2019-10-20

ソフトウェア系国際規格の認証の現状について

機能安全規格の IEC 61508(Functional safety of electrical/electronic/programmable electronic safety-related systems) や ISO 26262 (Road vehicles — Functional safety )や、医療機器ソフトウェアのソフトウェアライフサイクルプロセス規格 IEC 62304(Medical device software - Software life cycle processes)に 「適合しました!」とか、「準拠しています!」といったニュースリリースをよく見る。

しかし、ブログでは『汎用ソフトウェア製品(製品開発プロセス)は IEC 62304(JIS T 2304) に適合できない』で書いたように、医療機器ソフトウェアでは、汎用ソフトウェア製品や汎用ソフトウェア製品の開発組織に対して IEC 62304 は適用できないということを解説してきた。

その趣旨は、医療機器業界では 医療機器ソフトウェアに対して主に患者のリスクを低減することを目的としてリスクベースアプローチを求めており、その考え方のもとにライフサイクルプロセスとタスクの要求を課しているため、どのような使用目的に使うのかが定まっていない汎用ソフトウェア製品に IEC 62304 を適用しようとすることは意味がないということであった。

今年2019年7月にさらなる意味がないことを示すできごとがあったので、それを説明したい。

IEC 62304 と医療機器規制との関係

まず、IEC 62304 医療機器ソフトウェア-ソフトウェアライフサイクルプロセス と医療機器規制との関係について整理しておきたい。

左図にあるように、医療機器は日本の場合、医薬品医療機器等法(通称:薬機法)で規制されており、医療機器に搭載される、または、そのものが医療機器となるソフトウェアは IEC 62304(JIS T 2304)への適合が求められる。正確には法律で国際規格が指定されているのではなく、法律が省令を省令が通知をといったようにブレークダウンされた中で IEC 62304(JIS T 2304)が医療機器ソフトウェアの要件となっている。

IEC 62304 はもちろん、医療機器製造業者が製品のソフトウェアに対して適合していることを示す必要がある。

一方で、機能安全規格 IEC 61508 や ISO 26262 は、ソフトウェア部品やソフトウェア部品を供給するサプライヤーに対しても これらの規格の一部に適合することを推奨している。

ここで注意して欲しいのは、標準規格には、強制規格と任意規格があり、ISO, IEC, JIS は任意規格であり、規制に使うかどうかは、各国の規制当局が決めるということだ。

IEC 62304 は医療機器規制の中で規制に実質的に使われている。ちなみに、IEC 26262 は今のところ規制に使われていない。ISO 26262 への適合を求めているのは、自動車OEM(メーカ)がサプライヤに対して求めているのだ。規制当局ではないから、規制要件ではない。

規格を規制に使うということは、別の見方をすれば、規格の適合を持って認可した規制当局にも責任が生じるということだ。医療機器の場合、規制当局は機器が患者危害に至るような問題を抱えていないかどうかが最大の関心事であるから、規格適合要件は、患者リスクが許容以下に低減されていることの証明でなければいけない。

ところで、自動車業界は市場規模が大きいので、ISO 26262 が国際規格となった以降、規格認証ビジネスの市場が出来上がった。

「ISO 26262 に適合しています!」というハードウェア部品やソフトウェア部品が増えてきて、ISO 26262 の適合証明を取ることが自動車業界で部品を売るための条件になりつつある。

その際、部品メーカ、特にソフトウェア部品のメーカは ISO 26262 と IEC 61508 と IEC 62304 だいたい同じだろうと考え、いっぺんに3つのプロセス規格に適合してしまえば、それぞれの業界のアピールできると考えた。

クリティカルなソフトウェアに対する規格は、どれも同じようなものだと考えた訳だ。そもそも、クリティカルなソフトウェアが安全であるかどうか確証を持って言えるわけがない。ソフトウェア起因の不具合の起こり方は特殊なので、プロセスをマネージメントして対応するしかないのだが、そのときに、どんな危害に至る可能性があるのかを想定して対応することが IEC 62304 では求められている。

だから、IEC 62304 を安全規格と分類するのはおかしい。Medical device software - Software life cycle processes(医療機器ソフトウェアのソフトウェアライフサイクルプロセス)というタイトルにあるように、IEC 62304 は 医療機器向けのライフサイクルプロセス規格であり、製品安全規格ではない。(冒頭の図を参照のこと)

ちなみに IEC 62304 は医療機器製造業者が適合を示す規格なので、ソフトウェア部品に適合証明を出すのはおかしいのに、ソフトウェア部品の製造業者に IEC 62304 の適合証明を出す 認証機関がいる。

自分は、そのような認証機関は、規格趣旨を理解していないか、もしくは、規格趣旨を理解していながら、単に金儲けがしたいために認証書を出しているのだと考えている。

そのような認証機関にはショックなできことが 2019年7月に起こった。

IEC 62304 の認証に起こったできごと

IECEE ※1 が 2019年7月26日付けの通知で IEC 62304 をCBスキームから取り下げた(Withdrawal of standards)のだ。

【※1 IECEE CBスキームについて JEITA資料より引用】

IECEE CBスキームについて
IECEEとは?
  • IEC電気機器・部品適合性試験認証制度の略称(通称CBスキームと呼ばれる)
  • IEC規格に基づく1回の適合証明試験結果を加盟53カ国(MB*)の72認証機関(NCB*)で、重複試験無しに受入れることを目的としたデータの相互活用制度
  • 制度はIECEE01(基本ルール)、IECEE02(手順ルール)及びIECEE03(CB-FCS)に 基づき運営され、これらは年1回開催されるCMC*会議にて承認のうえ改正される
  • IECEEスローガン:“One standard, one test performed anywhere, accepted everywhere !”
◆IECEEの国際法上の位置づけは?
  • WTO-TBT協定により;
  • 強制・任意分野に関わらず、国際規格・制度を適合性評価手続きの基礎とする
  • 上記手続きによって得られた評価結果は加盟国間で相互に認め合う
  • 旨の規定があり、CB制度はこれを満足するメカニズムとして認知されている

◆本制度における日本のプレゼンスは?
  • 日本は1981年にJISC(日本工業標準調査会)がMBとして加盟し、現在はJET、JQA、TUV-RhJ、UL Japanの4NCBが参加
  • 日本はIECEE国内審議委員会(事務局:JEITA)が受け皿となり、日本の対処方針を 決定のうえCMC会議に参画し意見反映


【引用終わり】

 IEC 62304 は IECEEが発行する TRF(Test Report Form)を使用し、試験を実施して適合を示すことができた。(IEC 62304の TRF が廃止されたため過去形)

 IECEE が発行する TRF(Test Report Form)を使って、CB試験所が IEC 62304 の認証を行った場合、その CBレポートは 多くの国で規制要件適合の証明として受入れられてきた。

 ところが、IECEE は IEC 62304 の TRF を廃棄してしまった。なぜか。その理由は、CB認証のルールを定めた OD-2037(関係運用文書) には「証明書Product Standardsのみ記載する」というルールがあり、IEC 62366 や IEC 62304 は Product Standardではないため、CBスコープから外されたと想像される。(予想)

 そして、冒頭の図にある IEC 60601-1 医療電気機器-第1部:基礎安全及び基本性能に関する一般要求事項 の TRF Rev.N に IEC 62304 TRF の内容が組み込まれた。

 これによって、IEC 62304 単独の CBレポートは発行できなくなった。(医療機器の安全規格である IEC 60601-1 の試験を TRF で行うと自動的に IEC 62304 のTRF の要求も満たすことになる。)

ハードウェアを含む医療機器が IEC 62304 への適合を示すには、IEC 60601-1 の TRF(現時点の最新版は Rev.N)を使用すればよい。

ただし、ソフトウェアそのものが医療機器となる単独の医療機器ソフトウェア(SaMD)では、CBレポートが発行できなくなったので、左図のプライベートレポートを使うしかなくなった。

実際、まったく独自のレポートを受け入れている国もあるので、大きな問題にはならないだろう。

また、CBスキームではなく、ISO/IEC 17025 の認定を受けた試験所で作成したレポートを受け入れる国はある。(※現時点では、日本の医療機器規制では上図のどれも受け入れている。ISO/IEC 17025 は試験所認定があるので、実質的には CBスキームの TRFレベルの試験が行われる。)

ただし、ISO/IEC 17025 の認定を受けた試験所も、IECEE が発行していた IEC 62304 のTRFを使っていたので、今後は、過去に発行されていた IEC 62304 の TRF を模倣した独自のレポートを使うことになるだろう。

今後の IEC 62304 の認証

IECEE が IEC 62304 の TRFを破棄し、IEC 60601-1 の TRF Rev.N の附属書に取り込んだことにより、CBスキームによる IEC 62304 単独の認証ができなくなったので、ソフトウェア部品メーカが IEC 61508 と ISO 26262 と IEC 62304 への適合を3つ並べてニュースリリースするケースがなくなると思われる。

そもそも、規格適合は 1. 実質的に安全や信頼が高いことを示す 2. 権威を示して売り上げを上げたい といった目的があり、規格適合を3つならべてニュースリリースしているの 2の目的だろうから、IEC 62304 が CBスキームから外れたことで、プライベート認証しかなくなり IEC 62304 単独の規格認証の権威はなくなったので、アピールもできなくなったはずだ。

今後、IEC 62304 単独の認証証を掲げる ソフトウェア部品メーカが現れたあら、それはプライベート認証であり、Intended Use(意図する使用)が定義されていないのに、IEC 62304 箇条7 ソフトウェアリスクマネジメントプロセス に適合を出してしまっているとみた方がいい。「認証」ではなく「準拠」となっている場合、おそらく箇条7が適合できていないのだろうが、箇条7ができていないということはソフトウェア開発においてリスクベースアプローチができていることが確認されていないということだから、IEC 62304 適合の意味はない。

IECEE のサイト(参照情報)