Formal Approaches to Safe Software Development for Medical Devices - PowerPoint PPT Presentation

Formal Approaches to Safe Software Development for Medical Devices by ¡Alena ¡Simalatsar ¡ RiSD, ¡EPFL ¡ In ¡collabora9on ¡with: ¡ Nicolas ¡Widmer, ¡Thierry ¡Buclin, ¡CHUV ¡ Romain ¡Bornet, ¡Yann ¡Thoma, ¡HEIG-­‑VD ¡ Dechao ¡Sun, ¡Wenqi ¡You, ¡Giovanni ¡De ¡Micheli, ¡EPFL EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015

Better “safe” than “sorry” ❖ “The ¡problem ¡in ¡medical ¡errors ¡is ¡not ¡bad ¡people ¡in ¡health ¡ care—it ¡is ¡that ¡good ¡people ¡are ¡working ¡in ¡bad ¡systems ¡that ¡ need ¡to ¡be ¡made ¡safer”[1] The ¡gap ¡between ¡medical ¡and ¡engineering ¡domains ¡ ¡ [1] ¡To ¡Err ¡Is ¡Human: ¡Building ¡a ¡Safer ¡Health ¡System ¡(2000), ¡Linda ¡T. ¡Kohn, ¡Janet ¡M. ¡Corrigan, ¡and ¡Molla ¡S. ¡ Donaldson EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 2

Better “safe” than “sorry” ❖ “The ¡problem ¡in ¡medical ¡errors ¡is ¡not ¡bad ¡people ¡in ¡health ¡ care—it ¡is ¡that ¡good ¡people ¡are ¡working ¡in ¡bad ¡systems ¡that ¡ need ¡to ¡be ¡made ¡safer”[1] The ¡gap ¡between ¡medical ¡and ¡engineering ¡domains ¡ ¡ [1] ¡To ¡Err ¡Is ¡Human: ¡Building ¡a ¡Safer ¡Health ¡System ¡(2000), ¡Linda ¡T. ¡Kohn, ¡Janet ¡M. ¡Corrigan, ¡and ¡Molla ¡S. ¡ Donaldson EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 3

On the one hand Nowadays, ¡there ¡exist ¡a ¡large ¡set ¡of ¡electronic ¡medical ¡devices ¡to ¡support ¡ ❖ medical ¡doctors ¡in ¡the ¡process ¡of ¡paBents: • Monitoring • Controlling • Treatment ❖ These ¡devices ¡are ¡controlled ¡by ¡software: ¡1) ¡drivers ¡ ¡2) ¡decision-­‑support ❖ Software ¡developers ¡have ¡no ¡medical ¡knowledge: ¡ • Assume ¡the ¡requirements ¡ • P roduce ¡open ¡interface ¡devices ¡that ¡need ¡to ¡be ¡further ¡used ¡and ¡programmed ¡ ¡ • By ¡medical ¡doctors ¡with ¡now ¡engineering ¡background EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 4

On the other hand ❖ When ¡treating ¡patients ¡practitioners ¡are ¡following ¡Medical ¡Guidelines ¡ • A ¡ Medical ¡ Guideline ¡ (GL) ¡ – ¡ is ¡ a ¡ document ¡ used ¡ to ¡ guiding ¡ decisions ¡ and ¡ criteria ¡ regarding ¡ diagnosis , ¡ management ¡and ¡ treatment ¡in ¡specific ¡areas ¡of ¡healthcare ¡ ❖ However, ¡GLs ¡are ¡often: ¡ • Non ¡formally ¡represented ¡(text ¡form ¡and ¡likely ¡tables), ¡therefore ¡ • Suffer ¡ from ¡ such ¡ structural ¡ problems ¡ as: ¡ incompleteness , ¡ inconsistency , ¡ ambiguity ¡ and ¡ redundancy ¡ ¡ ❖ Which: ¡ • Source ¡of ¡errors ¡when ¡applying ¡them ¡ • Make ¡automatisation ¡of ¡the ¡GLs ¡hard ¡ Formalize Verify Compose EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 5

From GLs to Executable Code =258&'( 1"%$,$2+3 !"#$%&'( >"45","+/&/$2+( ,*4425/(67,/"8( @52/2%2'( )*$#"'$+",($+( 67+/<",$,( 25(92#"(:25(&+( =258&'$D&/$2+(( !"#$%&'(")*&+,' -"./(&+#( 3-?( ;80"##"#( -#".*#/0*+,' 3@528"'&( -&0'",(( 67,/"8(( B-BC(9-B( 36!A(( ( ( =258&'(!2#"'$+E(&+#(A"5$:$%&/$2+(F$/<(-?-( "#$$%#! "($$%(! "#&$'! "(&$'! Give Location1 Calculate GiveDose t1<p1, t2<p2, t3<p3 CalculateDose ")$$%)! Location_4 Terminate EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 6

Agenda ❖ Exis%ng ¡formalisms ¡ ❖ ImaBnib ¡GL ¡modelling ¡ ❖ Response ¡to ¡the ¡treatment ¡definiBon ¡ ❖ Protocol ¡formal ¡analysis ¡ ❖ Conclusion: ¡drug ¡delivery ¡reminder EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 7

Medical Records Formal ¡Modeling ¡ Common ¡practice • – Arden ¡(1989) ¡ Formal ¡Verification ¡ • – Asbru ¡(1998) ¡ SPIN ¡(Promela); ¡ translation – – EON ¡(1996) ¡ SMV ¡symbolic ¡model ¡checker; ¡ ¡ – – GLARE ¡(1997) ¡ – GLIF ¡(1998) ¡ – GUIDE ¡(1998) ¡ – Prestige ¡(1996) ¡ – PRODIGY ¡(1996) ¡ – PROforma ¡(1992 ¡-­‑ ¡2000) ¡ Some are discontinued - – SAGE ¡(2002) ¡ No support for verification - – Stepper ¡(2001 ¡-­‑ ¡2003) Trace back the counterexamples is hard - Notion of time only in flow-chart order - EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 8

Timed Automata (TA) ���� ���� �� � ������ �� � � � �� �� � �� � ������ ���� ���� EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 9

Timed Automata extended with Tasks (TAT) Task queue: CalculateDose GiveDose CalculateDose GiveDose … Terminate EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 10

Agenda ❖ ExisBng ¡formalisms ¡ ❖ Ima%nib ¡GL ¡modelling ¡ ❖ Response ¡to ¡the ¡treatment ¡definiBon ¡ ❖ Protocol ¡formal ¡analysis ¡ ❖ Conclusion: ¡drug ¡delivery ¡reminder EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 11

Imatinib GL modeling EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 12

Agenda ❖ ExisBng ¡formalisms ¡ ❖ ImaBnib ¡case ¡study ¡modelling ¡ ❖ Response ¡to ¡the ¡treatment ¡defini%on ¡ ❖ Protocol ¡formal ¡analysis ¡ ❖ Conclusion: ¡drug ¡delivery ¡reminder EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 13

Response definition Warnings Failure Suboptimal response Optimal response - High risk a BASELINE / / / - CCA/Ph + b 3 months / - Non CHR - No CgR (Ph+ > 95%) - At least minor CgR (Ph+ � 65%) 6 months / - No CgR (Ph+ > 95%) - Less than PCgR - At least PCgR (Ph+ > 35%) (Ph+ � 35%) - Less than MMolR b 12 months - Less than PCgR - PCgR (Ph+ 1–35%) - CCgR (Ph+ > 35%) - Less than MMolR c - MMolR c 18 months / - Less than CCgR - Loss of MMolR c Any Time, - Rise in transcript levels - Loss of CHR - Stable or improving - CCA/Ph- d - Mutations f MMolR c during treatment - Loss of CCgR - Mutations e - CCA/Ph + b a High risk according to Sokal [47] or Hasford [48] Definition of haematologic, cytogenetic and molecular response. - WBC < 10 � 10 9 /L, no immature granulocytes, Complete Hematologic Response (CHR) less than 5% basophils, platelets < 450x10 9 /L, spleen non palpable Complete Cytogenetic Response (CCgR) - No Ph þ metaphases Partial Cytogenetic Response (PCgR) - 1–35% Ph þ metaphases Minor Cytogenetic Response (mCgR) - 36–65% Ph þ metaphases Minimal Cytogenetic Response (minCgR) - 66–94% Ph þ metaphases No Cytogenetic Response (NoCgR) - � 95% Ph þ metaphases Major Molecular Response (MMolR) - BCR-ABL: ABL � 0.1% on the International Scale Complete Molecular Response (CMolR) - BCR-ABL transcript undetectable by RT-Q-PCR M. ¡Baccarani, ¡F. ¡CastagneA, ¡G. ¡GuglioCa, ¡F. ¡Palandri, ¡and ¡S. ¡Soverini. ¡Response ¡defini%ons ¡and ¡european ¡leukemia ¡ management ¡recommenda%ons. ¡Best ¡Pract ¡Res ¡Clin ¡Haematol, ¡22(3):331–41, ¡2009. ¡ EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 14

Response definition - graph EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 15

Response definition - optimal response EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 16

Response definition - loss of response EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 17

Response definition - lack of response EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 18

Response observer Observer ¡TAT: ¡ TAT ¡insures ¡that ¡the ¡progressive ¡ paBent ¡reacBon ¡to ¡the ¡treatment ¡ will ¡always ¡remain ¡at ¡least ¡above ¡ the ¡failure ¡level, ¡at ¡the ¡level ¡of ¡ subopBmal ¡response ¡and ¡higher. EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 19

Agenda ❖ ExisBng ¡formalisms ¡ ❖ ImaBnib ¡case ¡study ¡modelling ¡ ❖ Response ¡to ¡the ¡treatment ¡definiBon ¡ ❖ Protocol ¡formal ¡analysis ¡ ❖ Conclusion: ¡drug ¡delivery ¡reminder EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 20

Imatinib GL extended EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 21

Imatinib GL extended EPFL Workshop on Logic Synthesis & Verification, December 10-11, 2015 22