Erstfehlersicherheit bei Software
„Wie schreibt man erstfehlersichere Software?“ lautet die Frage, die mir eine Teilnehmerin meines Seminars medizinische Software stellt. Eine exzellente Frage, die ich nicht in einem Satz beantworte möchte:
Die IEC 62304 ist eine in Europa harmonisierte1 Norm für „Medizingeräte-Software“. Sie trägt den Titel „Medizingeräte-Software – Software-Lebenszyklus-Prozesse“ und stellt Mindestanforderungen an Prozesse wie die Entwicklung und Wartung der Software.
Inhalt
Sie finden auf dieser Seite:
1 Die IEC 62304 war unter der MDD und IVDD harmonisiert und ist unter der MDR und IVDR zur Harmonisierung vorgesehen.
Die IEC 62304 ist anwendbar bei
Weil die IEC 82304-1 die Norm referenziert, ist die IEC 62304 sogar bei Health Software relevant.
Qualifizierung und Klassifizierung
Beachten Sie auch die Fachartikel zu den Lebenszyklus-Aktivitäten unter Punkt 2.
Besondere Anforderungen an Software
Die folgenden Artikel sind nach den Kapiteln der IEC 62304 gruppiert.
Kapitel 5.1: Entwicklungsplan
Als Erstes verlangt die Norm, einen Entwicklungsplan zu erstellen. In diesem Zusammenhang sind diese Artikel lesenswert:
Kapitel 5.2: Anforderungen
Aus den Anforderungen des Produkts oder den Stakeholder-Anforderungen muss der Hersteller die Software-Anforderungen ableiten.
Kapitel 5.3 und 5.4: Architektur
In der Architektur legt der Hersteller den „Bauplan“ fest.
Kapitel 5.5 bis 5.7: Implementierung und Verifizierung
Gemäß diesem Bauplan ist dann die Software zu implementieren und zu verifizieren. Die Validierung ist nicht Gegenstand der IEC 62304, sondern der IEC 82304-1.
Kapitel 5.8: Freigabe
Die Entwicklung und Wartung schließt mit der Freigabe, die aber nicht mit der Produktfreigabe verwechselt werden darf:
Weitere Forderungen und Prozesse der Norm
Medizinprodukte, die Software enthalten und über externe Schnittstellen wie USB oder Ethernet verfügen, unterliegen den IT-Sicherheitsanforderungen. Bitte beachten Sie die regulatorischen Anforderungen an die IT-Sicherheit.
Die Medizinprodukte-Verordnungen MDR und IVDR formulieren jeweils in Anhang I die sogenannten „Allgemeinen Sicherheits- und Leistungsanforderungen“ (engl.: General Safety and Performance Requirements, GSPR).
Eine dieser Forderungen lautet, dass „bei Produkten, zu deren Bestandteilen Software gehört, oder bei Produkten in Form einer Software“ die
„Software entsprechend dem Stand der Technik entwickelt und hergestellt [wird], wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen sind.“
Das ist eine gesetzliche Anforderung. Ein Verstoß dagegen kann mit Geld- und Freiheitsstrafen belegt werden.
Hersteller von Medizingeräten bzw. Medizinprodukten sollten die Konformität mit diesen Anforderungen nachweisen, indem sie harmonisierte Normen einhalten.
Die Norm IEC 62304 ist die speziell für die Lebenszyklus-Prozesse harmonisierte1 Norm. Eine weitere Norm ist die IEC 82304-1.
Die FDA erkennt die IEC 62304 als „Consensus Standard“ an. Sie erwartet aber keine Konformität mit dieser Norm. Allerdings stellt die Behörde z. B. in ihren Leitlinien zur Software Validation vergleichbare Anforderungen.
Einige Prüfstellen bieten eine „Zertifizierung nach IEC 62304“ an. Hersteller sollten sich der Grenzen dieser Zertifizierungen bewusst sein:
Das Johner Institut rät nicht generell von einer Zertifizierung nach IEC 62304 ab. Aber jeder sollte die „Beweiskraft“ dieser Zertifikate kennen.
Nutzen Sie die Unterstützung des Johner Instituts:
Melden Sie sich gleich, damit wir gemeinsam die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Produkte schnell in den Markt kommen.
„Wie schreibt man erstfehlersichere Software?“ lautet die Frage, die mir eine Teilnehmerin meines Seminars medizinische Software stellt. Eine exzellente Frage, die ich nicht in einem Satz beantworte möchte:
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten. Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.