Im Bereich der Entwicklung von medizinischer Software erstrahlt eine Leitlinie besonders hell – die IEC 62304. Mit dem Titel „Medizinische Geräte-Software — Software-Lebenszyklusprozesse“ unterstützt dieser Standard dabei, die Feinheiten der Erstellung von Softwarelösungen zu bewältigen, die speziell für die bedeutendste Branche im Gesundheitswesen entwickelt werden.
In unserem neuen Interview mit den Experten von Elinext werden wir die Auswirkungen und Feinheiten der Einhaltung der IEC 62304 erkunden und was dieser Standard aus der Perspektive der Entwicklung von Gesundheitssoftware bedeutet. Ohne weitere Umschweife lassen Sie uns direkt eintauchen.
Was ist IEC 62304?
Im Kern skizziert die IEC 62304 einen detaillierten Fahrplan für den gesamten Lebenszyklus der Entwicklung von medizinischer Software, angefangen bei den ersten Planungs- und Anforderungsanalyseschritten bis hin zu Testung und Bereitstellung. Dies gewährleistet, dass Entwickler einem Satz von Prozessen folgen, die darauf ausgelegt sind, sowohl die Wirksamkeit als auch die Sicherheit von medizinischer Software zu garantieren. Der Standard bietet einen gut strukturierten Ansatz für die Softwareentwicklungsprozesse und integriert dabei wesentliche Aufgaben, die für das sichere Design und die Wartung von medizinischen Lösungen entscheidend sind.
Ursprünglich wurde die IEC 62304 im Jahr 2006 übernommen und in Betrieb genommen. Änderungen, die immer noch gültig sind, wurden nur einmal im Jahr 2015 vorgenommen.
Dieser Standard ist von nicht verpflichtender Natur, und es ist die Software selbst, nicht das Unternehmen, die gemäß ihm zertifiziert wird. Um die Softwarelösung zu zertifizieren, kann man sich an über 20 anerkannte Zertifizierungsorganisationen innerhalb der Europäischen Union und weltweit wenden. Der Standard ist mit der Gesetzgebung der EU, der USA, Kanadas und darüber hinaus harmonisiert.
Es ist erwähnenswert, dass die IEC 62304 mehr als nur eine Reihe starrer Anweisungen ist. Vielmehr bietet sie ein dynamisches Rahmenwerk, das skizziert, was erreicht werden muss, während das „Wie“ im Ermessen einzelner Unternehmen liegt. Diese Anpassungsfähigkeit ermöglicht es, sich den dynamischen Veränderungen in der Technologie anzupassen und Unternehmen zu ermöglichen, ihre eigenen Wege zur Erreichung der Ziele des Standards zu gestalten.
Was die Struktur des Standards betrifft, so umfasst er 9 Abschnitte, die die Phasen des Lebenszyklus der Softwarelösung detailliert beschreiben. Innerhalb jedes Abschnitts skizziert der Standard, welche Dokumente erstellt und aufrechterhalten werden müssen, und bietet somit einen umfassenden Leitfaden, um sicherzustellen, dass die entwickelte Software den Anforderungen dieses Standards entspricht.
Welche Organisation ist für die IEC62304 zuständig?
Für die Erstellung der Norm ist die International Electrotechnical Commission (IEC) verantwortlich. Die IEC ist eine maßgebliche globale Organisation, die sich der Formulierung und Veröffentlichung internationaler Normen im Bereich der elektrischen, elektronischen und verwandten Technologien widmet. Gegründet im Jahr 1906, zählt die Kommission 88 Länder zu ihren Mitgliedern, wobei 62 Vollmitglieder und 22 Assoziierte sind. Weißrussland ist seit 1993 ein integraler Bestandteil dieser internationalen Zusammenarbeit.
Die IEC arbeitet nach dem Prinzip des Konsenses unter Experten aus den teilnehmenden Nationen. Dieser Ansatz gewährleistet, dass Normen, insbesondere solche wie die IEC 62304, die vielfältige Expertise und Perspektiven ihrer Mitgliedsstaaten widerspiegeln.
Was bedeutet die Sicherheitsklassifizierung nach IEC 62304?
Die Sicherheitsklassifizierung ist ein entscheidender Aspekt der Norm, da sie den Umfang der erforderlichen Sorgfalt und Dokumentation für die Softwareentwicklung definiert. Dies ist notwendig, um Qualitätsmerkmale der Software zu bestimmen und sicherzustellen, dass entsprechende Tests durchgeführt werden. Gemäß der IEC 62304 müssen Entwickler selbst oder in Zusammenarbeit mit dem Kunden der Software eine Sicherheitsklasse zuweisen. Diese Klassifizierung basiert auf den potenziellen Risiken, die die Software mit sich bringen könnte – Risiken, die zu Schäden bei Benutzern, Patienten oder anderen führen könnten.
Innerhalb dieser Norm werden drei Sicherheitsklassen unterschieden:
- Klasse A: Softwarefehler in dieser Klasse sind unwahrscheinlich, um Schäden an Patienten oder Bedienern zu verursachen. Diese gelten als geringes Risiko und beeinträchtigen die Sicherheit des Patienten oder Benutzers nicht direkt.
- Klasse B: Softwarefehler in dieser Klasse können zu nicht schweren Verletzungen bei einem Patienten oder Bediener führen, sind jedoch nicht lebensbedrohlich. Die Auswirkungen sind moderat, und das Risiko wird als mittel eingestuft.
- Klasse C: Softwarefehler, die in diese Kategorie fallen, bergen das Potenzial, schwere Schäden oder Todesfälle zu verursachen. Diese Situationen stellen hohe Risiken dar und erfordern, dass die Software strengere Entwicklungsprozesse, Verifizierung und Validierung durchläuft.
Ein grundlegender Entscheidungsprozess bezüglich der Sicherheitsklasse der Software ist unten dargestellt.
Quelle: Extra Horizon
Warum ist die Sicherheitsklasse der Software wichtig?
Die Software-Sicherheitsklasse ist entscheidend für die Einhaltung von Softwarestandards, da sie die Anforderungen an die Dokumentation und Entwicklung beeinflusst. Abhängig von der Sicherheitsklasse, die einer medizinischen Lösung zugewiesen ist, skizziert die Norm spezifische Anforderungen an die Dokumentation. Je höher die Sicherheitsklasse, desto strenger und umfassender werden die Anforderungen an die Dokumentation und die Entwicklungsprozesse erwartet.
Zu Beginn von Projekten sind die Kunden jedoch häufig unsicher, in welche Sicherheitsklasse ihre Software letztendlich fallen wird. Daher bietet die Norm die Flexibilität, die Software in ihre Komponenten zu zerlegen, vorausgesetzt, ein angemessenes Maß an Trennung und Isolierung wird beibehalten.
In diesem Szenario kann sogar eine höhere Sicherheitsklasse in niedrigere unterteilt werden, wodurch sich die Notwendigkeit einer umfangreichen Vorbereitung und Dokumentation verringert. Dadurch wird nicht nur der Prozess gestrafft, sondern es werden auch die Arbeits- und Finanzkosten gesenkt, die mit der Sicherstellung einer nahtlosen Übereinstimmung mit der Norm verbunden sind.
IEC 62304 erwähnt auch SOUP — was ist das?
In der Tat gibt es in der Norm eine deutliche Erwähnung eines Konzepts namens SOUP, oder Software of Unknown Provenance (Software unbekannter Herkunft). Dies bezieht sich im Wesentlichen auf Software, die nicht nach einem anerkannten Softwareentwicklungsprozess oder -verfahren entwickelt wurde oder Eigenschaften aufweist, die entweder unbekannt oder nicht direkt mit der Sicherheit in Verbindung stehen.
Die Norm nimmt in Bezug auf diese Unsicherheit eine proaktive Haltung ein. Sie fordert eine Risikobewertung bei der Verwendung von SOUP und legt klare Anforderungen für die Durchführung der erforderlichen Tests fest. Dies gewährleistet, dass selbst im Bereich des Unbekannten ein robuster Evaluierungsprozess vorhanden ist, um die Integrität und Sicherheit der betrachteten Software zu gewährleisten.
Wie genau beeinflusst die IEC den Softwareentwicklungsprozess?
Der Einfluss der IEC 62304 auf den täglichen Betrieb von Softwareentwicklern ist erheblich und vielschichtig. Lassen Sie uns die wichtigsten Aspekte aufschlüsseln:
- Durchführung der abschließenden Validierung. Dies beinhaltet die Überprüfung der Konsistenz der Projektinputparameter mit den Ausgabedaten in jeder Phase des Softwareentwicklungsprozesses. Die Gewährleistung, dass die Software dem Standard entspricht, erfordert eine sorgfältige und gründliche Umsetzung dieser Validierungskriterien.
- Erstellung eines Software-Technik-Support-Plans. Dies umfasst die Erstellung von Protokollen und Methoden zur Analyse von Problemen, zur Implementierung von Änderungen und zur Verwaltung von Änderungen. Dies beinhaltet die Bewertung der Software und ihrer Änderungen, um potenzielle Risiken zu identifizieren, die zu gefährlichen Situationen führen könnten. Es beinhaltet auch die Bewertung der Notwendigkeit zusätzlicher Risikokontrollmaßnahmen und die Dokumentation dieser Risikomanahmen in Übereinstimmung mit ISO 14971.
- Entwicklung eines Software-Konfigurationsplans, der die Typen und Versionen von Konfigurationselementen umfassen sollte.
- Erstellung von Berichten zu Softwareproblemen. Entwickler müssen Berichte für jedes identifizierte Problem in der Software vorbereiten und dabei detaillieren, wie das Problem die Leistung, Sicherheit oder Sicherheit beeinflusst hat.
- Pflege der Testdokumentation. Dies beinhaltet die Dokumentation von während des Tests entdeckten Anomalien, die Spezifikation der getesteten Version, die verwendeten Testwerkzeuge und die Identifizierung des Testers.
- Kommunikation von Problemen an Interessengruppen. Alle relevanten Parteien, einschließlich Endbenutzer und behördliche Stellen, über identifizierte Probleme zu informieren, ist ein wesentlicher Bestandteil der Einhaltung der IEC 62304.
Zusammenfassend
In der sich ständig weiterentwickelnden Welt der Medizintechnik ist die Einhaltung von Industrienormen nicht nur eine Empfehlung, sondern eine Notwendigkeit. Die IEC 62304 taucht tief in die Komplexität ein und stellt sicher, dass von der Entwicklung bis zur Auslieferung und Bereitstellung jeder Schritt klar beschrieben und ordnungsgemäß dokumentiert wird. Dieser akribische Ansatz erhöht nicht nur die Sicherheit einer Gesundheitsanwendung, sondern macht sie auch attraktiver für Märkte, in denen die Einhaltung dieser Norm ein Goldstandard ist.
Mit mehr als zwei Jahrzehnten angesammeltem Wissen im Gesundheitswesen geht Elinext jedes Projekt mit höchster Sorgfalt an. Unsere Business-Analysten und Ingenieure sind mit den wichtigsten Industriestandards wie HIPAA, HL7, FHIR und anderen vertraut, um unsere Kunden bei der Navigation durch die komplexe regulatorische Landschaft zu unterstützen und sicherzustellen, dass die Lösungen die Erwartungen übertreffen.