Er software medicinsk udstyr med regulatoriske krav? Nye standarder inden for software til medicinsk udstyr MTIC Masterclass 23. nov. 2010 23.11.2010 / Claus Lindholt MITC Masterclass 1 Program for MITC Masterclass 20 min. Livscyklus for medicinsk udstyr fra idé til bortskaffelse Medico direktivet (MDD) og vejen til CE-mærket De væsentlige krav i bilag I og den tekniske dokumentation Harmoniserede standarder 45 min. Orientering om standarder inden for software til medicinsk udstyr: Risikostyring for medicinsk udstyr EN/ISO14971 Livscyklusser for medicinsk software EN 62304 Risikostyring af software til medicinsk udstyr TIR 32 og IEC TR80002-1 Indbyggelse af anvendelighed (usability) i medicinsk udstyr EN 62366 15 min. Implementering af standarder: Case fra Mermaid Care A/S - Design kontrol procedure» Procesrelaterede standarder (lifecycle, risk management, usability, quality)» Device relaterede standarder (safety, EMC, alarms, materials ) 5 min. Afrunding og spørgsmål 23.11.2010 / Claus Lindholt MITC Masterclass 2 Claus Lindholt 1
Hvorfor regulatoriske krav til medicinsk udstyr? Hændelser for medicinsk udstyr i Danmark fra Lægemiddelstyrelsen Antallet af indberetninger vedrørende hændelser i 2000-2009. Væsentligste årsag til stigning menes at være stadig stigende årvågenhed 23.11.2010 / Claus Lindholt MITC Masterclass 3 Hvorfor regulatoriske krav? Årsager til hændelser med medicinsk udstyr i Danmark: 70 60 50 40 30 20 2003 2004 2006 2007 10 0 Design Emballage Brugsanv. & mærkning Fabrikanternes ansvar 57% Produktion Software Håndtering Andet Uafklaret 23.11.2010 / Claus Lindholt MITC Masterclass 4 Claus Lindholt 2
Hvorfor regulatoriske krav? Hændelser i USA rapporteret til FDA i 2007: Report Type Mandatory Reports (FDA Form 3500A) Alternative Summary Reporting Voluntary Reports (FDA Form 3500) Totals Death 2,683 0 147 2,830 Injury 38,349 75,409 2,328 116,086 Malfunction 65,863 29,225 1,397 96,485 Other 7,396 7 1,393 8,796 Totals 114,291 104,641 5,265 224,197 Med 57% ansvar dræbte medico-industrien over 1600 patienter i USA i 2007! 23.11.2010 / Claus Lindholt MITC Masterclass 5 Ydeevne (Intended use) Klinisk forsøgsprotokol Etisk råd godkeldelse Lægemiddelstyr. godk. Dokumentation Life-cycle for medicinsk udstyr Produktkrav / ydeevne Risikoanalyse Standarder Planlægning (SW) Styrede processer (SW) Materialer Verifikation & Validering Klinisk evaluering Leverandørgodk. Overdragelse Processtyring Uddannelse Kalibrering Fejlrapportering Styring af ændringer Slutkontrol Ændringer Ombygning Overvågning Arkivering Ulykker Bortskaffelse Fra vugge til grav Udvikling - hvilke krav gælder? Forskning Projektplan Godkendelse Produktion Markedsføring & salg Service & afvikling Regulatoriske krav Budget for regulatoriske krav: Tidsplan Ressourcer Økonomi Teknisk dokumentation MDD Væsentlige krav MDD Klassifikation Risikoanalyse EMC og Sikkerhedstest Klinisk rationale Kvalitetsstyring Procesvalidering Brochurer og Manualer Sprogkrav Kontrakter Markedsovervågning Kliniske resultater Ulykkesrapportering Tilbagekaldelse 23.11.2010 / Claus Lindholt MITC Masterclass 6 Claus Lindholt 3
Life-cycle for medicinsk udstyr Forskning Udvikling Godkendelse Projektplan Produktion Markedsføring & salg Service & afvikling Godkendelse af medicinsk udstyr opfattes ofte som en forhindring Med indsigt og planlægning bliver det en naturlig del af processen 23.11.2010 / Claus Lindholt MITC Masterclass 7 EU Medico Direktiver To formål: Imødegå handelshindringer og (for)brugerbeskyttelse Kommissionen udsteder direktiver efter The new approach Kommissionen fastsætter væsentlige krav i direktiverne Standardiseringsorganisationer fastlægger tekniske krav i harmoniserede standarder Direktiver indføres af regeringerne som national lovgivning (straf) Kompetente myndigheder overvåger gennem ulykkesrapportering Bemyndigede organer assisterer i overensstemmelsesvurderingen Akkrediterede laboratorier foretager typetest iht. harmoniserede std. Fabrikanterne erklærer overensstemmelse og påsætter CE-mærket Overensstemmelse signaleres til brugere og myndigheder med CE-mærket Bemyndige organer overvåger regelmæssigt overensstemmelsen og kvalitetsstyringen hos fabrikanterne Bemærk: Der er ikke nogen myndighed, der godkender 23.11.2010 / Claus Lindholt MITC Masterclass 8 Claus Lindholt 4
Definition af medicinsk udstyr Se direktivet på www.medicinskudstyr.dk - link til Lovgivning Bek.1263 1)» Medicinsk udstyr «: Ethvert instrument, apparat, udstyr, materiale, utensilie (éngangsudstyr), anordning, hjælpemiddel eller enhver anden genstand anvendt alene eller i kombination, herunder software, der hører med til korrekt brug heraf, som af fabrikanten er beregnet til anvendelse på mennesker med henblik på: a) Diagnosticering, forebyggelse, overvågning, behandling eller lindring af sygdomme, b) diagnosticering, overvågning, behandling, lindring af eller kompensation for skader eller handicap, c) undersøgelse, udskiftning eller ændring af anatomien eller en fysiologisk proces, eller d) svangerskabsforebyggelse, og hvis forventede hovedvirkning i eller på det menneskelige legeme ikke fremkaldes ad farmakologisk, immunologisk eller metabolisk vej, men hvis virkning kan understøttes ad denne vej. 2)» Tilbehør «: Ethvert produkt, der af fabrikanten er bestemt til at blive anvendt sammen med medicinsk udstyr, for at det medicinske udstyr kan anvendes som planlagt af dets fabrikant. I bekendtgørelsen betragtes tilbehør som selvstændigt medicinsk udstyr. 23.11.2010 / Claus Lindholt MITC Masterclass 9 Andre relevante direktiver IVD, Implantat, WEEE og RoHS In Vitro Diagnostic direktivet (IVD) 98/79 dækker alle typer testsystemer, som anvender biologisk materiale udenfor kroppen (in vitro) f.eks. Blodsukkertest apparater Implantat direktivet (AIMDD) 90/385 dækker alle typer aktivt medicinsk udstyr, som er beregnet til at bruges i kroppen i længere tid, f.eks. pacemakers Waste of Electrical and Electronic Equipment (WEEE) omfatter kontrolleret bortskaffelse af AL elektronik også medicinsk udstyr (se www.dpa-system.dk og f.eks. www.elretur.dk) Reduction of Hazardous Substances (RoHS) regulerer brugen af f.eks. bly i elektronik og bromholdige brandhæmmere i plast Medicinsk udstyr er pt. undtaget, men forventes at komme med i 2014, så planlæg at overholde kravene i alt nyt udstyr. Også af hensyn til miljøet! 23.11.2010 / Claus Lindholt MITC Masterclass 10 Claus Lindholt 5
Forbindelse til andre direktiver Lavspændingsdirektivet 73/23 dækker alt elektrisk udstyr designet til anvendelse mellem 50 og 1000 Volt vekselstrøm eller 75 og 1500 Volt jævnstrøm. Undtaget er dog elektrisk udstyr til brug i eksplosiv atmosfære, udstyr til radiologi og medicinske formål mm. EMC direktivet 89/336 dækker alt elektrisk og elektronisk udstyr og stiller krav til immunitet og emission Maskindirektivet 98/37 dækker alle maskiner, d.v.s. systemer med en eller flere bevægelige dele. Undtagelser er hånddrevne maskiner, transportmateriel, ombord på skibe, medicinsk udstyr, udstyr til politi og militær MDD undtager medicinsk udstyr fra disse, idet.. 3 væsentlige standarder, som er harmoniserede under MDD, dækker disse tekniske krav: EN60601-1 vedr. generel elektrisk og mekanisk sikkerhed EN60601-1-2 vedr. EMC i medicinsk udstyr EN ISO 14971 vedr. risikostyring i medicinsk udstyr Dog inkluderes Maskindirektivet i MDD igen efter 21.03.2010, hvis der er selvbevægelige dele, f.eks. bordet i ALPE-1 eller en motorstyret seng 23.11.2010 / Claus Lindholt MITC Masterclass 11 Medico Direktiver i Danmark EU Kommissionen EU Direktiv MDD 93/42/EEC EU Tidende www.eu-oplysningen.dk Regeringen Folketinget Sundhedsministeren Lægemiddelstyrelsen Dansk lov 1046 af 17.12.02 Bekendtgørelse 1263 af 15.12.08 Lovtidene www.retsinfo.dk InVitro D. Bek.1268 af 12.12.05 Implantat Bek.1264 af 15.12.08 www.medicinskudstyr.dk Virksomheden Væsentlige krav Kvalitetsstyring Dokumentation Bemyndiget Organ Overensstemmelse 0543 Bemyndiget Organ Lægemiddelstyrelsen Overvågning 23.11.2010 / Claus Lindholt MITC Masterclass 12 Claus Lindholt 6
Medico direktivet (MDD) - indhold Kapitel 1 Anvendelsesområde og definitioner Kapitel 2 Markedsføring, forhandling, distribution, ibrugtagning og mærkning Kapitel 3 Særlig procedure for system- og behandlingspakker og procedure for sterilisation Kapitel 4 Medicinsk udstyr til klinisk afprøvning Kapitel 5 Medicinsk udstyr efter mål Kapitel 6 Medicinsk udstyr på messer, udstillinger o.l. Kapitel 7 Registrering af personer, der er ansvarlige for markedsføringen Kapitel 8 Overvågning og indskrænkning i markedsføringen Kapitel 9 Straffebestemmelser Kapitel 10 Ikrafttrædelses- og overgangsbestemmelser Bilag I XII Detaljerede krav 23.11.2010 / Claus Lindholt MITC Masterclass 13 Bilag I-XII i MDD I. VÆSENTLIGE KRAV II. EF-OVERENSSTEMMELSESERKLÆRING (Fuld kvalitetssikring) III. EF-TYPEAFPRØVNING IV. EF-VERIFIKATION V. EF-OVERENSSTEMMELSESERKLÆRING (Kvalitetssikring af produktionen) VI. EF-OVERENSSTEMMELSESERKLÆRING (Kvalitetssikring af produkterne) VII. EF-OVERENSSTEMMELSESERKLÆRING VIII. ERKLÆRING VEDRØRENDE UDSTYR TIL SÆRLIGE FORMÅL IX. KLASSIFICERINGSKRITERIER X. KLINISK EVALUERING XI. MINIMUMSKRITERIER, SOM SKAL VÆRE OPFYLDT VED UDPEGELSEN AF DE ORGANER, DER SKAL BEMYNDIGES XII. EF-OVERENSSTEMMELSESMÆRKNING 23.11.2010 / Claus Lindholt MITC Masterclass 14 Claus Lindholt 7
Klassificering af medicinsk udstyr MDD bilag IX Medicinsk udstyr opdeles i 4 klasser: Klasse I (Is og Im) Ikke elektrisk udstyr, sterilt udstyr og udstyr med målefunktion Klasse IIa (romertal 2a) Det meste elektriske udstyr Klasse IIb Udstyr med høj risko Klasse III Udstyr i forbindelse med centralnervesystemet Klassificeringen gælder alene vejen til CE-mærket de tekniske krav er de samme for alle klasser dog afhængig af udstyrets tekniske indhold MDD bilag IX afsnit III har 18 regler til klassificering EU MEDDEV 2.4 /1 part 1 & part 2 indeholder guidelines til klassificering Dokumentationen for klassificeringen skal indeholde rationale for fabrikantens valg af klasse Eksempler: ALPE-1 er klasse IIa i henhold til regel 10 (active device for diagnosis) TENS stimulator er klasse IIa i henhold til regel 9 (active therapeutic device) Respirator er klasse IIb efter regel 9 + potentiel farlig 23.11.2010 / Claus Lindholt MITC Masterclass 15 Vejen til CE-mærket - MDD Kilde: www.dgm-nb.dk 23.11.2010 / Claus Lindholt MITC Masterclass 16 Claus Lindholt 8
Væsentlige krav i Bilag I De generelle krav: De specifikke krav: Højt sikkerhedsniveau Indbygget beskyttelse Egnethed Stabilitet i ydeevne Transportsikkerhed Afvejning af fordele mod ulemper Materialesikkerhed Bioforligelighed Sterilitetssikkerhed Mekanisk sikkerhed Elektromagnetisk kompatibilitet (EMC) Brand- og eksplosionssikkerhed Nøjagtighed og stabilitet Strålebeskyttelse Alarmfunktioner Elektrisk sikkerhed Mærkningskrav Krav til brugsanvisning 23.11.2010 / Claus Lindholt MITC Masterclass 17 Krav til fabrikanten: Væsentlige krav i Bilag I Alle relevante krav i Bilag I skal kunne dokumenteres Også hvorfor et krav ikke er relevant! Udgangspunktet er produktets ydeevne Brug referencer til anvendte harmoniserede standarder Brug resultatet af Risk Management processen Brug en checkliste for at få alt med Endelig overensstemmelse med Bilag I, når produktet og dokumentationen er klar For medicinsk udstyr til klinisk afprøvning skal Bilag I overholdes med undtagelse af de forhold, der skal afprøves. (MDD bilag VIII, stk.2.2) 23.11.2010 / Claus Lindholt MITC Masterclass 18 Claus Lindholt 9
Overensstemmelseserklæring MDD bilag VII Indholdet af den tekniske dokumentation (Teknisk dossier, Technical File eller DHF+DMR) Produktbeskrivelse og varianter Konstruktionstegninger og fremstillingsmetoder Beskrivelser og forklaringer af hvorledes produktet fungerer Resultaterne af risikoanalysen Liste over harmoniserede standarder, som helt eller delvis er anvendt, Beskrivelse af løsninger til opfyldelse af de væsentlige krav i Bilag I For sterile produkter, en beskrivelse af de metoder, der er anvendt Resultaterne af de foretagne konstruktionsberegninger og inspektioner mv. Rationale for forventet levetid af hensyn til dokumentations opbevaring Prøvningsrapporter fra Akkrediterede Laboratorier Dokumentation for ydeevne ved klinisk evaluering efter Bilag X Mærkning, brugsanvisning og evt. vedligeholdelsesforskrift 23.11.2010 / Claus Lindholt MITC Masterclass 19 Væsentlige ændringer i MDD tillæg 2007/47. Trådte i kraft 21.03.2010 SW som stand-alone produkt er defineret som medicinsk udstyr i klasse IIa MDD, Bilag I, Væsentlige krav 12.1.a.: For udstyr, der inkorporerer software, eller i sig selv er medicinsk software, skal softwaren valideres i overensstemmelse med det aktuelle tekniske niveau, idet der tages hensyn til principperne for udviklingslivscyklus, risikostyring, validering og verificering. Bemyndiget organ skal tage stikprøve på overensstemmelses dokumentation i klasse IIa Krav om ajourført klinisk evaluering i henhold til erfaringer og markedstilbagemeldinger Væsentlige krav i Maskindirektivet skal med i risikostyringen, hvis der er selvbevægelige dele, og kravene skal følges, hvis de er strengere end MDD 23.11.2010 / Claus Lindholt MITC Masterclass 20 Claus Lindholt 10
HARMONISEREDE STANDARDER Definition, tilblivelse, betydning, opbygning 23.11.2010 / Claus Lindholt MITC Masterclass 21 Harmoniserede standarder Fra www.medicinskudstyr.dk: Harmoniserede standarder angiver metoder til at dokumentere, at udstyr er i overensstemmelse med lovgivningens (direktivernes) væsentlige krav. Fra www.ds.dk: EU-kommissionen giver de europæiske standardiseringsorganisationer mandat til at udarbejde harmoniserede standarder, der detaljeret beskriver, hvordan direktivets overordnede krav kan opfyldes. Harmoniserede standarder gælder i alle EU-lande og afløser eventuelle nationale standarder. Forskellen på europæiske standarder og harmoniserede europæiske standarder er, at de harmoniserede standarder er mandaterede af EU-Kommissionen og offentliggjort i De Europæiske Fællesskabers Tidende. De europæiske, harmoniserede standarder relaterer sig direkte til direktiverne og er med til at sikre produkternes frie bevægelighed. Ved at følge standarderne er producenterne sikre på, at de opfylder de tilsvarende væsentlige sikkerheds- og sundhedskrav i direktiverne. 23.11.2010 / Claus Lindholt MITC Masterclass 22 Claus Lindholt 11
Direktiver og standarder EU Kommissionen Direktiver EU Direktiv Standardiseringsorganisation Standarder Forslag til EN standard Regeringen Folketinget Dansk lov EU Kommissionen EU Tidende Harmonisering af EN standard Sundhedsministeren Lægemiddelstyrelsen Bekendtgørelse Dansk Standard National EN standard Virksomheden Væsentlige krav Kvalitetsstyring Virksomheden Medicinsk Udstyr iht. EN standard Bemyndiget Organ Overensstemmelse Akkrediteret Laboratorium Testrapport Bemyndiget Organ Lægemiddelstyrelsen Overvågning 0543 23.11.2010 / Claus Lindholt MITC Masterclass 23 Betydning af harmoniserede standarder Overensstemmelse er krav i MDD (bilag II, IV, V, VI) Harmoniserede standarder kan opfattes som love, som skal overholdes, hvis standarderne er relevante for produktet Harmoniserede standarder skal løbende overvåges for ændringer med datoer for ikrafttrædelse se efter DOCOPOCOSS dato Link til EU liste over harmoniserede std. via www.medicinskudstyr.dk Ændringer skal implementeres i produkterne efter DOCOPOCOSS Overensstemmelse med standard kan bevises ved tredje parts test på akkrediteret laboratorium, hvis der kræves målinger, f.eks. EMC eller konstruktionsgranskninger Eller ved et eget rationale og evt. risikoanalyse Bemyndiget organ (Notified Body) og Akkrediteret Laboratorium har afgørelsen vedr. overensstemmelse 23.11.2010 / Claus Lindholt MITC Masterclass 24 Claus Lindholt 12
EN60601-x-y Horisontale og Vertikale sikkerhedsstandarder EN60601-1 Generic EN60601-1-1 Systems EN60601-1-2 EMC EN60601-1-6 Usability EN60601-1-8 Alarms EN60601-1 Generic EN60601-1 Generic EN60601-1 Generic EN60601-2-12 Lungeventillatorer EN60601-1-x Horisontale (collateral) std. gælder alle typer udstyr EN60601-2-x Veritkale (particular) std. dækker særlige krav eller fortolkninger for specifikt udstyr Se en samlet liste via Lovgivning link på www.medicinskudstyr.dk 23.11.2010 / Claus Lindholt MITC Masterclass 25 Nye trends i standardiseringen Risikostyring er blevet en integreret disciplin i seneste sikkerhedsstandarder: EN60601-1:2005 Elektromedicinsk udstyr Del 1: Generelle sikkerhedskrav og væsentlige funktionskrav EN 62304:2006 Livscyklusser for medicinsk software EN 62366:2007 Indbyggelse af anvendelighed (usability) i medicinsk udstyr Standarder indeholder stort rationale og vejledningsappendix Guidelines til nye standarder Vejledning i anvendelse af EN ISO 14971 (risikostyring) i forbindelse med software til medicinsk udstyr (TIR 32 og IEC TR80002-1) 23.11.2010 / Claus Lindholt MITC Masterclass 26 Claus Lindholt 13
EN/ISO14971:2007 Medicinsk udstyr Håndtering af risikostyring for medicinsk udstyr Medical devices Application of risk management to medical devices 23.11.2010 / Claus Lindholt MITC Masterclass 27 Styring af risiko hvad gør vi? Hvad er en risiko? Hvordan opstår en risiko? Der skal være mulighed for både fare og påfølgende skade Hvilken måleenhed bruges for risiko? Risikoen for at få en sygdom Risikoen for at blive involveret i et trafikuheld En risiko er er mål for sandsynligheden af at en fare vil medføre en skade måles f.eks. i % af en aktivitet For at finde et mål for risikoen må vi definere både farer og skader samt alvorlighed af skaden For at styre en risiko må vi finde et mål for en acceptabel risiko EN/ISO 14971 standarden viser metoden for medicinsk udstyr 23.11.2010 / Claus Lindholt MITC Masterclass 28 Claus Lindholt 14
Eksempel - Kaffemaskine Ydeevne At brygge kaffe ved 96 C og holde den varm ved >80 C Farer (hazards) Den kan vælte, hvis man (et barn) skubber til den Berøringsfare varmepladen er varm Brandfare, hvis den ikke slukkes Skader (harm) Skolde sig på den varme kaffe (personfare) Brænde sig på varmepladen (personfare) Brand (omgivelsesfare og afledt personfare) Risiko = Sandsynligheden for at en kombination af dette sker Fornuftige modforanstaltninger (mitigations) Væltesikring Beskyttet varmeplade Advarselslampe ved afbryder Timer afbryder efter 3 timer Brandsikre materialer Temperaturafbryder på varmeplade og kogeelement Thermokaffekande med ventillåg 23.11.2010 / Claus Lindholt MITC Masterclass 29 14971 Definitioner HAZARD (Fare) Potential source of HARM, leads to a HAZARDOUS SITUATION through a sequence of events HAZARDOUS SITUATION (Farlig situation) Circumstance in which people, property, or the environment are exposed to one or more hazard(s). A sequence of events may lead to a HAZARDOUS SITUATION HARM (Skade) Physical injury or damage to the health of people, or damage to property or the environment SEVERITY (Alvorlighed) Measure of the possible consequences of a HAZARD RISK (Risiko) Combination of the probability of occurence of HARM and the SEVERITY of that HARM SAFETY (Sikkerhed) Freedom from unacceptable risk 23.11.2010 / Claus Lindholt MITC Masterclass 30 Claus Lindholt 15
Risk Analysis 23.11.2010 / Claus Lindholt MITC Masterclass 31 Risk Estimation Increasing severity of harm (skade) Increasing risk Increasing probability of occurence of harm (skade) 23.11.2010 / Claus Lindholt MITC Masterclass 32 Claus Lindholt 16
Risk Estimation 23.11.2010 / Claus Lindholt MITC Masterclass 33 Risk Estimation 23.11.2010 / Claus Lindholt MITC Masterclass 34 Claus Lindholt 17
Risk Evaluation Acceptable risk Unacceptable risk 23.11.2010 / Claus Lindholt MITC Masterclass 35 Risk Evaluation 23.11.2010 / Claus Lindholt MITC Masterclass 36 Claus Lindholt 18
Mermaid Care Implementation Procedure QOP-71-02 Risk Management Defines Severity Level S S1 - S5 Occurrence Probability Level O O1 - O6 Intervention Probability Level I I1 - I4 Risk Product Number RPN = S x O x I RPN defines acceptability of Risk 1 RPN < 11 = Acceptable risk 12 RPM < 36 = Unacceptable without justification by project team 36 RPM < 120 = Unacceptable, but medical benefits vs. risk may justify management decision) 23.11.2010 / Claus Lindholt MITC Masterclass 37 Mermaid Care Implementation The following Severity levels are defined: S1 (negligible): Negligible harm. This includes any damage to the medical equipment. S2 (marginal): Minor harm including, but not limited to, cuts, abrasions, low voltage electrical shock, minor burns, which, without medical attention, would not involve in permanent loss of body function. S3 (critical): Major harm exists when, without medical intervention, the harm would result in the permanent loss of body function. Critical harm can also result from missed diagnosis due to the system falsely indicating the lack of disease. S4 (catastrophic): Without medical intervention, the hazard results in death. 23.11.2010 / Claus Lindholt MITC Masterclass 38 Claus Lindholt 19
Mermaid Care Implementation The following probabilities of Occurence are defined: O1 (incredible infrequent): The practical expectation is that the hazard will never occur, but are theoretical possible. That is, the event is considered unlikely to occur even once during the entire lifetime of the product. O2 (remote): The hazard is not likely to occur, but may happen during the complete product lifetime. O3 (occasional): The hazard may occur from time to time. Example: Ethernet card failing. O4 (probable): The hazard is likely to occur over the lifetime of a unit. Example: Power supply failure. O5 (frequent): The hazard is likely to occur multiple times over the lifetime of a unit. Example: Failure during transfer of data to the Hospital Information System. O6 (always): The hazard will occur on every use. Example: Exposure to less than 21% oxygen in inspired air. 23.11.2010 / Claus Lindholt MITC Masterclass 39 Mermaid Care Implementation The following probabilities of Intervention are defined: I1 (almost certain): If the hazard occurs, it will be obvious to the user of the system before harm can occur. The user will understand what steps to take to prevent harm from occurring, and are almost certain to take these steps. I2 (likely): The hazard can be detected with reasonable inspection of displays, etc. There is enough time to intervene, and it is likely that the user will prevent harm from occurring from this hazard. I3 (unlikely): The hazard is difficult to detect even for trained users of the system. Even if detected, the user may not have enough information or time to intervene to prevent harm. I4 (remote): The need for intervention is not indicated by the system, and the likelihood of intervention prior to occurrence of harm is remote. 23.11.2010 / Claus Lindholt MITC Masterclass 40 Claus Lindholt 20
Mermaid Care ALPE essential Ydeevne: Non-invasivt og ved hjælp af ilt-titrering at karakterisere gasudvekslingen gennem lungerne ved parametrene shunt og ilttab. CE-mærket i klasse IIa via MDD bilag II fuld kvalitetsstikring efter EN ISO 13485 23.11.2010 / Claus Lindholt MITC Masterclass 41 Risk Assessment Matrix Hzd # Hazard / Hazardous situation Object at Risk P,O,E Harm S 1 O 1 RPN I 1 1 <12 Risk Mitigation RPN S O I 2 Accept 2 2 2 able? <12 Other hazards generated Reference doc. and place Effective ness [date,ref] 1 FiO2 regulator fails, Pt. breathes < 14% O2 P Pt. gets unconscious or dies 4 2 2 16 Alarm for 4 2 1 8 Yes Alarm is not FiO2 < 14% reacted to SRS-111 Hazard #2 VeTPr- 0015 2 FiO2 alarm is not reacted to P Pt. gets unconscious or dies 4 2 2 16 Set FiO2 to 40% after 30 sec. 2 2 1 4 Yes None SRS-112 VeTPr- 046 23.11.2010 / Claus Lindholt MITC Masterclass 42 Claus Lindholt 21
14971 Risk Management Process Risk Analysis Systematic use of available information to identify hazards and to estimate the risk Risk Estimation Process used to assign values to the probability of occurrence of harm and the severity of that harm Risk Evaluation Process of comparing the estimated risk against given risk criteria to determine the acceptability of the risk Risk Control (Risk Mitigation) Process in which decisions are made and measures implemented by which risks are reduced to, or maintained within, specified levels Risk Assessment Overall process comprising a risk analysis and a risk evaluation Risk Management Systematic application of management policies, procedures and practices to the tasks of analysing, evaluating, controlling and monitoring risk 23.11.2010 / Claus Lindholt MITC Masterclass 43 Risk Assessment Matrix Hzd # Hazard / Hazardous situation Object at Risk P,O,E Harm RPN S O I 1 1 1 1 <12 Risk Mitigation RPN S O I 2 Accept 2 2 2 able? <12 Other hazards generated Reference doc. and place Effective ness [date,ref] 1 FiO2 regulator fails, Pt. breathes < 14% O2 2 FiO2 alarm is not reacted to P P Pt. gets unconscious or dies Pt. gets unconscious or dies 4 2 2 16 Alarm for 4 2 1 8 Yes Alarm is not FiO2 < 14% reacted to 4 2 2 16 Set FiO2 to 21% after 30 sec. (Close N2 valve) SRS-111 Hazard #2 VeTPr- 0015 2 2 1 4 Yes None SRS-112 VeTPr- 046 23.11.2010 / Claus Lindholt MITC Masterclass 44 Claus Lindholt 22
14971 Risk Management Process Risk Analysis Systematic use of available information to identify hazards and to estimate the risk Risk Estimation Process used to assign values to the probability of occurrence of harm and the severity of that harm Risk Evaluation Process of comparing the estimated risk against given risk criteria to determine the acceptability of the risk Risk Control (Risk Mitigation) Process in which decisions are made and measures implemented by which risks are reduced to, or maintained within, specified levels Risk Assessment Overall process comprising a risk analysis and a risk evaluation Risk Management Systematic application of management policies, procedures and practices to the tasks of analysing, evaluating, controlling and monitoring risk 23.11.2010 / Claus Lindholt MITC Masterclass 45 Resultat af RM processen Risk Control sikkerhedintegration 3 metoder foreskrevet i MDD Bilag I: Sikkert design (Inherent safety) Beskyttelsesforanstaltninger - alarmer Information om sikkerhed - brugervejledning Risk Management rapport Risk Management File Opdatering af dokumenter (specifikationer og test) og produktet RM processen slutter aldrig Enhver ændring skal gennem RM processen 23.11.2010 / Claus Lindholt MITC Masterclass 46 Claus Lindholt 23
Hazard Analysemetoder Failure Mode and Effect Analysis (FMEA) (EN60812:2006) Bottom-up tool from failed component to hazard Failure Mode Effect and Criticality Analysis (FMECA) = Risk analysis Fault Tree Analysis (FTA) (EN61025:2007) Top-down tool Probability of hazard from components Hazard and Operability Study (HAZOP), Hazard and Criticality Control Point Analysis (HACCP) Potentially hazardous procedures and operations Der findes internationale standarder for disse metoder De mest brugte er dog: Brainstorm støtte i spørgsmål i Annex C i EN/ISO14971:2007 Common sense (eksemplet med kaffemaskinen) EN/ISO14971:2007 kræver, at mindst ét medlem af Risk Assessment team skal være uddannet i Risk Assessment 23.11.2010 / Claus Lindholt MITC Masterclass 47 EN62304:2006 Software for medicinsk udstyr Livscyklusprocesser for software Medical decive software Software life-cycle processes 23.11.2010 / Claus Lindholt MITC Masterclass 48 Claus Lindholt 24
EN 62304 - SW Dev. Life Cycle MDD, Bilag I, væsentlige krav 12.1.a. For udstyr, der inkorporerer software, eller i sig selv er medicinsk software, skal softwaren valideres i overensstemmelse med det aktuelle tekniske niveau, idet der tages hensyn til principperne for udviklingslivscyklus, risikostyring, validering og verificering. Annex I, ER 12.1.a. For devices which incorporate software or which are medical software in themselves, the software must be validated according to the state of the art taking into account the principles of development lifecycle, risk management, validation and verification. 23.11.2010 / Claus Lindholt MITC Masterclass 49 Life-cycle model for softwareudvikling iht. EN62304 Et framework processer, aktiviteter og opgaver Identificerer krav for hvad der skal gøres og hvad der skal dokumenteres Specificerer en SW klassifikation metode Beskriver ikke hvordan kravene opfyldes Kræver ikke en specifik SW life-cycle model Specificerer ikke dokumenter 23.11.2010 / Claus Lindholt MITC Masterclass 50 Claus Lindholt 25
SW Development Processes 23.11.2010 / Claus Lindholt MITC Masterclass 51 EN62304 - Indhold 23.11.2010 / Claus Lindholt MITC Masterclass 52 Claus Lindholt 26
EN62304 - Indhold 23.11.2010 / Claus Lindholt MITC Masterclass 53 SW Development Processes Documented life-cycle with: Development Plan Milestones Activites Documentation Development life-cycle must include: Requirements specification Architecture specification Sub-system design and test specifications Verification PEMS Validation 23.11.2010 / Claus Lindholt MITC Masterclass 54 Claus Lindholt 27
EN62304 - Vigtige koncepter Kvalitetsstyring og risikostyring er nødvendig SW klassificeres iht. fareniveau (severity of potential harm) Der er forskellige krav baseret på SW klassifikationen Forskellige moduler kan have forskellig klasse Segregering adskillelse af kritiske funktioner også variabler SW life-cycle ender ikke med produktfrigivelsen, den fortsætter med vedligeholdelse Guidelines for risikostyring af medicinsk software: AAMI TIR32:2004 Medical device software risk management IEC/TR 80002-1 Guidance on the application of ISO14971 to medical device software 23.11.2010 / Claus Lindholt MITC Masterclass 55 SW i et medicinsk udstyr 23.11.2010 / Claus Lindholt MITC Masterclass 56 Claus Lindholt 28
SW funktionstyper 23.11.2010 / Claus Lindholt MITC Masterclass 57 Særlige risiko egenskaber ved SW SW kan ikke i sig selv påføre skade derfor kan risikoanalyse ikke gennemføres på SW alene HW platform og tilkoblet udstyr samt kommunikation skal med SW er systematisk af natur og fejler ikke tilfældigt derfor bruges sandsynlighed ikke. Risiko = 100% Alle årsager må undersøgers og imødegås, hvis de er kritiske. Funktionen af SW er afgørende for dybden af risikoanalysen og valg af kontrolmetoder ved SW fejl: Life supporting respirator Terapeutisk strålekanon Dianostisk eller monitorering ALPE eller patientmonitor 23.11.2010 / Claus Lindholt MITC Masterclass 58 Claus Lindholt 29
Kæder af årsager i SW 23.11.2010 / Claus Lindholt MITC Masterclass 59 SW Risk Management 23.11.2010 / Claus Lindholt MITC Masterclass 60 Claus Lindholt 30
Kontrol af farlige situationer 23.11.2010 / Claus Lindholt MITC Masterclass 61 Klassifikation af software Risk Management Proces efter DS/EN ISO 14971 A: No injury possible B: non-serious injury C: death or serious injury Validering afhænger af klasse De-klassificering ved HW risk control SW risk control samme klasse som kontrollerede hazard Segregering skal dokumenteres 23.11.2010 / Claus Lindholt MITC Masterclass 62 Claus Lindholt 31
SOUP Software of Unknown Provenance Også kaldet tredje parts software Styresystemer, udviklingsystemer (biblioteker), run-time fortolker (Java), kommunikations SW, drivere etc. Hvis der skiftes version af udviklingssystem, kan det betyde ny komplet SW-test og SW-validering Hvis SOUP bruges, skal det altid være under kontrol og enten valideres, overvåges eller isoleres 23.11.2010 / Claus Lindholt MITC Masterclass 63 ALPE essential System Architecture ALPE Trolley N 2 O 2 10L or 20L Gas Cylinders w. Pressure Regulators to 5 Bar Gas Supply System Embedded Controller w. ALPE-1 Firmware ALPE-1 Control Unit Pulse Oximeter Inspired atmospheric air ALPE Respiration Unit Flow Meter O 2 Analyzer Patient 4 HW systems: ALPE-1 Trolley ALPE-1 Controller Unit ALPE Respiration Unit ALPE Notebook PC 2 SW Systems: ALPE-1 Firmware w. Alarm System ALPE Console SW w. Algorithm and Operator Interface Public Mains Power Supply & Isol.Trafo Gas Flow Data/Electrical USB I/F Status Display Function buttons Alarm Beeper Isolated Mains Windows Notebook PC w. ALPE Console SW Operator WLAN SOUP håndtering af Windows XP og Embedded Linux Opdelt på flere processorer Alarmsystem - segregering FPGA og HW-watch-dog Sikker USB kommunikationsprotokol 11.12.2007 / CL ALPE Presentation v.2.1 CONFIDENTIAL 64 Claus Lindholt 32
SW Risk Management Brug vejledninger i anvendelse af EN ISO 14971 (risikostyring) i forbindelse med software til medicinsk udstyr (TIR 32 og IEC TR80002-1) Find alle farer på systemniveau og identificér dem, der kan have SW som grundlæggende årsag Lav en tabel pr. identificeret fare (hazard) og grad af alvorlighed (severity) List alle årsager og kæder af årsager Opstil kontrolmetoder (Methods of Control ikke mitigations) List sporbarhed for kontrolmetoder med krydsreference til system specifikation, design og alle testniveauer 23.11.2010 / Claus Lindholt MITC Masterclass 65 Software as part of the V-model 23.11.2010 / Claus Lindholt MITC Masterclass 66 Claus Lindholt 33
EN62366:2007 Medicinsk udstyr Indbyggelse af anvendelighed i medicinsk udstyr Medical devices Application of usability engineering to medical devices 23.11.2010 / Claus Lindholt MITC Masterclass 67 Categories of user actions 23.11.2010 / Claus Lindholt MITC Masterclass 68 Claus Lindholt 34
EN62366 - Indhold 23.11.2010 / Claus Lindholt MITC Masterclass 69 EN62366 Indhold - annexes 23.11.2010 / Claus Lindholt MITC Masterclass 70 Claus Lindholt 35
Usability conceptual design 23.11.2010 / Claus Lindholt MITC Masterclass 71 Risk Analysis 23.11.2010 / Claus Lindholt MITC Masterclass 72 Claus Lindholt 36