Test von sicherheitsrelevanten Anwendungen für ... · IEC 60601-1 Medical electrical equipment -...

Test von sicherheitsrelevanten

Anwendungen für eingebettete

Systeme

Dr. Martin Beißer

sepp.med gmbh

Martin.beisser@seppmed.de 2

Überblick

■ Was sind sicherheitsrelevante Systeme

■ Welche Normen gelten

■ Was ist zu tun?

■ Risikoabschätzung

■ Anforderungsverfolgung

■ Toolvalidierung

■ Zusammenfassung

Martin.beisser@seppmed.de

Sicherheitsrelevante Systeme

■ Sicherheitsrelevante Systeme:

■ Systeme deren Ausfall unmittelbar zu einer

Gefahrensituation führt

■ Sicherheitsbezogene Systeme:

■ Systeme, die eingesetzt werden, um die Risiken von

sicherheitsrelevanten Systemen zu vermindern

(Safety)

Nicht gemeint ist:

■ Schutz eines Systems vor beabsichtigten und

unerwünschten Angriffen von außen (Security)

Sicherheit (Safety) und Risiko

■ Wann ist ein System sicher ?

■ Ein System ist sicher, wenn es frei von nicht

akzeptablen Risiken ist

■ Was ist ein Risiko?

■ Das Risiko berechnet sich aus der

Wahrscheinlichkeit des Auftretens eines zum

Schaden führenden Ereignisses und dem dabei zu

erwartenden Schaden.

Grundlegende Regularien und Normen

■ ISO 61508 – E/E/EP – Geräte

■ Medizin

■ MPG, FDA

■ ISO 14971 (Risikomanagement)

■ SW Automotiv

■ ISO 26262

■ SW Avionik

■ DO-178C/ED-12C

■ SW Bahn

■ EN 50128

Das ist nicht alles! Beispiel Medizin (1/3)

90/385/EEC Active Implantable Medical Devices

98/97/EC In Vitro Diagnostic Medical Devices

MDD 93/42/EEC Medical Devices Directive

European directive for medical device manufactures

MPG Medizinproduktegesetz

MPV Medizinprodukteverordnung

MPBetreibV Medizinproduktebetreiberverordnung

MPSV Medizinprodukte-Sicherheitsplanverordnung

Medizin: Welche Vorschriften gibt es? (2/3)

ISO 13485 Quality Management System for design and

manufacturing of medical devices

ISO 14971 Risk Management System for medical devices

IEC 62304 Life Cycle Management for medical device software

IEC 62366 Medical devices - Application of usability engineering to

medical devices

IEC 61508 Functional Safety of Electrical/Electronic/Programmable

Electronic Safety-related Systems

IEC 60601-1 Medical electrical equipment - General requirements for

basic safety and essential performance

IEC/TR 80002-1 Guidance on the application of ISO 14971 to medical device

software 7

Medizin: Welche Vorschriften gibt es? (3/3)

FDA 21 CFR 820 Quality System Regulation

FDA 21 CFR 11 Electronic Records and Electronic Signature

Guidances General Principles of Software Validation

Guidance for the Content of Premarket Submissions for

Software Contained in Medical Devices

Process Validation: General Principles and Practices

Part 11, Electronic Records; Electronic Signatures — Scope

and Application

Was ist zu tun?

Folie 10

Grundlegendes zum Risikomanagement

■ je höher die potentielle Gefährdung, ...

■ …desto schärfer die Vorgaben

■ erforderlich für Risikomanagement

■ Ermittlung und Bewertung der Risiken

analytisches, strukturiertes Vorgehen

■ ständige Aktualisierung

Klassifizierung gemäß MPG

Risiko

sehr hoch

mittel

gering

Produkt (Beispiele)

Herzschrittmacher

Herzkatheder

Röntgengeräte

Kondome

Ultraschallgeräte

Zahnfüllungen

Fieberthermometer

Rollstühle

I, I steril, I mit Messfunktion

Risikoklassen in der Medizinbranche

■ Die Risikoklassen werden bestimmt durch:

Zweckbestimmung

– Beispiel: Defibrillator, Infusionspumpen

Schweregrad

Wahrscheinlichkeit des Auftretens

Entdeckungswahrscheinlichkeit (GAMP)

– Beispiel: Dosier-Einheit

Folie 13

Klassifizierung gemäß ISO 26262

Risiko

sehr hoch

mittel

gering

Produkt - Beispiele

Bremsen

Start-Stop

Klimaanlage

Risikoklassen in der Automotiv-Branche

■ Die Risikoklassen werden bestimmt:

■ Schweregrad

■ Wahrscheinlichkeit des Auftretens

■ Kontrollierbarkeit

Folie 15

Folie 16

ISO 26262: 7.4.5.2 Estimation of potential severity

Folie 17

Klassifizierung gemäß ISO 26262 für Bremse

Folie 18

Dauerhafter (>2 Wochen) Ausfall der Stromversorgung

für AKW

Folie 19

SIL nach IEC/EN 61508

Folie 22

SIL nach IEC/EN 61508

Vergleich IEC EN 61508 SIL mit ISO CD 26262 ASIL

Folie 24

Seminar Sommersemester 2009 Automotive Konzepte und Techniken

Prof. Dr. Dieter Z•obel, Universit•at Koblenz-Landau, FB Informatik

Niedrige

Anforderungsrate

Konkrete Empfehlungen

Folie 25

ISO 26262-6: 8.4 Requirements and recommendations

Konkrete Empfehlungen

Folie 26

ISO 26262-6: 8.4 Requirements and recommendations

Was ist zu tun ?

Folie 27

Anforderungsverfolgung auf Testfallebene

Folie 28

Testfalldesign

Tracing

Req.-Tool Entw.-

Umgebung

management

Tracing

Manuelle Verknüpfung der Anforderungen

Testidee Anforderungen

Test Ausführung

Testfälle Tracing

Wartungsaufwand

Folie 29

Anforderungsverfolgung im Test

■ Probleme:

■ Jede Anforderung muss mit N

Testfällen/Testschritten verbunden werden

■ Für automatische Tests muss zusätzlich die

Testspezifikation gepflegt werden

■ Änderungen führen zu massivem Aufwand

Folie 30

Automatische Anforderungsverfolgung?

Autom. Anforderungsverfolgung mit .mzT

Folie 31

Anforderungsverfolgung mit Modellen

waitForVelocityVal

VelocityOK

VelocityTooLow

VelocityTooHigh

ChangedVelocity

InvalidVelocity

changeVelocity( + )changeVelocity( - )

ErrorExit

receiveVelocityVal( 00.95 )

receiveVelocityVal( 00.40 )

receiveVelocityVal( 01,10 )

receiveVelocityVal( -00.50 )

regTimeout

Anforderung im

Modell verknüpfen

Testmodell

automatisch

Testfall

Testfälle mit

Tracing generieren

Test Ausführung

management

Testfälle + Req. im

Testmanag. verknüpfen

Folie 33

Werkzeugkette für Anforderungsverfolgung

Folie 34

Was ist zu tun ?

Folie 35

Branchenübergreifende Forderung

■ IEC 61508-3 Abschnitt 7.4.4.6

■ “For each tool in class T3, evidence shall be available that the tool conforms to its specification or documentation.”

Folie 36

Werkzeugunterstützung

■ ISO 26262-8 Abschnitt 11

■ “The objective of the qualification of software tools is

to provide evidence of software tool suitability for use

when developing a safety-related item or element,

such that confidence can be achieved in the correct

execution of activities and tasks required by ISO

26262.”

Folie 37

Werkzeugvalidierung FDA

21 CFR 820.70 (i) Automated processes

When computers or automated data processing

systems are used as part of production or the quality

system, the manufacturer shall validate computer

software for its intended use according to an

established protocol.

All software changes shall be validated before

approval and issuance.

These validation activities and results shall be

documented.

dokumentierte Werkzeug-Validierung

documented.

Prozessbeschreibung

documented.

Validierungs-Testspezifikation

FDA: 21 CFR 820.70 (i) Automated processes

documented.

Änderungskontrolle und Re-Validierung

documented.

Tool-Validierung – was ist zu tun

■ erst denken, dann handeln (=> Planung aller

Aktivitäten),

■ Ergebnisse permanent überprüfen (=> Reviews,

Tests, Validierung),

■ immer dokumentieren, und – ganz wichtig –

■ alles so festhalten, dass es auch später noch und

durch unbeteiligte Dritte nachvollziehbar ist.

Tipp 1: methodischer Ansatz

Werkzeug-Validierung

■ Workflow-basiert

■ Validierung gemäß dem „intended use“

■ Anforderungen an das Werkzeug werden aus Use

Cases abgeleitet

■ Modell-basiert

■ graphische Beschreibung der Abläufe

■ gleichzeitig Testdesign-Modell für die Validierung

■ Risiko-basiert

■ vertiefte Tests dort, wo Einfluss auf Produktqualität

möglich

Zusammenfassung

Folie 45

Testprozess (Beispiel)

Domänen-spezifische Anforderungen (I)

Test Engineering

■ Werkzeug-unterstützte Traceability

(zum Nachweis der Vollständigkeit)

■ 100% verlässlich

■ gegen Veränderungen geschützt

■ Review und Freigabe der Testfälle

■ mit Unterschriften

Domänen-spezifische Anforderungen (II)

Test Planung

■ Nachweis der Vollständigkeit

■ kein Testfall vergessen

■ Dokumentation der Planung

■ auch für Langzeitarchiv

■ Aussage über Testabdeckung

■ Requirements-Coverage

■ Pfadabdeckung

Domänen-spezifische Anforderungen (III)

Test Durchführung

■ nur freigegebene Testfälle

■ Dokumentation der Ergebnisse

■ inkl. der einzelnen Testschritte

■ mit Unterschrift

■ Nachvollziehbarkeit von Defects

■ keine Änderungen nach Abschluss möglich

Domänen-spezifische Anforderungen (IV)

Test Dokumentation

■ Traceability Matrix

■ alle Anforderungen und Risiken

■ zu Testergebnissen

■ Test Summary Report

■ dokumentiert Testplanung und –ergebnisse

■ verweist auf Defects

■ Langzeitarchivierung

Vielen Dank für Ihre Aufmerksamkeit.

Tel.: +49 (0) 91 95 - 9 31 - 0

Fax: +49 (0) 91 95 - 9 31 - 300

E-Mail: martin.beisser@seppmed.de

Web: www.seppmed.de

Martin.beisser@seppmed.de Folie 52

Testprozess (Beispiel)

Domänen-spezifische Anforderungen (I)

Test Engineering

■ Werkzeug-unterstützte Traceability

(zum Nachweis der Vollständigkeit)

■ 100% verlässlich

■ Review und Freigabe der Testfälle

■ mit Unterschriften

Domänen-spezifische Anforderungen (II)

Test Planung

■ Nachweis der Vollständigkeit

■ kein Testfall vergessen

■ Dokumentation der Planung

■ auch für Langzeitarchiv

■ Aussage über Testabdeckung

■ Requirements-Coverage

■ Pfadabdeckung

Domänen-spezifische Anforderungen (III)

Test Durchführung

■ nur freigegebene Testfälle

■ Dokumentation der Ergebnisse

■ inkl. der einzelnen Testschritte

■ mit Unterschrift

■ Nachvollziehbarkeit von Defects

■ keine Änderungen nach Abschluss möglich

Domänen-spezifische Anforderungen (IV)

Test Dokumentation

■ Traceability Matrix

■ alle Anforderungen und Risiken

■ zu Testergebnissen

■ Test Summary Report

■ dokumentiert Testplanung und –ergebnisse

■ verweist auf Defects

■ Langzeitarchivierung

Domänen-spezifische Anforderungen (V)

21 CFR Part 11

■ FDA Vorgabe zu „Electronic Records, Electronic

Signature“

■ fordert u.a.

■ Schutz elektronischer Daten vor (böswilliger)

Veränderung

Rechtekonzept, Zugriffschutz

■ bewusste, klar gekennzeichnete Unterschrift mit

mindestens zwei Authentifizierungs-Komponenten

Login und Passwort

■ Audit-Trails

Erforderliche Anpassungen im HP QC

■ Audit-Trails / History nicht ausreichend

■ Konfigurations-Management einschalten

■ elektronische Unterschrift nur als Add-On

■ alternativ: Hybridlösung

■ zusätzlicher Schutz von Records via Workflow-

Scripting

■ „Run“ nur für freigegebene Testfälle ermöglichen

■ „Continue“ bei „failed“ Test Runs unterbinden

■ Report-Generierung nach hausinternen Vorlagen

Vielen Dank für Ihre Aufmerksamkeit.

Tel.: +49 (0) 91 95 - 9 31 - 0

Fax: +49 (0) 91 95 - 9 31 - 300

E-Mail: martin.beisser@seppmed.de

Web: www.seppmed.de

Das Dilemma

methodischer Ansatz

Werkzeug-Validerung

■ Validierung gemäß dem „intended use“

■ Anforderungen an das Werkzeug werden aus Use Cases

abgeleitet

■ Modell-basiert

■ graphische Beschreibung der Abläufe

■ gleichzeitig Testdesign-Modell für die Validierung

■ Risiko-basiert

■ vertiefte Tests dort, wo Einfluss auf Produktqualität möglich

Bewährte Vorgehensweise (I)

■ 1. Schritt: Analyse

■ Use Cases und Abläufe erfassen ( modell-basierte

Prozessbeschreibung)

■ Risiko- und Part 11 Compliance-Analyse

■ 2. Schritt: Anforderungen ableiten und dokumentieren

■ 3. Schritt (nur bei Ersteinführung): Werkzeug-

Evaluierung

■ gezielte, dokumentierte Auswahl

■ basierend auf vorab ermittelten Anforderungen

Bewährte Vorgehensweise (II)

■ 4. Schritt: modell-basierte Testfälle spezifizieren

■ Traceability zu Anforderungen und Risiken im Modell

■ 5. Schritt: Testfälle generieren

■ Priorisierung von Pfaden im Modell

■ Review des Modells möglich

■ 6. Schritt: Validierung durchführen und dokumentieren

■ nicht im noch nicht validierten Werkzeug !

Zu theoretisch?

■ Werkzeuge sind nützlich und nötig

■ Anpassungen sind nötig

■ zur Erfüllung der Domänen-spezifischen Prozessanforderungen

■ Werkzeuge müssen validiert werden

■ bei jeder Änderung

■ die empfohlene Vorgehensweise ist

■ Risiko-basiert

■ Modell-basiert

Folie 69

Folie 70

Folie 71

Test von sicherheitsrelevanten Anwendungen für ... · IEC 60601-1 Medical electrical equipment -...

Documents

Transcript of Test von sicherheitsrelevanten Anwendungen für ... · IEC 60601-1 Medical electrical equipment -...

SIST EN 60601-1:2007/A1:2014 - SIST EN 60601-1:2007/A1:2014 · EN 60601-1-3 - IEC 60601-1-6 - Medical electrical equipment - Part 1-6: General requirements for basic safety and essential

IEC 60601-1 Netzwerkisolatoren und elektrische Sicherheit ... · betriebenen Medizingeräte mit einer Netzwerkschnittstelle vor dem Einsatz im Kranken- hausnetzwerk im Rahmen von

Deutsche Akkreditierungsstelle GmbH Anlage zur ... · DIN EN 60601 -2 -19 IEC 60601 -2 -19 - Transport - inkubatoren DIN EN 60601 -2 -20 IEC 60601 -2 -20 Geräte für bildgebende

Art.-Nr.: 360 183 Ver.: c - mbnet.de · EKG-Geräte, welche die Richtlinien IEC 60601-1 erfüllen. EKG-Monitore, die die Richtlinien IEC 60601-1 erfüllen. Das Gerät darf nicht an

CSA Group Bayern GmbH Ohmstraße 1-4; 94342 Straßkirchen · IEC 60601 -2 -25 DIN EN 60601 -2 -27 IEC 60601 -2 -27 - Pulsoximetrie - geräte DIN EN ISO 80601 -2 -61 ISO 80601 -2 -61

Primus inter pares - beam-verlag.de4... · Primus inter pares Die nun seit mehr als 10 Jahren gültige EN/IEC 60601 3. Edition erlaubt gewisse Überschneidungen zwischen Medizin-

asterpiece - Kebomedsections 201.8.8.3 103 and -104 of IEC 60601-2-2:2010-01. For safety information, please observe the instructions for use. Instrumententray (1) ohne Inhalt Instrument

Datensicherheit in Smart -Grids Vorstellung der IEC ...€¦ · IEC 61970 / 61968 Common Information Model (CIM) IEC 62325 Market Communication using CIM IEC 61850 Substation , ...

DEHN prüft und analysiert · nach IEC 60060-1 • Komplette Blitzstromprüfungen von Nieder-spannungsverteilungen nach IEC 62305-1, IEC 62305-4 und IEC 61643-12

Gebrauchsanweisung - Storyblok€¦ · mechanischer Sicherheit und Brandschutz UL 60601-1:2006, CAN/CSA-C22.2 No. 601.1-M90:2005, CAN/CSA-C22.2 No. 60601-1:2008, ANSI/AAMI ES 60601-1:2005.

Damit Sie ungestört Ihre Ziele erreichen · der Normenreihe IEC 60601-2-X, AIM 7351731 . 4 Störungsfrei zur Markteinführung: Durch erfahrene Teams und perfekte Ausstattung Als

KM C224e-20170928101038 · 2020-01-13 · IEC 61010-2-040 besonderen Festlegungen Prüfung der Einhaltung der allgemeinen und besonderen Festlegungen DIN EN 60601-2-66 IEC 60601-2-66

Zentralstelle der Länder für Gesundheitsschutz bei ...€¦ · für Diagnose und Überwachung DIN EN 60601-2-37 IEC 60601-2-37 Geräte zur Überwa-chung Prüfung der Einhaltung

Leistungsstark, effizient, unabhängig - · PDF fileStromwandler IEC 60044-1 Isolatoren IEC 61109/60383/60168 Umweltprüfungen IEC 60068 Isolierte Durchführungen >1 kV IEC 60137

Gebrauchsanweisung - Wegmann Dental€¦ · mechanischer Sicherheit und Brandschutz UL 60601-1:2006, CAN/CSA-C22.2 No.601.1-M90:2005, CAN/CSA-C22.2 No. 60601-1:2008, ANSI/AAMI ES

PRIVATANWENDER DATENZENTREN & INDUSTRIELLE … · Eingang 1 IEC C14 (10A) Steckdose 1 IEC C20 (16 A) Steckd. Ausgänge 4 IEC C13 (10A) Steckdosen 8 IEC C13 (10A) Steckdosen 8 IEC

Gleichstromnetzgeräte...: IEC 6232142013+A1:2017 &IEC 62321-5:2013 & IEC IEC 62321-7-2:2017 & IEC 62321-6:2015 & IEC 62321-8:2017 CP2002013R01 This certificate of conformity is based

Primara Test- und Zertifizier-GmbH Gewerbestraße 28, 87600 ... · der wesentlichen Leistungsmerkmale von Elektrokardiographie- Überwachungsgeräten (IEC 60601-2-27:2005); Deutsche

SLG Prüf- und Zertifizierungs GmbH · DIN EN 60601-1 60601-1 DIN EN Prüfungsart Prüfung Prüfung auf therein. stimmung Bauelemente und ME. Systeme Prüfgebiet Sicherheits. prüfungen

IEC 61439 Bauartnachweis - Home - English - Siemens … · IEC 61439 Architektur Ersetzte Normen IEC 61439-1 Allgemeine Festlegungen Ersetzt IEC 60 439-1 IEC 61439-2 IEC 61 439-3