ISO/IEC 62304Calidad de Software en

Industria Médica

Universidad Autónoma de QuerétaroUniversidad Autónoma de Querétaro

Facultad de Informática

Noviembre 2010

Luis Ricardo Corral

Certified Software Quality Engineer

The American Society for Quality

Actualidad de los Sistemas MédicosActualidad de los Sistemas Médicos

�� Innovaciones en la tecnología de los Innovaciones en la tecnología de los sistemas médicos.sistemas médicos.�� Dispositivos médicos en red.Dispositivos médicos en red.

�� Dispositivos médicos Plug and Play.Dispositivos médicos Plug and Play.

Estandarización de Interfaces HW/SW.Estandarización de Interfaces HW/SW.�� Estandarización de Interfaces HW/SW.Estandarización de Interfaces HW/SW.

�� Manejo remoto de padecimientos crónicos.Manejo remoto de padecimientos crónicos.

�� Software COTS de aplicación médica.Software COTS de aplicación médica.

�� Seguridad electrónica / Privacidad.Seguridad electrónica / Privacidad.

�� Manejo electrónico de registros de pacientes.Manejo electrónico de registros de pacientes.

�� Nuevas responsabilidades en el Software de Nuevas responsabilidades en el Software de aplicación médica atraen nuevos riesgos.aplicación médica atraen nuevos riesgos.

Nuevos riesgosNuevos riesgos

�� Producción de software a mayor escala.Producción de software a mayor escala.

�� Adaptación de sistemas heredados.Adaptación de sistemas heredados.

�� Software subSoftware sub--contratado.contratado.�� Software subSoftware sub--contratado.contratado.

�� Software comercial de propósito general.Software comercial de propósito general.

�� Nuevas tecnologías en sensores.Nuevas tecnologías en sensores.

�� Comunicaciones inalámbricas.Comunicaciones inalámbricas.

�� Internet.Internet.

¿Qué es software médico?¿Qué es software médico?

�� Componente o sistema de software que se Componente o sistema de software que se utiliza sólo o en combinación con equipo utiliza sólo o en combinación con equipo médico, cuyo objetivo es ser utilizado médico, cuyo objetivo es ser utilizado específicamente para lectura, exploración, específicamente para lectura, exploración, específicamente para lectura, exploración, específicamente para lectura, exploración, diagnóstico o propósitos terapéuticos.diagnóstico o propósitos terapéuticos.

“Software para el diagnóstico, “Software para el diagnóstico, monitoreo, tratamiento o alivio monitoreo, tratamiento o alivio

de padecimientos”de padecimientos”

¿Cuando el software es médico?¿Cuando el software es médico?

�� Software cuyo propósito es ser utilizado Software cuyo propósito es ser utilizado por médicos o pacientes para el por médicos o pacientes para el diagnóstico o tratamiento de enfermedades diagnóstico o tratamiento de enfermedades y padecimientos físicos o mentales. y padecimientos físicos o mentales. y padecimientos físicos o mentales. y padecimientos físicos o mentales.

�� Ejemplo: Ejemplo:

�� Sistemas expertos para sugerir un tratamiento Sistemas expertos para sugerir un tratamiento farmacológico a partir de una condición farmacológico a partir de una condición patológicopatológico--fisiológica.fisiológica.

¿Cuando el software es médico?¿Cuando el software es médico?

�� Software cuyo propósito es controlar o Software cuyo propósito es controlar o influenciar el funcionamiento de un influenciar el funcionamiento de un equipo de hardware de aplicación médica. equipo de hardware de aplicación médica.

�� Ejemplo: Ejemplo: �� Ejemplo: Ejemplo:

�� Software utilizado para programar y controlar Software utilizado para programar y controlar el funcionamiento de un marcapasos.el funcionamiento de un marcapasos.

¿Cuando el software es médico?¿Cuando el software es médico?

�� Software cuyo propósito es el análisis de Software cuyo propósito es el análisis de datos arrojados por pacientes a partir de datos arrojados por pacientes a partir de la utilización de dispositivos médicos para la utilización de dispositivos médicos para diagnóstico o monitoreo.diagnóstico o monitoreo.diagnóstico o monitoreo.diagnóstico o monitoreo.

�� Ejemplo: Ejemplo:

�� Software utilizado para el procesamiento Software utilizado para el procesamiento digital de imágenes obtenidas por digital de imágenes obtenidas por instrumentos radiológicos.instrumentos radiológicos.

¿Cuando el software no es médico?¿Cuando el software no es médico?

■■ Software de propósito general utilizado en Software de propósito general utilizado en un entorno de cuidado de la salud pero no un entorno de cuidado de la salud pero no asociado a una aplicación o dispositivo asociado a una aplicación o dispositivo médico.médico.médico.médico.

�� EjemploEjemplo

�� El Firmware de un ventilador de quirófano.El Firmware de un ventilador de quirófano.

�� Una base de datos para el control Una base de datos para el control administrativo de entradas y salidas de administrativo de entradas y salidas de pacientes de un hospital.pacientes de un hospital.

Importancia de la calidad en Importancia de la calidad en aplicaciones médicasaplicaciones médicas

�� Para aquellos dispositivos o instrumentos Para aquellos dispositivos o instrumentos médicos que incorporen software, o bien, aquél médicos que incorporen software, o bien, aquél software que en sí mismo es una aplicación software que en sí mismo es una aplicación médica, el software deberá ser validado de médica, el software deberá ser validado de acuerdo con las más altas prácticas de calidad, acuerdo con las más altas prácticas de calidad, acuerdo con las más altas prácticas de calidad, acuerdo con las más altas prácticas de calidad, tomando en cuenta principios de:tomando en cuenta principios de:

�� Proceso de ciclo de vida del software. Proceso de ciclo de vida del software.

�� Manejo de riesgos.Manejo de riesgos.

�� Validación y verificación.Validación y verificación.

Riesgos potenciales en el Riesgos potenciales en el software médicosoftware médico

�� Pérdida de datos críticos.Pérdida de datos críticos.

�� Corrupción de datos.Corrupción de datos.

�� Temporizadores inadecuados.Temporizadores inadecuados.

�� Envío y recepción de datos inesperados.Envío y recepción de datos inesperados.

�� Ejecución de operaciones inadecuadas.Ejecución de operaciones inadecuadas.

�� Análisis e interpretación errónea de datos.Análisis e interpretación errónea de datos.

�� Acceso no autorizado a datos.Acceso no autorizado a datos.

Estándares internacionales para Estándares internacionales para equipo médicoequipo médico

�� ISO 13485ISO 13485 Sistema de gestión de la calidadSistema de gestión de la calidad

�� ISO 11737ISO 11737 EsterilizaciónEsterilización

�� ISO 10993ISO 10993 Evaluación biológicaEvaluación biológica

�� ISO 14971ISO 14971 Manejo de riesgosManejo de riesgos

�� ISO 14155ISO 14155 Investigaciones clínicasInvestigaciones clínicas

�� ISO 11607ISO 11607 Empaque para equipo médico esterilizado.Empaque para equipo médico esterilizado.

�� ISO 62304ISO 62304 Software de equipo médicoSoftware de equipo médico

�� ISO 15223 ISO 15223 Simbología y etiquetadoSimbología y etiquetado

�� ISO 14708ISO 14708 Implantes para cirugíaImplantes para cirugía

�� ISO 25539ISO 25539 Implantes cardiovascularesImplantes cardiovasculares

Esta lista no es exhaustivaEsta lista no es exhaustiva

ISO/IEC 62304ISO/IEC 62304

�� IEC 62304 IEC 62304 –– “Medical Device Software “Medical Device Software --Software Life Cycle Processes”Software Life Cycle Processes”

Define los requerimientos de ciclo de vida Define los requerimientos de ciclo de vida �� Define los requerimientos de ciclo de vida Define los requerimientos de ciclo de vida de software para ser usado en de software para ser usado en aplicaciones médicas.aplicaciones médicas.

ISO/IEC 62304ISO/IEC 62304

�� Define el conjunto de procesos, Define el conjunto de procesos, actividades y tareas descritas en este actividades y tareas descritas en este estándar establece un marco de trabajo estándar establece un marco de trabajo común para el desarrollo de software común para el desarrollo de software común para el desarrollo de software común para el desarrollo de software para ser implementado en aplicaciones y para ser implementado en aplicaciones y dispositivos médicos. dispositivos médicos.

ISO/IEC 62304ISO/IEC 62304

�� Es aplicable para el desarrollo y Es aplicable para el desarrollo y mantenimiento de:mantenimiento de:

�� Software que participa en la operación de Software que participa en la operación de dispositivos médicos.dispositivos médicos.dispositivos médicos.dispositivos médicos.

�� Software que es en sí mismo un dispositivo Software que es en sí mismo un dispositivo médico.médico.

�� Software que es parte embebida o integral Software que es parte embebida o integral de un dispositivo médico de mayor alcance.de un dispositivo médico de mayor alcance.

ISO/IEC 62304ISO/IEC 62304

�� Este estándar no cubre la validación y Este estándar no cubre la validación y entrega final del dispositivo médico, aún entrega final del dispositivo médico, aún cuando dicho dispositivo consiste cuando dicho dispositivo consiste exclusivamente de software.exclusivamente de software.exclusivamente de software.exclusivamente de software.

�� Ha sido incluido como un apéndice o Ha sido incluido como un apéndice o anexo al final del estándar (Actividades anexo al final del estándar (Actividades de validación y verificación).de validación y verificación).

ISO/IEC 62304 ISO/IEC 62304 ¿Qué encontrar aquí?¿Qué encontrar aquí?

�� Un marco de trabajo enfocado a Un marco de trabajo enfocado a procesos, actividades y tareas.procesos, actividades y tareas.

�� Identifica requerimientos de lo que Identifica requerimientos de lo que �� Identifica requerimientos de lo que Identifica requerimientos de lo que necesita hacerse y documentarse en el necesita hacerse y documentarse en el ciclo de desarrollo de software.ciclo de desarrollo de software.

�� Especifica una clasificación de seguridad Especifica una clasificación de seguridad en el software.en el software.

ISO/IEC 62304 ISO/IEC 62304 ¿Qué no encontrar aquí?¿Qué no encontrar aquí?

�� No prescribe cómo lograr los No prescribe cómo lograr los requerimientos especificados.requerimientos especificados.

�� No requiere el uso específico del un No requiere el uso específico del un �� No requiere el uso específico del un No requiere el uso específico del un modelo de ciclo de vida de software, sólo modelo de ciclo de vida de software, sólo el cumplimiento de uno.el cumplimiento de uno.

�� No especifica los documentos que deben No especifica los documentos que deben ser generados en cada fase.ser generados en cada fase.

ISO/IEC 62304 ISO/IEC 62304 Conceptos claveConceptos clave

�� Es requisito previo contar con la Es requisito previo contar con la implementación de los procesos implementación de los procesos prescritos por un sistema de gestión de prescritos por un sistema de gestión de la calidad y de un sistema de manejo de la calidad y de un sistema de manejo de la calidad y de un sistema de manejo de la calidad y de un sistema de manejo de riesgos.riesgos.

�� ISO 13485ISO 13485 Sistema de gestión de la calidadSistema de gestión de la calidad

�� ISO 14971ISO 14971 Manejo de riesgosManejo de riesgos

ISO/IEC 62304 ISO/IEC 62304 Clasificación de seguridad en el softwareClasificación de seguridad en el software

�� El nivel de seguridad del software se asigna de El nivel de seguridad del software se asigna de acuerdo con la severidad de una potencial acuerdo con la severidad de una potencial falla en el software.falla en el software.

�� Los requerimientos que deben ser satisfechos Los requerimientos que deben ser satisfechos �� Los requerimientos que deben ser satisfechos Los requerimientos que deben ser satisfechos por cada proceso y actividad del ciclo de vida por cada proceso y actividad del ciclo de vida de software se definen con base en el nivel de de software se definen con base en el nivel de seguridad del software.seguridad del software.

�� La clasificación de seguridad de software La clasificación de seguridad de software hereda la definición incluida en ISO 14971 hereda la definición incluida en ISO 14971 dentro del proceso de manejo de riesgo.dentro del proceso de manejo de riesgo.

ISO/IEC 62304 ISO/IEC 62304 Clasificación de seguridad en el softwareClasificación de seguridad en el software

�� Tres clasificaciones de seguridad de Tres clasificaciones de seguridad de softwaresoftware

��A:A: La falla en el software no puede causar La falla en el software no puede causar daño o lesión alguna.daño o lesión alguna.daño o lesión alguna.daño o lesión alguna.

��B:B: La falla en el software puede causar un La falla en el software puede causar un daño o lesión menor.daño o lesión menor.

��C:C: La falla en el software puede causar La falla en el software puede causar daño o lesión grave o incluso la muerte.daño o lesión grave o incluso la muerte.

ISO/IEC 62304 ISO/IEC 62304 Clasificación de seguridad en el softwareClasificación de seguridad en el software

�� Los sistemas de software pueden ser Los sistemas de software pueden ser divididos para que pueda asignarse a cada divididos para que pueda asignarse a cada una de las partes una diferente clasificación una de las partes una diferente clasificación de seguridad en el software. de seguridad en el software. de seguridad en el software. de seguridad en el software.

�� La clasificación de seguridad en el software La clasificación de seguridad en el software se documenta como parte del requerimiento se documenta como parte del requerimiento prescrito por el proceso de manejo de prescrito por el proceso de manejo de riesgo.riesgo.

ISO/IEC 62304 ISO/IEC 62304 Los procesos de ciclo de vidaLos procesos de ciclo de vida

�� Proceso de desarrollo de softwareProceso de desarrollo de software

�� Proceso de mantenimiento de softwareProceso de mantenimiento de software

�� Proceso de manejo de riesgo de softwareProceso de manejo de riesgo de software�� Proceso de manejo de riesgo de softwareProceso de manejo de riesgo de software

�� Proceso de administración de la Proceso de administración de la configuración del softwareconfiguración del software

�� Proceso de resolución de problemas de Proceso de resolución de problemas de softwaresoftware

Proceso de desarrollo de Proceso de desarrollo de softwaresoftware

�� Proceso relacionado con el análisis e Proceso relacionado con el análisis e implementación de los requerimientos, implementación de los requerimientos, especificaciones de diseño, generación de especificaciones de diseño, generación de especificaciones de diseño, generación de especificaciones de diseño, generación de código fuente, construcción y código fuente, construcción y construcción de código ejecutable.construcción de código ejecutable.

Proceso de mantenimiento de Proceso de mantenimiento de softwaresoftware

�� Proceso que prescribe las actividades a Proceso que prescribe las actividades a realizar para cambiar, mejorar, optimizar realizar para cambiar, mejorar, optimizar o dar eficiencia al producto de software o dar eficiencia al producto de software o dar eficiencia al producto de software o dar eficiencia al producto de software liberado.liberado.

Proceso de manejo de riesgo de Proceso de manejo de riesgo de softwaresoftware

�� El procesos de manejo de riesgo prueba El procesos de manejo de riesgo prueba que las fallas en un sistema programable no que las fallas en un sistema programable no conducen a un riesgo no deseado. conducen a un riesgo no deseado.

�� Hace referencia al plan de validación y Hace referencia al plan de validación y manejo de riesgo que prescribe ISO 14971.manejo de riesgo que prescribe ISO 14971.manejo de riesgo que prescribe ISO 14971.manejo de riesgo que prescribe ISO 14971.

�� Considera riesgos asociados por el software Considera riesgos asociados por el software pero también con su interacción con el pero también con su interacción con el hardware del equipo médico.hardware del equipo médico.

�� Requiere que los procesos y herramientas a Requiere que los procesos y herramientas a usar durante el ciclo de vida del software usar durante el ciclo de vida del software sean correctamente validados.sean correctamente validados.

Proceso de administración de la Proceso de administración de la configuración del softwareconfiguración del software

�� Establece la necesidad de contar con Establece la necesidad de contar con solicitudes documentadas de cambios de solicitudes documentadas de cambios de software, control de versiones y software, control de versiones y software, control de versiones y software, control de versiones y plataformas de administración de las plataformas de administración de las mismas.mismas.

Proceso de resolución de Proceso de resolución de problemas de softwareproblemas de software

�� Proceso que prescribe la Proceso que prescribe la documentación, investigación, trabajo documentación, investigación, trabajo y corrección de los problemas y corrección de los problemas encontrados en el proceso y producto encontrados en el proceso y producto encontrados en el proceso y producto encontrados en el proceso y producto de software a lo largo de sus fases o de software a lo largo de sus fases o en su implementación de campo o en su implementación de campo o posterior a la liberación.posterior a la liberación.

ISO/IEC 62304 ISO/IEC 62304 Requerimientos de los procesosRequerimientos de los procesos

�� Los requerimientos de cada proceso Los requerimientos de cada proceso pueden diferir de acuerdo con la pueden diferir de acuerdo con la clasificación de seguridad de software.clasificación de seguridad de software.

�� Todas las clases requieren un nivel de Todas las clases requieren un nivel de �� Todas las clases requieren un nivel de Todas las clases requieren un nivel de ejecución en la aplicación de sus procesos, ejecución en la aplicación de sus procesos, acompañado de un estudio de manejo de acompañado de un estudio de manejo de riesgo.riesgo.

ISO/IEC 62304 ISO/IEC 62304 Requerimientos de los procesosRequerimientos de los procesos

�� Las clases B y C definen requerimientos Las clases B y C definen requerimientos que mejoren la seguridad y la que mejoren la seguridad y la confiabilidad del software.confiabilidad del software.

�� Establecen estrictos requerimientos para Establecen estrictos requerimientos para el soporte en la corrección de problemas el soporte en la corrección de problemas relacionados con el software.relacionados con el software.

ISO/IEC 62304 ISO/IEC 62304 Metas en su usoMetas en su uso

�� Unificar el desarrollo de equipo médico Unificar el desarrollo de equipo médico entre países. entre países.

�� Es reconocido por la Food and Drug Es reconocido por la Food and Drug Administration (FDA) de los Estados Administration (FDA) de los Estados Administration (FDA) de los Estados Administration (FDA) de los Estados Unidos de América para el desarrollo de Unidos de América para el desarrollo de software de aplicación médica.software de aplicación médica.

�� Código Federal de Regulaciones, Título Código Federal de Regulaciones, Título 21.21.

Software en equipo médicoSoftware en equipo médico¿Qué más esperar?¿Qué más esperar?

�� Surgimiento de más estándares.Surgimiento de más estándares.

�� Más armonización en el uso de los Más armonización en el uso de los existentes.existentes.existentes.existentes.

�� Más colaboración entre las organizaciones Más colaboración entre las organizaciones que los utilizan.que los utilizan.

Nuevas tendencias: Nuevas tendencias: Sistemas médicos en redesSistemas médicos en redes

ISO/IEC 80001ISO/IEC 80001

�� Aplicación de manejo de riesgo para tecnología de Aplicación de manejo de riesgo para tecnología de información en redes incorporadas a sistemas información en redes incorporadas a sistemas médicos.médicos.médicos.médicos.�� Aplica metodologías de manejo de riesgo a lo largo del Aplica metodologías de manejo de riesgo a lo largo del ciclo de vida de sistemas de redes que incluyen ciclo de vida de sistemas de redes que incluyen dispositivos médicos.dispositivos médicos.

�� Sus procesos definen responsabilidades para todos los Sus procesos definen responsabilidades para todos los elementos que participan en la comunicación.elementos que participan en la comunicación.

�� Establece propiedades de seguridad, efectividad, Establece propiedades de seguridad, efectividad, seguridad de datos e interoperabilidad entre seguridad de datos e interoperabilidad entre plataformas.plataformas.

Otros estándares relacionados a Otros estándares relacionados a dispositivos médicosdispositivos médicos

�� IEC 60601IEC 60601--0101 Requerimientos generales de Requerimientos generales de seguridad básica y desempeño seguridad básica y desempeño esencial. esencial.

�� IEC 60601IEC 60601--11--44 Sistemas eléctricos programables Sistemas eléctricos programables �� IEC 60601IEC 60601--11--44 Sistemas eléctricos programables Sistemas eléctricos programables de aplicación médicade aplicación médica

�� IEC 60601IEC 60601--11--66 UsabilidadUsabilidad

�� IEC 61508IEC 61508--33 Seguridad funcional de sistemas Seguridad funcional de sistemas médicos eléctricos, electrónicos y médicos eléctricos, electrónicos y programablesprogramables

¿Preguntas?¿Preguntas?