醫(yī)療器械數(shù)字安全性研究的必要性

　　近年來，信息和網(wǎng)絡技術已經(jīng)成為醫(yī)療能力提升的重要推動力量。隨著醫(yī)療器械數(shù)字化程度越來越高，醫(yī)生、患者甚至醫(yī)療機構對數(shù)字化醫(yī)療器械的依賴程度也越來越高。而醫(yī)療器械中的軟件故障頻繁發(fā)生，給醫(yī)療器械使用安全造成極大影響。

　　根據(jù)FDA在不同時期召回的醫(yī)療器械數(shù)據(jù)匯總分析可以看出，約有三分之一的醫(yī)療器械問題是由軟件故障導致的。而軟件故障導致召回的所有醫(yī)療器械中，“體外診斷類”“放射和影像類”約占50%～70%。如在著名的Therac-25事件中，Atomic Energy of Canada Limited公司生產(chǎn)的一種完全由軟件控制的輻射治療設備由于其軟件設計時的瑕疵，導致患者受到輻射比正常劑量高上百倍，這造成了超過6起醫(yī)療事故的嚴重后果，在事故中，患者死亡或被輻射嚴重灼傷。

　　目前，監(jiān)管機構主要是從系統(tǒng)網(wǎng)絡安全和物理層風險來對醫(yī)療器械進行監(jiān)管，沒有將存在于醫(yī)療器械中的軟件系統(tǒng)與醫(yī)療環(huán)境、運營環(huán)境、數(shù)字環(huán)境以及臨床應用整體來考慮。隨著數(shù)字技術的不斷進步，以及數(shù)字技術與醫(yī)療行業(yè)的不斷融合，醫(yī)療器械數(shù)字安全的風險爆發(fā)可能會更加嚴重的破壞醫(yī)療環(huán)境，從而對人民群眾的生命安全造成重大影響。

　　醫(yī)療器械數(shù)字安全性研究不僅覆蓋了傳統(tǒng)信息安全，包括網(wǎng)絡安全、數(shù)據(jù)安全等，同時還將深入研究數(shù)字系統(tǒng)在運營中對醫(yī)療器械帶來的額外風險。例如：人工智能系統(tǒng)算法帶來的倫理問題，從而引起的算法安全風險；軟件系統(tǒng)自動更新帶來的實時系統(tǒng)運營風險；考量軟件系統(tǒng)的容錯能力與實施恢復能力等。這些風險之間存在著關聯(lián)，并相互影響，如系統(tǒng)云計算中的風險將直接影響系統(tǒng)網(wǎng)絡安全與系統(tǒng)安全。

　　醫(yī)療器械數(shù)字安全性研究旨在根據(jù)醫(yī)療器械的監(jiān)管要求，提出系統(tǒng)綜合運營的合規(guī)化目標；在此基礎上進一步把目標分解到對各個系統(tǒng)變量、響應速度、輸入輸出等各方面的量化要求，并最終根據(jù)這些要求提出系統(tǒng)運營安全性指南和評價模型。生產(chǎn)企業(yè)及監(jiān)管人員可以通過圖形化、數(shù)字化界面分析臨床試驗醫(yī)療器械系統(tǒng)運營情況的合規(guī)性，并以此作為系統(tǒng)安全性的基本依據(jù)。

　　基于實時數(shù)字記錄的數(shù)字安全性檢測方法

　　基于實時數(shù)字記錄的數(shù)字安全檢測原理是通過記錄系統(tǒng)運營中的變量時序或系統(tǒng)時間間隔的全系統(tǒng)變量，并利用大數(shù)據(jù)分析技術對海量的變量數(shù)據(jù)進行實時分析，并依據(jù)分析結果來檢測和評價系統(tǒng)安全性和可靠性。

　　數(shù)字安全檢測和評價的具體實施方法為基于軟件系統(tǒng)運營中的核心轉儲（Core dump）概念，在軟件應用系統(tǒng)與操作系統(tǒng)之間植入一個代理應用，利用核心轉儲的系統(tǒng)函數(shù)實時記錄軟件系統(tǒng)運營中的所有變量，并將記錄結果導入一個支持大數(shù)據(jù)處理的文件體系中。在文件體系中，解析各個系統(tǒng)變量的變化情況，將之與系統(tǒng)合規(guī)化運營目標中的各系統(tǒng)參數(shù)的量化要求進行分析比對，以此作為軟件系統(tǒng)工作狀態(tài)的判定依據(jù)。同時通過對軟件安全性和可靠性的信息模型研究，提出對系統(tǒng)變量全景記錄的約束條件，利用大數(shù)據(jù)分析技術對系統(tǒng)運營產(chǎn)生的全景時序變量數(shù)據(jù)進行監(jiān)測和評價，從而進一步實現(xiàn)軟件的數(shù)字安全性檢測。

　　數(shù)字安全性檢測方法是通過兩大系統(tǒng)模塊之間相互融合、相互調動而實現(xiàn)，其中一個系統(tǒng)模塊是軟件安全性檢測模塊。該模塊所實現(xiàn)的功能為軟件系統(tǒng)的異常檢測，檢測是基于“Core dump”函數(shù)來實現(xiàn)軟件系統(tǒng)運營中的所有變量的實時記錄，一旦發(fā)現(xiàn)異步事件，通過預先設定的檢測代碼觸發(fā)異步事件處理功能，從而實現(xiàn)自動化的檢測過程。

　　另一個系統(tǒng)模塊是大數(shù)據(jù)分析平臺。該平臺由大數(shù)據(jù)系統(tǒng)和分析引擎構成，實現(xiàn)的功能為利用大數(shù)據(jù)技術，結合軟件安全性和可靠性信息模型、系統(tǒng)變量全景記錄以及軟件系統(tǒng)運營過程中所產(chǎn)生的全景時序變量數(shù)據(jù)進行復雜的關聯(lián)分析，從而呈現(xiàn)數(shù)字化分析結果。兩大系統(tǒng)模塊相輔相成，不僅能夠支撐多個軟件系統(tǒng)同時檢測，還能動態(tài)呈現(xiàn)檢測結果。下圖為該檢測方法的具體實現(xiàn)圖：

　　醫(yī)療器械數(shù)字安全性檢測方法應用

　　數(shù)字安全檢測對各行業(yè)領域均有重要意義。在醫(yī)療器械領域，由于現(xiàn)今大多數(shù)的人工智能醫(yī)療器械還未接入互聯(lián)網(wǎng)，我國數(shù)據(jù)安全立法對境內數(shù)據(jù)存儲安全性要求較低。因此目前智能醫(yī)療器械數(shù)字安全的重點并不在網(wǎng)絡安全和數(shù)據(jù)安全，而是在于系統(tǒng)安全、長期運營安全以及操作應用層安全。

　　系統(tǒng)安全中較為突出的一個應用為針對醫(yī)療器械系統(tǒng)后門的檢測。該檢測方法支持軟件代碼的雙向調試檢測，其反向調試檢測可以識別系統(tǒng)程序代碼運行時產(chǎn)生的一些非確定性事件并且能夠有效的記錄這些事件的發(fā)生，以便當程序代碼被重放時可以給予已經(jīng)合成的日志來返回到程序執(zhí)行歷史中的任何早期狀態(tài)，這一方法可以用于檢測醫(yī)療器械系統(tǒng)漏洞。

　　醫(yī)療器械在長期使用運營過程中可能因各種原因而導致內部系統(tǒng)出現(xiàn)問題，比如硬件存儲空間有限導致系統(tǒng)運行緩慢、外在環(huán)境電力電壓不穩(wěn)導致部分硬件模塊損壞、液體浸泡腐蝕導致內部部件通信不良等，這些都將通過系統(tǒng)運行呈現(xiàn)出相應的問題。同時，有些人工智能醫(yī)療器械系統(tǒng)中安裝有不同的功能軟件，部分情況還需要對特定功能軟件進行升級，這些軟件的升級也可能和現(xiàn)有系統(tǒng)現(xiàn)存軟件不兼容，從而導致醫(yī)療器械設備不可用等問題。該檢測方法通過檢測系統(tǒng)運營的一些測試集，然后分析系統(tǒng)所有參數(shù)，了解安全性與穩(wěn)定性，識別出相應的問題。

　　此外，用戶非法操作也是導致醫(yī)療器械安全風險甚至無法正常工作的一大原因，每當有非法操作信息出現(xiàn)，相關程序和文件都會和錯誤類型顯示在一起。該檢測方法通過實時監(jiān)測系統(tǒng)各變量狀態(tài)進行全量的記錄，結合大數(shù)據(jù)分析技術實時開展分析，能夠反向追溯問題發(fā)生具體變量變化的點，從而檢測識別出問題所在。（干露：上海三零衛(wèi)士信息安全有限公司；李安渝：四川大學醫(yī)療器械監(jiān)管科學研究院）