www.wikidata.de-de.nina.az

Soup steht für Software of unknown oder uncertain pedigree oder provenance also Software unbekannter unsicherer Herkunft

Soup

Soup steht für Software of unknown (oder uncertain) pedigree (oder provenance), also Software unbekannter / unsicherer Herkunft und ist ein Begriff, der im Zusammenhang mit den verwendeten sicherheitskritischen und an der Sicherheit beteiligten Systeme im Rahmen der Entwicklung medizinischer Software oder Medizinprodukten mit Embedded Software verwendet wird. Er ist unter anderem in der die Norm IEC 62304 Medizingeräte-Software – Software-Lebenszyklus-Prozesse (Deutsche Fassung EN 62304) definiert.

Das bedeutet nicht etwa, dass der Hersteller der Software unbekannt ist, sondern dass die belegbaren Artefakte der Entwicklung, beispielsweise Lasten- und Pflichtenhefte, Testprotokolle, Architekturdokumente usw., nicht ausreichend für eine belastbare Aussage über Risiken der Software sind. Beispielsweise kann ein Paket von Commercial off-the-shelf-Software zwar ausreichend belegt und dokumentiert sein. Wenn aber diese Dokumente nicht für die Öffentlichkeit zugänglich sind, so muss das Paket als Soup behandelt werden. Soup ist Software, die nicht nachweisbar mit einem bekannten Softwareentwicklungsprozess oder einer bekannten -methodik hergestellt wurde.

Andererseits werden Open-Source-Projekte, beispielsweise Apache HTTP Server oder Linux, zwar nicht durch ein bestimmtes kommerzielles Unternehmen entwickelt, aber durch das Offenlegen der Codes, der Fehlerdokumentation usw. und den vielfachen Gebrauch in der Praxis sind diese so transparent, dass sie auch in Medizinprodukten eingesetzt werden können.

Problemstellung Bearbeiten

Eine Analyse von 3140 Rückrufen bei Medizinprodukten zwischen 1992 und 1998 durch die US-amerikanische Food and Drug Administration (FDA) kam zu dem Ergebnis, dass 7,7 % (242) dieser Rückrufe durch Softwarefehler ausgelöst wurden, von denen 79 % (192) dieser Fehler nach einem Software Upgrade aufgetreten waren. Diese Erkenntnis löste eine Konzentration von Aktivitäten der Zulassungsbehörden rund um den Aktualisierungsprozess von Software aus. Ein Teil dieser Aktivitäten behandelt die Risikobewertung und führte zur Entwicklung der Norm IEC 62304.

Für einen Hersteller sicherheitskritischer Software oder sicherheitskritischer Produkte mit embedded Soup bedeutet dies eine Gefahr, weil die Einhaltung von geltenden Normen für sicherheitsrelevante Funktionen nicht nachgewiesen werden kann und die Funktion der Software bzw. Produkte mit embedded Software nicht in allen Betriebszuständen gewährleistet werden kann. Um die Risiken zu minimieren, werden sicherheitsrelevante Teile eines Systems von den unerwünschten Wirkungen von SOUP so gut wie möglich isoliert.

Es ist nicht verboten, Soup zu verwenden. Es bedarf allerdings zusätzlicher Kontrollen und das Risiko der Verwendung von Soup muss im Risikomanagementplan berücksichtigt werden. Spezifische Praktiken müssen ergriffen werden, wenn Soup als Teil eines Medizingeräts verwendet wird. Diese zusätzlichen Maßnahmen können die Überprüfung der Softwareentwicklungsprozesse des Anbieters, die Verwendung von umfassenden statischen Programmanalysen durch den Hersteller und Sicherheitsrichtlinien sein.

Literatur Bearbeiten

  • D. Frankis: Safety in the SOUP. In: Institution of Engineering and Technology Seminar on Pros and Cons of Using Commercial 'Off the Shelf' Components in Aviation Applications, London, UK, 4-4 Sept. 2007. 2007, ISBN 978-0-86341-801-3, S. 9–21.

Einzelnachweise Bearbeiten

  1. International Electrotechnical Commission: Medical device software – Software life cycle processes. (PDF) In: INTERNATIONAL IEC STANDARD 62304 First edition 2006-05. International Electrotechnical Commission, 2006, abgerufen am 17. Juni 2016.
  2. Chris Hobbs, Industry Viewpoint: Device makers can take COTS, but only with clear SOUP; Medical Design, 1. November 2011; abgerufen am 6. November 2015.
  3. Felix Redmill: The COTS Debate in Perspective. In: Udo Voges (Hrsg.): Proceedings of the 20th International Conference on Computer Safety, Reliability and Security, SAFECOMP 2001, Budapest, Hungary, September 26–28, 2001. Springer, 2001, ISBN 978-3-540-42607-3, S. 122.
  4. Anil Kumar, "Easing the IEC 62304 Compliance Journey for Developers to Certify Medical Devices", Medical Electronics Device Solutions, Mai 2011; abgerufen am 6. November 2015.
  5. Ken Hall: Developing Medical Device Software to IEC 62304. In: EMDT – European Medical Device Technology. 1. Juni 2010 ( (Memento des Originals vom 7. Januar 2013 im Internet Archive) [abgerufen am 11. Dezember 2012]).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.emdt.co.uk
  6. Chris Hobbs: Device makers can take COTS, but only with clear SOUP. In: Medical Design. 1. November 2011 (medicaldesign.com).
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Soup steht fur Software of unknown oder uncertain pedigree oder provenance also Software unbekannter unsicherer Herkunft und ist ein Begriff der im Zusammenhang mit den verwendeten sicherheitskritischen und an der Sicherheit beteiligten Systeme im Rahmen der Entwicklung medizinischer Software oder Medizinprodukten mit Embedded Software verwendet wird Er ist unter anderem in der die Norm IEC 62304 1 Medizingerate Software Software Lebenszyklus Prozesse Deutsche Fassung EN 62304 definiert 2 Das bedeutet nicht etwa dass der Hersteller der Software unbekannt ist sondern dass die belegbaren Artefakte der Entwicklung beispielsweise Lasten und Pflichtenhefte Testprotokolle Architekturdokumente usw nicht ausreichend fur eine belastbare Aussage uber Risiken der Software sind 2 Beispielsweise kann ein Paket von Commercial off the shelf Software zwar ausreichend belegt und dokumentiert sein Wenn aber diese Dokumente nicht fur die Offentlichkeit zuganglich sind so muss das Paket als Soup behandelt werden 2 Soup ist Software die nicht nachweisbar mit einem bekannten Softwareentwicklungsprozess oder einer bekannten methodik hergestellt wurde 3 Andererseits werden Open Source Projekte beispielsweise Apache HTTP Server oder Linux zwar nicht durch ein bestimmtes kommerzielles Unternehmen entwickelt aber durch das Offenlegen der Codes der Fehlerdokumentation usw und den vielfachen Gebrauch in der Praxis sind diese so transparent dass sie auch in Medizinprodukten eingesetzt werden konnen 2 Problemstellung BearbeitenEine Analyse von 3140 Ruckrufen bei Medizinprodukten zwischen 1992 und 1998 durch die US amerikanische Food and Drug Administration FDA kam zu dem Ergebnis dass 7 7 242 dieser Ruckrufe durch Softwarefehler ausgelost wurden von denen 79 192 dieser Fehler nach einem Software Upgrade aufgetreten waren 4 Diese Erkenntnis loste eine Konzentration von Aktivitaten der Zulassungsbehorden rund um den Aktualisierungsprozess von Software aus 4 Ein Teil dieser Aktivitaten behandelt die Risikobewertung und fuhrte zur Entwicklung der Norm IEC 62304 4 Fur einen Hersteller sicherheitskritischer Software oder sicherheitskritischer Produkte mit embedded Soup bedeutet dies eine Gefahr weil die Einhaltung von geltenden Normen fur sicherheitsrelevante Funktionen nicht nachgewiesen werden kann und die Funktion der Software bzw Produkte mit embedded Software nicht in allen Betriebszustanden gewahrleistet werden kann Um die Risiken zu minimieren werden sicherheitsrelevante Teile eines Systems von den unerwunschten Wirkungen von SOUP so gut wie moglich isoliert 5 Es ist nicht verboten Soup zu verwenden Es bedarf allerdings zusatzlicher Kontrollen und das Risiko der Verwendung von Soup muss im Risikomanagementplan berucksichtigt werden Spezifische Praktiken mussen ergriffen werden wenn Soup als Teil eines Medizingerats verwendet wird Diese zusatzlichen Massnahmen konnen die Uberprufung der Softwareentwicklungsprozesse des Anbieters die Verwendung von umfassenden statischen Programmanalysen durch den Hersteller und Sicherheitsrichtlinien sein 6 Literatur BearbeitenD Frankis Safety in the SOUP In Institution of Engineering and Technology Seminar on Pros and Cons of Using Commercial Off the Shelf Components in Aviation Applications London UK 4 4 Sept 2007 2007 ISBN 978 0 86341 801 3 S 9 21 Einzelnachweise Bearbeiten International Electrotechnical Commission Medical device software Software life cycle processes PDF In INTERNATIONAL IEC STANDARD 62304 First edition 2006 05 International Electrotechnical Commission 2006 abgerufen am 17 Juni 2016 a b c d Chris Hobbs Industry Viewpoint Device makers can take COTS but only with clear SOUP Medical Design 1 November 2011 abgerufen am 6 November 2015 Felix Redmill The COTS Debate in Perspective In Udo Voges Hrsg Proceedings of the 20th International Conference on Computer Safety Reliability and Security SAFECOMP 2001 Budapest Hungary September 26 28 2001 Springer 2001 ISBN 978 3 540 42607 3 S 122 a b c Anil Kumar Easing the IEC 62304 Compliance Journey for Developers to Certify Medical Devices Medical Electronics Device Solutions Mai 2011 abgerufen am 6 November 2015 Ken Hall Developing Medical Device Software to IEC 62304 In EMDT European Medical Device Technology 1 Juni 2010 emdt co uk Memento des Originals vom 7 Januar 2013 im Internet Archive abgerufen am 11 Dezember 2012 nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www emdt co uk Chris Hobbs Device makers can take COTS but only with clear SOUP In Medical Design 1 November 2011 medicaldesign com Abgerufen von https de wikipedia org w index php title Soup amp oldid 229761456