Linux-Plattform für Medizingeräte nach IEC 62304
PTW-Freiburg GmbHDie PTW-Freiburg GmbH stellt aktuell mit UNIDOS Tango und Romeo eine neue UNIDOS-Generation mit Netzwerkintegration und HMI-Oberfläche (Human Machine Interface) für die klinische Dosimetrie vor - und streicht mit UNIDOS Tango prompt den iF Design Award 2021 ein.
Bei dem prämierten Gerät handelt es sich um ein hochpräzises Reference Class Elektrometer, das für die klinische Dosimetrie und die Qualitätssicherung in der Radiotherapie eingesetzt wird. Strahlenquellen für die Strahlentherapie beispielsweise zur Tumorbehandlung werden damit täglich kalibriert.
Intelligente Referenz-Dosimeter
Eine Herausforderung bei der Entwicklung der neuen Messgeräte-Generation stellten die stetig wachsenden Anforderungen an Medizingeräte-Software nach der IEC-Norm 62304 und der seit 2021 in der EU verpflichtend anzuwendenden MDR (Medical Device Regulation) sowie Vorgaben der US-amerikanischen Food and Drug Administration (FDA) dar. Gleichzeitig steigen die Anforderungen der Kliniken an die Security Compliance.
Für eine normenkonforme Entwicklung des zugrunde liegenden Embedded Linux-Systems und einen hohen Security-Level über den gesamten Lebenszyklus setzt PTW seit mehreren Jahren auf die Expertise, Werkzeuge und Prozesse der emlix GmbH.
Die UNIDOS Embedded Linux-Plattform ist das Ergebnis einer intensiven Entwicklungskooperation zwischen dem PTW und emlix. Um die umfangreichen normativen Anforderungen an den gesamten Produktlebenszyklus zu erfüllen, wird e2factory als Software Management und Build Automation Tool eingesetzt. Automatisierung und Reproduzierbarkeit von Tests werden mittels des emlix TAF Test Application Frameworks sichergestellt.
In der Betriebs- und Wartungsphase ist emlix verantwortlich für das Maintenance und Security Monitoring. Dadurch können relevante Security Issues, neue Software-Versionen und Verbesserungen relevanter Komponenten zeitnah identifiziert werden.
In enger Abstimmung mit PTW hat emlix die System-Architektur der UNIDOS Embedded Linux-Plattform sukzessive spezifiziert. Als Designziel stand eine normenkonforme, zentral wartbare Embedded Linux-Plattform im Vordergrund.
Neben einer grafischen Oberfläche (GUI) für das integrierte Display mit kapazitiver Touch-Funktionalität wird die Ausgabe von Audio unterstützt. Per LAN und WLAN ist die Systemfamilie vernetzt, sodass eine komfortable Bedienung sowohl von PC oder Notebook aus als auch mit dem Smartphone möglich ist.
UNIDOS Tango erkennt mittels einer Kamera QR-Codes auf PTW-Messdetektoren. Deketorspezifische Informationen (u.a. Kalibrierfaktor und Kalibrierdatum) können über einen 2D-Code-Scanner automatisch in die Detektordatenbank im Dosimeter eingelesen werden.
Die Systemplattform für PTW UNIDOS verfügt außerdem über ein Intrusion Detection System (IDS). Das IDS prüft permanent die Systemintegrität und den Netzwerkverkehr, um mögliche Angriffe zu identifizieren.
Tools für eine normenkonforme Entwicklung
Sowohl in der Entwicklungs- als auch in der Wartungsphase müssen regulatorische Anforderungen und Prozessvorgaben eingehalten werden. Für eine automatisierte Erstellung von Software Builds (Build Automation) wird daher e2factory verwendet. e2factory wurde unmittelbar gegen Anforderungen aus der Medizintechnik entwickelt und erlaubt eine Personen- und Baurechner-unabhängige Reproduzierbarkeit aller Software-Stände der UNIDOS-Plattform über den gesamten Lebenzyklus.
Eine Traceability von Requirements, Build-Ergebnissen und zugehöriger Dokumentation entlang des Produktlebenzyklus ist mit e2factory ebenfalls gegeben. Jedes Build-Ergebnis ist mit einer eineindeutigen Build-ID versehen, die sích aus dem Hash-Tree sämtlicher Eingangsparameter errechnet (Sourcen, Buildscipte, Dependencies, Build Environment,...). Durch die Einbindung von Requirements in die Metadaten vom Build-Ergebnis und Build-ID (Images und Dokumentation) kann eine bidirektionale Rückverfolgbarkeit sichergestellt werden.
Darüber hinaus können normativ geforderte (technische) Dokumentationen automatisch erzeugt werden:
- Detailed Design Dokumentation
- SOUP-Liste (Sources of Unknown Provenance)
- enthaltene Open Source-Komponenten
- Test-Protokolle aus der Verifikation
Post-Market Surveillance
Die Verifikation der UNIDOS-Plattform erfolgte mit Hilfe des emlix Test Application Frameworks (TAF). Das TAF wurde gegen Anforderungen an zertifizierungspflichtige Produkte entwickelt. Es ermöglicht ein automatisiertes, personenunabhängiges Testen der UNIDOS-Software. Die eindeutige Versionierung schafft die Basis für Reproduzierbarkeit jedes einzelnen Tests und vollständigen Testlaufes. In der Testdatenbank werden Tests und Testpläne archiviert. Eine ausführliche Dokumentation (Testreports) wird automatisch generiert.
Nach Markteinführung unterstützt emlix die Entwickler in Freiburg durch ein kontinuierliches Maintenance Monitoring sowie CVE-basiertes (Common Vulnerabilities and Exposures) Security Monitoring. Diese proaktive und systematische Überwachung von bekannt gewordenen Schwachstellen und Verbesserungen in der verwendeten Open Source Software-Komponenten (Post-Market Surveillance) erlaubt es, umgehend Korrektur- und Vorbeugemaßnahmen (CAPA - Corrective and Preventive Action) abzuleiten.
Im monatlichen Turnus erstellt emlix einen produktspezifischen Security und Maintenance Report mit einer übersichtlichen Zusammenfassung und Darstellung aller relevanten Informationen zu potenziellen Security Issues und Verbesserungen aus der Open Source Community. Für Lieferanten- oder Security Compliance-Erklärungen und Audits können so valide Informationen bereitgestellt werden.
Vor dem Hintergrund des Betriebs- und Einsatzkontextes des Reference Class Elektrometers werden die Findings bewertet. Security Updates und Upgrades der Betriebssystemplattform werden in enger Abstimmung mit und nach Freigabe durch PTW umgesetzt. Updates und Sicherheitspatches für die Embedded Linux-Plattform werden bereitgestellt und integriert (Patch Management).
Aktualisierungen des Systems sind mit e2factory nach Markteinführung normenkonform möglich. Das Build-System bildet die Basis für die technische Umsetzung sowie das transparente Management von Versionen und Varianten der UNIDOS-Gerätefamilie über den gesamten Lebenszyklus. Bestandteil des Secure Update-Konzeptes sind außerdem das Power Fail-safe-Prinzip und eine Signaturprüfung.