Analyzing standards regarding the production of medical device software
Kivistö, Salla (2022)
Kivistö, Salla
2022
Tekniikan ja luonnontieteiden kandidaattiohjelma - Bachelor's Programme in Engineering and Natural Sciences
Lääketieteen ja terveysteknologian tiedekunta - Faculty of Medicine and Health Technology
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2022-05-12
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202204273979
https://urn.fi/URN:NBN:fi:tuni-202204273979
Tiivistelmä
Software, which are either as part of medical device or standalone device and are used in medicinal purposes are classified as medical device. Medical device software creates, modifies, or analyses medical information, which is used to control medical treatment decisions. The manufacturing of medical device software is regulated with different regulatory requirements. Based on these regulations, different entities have created standards, which the manufacturers can follow to ensure the use of instructed and required processes in the manufacturing of medical device software.
The meaning of this thesis is to analyze standards regarding medical device software and how well they follow the relevant regulatory requirements. To analyze the standards, the regulations were inspected for their requirements for medical device software and these requirements were used as base for the analysis requirements for the standards in the scope of this thesis. The regulations requirements for medical device software were inspected for the development and manufacturing processes. An important perspective was the patient safety and cybersecurity for medical device software.
Based on the observations made in this thesis, it can be concluded that the analyzed standards cover the regulatory requirements well on their own parts. On the other hand, noticing the cybersecurity for medical device software is now on the responsibility of the manufacturer as it is not as well covered in the standards. The best practice for software development is also becoming more important and the new directive for medical device, MDR 2017/745, gave more specific classification for medical device software.
In this thesis, a new standard IEC 81001-5-1:2021is also analyzed. This standard includes cybersecurity procedures combined with the life cycle of medical device software. Based on the analysis it can be assumed that the medical device software standards will change and reviewed in the coming years. There are software development aspects, which are not standardized yet for medical device software. For example, IEC 62304 includes medical device software development very thoroughly, but doesn’t mention the software development best practices including MDevSpice.
Lääkintälaiteohjelmistoiksi luokitellaan ohjelmistot, joita joko yksinään tai osana lääkintälaitetta käytetään lääkinnällisissä käyttötarkoituksissa. Lääkintälaiteohjelmisto luo, muokkaa tai analysoi lääketieteellistä informaatiota, jonka käsittelyllä ohjataan lääkinnällisiä päätöksiä. Lääkintälaiteohjelmistojen valmistusta säädellään erilaisilla säännöksillä. Näiden säännösten pohjalta on luotu standardeja, joita seuraamalla lääkintälaiteohjelmiston valmistaja pystyy toteuttamaan säännösten ohjeistamat sekä vaatimat asiat valmistuksessaan.
Tämän työn tarkoituksena oli analysoida lääkintälaiteohjelmistoja koskevia standardeja ja sitä, kuinka hyvin ne noudattavat asianomaisten säännösten vaatimuksia. Standardien analysointia varten tutkittiin lääkintälaiteohjelmistoja koskevia säännöksiä, joiden pohjalta määriteltiin analysointivaatimukset tutkittaville standardeille. Työssä selvitettiin säännösten vaatimuksia lääkintä-laiteohjelmistojen suunnittelulle sekä valmistukselle. Tärkeinä näkökulmina toimi lääkintälaiteoh-jelmistojen potilasturvallisuus ja tietoturvallisuus. Säännösten tutkiminen rajattiin Eurooppaa koskeviin lääkintälaitesäännöksiin.
Työssä tehtyjen havaintojen pohjalta voidaan todeta, että työssä tutkitut standardit kattavat säännösten vaatimukset osiltaan hyvin. Toisaalta lääkintälaiteohjelmistojen tietoturvallisuuden huomiointi on vielä enemmän lääkintälaitteen valmistajan vastuulla. Ohjelmistosuunnittelusta on tulossa ajan myötä yhä tärkeämpi osa lääkinnällisten laitteiden valmistusta ja myös Euroopan parlamentin antama asetus MDR/2017 tarkensi lääkintälaiteohjelmistojen määritelmää. Työssä analysoitiin myös uutta standardia, IEC 81001-5-1, joka käsittelee tietoturvatoimenpiteitä yhdistettyjen lääkintälaitteiden ja yhdistettyjen terveysohjelmistojen elinkaaren aikana.
Tutkimuksen perusteella voidaan olettaa, että lääkintälaiteohjelmistoja koskevat standardit tulevat muuttumaan ja täydentymään tulevina vuosina. Ohjelmistokehityksen alalla on osa-alueita, joita ei vielä ole saatu standardisoitua lääkintälaitteiden ohjelmistoihin. Esimerkiksi IEC 62304 kattaa lääkinnällisten laitteiden ohjelmistojen valmistuksen laajasti, mutta lääkinnällisten laitteiden osalta käytettävä MDevSpice ei ole vielä standardisoitu.
The meaning of this thesis is to analyze standards regarding medical device software and how well they follow the relevant regulatory requirements. To analyze the standards, the regulations were inspected for their requirements for medical device software and these requirements were used as base for the analysis requirements for the standards in the scope of this thesis. The regulations requirements for medical device software were inspected for the development and manufacturing processes. An important perspective was the patient safety and cybersecurity for medical device software.
Based on the observations made in this thesis, it can be concluded that the analyzed standards cover the regulatory requirements well on their own parts. On the other hand, noticing the cybersecurity for medical device software is now on the responsibility of the manufacturer as it is not as well covered in the standards. The best practice for software development is also becoming more important and the new directive for medical device, MDR 2017/745, gave more specific classification for medical device software.
In this thesis, a new standard IEC 81001-5-1:2021is also analyzed. This standard includes cybersecurity procedures combined with the life cycle of medical device software. Based on the analysis it can be assumed that the medical device software standards will change and reviewed in the coming years. There are software development aspects, which are not standardized yet for medical device software. For example, IEC 62304 includes medical device software development very thoroughly, but doesn’t mention the software development best practices including MDevSpice.
Lääkintälaiteohjelmistoiksi luokitellaan ohjelmistot, joita joko yksinään tai osana lääkintälaitetta käytetään lääkinnällisissä käyttötarkoituksissa. Lääkintälaiteohjelmisto luo, muokkaa tai analysoi lääketieteellistä informaatiota, jonka käsittelyllä ohjataan lääkinnällisiä päätöksiä. Lääkintälaiteohjelmistojen valmistusta säädellään erilaisilla säännöksillä. Näiden säännösten pohjalta on luotu standardeja, joita seuraamalla lääkintälaiteohjelmiston valmistaja pystyy toteuttamaan säännösten ohjeistamat sekä vaatimat asiat valmistuksessaan.
Tämän työn tarkoituksena oli analysoida lääkintälaiteohjelmistoja koskevia standardeja ja sitä, kuinka hyvin ne noudattavat asianomaisten säännösten vaatimuksia. Standardien analysointia varten tutkittiin lääkintälaiteohjelmistoja koskevia säännöksiä, joiden pohjalta määriteltiin analysointivaatimukset tutkittaville standardeille. Työssä selvitettiin säännösten vaatimuksia lääkintä-laiteohjelmistojen suunnittelulle sekä valmistukselle. Tärkeinä näkökulmina toimi lääkintälaiteoh-jelmistojen potilasturvallisuus ja tietoturvallisuus. Säännösten tutkiminen rajattiin Eurooppaa koskeviin lääkintälaitesäännöksiin.
Työssä tehtyjen havaintojen pohjalta voidaan todeta, että työssä tutkitut standardit kattavat säännösten vaatimukset osiltaan hyvin. Toisaalta lääkintälaiteohjelmistojen tietoturvallisuuden huomiointi on vielä enemmän lääkintälaitteen valmistajan vastuulla. Ohjelmistosuunnittelusta on tulossa ajan myötä yhä tärkeämpi osa lääkinnällisten laitteiden valmistusta ja myös Euroopan parlamentin antama asetus MDR/2017 tarkensi lääkintälaiteohjelmistojen määritelmää. Työssä analysoitiin myös uutta standardia, IEC 81001-5-1, joka käsittelee tietoturvatoimenpiteitä yhdistettyjen lääkintälaitteiden ja yhdistettyjen terveysohjelmistojen elinkaaren aikana.
Tutkimuksen perusteella voidaan olettaa, että lääkintälaiteohjelmistoja koskevat standardit tulevat muuttumaan ja täydentymään tulevina vuosina. Ohjelmistokehityksen alalla on osa-alueita, joita ei vielä ole saatu standardisoitua lääkintälaitteiden ohjelmistoihin. Esimerkiksi IEC 62304 kattaa lääkinnällisten laitteiden ohjelmistojen valmistuksen laajasti, mutta lääkinnällisten laitteiden osalta käytettävä MDevSpice ei ole vielä standardisoitu.
Kokoelmat
- Kandidaatintutkielmat [8696]