safety assurance cases - hoelzer-kluepfel.de · safety assurance cases software engineering...
TRANSCRIPT
Probleme mit Infusionspumpen
56.000 Berichte über Fehlfunktionen
87 Rückrufe
70 mit Schädigung des Patienten
14 mit schwerem Schaden oder Tod FDA Statistik 2005-2009
Beispiele für Fehler
Software meldet einen Fehler, obwohl alles ok ist
Akustische Alarme werden nicht ausgelöst
Maßeinheiten werden nicht angezeigt
Benutzeroberfläche verwirrt die Anwender
Warnungen erscheinen so häufig, dass sie ignoriert werden
Pumpe ist nicht so wasserdicht wie versprochen
Software-Fehler
Usability-Probleme
Mechanische / elektrische Fehler
Initiative der FDA
Modellbasierte Software-Entwicklung
Beispielprojekt „Generische Infusionspumpe“
Statische Codeanalyse
Strukturierte Sicherheitsnachweise (Safety Assurance Cases)
Safety Assurance Cases
ISO/IEC 15026-2:2011 Systems and software engineering Systems and software assurance Part 2: Assurance case
Minimale Anforderungen an einen “Assurance Case” Enthält keine Anforderungen zur Darstellung
Safety Assurance Cases
Software Engineering Institute (SEI) Beschäftigt sich seit Jahren mit Safety Assurance
Cases Berät die FDA zum Einsatz bei Medizinprodukten
Ch. Weinstock, J. Goodenough: Towards an Assurance
Case Practice for Medical Devices; Technical Note CMU/SEI-2009-TN-018; Software Engineering Institute, Carnegie Mellon University; October 2009
Kernidee
„Konventioneller Ansatz“ Nachweis, dass Entwicklungsprozesse vorgegeben
Standards einhalten (ISO 14971, IEC 60601-1, …) Technische Prüfungen von Eigenschaften der
Produktnormen
Problem: generischer Ansatz, der den Besonderheiten des
Geräts oft nicht gerecht wird
Behauptung (claim)
Aussage, die durch den Sicherheitsnachweis belegt werden soll
hierarchisch strukturiert
oberste Ebene:
„Dieses Gerät ist hin-reichend sicher“
Strategie (strategy)
beschreibt, wie die Behauptung belegt werden soll
Beispiel: Gefährdungen auffinden und sicherstellen, dass sie eliminiert oder ausreichend verringert werden
Annahmen (assumption)
beschreibt eine Voraussetzung, unter der die Argumentation gültig ist
Unterstützt Schluß-folgerungen, die unter anderen Umständen nicht gezogen werden können
Kontext (context)
beschreibt zusätzliche Informationen
Beispiel: die Behauptung ist „ Das System erfüllt alle
relevanten Normen“
Kontext: die Liste der relevanten Normen
Beleg (evidence)
eine Tatsache, die darauf hindeutet, dass eine Behauptung korrekt ist
Beispiel: positive Testergebnisse von Sicherheitsmaßnahmen
Goal Structured Notation
Grafische Notation für Safety Assurance Cases Symbole für die Grundkonzepte
Verknüpfung durch Kanten
Vorteile für Inspektoren
Haupttreiber für Assurance Cases: FDA Umfangreiche Einreichungen
Keine klare Struktur
Fokus oft auf Formalien
Ziel: Nachvollziehen der Argumentation des Herstellers
Vorteile für Hersteller
Klare Formulierung der Sicherheits-Strategie Strukturierung aller Elemente der Sicherheits-
betrachtungen
Grafische Notation erleichtert Kommunikation
GSN erlaubt es, auch Zwischenstände zu dokumentieren
Fazit
Strukturierte Sicherheitsnachweise werden auf die Hersteller von Medizin-produkten zukommen
Sie sind mehr als eine weitere Dokumentationshürde
Sinnvoll genützt, lassen sich so die Prozesse des Risikomanagements lenken
Ziel: Aufwand bei der Überprüfung der funktionalen Sicherheit auf die wesentlichen Aspekte fokussieren
Kontakt
post Zweite Felsengasse 5 97082 Würzburg
tel +49 931 32072-821 fax +49 931 32072-819 mobil +49 176 6085 7994
mail [email protected] web www.hoelzer-kluepfel.de
Und natürlich hier auf der MedConf!
MATTHIAS HÖLZER-KLÜPFEL DIPLOM-PHYSIKER, M.SC.