Software & IEC 62304

Die IEC 62304 ist eine in Europa harmonisierte¹ Norm für „Medizingeräte-Software“. Sie trägt den Titel „Medizingeräte-Software – Software-Lebenszyklus-Prozesse“ und stellt Mindestanforderungen an Prozesse wie die Entwicklung und Wartung der Software.

Inhalt

Sie finden auf dieser Seite:

Fachartikel zu den Aspekten der IEC 62304
Fachartikel zu den Lebenszyklus-Aktivitäten
Fachartikel zur regulatorischen Bedeutung der IEC 62304
Hinweise, wo und wie Sie Hilfe bei der Umsetzung erhalten

¹ Die IEC 62304 war unter der MDD und IVDD harmonisiert und ist unter der MDR und IVDR zur Harmonisierung vorgesehen.

1. Artikel zu Aspekten der IEC 62304

a) Anwendungsbereich

Die IEC 62304 ist anwendbar bei

eigenständiger (Standalone-) Software, die als Medizinprodukt zählt (Software as Medical Device), wie
- Mobile Medical Apps oder
- klinische Informationssysteme, sowie
Software, die Teil eines Medizinprodukts ist (Software in a Medical Device).

Weil die IEC 82304-1 die Norm referenziert, ist die IEC 62304 sogar bei Health Software relevant.

b) Regulatorischer Kontext

Qualifizierung und Klassifizierung

Qualifizierung von Software gemäß MDR: Medizinprodukt ja/nein und Risikoklassen gemäß Anhang VIII
Qualifizierung und Klassifizierung von Software gemäß IVDR
Software der Klasse I (MDR)
Klassifizierung gemäß MDR (insbesondere Regel 11)

Beachten Sie auch die Fachartikel zu den Lebenszyklus-Aktivitäten unter Punkt 2.

Besondere Anforderungen an Software

Allgemeine Anforderungen der MDR
Allgemeine Anforderungen der IVDR
UDI–Anforderung der MDR (an standalone Software)
Klinische Bewertung von Software
Regulatorische Anforderungen an die IT-Sicherheit
MDCG-Leitlinien z.B. die MDCG 2019-11 und die MDCG 2023-4

c) Konzepte der Norm

Software-Sicherheitsklasse
SOUP (Software of Unknown Provenance)
Wahrscheinlichkeiten von Fehlern
Validierung, insbesondere Validierung des Produkts und Validierung der Werkzeuge

2. Artikel zu den Lebenszyklus-Aktivitäten

Die folgenden Artikel sind nach den Kapiteln der IEC 62304 gruppiert.

Kapitel 5.1: Entwicklungsplan

Als Erstes verlangt die Norm, einen Entwicklungsplan zu erstellen. In diesem Zusammenhang sind diese Artikel lesenswert:

Was sind Lebenszyklus-Prozesse?
Agile Entwicklung (z. B. nach Scrum) und andere Entwicklungsprozesse wie das V-Modell
Abgrenzung von Entwicklungsplan und Entwicklungsprozess
Unterschied von Qualitätssicherung und Tests

Kapitel 5.2: Anforderungen

Aus den Anforderungen des Produkts oder den Stakeholder-Anforderungen muss der Hersteller die Software-Anforderungen ableiten.

Ableiten der Software-Anforderungen aus den Kunden-Anforderungen
Zusammenspiel mit Qualitätseigenschaften gemäß ISO 25010

Kapitel 5.3 und 5.4: Architektur

In der Architektur legt der Hersteller den „Bauplan“ fest.

Normenkonforme Dokumentation der Architektur und der Schnittstellen
Anforderungen an die Entwicklung von Komponenten
Detailliertes Design bei Software

Kapitel 5.5 bis 5.7: Implementierung und Verifizierung

Gemäß diesem Bauplan ist dann die Software zu implementieren und zu verifizieren. Die Validierung ist nicht Gegenstand der IEC 62304, sondern der IEC 82304-1.

Tipps zum Code Review (Kapitel 5.5)
Anforderungen an das Testing, z. B. an
- Unit-Tests (Kapitel 5.5),
- Integrationstests (Kapitel 5.6),
- Regressionstests und Systemtests (Kapitel 5.7)
Hinweise zu Kodierrichtlinien und zur statischen Code-Analyse z.B. zum Bestimmen der Code-Metriken wie zyklomatischen Komplexität

Kapitel 5.8: Freigabe

Die Entwicklung und Wartung schließt mit der Freigabe, die aber nicht mit der Produktfreigabe verwechselt werden darf:

Software-Freigabe, ein beliebtes Missverständnis

Weitere Forderungen und Prozesse der Norm

Umgang mit Änderungen (Software-Wartung und Bugfixes)
Software-Konfigurationsmanagement
Design Changes

Hinweis

Medizinprodukte, die Software enthalten und über externe Schnittstellen wie USB oder Ethernet verfügen, unterliegen den IT-Sicherheitsanforderungen. Bitte beachten Sie die regulatorischen Anforderungen an die IT-Sicherheit.

3. Regulatorische Bedeutung der IEC 62304

a) Nachweis der GSPR (MDR/IVDR)

Die Medizinprodukte-Verordnungen MDR und IVDR formulieren jeweils in Anhang I die sogenannten „Allgemeinen Sicherheits- und Leistungsanforderungen“ (engl.: General Safety and Performance Requirements, GSPR).

Eine dieser Forderungen lautet, dass „bei Produkten, zu deren Bestandteilen Software gehört, oder bei Produkten in Form einer Software“ die

„Software entsprechend dem Stand der Technik entwickelt und hergestellt [wird], wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen sind.“

Das ist eine gesetzliche Anforderung. Ein Verstoß dagegen kann mit Geld- und Freiheitsstrafen belegt werden.

Hersteller von Medizingeräten bzw. Medizinprodukten sollten die Konformität mit diesen Anforderungen nachweisen, indem sie harmonisierte Normen einhalten.

Die Norm IEC 62304 ist die speziell für die Lebenszyklus-Prozesse harmonisierte¹ Norm. Eine weitere Norm ist die IEC 82304-1.

b) „Consensus Standard“ der FDA

Die FDA erkennt die IEC 62304 als „Consensus Standard“ an. Sie erwartet aber keine Konformität mit dieser Norm. Allerdings stellt die Behörde z. B. in ihren Leitlinien zur Software Validation vergleichbare Anforderungen.

c) IEC 62304 Zertifizierung

Einige Prüfstellen bieten eine „Zertifizierung nach IEC 62304“ an. Hersteller sollten sich der Grenzen dieser Zertifizierungen bewusst sein:

Eine Zertifizierung hat keinen so hohen Wert, v. a. nicht, wenn die Prüfinstitute für diese Zertifizierung nicht akkreditiert sind. Denn solch ein Zertifikat könnte jeder ausstellen.
Die IEC 62304 ist eine Prozessnorm, keine Produktnorm. Daher muss eine Prüfung die Prozesskonformität beurteilen und nicht das Produkt. Das Zertifikat sagt also nicht direkt etwas über die Produktgüte aus.
Die Behauptung einiger Prüfstellen, dass die Zertifizierung dabei helfe, beim Testen Zeit zu sparen, ist nicht nachvollziehbar. Hersteller können durch Testautomatisierung sowie durch den Einsatz von geeigneten Werkzeugen und Verfahren Zeit sparen. Die Zertifizierung senkt den Testaufwand aber nicht.
Im Rahmen einer Zertifizierung nach ISO 13485, die von akkreditierten Stellen vorgenommen wird, müssen Auditoren ohnehin indirekt die Konformität mit IEC 62304 prüfen, zumindest exemplarisch.

Das Johner Institut rät nicht generell von einer Zertifizierung nach IEC 62304 ab. Aber jeder sollte die „Beweiskraft“ dieser Zertifikate kennen.

4. Unterstützung bei der IEC 62304

Nutzen Sie die Unterstützung des Johner Instituts:

Haben Sie noch Fragen zur normenkonformen Software-Entwicklung? Dann nutzen Sie das kostenfreie Micro-Consulting.

Im „Kompaktseminar medizinische Software“ erwerben Sie die vorgeschriebenen Kompetenzen. Sie lernen die gesetzlichen Anforderungen an die Software-Entwicklung kennen und erfüllen.

Der Auditgarant zeigt Ihnen anhand von Videotrainings, wie Sie Schritt für Schritt eine schlanke und IEC-62304-konforme Dokumentation erstellen. Ein vollständiger Satz an Templates nimmt Ihnen viel Arbeit ab.

Nutzen Sie auch unsere Unterstützung, um Ihre Software kurz, präzise und gesetzeskonform zu dokumentieren und sie auf Audits und „Tech File Reviews“ vorzubereiten.

Lassen Sie die IT-Sicherheit Ihrer Produkte durch Penetration-Tests bewerten.

Melden Sie sich gleich, damit wir gemeinsam die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Produkte schnell in den Markt kommen.

Regulatorische Anforderungen an Medizinprodukte mit Machine Learning

Von Dr. Tina Priewasser 5. Mai 2025 1 Kommentar

Die Einbindung von KI bei Medizinprodukten hat große Fortschritte gemacht, z. B. bei der Diagnose von Krankheiten. Hersteller von Produkten mit Machine Learning stehen vor der Herausforderung, die Konformität ihrer Produkte nachweisen zu müssen. Auch wenn Sie die Gesetze kennen – welche Normen und Best Practices sind zu berücksichtigen, um die Nachweise zu führen und…

Details

Der AI Act betrifft IVDs und Medizinprodukte, die Verfahren der künstlichen Intelligenz, insbesondere des Machine Learnings verwenden

Was der AI Act für Medizinprodukte- und IVD-Hersteller bedeutet

Von Prof. Dr. Christian Johner 5. Mai 2025 10 Kommentare

Die EU-KI-Verordnung (EU AI Act) ist veröffentlicht. Viele Hersteller von Medizinprodukten und IVD sowie andere Akteure im Gesundheitswesen stehen vor der großen Aufgabe, den über 140 Seiten umfassenden Gesetzestext zu verstehen und die Anforderungen zu erfüllen. Beachten Sie: Verstöße gegen den AI Act werden mit Geldstrafen in Höhe von bis zu 7 % des jährlichen Umsatzes geahndet. Dieser…

Details

C5-Testate auch für Medizinproduktehersteller?

Von Christian Rosenzweig 29. April 2025 2 Kommentare

Die C5-Testate sind für Leistungserbringer und ggf. für Medizinproduktehersteller relevant. Denn das Anfang 2024 in Kraft getretene Digital-Gesetz (DigiG) definiert die Anforderungen an Cloud-Dienste im Gesundheitswesen neu. Dieser Artikel erklärt die wichtigsten Aspekte der C5-Zertifizierung bzw. C5-Testate für Medizinproduktehersteller und Leistungserbringer wie etwa Krankenhäuser.

Details

FDA Guidance zu „Interoperable Medical Devices“

Von Luca Salvatore 9. März 2025 Kommentar hinterlassen

Die FDA hat die Bedeutung der Interoperabilität von Medizinprodukten früh erkannt und 2017 das Guidance Dokument ‚Interoperable Medical Devices‘ veröffentlicht. Die US-Behörde möchte damit der Tatsache Rechnung tragen, dass die Interoperabilität von Medizinprodukten einerseits wichtig für die Gesundheitsversorgung ist. Andererseits führen Probleme mit mangelnder Interoperabilität zu Risiken. Dieser Beitrag verschafft Ihnen einen schnellen Überblick über…

Details

Software als Medizinprodukt – Software as Medical Device (SaMD)

Von Alexander Wassel 19. Februar 2025 63 Kommentare

Unter Software als Medizinprodukt (Software as Medical Device, SaMD) versteht man (eigenständige) Standalone-Software, die ein Medizinprodukt ist, aber nicht Teil eines solchen. Sie ist nicht zu verwechseln mit Medical Device Software im Sinne der EU. Wann müssen Sie als Hersteller Software als Medizinprodukt und wann als Medical Device Software qualifizieren? Das erfahren Sie hier – und können…

Details

Komponenten: Interne und externe Schnittstellen

Software-Schnittstellen konform IEC 62304

Von Janos Hackenbeck 30. Januar 2025 2 Kommentare

Interne Software-Schnittstellen sind notwendig, um Software-Komponenten innerhalb eines Software-Systems zu verbinden. Externe Software-Schnittstellen sind die Voraussetzung dafür, dass das Software-System mit anderen Systemen kommunizieren kann. Dieser Artikel beschreibt, wie Sie Software-Schnittstellen gesetzeskonform und praxisnah dokumentieren können.

Details

Künstliche Intelligenz in der Medizin

Von Dr. Tina Priewasser 15. Januar 2025 15 Kommentare

Immer mehr Medizinprodukte nutzen künstliche Intelligenz, um Krankheitsbilder präziser zu diagnostizieren und Patienten wirksamer zu behandeln.

Design Verification von Medizinprodukten und Standalone-Software

Von Prof. Dr. Christian Johner 5. Dezember 2024 Kommentar hinterlassen

Die Forderung nach „Design Verification“ erhebt keinesfalls nur die FDA. Dieser Beitrag beschreibt, was unter „Design Verification“ zu verstehen ist und welche regulatorischen Forderungen Medizinproduktehersteller erfüllen sollten.

Segregation von Software: 5 Ziele, die Sie kennen sollten

Von Prof. Dr. Christian Johner 26. November 2024 5 Kommentare

Die IEC 62304 verpflichtet die Hersteller, die notwendige Segregation (auf Deutsch „Abgrenzung“) von Software-Komponenten zu bestimmen. Wie diese zu erfolgen hat, legt die Norm nicht fest, was zu vielen Diskussionen führt. Finden Sie hier Antworten auf häufige Fragen.

MDR: Software-Hersteller aufgepasst!

Von Prof. Dr. Christian Johner 12. November 2024 15 Kommentare

Viele Änderungen der Medizinprodukteverordnung (MDR) betreffen alle Hersteller von Medizinprodukten. Einige dieser Änderungen wenden sich besonders an Hersteller, deren Produkte Software enthalten oder Standalone-Software sind. Lesen Sie, was diese Hersteller beachten sollten.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Matomo
Anbieter	Johner Institut
Zweck	Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://www.johner-institut.de/datenschutz/
Cookie Name	_pk_.
Cookie Laufzeit	13 Monate

Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365