Funktionale Sicherheit Funktionale Sicherheit von Medizingeräten Medical Device Day 21. Juni 2012, Erlangen Matthias Hölzer-Klüpfel
Risiko und Sicherheit Wann ist Software ein Medizinprodukt?
Sicherheit Freiheit von unvertretbaren Risiken Risikomanagement [ISO 14971]
Risikomanagement nach ISO 14971 Risikoanalyse Risikobewertung Risiko- Assessment Risikobeherrschung Risikoevaluierung Risiko- Management RM Bericht Monitoring
Risikobeherrschung Priorität der Risikobeherrschungs-Maßnahmen nach MDD (Medical Device Directive) inhärent sicheres Design ja nein Schutzmaß- nahmen nein ja Gebrauchsanweisung nein Implementierung & Verifikation ja Risiko akzeptabel nein Gesamtbewertung ja
Funktionale Sicherheit Teil der Gesamtsicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme abhängt
Maßgebliche Normen IEC 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/ programmierbar elektronischer Systeme IEC 60601-1 Medical electrical equipment General requirements for basic safety and essential performance
Und die IEC 62304? Software-Entwicklungs-Prozess Software-Wartungs-Prozess Software-Risikomanagement-Prozess Software-Konfigurationsmanagement-Prozess Problemlösungs-Prozess für Software
Sicherheitsklassen A keine Verletzung oder Schädigung der Gesundheit möglich B keine schweren Verletzungen möglich C Tod oder schwere Verletzungen möglich
Modularisierung Softwaresystemkomponente Klasse C Softwarekomponente X Klasse A Softwarekomponente Y Klasse C Softwarekomponente V Klasse B Softwarekomponente Z Klasse C
Hardware-Sicherheitsmaßnahme Infusions- Steuerung (SW) (Klasse C) Pumpe Patient
Hardware-Sicherheitsmaßnahme Infusions- Steuerung (SW) (Klasse B) C) Pumpe Begrenzer Patient
Reduktion durch Software Infusionssteuerung Begrenzer- Software Pumpe Patient (Klasse B) (Klasse C)
Seggregierung Infusionssteuerung Begrenzer- Software Pumpe Patient (Klasse B) (Klasse C)
Ist dieses System sicher? Infusions- Steuerung (SW) (Klasse C) Pumpe Patient Nein, ein einfacher Fehler in der Steuerungs- Software gefährdet den Patienten!
Grundprinzipien der Wann ist Software ein Medizinprodukt? Funktionalen Sicherheit
Erstfehlersicherheit Beim Eintreten eines ersten Fehlers darf vom System kein inakzeptables Risiko für den Patienten ausgehen
Fehlerwirkungen Fail-Safe Beim Auftreten eines Fehlers wird ein sicherer Zustand eingenommen Fail-Operational Beim Auftreten eines Fehlers bleibt die Funktion des Systems erhalten
Sicherer Zustand Der sichere Zustand ist von der medizinischen Anwendung abhängig: Dialyse: Unterbrechung der Behandlung Diagnosegeräte: Erkennbar ungültiges Resultat Herzschrittmacher: festfrequente Stimulation
Supervisor Heizelement Temperatursensor T Sicherheitsventil V Controller (SW) Supervisor (SW)
Redundanz Heizelement Temperatursensor T T Sicherheitsventil V Controller (SW) Supervisor (SW)
Diversität Heizelement Temperatursensor T T Sicherheitsventil V Controller (SW) Supervisor (SW) Technologische Trennung Organisatorische Trennung
Common-Mode Fehler Controller Supervisor RTOS RTOS CPU CPU
Was ist ein erster Fehler? Versagen einer wesentlichen Systemkomponente Versagen einer Schutzmaßnahme Vorsicht: der gedachte erste Fehler kann auch ein normaler, vorhersehbarer Zustand sein!
Beispiel: Luft im Dialysegerät
Selbsttest Luftblasen- Detektor Sicherheitsklemme L Patient Selbsttest (SW) Wichtig: Selbsttest erfolgt innerhalb der Fehlertoleranz-Zeit t = L/v
Zurück zur 62304 B C C Selbsttest (SW)
Fazit Die Klassifikation einer Software- Komponente hat primär keinen Einfluss auf die Sicherheit Bevor Sicherheitsklassen überhaupt diskutiert werden, muss die funktionale Sicherheit des Systems erreicht werden Dazu helfen anerkannte Methoden und Normen wie die IEC 61508 Anschließend ist die Sicherheitsklasse der eingesetzten Software offensichtlich
Kontakt MATTHIAS HÖLZER-KLÜPFEL DIPLOM-PHYSIKER, M.SC. post Zweite Felsengasse 5 97082 Würzburg Germany tel +49 931 32072-821 fax +49 931 32072-819 mobil +49 176 6085 7994 mail web matthias@hoelzer-kluepfel.de www.hoelzer-kluepfel.de