Software-Qualitätssicherung bei Medizinprodukten

Die Software-Qualitätssicherung ist definiert als  Teil des Qualitätsmanagements, der auf das Erzeugen von Vertrauen ausgerichtet ist, dass die Software-Qualitätsanforderungen erfüllt sind. Die ISO 25010 bietet eine Taxonomie solcher Software-Qualitätseigenschaften.

Medizinproduktehersteller müssen die Qualität von folgender Software sicherstellen:

  • Software, die Teil eines Medizinprodukts ist (embedded Software)
  • Software, die selbst ein Medizinprodukt ist (standalone Software)
  • Software, die für das Qualitätsmanagementsystem (QM-System) oder / und im Rahmen von Prozessen unter dem Dach des QM-Systems benötigt wird

Regulatorische Anforderungen an Software-Qualitätssicherung

Sowohl die europäischen als auch US-amerikanischen Gesetze stellen Anforderungen an die Qualitätssicherung von Software.

Europa

  • Die Medizinprodukterichtlinie formuliert das Einhalten von Software-Lebenszyklusprozessen sowie die Validierung und Verifizierung von Software als Teil der grundlegenden Anforderungen an Medizinprodukte. Damit wird die Qualitätssicherung von Medizinprodukte-Software gesetzlich verpflichtend.
  • Die IEC 62304 beschreibt, wie diese gesetzlichen Anforderungen zu erfüllen sind.
  • Die ISO 13485:2016 fordert die Software-Validierung für Software, die eingesetzt wird für oder im Rahmen des QM-Systems.
  • Die ISO 80002-2 beschreibt, wie diese Anforderungen erfüllt werden können.
  • Die ISO 13485 fordert, dass Werkzeuge (darunter kann auch Software fallen) zu validieren sind. Lesen Sie einen Beitrag zur Validierung von Tools.

USA / FDA

  • Die FDA stellt im 21 CFR part 11 Anforderungen an die Erstellung elektronischer Dokumente und die Verwendung elektronischer Unterschriften.
  • Die FDA beschreibt im Software Validation Guidance Document, wie Software zu entwickeln ist. Dieses Guidance Document ist sowohl auf Software als Medizinprodukt als auch bei Prozess-Software anzuwenden.

Analytische und konstruktive Software-Qualitätssicherung

Die Software-Qualitätssicherung unterscheidet:

  • Die konstruktive Software-Qualitätssicherung verfolgt das Ziel, Software-Fehler zu meiden.
  • Die analytische Qualitätssicherung verfolgt das Ziel, Software-Fehler zu finden.

Software-Qualitätssicherung

Konstruktive Qualitätssicherung

Zur konstruktiven Qualitätssicherung zählen

  1. Prozesse z.B. Entwicklungsprozesse
  2. Methoden und Verfahren z.B. das Requirements-Engineering, das Modellieren von Architekturen mit UML 2.x und das Ableiten von Testfällen mit Äquivalenzklassen.
  3. Werkzeuge wie ALM-Werkzeuge, Entwicklungsumgebungen, Modellierungs- und Testwerkzeuge

Auf der Meta-Ebene gibt es Gesetze und Normen sowie Schulungs- und Weiterbildungsmaßnahmen, die sich u.a. auf die oben drei genannten Aspekte beziehen.

Analytische Qualitätssicherung

Die analytische Qualitätssicherung versucht mit verschiedenen Prozessen, Methoden und Werkzeugen Fehler in verschiedenen Testobjekten zu finden. Man unterscheidet:


Mittwoch 5. April 2017 von Prof. Dr. Christian Johner

Eine häufige Frage an uns: „Bieten Sie auch Computer System Validation“ (CSV) an?“ Einer der Gründe für das Interesse ist sicherlich: Behörden und benannte Stellen machen das Thema CSV immer öfter zum Gegenstand von Audits. Lesen Sie hier, welche Regularien es zur „Computer System Validation“ gibt und wie Sie deren Forderungen am elegantesten erfüllen.

Den ganzen Beitrag lesen »


Mittwoch 1. März 2017 von Prof. Dr. Christian Johner

Viele Änderungen der neuen Medizinprodukteverordnung (MDR) betreffen alle Medizinprodukte-Hersteller. Einige dieser Änderungen wenden sich besonders an Hersteller, deren Produkte Software enthalten oder standalone Software sind. Lesen Sie, was diese Hersteller beachten sollten.

Den ganzen Beitrag lesen »


Mittwoch 2. November 2016 von Prof. Dr. Christian Johner

Zumindest ein Rumpf-QM-System solle der Hersteller einer Medical App implementieren, fordert die Behörde. Lesen Sie hier, was die Behörde und manche benannten Stellen unter einem solchen Rumpf-QM-System verstehen, speziell bei Firmen, die standalone Software entwickeln.

Den ganzen Beitrag lesen »


Donnerstag 22. September 2016 von Prof. Dr. Christian Johner

Code Coverage dient den meisten Software-Entwicklern als die wichtigste Metrik für die Vollständigkeit von Software-Tests. Die FDA stellt sogar explizite Anforderungen an die Code Coverage.

Übersicht

Den ganzen Beitrag lesen »


Dienstag 3. Mai 2016 von Prof. Dr. Christian Johner

Unter Code-Reviews versteht man das Prüfen des nicht kompilierten Quell-Codes durch weitere Personen beispielsweise im Rahmen von Inspektionen oder Walk-Throughs.

Regulatorische Anforderungen an Code-Reviews

Die IEC 62304 fordert keine expliziten Code-Reviews. Sie sieht aber Code-Reviews als eine Möglichkeit, um Software-Einheiten zu prüfen. Dabei müssen allerdings schriftliche Prüfkriterien für die Code-Reviews vorliegen, ebenso ist das Code-Review schriftlich zu dokumentieren.Den ganzen Beitrag lesen »


Montag 7. März 2016 von Prof. Dr. Christian Johner

„Findet ein Software-Audit statt?“ lautet eine Frage, die mich über unser Micro-Consulting erreicht. „Und kann ich durch eine geeignete Wahl der Software-Sicherheitsklasse so ein Software-Audit vermeiden?“

Erst ist mir weder klar, was genau mit „Software-Audit“ gemeint, noch was die genaue Befürchtung ist. Doch dann verstehe ich und finde die Frage sehr bedeutsam für alle Medizinprodukte-Hersteller.

Den ganzen Beitrag lesen »


Freitag 15. Januar 2016 von Prof. Dr. Christian Johner

Häufig stellt sich beim Thema „Werkzeug Validierung“ die Frage, ob man auch Testwerkzeuge (z.B. N/JUnit) und ALM-Tools (z.B. MedPack, JIRA, Microsoft TFS) validieren bzw. verifizieren muss.

Und falls die Antwort ja wäre, müsste man dann die zu dieser Validierung bzw. Verifizierung eingesetzten Werkzeuge selbst wieder prüfen? Da würde sich ja ein Teufelskreis auftun.

Dieser Artikel gibt einen Überblick über die regulatorischen Anforderungen und gibt Praxistipps zur Werkzeug Validierung.

Update: Aktuelle Erfahrungen, wie in Audits die Werkzeug-Validierung adressiert wird (mehr »)Den ganzen Beitrag lesen »


Dienstag 29. September 2015 von Prof. Dr. Christian Johner

Sowohl die IEC 62304 als auch die FDA fordern Integrationsprüfungen typischerweise in Form von Integrationstests.

Update: Wie Sie die Forderung der IEC 62304 nach Evaluierung des Integrationsprüfverfahrens erfüllen können (mehr »).

Inhaltsübersicht
Integrationstests: Ziele »
Integrationstests: Aktivitäten »
IEC 62304: Was Sie prüfen sollten »
IEC 62304: Wie Sie prüfen sollten »

Den ganzen Beitrag lesen »


Montag 10. August 2015 von Prof. Dr. Christian Johner

Die ISO 9126 ist eine nicht-harmonisierte Norm, die Qualitätseigenschaften für Software klassifiziert. Diese Taxonomie diente auch als Grundlage für das Kapitel 5.2 (Software-Anforderungen) der IEC 62304.

Den ganzen Beitrag lesen »