Software & IEC 62304

Infos ausblenden

„Medizingeräte-Software – Software-Lebenszyklus-Prozesse“

Die IEC 62304 ist eine in Europa harmonisierte Norm für „Medizingeräte-Software“. Sie stellt Mindestanforderungen an die wichtigsten Software-Lebenszyklus-Prozesse, konkret an die Software-Entwicklung, die Software-Wartung, an das Software-Risikomanagement (inkl. Verweis auf die ISO 14971), und das Software-Konfigurationsmanagement und die Problemlösung bei Software.

Die Norm ist anwendbar bei embedded und bei standalone Software, d.h. bei

Artikel zu regulatorischen Anforderungen an Software

Artikel zu Konzepten der IEC 62304

Artikel zur Umsetzung der Norm

Die folgenden Artikel sind nach den Kapiteln der Norm gruppiert.

IEC 62304 Kapitel 5.1: Software-Entwicklungsplan

IEC 62304 Kapitel 5.2: Software-Anforderungen

IEC 62304 Kapitel 5.3 und 5.4: Software-Architektur

IEC 62304 Kapitel 5.5 – 5.7: Implementierung und Verifizierung

IEC 62304 Kapitel 5.8: Software-Freigabe

Weitere Forderungen und Prozesse der IEC 62304

Artikel zur Norm im Allgemeinen

Hier finden Sie Artikel, die die Norm im Allgemeinen betreffen:

Wünschen Sie Unterstützung dabei, Ihre Software schnell zu entwicklen und IEC-62304- bzw. FDA-konform zu dokumentieren? Professor Johner und sein Team helfen gerne! Nehmen Sie Kontakt auf!

Forderungen der IEC 62304

Lebenszyklus-Prozesse für Medical Device Software

Diese Norm wiederum schreibt fünf Prozesse vor, nach denen die Medizinprodukte-Hersteller Software (weiter)entwickeln sollen:

  • Software-Entwicklungsprozess
  • Software-Wartungsprozess
  • Software-Risikomanagementprozess (inkl. Verweis auf die ISO 14971)
  • Software-Konfigurationsmanagementprozess
  • Problemlösungsprozess von Software

Eine besondere Bedeutung kommt dabei dem Software-Entwicklungsprozess vor. Die Norm IEC 62304 schreibt kein(!) konkretes Prozessmodell vor (z.B. Wasserfall-Prozess, V-Modell, agiler Prozess). Sie stellt aber Anforderungen an konkrete Aktivitäten, die innerhalb dieses Prozesses durchzuführen sind, insbesondere die Dokumentation der

Sie erfahren durch klicken auf die jeweiligen Links mehr darüber, auf was Sie bei der Dokumentation der jeweiligen Phasen zu achten haben.

Ebenso finden Sie eine ausführliche Diskussion der agilen Entwicklung im Kontext der IEC 62304.

Der Auditgarant zeigt Ihnen in 60+ Videotrainings, wie Sie Schritt für Schritt eine IEC 62304-konforme Dokumentation ohne unnötigen Aufwand und ohne QM-Bürokratie erstellen können.

Videotrainings zur IEC 62304 ansehen

Wie die Norm hilft, gesetzliche Anforderungen zu erfüllen

Grundlegende Anforderungen der Medizinprodukterichtlinie MDD (93/42/EWG)

Die Medizinprodukterichtlinie (auch MDD oder 93/42/EWG genannt) verlangt in den sogenannten „grundlegenden Anforderungen“ im Anhang I verbindlich, dass

„bei Produkten, die Software enthalten oder bei denen es sich um medizinische Software an sich handelt, die Software entsprechend dem Stand der Technik validiert werden muss, wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements, der Validierung und Verifizierung zu berücksichtigen sind“.

Diese Forderung ist durch den Verweis des Medizinproduktegesetzes auf die MDD eine gesetzliche. Ein Verstoß dagegen kann mit Geld- und Freiheitsstrafen belegt werden.

Die Rolle der IEC 62304 und anderer harmonisierter Normen

Hersteller von Medizingeräten/Medizinprodukten weisen die Konformität mit diesen grundlegenden Anforderungen meist dadurch nach, dass sie harmonisierte Normen einhalten. Das sind im Kontext der Entwicklung von Medizinprodukten v.a die Norm IEC 60601-1, die Norm IEC 62304 (speziell für die Software-Lebenszyklus-Prozesse) und die Norm ISO 14971 für das Risikomanagement.

Während die Entwicklung von Medizingeräte- bzw. Medizintechnik-Software durch die oben genannten Normen relativ detailliert geregelt ist, gibt es mit Ausnahme der IEC 62366 zur Gebrauchstauglichkeit von Medizinprodukten noch keine Norm, die die Validierung von stand-alone Software ausreichend adressiert: Die Norm IEC 62304 geht nicht auf die Validierung, sondern nur auf die Verifizierung ein. Sie fordert zudem ein Qualitätsmanagement-System und empfiehlt eines nach ISO 13485.

Eine künftige Norm IEC 82304 wird auch Forderungen an die Validierung benennen, so dass der wichtige Lebenszyklus-Prozess, der Entwicklungsprozess, vollständig beschrieben sein wird. Allerdings wird die IEC 82304 nicht nur Forderungen an die Entwicklung von Medizinprodukte bzw. Medizingeräte-Software stellen, sondern sogar auch an die Lebenszyklus-Prozesse von Health-Software.

IEC 62304: Zweite Ausgabe

Eine neue Version der IEC 62304 wird nicht vor 2018 erwartet, da im Oktober 2014 die Überarbeitung der Norm nochmals komplett neu begonnen wurde. Die nächste Version der IEC 62304 wird einen erweiterten Scope haben, der sich nicht auf Medizinprodukte und nicht auf die Software-Entwicklung beschränkt. Ein Artikel zur zweiten Version der IEC 62304 und zum Ammendment I informiert Sie über weitere Details.

Medizingeräte-, Medizinprodukte- und Health Software

Unter dem Begriff Medizingeräte-Software versteht man meist Software, die Teil eines medizintechnischen Geräts ist z.B. die embedded Software eines Defibrillators. Damit ist Medizingeräte-Software eine Untergruppe der Medizinprodukte-Software, die alle Software umfasst, die entweder als standalone Software oder als Teil eines Medizinprodukts unter das Medizinproduktegesetz fällt. Der noch allgemeinere Begriff ist Health-Software, der alle Software im medizinischen Kontext umfasst.

Medizingeräte-Software

Unterstützung bei der praxisnahen Umsetzung der IEC 62304

Haben Sie weitere Fragen zur normenkonformen Entwickung Ihrer Software bzw. Ihres Medizinprodukts? Benötigen Sie Hilfe? Dann nutzen Sie gerne…

Kostenlose Hilfe bekommen! Auditgarant: Videotrainings ansehen!

IEC 62304 Zertifizierung

Zunehmend bieten Prüfstellen eine IEC 62304 Zertifizierung an. Sie kommunizieren dies teilweise als ein Zwischending zwischen vollständigem QM-System und Baumusterprüfung. Einige werben sogar damit, dass man damit den Testaufwand reduzieren könne.

Zuerst möchte ich Sie ermutigen, IEC 62304 konform zu arbeiten – nicht nur um den gesetzlichen Forderungen an medizinische Software nachzukommen. Ich möchte Sie aber auch vor falschen Rückschlüssen warnen:

  1. Eine IEC 62304 Zertifizierung ist für sich wenig wert – v.a. wenn die Prüfinstitute selbst für diese Zertifizierung nicht akkreditiert sind. So ein Zertifikat könnte nämlich jeder ausstellen, ich auch :-).
  2. Eine IEC 62304 Zertifizierung ersetzt weder ein QM-System noch eine Baumusterprüfung. Wenn diese Zertifizierung das einzige ist, was Sie haben, und dennoch ein Medizinprodukt in Verkehr bringen, machen Sie sich strafbar.
  3. Dass die Zertifizierung dabei hilft, Zeit beim Testen zu sparen, halte ich für absurd. Sie können durch Testautomatisierung, durch den Einsatz von geeigneten Werkzeugen und Verfahren Zeit sparen. Die Zertifizierung senkt den Testaufwand aber überhaupt nicht.

Im Rahmen einer ISO 13485 (!) Zertifizierung, die von akkreditierten Stellen vorgenommen wird, wird der Auditor indirekt sowieso die Konformität mit IEC 62304 prüfen, zumindest exemplarisch.

Vor einer IEC 62304 Zertifizierung möchte ich nicht generell abraten, aber Sie sollten genau wissen, was Sie sich davon erwarten.


Dienstag, 15. Juni 2021 | Prof. Dr. Christian Johner

ISO/IEC/IEEE 15289: Endlich Klarheit bei der Software-Dokumentation?

Die ISO/IEC/IEEE 15289 trägt den Titel „Systems and software engineering — Content of life-cycle information items (documentation)“.

Wie der Titel vermuten lässt, gibt sie Vorgaben zum Inhalt von Software-Dokumentationen. Damit eignet sich die Norm, um

  • bei der Umsetzung anderer Normen wie der ISO/IEC/IEEE 12207:2017 und der IEC 62304 zu helfen,
  • die Konformität mit diesen Normen zu überprüfen,
  • die notwendigen Dokumente einer Software-Dokumentation zu identifizieren,
  • die Inhalte dieser Dokumente festzulegen.

Somit ist die ISO/IEC/IEEE 15289:2019 eine Norm, die jede Organisation betrifft, die Software entwickelt.

Beitrag lesen

Dienstag, 4. Mai 2021 | Prof. Dr. Christian Johner

Sollten Sie die ISO/IEC TR 29119-11 zum Testen von KI-/ML-Software kennen?

Ende 2020 veröffentlichte die ISO den Technical Report ISO/IEC TR 29119-11. Er trägt den Titel „Guidelines on the testing of AI-based systems“.

Viele Firmen möchten wissen, wie sie ihre Produkte, die auf Verfahren der künstlichen Intelligenz (KI) basieren, nach dem Stand der Technik testen sollen. Daher hat sich die ISO/IEC TR 29119-11 auf den Weg gemacht, konkrete Hilfestellung zu geben und damit den Stand der Technik zu beschreiben. Doch wird die Norm diesem Anspruch gerecht?

Wenn Sie gleich die Antwort wissen wollen, springen Sie ins Kapitel 3 „Zusammenfassung“.

Beitrag lesen

Sonntag, 2. Mai 2021 | Prof. Dr. Christian Johner

Regulatorische Anforderungen an Medizinprodukte mit Machine Learning

Hersteller von Medizinprodukten mit maschinellem Lernen (Machine Learning) stehen vor der Schwierigkeit, die Konformität ihrer Produkte nachweisen zu müssen.

Das ist für viele Hersteller herausfordernd. Sie kennen zwar die Gesetze; doch welche Normen und Best Practices sind zu berücksichtigen, um die Nachweise zu führen und mit Behörden und Benannten Stellen auf Augenhöhe zu sprechen?

Dieser Artikel nimmt Ihnen stundenlanges Recherchieren ab. Er verschafft Ihnen eine Übersicht über die wichtigsten Regularien und Best Practices, die Sie kennen sollten. Das erspart es Ihnen, Hunderte Seiten zu lesen.

Wenn Sie diese Regularien berücksichtigen, können Sie sich perfekt auf das nächste Audit vorbereiten.

Beitrag lesen

Mittwoch, 14. April 2021 | Prof. Dr. Christian Johner

Weshalb Sie das kombinatorische Testen nicht nur bei Software anwenden sollten

Testverfahren wie das kombinatorische Testen (z.B. das paarweise Testen) sind bei Software seit Jahrzehnten bekannt und in Normen wie der ISO 29119 beschrieben.

Viele Hersteller wenden diese Verfahren jedoch nicht einmal bei Produkten, die Software enthalten, angemessen an. Damit erhöhen sie zum einen die Risiken für Anwender und Patienten und zum anderen die Risiken für die Firma selbst: Denn Benannte Stellen fordern diesen Stand der Technik bei Audits und Zulassungen zunehmend ein.

Beitrag lesen

Donnerstag, 25. Februar 2021 | Prof. Dr. Christian Johner

Software-Risikomanagement für medizinische Software

Unter Software-Risikomanagement verstehen Hersteller von Medizinprodukten entweder das Risikomanagement, das sie für die Standalone-Software betreiben müssen, oder den Teil des Risikomanagements, den eine embedded Software nach sich zieht.

Regelmäßig werden Hersteller den regulatorischen Anforderungen an das Software-Risikomanagement nicht gerecht. Dieser Beitrag gibt Tipps für ein schlankes Software-Risikomanagement, mit dem Sie unnötige Aufwände vermeiden und Konformität erreichen können.
Beitrag lesen

Montag, 8. Februar 2021 | Prof. Dr. Christian Johner

Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz für DIGA erfüllen

Die Anforderungen an die Datensicherheit und den Datenschutz von DIGA (Digitalen Gesundheitsanwendungen) gehen weit über den Fragenkatalog der DiGAV hinaus. Unzählige weitere Vorschriften machen es den Herstellern (nicht nur) digitaler Gesundheitsanwendungen (DIGA) immer schwerer, den Überblick im regulatorischen Dschungel zu bewahren.

Dabei sollten Hersteller möglichst keine Anforderungen übersehen. Andernfalls drohen Probleme bei der Zulassung ihrer Produkte.

Doch ein Vorgehensmodell schafft Klarheit und hilft nicht nur Probleme zu vermeiden, sondern auch die Forderungen von Hunderten Seiten an Regularien zu konsolidieren. Dieses Vorgehensmodell können alle Medizinproduktehersteller anwenden, auch solche von SaMD (Software as Medical Device).

Beitrag lesen

Donnerstag, 4. Februar 2021 | Prof. Dr. Christian Johner

CVSS Common Vulnerability Scoring System

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen.

Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich überwachen, um Risiken für Ihre Produkte einschätzen und beherrschen zu können. Das hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.

Beitrag lesen

Dienstag, 26. Januar 2021 | Prof. Dr. Christian Johner

Transfer Learning bei Medizinprodukten: Regulatorischer Leichtsinn oder eine ethische Notwendigkeit?

Das Transfer Learning ist ein spezieller Ansatz beim Machine Learning. Damit bezeichnet man die Wiederverwendung eines vortrainierten Modells (pre-trained model) für ein neues Problem.

Diese Wiederverwendung kann mehr als nur redundante Trainingsarbeit ersparen. Sie bedingt aber, dass Hersteller sich auf neue Fragen von Auditoren und Prüfern einstellen müssen.

Beitrag lesen

Donnerstag, 10. Dezember 2020 | Prof. Dr. Christian Johner

Software als Medizinprodukt – Software as Medical Device

Unter Software als Medizinprodukt (Software as Medical Devicem SaMD) versteht man standalone (eigenständige) Software, die ein Medizinprodukt (MP) ist, aber nicht Teil eines solchen.

Sie ist nicht zu verwechseln mit Medical Device Software im Sinne der EU.

Erfahren Sie als Hersteller, wann Sie Software als Medizinprodukt und wann als Medical Device Software qualifizieren müssen. Damit vermeiden Sie juristische Konsequenzen und unnötige Aufwände.

Beitrag lesen

Dienstag, 1. Dezember 2020 | Prof. Dr. Christian Johner

ISO 27034 zur Sicherheit von Anwendungen: Lesen = Zeitverschwendung?

Die ISO 27034 trägt den Titel Informationstechnik – IT Sicherheitsverfahren – Sicherheit von Anwendungen. Sie wird u.a. im Leitfaden des BSI referenziert.

Doch mancher Hersteller fragt sich: Muss ich auch noch diese Norm lesen? Muss ich damit rechnen, dass mein Auditor diese Norm (mit Verweis auf den Stand der Technik) einfordert?

Lesen Sie diesen Artikel, bevor Sie diese Norm für teures Geld kaufen und Zeit für deren Studium aufwenden (es sind Hunderte von Seiten), und entscheiden Sie dann.

Beitrag lesen