Vermeiden Sie häufige Fallstricke im Softwareentwicklungslebenszyklus für medizinische Geräte und gemäß IEC 62304

IEC 62304, der internationale Standard, der die Anforderungen an den Lebenszyklus der Softwareentwicklung für Medizinprodukte definiert, wurde aus der Perspektive entwickelt, dass Produkttests allein nicht ausreichen, um die Patientensicherheit zu gewährleisten. Er bietet einen gemeinsamen Rahmen für Hersteller medizinischer Geräte zur Entwicklung von Softwarekomponenten. Die Konformität mit dieser Norm zeigt, dass ein Softwareentwicklungsprozess vorhanden ist, der die Anforderungen der Medizinprodukterichtlinie erfüllt.

Wenn Ihr medizinisches Gerät über eine Software verfügt, die seine Funktionalität auf eine Weise reguliert, die zur grundlegenden Sicherheit oder wesentlichen Leistung beiträgt, dann müssen Sie entsprechen der IEC 62304Dieser Standard erfordert, dass alle Aspekte des Softwareentwicklungslebenszyklus (SDLC) angemessen verwaltet werden, um die Patientensicherheit zu gewährleisten, einschließlich:

• Entwicklung und Codeüberprüfungen
• Risikomanagement
• Konfigurationsmanagement
• Vorfall- und Fehlerbehebung
• Validierung
• Wartung

Der häufigste Fehler, den Hersteller von Medizinprodukten machen, besteht darin, nicht zu beurteilen, welche Risikoelemente Ihre Software mildert diese Risiken. Diese Elemente müssen in der IEC 62304 berücksichtigt werden. Was würde beispielsweise passieren, wenn der Entwickler eines Lifters die Software, die dem Lifter signalisiert, den Patienten mit einer bestimmten Geschwindigkeit abzusenken, nicht ordnungsgemäß überprüft? Würde ein Patient zu schnell – oder gar nicht – abgesenkt, wäre das Risikomanagement ein Albtraum. Da Software zu den grundlegenden Sicherheitsfunktionen des Lifters beiträgt, muss sie die Anforderungen der IEC 62304 erfüllen.

Zu den Problemen, die Hersteller gängiger Softwarefunktionen als Konformitätsprobleme mit IEC 62304 nicht erkennen, gehören:

• Alarme und Warnungen - oft eine wesentliche Leistungsanforderung, da sie dazu dienen, Anomalien zu erkennen
• Geschwindigkeits- und Positionssensoren - Einsatz von Software zur Begrenzung von Bewegungsumfang, Geschwindigkeit und Kraft, die grundlegende Sicherheitsbedenken darstellen
• Algorithms - Entfernen Sie die Software und das Gerät kann nicht mehr wie vorgesehen funktionieren, was dazu führt, dass die Algorithmen Teil der wesentlichen Leistung sind

Klar definierte Prozesse für Ihr Unternehmen und insbesondere Ihren Softwareentwicklungszyklus sind entscheidend. IEC 62304 legt verschiedene Erwartungen an die Informationen fest, die in Ihren SDLC-Verfahren enthalten sein sollten, darunter:

• Dokumentation Ihres Prozesses – Dokumentenmanagement ist essential zur Erfüllung von Compliance-Zielen
• Software unbekannter Herkunft (SOUP) – verwalten Sie Ihre SOUP entsprechend
• Dokumententwicklung – Stellen Sie sicher, dass Sie über ausreichend Ressourcen verfügen, um den Bedarf an Dokumententwicklung zu decken
• Versionskontrolle und Updates – Definieren Sie Software-Updates klar und deutlich und geben Sie an, wie die Software in einem validierten Zustand gehalten wird.

Hersteller medizinischer Geräte suchen häufig 3^rd Unterstützung bei der Softwareentwicklung durch Dritte. Der Hersteller bleibt jedoch für die Gerätesoftware verantwortlich. Wichtige Aspekte, die Sie bei der Auslagerung Ihrer Softwareentwicklung berücksichtigen sollten, sind:

• Lieferantenmanagementprozess - Bestätigen Sie, dass Ihr Softwareanbieter die IEC 62304 einhält und seine Prozesse im Rahmen eines Lieferantenaudits überprüft werden
• Qualitätsvereinbarung – bestätigen Sie Folgendes:
  • Es definiert die Verantwortlichkeiten des Anbieters und die IEC 62304-Liefergegenstände
  • Die für die Softwareentwicklung verwendeten Anbieterverfahren werden Ihnen und dem Testlabor zur Überprüfung zur Verfügung gestellt
• Richten Sie Ihren SDLC ein – Ihr Prozess definiert mindestens die Akzeptanzkriterien (z. B. IEC 62304-Konformität und Liefergegenstände) Ihres Lieferanten

Sobald Sie wissen, dass Sie die IEC 62304 einhalten müssen, wie bereiten Sie sich darauf vor? Zunächst einmal sollten Sie wissen, dass die Einhaltung dieser Norm die Umsetzung aller in der Norm festgelegten Prozesse, Aktivitäten und Aufgaben gemäß der Software-Sicherheitsklasse bedeutet. Die Norm 62304 selbst schreibt weder eine bestimmte Organisationsstruktur noch ein spezifisches Format für die Dokumentation vor. Die Einhaltung wird durch die Überprüfung aller erforderlichen Unterlagen, einschließlich der Risikomanagementakte, festgestellt.

Die IEC 62304-Datei wird überprüft, um Folgendes sicherzustellen:

• Es enthält alle erforderlichen Unterlagen, einschließlich einer Risikomanagementdatei
• Die Verfahren erfüllen die Anforderungen der Norm
• Jeder Punkt der Checkliste ist erfüllt
• Es wird eine Produktüberprüfung durchgeführt und anschließend eine Überprüfung der relevanten Softwaresegmente, wenn entschieden wurde, dass die Software grundlegende Sicherheits- oder wesentliche Leistungsanforderungen für Ihr Gerät erfüllt.

Wenn Sie in eine der oben genannten Fallen tappen, haben Sie wahrscheinlich ein Problem. Sie erhalten entweder gar keinen Bericht oder einen Bericht, in dem steht, dass Sie gegen die Norm IEC 60601-1 oder IEC 62304 verstoßen haben.

Da die Standards in den USA freiwillig sind, müssen Sie nicht unbedingt Produktänderungen vornehmen. Sie müssen jedoch für jeden „Fehler“ eine Begründung angeben. AbweichungWenn Sie eine gültige Begründung haben, sollte Ihr Gerät dennoch die behördliche Zulassung der FDA erhalten, obwohl die Entwicklung dieser Begründung an sich schon ein langwieriger Prozess sein kann. Letztendlich ist es jedoch möglicherweise effizienter, die IEC 62304 einzuhalten.

Laden Sie hier Ihre IEC 62304-Aktionsliste herunter.

Autor: Russ King ist Präsident von Methodsense, ein Beratungsunternehmen, das seinen Kunden dabei hilft, medizinische und technologische Durchbrüche zu erzielen, indem es die Anforderungen erfüllt, die für die Markteinführung ihrer Produkte erforderlich sind.