Zweikanaligkeit bei Medizinprodukten: Wann welche Maßnahmen greifen [Update]

Freitag 16. Mai 2014

Die Kamingespräche sind fester Bestandteil unser Masterstudiengänge. Wir nutzen sie, um Themen zu diskutieren und Dinge zu erfahren, die nicht Bestandteil der Curricula sind.

Ein Vortragender bei den Kamingesprächen ist Jochen Metzger, der Leiter der Business Unit Medizintechnik der Firma embeX. Sie ist ein Entwicklungsdienstleister, der sich auf sicherheitskritische Systeme spezialisiert hat.

Ein- und zweikanalige Architekturen

Für viele Hersteller von Medizinprodukten führt der Begriff sicherheitskritisch reflexartig zur Aussage, dass eine zweikanalige Architektur notwendig sei. Zweikanalige Architekturen zeichnen sich durch redundante Komponenten in der Kette Sensor-Logik-Aktor aus. Was vielen aber nicht klar ist, dass zweikanalige Architekturen nicht notwendigerweise besser und sicherer als einkanalige sind. Wie das geschehen kann, erfahren Sie ab Q2 2014 im Auditgarant.

zweikanalige-Architektur-Medizinprodukte

Homogene und diversitäre Architekturen

Bei zweikanaligen Architekturen unterscheidet man weiter homogene und diversitäre Architekturen. In einer homogenen Architektur sind die beiden Kanäle homogen, d.h. sie bestehen aus gleichen Komponenten. Mit homogenen Architekturen lassen sich insbesondere zufällige (statistische) Fehler wie der Ausfall von Bauteilen aufgrund Alterung beherrschen.

Bei systematischen Fehlern wie beispielsweise bei Konstruktionsfehlern oder Software-Bugs bedarf es diversitärer Architekturen, weil man sonst den Fehler in beide Kanäle dupliziert hätte. Die Diversität könnte sich insbesondere bei programmierbaren System (die Software enthalten) beziehen auf:

  • Hardware: Prozessor, Speicher
  • Werkzeuge: Compiler, Programmiersprache
  • Wiederverwendete Software (SOUP): Bibliotheken, Betriebssystem
  • Organisation: Getrennte Entwicklungsteams

Auf diese und viele weitere Themen werden Herr Metzger und ich im Auditgarant eingehen wie z.B.:

  • Konzepte: Einkanalige, zweikanalige und Misch-Architekturen
  • Wahl der richtigen Sicherheitsarchitektur
  • Zusammenspiel mit IEC 61508
  • Typische Fehler und deren Beherrschung

Update: Risiken durch Zweikanaligkeit

Es ist ein Irrtum zu glauben, dass zweikanalige Architekturen zwangsläufig besser als einkanalige Architekturen sind. Im Gegenteil: Zweikanaligkeit kann ein System sogar unsicher machen. Je mehr Komponenten Sie in Ihrem System verbauen, umso höher ist die Wahrscheinlichkeit, dass eine ausfällt. Doch was passiert, wenn nun zwei korrespondierende Komponenten widersprüchliche Signale senden? Wenn z.B. ein Sensor behauptet, im Schlauch einer Infusionspumpe sei Luft, und der andere behauptet das Gegenteil? Wer hat Recht? Wenn das Ergebnis dazu führt, dass das Gerät häufiger abschaltet, kann das bei vielen Geräten das Risiko für Patienten erhöhen. Sie müssen in diesen Fällen die Verfügbarkeit und die Sicherheit abwägen.


Kategorien: Software & IEC 62304

Kommentar schreiben