Evite as armadilhas comuns do ciclo de vida de desenvolvimento de software para dispositivos médicos e da norma IEC 62304

A IEC 62304, a norma internacional que define os requisitos do ciclo de vida de desenvolvimento de software para dispositivos médicos, foi desenvolvida partindo da perspectiva de que os testes de produtos por si só são insuficientes para garantir a segurança do paciente. Ela fornece uma estrutura comum para fabricantes de dispositivos médicos para desenvolver componentes de software. A conformidade com esta norma demonstra que existe um processo de desenvolvimento de software em vigor que atende aos requisitos da Diretiva de Dispositivos Médicos.

Se o seu dispositivo médico tiver um software que regula sua funcionalidade de uma forma que contribua para a Segurança Básica ou Desempenho Essencial, você precisará em conformidade com a norma IEC 62304. Esta norma exige que todos os aspectos do Ciclo de Vida de Desenvolvimento de Software (SDLC) sejam gerenciados adequadamente para garantir a segurança do paciente, incluindo:

• Desenvolvimento e revisões de código
• Gestão de riscos
• Gerenciamento de configuração
• Resolução de incidentes e bugs
• Validação
• Manutenção

O erro mais comum que os fabricantes de dispositivos médicos cometem é não avaliar quais elementos de risco O software atenua. Esses são os elementos que devem ser abordados pela IEC 62304. Por exemplo, o que aconteceria se o criador de um elevador não verificasse adequadamente o software que sinalizava ao elevador para descer o paciente a uma determinada velocidade? Se um paciente fosse descido muito rapidamente – ou não descido – haveria um pesadelo na gestão de riscos. Como o software desempenha um papel nas funções básicas de segurança do elevador, ele deve estar em conformidade com os requisitos da norma 62304.

Os fabricantes comuns de funcionalidades de software que não reconhecem problemas de conformidade com a IEC 62304 incluem:

• Alarmes e Alertas - frequentemente um requisito de desempenho essencial porque se destinam a detectar anormalidades
• Sensores de velocidade e posição - uso de software para limitar a amplitude de movimento, velocidade e força, que são preocupações básicas de segurança
• Algoritmos - remova o software e o dispositivo não será mais capaz de operar conforme o esperado, resultando nos algoritmos sendo parte do Desempenho Essencial

É fundamental ter processos claramente definidos para sua empresa e, em particular, para o seu Ciclo de Vida de Desenvolvimento de Software. A IEC 62304 identifica diversas expectativas relacionadas às informações que devem ser incluídas em seus procedimentos de SDLC, incluindo:

• Documentação do seu processo – a gestão de documentos é essencial para atingir metas de conformidade
• Software de Origem Desconhecida (SOUP) – administre sua SOPA adequadamente
• Desenvolvimento de Documentos – certifique-se de que você tem recursos suficientes para dar suporte às necessidades de desenvolvimento de documentos
• Controle de versão e atualizações – definir claramente as atualizações de software e como o software será mantido em um estado validado.

Os fabricantes de dispositivos médicos frequentemente buscam 3^rd Assistência para desenvolvimento de software terceirizado. No entanto, o fabricante permanece responsável pelo software do dispositivo. Pontos importantes a serem considerados ao contratar o desenvolvimento do seu software incluem:

• Processo de Gestão de Fornecedores - confirme se o seu fornecedor de software está em conformidade com a IEC 62304 e se seus processos são revisados ​​durante a auditoria do fornecedor
• Acordo de Qualidade – confirme que:
  • Ele define as responsabilidades do fornecedor e os resultados da IEC 62304
  • Os procedimentos do fornecedor usados ​​para o desenvolvimento de software serão fornecidos a você e ao laboratório de teste para revisão
• Estabeleça seu SDLC – no mínimo, seu processo definirá critérios de aceitação (ou seja, conformidade com a IEC 62304 e entregas) do seu fornecedor

Depois de saber que você deve cumprir a IEC 62304, como se preparar? Para começar, saiba que a conformidade com esta norma é definida como a implementação de todos os processos, atividades e tarefas identificados na norma de acordo com a classe de segurança de software. A 62304 em si não prescreve uma estrutura organizacional específica ou um formato específico para documentação. A conformidade é determinada pela revisão de toda a documentação necessária, incluindo o arquivo de gerenciamento de riscos.

O arquivo IEC 62304 será revisado para garantir:

• Contém toda a documentação necessária, incluindo um arquivo de gerenciamento de risco
• Os procedimentos atendem aos requisitos da norma
• Cada item da lista de verificação é satisfeito
• Uma revisão do produto é conduzida e, posteriormente, uma revisão dos segmentos de software relevantes se for decidido que o software executa Segurança Básica ou Desempenho Essencial para o seu dispositivo

Se você cair em qualquer uma das armadilhas mencionadas acima, provavelmente terá um problema. Você não receberá nenhum relatório ou receberá um relatório informando que você foi reprovado em algum ponto da norma IEC 60601-1 ou IEC 62304.

Como os padrões são voluntários nos EUA, você não precisa necessariamente fazer alterações no produto. No entanto, para cada "falha", você deverá fornecer uma justificativa para cada desvioSe você tiver uma justificativa válida, seu dispositivo ainda deverá obter a aprovação regulatória da FDA, embora o desenvolvimento dessa justificativa possa ser um processo demorado. No final, porém, você pode achar mais eficiente cumprir a norma IEC 62304.

Baixe sua lista de ações IEC 62304 aqui.

Autor: Russ King é presidente da Methodsense, uma empresa de consultoria que ajuda os clientes a oferecer avanços médicos e tecnológicos, atendendo efetivamente aos requisitos necessários para levar seus produtos ao mercado.