IEC 82304 – Was die Norm zu „Health Software“ fordert

Mittwoch 14. September 2016

Die IEC 82304 liegt inzwischen als „Final Draft“ (FDIS) vor. Ein guter Anlass, sich diese Norm zu „Health-Software-Products“ näher anzusehen.

Inhaltsübersicht

IEC 82304: Weshalb noch eine Norm?

Lücke der IEC 62304 bei Validierung schließen

Mit dem Anspruch für jede Medizinprodukte-Software anwendbar zu sein – gleich ob standalone oder embedded –, war die IEC 62304 gestartet. Doch beim Schreiben schienen die Autoren stärker die embedded Software im Hinterkopf gehabt zu haben, wie man manchem Kapitel (z.B. 5.5.4) deutlich anmerkt. Das hatte leider zur Folge, dass die Norm keine Aussage zur Validierung macht, weil embedded Software nicht validierbar ist, sondern nur das ganze Medizinprodukt.

Anforderungen auch an Nicht-Medizinprodukte-Software formulieren

Die IEC 82304 ist nun angetreten, nicht nur diese Lücke zu schließen, sondern auch den wachsenden Markt der Software-Produkte zu regulieren, die zwar etwas mit Medizin, Gesundheit oder Wellness zu tun haben, aber (noch) kein Medizinprodukt sind.

Anwendungsbereich der IEC 82304

An wen sich die Norm wendet

Auch wenn die IEC 82304 zum „Nummernkreis“ der 80000-er Normen zählt, der auch die IEC 80001-1 umfasst, so wendet sich diese nur an die Hersteller, nicht an die Betreiber.

Für welche Software diese Norm anzuwenden ist

Die IEC 82304 fühlt sich für „Health Software Products“ zuständig. Darunter versteht die Norm:

Definition: Health Software Product

„combination of health software and accompanying documents.“

IEC 82304-1

Dabei definiert die IEC 82304 den Begriff Health Software wie folgt:

Definition: Health software

„Software intended to be used specifically for managing, maintaining or improving health of individual persons, or the delivery of care.“

IEC 82304-1

Nur bei standalone Software

D.h. die Norm soll bei standalone Software Anwendung finden, nicht bei „embedded Software“, also nicht bei Software, die Teil eines Medizinprodukts ist, insbesondere nicht, wenn es sich um ein IVD oder ein Medizingerät handelt, das in den „Scope“ der IEC 60601-1 fällt.

Nicht nur bei Medizinprodukten

Die Norm beschränkt sich nicht auf Medizinprodukte. Da eine Software für den Fitnessbereich der Verbesserung der Gesundheit dient, fällt diese ebenfalls in den Anwendungsbereich.

IEC 82304: Anwendungsbereich

Verbindlichkeit

Die IEC 82304 ist derzeit nicht harmonisiert. Das bedeutet aber nicht, dass Sie diese Norm einfach ignorieren können. Das hat folgende Gründe:

  1. Die benannten Stellen bzw. Auditoren stellen zunehmend in Abrede, dass die Normen (z.B. in den harmonierten Versionen) den Stand der Technik repräsentieren. Nach Ansicht vieler tut das die IEC 82304. Als Hersteller sollten Sie zumindest argumentieren können, weshalb Sie gewisse Forderungen der neuen Norm nicht erfüllen.
  2. Es gibt derzeit keine Norm, die die Software-Validierung adäquat adressiert. (Anmerkung: Mit Software-Validierung ist nicht wie bei der FDA die Software-Qualitätssicherung insgesamt gemeint). Ob die IEC 82304 nun den Stand der Technik bei der Validierung adäquat beschreibt, diskutieren wir weiter unten.

Was die IEC 82304 von Ihnen fordert

Die IEC 62304 gilt mit, die ISO 14971 nicht ganz

Die IEC 82304 macht es sich einfach und referenziert die IEC 62304 mit, indem sie schreibt, dass ein Teil oder aller Inhalt der referenzierten Normen (genannt sind aber nur die IEC 62304 und das Amendement) mitgelten.

IEC 82304 referenziert IEC 62304

Der Teil der IEC 62304, den die IEC 82304 nicht als verbindlich referenziert, ist sehr überschaubar, da die Kapitel fünf bis neun (also alle Prozesse) zu beachten sind. Nur bei der von der IEC 62304 referenzierten ISO 14971 erlaubt die IEC 82304 den Herstellern gewisse Abstriche zu machen.

Forderungen im Überblick

Kapitelstruktur der IEC 82304

Die Kapitelstruktur lässt die wichtigsten Forderungen bereits erahnen, die wir im folgenden Kapitel vorstellen.

Forderungen im Detail

Kapitel 4: Produktanforderungen

Hersteller müssen klare Anforderungen an das Produkt formulieren und sich dabei der Risiken durch das Produkt bewusstmachen – und diese durch entsprechende Maßnahmen beherrschen. Dazu zählt auch, dass die Hersteller festlegen, welche Nutzer in welcher (Nutzungs-)Umgebung auf welcher Hardware das Produkt zu welchem Ziel nutzen sollen.

Dabei dürfen sich die vom Hersteller zu spezifizierenden Anforderungen nicht nur auf das Produkt und seine Schnittstellen zu anderen Systemen (Interoperabilität) beziehen. Sie müssen auch die Dokumentation, die Begleitdokumente, die Installation, die Updates, den Support usw. berücksichtigen.

Kapitel 5: Lebenszyklus

Die Forderungen dieses Kapitels lassen sich mit einem Satz zusammenfassen: „Mach es wie von der IEC 62304 in den Kapiteln fünf bis neun geschrieben“.

Kapitel 6: Validierung

Das sechste Kapitel besagt, dass man die Validierung planen, durchführen und dokumentieren muss. Sie listet einige Beispiele für Methoden wie „inspection, analysis“. Die Validierung soll aber prüfen, ob die „Use Requirements“ (Nutzungsanforderungen) erfüllt sind, die in Kapitel 4.2 genannt würden. Dort finden sich aber nur bedingt Nutzungsanforderungen, dafür sind andere Stakeholder-Anforderungen und Systemanforderungen benannt.

Bemerkenswert sind die Forderungen nach der Kompetenz und nach einer Unabhängigkeit des Validierungsteams vom Entwicklungsteams.

Kapitel 7: Begleitdokumente

Überraschend ausführlich geht es im Kapitel 7.2 zur Sache: Sehr ausführlich beschreibt die Norm welche Dokumente die Hersteller mit welchen Informationen bereitstellen müssen:

  • Gebrauchsanweisung: Zweckbestimmung, Netzwerkumgebung, Sicherheitshinweise, Installation usw.
  • Technische Beschreibung: Hardware, Plattform, Installation, Konfiguration, Wartung, Anforderungen an das Netzwerk und damit verbundene Risiken usw.

Kapitel 8: Nachgelagerte Phase

Mit der Vermarktung der Produkte endet die Verantwortung der Hersteller nicht. Nun müssen Sie auf Fehler reagieren (z.B. Bug-Fixing), geänderte Teile der Software neu validieren, die Begleitmaterialien aktualisieren und all dies kommunizieren.

IEC 82304: Eine Kritik

Die folgenden Überlegungen sind natürlich subjektiv, aber bei der Einordnung der Norm dennoch hilfreich.

Das gefällt

  1. Eine kurze Norm
    Die IEC 82304 ist eine mit 28 Seiten (davon ist fast die Hälfte nicht normativ) eine kompakte Norm. Das ist gut.
  2. Stand der Technik beschrieben
    Es ist auch gut, dass der Stand der Technik für Nicht-Medizinprodukte-Software beschrieben wurde, wenngleich das größtenteils andere, nicht medizinproduktespezifische Normen auch schon tun. Dort fehlt allerdings der Aspekt Risikomanagement.
  3. Begleitmaterialien
    Die Norm beschreibt im Kapitel 7 sehr konkret und auch (fast zu) ausführlich die Anforderungen an die Begleitmaterialien. Das lässt sich fast als Checkliste nutzen.
  4. Nachgelagerte Phase
    Die Forderungen, Änderungen an der Software zu bewerten, zu validieren, zu dokumentieren und zu kommunizieren, klingen zwar banal, werden aber sehr oft nicht erfüllt. Jetzt gibt es Klarheit.

Das überrascht

  1. Zu viele Forderungen
    Eine Referenz auf eine IEC 62304 ist schnell gesetzt. Aber was bedeutet das für die Hersteller? Mit dieser Referenz haben die Autoren Forderungen einbezogen, die in ihrem Umfang und ihrer Komplexität erschlagend sind. Selbst Medizinproduktehersteller sind damit mehr als gefordert. Das wissen wir aus der täglichen Beratungspraxis. Diesen Hammer auf Hersteller von Fitness-Apps loszulassen, mag erschrecken.
  2. Mangelnde „Usability“
    Es geht dabei gar nicht nur um die Menge der Forderungen, sondern auch darum, dass sich Firmen in eine Welt der Medizinprodukte-Regularien begeben müssen, der sie nicht gewachsen sind. Schlecht für die Firmen, gut für die Beratungsunternehmen.
    Hinweis: Wir geben auch kostenlose Hilfe in unserem Micro-Consulting.
  3. Geringe Handlungsleitung bei der Validierung
    Wer gehofft hat, endlich Hinweise dazu bekommen, wie man Software validiert (im Sinn der Definition der IEC 82304), wird enttäuscht. Nicht einmal der Anhang nennt Methoden. Die Abgrenzung der Validierung zur Usability-Validierung und tw. auch zur „klinischen Validierung“ müssen sich Hersteller an anderer Stelle suchen. Beispiele für die Software-Validierung (bzw. die Methoden dazu) hätte man sich im Anhang wünschen können.
    Hinweis: Sie finden hier einen Artikel zur Validierung von Medizinprodukten.
  4. Stringenz (an manchen Stellen)
    Die IEC 82304 wiederholt die Definition des Begriffs „Validierung“ (confirmation, through the provision of objective evidence, that the requirements for a specific intended use or application have been fulfilled). Im Kapitel 6 zur Validierung geht es dann v.a. um die Prüfung gegen die „use requirements“. Diese Nutzungsanforderungen werden teilweise mit der Zweckbestimmung gleichgesetzt.
    Nutzungsanforderungen sind aber eine Sonderform der Stakeholder-Anforderungen, zu denen v.a. auch die funktionalen Anforderungen, also die Anforderungen an das Arbeitsergebnis, zählen. Würde man sich auf die „use requirements“ beschränken, würde sich die Software-Validierung auf die Usabiliy-Validierung beschränken. Darum geht es den Autoren aber nicht.
    Fazit: Es ist nicht wirklich falsch, was die IEC 82304 schreibt. Eine Norm, die für so viele Menschen und Firmen zum Problem werden kann, bedarf aber einer absoluten Stringenz und Präzision.

Fazit

Die IEC 82304 deckt eine relevante regulatorische Lücke ab. Keiner von uns will sich einer fehlerhaften Software aussetzen lassen, wenn damit Gesundheitsrisiken verbunden sind – unabhängig davon, ob der Hersteller diese Software als Medizinprodukt klassifiziert hat.

An zentralen Stellen schießt die Norm etwas übers Ziel hinaus und dürfte für viele Hersteller v.a. durch die normativ referenzierte IEC 62304 zu einem schwer verdaubaren Dokument werden.

War dieser Artikel hilfreich? Bitte bewerten Sie:
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne

Kategorien: Software & IEC 62304
Tags: , , ,

2 Kommentare über “IEC 82304 – Was die Norm zu „Health Software“ fordert”

  1. Markus Rohrbach schrieb:

    guten und spannenden Abriss über die neue Norm, hilft bei der Differenzierung zwischen 62304 und 82304! Vielen Dank

  2. Hannes Mühlenberg schrieb:

    Danke, wie immer sehr informativ. Ich habe meine Probleme mit dieser Norm. Ein Medizinproduktehersteller, der Risikomanagement, Usability Engineering und auch Maintenance und Post Market Surveillance ernst nimmt, findet nichts, was er nicht längst tut. Klare Vorgaben zur Validierung hätten einen Mehrwert dargestellt, leider sind ausgerechnet diese doch eher dünn. Ich möchte den Autoren der Norm nicht zu nahe treten, das ist ja immer auch ein Kompromisswerk, aber aus meiner Sicht ändert sie in der jetzigen Form weder etwas am Stand der Technik – wohlgemerkt für Medizinprodukte – noch ist der Vergleich mit der IEC 60601 gerechtfertigt.

    Die Frage ist: Ist die Harmonisierung für Medizinprodukte wirklich nur eine Frage der Zeit? Werden Auditoren tatsächlich auf formale Konformität zu dieser Norm pochen? Ich bin gespannt.

Kommentar schreiben