Was ist IEC 62304 und warum wir mit ISO 13485 zwei Fliegen mit einer Klappe schlagen
Vielleicht haben Sie über unseren Blog bereits mitbekommen, dass wir uns nach der ISO 13485 zertifizieren lassen wollen.
ISO 13485 ist eine Norm für Anforderungen an das Qualtitäts-Management-System, speziell für die Entwicklung von Medizinprodukten. Sie dient der Sicherstellung des Produkts, sowie der Sicherstellung der Sicherheit des Patienten und des Anwenders.
Doch dies nur als kleine Auffrischung. In diesem Blog-Artikel geht es um die IEC 62304.
Was ist die IEC 62304?
IEC steht für International Electrotechnical Commission. Die IEC 62304 ist folglich eine von dieser Commission aufgestellte Sammlung bewährter Vorgehensweisen bei der Entwicklung medizinischer Software. Sie ist der Nachfolger der amerikanischen ANSI/AAMI SW68 und misst der Software in Medizinprodukten und den damit verbundenen Risiken mehr Bedeutung bei.
Da der Anteil an Software im medizinischen Bereich immer größer und bedeutender wird, ist es inzwischen unabdingbar Richtlinien für die Entwicklung einer solchen aufzustellen, um möglichen Risiken vorzubeugen. Deshalb stellt die IEC 62304 detaillierte Anforderungen an die Prozesse und Aktivitäten, die bei der Entwicklung dieser Software durchgeführt werden.
Ein besonderes Augenmerk wird hierbei auf den Software-Lebenszyklus gelegt, der aus den folgenden 3 Phasen besteht:
- Phase 1: Software-Entwicklung
- Phase 2: Software-Wartung
- Phase 3: Software-Abschaltung
Letztere der Phasen möchte man so lange wie möglich verhindern, durch die alternierende Ausführung von Phase 2. Um dennoch nicht nach wenigen Jahren schon hinter dem sich ständig weiterentwickelnden Stand der Technik hinterherzuhinken, muss bei der Entwicklung bereits eine nötige Struktur beachtet werden.
Die IEC 62304 umfasst deshalb 5 Themenbereiche:
- Software-Entwicklung
- Software-Wartung
- Software-Risikomanagement
- Software-Konfigurationsmanagement
- Problemlösung der Software
Die Anforderungen an einen Arbeitsschritt unter diesen Prozessen werden mit Augenmerk auf das Sicherheitsrisiko des jeweiligen Arbeitsschritts definiert.
Grundlage hierfür sind die nach ISO 14971 definierten Sicherheitsklassen:
- A: keine Verletzung oder Schädigung der Gesundheit
- B: keine schwere Verletzung möglich
- C: Tod oder schwere Verletzung möglich
Das Risiko berechnet sich nach ISO 14971 anhand der Auftrittwahrscheinlichkeit mal dem Schweregrad. Bei einer Software kann vorher nicht bestimmt werden, ob ein Fehler auftritt. Deshalb wird der Wahrscheinlichkeit provisorisch auf 100% gesetzt, was bedeutet, dass nur die Frage, wie hoch der Schweregrad bei Eintreten eines Fehlers ist, berücksichtigt wird.
Für die Software-Entwicklung wird deshalb die Nutzung einer übersichtlichen Methode die die Separierbarkeit einzelner Arbeitsschritte unterstützt empfohlen. Dies wären z. B. die Wasserfallmethode, die inkrementelle Methode oder die evolutionäre Methode.
Exemplarische Vorgehensmodelle: Wasserfall, inkrementell, evolutionär.
Sie erlauben das separierte Behandeln von Arbeitsschritten mit höheren Sicherheitsstufen. Das ermöglicht eine bessere Übersicht über die notwendigen Anforderungen und deren Umsetzung.
Bei der Entwicklung müssen alle grundlegenden Aspekte des Software Engineerings abgedeckt werden, egal welche Sicherheitsklasse betroffen ist. Allerdings müssen Risiko-Gegenmaßnahmen, Systemarchitektur und -integration, sowie Integrationstests erst ab Sicherheitsklasse B aufgestellt und angewandt werden.
Ab Sicherheitsklasse C müssen Standards, Methoden und Werkzeuge im Vorfeld in einem Entwicklungsplan festgehalten werden und eine Dokumentation über die Arbeitsschritte geführt werden. Genaueres ist in ISO 61508 festgehalten.
Wird in dem Prozess der Arbeitsentwicklung sorgfältig gearbeitet, erleichtert das die anderen Prozesse erheblich. Auch für diese sind genaue Vorgehensweisen in der IEC 62304 definiert. Das Software-Risikomanagement z. B. ist nach der ISO 14971 umsetzbar. Beachtet man die vorgegebenen Standards, kann eine Software für Medizinprodukte effizient und den Anforderungen entsprechend umgesetzt werden. Im Übrigen zählen nicht nur Medizinische Gerätschaften zu den Medizinprodukten. Selbst Software die nur anteilig mit dem Gesundheitswesen zu tun hat muss nach den vorgeschriebenen Standards entwickelt worden sein!
IEC 62304 Zertifizierung und die Sache mit den zwei Fliegen
Wir möchten Ihnen natürlich versichern können, dass unsere Produkte den Standards entsprechen. Deshalb möchten wir hier darauf hinweisen, dass eine einfache Zertifizierung nach IEC 62304 nicht ausreicht!Denn jeder ist berechtigt ein solches Zertifikat auszustellen. Dementsprechend ist es nicht erlaubt Medizinprodukte zu entwickeln, wenn man nur eine Zertifizierung für IEC 62304 hat!
Deshalb lassen wir uns nach ISO 13485 zertifizieren. Denn die Prüfung auf ISO 13485 wird von akkreditierten Stellen abgenommen. Dabei wird außerdem auf die Konformität mit IEC 62304 geprüft.Das heißt, dass ein Unternehmen, welches nach ISO 13485 zertifiziert ist, ist gleichzeitig auch nach IEC 62304 geprüft!