醫療器械數字安全性研究的必要性

　　近年來，信息和網絡技術已經成為醫療能力提升的重要推動力量。隨著醫療器械數字化程度越來越高，醫生、患者甚至醫療機構對數字化醫療器械的依賴程度也越來越高。而醫療器械中的軟件故障頻繁發生，給醫療器械使用安全造成極大影響。

　　根據FDA在不同時期召回的醫療器械數據匯總分析可以看出，約有三分之一的醫療器械問題是由軟件故障導致的。而軟件故障導致召回的所有醫療器械中，“體外診斷類”“放射和影像類”約占50%～70%。如在著名的Therac-25事件中，Atomic Energy of Canada Limited公司生產的一種完全由軟件控制的輻射治療設備由于其軟件設計時的瑕疵，導致患者受到輻射比正常劑量高上百倍，這造成了超過6起醫療事故的嚴重后果，在事故中，患者死亡或被輻射嚴重灼傷。

　　目前，監管機構主要是從系統網絡安全和物理層風險來對醫療器械進行監管，沒有將存在于醫療器械中的軟件系統與醫療環境、運營環境、數字環境以及臨床應用整體來考慮。隨著數字技術的不斷進步，以及數字技術與醫療行業的不斷融合，醫療器械數字安全的風險爆發可能會更加嚴重的破壞醫療環境，從而對人民群眾的生命安全造成重大影響。

　　醫療器械數字安全性研究不僅覆蓋了傳統信息安全，包括網絡安全、數據安全等，同時還將深入研究數字系統在運營中對醫療器械帶來的額外風險。例如：人工智能系統算法帶來的倫理問題，從而引起的算法安全風險；軟件系統自動更新帶來的實時系統運營風險；考量軟件系統的容錯能力與實施恢復能力等。這些風險之間存在著關聯，并相互影響，如系統云計算中的風險將直接影響系統網絡安全與系統安全。

　　醫療器械數字安全性研究旨在根據醫療器械的監管要求，提出系統綜合運營的合規化目標；在此基礎上進一步把目標分解到對各個系統變量、響應速度、輸入輸出等各方面的量化要求，并最終根據這些要求提出系統運營安全性指南和評價模型。生產企業及監管人員可以通過圖形化、數字化界面分析臨床試驗醫療器械系統運營情況的合規性，并以此作為系統安全性的基本依據。

　　基于實時數字記錄的數字安全性檢測方法

　　基于實時數字記錄的數字安全檢測原理是通過記錄系統運營中的變量時序或系統時間間隔的全系統變量，并利用大數據分析技術對海量的變量數據進行實時分析，并依據分析結果來檢測和評價系統安全性和可靠性。

　　數字安全檢測和評價的具體實施方法為基于軟件系統運營中的核心轉儲（Core dump）概念，在軟件應用系統與操作系統之間植入一個代理應用，利用核心轉儲的系統函數實時記錄軟件系統運營中的所有變量，并將記錄結果導入一個支持大數據處理的文件體系中。在文件體系中，解析各個系統變量的變化情況，將之與系統合規化運營目標中的各系統參數的量化要求進行分析比對，以此作為軟件系統工作狀態的判定依據。同時通過對軟件安全性和可靠性的信息模型研究，提出對系統變量全景記錄的約束條件，利用大數據分析技術對系統運營產生的全景時序變量數據進行監測和評價，從而進一步實現軟件的數字安全性檢測。

　　數字安全性檢測方法是通過兩大系統模塊之間相互融合、相互調動而實現，其中一個系統模塊是軟件安全性檢測模塊。該模塊所實現的功能為軟件系統的異常檢測，檢測是基于“Core dump”函數來實現軟件系統運營中的所有變量的實時記錄，一旦發現異步事件，通過預先設定的檢測代碼觸發異步事件處理功能，從而實現自動化的檢測過程。

　　另一個系統模塊是大數據分析平臺。該平臺由大數據系統和分析引擎構成，實現的功能為利用大數據技術，結合軟件安全性和可靠性信息模型、系統變量全景記錄以及軟件系統運營過程中所產生的全景時序變量數據進行復雜的關聯分析，從而呈現數字化分析結果。兩大系統模塊相輔相成，不僅能夠支撐多個軟件系統同時檢測，還能動態呈現檢測結果。下圖為該檢測方法的具體實現圖：

　　醫療器械數字安全性檢測方法應用

　　數字安全檢測對各行業領域均有重要意義。在醫療器械領域，由于現今大多數的人工智能醫療器械還未接入互聯網，我國數據安全立法對境內數據存儲安全性要求較低。因此目前智能醫療器械數字安全的重點并不在網絡安全和數據安全，而是在于系統安全、長期運營安全以及操作應用層安全。

　　系統安全中較為突出的一個應用為針對醫療器械系統后門的檢測。該檢測方法支持軟件代碼的雙向調試檢測，其反向調試檢測可以識別系統程序代碼運行時產生的一些非確定性事件并且能夠有效的記錄這些事件的發生，以便當程序代碼被重放時可以給予已經合成的日志來返回到程序執行歷史中的任何早期狀態，這一方法可以用于檢測醫療器械系統漏洞。

　　醫療器械在長期使用運營過程中可能因各種原因而導致內部系統出現問題，比如硬件存儲空間有限導致系統運行緩慢、外在環境電力電壓不穩導致部分硬件模塊損壞、液體浸泡腐蝕導致內部部件通信不良等，這些都將通過系統運行呈現出相應的問題。同時，有些人工智能醫療器械系統中安裝有不同的功能軟件，部分情況還需要對特定功能軟件進行升級，這些軟件的升級也可能和現有系統現存軟件不兼容，從而導致醫療器械設備不可用等問題。該檢測方法通過檢測系統運營的一些測試集，然后分析系統所有參數，了解安全性與穩定性，識別出相應的問題。

　　此外，用戶非法操作也是導致醫療器械安全風險甚至無法正常工作的一大原因，每當有非法操作信息出現，相關程序和文件都會和錯誤類型顯示在一起。該檢測方法通過實時監測系統各變量狀態進行全量的記錄，結合大數據分析技術實時開展分析，能夠反向追溯問題發生具體變量變化的點，從而檢測識別出問題所在。（干露：上海三零衛士信息安全有限公司；李安渝：四川大學醫療器械監管科學研究院）