クリティカル・システムに使う市販ソフトウェアの検証方法(2) ―― 誰が,何をもって市販ソフトウェアが信頼できることを証明するのか
●市販ソフトウェアの信頼性証明に必要な情報
市販ソフトウェアをクリティカル・システムに使用するにあたり,どのようなドキュメントを作成するべきでしょうか? 市販ソフトウェアを検証した記録は当然必要ですが,それだけでは不十分です.検証記録以上に重要なのは,対象の機器やシステムの中で市販ソフトウェアがどのような役割を果たすのかを分析したレポートです.
米国FDAが発行している,医療機器に市販ソフトウェアを使用する場合のガイダンス「Guidance for Industry, FDA Reviewers and Compliance on Off-The-Shelf Software Use in Medical Devices」の目次を,表2に示します.
表2 市販ソフトウェアの信頼性証明に必要な情報の例
| 市販ソフトウェア・レポート | 市販ソフトウェアの検証記録(※) |
|
|
それでは,市販ソフトウェア・レポートの具体的な内容を見てみましょう.まず,市販ソフトウェアの説明と使用条件は,その市販ソフトウェアがそもそもどのようなものであるか,どのような用途を想定して作られたものかを示すものです.特に使用条件は,そのソフトウェアの開発元が示したものなので,必ず記録し,その条件を満たしていることを確認する必要があります.
次に,市販ソフトウェアが機器内で提供する機能と,市販ソフトウェアの懸念レベルを分析します.市販ソフトウェアのすべての機能を使用しないのであれば,どの機能を使うのかを明示します.機器の中で使用せず,使用しない機能がほかの機能に影響を与えないのであれば,使用しない機能の検証を行う必要はありません.
市販ソフトウェアの懸念レベルは,機器が使われる各業種によって異なります.FDAが定義した3種類の懸念レベルを表3に示します.Majorな懸念レベルとは市販ソフトウェアの欠陥が死亡または重傷を招く可能性がある場合,Moderate(中程度)な懸念レベルとは軽傷を招く可能性がある場合,Minorな懸念レベルとは傷害を招くとは予想できない場合に認定されます.
表3 懸念レベルの定義例(FDAの場合)
| 懸念レベル | 予想される事態 | 定義例 |
| より大きい(Major) | 死亡 もしくは 重傷 |
機器機能と直接関連するソフトウェアの動作が,患者や操作者,部外者に直接影響し,ソフトウェア障害もしくは潜在的設計欠陥によって,患者や操作者,部外者の死亡もしくは重傷を招く場合.情報が不正確または遅れたことで,死亡もしくは重傷を招く場合 |
| 中程度(Moderate) | 軽傷 | 機器機能と直接関連するソフトウェアの動作が,患者や操作者,部外者に直接影響し,ソフトウェア障害もしくは潜在的設計欠陥によって,患者や操作者,部外者の軽傷を招く場合.情報が不正確または遅れたことで,軽傷を招く場合 |
| より小さい(Minor) | 傷害なし | ソフトウェア障害もしくは潜在的設計欠陥があっても,患者や操作者,部外者の傷害を招くと予想できない場合 |
市販ソフトウェアの管理方法は,市販ソフトウェアを使用する組織が市販ソフトウェアをどのように管理するのかを示します.市販ソフトウェアの構成管理の方法もここで示します.
市販ソフトウェアのハザード分析とは,市販ソフトウェアに不具合が発生したとき,クリティカル・システムがどのような振る舞いをする可能性があるのか,また,そのような危険状態が発生した時でも,ユーザに危害を及ぼさないためにどのような対策を取っているのかを記載したものです.
最後に市販ソフトウェアの検証結果と判定を記載します.判定結果にはそう判定した合理的な根拠が必要です.
そして,市販ソフトウェア・レポートから参照する形で,市販ソフトウェアの検証記録を作成します.市販ソフトウェアの検証記録は,テスト計画,テスト仕様書,テスト成績書,テスト結果サマリ,対象となる市販ソフトウェアのバージョン,試験者の指名,試験場所,試験日時,承認者の指名,サインなどを記載します.
