ORVOSI ESZKÖZÖK GYÁRTMÁNYFEJLESZTÉSE KOCKÁZATIRÁNYÍTÁS ÉS SZOFTVER KOCKÁZATIRÁNYÍTÁS

Átírás

1 ORVOSI ESZKÖZÖK GYÁRTMÁNYFEJLESZTÉSE KOCKÁZATIRÁNYÍTÁS ÉS SZOFTVER KOCKÁZATIRÁNYÍTÁS Tegzes Ferenc Budapest, 1 March 2018

2 Bemutatkozás Tegzes Ferenc Okl. villamosmérnök (2012) Gyakornok, B.Braun Medical Kft. Fejlesztő csoport Rendszermérnök (2011- ) B.Braun Medical Kft. Fejlesztő csoport Elsősorban akut és plazmaferézis készülékek kockázatkezelése és követelménykezelése valamint szoftverfejlesztő eszközök validációja Kérdés esetén elérhetőség: Fekete Dorottya, dorottya.fekete@bbraun.com B. Braun Medical 2

3 Dialízisgép fejlesztése példa (teljesség igénye nélkül) Marketing kitalálta, hogy fejlesszünk dialízis gépet. Fő funkció: Kivezetjük a páciens vérét, kezeljük, majd visszaadjuk a páciensnek. Mi sülhet el balul dialízis terápia során? - Nem adjuk vissza a vért (Fiziológiai) - Fertőzött vért adunk vissza (Biológiai) - A vér a használt csövekből kiold valamilyen vegyszert, amit aztán visszaadunk a páciensnek (kémiai) - A gép a páciens testébe (a katéteren keresztül) áramot vezet, akár közvetlenül a szívbe (elektromágneses energia) - Instabil gép kezelés közben felborul (mechanikai) - A gép valamelyik alkatrésze pl zárlat miatt kigyullad (termikus energia) A cél, hogy biztonságos gépet csináljunk. Azaz az összes lehetséges veszélyforrást azonosítsuk, és azokra megfelelő óvintézkedéseket tegyünk. Erre törvényi kötelezettségünk is van. B. Braun Medical 5

4 MDD - Kockázattal kapcsolatos követelmények Alapkövetelmények (Essential Requirements): 1. Az eszközt úgy kell megtervezni és gyártani, hogy az a gyártó által meghatározott rendeltetési körülmények között a céljának megfelelően használva ne veszélyeztesse a betegek egészségi állapotát vagy biztonságát, illetve a felhasználók és adott esetben más személyek biztonságát és egészségét, azzal a feltétellel, hogy a rendeltetésszerű használatával járó valamennyi kockázat elfogadhatónak minősüljön a beteg számára nyújtott előnyökhöz mérten, és összeegyeztethető legyen a magas fokú egészségvédelmi és biztonsági követelményekkel. Ugyanitt leírásra kerül a kockázat-előny értékelés lefolytatásának alapfolyamata. 6. Bármely nem kívánatos mellékhatásnak elfogadható mértékű kockázatot kell jelentenie a gyártó által állított teljesítőképességgel összevetve. B. Braun Medical 6

5 MDD - Kockázattal kapcsolatos követelmények 2. A gyártó által alkalmazott kialakítási és gyártási megoldások feleljenek meg a biztonsági alapelveknek, figyelembe véve az általánosan elfogadott műszaki színvonalat. A legalkalmasabb megoldások kiválasztása során a gyártónak a következő alapelveket kell érvényesítenie a felsorolás sorrendjében: a) a kockázat kiküszöbölése, illetve csökkentése (önmagában biztonságos kialakítás és konstrukció) (inherent safe design); b) a nem kiküszöbölhető kockázatok vonatkozásában kellő védelmi intézkedések alkalmazása, beleértve a riasztást is, ha szükséges (protective measures); c) a felhasználók tájékoztatása az elfogadott védelmi intézkedések bármilyen hiányossága miatt megmaradó kockázatról (information for safety). Kockázattal kapcsolatos alapkövetelmények harmonizált szabványban való folyamat szabályozása: ISO 14971: 2012 Medical devices Application of risk management to medical devices B. Braun Medical 7

6 Kockázatirányítás fejlődése ISO új verzió tervezett ISO 14971:2007 és IEC : 2005 Third edition Full RM Integration 2005 ISO 14971:2000 Risk Management 2001 Risk analysis Hazard Analysis B. Braun Medical 8

7 SW Kockázatirányítás szabvány hatása a szoftverfejlesztésre System Risk Management Rendszer szintű kockázat irányítás, amely az orvosi eszköz egészével foglalkozik. Kockázat befolyásolási intézkedések RCM (SW követelmények) ISO Medical devices- Application of risk management to medical devices IEC Medical device software Software life cycle processes Chapter 7 Software Risk management Process SW Risk Management Az orvosi eszköz szoftverében megvalósított kockázat irányítási folyamatokkal foglalkozik. Minimálisan eltér a rendszer szintű kockázat irányítástól. IEC/ TR Medical device software - Guidance on the application of ISO to medical device software Software RISK MANAGEMENT is a part of overall MEDICAL DEVICE RISK MANAGEMENT and cannot be adequately addressed in isolation annexe B.7 B. Braun Medical 9

8 Fogalmak Ártalom (Harm) Emberek fizikai sérülése vagy egészségének károsodása, vagy a vagyon, illetve a környezet károsodása Veszély (Hazard) Lehetséges ártalomforrás (Pl: Biológiai, Fiziológiai, Kémiai stb) Veszélyes Helyzet (Hazardous situation) Olyan körülmény, amely mellett az emberek, a vagyon vagy a környezet egy vagy több veszélynek van kitéve. Kockázat (Risk) Az ártalom előfordulásának valószínűsége és az ártalom súlyossága együttesen. Biztonság (Safety) Mentesség a nem elfogadható kockázattól B. Braun Medical 10

9 Példa a fogalmakra Veszély: Mechanikai energia Veszélyes helyzet: Hirtelen széllökés Ártalom: Lezuhanás okozta halál Kockázat: Nagy valószínűséggel Kritikus Biztonság: Nincs B. Braun Medical 11

10 Fogalmak (folyt.) Kockázatelemzés (Risk Analysis) A hozzáférhető információ módszeres alkalmazása a veszélyek azonosítása és a kockázat becslése céljából Kockázatértékelés (Risk Evaluation) Kockázatelemzés alapján annak a megítélése, hogy az elért kockázat elfogadható-e egy adott összefüggésben, a társadalom általánosan elfogadott értékei alapján Kockázatmegállapítás (Risk Assessment) A kockázatelemzést és a kockázatértékelést átfogó folyamat Kockázatbefolyásolás (Risk Control ) Kockázatirányítás (Risk Management) Olyan folyamat, amelynek során döntéseket hoznak, és védőintézkedéseket vezetnek be, hogy a kockázatokat előírt szintekre csökkentsék, vagy azokon belül tartsák. Az irányítási elvek, eljárások és gyakorlatok módszeres alkalmazása a kockázatelemzési, kockázatértékelési és kockázatbefolyásolási feladatokra. B. Braun Medical 12

11 Vezetőség felelőssége A vezetőség felelőssége - Elfogadható kockázat megállapítására vonatkozó elvek (kockázat mátrix, stateof-the-art szintje) - Képzett személyzet kijelölése - Megfelelő erőforrások biztosítása - Kockázatirányítási tevékenységek alkalmasságának és eredményességének időközönkénti átvizsgálása B. Braun Medical 13

12 A személyzet minősítése Kockázatirányítási feladatokat végzőkkel szemben támasztott követelmények: Ismerete és tapasztalata megfelel a rájuk bízott feladatoknak. Az ismeret és a tapasztalat kiterjed az eszközre és alkalmazására, valamint a kockázatirányítási technikákra. Felhatalmazással rendelkezik a kockázatirányítás végrehajtására. A megfelelő minősítési feljegyzéseket meg kell őrizni. B. Braun Medical 14

13 Kockázatirányítási Iratgyűjtő (Risk Management File) Kockázatirányítási Iratgyűjtő: A kockázatirányítási folyamatban létrehozott feljegyzések és dokumentumok halmaza. Biztosítani kell minden egyes azonosított veszély nyomonkövethetőségét minden kockázatirányítási tevékenységben. B. Braun Medical 15

14 Kockázatirányítási terv (Risk Management Plan) Kockázatirányítási terv: Meghatározza a kockázatirányítási folyamat tevékenységeit. Része a kockázatirányítási iratgyűjtőnek. A terv tartalma: Orvostechnikai eszköz vagy orvostechnikai eszköz csoport azonosítása Életciklus szakaszai, amelyre a terv alkalmazható Felelősségek és hatáskörök kijelölése (kockázatirányítási csapat) Kockázatirányítási folyamat átvizsgálási követelményei A kockázat elfogadhatósági kritériumok (kockázat mátrix) a gyártó kockázat politikájával összhangban Az igazolási (verifikálási) terv Gyártási és gyártás utáni információk gyűjtésének és átvizsgálásának módja B. Braun Medical 16

15 ISO 14971: A kockázatirányítási folyamat vázlatos bemutatása B. Braun Medical 17

16 Forrás: Saasco: Orvostechnikai eszközök műszaki dokumentációja B. Braun Medical 18

17 Kockázatelemzés B. Braun Medical 19

18 Kockázatelemzés (Risk Analysis) A hozzáférhető információk módszeres alkalmazása a veszélyek azonosítása és a kockázat becslése céljából. Lépései: A tervezett használat/alkalmazási cél és az eszköz biztonságára vonatkozó jellemzők azonosítása A meghatározott jellemzőkkel kapcsolatos veszélyek azonosítása Veszélyes helyzetek azonosítása Kockázatbecslés minden veszélyes helyzetre B. Braun Medical 20

19 Kockázatelemzés (Risk Analysis) (folyt.) Tervezett használat/alkalmazási cél és eszköz biztonságára vonatkozó jellemzők: Tervezett használat/alkalmazási cél és minden ésszerűen előrelátható helytelen használat meghatározása (Intended Use) Példa: A rendszer LDL-koleszterin, lipoprotein(a) és a fibrinogén vérplazmából történő terápiás eltávolítására szolgál. Biztonsággal kapcsolatos minőségi és mennyiségi jellemzők azonosítása és azok határértékeinek meghatározása (ahol az értelmezhető). Például: B. Braun Medical 21

20 Kockázatelemzés (Risk Analysis) (folyt.) Veszélyek azonosítása: Összes ismert és előre látható veszély jegyzéke, mind rendeltetésszerű, mind hibaállapotban. Például: Energiaveszélyek és közrejátszó tényezők (villamosság, hő) Biológiai veszélyek és közrejátszó tényezők (bio-szennyeződés, bio-összeférhetetlenség) Környezeti veszélyek és közrejátszó tényezők (elektromágneses terek, nem megfelelő energiaellátás) Nem megfelelő kimeneti energiától és anyagoktól származó veszélyek (sugárzás, térfogat) Az eszköz használatából származó veszélyek és közrejátszó tényezők (nem megfelelő címkézés, szakképzetlen/gyakorlatlan személyzet) Nem megfelelő, nem hozzáillő vagy túl bonyolult alkalmazói interfész (ember-gép kommunikáció) (tévedések és megítélési hibák, az eredmények félreértelmezése) Működési hibából, karbantartásból, öregedésből származó veszélyek és közrejátszó tényezők (a hibás adatátvitel, nem megfelelő karbantartás) B. Braun Medical 22

21 Kockázatelemzés (Risk Analysis) (folyt.) Veszélyes helyzetek azonosítása: Veszélyes helyzetek listájának definiálása termékcsoportokra több termék számára kiindulás Előrelátható eseménysorozatok, vagy együttes események, amelyek veszélyes helyzetet eredményezhetnek. Három vizsgálandó terület van: Rendszerhibák Szoftverhibák Használatból adódó hibák Szisztematikus módszerek alkalmazása a veszélyes helyzetek azonosítására, például: Hibafaelemzés (FTA): Fentről lefelé építkező technika azaz a lehetséges nem kívánatos következmény alapján vizsgáljuk a lehetséges okokat, hibákat Hibamód- és hatáselemzés (FMEA): Lentről felfelé építkezik - azaz a lehetséges hibák alapján vizsgáljuk a következményt B. Braun Medical 23

22 Kockázatelemzés Szisztematikus módszerek (pl.) Hibafaelemzés (Fault Tree Analysis, FTA): Fentről lefelé építkező technika azaz a lehetséges nem kívánatos következmény alapján vizsgáljuk a lehetséges okokat, hibákat. Hatékonyan végezhető rendszer szinten, pl. előzetes hazárd elemzés eredménye alapján. Hibamód- és hatáselemzés (Failure Modes and Effects Analysis, FMEA): Lentről felfelé építkező technika azaz a lehetséges hibák alapján vizsgáljuk a következményt. Hatékonyan végezhető pl. SW architektúra elemekre nézve. [IEC 60812] B. Braun Medical 24

23 Kockázatelemzés Szisztematikus módszerek (FMEA) No. Form Software Component Reference Software Item Failure Mode No. FRC Failure Root Cause (FRC) Failure Consequence Control Measure Component Traceability Matrix Reference Probability Severity Detectability REN (Risk Evaluation Number) P*S*D Additional measures necessary? 1 diagnosztizáló SW egység2 hibás kalkuláció 34 memória hibás korrupció diagnózis, félrekezelés MMU MMU ellenőrzési riport no Probability of Occurrence : P Severity : S Detectability : D results in the Risk Evaluation Number REN = P x S x D. B. Braun Medical 25

24 B. Braun Medical 26

25 Kockázatelemzés (Risk Analysis) (folyt.) A kockázatelemzés menetének és eredményeinek dokumentációja ezenfelül még legalább a következőket tartalmazza: Az elemzett eszköz vagy tartozék leírása és azonosítása A kockázatelemzést végző személy(ek) és szervezet azonosítása Az elemzés időpontja B. Braun Medical 27

26 SW Szoftver kockázat-irányítási folyamat A szoftver kockázat-irányítást nem lehet az orvosi eszköz rendszerszintű kockázat-irányításától függetlenül végezni. A szoftver kockázat-irányítást nem lehet hatékonyan végezni csak úgy, hogy az egyes aktivitásokat a fejlesztési és karbantartási folyamatok közben végezzük. Aktivitások 1. A szoftverhibából eredő veszélyes helyzeteket fel kell tárni. 2. A szoftvertől megkövetelt védőintézkedéseket definiálni és implementálni kell. 3. A szoftvertől megkövetelt védőintézkedéseket ellenőrizni kell. 4. A szoftverváltozásokat (beleértve a SOUP-okat is) meg kell vizsgálni a lehetséges szoftverhibákból eredő veszélyes helyzetek és az implementált védőintézkedések hatékonysága tekintetében. B. Braun Medical 28

27 SW Szoftver rendszer fejlesztési életciklus modell - IEC (Risk Analysis, RA) RA (Effectiveness Verification) RA RA B. Braun Medical 29

28 SW SW Kockázatelemzés - Szoftver követelmények IEC/TR B1 táblázat- Szoftveres funkcionális területek listája, melyek gyakran okoznak veszélyeket B. Braun Medical 30

29 SW SW Kockázatelemzés - Szoftver architektúra Az architektúra tervezés végén áll elő a szoftver elemek teljes listája, amely bemenete a kockázatbefolyásolásnak. Nem szükséges minden egységet külön vizsgálni a potenciális hibák analízise céljából, elég a biztonsági szempontból egyenértékű egységek halmazait (elemeket) megkülönböztetni. Egység 1 Egység 2 Egység 3 Egység 4 Szoftver elem X Szoftver elem Y SOUP Szoftver elem Z Szoftver rendszer B. Braun Medical 31

30 SW SW Kockázatelemzés - Szoftver architektúra Az átlátható, egyszerű architektúra megkönnyíti az elemzést. Példa: Az alábbi esetben nem feltétlenül szükséges a Vezérlő szoftver rendszer alkotó elemeit egyesével vizsgálni, amennyiben annak minden hibája ellen hivatott védeni egy tőle független* HW-en futó Ellenőrző szoftver rendszer. Vezérlő szoftver rendszer Vezérlő HW Ellenőrző szoftver rendszer Ellenőrző HW Orvosi eszköz * Ha a logikai függetlenség csak részben garantálható, a Vezérlő szoftver függelmi részeinek további szegregációja és kockázatelemzése szükséges! B. Braun Medical 32

31 SW SW Kockázatelemzés - Szoftver részletes terv és megvalósítás IEC/TR B2 táblázat- Szoftveres hibák listája, melyek gyakran okoznak kiszámíthatatlan veszélyeket más szoftver elemekben (is), mint ahol létrejönnek B. Braun Medical 33

32 Kockázatbecslés (Risk Estimation) Minden egyes azonosított veszélyes helyzetre, felhasználva a hozzáférhető adatokat vagy információt, fel kell becsülni a kockázatot (kockázatokat). Súlyosság (Severity) - Egy veszélyes helyzet által okozott ártalom mértéke Valószínűség (Probability) - Az ártalom bekövetkezési valószínűsége Kockázat (Risk) - Az ártalom bekövetkezési valószínűsége és az ártalom súlyossága együttesen. A kockázat becslés alapelvei: A kockázatbecslés lehet kvantitatív (mennyiségi) vagy kvalitatív (minőségi) kockázat elfogadási kritériumok Olyan veszélyek esetén, amelyekre az ártalom előfordulásának valószínűsége nem becsülhető, el kell készíteni a veszély lehetséges következményeinek a jegyzékét B. Braun Medical 34

33 Kockázatbecslés folyamata A kockázat az ártalom előfordulásának valószínűsége és az ártalom súlyossága együttesen. B. Braun Medical 35

34 Kockázat szemléltetés Forrás: B. Braun Medical 36

35 Kockázatbecslés (Risk Estimation) (folyt.) Valószínűségbecslés: Gyakorlatban diszkrét szintek Gyártó határozza meg a szintek számát (3-6) Kvantitatív valószínűségi szintek, például: Szokásos kifejezések Lehetséges leírás Gyakori 10-3 Valószínű <10-3 és 10-4 Esetenkénti <10-4 és 10-5 Távoli <10-5 és 10-6 Valószínűtlen <10-6 Kvantitatív tartományok megadása mellett statisztikai adatok alapján mérnöki esetek meghatározásával használatos B. Braun Medical 37

36 Kockázatbecslés (Risk Estimation) (folyt.) Súlyosságbecslés: Gyakorlatban diszkrét szintek Gyártó határozza meg a szintek számát (3-5) Példa öt kvalitatív ( fuzzy ) súlyossági szintre: Szokásos kifejezések Katasztrofális Kritikus Súlyos Csekély Elhanyagolható Lehetséges leírás Több ember halálát eredményezi A beteg halálát, tartós károsodást vagy életveszélyes sérülést eredményez Szakorvosi beavatkozást igénylő sérülést vagy károsodást eredményez Átmeneti sérülést vagy károsodást eredményez, ami nem igényel orvosi beavatkozást Kellemetlenség vagy átmeneti kényelmetlenség B. Braun Medical 38

37 SW Szoftver biztonsági osztályozás A biztonsági osztályba sorolásnál figyelembe kell venni az adott szoftver egység által potenciálisan okozott ártalom súlyosságát, illetve az adott szoftver egység által esetlegesen implementált védőintézkedést szükségessé tevő ártalom súlyosságát! A megfelelő biztonsági szoftver architektúra gondos kockázat megállapítás (risk assessment) eredménye kell, hogy legyen. A szoftver rendszert úgy kell megtervezni, hogy egy SOUP/OTS meghibásodása esetén is megfelelő védelmet biztosítson. SOUP Software of Unknown Provenance; OTS Off-the-shelf Software Összefoglalóan ezek nem orvosi eszközbe fejlesztett software-k. d) When a SOFTWARE SYSTEM is decomposed into SOFTWARE ITEMS, and when a SOFTWARE ITEM is decomposed into further SOFTWARE ITEMS, such SOFTWARE ITEMS shall inherit the software safety classification of the original SOFTWARE ITEM (or SOFTWARE SYSTEM) unless the MANUFACTURER documents a rationale for classification into a different software safety class. Such a rationale shall explain how the new SOFTWARE ITEMS are segregated so that they may be classified separately. IEC B. Braun Medical 39

38 SW Szoftver biztonsági osztályozás A biztonsági osztályozás súlyosság (Severity) alapú: Negligible Software class A Marginal Software class B Severe Software class C Critical Software class C Catastrophic Software class C. A biztonsági osztálynak megfelelő aktivitások/feladatok vonatkoznak az adott szoftver elemre. A biztonsági osztály csökkenthető, amennyiben a kockázatbefolyásoló - súlyosságot vagy valószínűséget csökkentő - hardveres védőintézkedésekkel a maradék kockázat elfogadható mértékűvé vált (lásd kockázatbefolyásolás) B. Braun Medical 40

39 SW Szoftver biztonsági osztályozás A biztonsági osztályozás öröklődő szoftver elemek között, de elkülönítéssel csökkenthető egyes alsóbb szintű elemek biztonsági osztályozása. B. Braun Medical 41

40 Kockázat értékelés B. Braun Medical 43

41 Kockázatértékelés (Risk Evaluation) Döntés minden egyes azonosított veszélyes helyzetre vonatkozó kockázat elfogadásáról Kockázat meghatározása: Kockázatirányítási tervben megállapított kritériumokban definiált kockázat mátrix alapján Ha a kockázat nincs az elfogadható területben -> kockázatcsökkentésre van szükség Kockázat megállapítás (Risk Assessment): A kockázatelemzést és a kockázatértékelést átfogó folyamat összefoglaló neve. B. Braun Medical 44

42 Kockázat mátrix Frequent Fre Probable Occasional Pro N A R Likelihood Remote Improbable Incredible Occ Rem Imp Inc B B R A R I A E This International Standard does not specify acceptable risk. That decision is left to the manufacturer. Risk Matrix for Device and Product Risk Assessments Neg Mar Sev Cri Cat Negligible Marginal Severe Critical Catastrophic Severity IEC B. Braun Medical 45

43 SW Szoftveres hibákból eredő ártalmak valószínűsége (példa) Abbreviation Title Criteria Example B. Braun Medical 46

44 SW Veszélyes helyzetből eredő ártalmak súlyossága (példa) Abbreviation Title Criteria Example B. Braun Medical 47

45 Kockázatbefolyásolás B. Braun Medical 48

46 Kockázatbefolyásolás (Risk Control) Döntéshozatali folyamat védőintézkedések bevezetésére a kockázatok előírt szintekre való csökkentése érdekében, vagy azokon belül tartására B. Braun Medical 49

47 Kockázatbefolyásolás (Risk Control) (folyt.) Lépései: Lehetőségelemzés Kockázatbefolyásolási intézkedések bevezetése és sikeres bevezetésének igazolása (verifikálás) Kockázatbefolyásolási intézkedések eredményességének igazolása (hatásosság verifikálás) Maradékkockázat-értékelés B. Braun Medical 50

48 Kockázatbefolyásolás (Risk Control) (folyt.) Lehetőségelemzés Kockázatbefolyásolás hierarchia: Kockázatbefolyásolási lehetőségek hierarchikus sorrendje a kockázatok elfogadható szintre csökkentésére 3. Biztonságra vonatkozó tájékoztatás (figyelmeztető jelek, használati utasítás) 2. Védőintézkedések az eszközben vagy a gyártási folyamatban 1. Önmagában biztonságos kialakítás és tervezés (tervezés) B. Braun Medical 51

49 Kockázatbefolyásolás (Risk Control) (folyt.) Kockázatbefolyásolási intézkedések bevezetése: Bekerül a követelményirányítási rendszerbe, amely biztosítja a bevezetés sikerességének igazolását (verifikálás) Kockázatbefolyásolási intézkedések eredményessége külön kell igazolni (hatásosság verifikálás). Például: hiba szimulációval vagy harmonizált szabványokon keresztül történő igazolással. Maradékkockázat: A védőintézkedések megtétele után megmaradó kockázat. Maradékkockázat-értékelés: Kockázatbefolyásolási intézkedések általában az ártalom bekövetkezési valószínűséget csökkentik Elfogadhatatlan maradékkockázat esetén -> kockázat/előny elemzés B. Braun Medical 52

50 Kockázatbefolyásolás (Risk Control) (folyt.) Más kiváltott veszélyek: Kockázatbefolyásolási intézkedések vizsgálata, hogy nem okoznak-e más veszélyes helyzetet. Ha bármilyen új veszély, veszélyes helyzet lép fel bármely kockázatbefolyásolási intézkedés miatt, a kapcsolódó veszélyes helyzetet kockázatelemzésnek kell alávetni. A kockázatértékelés teljessége: Igazolni kell, hogy az összes azonosított veszélyes helyzetből származó kockázat ki lett értékelve. B. Braun Medical 53

51 Példa Kockázatmegállapítás és befolyásolás Veszély Veszélyes helyzet Kockázat - intézkedés előtt Kockázatbefolyásolási intézkedés Kockázat - intézkedés után B. Braun Medical 54

52 SW Szoftveres Kockázatbefolyásolás - Biztonsági osztályozás A biztonsági osztályozás súlyosság (Severity) alapú: Negligible Software class A Marginal Software class B Severe Software class C Critical Software class C Catastrophic Software class C A biztonsági osztály csökkenthető, amennyiben a kockázatbefolyásoló - súlyosságot vagy valószínűséget csökkentő - hardveres védőintézkedésekkel a maradék kockázat elfogadható mértékűvé vált. A biztonsági osztálynak megfelelő aktivitások/feladatok vonatkoznak az adott szoftver elemre. B. Braun Medical 55

53 SW Példa: Kockázat vezérelt SW egység teszt stratégia Unit Verification In Item A In Item B In Item C Review O M M Independent review O O M Rule check M M M Basic Unit test O M M 100% Code coverage O O M Integration level test O O M M=Mandatory O=Optional Class A: No injury or damage to health is possible Class B: Non-SERIOUS INJURY is possible Class C: Death or SERIOUS INJURY is possible B. Braun Medical 56

54 SW B. Braun Medical 57

55 SW Példa: Kockázat vezérelt SW egység teszt stratégia Req.Class Verification A B C Exploratory O O M Scripted(Req. Based) M M M Independent Review O M M Class A: No injury or damage to health is possible Class B: Non-SERIOUS INJURY is possible Class C: Death or SERIOUS INJURY is possible M=Mandatory O=Optional Risk control measures included in requirements B. Braun Medical 58

56 Példa - Kockázat/előny elemzés (Risk/Benefit Analysis) Röntgensugaras berendezés Ionizáló sugárzás jelentős veszélyt jelent a betegre Röntgensugaras képalkotás rendkívül hatékony a klinikai diagnosztizálásban B. Braun Medical 59

57 Összes maradékkockázat értékelés B. Braun Medical 60

58 Összes maradékkockázat-értékelés Evaluation of Overall Residual Risk Acceptability A kockázatbefolyásolási intézkedések bevezetése és igazolása után a gyártónak a kockázatirányítási tervben megállapított kritériumok alkalmazásával döntenie kell, hogy az eszköz által képviselt összes maradékkockázat elfogadható-e. Ha nem elfogadható -> az összes maradék-kockázatra kockázat/előny elemzés B. Braun Medical 61

59 Kockázatirányítási jelentés B. Braun Medical 62

60 Kockázatirányítási Jelentés (Risk Management Report) A kockázatirányítási folyamat ellenőrzésének összefoglaló dokumentuma Tartalma: Kockázatirányítási terv szerinti folyamat lefolytatásának igazolása Minden egyes veszélyes helyzetet nyomon kell tudni követni a következő folyamat lépéseken keresztül: Kockázatelemzés és a kockázatértékelés Kockázatbefolyásolási intézkedések bevezetése Kockázatbefolyásolási intézkedések igazolása B. Braun Medical 63

61 Kockázatirányítási Jelentés (folyt.) Kockázatirányítási folyamat eredményeinek dokumentálása Az összes maradékkockázat elfogadása (legrosszabb esetben kockázat/előny elemzés után) Megfelelő módszerek meghatározása a gyártási és gyártás utáni információk megszerzésére A dokumentum elfogadásának felelőseit a Kockázatirányítási Terv határozza meg. B. Braun Medical 64

62 Nyomon követhetőség B. Braun Medical 65

63 SW Szoftveres Kockázatbefolyásolás Nyomon követhetőség Biztosítani kell a nyomon követhetőséget: Veszélyes helyzet Kiváltó szoftver egység az architektúrában Szoftveres ok Védőintézkedés (HW, SW) Védőintézkedés (SW) Szoftver követelmény Implementáló szoftver egység az architektúrában Részletes terv Szoftver egység implementáció Szoftver egység ellenőrzés Szoftver integrációs teszt Szoftver rendszer teszt Védőintézkedés hatékonyságát igazoló ellenőrzés B. Braun Medical 66

64 Gyártás utáni információ B. Braun Medical 67

65 Gyártási és gyártás utáni információ gyűjtése (Production and Post-Production Information) Lehetséges adatforrások: Panasz kezelés Műszaki szolgáltatás Felügyeleti rendszer Visszahívásokból származó információ (saját vagy versenytárs tevékenysége) Releváns irodalom Új szabványok Versenytárs termékekről információ Gyártásból származó adatok, pl.: Bejövő árú ellenőrzés Gyártás közbeni ellenőrzés eredményei Gyártási végellenőrzés eredményei B. Braun Medical 68

66 Gyártási és gyártás utáni információ (folyt.) Az információt ki kell értékelni a lehetséges biztonsági vonatkozás szempontjából, különös tekintettel a következőkre: Vannak-e korábban fel nem ismert veszélyek Vajon egy veszélyből származó becsült kockázat tovább már nem elfogadható Vajon az eredeti megállapítás nincs-e más módon érvénytelenítve Ha az előbbi feltételek közül bármelyik teljesül, az értékelés eredményeit bemenő adatként vissza kell csatolni a kockázatirányítási folyamatba. B. Braun Medical 69

67 SW SW Életciklus SW Kockázatirányítás összefoglalás 5. Szoftver fejlesztési folyamat (Software Development Process) 5.1 SW development planning 5.2 SW requirements analysis 5.3 SW architectural design 5.4 SW detailed design 5.5 SW UNIT implementation & verification 5.6 SW integration and integration testing 5.7 SW system testing 5.8 SW release B. Braun Medical 70

68 SW 5.1 Szoftver fejlesztés tervezés (Software development planning) [ ] Kockázat-irányítási terv a szoftver kockázat-irányítási folyamatára - (tartalma megegyezik a 3.4 /ISO 14971) A terv tartalma: A terv alkalmazási területe, az orvostechnikai eszköz és az életciklus szakaszai, amelyre a terv alkalmazható Felelősségek és hatáskörök kijelölése (kockázatirányítási csapat) Kockázatirányítási folyamat átvizsgálási követelményei A kockázat elfogadhatósági kritériumok (kockázat mátrix) a gyártó kockázat politikájával összhangban Az igazolási (verifikálási) terv Gyártási és gyártás utáni információk gyűjtésének és átvizsgálásának módja B. Braun Medical 71

69 SW 5.2 Szoftver követelmény analízis (Software requirements analysis) *IEC Table D1. Life-cycle/ risk management (fordítás a teljesség igénye nélkül) kockázatelemzés Analizálni az eszköz alkalmazási célját (intended use) Azonosítani az ismert és előrelátható kapcsolódó veszélyeket Figyelembe venni a termék fázisait, pl. installáció,oktatás, használat, frissítés, karbantartás SW biztonsági osztályozás kockázatértékelés Dönteni, vajon szükséges-e kockázatcsökkentés? Meghatározni, hogy szoftveres védőintézkedés elegendő, megfelelőe, vagy hardveres védőintézkedés szükséges és megvalósítható-e? kockázatbefolyásolás Azonosítani a szoftveres védőintézkedéseket az azonosított kockázatokra ( pl. hardver hibák vagy felhasználói hibák által) Azonosítani a szoftvert amely növeli a detektálhatóságot, csökkenti a súlyosságát és/vagy valószínűségét egy veszélyes helyzetnek B. Braun Medical 72

70 SW 5.3 Szoftver architektúra tervezés (Software architectural design) kockázatelemzés Azonosítani a kritikus adatokat és komponenseket Azonosítani a kapcsolódó veszélyeket Azonosítani az interfészeket, mit kommunikálnak és mikor SW biztonsági osztályozás kockázatértékelés Újraértékelni a szoftvernek szánt szerepet kockázati szempontból Kiértékelni a nem biztonságkritikus funkciók védőintézkedésekre gyakorolt hatását kockázatbefolyásolás Izolálni a kritikus komponenseket Különösen figyelni a helyesen megválasztott redundanciára Azonosítani a redundanciával kapcsolatos veszélyeket Azonosítani a globális módszereket a detektálásra B. Braun Medical 73

71 SW 5.4 Szoftver részletes tervezés (Software detailed design) kockázatelemzés Azonosítani a további potenciális okokat a veszélyekre Feltételezni az adat, kódolási, átviteli hibákat Feltételezni a hardver hibákat kockázatértékelés Újraértékelni a védőintézkedések megfelelőségét, alkalmasságát Meghatározni a nem biztonságkritikus és biztonságkritikus kódokat kockázatbefolyásolás Speciális védőintézkedéseket bevezetni a programozási gyakorlatra Komplett nyomon követés és lefedettség analízis, annak ellenőrzésére, hogy a védőintézkedések megvalósultak Felderíteni, ha nem specifikált funkció lett megvalósítva B. Braun Medical 74

72 SW 5.5 Szoftver egység megvalósítás és ellenőrzés (Software unit implementation and verification) kockázatelemzés Azonosítani a további potenciális okokat a veszélyekre Kiértékelni a teszt hibákat a hasonló kód implementációra kockázatértékelés Újraértékelni a védőintézkedések megfelelőségét, különböző feltételek melletti vizsgálat, teszt segítségével, valamint reprezentatív felhasználóval és környezetben való teszteléssel kockázatbefolyásolás Regressziós tesztek a védőintézkedésekre a végső release előtt Kiegészíteni a nyomon követés és lefedettség analízist, annak ellenőrzésére, hogy a védőintézkedések megvalósultak és tesztelve voltak Statisztikák szerint a SW hibák 70%-áért az első kiadott verzió utáni módosítások a felelősek! B. Braun Medical 75

73 SW 5.6 Szoftver integráció és integrációs teszt (Software integration and integr. testing) 5.7 Szoftver rendszer tesztelés (Software system testing) kockázatelemzés kockázatértékelés kockázatbefolyásolás - - Regressziós tesztek a védőintézkedésekre a végső release előtt Kiegészíteni a nyomon követés és lefedettség analízist, annak ellenőrzésére, hogy a védőintézkedések megvalósultak és tesztelve voltak B. Braun Medical 76

74 SW 5.8 Szoftver kiadás (Software release) kockázatelemzés Azonosítani a konfiguráció-irányítási tervet, benne a konfigurációs egységekkel kockázatértékelés Értékelni kell a fennmaradó rendellenességeket kockázatbefolyásolás Igazolni, hogy a felhasznált szoftver elemek és SOUPok megfelelő verziói kiadott állapotban vannak Igazolni, hogy a build környezet konfiguráció ellenőrzés alatt van B. Braun Medical 77

75 6. Szoftver karbantartási folyamat (Software Maintenance Process) Szoftver karbantartási tervet kell készíteni, melynek: [ ] elő kell írnia a kockázat-irányítási, konfiguráció irányítási és probléma megoldási folyamatok használatát, Probléma és módosítás analízis aktivitás kiadott szoftver termékre nézve: A visszajelzéseket monitorozni és értékelni kell. A probléma jelentések hatásait meg kell vizsgálni a biztonságra való tekintettel, és szükség esetén módosítási kérelmet kell indítani. [ ] A végrehajtott szoftverváltozásokat (beleértve a SOUP-okat is) meg kell vizsgálni a lehetséges szoftverhibákból eredő veszélyes helyzetek és az implementált védőintézkedések hatékonysága tekintetében. B. Braun Medical 78

76 KÖSZÖNÖM A FIGYELMET