医疗器械数字安全性研究的必要性

　　近年来，信息和网络技术已经成为医疗能力提升的重要推动力量。随着医疗器械数字化程度越来越高，医生、患者甚至医疗机构对数字化医疗器械的依赖程度也越来越高。而医疗器械中的软件故障频繁发生，给医疗器械使用安全造成极大影响。

　　根据FDA在不同时期召回的医疗器械数据汇总分析可以看出，约有三分之一的医疗器械问题是由软件故障导致的。而软件故障导致召回的所有医疗器械中，“体外诊断类”“放射和影像类”约占50%～70%。如在著名的Therac-25事件中，Atomic Energy of Canada Limited公司生产的一种完全由软件控制的辐射治疗设备由于其软件设计时的瑕疵，导致患者受到辐射比正常剂量高上百倍，这造成了超过6起医疗事故的严重后果，在事故中，患者死亡或被辐射严重灼伤。

　　目前，监管机构主要是从系统网络安全和物理层风险来对医疗器械进行监管，没有将存在于医疗器械中的软件系统与医疗环境、运营环境、数字环境以及临床应用整体来考虑。随着数字技术的不断进步，以及数字技术与医疗行业的不断融合，医疗器械数字安全的风险爆发可能会更加严重的破坏医疗环境，从而对人民群众的生命安全造成重大影响。

　　医疗器械数字安全性研究不仅覆盖了传统信息安全，包括网络安全、数据安全等，同时还将深入研究数字系统在运营中对医疗器械带来的额外风险。例如：人工智能系统算法带来的伦理问题，从而引起的算法安全风险；软件系统自动更新带来的实时系统运营风险；考量软件系统的容错能力与实施恢复能力等。这些风险之间存在着关联，并相互影响，如系统云计算中的风险将直接影响系统网络安全与系统安全。

　　医疗器械数字安全性研究旨在根据医疗器械的监管要求，提出系统综合运营的合规化目标；在此基础上进一步把目标分解到对各个系统变量、响应速度、输入输出等各方面的量化要求，并最终根据这些要求提出系统运营安全性指南和评价模型。生产企业及监管人员可以通过图形化、数字化界面分析临床试验医疗器械系统运营情况的合规性，并以此作为系统安全性的基本依据。

　　基于实时数字记录的数字安全性检测方法

　　基于实时数字记录的数字安全检测原理是通过记录系统运营中的变量时序或系统时间间隔的全系统变量，并利用大数据分析技术对海量的变量数据进行实时分析，并依据分析结果来检测和评价系统安全性和可靠性。

　　数字安全检测和评价的具体实施方法为基于软件系统运营中的核心转储（Core dump）概念，在软件应用系统与操作系统之间植入一个代理应用，利用核心转储的系统函数实时记录软件系统运营中的所有变量，并将记录结果导入一个支持大数据处理的文件体系中。在文件体系中，解析各个系统变量的变化情况，将之与系统合规化运营目标中的各系统参数的量化要求进行分析比对，以此作为软件系统工作状态的判定依据。同时通过对软件安全性和可靠性的信息模型研究，提出对系统变量全景记录的约束条件，利用大数据分析技术对系统运营产生的全景时序变量数据进行监测和评价，从而进一步实现软件的数字安全性检测。

　　数字安全性检测方法是通过两大系统模块之间相互融合、相互调动而实现，其中一个系统模块是软件安全性检测模块。该模块所实现的功能为软件系统的异常检测，检测是基于“Core dump”函数来实现软件系统运营中的所有变量的实时记录，一旦发现异步事件，通过预先设定的检测代码触发异步事件处理功能，从而实现自动化的检测过程。

　　另一个系统模块是大数据分析平台。该平台由大数据系统和分析引擎构成，实现的功能为利用大数据技术，结合软件安全性和可靠性信息模型、系统变量全景记录以及软件系统运营过程中所产生的全景时序变量数据进行复杂的关联分析，从而呈现数字化分析结果。两大系统模块相辅相成，不仅能够支撑多个软件系统同时检测，还能动态呈现检测结果。下图为该检测方法的具体实现图：

　　医疗器械数字安全性检测方法应用

　　数字安全检测对各行业领域均有重要意义。在医疗器械领域，由于现今大多数的人工智能医疗器械还未接入互联网，我国数据安全立法对境内数据存储安全性要求较低。因此目前智能医疗器械数字安全的重点并不在网络安全和数据安全，而是在于系统安全、长期运营安全以及操作应用层安全。

　　系统安全中较为突出的一个应用为针对医疗器械系统后门的检测。该检测方法支持软件代码的双向调试检测，其反向调试检测可以识别系统程序代码运行时产生的一些非确定性事件并且能够有效的记录这些事件的发生，以便当程序代码被重放时可以给予已经合成的日志来返回到程序执行历史中的任何早期状态，这一方法可以用于检测医疗器械系统漏洞。

　　医疗器械在长期使用运营过程中可能因各种原因而导致内部系统出现问题，比如硬件存储空间有限导致系统运行缓慢、外在环境电力电压不稳导致部分硬件模块损坏、液体浸泡腐蚀导致内部部件通信不良等，这些都将通过系统运行呈现出相应的问题。同时，有些人工智能医疗器械系统中安装有不同的功能软件，部分情况还需要对特定功能软件进行升级，这些软件的升级也可能和现有系统现存软件不兼容，从而导致医疗器械设备不可用等问题。该检测方法通过检测系统运营的一些测试集，然后分析系统所有参数，了解安全性与稳定性，识别出相应的问题。

　　此外，用户非法操作也是导致医疗器械安全风险甚至无法正常工作的一大原因，每当有非法操作信息出现，相关程序和文件都会和错误类型显示在一起。该检测方法通过实时监测系统各变量状态进行全量的记录，结合大数据分析技术实时开展分析，能够反向追溯问题发生具体变量变化的点，从而检测识别出问题所在。（干露：上海三零卫士信息安全有限公司；李安渝：四川大学医疗器械监管科学研究院）