Die IEC 62304 ist eine in Europa harmonisierte Norm für „Medizingeräte-Software“. Sie stellt Mindestanforderungen an die wichtigsten Software-Lebenszyklus-Prozesse, konkret an die Software-Entwicklung, die Software-Wartung, an das Software-Risikomanagement (inkl. Verweis auf die ISO 14971), und das Software-Konfigurationsmanagement und die Problemlösung bei Software.
Wünschen Sie Unterstützung dabei, Ihre Software schnell zu entwicklen und IEC-62304- bzw. FDA-konform zu dokumentieren? Professor Johner und sein Team helfen gerne! Nehmen Sie Kontakt auf!
Diese Norm wiederum schreibt fünf Prozesse vor, nach denen die Medizinprodukte-Hersteller Software (weiter)entwickeln sollen:
Software-Entwicklungsprozess
Software-Wartungsprozess
Software-Risikomanagementprozess (inkl. Verweis auf die ISO 14971)
Software-Konfigurationsmanagementprozess
Problemlösungsprozess von Software
Eine besondere Bedeutung kommt dabei dem Software-Entwicklungsprozess vor. Die Norm IEC 62304 schreibt kein(!) konkretes Prozessmodell vor (z.B. Wasserfall-Prozess, V-Modell, agiler Prozess). Sie stellt aber Anforderungen an konkrete Aktivitäten, die innerhalb dieses Prozesses durchzuführen sind, insbesondere die Dokumentation der
Der Auditgarant zeigt Ihnen in 60+ Videotrainings, wie Sie Schritt für Schritt eine IEC 62304-konforme Dokumentation ohne unnötigen Aufwand und ohne QM-Bürokratie erstellen können.
Wie die Norm hilft, gesetzliche Anforderungen zu erfüllen
Grundlegende Anforderungen der Medizinprodukterichtlinie MDD (93/42/EWG)
Die Medizinprodukterichtlinie (auch MDD oder 93/42/EWG genannt) verlangt in den sogenannten „grundlegenden Anforderungen“ im Anhang I verbindlich, dass
„bei Produkten, die Software enthalten oder bei denen es sich um medizinische Software an sich handelt, die Software entsprechend dem Stand der Technik validiert werden muss, wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements, der Validierung und Verifizierung zu berücksichtigen sind“.
Diese Forderung ist durch den Verweis des Medizinproduktegesetzes auf die MDD eine gesetzliche. Ein Verstoß dagegen kann mit Geld- und Freiheitsstrafen belegt werden.
Die Rolle der IEC 62304 und anderer harmonisierter Normen
Hersteller von Medizingeräten/Medizinprodukten weisen die Konformität mit diesen grundlegenden Anforderungen meist dadurch nach, dass sie harmonisierte Normen einhalten. Das sind im Kontext der Entwicklung von Medizinprodukten v.a die Norm IEC 60601-1, die Norm IEC 62304 (speziell für die Software-Lebenszyklus-Prozesse) und die Norm ISO 14971 für das Risikomanagement.
Während die Entwicklung von Medizingeräte- bzw. Medizintechnik-Software durch die oben genannten Normen relativ detailliert geregelt ist, gibt es mit Ausnahme der IEC 62366 zur Gebrauchstauglichkeit von Medizinprodukten noch keine Norm, die die Validierung von stand-alone Software ausreichend adressiert: Die Norm IEC 62304 geht nicht auf die Validierung, sondern nur auf die Verifizierung ein. Sie fordert zudem ein Qualitätsmanagement-System und empfiehlt eines nach ISO 13485.
Eine künftige Norm IEC 82304 wird auch Forderungen an die Validierung benennen, so dass der wichtige Lebenszyklus-Prozess, der Entwicklungsprozess, vollständig beschrieben sein wird. Allerdings wird die IEC 82304 nicht nur Forderungen an die Entwicklung von Medizinprodukte bzw. Medizingeräte-Software stellen, sondern sogar auch an die Lebenszyklus-Prozesse von Health-Software.
IEC 62304: Zweite Ausgabe
Eine neue Version der IEC 62304 wird nicht vor 2018 erwartet, da im Oktober 2014 die Überarbeitung der Norm nochmals komplett neu begonnen wurde. Die nächste Version der IEC 62304 wird einen erweiterten Scope haben, der sich nicht auf Medizinprodukte und nicht auf die Software-Entwicklung beschränkt. Ein Artikel zur zweiten Version der IEC 62304 und zum Ammendment I informiert Sie über weitere Details.
Medizingeräte-, Medizinprodukte- und Health Software
Unter dem Begriff Medizingeräte-Software versteht man meist Software, die Teil eines medizintechnischen Geräts ist z.B. die embedded Software eines Defibrillators. Damit ist Medizingeräte-Software eine Untergruppe der Medizinprodukte-Software, die alle Software umfasst, die entweder als standalone Software oder als Teil eines Medizinprodukts unter das Medizinproduktegesetz fällt. Der noch allgemeinere Begriff ist Health-Software, der alle Software im medizinischen Kontext umfasst.
Unterstützung bei der praxisnahen Umsetzung der IEC 62304
Haben Sie weitere Fragen zur normenkonformen Entwickung Ihrer Software bzw. Ihres Medizinprodukts? Benötigen Sie Hilfe? Dann nutzen Sie gerne…
die Auditsprechstunde: Professor Johner antwortet Ihnen gerne, kostenlos und absolut vertraulich.
den Auditgarant: Dieser beschreibt in 60+ Videotrainings, wie Sie Schritt für Schritt (nicht nur) eine IEC 62304-konforme Software-Dokumentation erstellen einschließlich Software-Anforderungen, Software-Architektur, Software-Testing. Auch fertige Templates bzw. Muster-Vorlagen stellt der Auditgarant bereit.
Zunehmend bieten Prüfstellen eine IEC 62304 Zertifizierung an. Sie kommunizieren dies teilweise als ein Zwischending zwischen vollständigem QM-System und Baumusterprüfung. Einige werben sogar damit, dass man damit den Testaufwand reduzieren könne.
Zuerst möchte ich Sie ermutigen, IEC 62304 konform zu arbeiten – nicht nur um den gesetzlichen Forderungen an medizinische Software nachzukommen. Ich möchte Sie aber auch vor falschen Rückschlüssen warnen:
Eine IEC 62304 Zertifizierung ist für sich wenig wert – v.a. wenn die Prüfinstitute selbst für diese Zertifizierung nicht akkreditiert sind. So ein Zertifikat könnte nämlich jeder ausstellen, ich auch :-).
Eine IEC 62304 Zertifizierung ersetzt weder ein QM-System noch eine Baumusterprüfung. Wenn diese Zertifizierung das einzige ist, was Sie haben, und dennoch ein Medizinprodukt in Verkehr bringen, machen Sie sich strafbar.
Dass die Zertifizierung dabei hilft, Zeit beim Testen zu sparen, halte ich für absurd. Sie können durch Testautomatisierung, durch den Einsatz von geeigneten Werkzeugen und Verfahren Zeit sparen. Die Zertifizierung senkt den Testaufwand aber überhaupt nicht.
Im Rahmen einer ISO 13485 (!) Zertifizierung, die von akkreditierten Stellen vorgenommen wird, wird der Auditor indirekt sowieso die Konformität mit IEC 62304 prüfen, zumindest exemplarisch.
Vor einer IEC 62304 Zertifizierung möchte ich nicht generell abraten, aber Sie sollten genau wissen, was Sie sich davon erwarten.
Dienstag 10. März 2020 von Prof. Dr. Christian Johner
Seit vielen Jahren nutzen Banken das Machine Learning. Von diesen Erfahrungen können andere Branchen profitieren: die Medizinproduktehersteller, aber auch prüfende Organisationen wie Behörden und Benannte Stellen.
Aus den Parallelen beider Branchen lassen sich fünf Best Practices sowie Empfehlungen ableiten und damit Kosten und unnötiger Ärger mit Prüfern vermeiden.
Freitag 28. Februar 2020 von Prof. Dr. Christian Johner
ISO 15223-1 oder ISO 980
Die beiden Normen ISO 980 und ISO 15223-1 regeln bzw. regelten die Symbole, die Hersteller zur Kennzeichnung von Medizinprodukten nutzen dürfen.
Die EU-Kommission hat im November 2017 die ISO 15223-1 harmonisiert und in die Liste harmonisierter Normen aufgenommen. Sie löst damit die ISO 980 als Norm ab. Die Diskussion, ob die EU die ISO 980 versehentlich aus der Liste entfernt hatte, dürfte damit beendet sein.
Lesen Sie in diesem Artikel, was die ISO 15223-1:2016 wirklich beschreibt und fordert und woher Sie die Symbole beziehen können.
Update: Die Version 2020 ist im Abstimmungsprozess (s.u.).
Dieser Beitrag verschafft einen schnellen Überblick über das 27-seitige Dokument und beleuchtet die Konsequenzen für Medizinproduktehersteller. Damit haben Hersteller die Möglichkeit, sich auf neue Anforderungen vorzubereiten oder sogar noch selbst oder über Interessenvertreter auf die Gesetzgebung Einfluss zu nehmen.
Dienstag 25. Februar 2020 von Prof. Dr. Christian Johner
Immer mehr Hersteller setzen Machine Learning Libraries wie scikit-learn, TensorFlow und Keras in ihren Produkten ein. Damit beschleunigen sie ihre Forschungs- und Entwicklungsvorhaben.
Allerdings ist nicht allen Herstellern klar, welche regulatorischen Anforderungen sie bei Machine Learning Libraries nachweisen müssen und wie sie das am besten tun. Das führt dazu, dass sie unnötige Aufwände treiben oder bei Audits und Zulassungen in unerwartete Schwierigkeiten geraten. Das verzögert die Produktzulassung.
Dieser Beitrag hilft Herstellern und Auditoren zu verstehen, auf was sie bei der Validierung von Machine Learning Libraries achten sollten. Er zeigt zudem, welche Anforderungen (z.B. von Behörden und Benannten Stellen) jeglicher juristischen und logischen Grundlage entbehren.
Erfahren Sie, wie Sie auf Augenhöhe diskutieren, unnötige und unberechtigte Anforderungen und damit Aufwände vermeiden und so Ihr Produkt problemlos auf den Markt bringen können.
Freitag 13. Dezember 2019 von Prof. Dr. Christian Johner
Unter Software-Risikomanagement verstehen Hersteller von Medizinprodukten entweder das Risikomanagement, das sie für die standalone Software betreiben müssen, oder den Teil des Risikomanagements, den eine embedded Software nach sich zieht.
Regelmäßig werden die Herstellern den regulatorischen Anforderungen an das Software-Risikomanagement nicht gerecht. Dieser Beitrag gibt Tipps für ein schlankes Software-Risikomanagement, mit dem Sie unnötige Aufwände vermeiden und Konformität erreichen können.
Dienstag 10. Dezember 2019 von Prof. Dr. Christian Johner
„Wir entwickeln Medical Grade Software“, behaupten Hersteller und Entwicklungsdienstleister, ohne zu spezifizieren, was sie unter „Medical Grade“ verstehen. Diese Definition ist wichtig. Nur so lässt sich einschätzen, wie sehr diese Software beitragen kann, um regulatorische Anforderungen zu erfüllen.
Hersteller werben mit dem Attribut „Medical Grade Software“. Zudem schießen neue Prüfsiegel und „Zertifikate“ aus dem Boden.
Als Inverkehrbringer eines Medizinprodukts sollten Sie vorsichtig sein, um eine versehentliche „Non Compliance“ und unnötige Aufwände zu vermeiden z.B. wenn Sie „Medical Grade Software“ in Ihrem Medizinprodukt verwenden wollen.
Beachten Sie auch den Leitfaden zur Anwendung der künstlichen Intelligenz (KI) bei Medizinprodukten, den das Johner Institut mit KI-Experten und benannten Stellen entwickelt hat. Erfahren Sie hier mehr….
Dienstag 19. November 2019 von Prof. Dr. Christian Johner
Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen.
Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich überwachen, um Risiken für Ihre Produkte einschätzen und beherrschen zu können. Das hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.
Mittwoch 30. Oktober 2019 von Prof. Dr. Christian Johner
Der Begriff IVD-Software ist nicht klar definiert, obwohl Software als IVD (In-vitro-Diagnostikum) oder als Zubehör zu einem IVD immer häufiger zum Einsatz kommt.
Wann Software als IVD zu klassifizieren ist, in welche Liste bzw. Klasse die Software fällt und was man bei der Sicherheitsklassifizierung nach IEC 62304 beachten sollte, beschreibt dieser Beitrag.
Montag 21. Oktober 2019 von Prof. Dr. Christian Johner
Unter Software als Medizinprodukt (Software as Medical Device SaMD) versteht man standalone (eigenständige) Software, die ein Medizinprodukt (MP) ist, aber nicht Teil eines solchen.
Sie ist nicht zu verwechseln mit Medical Device Software im Sinne der EU.
Erfahren Sie als Hersteller, wann sie Software als Medizinprodukt und wann als Medical Device Software klassifizieren müssen. Damit vermeiden Sie juristische Konsequenzen und unnötige Aufwände.
