечения, и эти риски становятся все более очевидными. Так как разворачиваются все более сложные реализации медицинского программного обеспечения, которые обеспечивают более высокий уровень поддержки принятия решений и интегрируют данные пациентов различных систем в различных организациях и различных предоставленных медицинских услуг, то безопасность пациента повышается наряду с возникновением рисков неблагоприятных событий, вызванных программным обеспечением.
В ИТ-программе Национальной службы здравоохранения Англии (НСЗ) "Connecting for Health" был создан упреждающий процесс управления инцидентами, связанными с безопасностью, для решения вопросов, связанных с безопасностью программного обеспечения [3]. За пятилетний период с 2006 г. по 2010 г. было зарегистрировано и изучено 708 сообщений об инцидентах. Было установлено, что примерно 80% этих инцидентов представляли некоторую угрозу безопасности пациентов (4.1).
Стандарты, направленные на обеспечение безопасности медицинского программного обеспечения. Текущие разработки
Вопрос безопасности медицинского программного обеспечения впервые был затронут в ИСО/ТК 215 в 2006 г., когда началась работа над следующими стандартами:
- ИСО/ТС 25238:2007 Информатизация здоровья. Классификация угроз для безопасности, вызванных медицинским программным обеспечением (ISO/TS 25238:2007 Health informatics - Classification of safety risks from health software), и
- ИСО/ТО 27809:2007 Информатизация здоровья. Меры обеспечения безопасности пациента при использовании медицинского программного обеспечения (ISO/TR 27809:2007 Health informatics - Measures for ensuring patient safety of health software).
ИСО/ТС 25238 направлен на определение концепции и требований для стадий жизненного цикла программного обеспечения, где необходимо понять в общих чертах, каким будет класс риска предложенной системы. Несмотря на то что ИСО/ТС 25238 включает примеры категорий степени тяжести и вероятности риска, а также демонстрационную матрицу риска, которые могут иметь более широкое использование, его применение при проектировании медицинского программного обеспечения или снижение любых выявленных рисков до приемлемого уровня не является задачей этого стандарта.
В ИСО/ТО 27809 дан обзор классификаций продуктов медицинского программного обеспечения, обсуждаются варианты мер управления, связанные с таким программным обеспечением, схема классификации риска, описанная в ИСО/ТС 25238, а также идентификация национальных и международных стандартов по менеджменту рисков.
В течение многих лет сообщество, образовавшееся вокруг медицинского оборудования, поддерживало разработку стандартов на программное обеспечение в МЭК/ТК 62 ПК А [Общие аспекты электрооборудования, используемого в медицинской деятельности (Common aspects of electrical equipment used in medical practice)], в ИСО/ТК 215 [Информатизация здоровья (Health informatics)] и в ИСО/ТК 210 [Менеджмент качества и соответствующие общие аспекты медицинских приборов (Quality management and corresponding general aspects for medical devices)]. Несколько других технических комитетов ИСО и МЭК, таких как ИСО/МЭК СТК 1 подкомитет 7 [Разработка систем и программного обеспечения (Software and systems engineering)], создавали стандарты по разработке систем и программного обеспечения начиная с конца 1980-х гг.
Действующие в настоящее время стандарты по медицинскому оборудованию сосредоточены на функциональности и испытании установленного медицинского оборудования и включают в себя стандарты на программное обеспечение как медицинский прибор [в МЭК 62304 Медицинское программное обеспечение устройства. Процессы жизненного цикла программного обеспечения (IEC 62304:2006, Medical device software - Software life cycle processes) "программное обеспечение как медицинский прибор" определяется как "система программного обеспечения, которая была разработана с целью включения ее в разрабатываемый медицинский прибор или которая была предназначена для ее самостоятельного использования в качестве медицинского прибора"]. Основные стандарты, разработанные или приведенные в качестве справочного материала, используемые для обеспечения безопасности медицинских приборов и программного обеспечения для медицинских приборов, включают:
- ИСО 13485:2003 Медицинские приборы. Системы менеджмента качества. Требования для целей регулирования (ISO 13485:2003, Medical devices - Quality management systems - Requirements for regulatory purposes);
- ИСО/ТР 14969:2004 Медицинские приборы. Системы менеджмента качества. Руководство по применению ИСО 13485:2003 (ISO/TR 14969:2004, Medical devices - Quality management systems - Guidance on the application of ISO 13485:2003);
- МЭК 62304:2006 Программное обеспечение медицинских приборов. Процессы жизненного цикла программного обеспечения (IEC 62304:2006, Medical device software - Software life cycle processes);
- ИСО 14971:2007 Медицинские приборы. Применение менеджмента риска к медицинским приборам (ISO 14971:2007, Medical devices - Application of risk management to medical devices);
- МЭК/ТО 80001-1:2010 Применение менеджмента рисков для ИТ-сетей с медицинскими приборами. Часть 1. Роли, ответственности и деятельность (IEC 80001-1:2010, Application of risk management for IT networks incorporating medical devices, Part 1 - Roles, responsibilities and activities).
В центре внимания данных стандартов отражена заинтересованность медицинского приборостроения в предпродажных (т.е. проектирование и разработка) стадиях жизненного цикла приборов с программным обеспечением, включая программное обеспечение и медицинские приборы, работающие самостоятельно. Недавнее дополнение МЭК/ТО 80001-1 является признаком растущего внимания к подключению приборов к физической сети.
Поскольку понимание того, какое программное обеспечение считается самостоятельным медицинским изделием, существенно различается в разных странах, настоящий стандарт дает представление о передовых практических методах обеспечения безопасной разработки, внедрения и эксплуатации медицинского программного обеспечения независимо от того, работает ли оно как медицинское изделие. Настоящий стандарт рассматривает стандарты, которые могут предоставить полезное руководство для покупателей, специалистов по внедрению и пользователей, а также для разработчиков и производителей вплоть до конфигурирования, реализации и текущего использования при любых настройках и условиях работы. Анализ и рекомендации, представленные в настоящем стандарте, указывают, что медицинское программное обеспечение все чаще внедряется и эксплуатируется в сложной среде "экосистемы" или "социально-технологической системы", где программное обеспечение тесно связано с другими системами, технологиями, инфраструктурами и предметными областями (людьми, организациями и внешними условиями) и где оно также должно быть сконфигурировано, чтобы поддерживать локальные клинические и бизнес-процессы.
Следовательно, повышение безопасности пациента и риски, связанные с реализацией отдельных программных компонентов, должны оцениваться и управляться в рамках контекста реализуемой информационной структуры организации, используя стандарты и проверенные процессы, которые направляют и вовлекают как специалистов по информатизации здоровья, так и врачей на всех стадиях, а также используя семейство стандартов, которые обеспечивают безопасность медицинского программного обеспечения.
Раздел 4 рассматривает вопросы, связанные с обеспечением условий безопасности, и предоставляет концептуальный подход для оценки стандартов вместе с кратким описанием соответствующих стандартов.
Раздел 5 построен на этом основополагающем подходе, предоставляя аналитические оценки того, какие стандарты являются наиболее подходящими для
Для просмотра документа целиком скачайте его >>>
