PRO.CVL

Ce contenu a été restreint aux utilisateurs connectés uniquement. Veuillez vous identifier pour voir ce contenu.
dernière modification : 21 décembre 2020

Introduction

Une défaillance du logiciel peut potentiellement être critique pour le patient, pour s’en prévenir : la procédure suit la norme IEC 62304, le niveau d’exigence est proportionnel à la classe de dangerosité du logiciel (A, B, C selon la norme).

Attention, ces classes A, B, C sont indépendantes des classes réglementaires Européennes I, IIa, IIb et III. La gestion du cycle de vie du logiciel appelle d’autres processus de la société, notamment :

Objet

Cette procédure décrit le processus autour du cycle de vie du logiciel (de) DM mis en place par la société. Le processus se décompose en 5 activités :

  1. Gestion des risques
  2. Gestion de la configuration
  3. Développement
  4. Résolution de problème
  5. Maintenance

Destinataires

En fonction de votre organisation

Cette procédure concerne :

  • Équipe de conception, développement, test et maintenance du logiciel.
  • Chef projet
  • Responsable qualité.
  • Responsable gestion des risques
  • Responsable clinique
  • Responsable bureau d’étude
  • Le sous-traitant XXX

Guides, Normes et Réglementation

Abréviations

ADR; C&D; CVL; DGR; DDM; E.L.; D.T.; IFU; N.C., PQP; SEMP; SUL; SOUP; U.L.

Définitions


Gestion des risques

La gestion des risques se fait conformément à la procédure PRO.GDR. En plus du logiciel (du) dispositif médical, l’analyse des risques est également appliquée aux SOUPs utilisés/embarqués par le dispositif.

Identification des risques dus au logiciel

L’identification des risques dus au logiciel est effectuée en début de développement, elle est affinée au fil des spécifications.

Elle est mise à jour durant toute la vie du dispositif, en fonction des évolutions du contexte. Les risques identifiés sont enregistrés dans le document DOC.AGR. L’identification tient compte des causes potentielles suivantes :

  • Spécification incorrecte ou incomplète de l’E.L. dans la SEL.CVL
  • Défaillance des E.L. internes ou externes
  • Défaillance d’un SOUP
  • Défaillance matérielle
  • Mauvais usage identifié conformément à la procédure IAU

Classes logicielles associées aux risques

le tableau de définition des classes peut être modifié en fonction de la politique du fabricant en matière d’acceptabilité des risques

Une classe de dangerosité est associée aux risques causés ou maitrisés par le logiciel :

Probabilité Gravité
1 2 3 4
1 A A A A
2 A B C C
3 A B C C
4 A B C C
cet exemple tente un compromis entre classification en fonction de l’acceptabilité et exigences règlementaires ou rien n’est acceptable à priori

Par défaut et avant analyse, le logiciel est traité comme étant de classe C.

Définition des classes

Les risques causés par le logiciel ou maitrisés par le logiciel sont pris en compte pour évaluer la classe. La classe des E.L. est évaluée en fonction de la gravité et de l’acceptabilité des risques :

  • Classe A : pas de risque inacceptable (dommage nul ou proba nulle)
  • Classe B : dommage non grave possible
  • Classe C : dommage grave possible

Évaluation de la classe

Deux cas se présentent pour déterminer la classe de sécurité logicielle :

  • Risques logiciels pour lesquels une mesure de maîtrise non logicielle existe,
  • Risques pour lesquels la mesure de maîtrise de risque est mise en œuvre par le logiciel.

Les risques auxquels le logiciel contribue sont pris en compte après mise en œuvre des mesures de réduction non logicielles, donc en fonction du risque résiduel. Les risques maitrisés par le logiciel sont pris en compte sur la base du risque initial (pas de réduction de la classe de sécurité via le logiciel, car le logiciel portant la mesure de maîtrise peut lui-même défaillir).

L’évaluation de la classe du logiciel est enregistrée dans le DOC.DGR, elle s’appuie sur les classes des éléments logiciels enregistrées dans DOC.ADR.

Héritage de la classe de sécurité

La classe de sécurité est attribuée à l’E.L. (ou système logiciel) de plus haut niveau. Les E.L. enfants héritent de la classe de sécurité de leur parent.

Séparation du logiciel et classes de sécurité

Il est possible d’avoir au sein d’un système logiciel des E.L. de classe de sécurité différentes.

Cela est possible au moyen d’une séparation architecturale entre les E.L. de classes différentes.

Le cas échéant, la séparation des E.L. parents/enfants de classes différentes est justifiée et expliquée dans le document SAL.CVL.

Durant le développement : il est autorisé d’appliquer la présente procédure en fonction de la classe de chaque E.L. ; ou d’appliquer systématiquement pour tous les E.L. les exigences de la classe la plus élevée.

Les séparations architecturales communément admises :

  • Entre classe C et B : séparation physique (par exemple 2 micro-contrôleurs séparés physiquement)
  • Entre classe B et A : séparation physique ou logique (par exemple 2 processus communiquant par pipe)

Maitrise de risque par le logiciel

Les mesures de maitrise mises en œuvre par le logiciel (ex : nouvelle spécification en matière d’algorithme, de condition d’alarme, fonction de surveillance, …) sont enregistrées dans le document DOC.ADR, elles constituent de nouvelles entrées à la spécification du logiciel.


Ce contenu est réservé aux abonnés.