Los nuevos reglamentos europeos MDR (2017/745) y IVDR (7017/746) se apoyan en una serie de normas armonizadas.
En este artículo profundizaremos sobre las normas armonizadas para la obtención del marcado CE de nuestro producto sanitario o in vitro de tipo software.
En el siguiente esquema se muestra un resumen de las normativas que aplican a los dispositivos médicos e in vitro que incluyen software:
La normativa del sistema de gestión de calidad de los dispositivos médicos es la ISO 13485, la norma de gestión de calidad que debe cumplir una empresa para poder obtener el marcado CE de su producto sanitario software.
La norma inmediatamente por debajo y que hace referencia la 13485 es la norma de gestión de riesgos ISO 14971. La gestión de riesgos es fundamental para poder realizar las labores de diseño y desarrollo, y para así luego hacer una buena validación del producto.
Bajo el marco de calidad de la ISO13485 y siguiendo la ISO14971 para la gestión de riesgos de nuestro producto, nos encontramos con la normativa IEC 62304, clave para el diseño, desarrollo, validación, verificación y mantenimiento del software, es decir, trata sobre todo el ciclo de vida del software. Otra normativa de aplicación que ya existía en las directivas europeas anteriores era la norma de usabilidad IEC 62366-1. Aplicar esta normativa ayuda a especificar unos requisitos de interfaz de usuario que aseguran que los riesgos asociados a la usabilidad de los dispositivos médicos de tipo software están mitigados.
Por otro lado y como novedad se encuentra la normativa EN 82304-1 aplicable a software autónomos.
Y la mayor novedad en este nuevo reglamento son la incorporación de normas armonizadas referentes a ciberseguridad. La normativa IEC 81001-5-1 define el ciclo de vida de desarrollo del software seguro, es decir, añade actividades de diseño, implementación, verificación y validación para asegurar que el software se diseña protegiéndolo de ataques de ciberseguridad. Esta normativa se complementa con el technical report IEC TR 60601-4-5 proporcionando los requisitos de seguridad que debe cumplir el producto software.
IEC 62304: Proceso del ciclo de vida del software
Esta normativa ya aparecía entre las normas armonizadas en las antiguas directivas europeas.
Se trata de un estándar de seguridad funcional que cubre tanto el diseño como el mantenimiento seguros de software de dispositivos médicos. Proporciona procesos, actividades y tareas para garantizar la seguridad.
¿Cuándo?
- El software es en sí mismo un dispositivo médico
- El software es una parte integrada del dispositivo médico final
En la siguiente imagen se pueden observar todas las actividades que cubre esta normativa:
Las actividades en esta normativa se dividen en función del riesgo del producto. La 62304 tiene la siguiente clasificación:
- A: No es posible lesión o daño para la salud
- B: Es posible lesión no-seria
- C: Es posible muerte o lesión seria
Actividades durante el desarrollo del software
A continuación nos centramos en las actividades del desarrollo del software en sí.
En la siguiente tabla se resumen las actividades que se realizan en función del riesgo del dispositivo médico:
En la siguiente imagen se resumen las actividades de desarrollo y validación software recogidas en el modelo en V:
Se puede observar que para un nivel de riesgo bajo las actividades a realizar son bastante menores a las clases superiores. También existen diferencias entre las clases de riesgo B y C dentro de cada capítulo de la norma.
EN 62366-1: Aplicación de la ingeniería de usabilidad a los productos sanitarios
Esta normativa también es de las que ya estaba entre las normas armonizadas en las directivas antiguas.
- Especifica un proceso para que un fabricante analice, especifique, desarrolle y evalúe la usabilidad de un dispositivo médico en lo que respecta a la seguridad.
- Este proceso de ingeniería de usabilidad permite al fabricante evaluar y mitigar los riesgos asociados con el uso correcto y los errores de uso, es decir, uso normal.
- Se puede utilizar para identificar riesgos, pero no evalúa ni mitiga los riesgos asociados con el uso anormal.
- Este proceso se realiza en paralelo al proceso de gestión de riesgos.
Un resumen del alcance de esta normativa se presenta en la siguiente imagen:
Como se puede observar, el alcance de la normativa de usabilidad 62366-1 se refiere al uso normal de nuestro dispositivo médico software.
El resumen de actividades a realizar son las siguientes:
- Plan de ingeniería de usabilidad
- Datos de entrada de usabilidad
- Preparación especificación de uso
- Análisis
- Diseño y evaluación formativa
- Evaluación sumativa
EN 82304-1: Software sanitario. Parte 1: requisitos generales para la seguridad de los productos
La siguiente normativa que recogemos en este artículo por aparecer como norma armonizada para la obtención del marcado CE en productos sanitarios aplica a la seguridad y protección de los productos de software de salud (la definición de producto software de salud incluye a los dispositivos médicos) diseñados para operar en plataformas informáticas generales y destinados a comercializarse sin hardware dedicado, y su enfoque principal está en los requisitos para los fabricantes. Cubre todo el ciclo de vida, incluido el diseño, desarrollo, validación, instalación, mantenimiento y eliminación de productos de software de salud.
Ejemplos de dispositivos médicos a los que le aplicaría esta normativa:
- Aplicaciones móviles
- Aplicaciones de PCs estándar
- Aplicaciones de servidor
En la siguiente imagen se recogen las actividades adicionales que se añaden a la normativa 62304 vista en apartados anteriores:
IEC 81001-5-1: Seguridad y eficacia del software sanitario y de los sistemas de tecnología de la información sanitarios. Parte 5-1: Seguridad. Actividades en el ciclo de vida del producto
La siguiente normativa es una de las dos normas armonizadas que tratan sobre ciberseguridad en dispositivos médicos software.
La normativa IEC 81001-5-1 define los requisitos del ciclo de vida para el desarrollo y mantenimiento de software de salud necesarios para respaldar la conformidad con IEC 62443-4-1, teniendo en cuenta las necesidades específicas de software de salud.
El conjunto de procesos, actividades y tareas establece un marco común para los procesos del ciclo de vida del software de salud seguros. El objetivo es aumentar la ciberseguridad del software sanitario estableciendo determinadas actividades y tareas en los procesos del ciclo de vida del software sanitario y también aumentando la seguridad de los procesos del ciclo de vida del software propiamente dicho.
IEC TR 60601-4-5: Medical electrical equipment – Part 4-5: Guidance and interpretation – Safety-related technical security specifications.
Y para terminar, hablaremos sobre el informe técnico 60601-4-5, el cual, proporciona especificaciones técnicas detalladas para las funciones de seguridad de dispositivos médicos utilizados en redes IT médicas.
Los dispositivos médicos tratados en este documento incluyen:
- equipos médicos eléctricos,
- sistemas médicos eléctricos y
- software de dispositivos médicos
Nota: Los dispositivos médicos software, aunque no están dentro del alcance de IEC 60601 (todas los capítulos de esta normativa), también puede hacer uso de este documento.
Este informe técnico está basado en los siete requisitos básicos descritos en IEC TS 62443-1-1:2009 y proporciona especificaciones para diferentes niveles de seguridad de capacidad de dispositivos médicos.
Las capacidades de seguridad especificadas pueden ser utilizadas para integrar el dispositivo correctamente en zonas de seguridad definidas y conductos de una red IT médica con un nivel de seguridad objetivo de red IT médica adecuado.
Es aplicable a dispositivos médicos con interfaces de datos externos utilizados para capturar datos confidenciales.
Este informe técnico no aporta nuevas actividades de validación y verificación. Sí aporta los requisitos de seguridad que debe tener nuestro dispositivo médico software. Las actividades asociadas a estos requisitos se definieron en la normativa 81001-5-1.
Referencias
