2017-03-12

汎用ソフトウェア製品(製品開発プロセス)は IEC 62304(JIS T 2304) に適合できない

汎用ソフトウェア製品(製品開発プロセス)は IEC 62304(JIS T 2304) に適合できない。その根拠を JIS T 2304:2017 の箇条7 で説明したいと思う。

そもそも,IEC 62304 は医療機器製品のライフサイクルプロセスに適用し,医療機器のソフトウェアに起因する危害(特に患者に対する危害)を医療機器のライフサイクルプロセスを管理することで低減することを目的に作られている。

ライフサイクルプロセス規格といっても,医療機器製品の Intended Use(意図する使用)や使用目的,使用環境が定まっていることを前提にしている。

また,箇条3 によって,医療機器リスクマネジメント規格である ISO 14971 が引用規格になっており,対象となる医療機器のリスク分析が必須となっている。

したがって,何の医療機器に使うのか特定されていない汎用のソフトウェア製品では,どんな医療機器に搭載されるのかが定まっていないため,危害を想定することができない。

その点を頭に入れながら,IEC 62304 の箇条7 を見ていく。

7 ソフトウェアリスクマネジメントプロセス
7.1 危険状態を引き起こすソフトウェアの分析
7.1.1 危険状態の一因となるソフトウェアアイテムの特定
 製造業者は,JIS T 14971に規定した医療機器のリスク分析を行い,危険状態及び危険状態を引き起こす可能性のあるソフトウェアアイテムを特定する(4.2参照)。(クラスB,C)

注記 危険状態は,ソフトウェアの故障が直接の原因となる場合,又はソフトウェアに実装したリスクコントロール手段の故障が原因となる場合が考えられる。

→医療機器の Intended Use(意図する使用)や使用環境,医療機器の基本機能,基本性能が定まれば,リスク分析を行うことができ,想定される危害や危険状態を想定することができる。そして,危険状態を引き起こす可能性のあるソフトウェアの障害や,その障害の原因となるソフトウェアアイテムが特定できる。

7.1.2 危険状態の一因となるソフトウェアアイテムの潜在的原因の特定
 製造業者は,7.1.1で特定した危険状態の一因となるソフトウェアアイテムの,潜在的原因を特定する。

→医療機器のリスク分析がないと,危険状態の一因が特定できない。そのため,危険状態の一因となるソフトウェアアイテムが特定できない。汎用で重要なソフトウェアなのでソフトウェアアイテムすべてが危険状態の一因となりますとか,潜在的要因はあらゆることを考えていますといったスタンスをとろうとするなら,それは規格の前提条件である「完璧なソフトウェアなどあるはずがない。したがって,その医療機器の使用において想定される危害とリスクを重要度の高いところから優先的に低減する」という概念が理解されていないことになる。

製造業者は,必要に応じて,次に挙げるような潜在的原因を検討する。(クラスB,C)

a) 誤った又は不完全な機能仕様
b) 特定したソフトウェアアイテムの,機能におけるソフトウェア不具合
c) SOUPに起因する,故障又は予期せぬ結果
d) 予測できないソフトウェア動作を引き起こす可能性のある,ハードウェアの故障又は他のソフトウェアの欠陥
e) 合理的に予見可能な誤使用

7.1.3 公開されたSOUP異常リストの評価
 SOUPに起因する故障又は予期せぬ結果が,危険状態の一因となるソフトウェアアイテムの潜在的原因になっている場合,製造業者は,当該医療機器に使用しているSOUPアイテムのバージョンに関係する,SOUPアイテムの供給者が公開している異常リストを最低限度として評価し,既知の異常のいずれかによって,危険状態の原因となる可能性がある一連の事象が生じるかを判断する。(クラスB,C)

7.1.4 潜在的原因の文書化
 製造業者は,危険状態の一因となるソフトウェアアイテムの潜在的原因を,リスクマネジメントファイルに文書化する(JIS T 14971参照)。(クラスB,C)

→リスクマネジメントファイルは医療機器製造業者が作成するものであるから,汎用のソフトウェア製品の製造業者が「潜在的原因の文書化」をしても意味がない。

7.2 リスクコントロール手段
7.2.1 リスクコントロール手段の選択
 製造業者は,リスクマネジメントファイルに文書化した,ソフトウェアアイテムが危険状態の一因となるケースのそれぞれについて,JIS T 14971に従ってリスクコントロール手段を選択し,文書化する。(クラスB,C)

注記 リスクコントロール手段は,ハードウェア,ソフトウェア,動作環境又は取扱説明書において実施できる。

→医療機器と Intended Use(意図する使用)を特定しなければ,危害や危険状態を推定できないため,リスクコントロールしようがない。医療機器によっては,障害が発生したときに,すぐに停止した方がよい場合もあれば,停止せずに最低限の機能で機器を動かし続けなければいけない場合もある。例えば,リスクコントロール手段として,メモリ保護があるとか,エラーが発生したときにリセットがかかるといった一見,何にでも有効そうなリスクコントロール手段は,搭載する機器の Intended Use によってはリスク低減に有効ではないこともある。


7.2.2 ソフトウェアに実装するリスクコントロール手段
 リスクコントロール手段をソフトウェアアイテムの機能の一部として実装する場合,製造業者は,次の事項を実施する。(クラスB,C)

a) リスクコントロール手段をソフトウェア要求事項に含める。
b) リスクコントロール手段の実施に寄与する各ソフトウェアアイテムに対して,そのリスクコントロール手段によってコントロールしているリスクに基づいて,ソフトウェア安全クラスの分類を行う(4.3 a)参照)。
c) 箇条5に従ってソフトウェアアイテムを開発する。

注記 この要求事項は,JIS T 14971のリスクコントロールの要求事項を詳細にしたものである。

7.3 リスクコントロール手段の検証
7.3.1 リスクコントロール手段の実施の検証
 7.2で文書化したリスクコントロール手段を全て実施していることを検証し,その検証結果を文書化する。製造業者は,リスクコントロール手段をレビューし,それによって新たな危険状態に至ることがないか判断する。(クラスB,C)

7.3.3 トレーサビリティの文書化
 製造業者は,次のソフトウェアに関連するハザードのトレーサビリティについて,適宜文書化する。
(クラスB,C)

a) 危険状態からソフトウェアアイテムまで
b) ソフトウェアアイテムから特定のソフトウェアの原因まで
c) ソフトウェアの原因からリスクコントロール手段まで
d) リスクコントロール手段からリスクコントロール手段の検証まで
注記 JIS T 14971参照。

7.4 ソフトウェア変更のリスクマネジメント
7.4.1 医療機器ソフトウェアの安全性に関わる変更の分析
 製造業者は,医療機器ソフトウェア(SOUPを含む。)の変更内容を分析して,次を確認する。(クラスA,B,C)

a) 危険状態の一因となる潜在的原因が新たに生じていないか。
b) 新たなソフトウェアリスクコントロール手段が必要でないか。

7.4.2 ソフトウェア変更が既存のリスクコントロール手段に与える影響の分析
 製造業者は,ソフトウェアの変更(SOUPの変更を含む。)を分析して,ソフトウェアの修正が既存のリスクコントロール手段の妨げとなる危険性がないかを確定する。(クラスB,C)

7.4.3 分析に基づくリスクマネジメントアクティビティの実行
 製造業者は,これらの分析に基づき,7.1,7.2及び7.3で定義した当該リスクマネジメントアクティビティを実行する。(クラスB,C)

→汎用のソフトウェア製品の製造業者は,医療機器の Intended Use を知らないので,ソフトウェアの変更がどのような危険状態の一因となるのか想定ができない。

このように,IEC 62304 の箇条7 を見れば,汎用のソフトウェア製品の開発プロセスに IEC 62304 が適合できない(適合する意味がない)ことが分かる。

2017-03-01

JIS T 2304:2017 医療機器ソフトウェアーソフトウェアライフサイクルプロセス が発行されました

本日,2017年3月1日 官報にて,JIS T 2304 医療機器ソフトウェア-ソフトウェアライフサイクルプロセス が制定された旨公示されました。

本規格は IEC 62304 Ed. 1.1 (IEC 62304:2006 + Amd.1:2015)の JIS版となります。

JIS T 2304 は 2012年に Ed.1 が発行れており,今回の版は Ed.1 の修正版となります。Ed.1 から Ed.1.1 への移行期間については,規格自体には記載がありません。(IEC 62304 Amd1 には記載があり,3年以内の移行を推奨しています。)

閲覧だけならば,Ed.1.1 は日本工業標準調査会ホームページ(http://www.jisc.go.jp)で見られるようです。

2017年11月24日に 医療機器の基本要件基準 第12条 第2項 の経過措置期限が切れるため,ソフトウェアを搭載する医療機器は,いよいよ JIS T 2304 の適合を示すリミットが近づいてきました。

それを見越して,2016年9月に IEC 62304 Ed.1.1(JIS T 2304 Ed.1.1)に対応した IEC 62304 実践ガイドブック を JEITA 医療用ソフトウェア専門委員会から出したのですが,出版元のじほうの話では,残り100部を切ってきて,各書店に回りづらくなってきているようです。

まだ,増版は決まっていないので,まだ,入手していない方はお早めにお買い求めください。


----------
官報   第 6968 号 平成29年3月1日水曜日
(本  紙)

 日本工業標準調査会の調査審議を経て、平成29年3月1日に下記の日本工業規格を制定及び改正したので、工業標準化法(昭和24年法律第185号)第16条の規定に基づき公示する。

                            平成 29 年3月1日

厚生労働大臣 塩崎 恭久 
経済産業大臣 世耕 弘成 

                   記

1.制定された日本工業規格

JIS T 62083 医用電気機器-放射線治療計画システムの安全要求事項  

2.改正された日本工業規格

JIS T 0601-1医用電気機器-第1部:基礎安全及び基本性能に関する一般要求事項 
 
JIS T 2304 医療機器ソフトウェア-ソフトウェアライフサイクルプロセス 

JIS Z 4951 医用電気機器-第2-33部:磁気共鳴画像診断装置の基礎安全及び基本性能に関する個別要求事項 

  (内容省略)
備考 内容は、日本工業標準調査会ホームページ(http://www.jisc.go.jp)において閲覧に供する。
また、経済産業省産業技術環境局基準認証政策課、各経済産業局及び沖縄総合事務局経済産業部並びに厚生労働省医薬・生活衛生局医療機器審査管理課においても閲覧に供する。

 日本工業標準調査会の調査審議を経て、平成29年3月1日に下記の日本工業規格を廃止したので、工業標準化法(昭和24年法律第185号)第16条の規定に基づき公示する。

 平成 29 年3月1日