醫學影像存儲與傳輸系統軟件
專用技術條件
1 范圍
本文件規定了醫學影像存儲與傳輸系統軟件的要求和檢驗方法。
本文件適用于醫學影像存儲與傳輸系統軟件。
本文件不適用于不使用 DICOM 協議的影像存儲與傳輸系統。
2 規范性引用文件
下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文 件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于 本文件。
GB18030 信息技術 中文編碼字符集
GB/T25000.10 系統與軟件工程 系統與軟件質量要求和評價(SQuaRE) 第10部分:系統與 軟件質量模型
3 術語和定義
GB/T 25000.10 界定的以及下列術語和定義適用于本文件。
3.1
醫學影像存儲與傳輸系統軟件 picture archiving and communication system software 在醫學影像獲取之后提供存儲、傳輸,還可包括顯示、處理功能的軟件。
3.2
醫學影像云服務(云服務) cloud-based medical imaging service
基于公有云或私有云提供的,用于診斷的醫學影像的存儲、傳輸,還可包括顯示、處理等服務。
3.3
隨附文件 accompanying document
隨軟件所帶的文件,其內容包含了為責任方或操作者提供的信息。
3.4
操作者 operator
操作軟件的人。
[來源:GB9706.1—2020,3.73, 有修改]
3.5
用戶 user
使用軟件并獲得收益的組織或個人。
注:用戶角色和操作者角色可能被同時賦予或先后賦予相同的個人或組織。
[來源:GB/T25000.51—2016,4.1.25, 有修改]
YY/T 1861—2023
3.6
責任方 responsible organization
對某軟件的使用和維護負有責任的實體。
[來源:GB9706.1—2020,3.101, 有修改]
3.7
提示 prompt
用于請求或指導操作者的響應的,程序所發出的視覺或聽覺消息。
[來源:ISO/IEC/IEEE 24765:2017,3.3205,有修改]
3.8
影像視窗 image view port
用于顯示影像的最小異面單元
3.9
標注標識 annotatiye dimension
疊加在影像上用中標示與位置有關的發現、測量結果、測量基準的圖形、文字或符號。
3.10
影像附加信息 attached image imformation
屬于某一影像的患者信息,影像參數信息和其他信息
3.11
影像合并 image marge
將原本列于多項條月下的影像數據合并到同一條目中。
注。條目的層次可能是患者檢查或序列
3.12
可視化 visualizatioE
以不同于其原始狀態的形式顯示目標影像。,從而向操作者展示影像中儲存的特定信息的功能。
3.13
漸 進 式 加 載progressive loadmg
首先顯示低分糖率或對比度的影像,再顯示完整影像的影像加載方式。
3.14
數據沖突 datg confhiet
對一項數據作出與已應用的版本不可調和的版本改變
3.15
事務 transaction
在測試中劃分的若干請求的集合,通常代表一個功能點或工作流。
3.16
最大并發事務數 maximum concurrent transaction
事務吞吐量達到最大值時,軟件所承受的并發事務數。
3.17
事務吞吐量 transaction throughput capacity
在單位時間內軟件能夠處理完成的事務量,單位是 TPS [每秒事務數,S 也可替換為 M(分鐘)、H(小時)等]。
3.18
影像處理容量 image processing capacity
對于指定的影像處理或影像存儲功能,軟件能夠處理的單次最大數據量。
YY/T1861—2023魯械咨詢代辦醫療器械注冊證。
3.19
事務響應時間 transaction response time
操作者發起一個事務開始,服務器完成對該事務的請求的處理并返回處理結果所經過的時間。
3.20
事務成功率 transaction success rate
正確執行的事務數與全體事務數的比率。
3.21
斷言 assertion
指明在程序執行過程中的一個特定位置處,必定存在的程序狀態或程序變量必定滿足的一系列條 件的邏輯表達。
[來源:ISO/IEC/IEEE 24765:2017,3.247,有修改]
3.22
健康數據 health data
與身體或心理健康相關的個人敏感數據。
注:目前全球規定了不同的隱私合規性法律和法規。例如,在歐洲,可能需要采取的要求和參考變更為“個人數據” 和“敏感數據”,在美國,健康數據可能會變更為“受保護的健康信息(PHI)”, 這需要不同國家或地區的制造商 進一步考慮中國當地的法律法規。
[來源:IEC/TR 80001-2-2:2012,3.7,有修改]
3.23
個人信息 personal information
以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然 人活動情況的各種信息。
[來源:GB/T 35273—2020,3.1]
3.24
去標識化 de-identification
通過對個人信息的技術處理,使其在不借助額外信息的情況下,無法識別或者關聯個人信息主體的過程。
注:去標識化建立在個體基礎上,保留了個體顆粒度,采用假名、加密、哈希函數等技術手段替代對個人信息的 標識。
[來源:GB/T35273—2020,3.15]
4 要求和檢驗方法
4.1 通用要求
4.1.1 軟件的隨附文件應陳述下列信息:
a) 其自身的唯一識別信息;
b) 軟件預期使用者應具備的知識背景;
注:這些知識背景可能包括醫學領域的專業與資格、計算機領域的專業與資格和中文以外的其他語言等。 c) 軟件是否允許用戶進行安裝操作;
d) 如果允許用戶進行安裝,應給出安裝規程以及安裝所要求的最小磁盤空間;
e) 如果隨附文件分若干部分提供,至少應有一個部分包含對其他所有部分的索引;
f) 軟件產品的邊界;
g) 軟件組件的選項和版本;
YY/T1861—2023
h) 用戶可調用的接口和相關的被調用軟件;
i) 軟件支持的語言;
j) 術語和縮略語的定義;
k) 軟件的載體。
通過檢查隨附文件及以下方法來檢驗是否符合要求:
——對于 a) 中的要求,唯一識別信息可以是軟件的名稱、型號及版本號;
— 對 于 f) 中的要求,可以用軟件的邊界接口和軟件包含的功能點共同定義。
4.1.2 軟件的執行過程與結果應與隨附文件的陳述一致。
通過檢查隨附文件、軟件測試來檢驗其是面符合要求。
4.2 功能性與易用性
4.2.1 通用要求
軟件及其隨附文件應符合以下要求:
a) 隨附文件應陳述用戶能夠使用的所有軟件功能的執行與結果;
b) 隨附文件中陳述的軟件功能應是可測的或可驗證的。
c) 隨附文件應陳述所有客觀的使用限制
注1:使用限制包括用戶使用或管理的數據的長度、數量、句法條件等客觀約束。
d) 軟催中用于標記的紅,其含義應在隨附交體中解釋
e) 除非在與用戶交互時提供提示,軟件中每一用戶交互元素的含義應在隨附文件中解釋;
注2:用戶交互元素有活按印,來單、視窗、快捷鍵等。
f) 每個軟件出錯消息應指明如何改正差錯或向誰報告差錯
g) 對具有嚴重后果的功能現行應是可撤銷的心或者軟住應簽出這種后果的明顯警告,并且在這種 命令執行前要求確認。
h) 隨附文件應給出軟件與外部實體、軟件客戶端與服務器的應用層傳輸協議;
i) 隨附文件應給出或索引軟體所支持的數據傳輸與儲存規范。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,展以下方法來檢驗其 是否符合要求:
——隨附文件中說明的所有功能和典型工作流中的功能組合,均應經測試用例測試;
——隨附文件中說明的每個功能至少應經一個測試用例測試;
——隨附文件中說明的所有使用限制均喻經測斌用例測試。
4.2.2 影像接收與發送
軟件的影像接收與發送功能應符合以下要求:
a) 軟件應能與符合隨附文件中要求的其他實體進行影像接收與發送;
b) 當被請求接收的影像不符合數據傳輸與儲存規范時,軟件應拒絕接收影像并通知影像接收行為的發起者,或接收影像并將其與符合規范的影像作出明顯區分;
c) 當收到發送影像被拒絕的消息后,軟件應提供包含被拒絕的影像、拒絕方信息和時間戳的記錄信息;
d) 軟件應給出處于影像接收與發送狀態的指示;
e) 當軟件處于影像接收與發送狀態時,會導致接收與發送中斷的行為應有需要操作者確認的 提示。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔來檢驗其是否符合要求。
4.2.3 影像附加信息
軟件可支持操作者錄入和接口傳入(以下簡稱“錄入和傳入”)的影像附加信息的輸入方式。 對于支持影像附加信息輸入的軟件:
a)用于錄入影像附加信息的每一個文本框或類似部件,應有輸入長度和/或輸入規則限制;
b)除了具有特殊格式或含義的字段外,對于姓名及健康數據文本的錄入與顯示應支持中文,用于
顯示的封裝字符集應符合 GB18030 相關要求;
注1:具有特殊格式或含義的字段,例如:年齡。
c)應在隨附文件中給出影像附加信息的錄入和傳入限制;
注2:包括表單中字符的格式、支持的字符集、英文大小寫的區分等。
d)對于不符合錄入規則的影像附加信息,應無法錄入,或在錄入或提交時給出提示,且允許操作 者對其再次編輯;
e)進行會導致錄入中的影像附加信息丟失的操作時,應有需要操作者確認的提示;
f)對于支持由操作者按照某一錄入的影像附加信息對影像進行檢索的軟件,錄入功能所支持的 字符格式應被檢索功能完全覆蓋;
g)提交了影像附加信息的修改后,影像列表及影像視窗中正在顯示的相應信息應立即更新或有 需要更新的提示。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——對表單的輸入的測試可以采用字符生成器進行錄入,但在設計字符生成器時,應有適當的規則 來確保生成結果能夠遍歷每一種支持的格式或長度;如果使用預先準備好的參數表時,同樣應 對參數表進行上述檢查;
——對于 g) 中的要求,測試時應考慮修改信息與顯示信息位于不同客戶端的情形。
4.2.4 影像導入與導出
軟件的影像導入與導出功能應符合以下要求:
a) 軟件應能按照數據傳輸與儲存規范進行影像導入與導出;
b) 軟件應給出影像導入狀態的指示;
c) 影像未能正確導入或導出時,軟件應給出提示;
d) 軟件應對導入影像的格式加以限制,限制的規則與機制應在隨附文件中指明;
e) 當導出為有損影像時,界面上應有提示;
f) 隨附文件中應給出軟件支持的所有可由操作者導出的影像、附加信息和報告及其導出格式。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——對于 b)中的要求,其形式可以是進度條、狀態標記、虛擬指示燈等;
——對于 c) 中的要求,測試時應考慮存儲空間不足、數據傳輸中斷、超時、校驗和錯誤、目的地存在 同名文件或文件夾等情形;
——對于 d) 中的要求,測試時應考慮錯誤的擴展名、空擴展名、偽造的文件頭等情形。
4.2.5 影像索引與調閱
軟件應支持對內部和/或外部的影像索引與調閱服務。
通過軟件測試及必要時檢查軟件的設計開發、驗證與確認文檔來檢驗其是否符合要求。
YY/T 1861—2023
4.2.6 影像存儲與訪問
軟件的影像存儲與訪問功能應符合以下要求:
a)當軟件使用壓縮方法存儲影像時,隨附文件中應給出壓縮的壓縮率、均方誤差與相應的圖像 熵,并通過測試進行驗證;
b)如軟件不能支持多個操作者同時對某一影像或附加信息進行編輯,應提供數據鎖功能,被設置 數據鎖的影像應僅能被特定操作者編輯、傳輸或刪除;
c)受數據鎖影響的數據應有標識;
d)其他操作者試圖編輯、傳輸或刪除被設置數據鎖的數據時,應有提示;
e)數據鎖應可以由設置數據鎖的操作者、管理員或適當時自動解除;
f)當數據鎖不能隨著第一個編輯數據的操作者的訪問被自動執行時,應有數據沖突檢查機制
g)隨附文件應陳述軟件對數據沖突的處理方式,并通過測試加以驗證;
h)數據沖突不應導致數據丟失。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——對于 a)中的要求:
壓縮率(CR) 的計算方法見公式(1):
(1)
式中:
F—— 原始影像的字節數(F 應遠大于磁盤的分配單元大小);
G ——將原始影像存儲至被測軟件后存儲該影像所占用的磁盤空間。
原始影像的一維熵(H) 的計算方法見公式(2):
式中:
P;—— 原始影像中灰度值為 i 的像素所占的比例; k ——原始影像的存儲位深。
均方誤差(MSE) 的計算方法見公式(3):
式中:
g(x,y)—— 原始影像矩陣(O≤x≤M-1,0≤y≤N-1);
f(x,y)
M
N
存儲至被測軟件并讀取出的影像矩陣(O≤x≤M-1,0≤y≤N-1);
—— 影像像素列數;
—— 影像像素行數。
使用10幅像素矩陣、位深相同的原始影像通過上述方法進行測試并分別計算和記錄CR、H、 MSE 的平均值,作為最終的測試結果。
對于 g) 、h)中的要求,測試時應考慮操作者錄入信息沖突、影像存儲(歸檔)時沖突、從影像附 加信息中自動讀取患者信息時沖突等情形。
4.2.7 影像合并
對于支持影像合并功能的軟件,應符合以下要求:
a) 應在合并前進行合并規則檢查;
b) 對于重復的影像,合并時應分別存儲或讓操作者選擇是否覆蓋。
通過軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其是否符合要求:
——對于a) 中的要求,當軟件通過指定的規則直接阻止合并操作時,或給出提示要求操作者進一 步確認時,均視為符合要求;
——對于 b) 中的要求,測試時應考慮影像唯一編號(UID) 重復,以及其他影像附加信息數據重復、 不一致和為空的情形。
4.2.8 影像顯示
對于支持預期用于診斷的影像顯示的軟件,應符合以下要求:
a) 隨附文件中應規定支持顯示的所有影像模態,以及每個影像模態所支持的可視化功能;
b) 應支持顯示影像的平移、翻轉功能;
c) 應支持顯示影像的縮放功能;
d) 應支持顯示影像的窗寬/窗位調節功能;
e) 對于支持多層序列影像顯示的軟件,應支持在序列內進行影像滾動翻頁的功能;
f) 對于支持導入或接收影像圖層上的疊加信息的軟件,應支持對其進行顯示;
注:例如:DICOM GSPS標記。
g) 對于支持包含預期用于診斷的視圖的多顯示器布局的軟件,應有方法使影像顯示在用于診斷 的顯示器上。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——影像顯示測試所使用的數據應包括標準影像文件、影像顯示條件信息以及預期的顯示效果; ——應對每一個支持的影像模態進行所有要求的測試。
4.2.9 測量功能
對于軟件中給出物理尺寸的手動幾何測量功能:
a) 隨附文件應給出獲得對測量結果進行不確定度評定所需的必要信息,包括對由掃描設備和掃 描物產生的輸入量的不確定度分量的識別、由軟件和運行環境的設置與使用產生的輸入量的
不確定度分量的評價方法以及合成不確定度的計算方法。
注:對于測量功能的不確定度評定,見附錄 A 和GB/T 27418。
b) 已繪制的測量數值不應受影像縮放、平移、旋轉等操作的影響;
c) 影像上的測量標注標識不應隨著對影像的平移、翻轉、縮放等操作而改變與影像間的相對位置 和尺寸關系;
d) 在一個影像視窗中存在多個測量時,應有方法確認數值和測量標注標識的對應關系;
e) 影像中顯示的測量標注標識與影像應能區分。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——應遍歷每個測量工具;
——應遍歷二維原始影像,以及體數據經可視化功能重建后的二維和三維影像。
4.2.10 數據刪除
軟件的數據刪除功能應符合以下要求:
a) 操作者主動執行數據刪除操作,或執行將會導致數據被刪除的一系列預置操作時,軟件應給出
要求操作者確認的提示并提供取消該操作的功能,或提供撤銷刪除操作的功能;
b) 具有自動刪除功能的軟件,應確保自動刪除的配置默認關閉,并需要已由操作者配置明確且合 理的刪除條件后方可執行;
c) 如果軟件對已存儲(歸檔)的影像具有手動批量刪除或自動刪除功能,應能判斷存儲(歸檔)到 其他存儲的請求是否已成功執行。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
對 于a) 中的要求:
● 測試時不包括文本編輯中的刪除操作;
● 應考慮遍歷所有可被刪除的數據類型(例如:用戶、角色、患者、檢查、序列、影像、報告等);
● 應考慮遍歷所有刪除操作的調用形式(例如:按鈕、右鍵菜單、快捷鍵、手勢、觸摸屏操作 等)。
對 于 b)中的要求:
● 應考慮當用做判定刪除條件的參數為空、格式非法或覆蓋了所有數據條目的情形;
● 對基于系統時間判定刪除條件的機制而言,不合理的條件可以是當前的系統時間與上一 次正確啟動軟件時的時間相比,或者系統時間與某一用做參考的時間來源相比,超過特定 的閾值。
注:該設定可以在一定程度上避免由于誤操作或主板電池耗盡等原因更改系統時間導致自動刪除機制錯誤觸發。
4.2.11 診斷影像誤用的防止
軟件應能防范可以預見的對診斷影像的誤用:
a) 當顯示影像窗格中包含多于一個患者的影像,或同一個患者同類型的多個檢查時,應顯示相應 的影像附加信息進行區分;
b) 如軟件具有漸進式加載功能,應在影像未達到完整分辨率時給出提示且無法使用需要完整分 辨率影像的工具;
c) 當前系統所設置的屏幕分辨率以及界面縮放不能滿足軟件規定的范圍時,應給出提示;
d) 支持將影像以真實尺寸進行顯示的軟件,在運行環境不滿足真實尺寸顯示要求時,應給出當前 的顯示非真實尺寸的提示;
e) 當某一影像顯示功能提供給非醫療機構或個人、使用了有損壓縮,或預期在非醫療環境下不用 于診斷用途顯示時,應有提示并在隨附文件中說明。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
—對于 e) 中的要求,當壓縮的均方誤差 MSE≤1×10-6 時,可不視為有損壓縮。
4.3 性能效率
4.3.1 容量
4.3.1.1 最大并發事務數
隨附文件中應給出軟件在指定的運行環境下最大并發事務數。
最大并發事務數應與測試工作流、事務吞吐量、事務響應時間、允許的最低事務成功率一并給出,其 中事務成功率不應低于90%。
軟件的最大并發事務數、事務吞吐量、事務響應時間、事務成功率及其資源利用性(見4.3.3)應符合 隨附文件中的要求。
YY/T 1861—2023
通過檢查隨附文件,軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗是 否符合要求。測試工作流應包括:
——被測軟件客戶端的用戶登錄、查詢、首幅影像加載;
外部應用實體向被測軟件存儲(歸檔)影像:
外部應用實體向被測軟件檢索影像列表,并獲取影像。
推薦的測試典型影像:512×512重建矩陣、含有2幅影像的CT 序列。
當存在緩存時,最大并發事務數測試應關閉緩存功能或對查詢的信息和讀取的影像進行參數化,以 確保每個虛擬用戶每次請求的信息都是不同的。
在測試過程中,應對事務吞吐量、事務響應時間、事務的成功率以及資源利用性進行監控。 在測試中可不設置集合點。
測試的持續時間應保證成功執行的事務總數大于最大并發事務數的4倍,并不低于5 min。
應使用等于隨附文件中規定的最大并發事務數100%的虛擬用戶及90%的虛擬用戶分別進行并發 測試,如前者的事務吞吐量小于或等于后者,視為并發測試失敗。
應在關鍵步驟中設計適當的斷言以判斷結果的正確性,從而計算事務成功率,而非僅通過請求返回 的類型(例如:http 請求響應為200)進行判斷。
4.3.1.2 影像處理容量
隨附文件中應給出軟件在指定的運行環境下的影像處理容量,至少包括支持的最大單一序列影像 數和支持的最大總影像數。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求。
——當處理指定容量的影像時軟件崩潰、失去響應視為測試不通過。
4.3.2 時間特性
隨附文件中應給出軟件在指定的運行環境下的事務響應時間。
隨附文件中應給出影響時間特性的內部和外部的變量,以及這些變量在進行測試時的約束條件。 軟件的時間特性及其資源利用性(見4.3.3)應符合隨附文件中的要求。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——如適用,被測事務至少包括軟件客戶端用戶登錄、首幅影像加載和外部實體向被測軟件檢索影 像列表;
——軟件的時間特性測試應在隨附文件中規定的影響變量的約束條件下進行; ——時間特性測試應在單一或制造商規定的并發下進行;
——當進行并發的時間特性測試時,應在每一個被測事務開始時設定集合點;
——在測試時間特性時,應關閉“預加載”等功能并清除緩存,如果預加載功能是不可關閉的,應在 聲稱值和測試結果中均予以注明;
——如果開始與終止是基于操作者交互的,應以操作者交互輸入的時間點作為開始時間,以向操作 者完成預期輸出的時間點作為終止時間;如中間過程存在操作者交互,應在結果中去除思考 時間。
4.3.3 資源利用性
隨附文件應給出軟件在指定的運行環境下的資源利用性約束,至少包括平均 CPU 占用率。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其
YY/T 1861—2023
是否符合要求:
——軟件的資源利用性測試在4.3.1.1 與4.3.2 的測試中同時進行;
——資源利用性測試監控的對象僅包括被測軟件服務器端。
4.4 可靠性
4.4.1 數據備份與恢復
除了數據備份與恢復由被測軟件之外的其他軟件進行實現的情形外,應符合以下要求: a) 隨附文件中應分別列舉產品的數據備份功能所能夠備份的數據類型;
b) 隨附文件應給出數據備份和恢復規程的信息;
c) 操作者執行備份數據的恢復操作時,如已有數據將被覆蓋,軟件應給出提示;
d) 無論何種情況下,當軟件顯示備份操作已被成功地執行了,則應成功生成相應的備份文件,并 應可以用于恢復;
e) 恢復后的數據應與生成備份文件時的相應數據是一致的;
f) 基 于DICOM 協議的影像數據備份功能應支持DICOM commitment SCU 服務;
g) 支持作為基于DICOM 協議的備份目的地的軟件應支持 DICOM commitment SCP 服務;
h) 非基于DICOM 協議的影像數據備份功能應有方法判斷本地存儲的每一個影像數據是否已經 被備份。這一功能在影像數據被修改后也應能正確實現。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——對于 b) 中的要求,當數據備份或恢復是由其他軟件進行實現時,可給出使用外部軟件備份或 恢復的必要指示(如:數據存放路徑等);
——對于 d) 中的要求,測試時應考慮對相同數據的重復備份、系統可用空間不足時進行備份、對空 數據進行備份等情形;
——對于 e)中的要求,測試時應考慮系統可用空間不足時進行恢復。
4.4.2 磁盤空間檢測
軟件應支持磁盤空間檢測功能:
a) 軟件應預設或支持由操作者設定磁盤空間不足的限值;
b) 當磁盤空間達到設定的限值時,應給出提示。
通過軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其是否符合要求:
—對于 b) 中的要求,如果隨附文件中沒有定義限值的參考單位,測試時設定的邊界值應精確到 磁盤分配單元,否則應以隨附文件中定義的值為準。
4.4.3 容錯性
隨附文件應陳述軟件在接口、組件、系統或網絡資源可用性引發差錯的情況下繼續運行(可用)的 能力。
軟件的容錯性應符合隨附文件中的陳述。
通過檢查隨附文件、軟件測試,及必要時檢查軟件的設計開發、驗證與確認文檔來檢驗其是否符合 要求。
4.4.4 軟件穩定性測試
預期在指定的運行環境下不間斷運行的軟件應通過軟件穩定性測試。
YY/T 1861—2023
制造商應規定軟件穩定性測試所執行的工作流和通過準則,通過準則應包括工作流成功率占比。
注:穩定性的通過準則還有可用時間占比、初始/終末性能效率比等,考慮評價的典型性和可行性,本文件推薦采用 工作流成功率作為通過準則。
通過檢查隨附文件、軟件測試,必要時檢查軟件的設計開發、驗證與確認文檔,及以下方法來檢驗其 是否符合要求:
——在工作流執行中,應在關鍵節點處設置斷言,以驗證步驟的正確執行;
——加載指定數量的虛擬用戶連續執行設計好的工作流,持續時間應累計至少為24 h;
——工作流的執行成功率應被同時記錄;
——當軟件無法繼續執行指定的工作流、崩潰或失去響應,視為穩定性測試失??;
——軟件穩定性測試所使用的測試工具可以是基于圖形化界面交互或模擬客戶端請求的。
4.5 網絡安全
4.5.1 自動注銷
具有終端的軟件應具備基于閑置時間的自動注銷功能。
自動注銷狀態下,健康數據應不可見。
自動注銷后,用戶再次登錄時,未保存的數據不應丟失,這個要求即便是再次登錄的用戶并非自動 注銷前的用戶時也應滿足。
自動注銷后操作者應需要再次進行用戶身份鑒別才能登錄軟件。
通過軟件測試,必要時檢查軟件的網絡安全相關文檔,及以下方法來檢驗其是否符合要求:
——自動注銷功能應在可設置的條件的最小邊界值和由測試者選取的典型值進行測試,可在最大 邊界值進行測試;
——對于自動注銷后的再次登錄,使用與冷啟動時登錄軟件所使用的不同的身份鑒別方式或憑證 也被視為測試通過。
4.5.2 審計
軟件應具有記錄健康數據的調閱、修改和刪除事件有關的審計信息的能力。
軟件應在面向具有審計日志查閱權限的用戶的文檔中給出日志關鍵字信息,應包括所有日志關鍵 字的含義、生成條件和生成格式。
審計日志應不可修改,所記錄的信息應確??梢宰匪莸骄唧w的用戶、時間和事件。
如審計日志能夠被軟件發送給其他媒介或終端,應有方法確保傳輸過程的保密性和完整性。 通過軟件測試,必要時檢查軟件的網絡安全相關文檔,及以下方法來檢驗其是否符合要求:
——測試用例的設計應遍歷每一個日志關鍵字,以及在進行全部功能性、網絡安全測試后查看文檔 中的日志關鍵字信息是否包含了所有網絡安全日志;
通過嘗試對網絡安全日志進行編輯、修改系統日期從而實現蓋寫等操作進行測試。
4.5.3 授權
軟件應能對存儲的影像進行訪問授權,以控制用戶僅能訪問其有權限訪問的影像。
軟件在數據訪問授權時,應考慮最小數據授權原則,僅提供完成預期用途所必需的健康數據的授 權,或向用戶提供實現該原則的必要設置選項。
預期用于訪問指定患者影像的授權憑據不應僅使用與患者身份綁定的信息。
注:例如:使用完整的身份證號即可查閱對應患者的影像信息。
授權憑據不應硬編碼于軟件中。
每次從新設備訪問需要進行授權的數據時,應要求用戶重新提交授權憑據,即便這些數據是經由已 被授權的用戶轉發的。
通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.4 節點鑒別
使用DICOM 協議進行通信時,軟件應能設置合法訪問節點的應用實體名稱(AE Title),宜能設置
合法訪問節點的 IP 地址、端口號等信息。
軟件應支持對應用實體權限的控制。
注:如 C-FIND、C-MOVE、C-Store、Filming、MPPS、Worklist 等權限配置。
通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.5 人員鑒別
軟件應支持對每一個用戶提供各自的鑒權憑證。
對于使用額外的硬件進行人員鑒別時(如:指紋傳感器、讀卡器、虹膜傳感器等),隨附文件中應指定 對鑒別設備的要求、與軟件的連接方式以及如何加密。
通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.6 連通能力
隨附文件中應指明使用本軟件所必需的硬件連通能力。
隨附文件中應給出軟件占用的網絡端口以及軟件與其他軟件、軟件各組件之間的傳輸協議。 對于支持 DICOM 傳輸協議的軟件,見4.7.1。
通過檢查隨附文件、軟件測試,必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。 注:對于硬件連通能力的要求,僅考慮必須具備的連接。
示例:當軟件必須通過 USB接口控制指定的醫療器械硬件時,USB接口視為必需的硬件連通能力;當軟件能夠通 過操作系統的文件 I/O 功能向 U 盤存儲文件時,USB接口不視為必需的硬件連通能力。
4.5.7 物理防護
以云服務形式交付的軟件,隨附文件中應指明部署環境的物理防護形式。
通過檢查隨附文件及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.8 系統加固
隨附文件應就如何關閉或禁用軟件運行所不需要的端口、通信協議、服務、應用程序或引導程序給 出必要的說明。
以云服務形式交付的軟件,隨附文件應指明部署環境的等級保護級別。
通過檢查隨附文件及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.9 數據去標識化
將影像傳輸到軟件之外(包括文件形式的傳輸行為和數據流形式的影像呈現行為)時,軟件應具有 去標識化的功能,去標識化字段應至少包括患者姓名、患者唯一標識、患者地理位置信息、患者聯系方 式、醫療機構名稱、醫療機構地址。
去標識化功能宜進行分級,允許操作者選擇需要的字段或預置的字段組合進行去標識化。
當影像的接收方是影像后處理應用程序,且其后處理結果預期僅回傳給本軟件時,應支持傳輸去標 識化以及接收恢復標識化功能。
注:該功能可允許影像傳輸經過不受信任的網絡、節點或終端時,將去標識化程度提升至最高。 通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.10 數據完整性與真實性
制造商應給出軟件保障數據完整性的措施。
以非授權方式更改用戶訪問控制設置(包括用戶名/密碼表、密碼嘗試次數設置、用戶權限設置等)、 影像傳輸設置(包括節點白名單、傳輸協議設置、加密設置等)、影像存儲設置(包括允許的存儲形式、存 儲匿名機制等)的行為應:
——被阻止,或
——被識別并以適當的形式通知用戶。
支持多家醫療機構共用云服務的軟件,應能確保各個機構的數據隔離性、可靠性和完整性,并應能 不受不同醫療機構的患者ID、檢查號重復的影響。
通過軟件測試,必要時檢查軟件的網絡安全相關文檔,及以下方法來檢驗其是否符合要求: ——根據制造商給出的數據完整性保障措施設計測試用例進行測試。
4.5.11 數據備份與灰難恢復
當數據備份與恢復功能頂期用于防池讓憑機系統遭到上預期的破環時,隨附戈件應對備份數據的 安全保存給出必要的信息。
備份高恢復功能的要求見4.4.1
通過檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.12 數據存儲保密性與完整性
患者健康數據以及未去標識化的形像數據價儲于公有云環境時,其內容應被加密。
軟件應能識別出對用戶疫權數據,、正正日志數據以及其他與網絡安全能萬有關的數據的完整性產生損害的事件,且能夠提供記錄這些事件并使授權用產獲知的方法。
通過軟作測試及必要時檢查軟件的網絡安全相關文檔來檢驗具是否符合要求。
4.5.13 數據傳輸保密性
患者健康數據以及未去標識化的影像數據通過公網傳輸時,傳輸過程應有加密措施。
患者健康數據以及來去標識化的影像數據通過局域網傳輸時,傳輸過程可具有加密措施。 通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.14 數據傳輸完整性
由操作者發起的,同時發送或接收多幅影像的行為應有影像序列完整性檢查機制,并就完整性檢查結果給出相應提示。
將數據通過公網進行傳輸的軟件,應有確保影像及患者健康數據傳輸過程完整性的措施。
支持分布式存儲或數據同步功能的軟件,應能確保影像數據的一致性;檢索和調閱時,對尚未同步 的數據,應提供適當的狀態指示。
通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.15 網絡安全補丁升級
當軟件預期不接入互聯網時,隨附文件應告知用戶檢查與執行運行環境及軟件自身的安全缺陷修 復程序的必要性。
通過檢查隨附文件及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.16 軟件物料清單
軟件應能顯示已安裝的所有組件及其版本信息。
當已安裝的組件發生變化時,顯示的組件及版本信息應相應更新。
通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.17 現成軟件維護
隨附文件應對軟件所包含的現成軟件及如何獲取這些現成軟件的網絡安全更新給出必要的說明。 通過檢查隨附文件及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.18 網絡安全指導
宜向承擔不同級別的網絡安全職責的操作者分別提供各自的隨附文件。
注:醫療 IT 系統的管理員與醫生承擔著不同級別的網絡安全職責。
隨附文件應給出當用戶發現產品的網絡安全漏洞時,向制造商反饋的途徑。
通過檢查隨附文件及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.19 網絡安全特征配置
當任何一項網絡安全要求的滿足受到用戶設置的影響時,隨附文件應解釋這些設置的方法與結果。 注:這些設置可能包括用戶權限設置、去標識化設置和加密設置等。
通過檢查隨附文件及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.20 緊急訪問
軟件可具有緊急訪問功能,以及在無用戶授權的情況下訪問軟件的指定功能。 緊急訪問可具有專用憑據,該憑據不被認為是用戶訪問控制機制的一部分。
如軟件具有緊急訪問功能:
——根據預期使用場景,緊急訪問應通過適當的方式實現最小數據授權原則,以確保通過緊急訪問功能登錄的用戶僅能訪問預期使用場景中必要的影像。
示例1: 緊急訪問時僅能訪問新增數據,無法訪問歷史數據。
示例2:緊急訪問時需要通過一個或多個精確條件進行檢索方能訪問符合條件的數據,不支持空的檢索條件以及模 糊的檢索條件。
——緊急訪問行為、使用的憑據以及所訪問的影像數據應有審計日志記錄。
——可支持禁用緊急訪問功能。
通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.21 遠程訪問與控制
應使用不低于32 bit 真彩色或8 bit 灰階的方式提供預期用于診斷的遠程影像顯示。 當遠程影像顯示不滿足色彩、灰階、分辨率的最低要求時,應給出提示。
當使用灰階方式提供遠程影像顯示時,隨附文件中應給出有診斷價值的信息可能會丟失的說明。 通過軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.5.22 惡意軟件探測與防護
以云服務形式交付的軟件,隨附文件中應指明部署環境所使用的惡意軟件探測與防護軟件及其引
擎與特征庫版本的查看方法。
除非以非 DICOM 格式存儲影像數據或將影像數據直接以二進制形式存儲在數據庫中,軟件應有 DICOM 導言內容鑒別機制:
——直接將所有導言內容置為00H;
——或以白名單的形式將允許的導言內容保留,將白名單以外的導言置為00H; ——或能鑒別可執行類型的導言內容,將其置為00H。
這個鑒別機制可以發生在接收/導入影像數據時或發送/導出影像數據時。
通過檢查隨附文件、軟件測試及必要時檢查軟件的網絡安全相關文檔來檢驗其是否符合要求。
4.6 維護性
4.6.1 維護性日志
軟件應具有維護性白志記錄與軟件維護有關的信息。
軟件應在隨附文件或用于軟件維護人員閱讀的文檔中給出日志關鍵氣信息,應包括所有日志關鍵 字的含義、生成條件和生成格式。
通過檢查相應文檔、軟件測試及必要時檢查軟件的設計開發、驗證與確認文檔來檢驗其是否符合 要求。
4.6.2 軟件狀態的指示
隨附及件甲應對與軟件維護有關的軟件運行狀態的的個指示爺正解釋說明,以及必要時給出可能
導致的結果。
注:軟件運花狀態的指示可 能也括 用于診斷院已的缺陷或大或原因的提態
通過檢查隨附文件及必要時進行軟件測試類檢驗其 是否符全要求
4.6.3 遠程維護
隨附文件中應聲明軟件支持的遠程維護功能,該要求同樣通用于經過制造商驗證的第三方遠程維護工具提供的功能。
通過檢查隨咐文件及必要時進行軟件測試來檢驗其是否符合要求。
4.6.4 軟件升級
支持由用戶進行在線開級的軟件,除了以云服務形式交伸的軟件以外,在執行軟件升級時應由指定 的用戶進行確認并給出獲取升級前后的版本及變化內容信息的方法。
通過軟件測試來檢驗其是否符合要求。
4.7 兼容性
4.7.1 DICOM 兼容性
對于符合 DICOM 標準的軟件:
a) 隨附文件中應包含 DICOM 符合性聲明;
b) 對于支持使用DICOM 標準協議進行數據傳輸的軟件,應能與相應的 DICOM 應用實體正確 地進行通信;
c) 對于支持將影像信息存儲為 DICOM 格式文件的軟件,所存儲的 DICOM 文件的每 一個標準 定義的元數據應符合 DICOM 符合性聲明中涉及的要求。
通過檢查 DICOM 符合性聲明及軟件測試來檢驗其是否符合要求。
YY/T 1861—2023
對于 b)中的要求,測試環境的部署應包括被測軟件支持進行通信的每種類型的DICOM 應 用 實體。
當軟件所存儲的文件的元數據均由其他應用實體創建時,c)中的要求不適用。
4.7.2 必備軟件兼容性
如隨附文件中指明軟件能與其他醫療器械軟件互操作,應能正確按照隨附文件中定義的行為進行 通信。
通過檢查隨附文件、軟件測試,及必要時檢查軟件的接口文檔來檢驗其是否符合要求。
4.7.3 必備硬件兼容性
如隨附文件中指明軟件能與某必備醫療器械硬件兼容(如醫用影像設備),應進行兼容性測試。
通過檢查隨附文件、軟件測試,必要時檢查軟件的接口文檔,及以下方法來檢驗其是否符合要求: ——必備硬件兼容性測試用例應覆蓋所有與必備硬件的接口/交互功能。
4.7.4 組件兼容性
如果軟件允許用戶進行安裝,應提供一種方式來控制已安裝組件的兼容性。
軟件應能識別出哪個組件負責兼容性。
通過軟件測試來檢驗其是否符合要求。
4.8 可移植性
4.8.1 運行環境
隨附文件中應給出軟件的運行環境,至少包括軟件環境、最低的硬件環境和最低的網絡環境。 當軟件的組件分別運行在不同的計算機系統時,每一個計算機系統的運行環境應分別給出。
當對于軟件的一個或多個組件而言有多個可選擇的運行環境時,隨附文件應陳述允許的每種組合。
對于支持用于顯示的醫學影像云服務的軟件,應有操作者需確認終端是否符合醫學影像顯示系統 的要求的提示或提供預置的用于醫學影像顯示系統符合性測試的標準圖形。
注:對于醫學影像顯示系統,參見 YY/T 0910.1。
通過檢查隨附文件、軟件測試及以下方法來檢驗其是否符合要求:
當軟件的一個或多個組件的軟件環境中相同的項具有多個版本的組合時,測試時應考慮其中 一項取最高版本而其他所有項皆取最低版本的每一種組合情形。
4.8.2 安裝與卸載
如果軟件允許用戶進行安裝,遵循隨附文件中的信息應能成功安裝并運行軟件。單機軟件和基于 C/S 架構的客戶端軟件應向用戶提供卸載方法。
通過檢查隨附文件及軟件測試來檢驗其是否符合要求。
YY/T 1861—2023
附 錄 A
(資料性)
測量功能的不確定度評定
對于軟件的測量功能而言,其結果受到很多隨機因素與系統因素的影響,通過對這些因素進行識別 并進行不確定度評定,可以對測量結果的質量給出定量的評價。
從測量結果的產生過程來看,其不確定度貢獻主要來自兩個主要方面:
a) 掃描設備和掃描物產生的輸入量 Xa.,Xa?,…,Xa.x (例如:CT 設備所給出的像素間距、DR 影像中的標準球體的直徑等)貢獻的不確定度分量u(x;);
b) 由軟件和運行環境的設置與使用產生的輸入量 Xs.1 、Xs.2,…,Xn.x (例如:圖像在屏幕中所顯 示的分辨率、計算時的數據精度、連續值與離散值的映射等)貢獻的不確定度分量u(xb,)。
其中,a) 中的不確定度分量往往與測量軟件無關,但對于測量軟件的用戶而言,其所感知的測量結 果的質量無疑與該不確定度分量相關。在軟件的隨附文件中單獨對這些不確定度分量給出識別和說 明,有利于用戶正確理解整個測量系統的不確定度構成和在評定整個測量系統的不確定度時給予必要 的提示。
b)中的不確定度分量中,有些是固化于軟件的編碼中的,而另外一些則與軟件和運行環境的設置、 操作者對軟件的操作相關。制造商有責任在隨附文件中對這些不確定度分量的計算方法或不確定度評 價中的關鍵信息(例如:輸入量之間的函數關系、輸入量的概率分布等)進行說明,以便用戶遵循這些說 明能夠實現對相應不確定度分量進行充分識別與正確評價。
最終的測量結果Y 的計算是由測量軟件給出的,其由各個輸入量通過函數關系f 來確定:
Y=f(XaI,Xa,?,…,Xa.n,Xb.I,Xs.z,…,Xb.x) …………(A.1)
用戶可以通過隨附文件中給出的函數關系 f 對軟件測量結果的合成標準不確定度進行計算,并計 算給定包含因子下的擴展不確定度。
YY/T 1861—2023
參 考 文 獻
[1] GB9706.1—2020 醫用電氣設備 第1部分:基本安全和基本性能的通用要求
[2] GB/T25000.51—2016 系統與軟件工程 系統與軟件質量要求和評價(SQuaRE) 第51 部分:就緒可用軟件產品(RUSP) 的質量要求和測試細則
[3] GB/T27418-2017 測量不確定度評定和表示
[4] GB/T 35273—2020 信息安全技術 個人信息安全規范
[5] YY/T0910.1—2021 醫用電氣設備 醫學影像顯示系統 第1部分:評價方法
[6] ISO/IEC/IEEE 24765:2017 Systems and software engineering—Vocabulary
「7] IEC/TR 80001-2-2:2012 Application of risk management for IT-networks incorporating medical devices—Part 2-2:Guidance for the disclosure and communication of medical device security needs,risks and controls