Prof. Dr. Christian Johner

Autor: Prof. Dr. Christian Johner

Inhaber der Johner Institut GmbH

MDR Software-Hersteller aufgepasst!

Montag 11. Dezember 2017

Viele Änderungen der neuen Medizinprodukteverordnung (MDR) betreffen alle Medizinprodukte-Hersteller. Einige dieser Änderungen wenden sich besonders an Hersteller, deren Produkte Software enthalten oder standalone Software sind. Lesen Sie, was diese Hersteller beachten sollten.

MDR: Geänderte Definitionen und Klassifizierung

Software, Medizinprodukt, Zubehör

Software, die der Vorhersage oder Prognose von Krankheiten dient, zählt als Medizinprodukt. Das macht die neue Begriffsdefinition der „Medical Device Regulation“ noch klarer.

Software zählt weiterhin als aktives Medizinprodukt. In Zwischenentwürfen der MDR war das nicht mehr der Fall gewesen.

Software kann (wieder) ein Zubehör sein. Das war eigentlich immer so, war aber in einer unglücklichen Übersetzung aus dem MPG verschwunden.

MDR zur Software-Klassifizierung

Die Klassifizierungsregeln haben sich ebenfalls geändert. Eine neue Regel 11 besagt, dass Software, die dazu gedacht ist, Informationen zur Verfügung zu stellen, die wiederum genutzt werden (sollen/dürfen), um Entscheidungen mit Bezug zu Diagnosen oder Behandlungen zu treffen, in die Klasse IIa fällt, es sei denn sie könnte direkt oder indirekt verursachen

  • den Tod oder irreversible schwere Gesundheitsstörungen: dann fällt sie in Klasse III
  • eine ernste Gesundheitsstörung oder eine Operation: dann fällt sie in Klasse IIb.

Software, die dazu gedacht ist, physiologische Prozesse zu überwachen, fällt in Klasse IIa, es sein denn, dass Veränderungen von Vitalparametern zur unmittelbaren Gefahr für den Patienten werden können. Dann ist die Software in Klasse IIb einzuordnen.

Jede andere Software fällt in Klasse I.

Mit dieser Definition fällt nahezu jede Software in die Klassen IIa und höher.

Weiterhin gilt aber, dass Software, die ein anderes Medizinprodukt kontrolliert oder beeinflusst, in die gleiche Klasse wie das Medizinprodukt fällt und dass standalone Software unabhängig zu klassifizieren ist.

MDR Software

Grundlegende Anforderungen der MDR an Software

Kompatibilität und Interoperabilität

Die Medizinprodukteverordnung MDR fordert, dass durch mangelnde Kompatibilität von Medizinprodukten keine Risiken entstehen dürfen. Sie nennt in diesem Kontext explizit die Software.

Die gleiche Forderung stellt die MDR bezüglich der Interoperabilität: „Devices that are intended to be operated together with other devices or products shall be designed and manufactured in such a way that the interoperability and compatibility are reliable and safe.“ Sie finden hier die MDR-Definition des Begriffs Interoperabilität.

Wörtlich schreibt die MDR im Anhang I mit den grundlegenden Anforderungen: Devices shall be designed and manufactured in such a way as to remove or reduce as far as possible: the risks associated with the possible negative interaction between software and the IT environment within which it operates and interacts;

IT-Sicherheit, Mobile Plattformen

Ganz neu hat die MDR im Anhang I ein Kapitel eingefügt „Electronic programmable systems – Devices that incorporate electronic programmable systems and software that are devices in themselves.

Die bisherige grundlegende Anforderung hat die Verordnung um den fett markierten Text ergänzt: Bei Produkten, die Software enthalten oder bei denen es sich um medizinische Software an sich handelt, muss die Software entsprechend dem Stand der Technik validiert werden, wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements, einschließlich Informationssicherheit, der Validierung und Verifizierung zu berücksichtigen sind.

Ganz neu ist auch die Forderung bezüglich MobilgerätenDevices that are intended to be operated together with other devices or products shall be designed and manufactured in such a way that the interoperability and compatibility are reliable and safe.

Eine weitere Forderung betrifft ebenfalls die IT-Sicherheit: Die Hersteller müssen die Mindestanforderungen an die Hardware, IT-Netzwerke und Maßnahmen bezüglich IT-Sicherheit bestimmen einschließlich Schutz gegen nicht-autorisierten Zugriff.

Weiterführende Informationen

Im Auditgarant finden Sie Beispiele für Mindestanforderungen an die IT-Sicherheit und an Netzwerke.

Was die MDR in der technischen Dokumentation bezüglich Software fordert

Falls anwendbar müssen die Hersteller die Software als Teil der technischen Dokumentation beschreiben. Weiter müssen sie detaillierte Informationen beilegen u.a. die Software-Verifizierung und Software-Validierung. Die MDR versteht den Begriff Software-Validation nicht nur als Validierung im Sinne einer klassischen Prüfung, ob die Zweckbestimmung erreicht werden kann, sondern wie die FDA als alle Maßnahmen der Software-Qualitätssicherung. Insbesondere benennt die Medical Device Regulation MDR als Inhalte einer technischen Dokumentation:

Unique Device Identification

Die (standalone) Software unterliegt wie alle Medizinprodukte der Anforderung nach eindeutiger Identifikation durch eine Unique Device Identification UDI.

Weiterführende Informationen

Lesen Sie hier mehr zur UDI und Umsetzung bei Software. Die MDR stellt für Medical Device Software konkrete Anforderungen.

Weiterführende Informationen

In einem weiteren Artikel finden Sie einen Vergleich der Anforderungen der MDR und der IVDR an Software.

Anforderungen an die benannten Stellen

Die MDR stellt auch konkrete Forderungen an die benannten Stellen, insbesondere an deren Kompetenz. So schreibt die Medizinprodukteverordnung (MDR) im Annex:

The qualification criteria shall refer to the scope of the notified body’s designation […] providing sufficient level of detail for the required qualification […].  Specific qualification criteria shall be defined at least for the assessment of the pre- clinical evaluation, clinical evaluation, ]…|, functional safety, software, packaging, […].

Diese Forderung betrifft Sie zumindest indirekt: Es könnte passieren, dass Sie verstärkt auf kompetente Auditoren stoßen ;-).


Kategorien: Regulatory Affairs, Software & IEC 62304
Tags: , , , ,

2 Kommentare über “MDR Software-Hersteller aufgepasst!”

  1. Mark Hastenteufel schrieb:

    Sehr geehrter Herr Johner,

    aktuell diskutiere ich mit einem PACS-Hersteller über die potentielle Klasse nach MDR. In den aktuellen Diskussionen wird für jegliche Standalone-SW die Regel 11 herangezogen. Beim Blick auf die Regel 11 ist es nun müßig darüber zu diskutieren, ob Patienten durch
    Fehlfunktionen eines PACS zu Tode kommen können oder nicht.

    Allerdings wird in den emotionalen Diskussionen um die Regel 11 die Durchführungsvorschrift 3.3 übersehen, welche gegenüber der MDD (Anwendungsregel 2.3) folgendermaßen erweitert wurde:

    „Software, die ein Produkt steuert oder dessen Anwendung beeinflusst, wird derselben Klasse zugerechnet wie das Produkt.
    Ist die Software von anderen Produkten unabhängig, so wird sie für sich allein klassifiziert.“

    Der zweite Satz ist neu und scheint auf die Regel 11 zu verweisen. Meiner Meinung muss bei Standalone-SW unterschieden werden in
    1) SW unabhängig eines anderen Medizinproduktes, z.B. App zur Empfängnissregelung oder App zur AMTS
    und
    2) SW abhängig von anderen Medizinprodukten, z.B. PACS oder Bestrahlungsplanung (ohne Modalität keine Befundung mit PACS, ohne Bestrahlungsanlage keine Applikation eines Bestrahlungsplanes)

    Nach meiner Interpretation der Durchführungsvorschrift 3.3, Satz 2, bezieht sich Regel 11 nur auf SW der Kategorie 1, also z.B. nicht auf PACS und Bestrahlungsplanung.

    Demnach zieht bei der Kategorie 2 weiterhin Durchführungsvorschrift 3.3, d.h. PACS wird klassifiziert in der höchsten Klasse der unterstützen Modalitäten, also IIb. Ebenso bliebe ein Bestrahlungsplanungssystem Klasse IIb.

    Eine Stellungnahme Ihrerseits zu obigen Ausführungen wäre interessant.

    Mit freundlichen Grüßen,
    Mark Hastenteufel

  2. Prof. Dr. Christian Johner schrieb:

    Sehr geehrter Herr Hastenteufel,

    danke für Ihre wichtigen Gedanken! Ich stimme Ihnen völlig zu, dass der zweite Satz auf die Regel 11 zielt.

    Bei der Abhängigkeit muss man zwischen mit und ohne Kontrolle und Steuerung unterscheiden. Eine Software, die beispielsweise die Daten von einem anderen MP holt und (nur) visualisiert, ist abhängig von diesem MP. Sie steuert es aber nicht.

    Bei einem PACS hängt es von der Zweckbestimmung ab.

    Meiner Vermutung nach, wird man Regeln finden müssen, um die Regel 11 wieder abzuschwächen. Ob dies in Form einer MEDDEV geschehen wird, weiß ich nicht. Dass man ein PACS aber auch künftig in IIb klassifiziert, halte ich für sehr wahrscheinlich.

    Viele Grüße, Christian Johner

Kommentar schreiben