医疗IT网络风险管理IEC 80001系列标准理念

谌达宇　陈蓓　贾文祥

1 飞利浦（中国）投资有限公司　（上海　200233）

2 北京怡和嘉业医疗科技有限公司　（北京　100043）

医疗IT网络风险管理IEC 80001系列标准理念

谌达宇1陈蓓2贾文祥2

1 飞利浦（中国）投资有限公司（上海200233）

2 北京怡和嘉业医疗科技有限公司（北京100043）

内容提要： 医疗器械与网络的结合是近年来发展十分迅猛的一个领域，然而不可忽视的是新的领域带来了新的风险，其风险管理与传统的医疗器械制造商所普遍接受的风险管理方式不同。在这方面，IEC80001系列标准对网络形态下的风险管理进行了规范。本文对IEC80001系列标准所体现的风险管理理念进行了介绍。

风险管理医疗IT网络医疗器械

0.引言

信息技术的发展与普及为医疗健康服务带来了新的机遇与挑战。信息技术的合理使用可以提高有限医疗资源的效率，有利于降低医疗过失的发生，也能够使患者与医疗服务之间的联系更为紧密。为实现这些上层目的，所需要进行的一项基础建设就是对医疗器械实现联网使用。

然而，医疗器械联网使用带来大量便利的同时，也给人们提出了诸多挑战。有很多问题的存在使得医疗器械的联网使用不是那么的简单，这往往表现在：首先，评价医疗器械的临床风险时对来自于联网使用风险考虑不足；其次，制造商对医疗器械的联网使用支持不足；再次，医疗器械与网络中包括软件在内的其他设备存在兼容性问题，从而可能导致其运行错误或性能降低；另外，很多医疗器械不具有信息安全方面的保护能力；最后，医疗器械领域内的变更存在着严格的管控，而网络被攻击时又必须做出快速反应，这两者之间也存在着矛盾。当这些问题暴露出来后，常常会导致无法预见的后果，这些都是在医疗器械在连网前以及连网上线后需要密切关注的。

回顾医疗器械单独使用的状况，其中应对各种问题的一大利器就是风险管理方法。随着医疗器械厂商对ISO 14971的普遍接受以及对IEC60601-1第三版的广泛采纳，风险管理在医疗器械制造领域已经深入人心，成为业界共识。我国《医疗器械监督管理条例》第九条就要求第二、三类医疗器械在注册时必须提交风险分析资料，采用风险管理在医疗器械的上市前环节也已经成为法规强制要求。然而，仅仅是上市前的风险管理是远远不够的，保障医疗器械的安全有效，对其在使用环节进行高质量的风险管理也不可或缺。在我们探索医疗器械的全生命周期风险管理的时刻，国外已有的先进经验不妨拿来参考借鉴。其中，引人注目的IEC 80001系列标准就是针对医疗器械在联网使用环节中的风险管理方法。对此系列标准的深入学习，可以加深我们对风险管理的理解，提高我们从事风险管理的能力。

限于篇幅，本文拟从IEC80001标准中提取出若干重要理念予以介绍，以便读者快速了解IEC80001系列标准的核心内容。

1.IEC80001-1标准重要理念

1.1关键特性理念

ISO14971是指导医疗器械制造商针对单个医疗器械进行风险管理的，当医疗器械连网后风险管理的对象就从单个医疗器械变成了医疗IT网络。这也使得风险概念的含义需要在原有ISO14971的安全性、有效性基础上，把网络信息安全的含义扩充进去。IEC 80001将安全性、有效性、信息安全三者合称为关键特性。IEC 80001中的风险管理，也就是针对关键特性的风险管理。这种扩充，使得风险管理的内容与传统医疗器械风险管理的内容大不相同，也导致了方法上的一些变通。尤其是当关键特性内部三方面发生竞争，而需要在它们之间作出取舍时，则安全性具有最高优先级，有效性次之，信息安全再次。三者优先级的安排，是以病人利益为核心而进行的。

1.2责任方理念

医疗IT网络风险管理涉及到三个相关方，即医疗服务提供方，如某一家医院；医疗器械制造商，以及IT设备的供应商。在这三者之中，医疗服务提供方拥有并使用网络，直接接触患者，它对医疗IT网络的运行负有整体责任，IEC80001-1标准［1］确定医疗服务提供方为责任方。然而，如果这里所涉及的网络如果属于完整医疗器械的一部分，医疗服务提供方在使用中对网络也不加改动，那么IEC80001-1并不适用。这种情况下应该由制造商为包含网络的整体医疗器械承担责任，所依据的风险管理则遵循ISO14971的要求。

为确保正确地从事医疗IT网络的风险管理，IEC80001-1标准要求责任方的最高管理层制定方针、提供资源、指派有资质的人员、并审查风险管理活动的结果。安排人员来执行医疗IT网络的风险管理过程是至关重要的。责任方的最高管理层的一大职责就是指派一个医疗IT网络风险管理经理，并且确保在将医疗器械连入IT网络的过程中，责任方的其他人员都对医疗IT网络风险管理经理给予配合。

IEC80001-1标准认识到，要做好医疗IT网络的风险管理，将医疗服务提供者确定为责任方仅仅是一个方面，责任方与医疗器械制造商、IT网络设备提供方的通力合作也是不可或缺的。责任协议为各方的合作提供了保障，责任协议可以确立把医疗器械连入IT网络的各参与方所担任的角色及其责任，可以规定所建设的医疗IT网络生命周期的各方面事宜，也可以涵盖该生命周期各环节的所有活动。尤其是当现有文档无法满足责任方的风险管理需要时，可以通过责任协议来约定医疗器械制造商与IT设备提供方，提供为风险管理所需要的更为充分的资料。特别是当所需要的信息从医疗器械制造商的角度属于敏感信息的时候，对此信息的提供由责任协议来规定，而且通过保密协议来对其进行保护是有必要的。

1.3生命周期风险管理理念

1.3.1风险管理方针

在最高层次上，进行医疗IT网络的风险管理，首先应该由责任方的最高管理层制定风险管理方针。风险管理方针的制定解决三个方面的问题：其一是掌握责任方业务与三大关键特性之间的平衡；其二是确定一个方法，以便将来依此方法建立风险可接受的准则；其三是对风险管理的一些过程进行描述，以确立这些过程在风险管理活动中的地位。

1.3.2风险管理过程

实际的风险管理操作包含了诸多步骤。通常而言，标准为了行文严谨而对其可读性作出了牺牲。为了加深对风险管理的理解，与IEC80001-1同系列，作为技术报告的IEC80001-2-1给出了一些例子［2］，并提出了一个便于操作的十步骤方法，简要介绍如下：

·第一步：识别危害与危害处境

识别危害与危害处境，是风险管理的起点。

·第二步：识别原因与其所致的危害处境对第一步所识别出来的危害，考虑哪些原因、哪些事件序列可能会导致此危害或危害场景。有些原因不一定是技术问题，例如，使用不当与组织协同不良也是导致危害场景的原因。为识别这一类非技术问题，邀请比较有经验的使用者参与风险管理是十分重要的。

·第三步：判定非预期后果并估计严重度

对每个危害场景，判定对病人、医生、单位可能造成的后果，估计严重度。

·第四步：估计非预期后果的发生概率

对每个危害处境导致损害发生的概率分为两部分，其一为危害处境出现的概率P1，其二为危害处境出现后因其而导致损害的概率P2，两部分联合成为总的风险概率。通常准确地估计风险的概率是一件困难的事情，在后续的监视与事件管理中可以不断地对概率估计进行修正。

·第五步：评价风险

混凝土装配式住宅施工技术去除了传统技术中的一些弊端，具有节能减排、提高施工效率和节约成本的优点，更有利于节能减排目标的实现，因此越来越受到人们的重视。但是目前凝土装配式住宅施工技术中存在着材料乱用和预制构件种类单一的问题，在很大程度上了阻碍混凝土装配式住宅施工技术的实施和发展。因此相关技术人员应该深人贯彻多元化技术理念，促进混凝土装配式住宅施工技术的发展。

到这一步，损害的严重度与发生概率均已知晓。责任方应对每一个风险与事先确定的风险可接受准则进行比较。通常可将比较结果以风险可接受度矩阵来表示。若此时判断风险可以被接受，则后续第六到第九步可以省略。

·第六步：识别并记录风险控制措施，重新评价风险

如果第五步显示风险不可接受，则需要进行风险控制。通常有多种方法可以实现风险控制，需要从中选取最佳风险控制方式。如果风险较高而风险控制又无法实现，这时就需要进行风险/收益分析，去判断是否收益较高而值得承担风险。在这一步如果作出了风险过高而不可接受的结论，则后续第七到第九步自然省略。

·第七步：风险控制措施的实现

对第六步所识别的风险控制措施需要予以实现。在风险管理过程完成之前不应将风险控制措施实施上线。

·第八步：风险控制措施的验证

风险控制措施的验证包含了两个方面：其一是验证风险控制措施的实施；其二是验证风险控制措施的效果。原则上，风险控制措施上线之前必须要通过验证，可是个别情况下，风险控制措施的效果在测试环境中无法得到验证。此时，可以规定一个时间窗口，确保在时间窗口内完成风险控制措施得到验证。一旦验证结果为风险控制措施不可接受，所有改动在此时间窗口内可以回复到起始状态。

风险控制措施可能会导致新的风险，比如：由于对信息安全的控制过于严格，导致在紧急情况下医生无法获取病人的信息。这种情况下，有必要根据临床需要而不是IT方案来调整风险控制措施。

·第十步：对整体剩余风险进行评价并报告

对剩余风险单个单个地进行考虑后，还需要对整体剩余风险进行考虑。比如：有两个危害若它们单独发生，其风险都能够被接受，可是这两个危害互相存在关联，它们总是同时发生，这样的风险就需要经过进一步的评价来判断是否能被接受。

1.3.3变更风险管理

对医疗IT网络进行变更是经常发生的，IEC80001-1所说的变更意义比较广泛，它包含了医疗IT网络的创建，以及相关网络部件的退出使用。通常执行此类变更需要有一个项目。在项目计划中应当考虑来自风险管理的需求，后续的项目执行过程中也相应地执行风险管理的各个步骤。

由于大量的变更属于低风险的日常性变更，比如给网络增加一名用户，在监护网络中再增加一台监护仪，对此类变更如果仍然启动项目管理将会是一件耗时耗力的事，如此空耗风险管理资源是得不偿失的，IEC 80001-1标准为此提出了一个“变更许可”概念。作为风险管理活动的结果，在特定的条件下，如果责任方决定某种类型的例行变更所产生的风险均可接受，那么，责任方可以定义一个变更许可并规定其前提条件。在今后的操作中，如果变更符合其前提条件，则依照变更许可，可以很快地进入线上环境而无需重复经历项目管理的过程。

1.3.4在线风险管理

当医疗IT网络投入使用，并不代表风险管理已经完成任务。此时，责任方应当进行在线风险管理，它包含了两方面的内容：其一为监视；其二为事件管理。

对处于运行中的医疗IT网络，责任方应监视是否有新的风险出现、已有的风险控制措施是否持续有效，以及先前的风险估计是否准确。需要注意的是不应忽视一些非技术因素的监视，比如责任方的方针调整以及一些过程调整。

在线风险管理的另一大内容是事件管理，事件管理主要用于：（a）捕捉并记录负面事件；（b）评价事件并通过变更放行管理提出适当的变更；（c）跟踪所有使任务完成的纠正措施与预防活动；（d）向医疗IT网络风险管理经理和/或责任方的其他人员报告重大发现。

当在线风险管理提出一些纠正措施后，就会触发医疗IT网络的变更，于是回到前述变更风险管理的内容，如此周而复始，保障医疗IT网络的三大关键特性。

2.IEC 80001-2技术报告

为了使IEC80001-1标准得到更好的使用，标准开发者随后推出了一系列技术报告作为补充，以增强标准的可读性与可操作性。这一系列技术报告对医疗健康服务机构的风险管理进行了指导［5］，对风险管理的步骤进行了解释［2］；医疗健康服务机构跟医疗器械厂商就信息安全问题如何有效地沟通，报告也进行了举例说明［3］；由于无线网络的便利和普及，针对无线网络所需要注意的问题报告专门给出了指导［4］；在医疗健康服务机构的网络中，常常集成了分布式报警系统，报告对此给出了风险管理的导则［6］；医疗IT网络的风险管理是一个多方参与的活动，为了保证各方的协同，报告给出了确立多方的责任协议的指南［7］；风险管理是一项体系性的工作，报告也给出了如何进行内部审查的指导［8］。由于医疗IT网络的重要性日益增加，IEC80001系列相关的标准与技术报告还在持续开发当中。

3.总结

网络技术的发展使我们面临着前所未有的变局。医疗IT网络的发展，一方面在于传统医疗机构的内部网络不断得以加强与完善；另一方面也在于医疗IT网络脱出了传统医疗机构的院墙而深入到人们的日常生活中。所触及的人群，逐渐从病人、亚健康人群延伸到健康人群。不难预见，未来几乎全体人口都会被医疗IT网络所涉及。而现今状况是大量的非医疗相关的机构，甚至个人，在巨大的盈利预期驱动下涌向了健康IT产业，他们不具有传统的医疗服务机构或是传统医疗器械制造商所积累的经验。在这种现实背景下，对医疗IT网络的风险管理进行系统的学习是十分必要的。

IEC80001系列标准提出了针对医疗IT网络进行风险管理的方法论，其中所体现的风险管理方法与理念值得我们认真探讨。

［1］ IEC 80001-1， Application of risk management for IT-networks incorporating medical devices - Part 1∶ Roles，responsibilities and activities， Edition 1.0， 2010-10

［2］ IEC/TR 80001-2-1， Application of risk management for IT-networks incorporating medical devices - Part 2-1∶ Step-by-step risk management of medical IT-networks - Practical applications and examples， Edition 1.0， 2012-07

［3］ IEC/TR 80001-2-2， Application of risk management for IT-networks incorporating medical devices - Part 2-2∶ Guidance for the disclosure and communication of medical device security needs， risks and controls， Edition 1.0， 2012-07

［4］ IEC/TR 80001-2-3， Application of risk management for IT-networks incorporating medical devices - Part 2-3∶ Guidance for wireless networks， Edition 1.0， 2012-07

［5］ IEC/TR 80001-2-4， Application of risk management for IT-networks incorporating medical devices - Part 2-4∶ Application guidance - General implementation guidance for healthcare delivery organizations， Edition 1.0， 2012-11

［6］ IEC TR 80001-2-5， Application of risk management for IT-networks incorporating medical devices - Part 2-5∶ Application guidance - Guidance on distributed alarm systems， Edition 1.0， 2014-12

［7］ ISO/TR 80001-2-6， Application of risk management for IT-networks incorporating medical device — Part 2-6∶ Application guidance — Guidance for responsibility agreements， Edition 1.0， 2014-12

［8］ ISO/TR 80001-2-7， Application of risk management for IT-networks incorporating medicaldevices — Application guidance— Part 2-7∶ Guidance for Healthcare DeliveryOrganizations （HDOs） on how to selfassess their conformance with IEC 80001-1， Edition 1.0， 2015-4

The Concept of IEC 80001 Series for Medical IT Network Risk Management

CHEN Dayu1CHEN Bei2JIA Wen-xiang2
1 Philips China Investment Co. Ltd.（Shanghai200233）
2 BMC Medical Co. Ltd.（Beijing100043）

Medical devices incorporated into some IT network are quickly developed recently. However， the new technology development brought up new risks into our concern. The risk management is not the same as the traditional risk management on individual medical devices that is well known to medical devices manufacturers. The IEC 80001 series standards made requirements on these risk managements. In this paper， the risk management concepts from IEC 80001 are introduced.

risk management，medical IT network，medical devices

1006-6586（2016）09-0018-04

R194

A

2016-06-28