ISO/TS 25238:2007 — 健康信息学健康软件安全风险分类

数字健康时代的患者安全

随着医疗保健日益数字化，软件故障对患者安全构成了越来越大的威胁。从可能导致用药错误的电子处方系统到逻辑可能存在缺陷的临床决策支持工具，造成伤害的可能性是真实且有据可查的。ISO/TS 25238:2007 通过提供一个系统化的框架，根据健康软件产品对患者带来的风险水平对其进行分类，从而解决了这一挑战——使监管机构、制造商和医疗提供方能够实施与实际危险相匹配的、分级适度的控制措施。

该标准的核心观点简单而有力：医院预约排班系统对患者的风险微乎其微，而呼吸机控制决策支持系统可能致命。对各类软件应用的控制措施应该有本质上的区别——ISO/TS 25238 提供了客观进行这种区分的方法论。

五级风险分类框架

理解后果与可能性

根据该标准的定义，风险具有两个维度：对患者潜在伤害的严重程度（后果）和这种伤害实际发生的概率（可能性）。五级后果类别从轻微不便（E类）到临时性伤害、永久性损伤、危及生命，直至多人死亡或严重的公共卫生影响（A类）。五级可能性类别从几乎确定（第1类）到几乎不可能（第5类）。这两个维度在5×5风险矩阵中组合，产生五个风险等级。

风险等级	示例健康软件产品	建议的控制级别
I级（最低）	员工排班系统、通用研究数据库	基础软件质量保证
II级	医院患者管理系统	结构化设计和测试
III级	电子健康记录、实验室信息系统	正式风险管理过程
IV级	临床决策支持、药物相互作用提醒	严格的验证和确认
V级（最高）	呼吸机管理、放疗计划系统	完全符合IEC 61508或同等的SIL要求

风险分类并非一成不变：随着产品演进、新的使用场景出现或临床证据揭示之前未被认识到的危害，产品的风险等级可能发生变化。标准要求建立迭代评审机制。

分析过程

分步风险分类

标准概述了八个步骤的分析流程：（1）确定相关利益方；（2）理解系统及其用户环境；（3）识别潜在危害——即软件可能导致患者伤害的情形；（4）分析每种危害的后果；（5）评估在合理可预见的情况下伤害发生的可能性；（6）使用风险矩阵确定风险等级；（7）迭代以深化理解；（8）记录所有假设、分析和结论。应建立事件库以收集真实世界的安全事件并反馈到风险分析过程中。

实例应用

标准的附录B提供了四个不同类型健康软件产品的详细应用示例：癌症筛查患者召回系统、医院临床实验室系统、药物处方支持系统和重症监护室决策支持系统。这些示例展示了相同的结构化方法如何为差异巨大的产品产生适当的差异化风险分类——从召回系统的II级到ICU决策支持系统的V级。

对于实际工作者而言，这些应用示例可以说是标准中最有价值的部分。它们弥合了抽象风险理论与实际应用之间的差距，精确展示了如何将后果和可能性类别应用于真实的健康软件。

与设计和生产控制的关系

该标准明确定位为设计和生产控制的前置步骤，而非替代品。一旦确定了风险等级，它就可以指导对软件开发生命周期采取适当严谨程度的决策——从I级产品的基础软件质量保证到V级产品的完整IEC 61508功能安全框架。这种风险相称的方法既防止了设计不足（危险产品），也避免了过度工程（在低风险产品上浪费资源）。

标准特别排除了那些对于医疗设备的正常应用或功能必需的软件——这些软件在大多数司法管辖区已受医疗器械法规管辖。它所填补的空白是那些庞大且不断增长的、不属于传统医疗器械监管框架的独立健康软件类别。

常见问题

问：ISO/TS 25238 覆盖哪些类型的健康软件？
答：该标准涵盖任何用于健康相关目的的健康软件产品，包括商业产品、开源软件以及为单一组织定制的系统。它排除了对医疗设备的正常应用或功能必需的软件。

问：标准定义了多少个风险等级？
答：五个风险等级，从I级（最低风险）到V级（最高风险）。等级通过将后果和可能性评估在结构化的5×5风险矩阵中组合来确定。

问：ISO/TS 25238 是否用于软件设计的详细风险管理？
答：不是。该标准用于健康软件的广泛筛选和风险等级分配，作为更详细风险管理活动的前置步骤。设计过程中的详细风险分析和缓解措施应遵循既有的标准，如ISO 14971或IEC 61508。

问：为什么标准使用定性可能性而非定量概率？
答：因为对于健康软件产品，通常缺乏历史失效统计和事故数据。由知情利益相关方进行定性判断是最实用的方法，标准提供了结构化的类别以使此类判断尽可能一致和合理。