Cuando se trabaja en la vanguardia de la tecnología y la atención médica, se cometen errores. Es nuestro trabajo como software como dispositivo médico (SaMD) y fabricantes de dispositivos médicos conectados no cometer los mismos errores de siempre, sino aprender de los errores y pasos en falso que se produjeron antes, tanto en nuestras propias organizaciones como en toda nuestra industria.

Una de las mejores cosas de nuestra industria es que un amplio conjunto de información está disponible a través de bases de datos en el sitio de la FDA así como a través de proveedores de búsqueda como Sistemas de albahaca. Este intercambio público de información nos permite buscar de manera proactiva las lecciones aprendidas de nuestros competidores para mejorar colectivamente la seguridad y eficacia de nuestros dispositivos.

Bluetooth permite la creación de dispositivos médicos conectados potentes y accesibles, pero agrega complicaciones en conectividad y seguridad (como el exploit SweynTooth documentado en 2020). Dicho esto, nuestra investigación descubrió solo un puñado de casos en los que Bluetooth fue el motivo de la retirada del dispositivo. Aunque son pocos, estos retiros resaltan lecciones importantes para el desarrollo de dispositivos médicos habilitados para Bluetooth.

Repasemos lo que podemos aprender de estos retiros y cómo podemos evitar los mismos problemas con nuestros dispositivos.

Nota: Buscar en las bases de datos públicas de la FDA es una ciencia imperfecta. Si conoce algún otro retiro del mercado relevante que no hayamos incluido en este blog, ¡Nos encantaría saber de ellos!

_________________________________________________________________________

Recordatorio n.º 1: por qué es tan importante probar casos extremos relacionados con la pérdida de conectividad Bluetooth

Fecha de retiro: 21 de abril de 2022
Tipo de Dispositivo: Activo Implantable
Función principal: Monitoreo y terapia cardiovascular
Clasificación de riesgo del dispositivo: Clase III
Fabricante: Abbot
Dispositivos retirados del mercado: desfibriladores cardioversores implantables (DCI) Gallant VR, DR y HF

Los dispositivos implantables, como estos ICD de Abbott, se conectan a través de Bluetooth a una aplicación para el control remoto del paciente. Pero si ese dispositivo pierde la conectividad Bluetooth, regresa a una funcionalidad anterior y menos amigable para el paciente.

Eso es lo que sucedió en estos retiros, donde ciertos modelos en el VR, DR y HF las líneas de productos entraron en un modo de telemetría de solo inducción cuando perdieron la conexión Bluetooth. Dado que la telemetría de solo inducción es algo que solo un médico puede hacer, esto significaba que los pacientes solo podían acceder a la gama completa de funciones del dispositivo en el consultorio de su médico.

Lo que todos podemos aprender de este retiro
Este retiro del mercado nos recuerda lo importante que es probar casos extremos de pérdida de conectividad Bluetooth. Debe comprender qué sucede cuando se pierde una conexión, así como los factores externos que pueden hacer que un dispositivo o una aplicación interrumpan la conexión.

Recordatorio n.º 2: qué sucede cuando no se prepara para todos los posibles problemas de interferencia de la señal

Fecha de retiro: 26 de noviembre de 2021
Tipo de Dispositivo: Activo Implantable
Función principal: Derivación ventricular (asistencia)
Clasificación de riesgo del dispositivo: Clase III
Fabricante: Abbot
Dispositivo retirado del mercado: Sistema de comunicación táctil HeartMate

Vivimos en un entorno con muchos dispositivos habilitados para Bluetooth diferentes que transmiten en la misma longitud de onda en la misma área geográfica. Este tráfico de radio acumulativo puede causar interferencias en la señal, lo que puede afectar el correcto funcionamiento de un dispositivo. Dada la omnipresencia de los dispositivos habilitados para Bluetooth, la interferencia de la señal es un caso extremo importante para probar. Lo que lo hace único entre los casos extremos es que las simulaciones de alta fidelidad de situaciones del mundo real no son un asunto de bricolaje. Más bien, estas pruebas deben realizarse en un laboratorio certificado y también cumplir con los requisitos de la Comisión Federal de Comunicaciones (FCC) estándares para dispositivos inalámbricos y de radio.

En este recuerdo, la interferencia de la señal causó problemas en dos dispositivos médicos diferentes que fueron diseñados para funcionar en conjunto. El sistema de comunicación táctil HeartMate es utilizado por médicos en un entorno hospitalario. Este sistema interactúa con otro dispositivo médico, el sistema de asistencia ventricular izquierdo (LVAS) HeartMate 3, para obtener datos de rendimiento del sistema. Sin embargo, se descubrió que si otro dispositivo habilitado para Bluetooth cercano anunciaba la conexión (por ejemplo, Airpods o una impresora) mientras el LVAS intentaba conectarse al sistema de comunicación, la aplicación del sistema de comunicación táctil HeartMate se cerraba inesperadamente o no se iniciaba correctamente.

Lo que todos podemos aprender de este retiro
Su dispositivo médico habilitado para Bluetooth se usará en una variedad de entornos físicos y de tráfico de radio, por lo que es importante comprender la gama de situaciones posibles en las que se pondrá en uso el dispositivo y probar su dispositivo contra ellas. En cuanto a las amenazas de seguridad, recomendamos validar todos los datos pasados ​​entre la aplicación y el dispositivo usando verificación de redundancia cíclica validación.

Recordatorio n.º 3: cómo detectar errores provocados por actualizaciones del sistema operativo antes de que afecten a su aplicación

Fecha de retiro: 22 de mayo de 2020
Tipo de Dispositivo: Sistema de Monitoreo Continuo de Glucosa
Función principal: control de la diabetes
Clasificación de riesgo del dispositivo: Clase III
Fabricante: Medtronic
Dispositivo retirado: aplicación móvil Guardian Connect

Al distribuir un dispositivo médico a través de los teléfonos inteligentes de los pacientes, debe realizar pruebas adecuadas de las actualizaciones del sistema operativo del teléfono inteligente antes de que las actualizaciones se utilicen en los dispositivos que ejecutan las aplicaciones de su dispositivo médico. Aplicación móvil Guardian Connect de Medtronic encontré este problema, donde una actualización del iPhone OS provocó que la aplicación realizara llamadas de Bluetooth al transmisor inalámbrico del sistema con más frecuencia de lo especificado, agotando prematuramente su batería recargable y reduciendo el tiempo previsto del dispositivo entre recargas.

Lo que todos podemos aprender de este retiro
Es difícil mantenerse al día con el panorama cambiante del mercado Trae tu propio dispositivo (BYOD), pero es necesario hacerlo para aprovechar los beneficios de la implementación y la escalabilidad aceleradas de tu solución. Para abordar los cambios del sistema operativo, recomendamos automatizar las pruebas en combinaciones representativas de hardware y software. Esto facilita la identificación y el tratamiento de problemas antes de que lleguen al mercado BYOD.

También recomendamos encarecidamente implementar una verificación de autovalidación a nivel de campo en su dispositivo. Esta prueba se ejecuta cuando se inicia una aplicación para asegurarse de que funciona correctamente. En caso de que suceda algo en el lado del sistema operativo que cause problemas, la aplicación lo detectará y tomará las medidas adecuadas según su funcionalidad diseñada (las opciones de lo que puede hacer un dispositivo en este escenario podrían ser el tema de otro blog). Esta capa adicional de características de seguridad le da al fabricante del dispositivo la oportunidad de enviar un parche lo antes posible antes de que el problema afecte el tratamiento.

La alternativa es dar smartphones a los pacientes para que los utilicen con el dispositivo periférico. Esto reduce la escalabilidad de su dispositivo, pero permite un control mucho más estricto de las actualizaciones del sistema operativo mediante la administración de dispositivos en Administración de dispositivos móviles.

Recordatorio n.º 4: Por qué necesita mantener sincronizados todos los componentes de su dispositivo médico

Fecha de retiro: 27 de enero de 2012
Tipo de dispositivo: Sistema de imágenes radiológicas
Función principal: angiografía
Clasificación de riesgo del dispositivo: Clase II
Fabricante: Siemens
Dispositivos retirados del mercado: Sistemas angiográficos modulares AXIOM Artis y AXIOM Artis Zee

Al diseñar un sistema de dispositivo médico conectado con múltiples componentes, es importante mantener las versiones de las tecnologías del dispositivo (por ejemplo, firmware, sistema operativo, aplicaciones y hardware) sincronizadas y funcionando correctamente a medida que se actualiza cualquier componente. De lo contrario, es posible que se encuentre con el problema visto en este recuerdo para dos sistemas de angiografía. Se descubrió que podía ocurrir un mal funcionamiento si el interruptor de pie remoto o la unidad estacionaria estaban equipados con un firmware incorrecto en la interfaz Bluetooth que realizaba la comunicación entre los dos.

Lo que todos podemos aprender de este retiro
Mantener el control de versiones para garantizar la compatibilidad entre todos los componentes de un dispositivo médico es fundamental no solo para Bluetooth sino también para la gestión de riesgos de ciberseguridad. Necesita mecanismos robustos y predefinidos para gestionar y probar cambios en el sistema, como cuando se introduce nuevo hardware o evolucionan los sistemas operativos.

_________________________________________________________________________

¿Busca un socio para desarrollar su dispositivo médico con Bluetooth? La extensa biblioteca de casos extremos, métodos de prueba y mitigaciones de Orthogonal lo ayudará a aprovechar al máximo la comunicación Bluetooth para dispositivos médicos conectados.