Startseite » Allgemein »

Auch bei Fremdsoftware geht es nicht ohne Risikoanalyse

Qualitätssicherung: Die Medical Device Directive definiert die Anforderungen
Auch bei Fremdsoftware geht es nicht ohne Risikoanalyse

Treiber, Software-Bibliotheken oder Laufzeitumgebungen kaufen Medizingerätehersteller oft als Fremdsoftware „von der Stange“. Unklar ist vielen, was sie beim Einsatz solcher Fremdsoftware beachten müssen.

Fremdsoftware setzen viele Unternehmen in der Medizintechnik ein: So werden aktive Medizinprodukte – also etwa eine Dialysemaschine oder Infusionspumpe – in der Regel von einem Single-Board-Computer gesteuert, auf dem ein handelsübliches Betriebssystem läuft. Oder eine Stand-Alone-Software, die als Medizinprodukt in den Verkehr gebracht wird, greift auf eine Datenbank mit sicherheitsrelevanten Behandlungsdaten zu. Hier sind Betriebssystem und Datenbank häufig Fremdsoftware.

Fremdsoftware, so definiert es die EN 62304, umfasst somit „Software von der Stange“ sowie fertig entwickelte Software, über deren Entwicklungsprozess keine ausreichenden Aufzeichnungen existieren. Auch zählt dazu jegliche Software in einem Medizinprodukt – also auch Software, die in zugekauften Komponenten eines anderen Herstellers wie Netzgeräten, Kameramodulen oder Akkuladegeräten zum Einsatz kommt.
Doch welche Pflichten erwachsen für Hersteller aus der Nutzung von Fremdsoftware?
Die grundlegenden Anforderungen definiert die Medical Device Directive (MDD). Demnach müssen Produkte, die Software enthalten oder bei denen es sich um medizinische Software an sich handelt, entsprechend dem Stand der Technik validiert werden, „wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements, der Validierung und Verifizierung zu berücksichtigen sind“. Der Entwicklungslebenszyklus wird in der EN 62304 näher beschrieben.
Die Sicherheitsphilosophie dieser Norm beruht auf drei Grundsätzen: Qualitätsmanagement, Risikomanagement und Software-Engineering. So beschreibt die EN 62304 besondere Anforderungen für Software unbekannter Herkunft (SOUP): An erster Stelle sollte stets eine Risikoanalyse stehen, mit der die Funktionalität der Fremdsoftware und potenzielle Auswirkungen auf das Softwaresystem und das Medizinprodukt untersucht werden. Auf der Grundlage der Risikobewertung können das Software-System und bei Bedarf einzelne Software-Komponenten einer Software-Sicherheitsklasse A, B oder C zugewiesen werden, wobei A für das geringste Risiko und C für das höchste Risiko stehen.
Abhängig von der Software-Sicherheitsklasse, die einer Fremdsoftware als Teil eines Software-Systems zugewiesen wurden, ergeben sich unterschiedlich weitreichende Anforderungen an die Dokumentation. In jedem Fall muss die Fremdsoftware eindeutig identifiziert werden. Neben dem Titel, dem Hersteller und der Kennzeichnung ist vor allem die Version der eingesetzten Fremdsoftware eine wichtige Information für die Abstimmung mit der eigenen Software bei zukünftigen Änderungen.
Bei der Auswahl der Fremdsoftware sollte die Frage beantwortet werden können, wie deren Hersteller in Zukunft auf neu entdeckte Anomalien reagiert. Werden Updates und Bug-Fixes bereitgestellt und wird der Kunde darüber zeitnah und vollständig informiert? Wie viele Jahre steht ein solcher Service zuverlässig, also idealerweise vertraglich geregelt, zur Verfügung? Die Norm fordert dazu die Erstellung eines Wartungsplanes, der die Themen Nachrüstungen, Fehlerkorrekturen, Programmkorrekturen und Überalterung und Veralten der Fremdsoftware berücksichtigt.
Dies bedeutet für aktive Medizinprodukte, dass die Anforderungen an Hard- und Software des verwendeten Betriebssystems „von der Stange“ dokumentiert werden müssen. Ergibt sich bei einer Risikoanalyse, dass Fehler oder ein Ausfall des Betriebssystems den Patienten erheblich schädigen können, müssen mögliche Ursachen sowie deren Auswirkungen im Rahmen des Risikomanagements vollständig erfasst werden.
Bei einer Stand-Alone-Software muss unter anderem festgehalten werden, auf welcher Version des Betriebssystems die Software verwendet werden kann. Bei einer Datenbank können Parameter wie die Zugriffsgeschwindigkeit, die maximal erlaubte Anzahl oder Größe von Datensätzen sowie die zulässige Zugriffszeit entscheidend sein für die Stabilität des Gesamtsystems und somit für die Datenintegrität.
Immer dann, wenn die Fremdsoftware oder die eigene Software geändert wurde oder wenn weitere Anomalien der Fremdsoftware bekannt werden, müssen diese Aspekte erneut evaluiert werden. Zudem muss mit Hilfe einer aktualisierten Risikoanalyse untersucht werden, inwieweit zusätzliche Risiken vorliegen und ob deshalb neue Risikokontrollmaßnahmen abgeleitet werden müssen. Die Wirksamkeit aller Risikokontrollmaßnahmen muss ebenfalls neu verifiziert werden.
Interessant wird es vor allem dann, wenn aus der Risikoanalyse hervorgeht, dass eine Fehlfunktion der Fremdsoftware zu einer Gefährdung des Patienten beitragen kann. In diesem Fall sollte gemäß der grundlegenden Anforderungen der MDD zunächst eine Designänderung in Betracht gezogen werden. Wenn diese nicht weiter führt, fordert die MDD als nächstes die Einführung von Schutzmaßnahmen. Eine klassische Lösung ist der Aufbau einer zweikanaligen Architektur für ein aktives Medizinprodukt. Hierbei werden die sicherheitskritischen Steuerbefehle des Singleboard-Computers von einer unabhängigen Einheit, zum Beispiel einem kleinen Controller, überwacht.
Christoph Lindner TÜV SÜD Product Service, München

Ihr Stichwort
  • Software-Engineering
  • Fremdsoftware
  • Medical Device Directive
  • EN 62304
  • Qualitätssicherung
  • Risikoanalyse
  • Unsere Whitepaper-Empfehlung
Aktuelle Ausgabe
Titelbild medizin technik 1
Ausgabe
1.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Titelthema: PFAS

Medizintechnik ohne PFAS: Suche nach sinnvollem Ersatz

Alle Webinare & Webcasts

Webinare aller unserer Industrieseiten

Aktuelles Webinar

Multiphysik-Simulation

Medizintechnik: Multiphysik-Simulation

Whitepaper

Whitepaper aller unserer Industrieseiten


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de