IEC-Softwarestandards: Was ist IEC 62304 und seine Verwendung bei der Konformität von Medizinprodukten?

IEC 62304 ist ein funktionaler Sicherheitsstandard für medizinische Geräte, dessen Einhaltung für Softwareentwickler von entscheidender Bedeutung ist. Ganz gleich, ob es sich um einen Arzt, einen Facharzt oder eine Krankenschwester handelt: Gesundheitsdienstleister sind bei der Behandlung ihrer Patienten auf medizinische Geräte angewiesen. Diese sicherheitskritischen Systeme müssen sicher und zuverlässig sein, um sicherzustellen, dass alles getan wurde, um katastrophale Ausfälle zu verhindern, die zum Tod oder zu ernsthaften Industrieschäden führen könnten. Um das Risiko einzuschätzen, hat die US-amerikanische Food and Drug Administration (FDA) ein Klassifizierungssystem erstellt, das bei der Entwicklung dieser sicherheitskritischen Systeme helfen soll.

Medizinische Geräte können in drei Kategorien einsortiert werden.

• Klasse I. Geräte mit geringem Risiko, die nicht dazu bestimmt sind, Leben zu unterstützen oder zu erhalten. Dazu können Gegenstände wie ein Verband, eine Krücke oder ein nicht elektrischer Rollstuhl gehören.
• Klasse II. Geräte mit mittlerem Risiko kommen in dauerhaften Kontakt mit einem Patienten und der Arzt muss geschult werden, um sie zu verwenden. Diese Geräte können Katheter, Blutdruckmanschetten oder intravenöse Infusionspumpen umfassen.
• Klasse III. Geräte mit hohem Risiko, die das Leben erhalten oder unterstützen sollen. Geräte der Klasse III sind lebensrettende Hilfsmittel wie Defibrillatoren, Herzschrittmacher oder Hochfrequenzbeatmungsgeräte.

Von allen Klassifizierungen entfallen nur Geräte der Klasse III 10 Prozent aller von der FDA regulierten Geräte. Das liegt am Risiko. Wenn Gesundheitsdienstleister auf ein spezielles medizinisches Gerät angewiesen sind, um Leben zu retten, muss es jedes Mal die Erwartungen erfüllen. Dazu müssen Sie die Compliance-Bestimmungen von Grund auf erfüllen, und dafür wurde IEC 62304 entwickelt.

Was ist IEC 62304?

Erstellt von der Internationalen Organisation für Normung (ISO), IEC 62304 ist der Standard, der den Prozess und die erforderlichen Ziele für die sichere Entwicklung von Software für medizinische Geräte festlegt. Diese Richtlinien betreffen alle Phasen des Software Development Life Cycle (SDLC) und decken alles von der anfänglichen Planung und Anforderungsanalyse bis hin zum Testen von Softwaresystemen und zur Gerätebereitstellung ab.

Obwohl IEC 62304 mit einer sehr detaillierten Dokumentation gefüllt ist, die Ihnen sagt, was getan werden sollte, um konforme Software zu erstellen, besteht der Nachteil darin, dass es Ihnen nicht wirklich sagt, wie es gemacht werden sollte. Diese Richtlinien wurden bewusst auf diese Weise erstellt, um evolutionären Veränderungen in der Entwicklungspraxis oder der Einführung neuer Technologien Rechnung zu tragen. Es liefert also nicht wirklich das „Wie“, um Flexibilität und Erweiterung zu ermöglichen.

Umfang und Zweck der IEC-Softwarestandards

Der Anwendungsbereich der IEC 62304 deckt den gesamten Softwareentwicklungslebenszyklus medizinischer Geräte ab und umfasst Prozesse wie Risikomanagement, Softwaredesign, Verifizierung, Validierung, Wartung, Dokumentation und Legacy-Software, wobei der Schwerpunkt auf der Gewährleistung der Sicherheit und Wirksamkeit medizinischer Geräte liegt Gerätesoftware während ihres gesamten Lebenszyklus. Nachfolgend sind die Kernbereiche aufgeführt, die von IEC 62304 abgedeckt werden.

1. Software für medizinische Geräte. IEC 62304 gilt für Software, die integraler Bestandteil eines medizinischen Geräts ist oder für die Softwareentwicklung für medizinische Geräte bestimmt ist. Dazu kann Software gehören, die zur Steuerung, Überwachung, Datenverarbeitung und Patientenverwaltung medizinischer Geräte verwendet wird.
2. Software-Lebenszyklus. Der Standard befasst sich mit dem gesamten Software-Entwicklungslebenszyklus, vom ersten Konzept bis zum Ende des Software-Supports. Dies umfasst Prozesse wie Anforderungsmanagement, Softwareentwicklung, Wartung und Obsoleszenzmanagement.
3. Risikomanagement. IEC 62304 beinhaltet einen risikobasierten Ansatz zur Steuerung der Softwareentwicklung für den Einsatz in der Gesundheitsbranche. Es schreibt die Identifizierung, Bewertung und Minderung der mit der Software verbundenen Risiken vor, um die Patientensicherheit und die Wirksamkeit der Geräte zu gewährleisten.
4. Softwarewartung und -änderungen. Der Standard bietet Richtlinien für die Verwaltung von Softwarewartung und -änderungen, einschließlich Software-Updates, Patches und Modifikationen, um die Sicherheit und Leistung der Software im Laufe der Zeit aufrechtzuerhalten.
5. Dokumentation. IEC 62304 schreibt eine gründliche Dokumentation des Softwareentwicklungsprozesses vor. Diese Dokumentation dient als Nachweis der Compliance und ist für behördliche Einreichungen und Audits von entscheidender Bedeutung.
6. Verifizierung und Validierung. Der Standard beschreibt Prozesse zur Verifizierung und Validierung der Software, um zu bestätigen, dass sie ordnungsgemäß funktioniert, das richtige Produkt erstellt wurde und den gesetzlichen Anforderungen entspricht.
7. Integration mit Hardware. Der Standard befasst sich mit der Integration von Software und Hardwarekomponenten in medizinischen Geräten und stellt sicher, dass die Software sicher und effektiv mit der Hardware des Geräts interagiert.
8. Einhaltung regulatorischer Anforderungen. Die Einhaltung der IEC 62304-Standards ist für die behördliche Zulassung in verschiedenen Regionen, einschließlich der, von entscheidender Bedeutung FDA der Vereinigten Staaten und der Europäischen Union (MDR). Compliance erleichtert den Marktzugang und reduziert regulatorische Hürden.

Der Hauptzweck der IEC 62304 besteht darin, die Sicherheit und Leistung der Software medizinischer Geräte während ihres gesamten Lebenszyklus zu gewährleisten. Der Zweck besteht darin, dass die wichtigsten Ziele unter der folgenden Überschrift zusammengefasst sind:

1. Bereitstellung eines gemeinsamen Rahmens für die Lebenszyklusprozesse von Software für medizinische Geräte.
2. Festlegung von Anforderungen für die Entwicklung, Verifizierung, Validierung, Wartung und das Risikomanagement von Software für medizinische Geräte.
3. Um die Sicherheit und Zuverlässigkeit der Software für medizinische Geräte zu gewährleisten.

Wichtige Anforderungen der IEC 62304

Die IEC 62304 beschreibt mehrere Schlüsselanforderungen, die für die Entwicklung von Software für medizinische Geräte von entscheidender Bedeutung sind. Diese Anforderungen bilden einen Rahmen zur Gewährleistung der Sicherheit, Wirksamkeit und Konformität von Software für medizinische Geräte. Hier werden wir einige der wichtigsten Anforderungen detailliert beschreiben.

1. Softwareentwicklungsprozess

IEC 62304 schreibt die Etablierung eines strukturierten Ansatzes für die Softwareentwicklung vor, einschließlich einer klaren Dokumentation von Prozessen, Aktivitäten und Aufgaben. Diese Anforderung stellt sicher, dass medizinische Software systematisch entwickelt wird, wobei der Schwerpunkt auf Patientensicherheit und Wirksamkeit liegt. Gemäß dieser Anforderung muss jede Phase des Softwareentwicklungsprozesses, von der Anforderungsspezifikation bis hin zu Design, Codierung, Tests und Wartung, gut dokumentiert und sorgfältig eingehalten werden.

2. Risikomanagement

Risikomanagement ist eine zentrale Anforderung der IEC 62304. Medizingerätesoftware muss einer umfassenden Gefahrenanalyse und Risikobewertung unterzogen werden. Dies bedeutet, dass Hersteller potenzielle Gefahren und Risiken identifizieren und bewerten müssen, die mit der Verwendung der Software verbunden sind, einschließlich Risiken im Zusammenhang mit der Patientensicherheit, Softwarefehlern und unzureichender Leistung. Diese Risiken werden dann durch geeignete Entwurfs-, Test- und Kontrollmaßnahmen sortiert, um sicherzustellen, dass die Software sicher und effektiv funktioniert.

3. Softwarewartung

Der Standard beschreibt auch spezifische Anforderungen an die Softwarewartung, da die Wartung der Software in einem medizinischen Gerät genauso wichtig ist wie die anfängliche Entwicklung. Hersteller müssen Prozesse zur Überwachung, Wartung und Behebung von Problemen im Zusammenhang mit Software-Updates und -Patches einrichten.

4. Verifizierung und Validierung

IEC 62304 erfordert strenge Verifizierungs- und Validierungsprozesse. Sie gehen Hand in Hand.
Bei der Verifizierung geht es darum, sicherzustellen, dass die Software ihrem Design und ihren Anforderungen entsprechend erstellt wurde. Es geht darum, zu bestätigen, dass die Software in Übereinstimmung mit dem Auftrag der IEC 62304-Normen entwickelt wurde. Dabei wird überprüft, ob der Softwareentwicklungsprozess systematischen und gründlichen Codeüberprüfungen, Inspektionen und anderen Designspezifikationen und Codierungsstandards gefolgt ist. Dies ist ein wesentlicher Schritt, um Fehler im Code zu verhindern und das Fehlerpotenzial und Sicherheitsrisiken in der endgültigen Software zu reduzieren.

Andererseits geht es bei der Validierung darum, zu beurteilen, ob die Software ihre beabsichtigten Funktionen in der realen Gesundheitsumgebung effektiv und sicher ausführt. Das bedeutet, sicherzustellen, dass die Software den tatsächlichen Bedürfnissen der Benutzer entspricht, einschließlich medizinischem Fachpersonal und Patienten. Bei der Softwareentwicklung für medizinische Geräte umfasst die Validierung typischerweise das Testen der Software unter Bedingungen, die ihre beabsichtigte Verwendung simulieren.

Sowohl Verifizierungs- als auch Validierungsprozesse können mit Testtools für medizinische Gerätesoftware wie denen von Parasoft durchgeführt werden C / C ++ - Test, Test und dotTEST.

5. Dokumentation und Rückverfolgbarkeit

Eine ausführliche Dokumentation ist eine grundlegende Anforderung der Norm. Alle Phasen des Softwareentwicklungsprozesses müssen gründlich dokumentiert werden. Die Dokumentation sorgt für Transparenz und Rückverfolgbarkeit und ermöglicht es Regulierungsbehörden und Herstellern, den Verlauf der Software zu verstehen und die Konformität zu bestätigen. Es hilft auch bei der rechtzeitigen Identifizierung und Lösung von Problemen oder Mängeln.

6. Kennzeichnung und Anweisungen

Der Software für medizinische Geräte muss eine klare und genaue Kennzeichnung und Anleitung (Handbuch) beiliegen. Der Verwendungszweck, die Einschränkungen und die ordnungsgemäßen Betriebsverfahren der Software sollten gut dokumentiert und den Benutzern und Betreuern zur Verfügung gestellt werden. Diese Anforderung ist von entscheidender Bedeutung, um sicherzustellen, dass medizinisches Fachpersonal und Patienten die Software sicher und effektiv nutzen können.

7. Einhaltung gesetzlicher Anforderungen

Gemäß IEC 62304 müssen Hersteller außerdem die Einhaltung relevanter Anforderungen nachweisen, um Marktzugang und behördliche Genehmigungen zu erhalten. Dadurch wird sichergestellt, dass die Software strengen Sicherheits- und Leistungsstandards entspricht und für den Einsatz im Gesundheitswesen geeignet ist.

Warum gibt es unterschiedliche ISO-Standards für Medizinprodukte?

Es gibt keine einzige ISO-Norm, die alle Bedürfnisse und Arten von Anforderungen abdeckt, um alle medizinischen Geräte sicher und geschützt herzustellen. Stattdessen werden sie häufig in verschiedene Standards unterteilt, um unterschiedliche Aspekte oder Anforderungen des in der Entwicklung befindlichen Geräts abzudecken. Für einige Standards werden Änderungen hinzugefügt, um Aktualisierungen vorzunehmen und/oder aufkommende Probleme zu beheben. Obwohl bei der Einhaltung von Compliance-Vorschriften eine Menge Arbeitskosten und Informationen im Auge zu behalten sind, liegt es in der Tat im besten Interesse von Medizinunternehmen, sichere Produkte zu liefern, die dazu beitragen, die Sicherheit des Arztes und des Patienten zu gewährleisten.

Beispielsweise ist ISO 9001 ein Standard, der nicht unbedingt für die Gesundheitsbranche entwickelt wurde. Der Schwerpunkt liegt darauf, sicherzustellen, dass Unternehmen über ein Qualitätsmanagementsystem (QMS) verfügen. Mit einem QMS können Unternehmen die Zufriedenheit der Stakeholder, die Erfüllung behördlicher und gesetzlicher Anforderungen sowie evidenzbasierte Entscheidungen während des gesamten Produktentwicklungslebenszyklus mit Qualität und Mehrwert für die Kunden sicherstellen.

ISO 9001 trägt dazu bei, Qualitätskontrollprozesse (QC) zu verbessern, Kosten zu senken und Wachstum zu ermöglichen. ISO 13485 hingegen ergänzt ISO 9001 durch die Aufnahme zusätzlicher Anforderungen an Medizinprodukte, aber auch durch die Bewertung, ob Ihr QMS angemessen und wirksam ist und gleichzeitig die Sicherheit und Wirksamkeit von Medizinprodukten hervorhebt.

Mit ISO 14001 verfügen Hersteller medizinischer Geräte über Richtlinien zum Aufbau und zur Aufrechterhaltung eines Umweltmanagementsystems (EMS), um Abfall zu reduzieren, die Umweltauswirkungen zu verringern und die Einhaltung gesetzlicher Vorschriften sicherzustellen. Um andere Nachhaltigkeitseinsparungen zu ermöglichen, trägt ISO 50001 dazu bei, die Betriebskosten zu senken, indem es dabei hilft, Wege zur Verbesserung der Energieeffizienz zu finden. Die Werkzeuge und Prozesse, die den Betrieb eines Unternehmens ermöglichen, sind Teil des Qualitätsmanagements eines jeden Unternehmens, und diese Standards sind allesamt Teile des Puzzles.

Was ist ISO 14971 und der darin definierte Risikoprozess?

ISO 14971 wurde speziell für das Risikomanagement von Medizinprodukten entwickelt und hilft Herstellern und Softwareentwicklern, alle mit einem Medizinprodukt verbundenen Gefahren zu erkennen und diese Risiken zu kontrollieren. Die Prozesse in ISO 14971 sollen Risiken mindern, beispielsweise im Zusammenhang mit Biokompatibilität, Daten- und Systemsicherheit, Elektrizität, Strahlung und Zugänglichkeit.

Um diese Art von Bedrohungen zu bewältigen, muss ein Unternehmen die potenziellen Sicherheitsprobleme während des gesamten Produktlebenszyklus identifizieren, bewerten, analysieren und beurteilen. Mit ISO 14971 erhalten Sie einen hilfreichen Standard, der Sie dabei unterstützt, die Wahrscheinlichkeit oder Wahrscheinlichkeit des Auftretens eines Problems zu ermitteln und zu ermitteln, wie schwerwiegend dieses Problem sein könnte, einschließlich der Art und Weise, wie Sie die Risiken kontrollieren und die Wirksamkeit der Kontrollen überwachen können.

Zukünftige Trends und Entwicklungen für IEC 62304

Zukünftige Trends sind nicht leicht vorherzusagen, aber aus dem, was in der medizinischen Softwaregerätelandschaft im Vergleich zu anderen Technologiebereichen passiert, sind hier Trends und mögliche Aktualisierungen, die sich auf den IEC 62304-Standard auswirken könnten.

Cybersicherheit und Datenschutz

Einer der bedeutendsten Trends, die sich auf Software für medizinische Geräte auswirken, ist die zunehmende Fokussierung auf Cybersicherheit und Datenschutz. Die zunehmende Konnektivität medizinischer Geräte mit Netzwerken und Cloud-Diensten hat zu neuen Schwachstellen geführt. Dieser Bedarf wiederum hat auch neue Best Practices für einen sicheren Software-Lebenszyklus hervorgebracht. Die FDA hat kürzlich die Norm IEC 81001-5 mit dem Titel „Sicherheit, Wirksamkeit und Sicherheit von Gesundheitssoftware und Gesundheits-IT-Systemen – Teil 5-1: Sicherheit – Aktivitäten im Produktlebenszyklus“ anerkannt. Der Standard liefert eine Spezifikation der Aktivitäten, die vom Medizingerätehersteller für in Medizingeräte integrierte Software als Teil eines Entwicklungslebenszyklus durchgeführt werden müssen.

Künstliche Intelligenz (KI) und maschinelles Lernen

KI und maschinelles Lernen gewinnen im Gesundheitswesen zunehmend an Bedeutung, da sie das Potenzial für eine verbesserte Diagnostik und Behandlung bieten. Die FDA hat mehrere KI/ML-Software als Medizinprodukteprodukte (SaMD) zugelassen. Allerdings bittet die FDA weiterhin um Feedback, während sie ihre regulatorischen Kriterien in diesem Bereich weiterentwickelt. Die FDA hat Veröffentlichungen herausgegeben, wie zum Beispiel den „Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine Learning (AI/ML) – Base Software as a Medical Device (SaMD)“, um Orientierung zu geben, aber auch Feedback einzuholen. Weitere FAQs rund um FDA AI/ML finden Sie in den FDA-Dokumenten Spezialthemen aus Wissenschaft und Forschung.

Mensch-Maschine-Interaktion

Trotz des Aufschwungs und des zunehmenden Einsatzes neuer Technologien in medizinischen Geräten, wie Wearables, die Daten für Studien und Diagnosen erfassen und analysieren, Robotik wie fortschrittliche Gliedmaßenprothesen, virtuelle Realität (VR) für die präoperative Praxis und Bildung/Schulung, behördliche Überprüfung und Anleitung fehlen noch.

Der Aufstieg des benutzerzentrierten Designs und die zunehmende Komplexität von Softwareschnittstellen für medizinische Geräte erfordern eine Konzentration auf Standards für die Mensch-Maschine-Interaktion (HMI). Zukünftige Aktualisierungen der IEC 62304 könnten detailliertere Empfehlungen für die Gestaltung intuitiver, benutzerfreundlicher Schnittstellen enthalten, insbesondere in Fällen, in denen Software direkt mit Patienten oder Gesundheitsdienstleistern interagiert.

Stärkere Betonung von Interoperabilitätsstandards

Die Interoperabilität medizinischer Geräte mit Gesundheitssystemen und elektronischen Gesundheitsakten nimmt zu. Im Jahr 2023 hat die FDA die folgenden ersten Standards offiziell anerkannt, mit denen Hersteller die Patientenversorgung verbessern könnten, indem sie sicherstellen, dass die Geräte gut zusammenarbeiten.

• ANSI/AAMI 2700-1 (2019)
• AAMI/ANSI/UL 2800 (2022)
• ISO/IEEE 11073-20601 (2019)
• NEMA PS 3.1-3.20 (2022)

Risikobasierte Ansätze

IEC 62304 könnte sich weiterentwickeln und ausgefeiltere risikobasierte Ansätze integrieren, die es Herstellern ermöglichen, ihre Softwareentwicklungsprozesse an die spezifischen Risiken anzupassen, die mit ihren Geräten verbunden sind. Die IEC 62304 allein kann dieses Thema jedoch nicht im Detail abdecken. Die ergänzende und internationale Norm ISO 14971 legt einen Prozess fest, der auf alle Phasen des Lebenszyklus eines Medizinprodukts anwendbar ist und es einem Hersteller ermöglicht, die mit Medizinprodukten verbundenen Gefahren zu identifizieren, die damit verbundenen Risiken abzuschätzen und zu bewerten, diese Risiken zu kontrollieren und die Wirksamkeit zu überwachen die Bedienelemente.

Was versteht man unter Qualität in der System- und Softwareentwicklung?

Wenn wir von der Verarbeitungsqualität medizinischer Software sprechen, beziehen wir uns auf die Fehlerfreiheit und darauf, dass das Produkt zuverlässig und robust ist. Beim Testen von Software führen wir Robustheitstests durch. Eine Form davon besteht darin, innerhalb der Grenzen des Systems zu evaluieren oder zu testen und auch außerhalb der Grenzen des Systems zu testen.

Das Testen innerhalb der Grenzen bezieht sich auf die Eingabe einer Reihe von Eingaben oder Daten, die das System erwarten würde. Beim Testen außerhalb der Grenzen geht es darum, dem System eine Reihe von Eingaben zuzuführen, die sehr unwahrscheinlich oder nie empfangen würden. Die Art und Weise, wie das Gerät oder System mit solchen Szenarien umgeht, trägt dazu bei, das System robuster und qualitativ hochwertiger zu machen. Mit Parasoft überschreiten Entwickler und Tester bei jedem Schritt des SDLC die Grenzen mit leistungsstarken, umfassenden und robusten Software-Qualitätstestlösungen.

Parasoft-Lösungen für IEC 62304-Konformitätstests

Die FDA empfiehlt jedem Medizingerätehersteller, der Software entwickelt, eine statische Analyse in sein SDLC aufzunehmen, um eine sichere und zuverlässige Software zu gewährleisten. In der Tat, Statische Analyse durchführen ist die beste erste Verteidigungslinie bei der Identifizierung und Behebung von Fehlern oder Problemen. Unsere Kunden haben zum Ausdruck gebracht, dass sie die Kosten für Qualitätssicherung und Wartung erheblich senken können, wenn ihre Teams während der Implementierungsphase statische Analysen durchführen. Mit Parasoft C/C++test erhalten Sie eine umfassende automatisierte Softwaretestlösung, die eine breite Palette an Testmethoden umfasst, um die Einhaltung der IEC 62304-Konformitätsanforderungen zu erfüllen.

C/C++test ist TÜV-zertifiziert für den Einsatz auf medizinischen Geräten der Klassen I, II und III und automatisiert die in IEC 62304 definierten Softwaretestmethoden. Darüber hinaus bietet unsere zentralisierte Dashboard-Berichtslösung Entwicklungsteams eine einfache Möglichkeit zur Offenlegung , Fehler im Design verhindern und korrigieren. Darüber hinaus werden Testergebnisse zusammengefasst, wodurch die Einhaltung von Sicherheits-, Codierungs- und Prozesssicherheitsstandards erleichtert wird, indem automatisch die zum Nachweis der Konformität erforderlichen Dokumente generiert werden.