Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Etude sur la sécurité des logiciels médicaux Réalisée par Serma Ingenierie à la

Etude sur la sécurité des logiciels médicaux Réalisée par Serma Ingenierie à la demande de l’ANSM Juillet 2016 Rapport final - Etude sur la sécurité des logiciels médicaux Référence Edition Date Page : SYS0000990_ANSM_Rapport_final_FR : 3.00 : 17/12/2015 : 3/80 TABLE DES MATIERES RESUME ........................................................................................................................................ 5 1. PRESENTATION DE L’ANSM............................................................................................... 7 2. OBJET DU DOCUMENT ....................................................................................................... 8 2.1. Introduction ................................................................................................................... 8 2.2. Documents de référence .............................................................................................. 9 2.3. Liste des abréviations ................................................................................................. 10 2.4. Terminologie ............................................................................................................... 11 3. PRESENTATION GENERALE DE L’ETUDE ...................................................................... 13 3.1. Démarche ................................................................................................................... 13 3.1.1. Phase 1 : Etat des lieux ................................................................................... 13 3.1.2. Phase 2 : Proposition de recommandations pour les fabricants ...................... 14 3.1.3. Phase 3 : Axes d’améliorations réglementaires et normatives ......................... 14 4. SYNTHESE DE L’ETUDE ................................................................................................... 18 4.1. Synthèse des recommandations aux fabricants de Logiciels ...................................... 18 4.2. Synthèse des propositions d’améliorations normatives ............................................... 18 4.2.1. Amélioration [NF EN 62304] et [ISO 14971] .................................................... 19 4.2.1.1.Catégorie Processus - [NF EN 62304]................................................. 19 4.2.1.2.Catégorie Technique de Développement - [NF EN 62304] .................. 20 4.2.1.3.Catégorie Safety & Security - [NF EN 62304] ET [ISO 14971] ............ 21 4.2.2. Amélioration Aptitude à l’Utilisation [NF EN 62366] ......................................... 24 4.2.3. Amélioration versus innovation ........................................................................ 24 4.2.3.1.Utilisation des Logiciels multi-application ............................................. 25 4.2.3.2.Utilisation de SOUP/COTS .................................................................. 25 4.2.3.3.Intégration des notions de Security ..................................................... 25 5. DETAIL DES RECOMMANDATIONS ET AXES D’AMELIORATIONS ................................ 27 5.1. Cadre de l’analyse ...................................................................................................... 27 5.2. Recommandations pour les fabricants ........................................................................ 29 5.2.1. Base de données ............................................................................................ 29 5.2.2. Vérification spécification / conception architecturale........................................ 30 5.2.3. Analyse d’impact d’une modification ................................................................ 31 5.2.4. Gestion et suivi des risques............................................................................. 32 5.2.5. Synthèse des recommandations ..................................................................... 34 5.3. Axes d’amélioration pour la norme [NF EN 62304] ..................................................... 35 5.3.1. Axe d’amélioration lié aux Processus .............................................................. 35 5.3.1.1.Introduction aux Processus du cycle de vie ......................................... 35 5.3.1.2.Précisions sur le cycle de vie ............................................................... 36 5.3.1.3.Organisation ........................................................................................ 36 5.3.1.3.1. Structure organisationnelle ..................................................... 36 5.3.1.3.2. Evaluation / Certification......................................................... 37 5.3.1.4.Méthodes ............................................................................................ 39 5.3.1.4.1. Traçabilité globale .................................................................. 39 5.3.1.5.Documentation .................................................................................... 40 5.3.1.5.1. Documents à produire ............................................................ 40 5.3.1.5.2. Contraintes de performance et d’environnement .................... 41 5.3.1.5.3. Installation .............................................................................. 42 5.3.1.5.4. Conception détaillée ............................................................... 43 Rapport final - Etude sur la sécurité des logiciels médicaux Référence Edition Date Page : SYS0000990_ANSM_Rapport_final_FR : 3.00 : 17/12/2015 : 4/80 5.3.1.6.Maintenance ........................................................................................ 44 5.3.2. Axe d’amélioration lié aux Techniques de développement .............................. 45 5.3.2.1.Techniques de développement générales ........................................... 45 5.3.2.2.Contraintes architecturales .................................................................. 46 5.3.2.3.Contraintes d’implémentation et vérifications UL ................................. 48 5.3.2.4.Technique de Tests ............................................................................. 49 5.3.2.4.1. Techniques de Tests générales ............................................. 49 5.3.2.4.2. Activités de Tests Unitaires .................................................... 50 5.3.2.5.Interface, intégration Hardware / Software .......................................... 52 5.3.2.6.Outils & SOUP ..................................................................................... 53 5.3.2.6.1. Qualification des outils ........................................................... 53 5.3.2.6.2. Regroupement exigences SOUP ........................................... 55 5.3.2.7.Paramétrage - Logiciels configurés par données d’application ............ 56 5.3.3. Axe d’amélioration lié aux Stratégies Safety & Security ................................... 58 5.3.3.1.Partie Sécurité (Safety) ....................................................................... 58 5.3.3.1.1. Stratégie Sécurité (Safety) ..................................................... 58 5.3.3.1.2. Protection Sécurité (Safety) ................................................... 58 5.3.3.2.Partie Sûreté (Security) ....................................................................... 59 5.3.3.2.1. Introduction de la notion de Sûreté (Security) ........................ 59 5.3.3.2.2. Stratégie Sûreté (Security) ..................................................... 60 5.3.3.2.3. Protection Sûreté (Security) ................................................... 62 5.3.4. Synthèse des améliorations [NF EN 62304] .................................................... 64 5.4. Axes d’amélioration pour la norme [NF EN 62366] ..................................................... 65 5.4.1. Interface Utilisateur ......................................................................................... 65 5.4.2. Notice d’Utilisation ........................................................................................... 66 5.4.3. Formation des Utilisateurs ............................................................................... 67 5.4.4. Synthèse des améliorations [NF EN 62366] .................................................... 69 5.5. Axes d’amélioration pour la norme [ISO 14971] .......................................................... 70 5.5.1. Introduction ..................................................................................................... 70 5.5.2. Sûreté du Logiciel (Security) ........................................................................... 71 5.5.3. Synthèse des améliorations [ISO 14971] ........................................................ 71 6. ANNEXE 1 - PRESENTATION DES NORMES RETENUES POUR LA PHASE 3 ............... 72 6.1. EN 50128 ................................................................................................................... 72 6.2. ISO 26262- Partie 6 .................................................................................................... 74 6.3. CEI 60880 .................................................................................................................. 76 7. ANNEXE 2 - DEFINITION DES CRITERES ET NOTES ...................................................... 78 7.1. Critères ....................................................................................................................... 78 7.2. Note ............................................................................................................................ 80 Rapport final - Etude sur la sécurité des logiciels médicaux Référence Edition Date Page : SYS0000990_ANSM_Rapport_final_FR : 3.00 : 17/12/2015 : 5/80 RESUME Afin de répondre à l’importance prise par le Logiciel dans les applications médicales, l’ANSM a souhaité lancer une étude sur la sécurité des Logiciels. Cette étude réalisée entre août 2014 et novembre 2015 par la société SERMA INGENIERIE a pour principaux objectifs : - de compléter les réflexions sur la sécurité des Logiciels au niveau normatif, - de mesurer la pertinence et la suffisance de l’environnement normatif pour le développement Logiciel, - d’apporter des recommandations sur l’application des normes aux fabricants de Logiciels. La démarche d’analyse retenue pour cette étude a comporté 3 grandes phases et s’est appuyée sur : - les incidents issus des vigilances (matériovigilance, réactovigilance, pharmacovigilance), - les référentiels existants du domaine médical, - l’état de l’art normatif d’autres domaines, - les retours d’expérience SERMA INGENIERIE et ANSM, - les innovations dans le domaine médical. Les principales recommandations à l'attention des fabricants de Logiciels de DM (Phase 2) détaillées dans ce rapport ont porté sur : - Les bases de données - La vérification des Spécification / Conception Architecturale - L’analyse d’impact d’une modification - La gestion et suivi des risques Des propositions d’amélioration au niveau normatif (Phase 3) ont également été formulées. Celles-ci se sont focalisées sur les normes existantes (NF EN 62304, NF EN 62366, ISO 14971). Ces propositions d’amélioration sont de 2 natures : - Des compléments aux exigences des normes actuelles - La création de nouvelles exigences Rapport final - Etude sur la sécurité des logiciels médicaux Référence Edition Date Page : SYS0000990_ANSM_Rapport_final_FR : 3.00 : 17/12/2015 : 6/80 Les principales améliorations proposées portent :  Pour la norme NF EN 62304 (Logiciels de dispositifs médicaux – Processus du cycle de vie du Logiciel), sur : - La structure organisationnelle, l’indépendance des équipes et les compétences des intervenants - La définition du processus et de la stratégie d’Evaluation - Les précisions à apporter dans l’activité de conception détaillée (Unités Logicielles) - L’ajout d’exigences sur les interfaces du Logiciel et son intégration - L’ajout d’exigences pour les Logiciels configurés par données d’application - La définition de contraintes architecturales - L’apport de techniques présentées sous forme de tableau - La définition de règles de programmation et des vérifications du code associées - La présentation de techniques de tests - La clarification liée à la réalisation des activités de tests unitaires - L’ajout de la qualification des outils - La définition de la stratégie concernant la Sûreté du Logiciel - La définition des techniques concernant la Sûreté du Logiciel L’amélioration de la couverture1 de la norme pour cette norme peut être symbolisée par les graphes ci-après :  Pour la norme NF EN 62366 (Application de l'ingénierie de l'aptitude à l'utilisation aux dispositifs médicaux), sur : - L’amélioration des exigences relatives à la formation pour les utilisateurs - L’apport de précisions sur le contenu de la notice d’utilisation  Pour la norme ISO 14971 (Application de la gestion des risques aux dispositifs médicaux), sur : - L’ajout des activités de Sûreté (Security) dans la Gestion de Risques L’ensemble des recommandations et améliorations formulées dans ce rapport ont été établies afin d’apporter une meilleure maîtrise de la sécurité des Logiciels médicaux. Elles considèrent également l’impact des innovations futures dans ce domaine. 1 Pour les critères et notes présents sur le diagramme en radar, se reporter à l’annexe 2 de ce rapport Processus Techniques de développement Safety et Security Rapport final - Etude sur la sécurité des logiciels médicaux Référence Edition Date Page : SYS0000990_ANSM_Rapport_final_FR : 3.00 : 17/12/2015 : 7/80 1.PRESENTATION DE L’ANSM L’Agence nationale de sécurité du médicament et des produits de santé (ANSM), créée par la loi du 29 décembre 2011 relative au renforcement de la sécurité sanitaire du médicament et des produits de santé, a été mise en place le 1er mai 2012. Elle est chargée d’évaluer les bénéfices et les risques liés à l’utilisation des produits de santé tout au long de leur cycle de vie. Au sein de l’ANSM, la direction des Dispositifs Médicaux de Diagnostics et des Plateaux Techniques (DMDPT) est en charge des dispositifs médicaux de diagnostic, de radiothérapie, des Logiciels, ainsi que des plateaux techniques (dispositifs d’anesthésie réanimation, de suppléance fonctionnelle, de bloc opératoire). Outre son intervention sur l’évaluation des bénéfices et des risques liés à l’utilisation des produits de santé entrant dans son champ de compétence, la DMDPT assure également la veille scientifique et technique ainsi que la production de l’information scientifique. Elle participe également aux activités européennes et internationales en accord avec les axes stratégiques de l’Agence et se fait le porte-parole de l’Agence, en lien avec la direction de la communication, sur l’information à apporter sur ces sujets. Rapport final - Etude sur la sécurité des logiciels médicaux Référence Edition Date Page : SYS0000990_ANSM_Rapport_final_FR : 3.00 : 17/12/2015 : 8/80 2.OBJET DU DOCUMENT 2.1. INTRODUCTION Ce document constitue le rapport final de l’étude réalisée par SERMA INGENIERIE sur la sécurité des Logiciels médicaux (marché ANSM n°2014C029 du 04/08/2014) entre Août 2014 et Novembre 2015. Afin de répondre à l’importance prise par le Logiciel dans uploads/Management/ rapport-logiciels-juillet-2016-serma-ansm.pdf