核心医疗标准全面修订启动

来自医疗器械标准化委员会IEC/TC 62的专家们正着手启动一项艰巨任务：更新为医用电气设备的安全性和基本性能制定通用要求的基础标准。这将是IEC 60601-1的第四版，与之前的修订版不同的是，此次更新将软件、连接性乃至人工智能列为医疗安全的核心支柱。

目前，400多名专家正在12个基于风险的工作组中参与标准内容的制定。此次修订意味着行业的重大变革与文化转型。“可以说这是一次文化乃至理念上的转变，”IEC 60601-1 第四版联合召集人阿尤布・扬切什梅赫在谈及这项大规模修订时表示，“可编程医用电气系统（PEMS）将成为该标准的核心组成部分。”。

以下是可编程医用电气系统（PEMS）的主要更新内容：

系统思维方法

此次更新要求从产品开发生命周期的一开始就采用系统思维方法，而非将软件安全视为后期环节或专项工作。

第四版旨在涵盖更广泛的“可编程电子设备”领域，包括复杂硬件，如现场可编程门阵列（FPGAs）和专用集成电路（ASICs）。这确保了系统开发、验证和确认的原则适用于所有可能影响基本安全或基本性能的可编程元件，而不仅仅是运行在通用处理器上的软件。

内置冗余设计

PEMS框架的核心，即开发生命周期过程，在新草案中得到了实质性的改进和重组。它将生命周期细致地分解为“原子级”要求，为合规性提供了更清晰、更可测试的标准。新文本更具规范性，详细列出了用于风险控制的多种架构策略，不仅包括冗余和多样性，还明确提及“共因故障”“系统性故障”和“可维护性”。这要求采用更复杂且有文档记录的架构设计流程，主动应对复杂的系统级故障模式。

制造商要求——责任转移

一个全新的部分为连接设备的设计、文档编制和验证制定了详细的规则手册。

IT网络集成：用于网络连接的设备制造商现在必须提供全面的说明，涵盖连接目的、所需的网络特性（如带宽、延迟）、必要的配置以及详细的技术和安全规范。

可互操作电子数据接口（EDI）：本条款引入了“可互操作EDI”的正式概念。如果制造商声称接口具备可互操作性，就必须充分披露其规格，包括硬件方面、通信协议和所有数据元素（例如变量名、单位、更新率）的完整字典。此外，他们必须提供“资格测试”，使系统集成商能够验证接口的正确操作。

时间同步：草案规定，任何通过可互操作电子数据接口接收其他设备数据的医用电气设备（MEE），必须具备将接收数据的时间戳与自身系统时间对齐的机制。这对于创建连贯的患者记录和实现安全的顺序逻辑至关重要。

静态和动态数据：新增了明确的数据保护要求。敏感信息的存储和传输方式必须能防止“随意泄露”，并能检测是否被篡改。

这标志着责任和潜在责任分配的重大转变。通过强制要求详细披露信息和提供资格测试，该标准将安全集成所需工具的提供责任从医院 IT 部门转移到了设备制造商身上。在旧版标准中，制造商的主要职责是向医院警示潜在风险；而在第四版草案中，他们的职责是提供控制这些风险的规范和验证工具。

提供网络安全框架

第四版草案中最意义深远、影响重大的新增内容或许是引入了全面且强制性的网络安全框架。IEC 60601-1旧版在网络安全方面几乎未作规定，这一关键空白在医疗互联互通时代已愈发难以维系。新条款通过一系列严格的、面向流程的要求填补了这一空白，这些要求将从根本上改变医疗设备的设计、测试和维护方式。

“这是一项重大任务，初稿已分发至各国家委员会征求意见，意见征集截止日期即将到来。” 阿尤布・扬切什梅赫表示。