Prévenir les anomalies du logiciel (de) dispositif médical
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
Vous êtes-vous déjà intéressé aux rappels de dispositifs médicaux ?
Depuis quelques années, les statistiques montrent que les rappels de dispositifs sont surtout liés à des anomalies du logiciel.
Pourtant, dans le cadre des dispositifs médicaux, l'analyse de risques donne les moyens de maîtriser les risques des logiciels et de limiter leurs dysfonctionnements.
Penchons-nous sur le sujet à l'occasion de cet article.
Statistiques sur les rappels de dispositifs médicaux
Depuis 2013, Stericycle Expert Solutions () publie un rapport trimestriel sur les rappels de produits aux USA. Ces rapports, basés sur des données publiques, traitent notamment des dispositifs médicaux.
La figure ci-dessous reprend les données de ces rapports sur les quatre causes principales de rappels de dispositifs médicaux depuis 2018.
On remarque que les anomalies du logiciel sont la principale cause de rappels de dispositifs médicaux :
elles sont à l'origine de plus de 30% des rappels parmi les quatre principales causes de rappels de dispositifs médicaux et
globalement, cette part augmente de trimestre en trimestre.
Quelles anomalies du logiciel sont la cause de rappels de dispositifs médicaux ?
Fin 2001, deux auteurs du NIST (National Institute of Standards and Technology) ont publié une étude sur les dysfonctionnements logiciels à l'origine du rappel de dispositifs médicaux : "Failure Modes in Medical Device Software: an Analysis of 15 Years of Recall Data – Dolores R. Wallace, David R. Kuhn" ().
Cette étude porte sur 342 dispositifs médicaux différents qui ont été rappelés à cause d'anomalies du logiciel sur une période de 15 ans. Elle traite, notamment, de deux aspects des anomalies des logiciels (de) dispositifs médicaux :
- les symptômes qui les ont mises en évidence et
- leurs causes.
Symptômes des anomalies des logiciels (de) dispositifs médicaux
L'étude du NIST a identifié treize types de symptômes de dysfonctionnement de logiciels (de) dispositifs médicaux.
Parmi ces 13 types de symptômes, 5 recouvrent pratiquement 90% des rappels de dispositifs médicaux et ils sont détectables avant la distribution du dispositif.
Causes des dysfonctionnements des logiciels (de) dispositifs médicaux
L'étude du NIST a identifié treize types de causes des dysfonctionnements des logiciels (de) dispositifs médicaux.
Parmi elles, deux types de causes sont largement majoritaires : les erreurs de logique et les erreurs de calcul.
De même que les symptômes, les causes des dysfonctionnements sont identifiables avant la commercialisation du dispositif médical.
Comment prévenir les dysfonctionnements logiciels avant la commercialisation d'un dispositif médical ?
Les auteurs du NIST proposent plusieurs méthodes pour détecter et prévenir les dysfonctionnements logiciels qu'ils ont observés : conception détaillée, relecture de code, essais unitaires…
Bien entendu, ces méthodes ont fait leurs preuves. Mais elles soulèvent des questions de fond : faut-il concevoir tout le logiciel (de) dispositif médical de manière détaillée ? Faut-il relire tout le code ? Faut-il mener à bien des essais unitaires qui couvrent l'intégralité des sources du logiciel ?
L'exhaustivité peut vite s'avérer coûteuse. Pour y pallier, l'analyse de risques du logiciel (de) dispositif médical donne les moyens (i) d'identifier les risques du logiciel et (ii) d'optimiser sa conception architecturale pour réduire la quantité de travail nécessaire à leur maîtrise.
La démarche consiste à partir des exigences du logiciel pour alterner des phases d'analyse de risques et des phases d'ajustement de la conception avec un double objectif :
- identifier et maîtriser les risques du logiciel (notamment les risques de conception) et
- concentrer les risques du logiciel dans un nombre limité d'éléments logiciels.
On réduit ainsi les besoins de conception détaillée et les besoins d'essais approfondis du logiciel tout en préservant sa sécurité.
La norme EN 62304 invite à cette démarche. En effet, elle permet d'attribuer à des éléments du logiciel (de) dispositif médical des classes de sécurité différentes (i.e. inférieures) de celle du logiciel considéré dans son ensemble.
Intérêt pour le fabricant de dispositifs médicaux
Un article publié en 2017 dans The Milbank Quarterly () nous apprenait qu'entre 2011 et 2015 inclus,
A total of 627 software devices […] were subject to recalls, with 12 of these devices […] subject to the highest‐risk recalls. Eleven of the devices recalled as high risk had entered the market through the FDA review process that does not require evidence of safety or effectiveness, and one device was completely exempt from regulatory review.
Source : Software Related Recalls of Health Information Technology and Other Medical Devices: Implications for FDA Regulation of Digital Health – JAY G. RONQUILLO and DIANA M. ZUCKERMAN - 2017
Ainsi, il semble que l'analyse de risques des logiciels (de) dispositifs médicaux ne soit pas toujours exploitée.
L'analyse de risques est le point d'entrée pour l'identification et la prévention des risques potentiels d'un logiciel (de) dispositif médical.
L'approche présentée dans cet article illustre qu'il s'agit d'un puissant outil de génie logiciel qui aide le fabricant (i) à mettre au point des dispositifs médicaux fiables et (ii) à optimiser les projets de génie logiciel.
Par la même occasion, le fabricant de dispositifs médicaux réduit aussi les risques de son projet.
Pour en savoir plus
Le logiciel introduit des particularités dans l'analyse et la gestion de risques des dispositifs médicaux.
Pour le fabricant, la maintenance représente le coût le plus élevé d'un logiciel (de) dispositif médical.