{"id":4658,"date":"2023-10-30T10:55:55","date_gmt":"2023-10-30T09:55:55","guid":{"rendered":"http:\/\/www.johner-institut.de\/blog\/?p=4658"},"modified":"2024-05-24T11:34:15","modified_gmt":"2024-05-24T09:34:15","slug":"off-the-shelf-software-ots-versus-soup","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/","title":{"rendered":"Off-the-Shelf Software (OTS) versus SOUP"},"content":{"rendered":"\n<p>Sowohl die FDA als auch die IEC 62304 kennen durch Dritte entwickelte Software. Sie sprechen von <strong>Off-the-Shelf Software&nbsp;(OTS)<\/strong> bzw. von <strong>Software of Unknown Provenance<\/strong> (<strong>SOUP)<\/strong>. <\/p>\n\n\n\n<p>Worin unterscheiden sich OTS und SOUP? Welche Gemeinsamkeiten haben beide? Welche gesetzlichen Anforderungen m\u00fcssen sie erf\u00fcllen? <\/p>\n\n\n\n<p>Dieser Artikel gibt Antworten.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/07\/071612_1931_SOUPnachIEC1.png\" alt=\"Off-the-shelf Software versus OTS: Vergleichbar aber nicht deckungsgleich\"\/><figcaption class=\"wp-element-caption\">Abb. 1: SOUP und OTS-Software sind weitgehend, aber nicht ganz deckungsgleich.<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. SOUP und OTS: Definition und Abgrenzung<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Definition SOUP<\/h3>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition &#8222;SOUP&#8220;<\/span><\/div>\n<p>\u201eSoftware-Komponente, die bereits entwickelt und allgemein verfu\u0308gbar ist und die nicht entwickelt wurde, um in das Medizinprodukt&nbsp;integriert zu werden (auch bekannt als \u201eOff-the-Shelf Software\u201c), oder bereits fertig entwickelte Software, fu\u0308r die angemessene Aufzeichnungen zum Entwicklungs-PROZESS nicht verfu\u0308gbar sind\u201c<\/p>\n\n\n\n<p class=\"has-text-align-right\">Quelle: IEC 62304<\/p>\n<\/div>\n\n\n\n<p>Die Definition des Begriffs SOUP hat die <strong>IEC 62304:2006+A1:2015<\/strong> durch folgende Anmerkung erg\u00e4nzt:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>&#8222;A MEDICAL DEVICE SOFTWARE SYSTEM in itself cannot be claimed to be SOUP.&#8220;<\/em><\/p>\n<cite>IEC 62304:2006+A1:2015<\/cite><\/blockquote>\n\n\n\n<p>Da scheinen die leidvollen Erfahrungen von Auditoren eingeflossen zu sein, die sich mit zweifelhaften Argumentationen ihrer Kunden auseinandersetzen mussten.<\/p>\n\n\n\n<p>Die <strong>FDA <\/strong>verwendete den Begriff SOUP im vorherigen Guidance Dokument ebenfalls, das ist im neuen Guidance Dokument von 2023 aber entfallen und sorgt so (hoffentlich) f\u00fcr weniger Verwirrung:&nbsp;<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8222;<em>Some or all of the software contained in a Software Device may have been obtained by the submitter from a third party.<\/em><em> [&#8230;] <\/em><em>Software for which adequate documentation may be difficult to obtain is referred to as Software of Unknown Pedigree or &#8218;SOUP&#8216;.<\/em><\/p>\n\n\n\n<p><\/p>\n<cite>Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices, 2005<\/cite><\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">b) Definition OTS<\/h3>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition Off-the-Shelf Software (OTS)<\/span><\/div>\n<p>\u201ea generally available software component, used by a medical device manufacturer for which the manufacturer can not claim complete software life cycle control (e.g., operating system, printer\/display libraries).\u201c<\/p>\n\n\n\n<p class=\"has-text-align-right\">FDA Guidance Document &#8222;Content of Premarket Submissions for Device Software Functions&#8220;, 2023; <\/p>\n\n\n\n<p class=\"has-text-align-right\">und identisch im FDA Guidance Document &#8222;Off-The-Shelf Software Use in Medical Devices&#8220;, 2023<\/p>\n<\/div>\n\n\n\n<p>Ein Sonderfall der OTS ist die COTS, die Commercial OTS-Software, also OTS eines kommerziellen Anbieters.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Gemeinsamkeiten und Unterschiede von SOUP und OTS<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">\u00dcberblick<\/h4>\n\n\n\n<p>Die Konzepte SOUP und OTS sind nicht ganz deckungsgleich:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Es gibt SOUP, die auch OTS ist<\/strong>:<br>Alle allgemein verf\u00fcgbaren Komponenten, die nicht daf\u00fcr entwickelt wurden, Teil des zu entwickelnden Medizinger\u00e4tes zu werden, und \u00fcber dessen Entwicklungsprozess der Hersteller daher auch keine Kontrolle hat, sind sowohl SOUP als auch OTS.<\/li>\n\n\n\n<li><strong>Es gibt SOUP, die keine OTS ist<\/strong>:<br>Alle Software-Komponenten, die nicht allgemein verf\u00fcgbar sind, etwa diejenigen, die der Medizinproduktehersteller zwar selbst, aber f\u00fcr einen anderen Zweck entwickelt hat und die er jetzt in das Medizinger\u00e4t integrieren m\u00f6chte, sind SOUP, aber keine OTS.<\/li>\n\n\n\n<li><strong>Es gibt OTS, die keine SOUP ist<\/strong>:<br>Ein typisches Beispiel ist jegliche Prozess-Software von anderen Herstellern, die unter den Begriff der OTS-Software f\u00e4llt.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Erl\u00e4uterungen<\/h4>\n\n\n\n<p>Zun\u00e4chst f\u00e4llt auf, dass sich die Definition der FDA nicht auf den Einsatz in Medizinger\u00e4ten beschr\u00e4nkt (<em>&#8222;A generally available software component, used by a medical device manufacturer \u2026&#8220;<\/em>). Das Guidance-Dokument, in dem man die Definition findet, hei\u00dft <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/shelf-software-use-medical-devices\">Off-the-Shelf Software Use in Medical devices<\/a>. Und wie der Titel schon sagt, besch\u00e4ftigt sich das Dokument nur mit OTS-Software, die Teil eines Medizinger\u00e4tes ist (bzw. als Laufzeitumgebung f\u00fcr die Software des Produkts vom Hersteller mit ausgeliefert wird). <\/p>\n\n\n\n<p>Das verf\u00fchrt leicht dazu, anzunehmen, dass die Begriffe im Wesentlichen identisch sind. Das ist aber nicht der Fall! In dem betreffenden Dokument wird nur eine bestimmte Anwendung von OTS-Software behandelt.<\/p>\n\n\n\n<p>Es gibt jedoch eine andere. Das wird beim intensiveren Lesen der <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/general-principles-software-validation\">General Principles on Software Validation<\/a> klar. In Kapitel 6 geht es um &#8222;Validation of automated Process equipment and quality system software&#8220;. Dort hei\u00dft es: <em>&#8222;Software tools are frequently used to design, build, and test the software that goes into an automated medical device. [\u2026] All of these applications are subject to the requirement of software validation [&#8230;].&#8220;<\/em> <\/p>\n\n\n\n<p>Was hat das nun mit OTS-Software zu tun? Diesen Zusammenhang stellt das Kapitel 6.3 &#8222;Validation of the Off-the-Shelf Software&#8220; her. All die oben erw\u00e4hnte Software <em>&#8222;to design, build and test the software&#8220;<\/em> f\u00e4llt unter den Begriff OTS-Software, wenn sie von anderen Herstellern vertrieben wird. So gelangt man zum oben genannten Fazit.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Regulatorische Anforderungen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Regulatorische Anforderungen an SOUP<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Anforderungen wie an jede andere Software-Komponente<\/h4>\n\n\n\n<p>Die IEC 62304 betrachtet SOUPs als&nbsp;<a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/software-komponente\">Software-Komponenten<\/a>. Die Hersteller m\u00fcssen f\u00fcr SOUPs (wie f\u00fcr jede andere Komponente) die Anforderungen spezifizieren und deren Erf\u00fcllung testen. Zus\u00e4tzlich zu \u201enormalen\u201c Komponenten m\u00fcssen die Hersteller auch die Voraussetzungen spezifizieren, von denen eine SOUP ausgehen kann, z. B. hinsichtlich der Ressourcen (RAM, CPU, \u2026) oder des Betriebssystems.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Dokumentation der SOUP<\/h4>\n\n\n\n<p>Um die Forderungen der IEC 62304 umzusetzen,&nbsp;empfehle ich Ihnen, die SOUPs anhand folgender Parameter z. B. tabellarisch zu dokumentieren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Name der SOUP<\/li>\n\n\n\n<li>Version (SOUPs unterliegen genau wie alle anderen Artefakte der Versionskontrolle.)<\/li>\n\n\n\n<li>SOUP-Hersteller<\/li>\n\n\n\n<li>Anforderungen an SOUP (ggf. Verweis auf getrenntes Dokument oder Software-Architektur)<\/li>\n\n\n\n<li>Anforderungen durch SOUP, z. B. an Speicher oder Hardware<\/li>\n\n\n\n<li>Webseite von Bug Reports und Release Notes<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Festlegung der Sicherheitsklasse bei SOUPs<\/h4>\n\n\n\n<p>Weil SOUPs Software-Komponenten sind, erben sie die Sicherheitsklasse des umgebenden Software-Systems bzw. der umgebenden Software-Komponente. Diese Sicherheitsklasse regelt aber nur den Umfang der zu erstellenden Dokumentation. Forderungen, wie sie die FDA mit dem Lieferanten-Audit kennt, stellt die IEC 62304 nicht.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Spezifikation und \u00dcberpr\u00fcfung der Anforderungen<\/h4>\n\n\n\n<p>Genau wie bei jeder anderen Software-Komponente m\u00fcssen die Hersteller die Anforderungen an eine SOUP spezifizieren und die Erf\u00fcllung sp\u00e4ter pr\u00fcfen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung<\/span><\/div>\n<p>Manche Hersteller f\u00fchlen sich verpflichtet, die komplette SOUP zu spezifizieren und zu pr\u00fcfen, was etwa bei einem Betriebssystem kaum gelingen wird. <\/p>\n\n\n\n<p>Vielmehr m\u00fcssen die Hersteller die Anforderungen an die SOUP festlegen, die sie im Rahmen des Software-Systems ben\u00f6tigen. Bei einem Betriebssystem w\u00e4ren das beispielsweise Anforderungen an den Zugriff auf Festplatte und Netzwerke oder die F\u00e4higkeit der parallelen Verarbeitung. Genau diese Anforderungen gilt es dann zu \u00fcberpr\u00fcfen.<\/p>\n<\/div>\n\n\n\n<h4 class=\"wp-block-heading\">Festlegung und \u00dcberpr\u00fcfung der Voraussetzungen<\/h4>\n\n\n\n<p>Die IEC 62304 verpflichtet die Hersteller zu \u00fcberpr\u00fcfen, ob die Voraussetzungen f\u00fcr den Einsatz einer SOUP gegeben sind. Beispiele f\u00fcr solche Voraussetzungen sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verf\u00fcgbarer Hauptspeicher (RAM)<\/li>\n\n\n\n<li>Typ und Version des zugrundeliegenden Betriebssystems<\/li>\n\n\n\n<li>Typ und Version von &#8222;Run-time environments&#8220; wie die Java Run Time und die .NET-Laufzeitumgebung<\/li>\n\n\n\n<li>Versionen von Bibliotheken, mit denen die SOUP interagieren soll<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">b) Regulatorische Anforderungen an OTS<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Festlegung des Levels of Concern bei OTS-Software (g\u00fcltig bis August 2023)<\/h4>\n\n\n\n<p>Die Hersteller m\u00fcssen\/mussten den Level of Concern gem\u00e4\u00df den Vorgaben des <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/shelf-software-use-medical-devices\">Guidance-Dokuments zur OTS<\/a> der FDA bestimmen. Dabei stellen sich viele Hersteller die Frage, ob sie den <a href=\"https:\/\/www.johner-institut.de\/blog\/fda\/level-of-concern\/\">Level of Concern<\/a> vor oder nach den Ma\u00dfnahmen bestimmen m\u00fcssen. <\/p>\n\n\n\n<p>Diese Frage ist nicht nur entscheidend f\u00fcr die einzureichende Dokumentation, sondern hat auch Einfluss auf die Entscheidung, ob die OTS \u00fcberhaupt eingesetzt werden darf.<\/p>\n\n\n\n<p>Im <a href=\"https:\/\/www.fda.gov\/files\/medical%20devices\/published\/Guidance-for-the-Content-of-Premarket-Submissions-for-Software-Contained-in-Medical-Devices---Guidance-for-Industry-and-FDA-Staff.pdf\">Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices<\/a> verlangt die FDA, dass der Hersteller den Level of Concern zuerst <em>\u201e<strong>p<\/strong><b>rior<\/b> to mitigation of hazards\u201c<\/em> bestimmt. Bei einer OTS-Software mit einem <em>\u201emajor\u201c<\/em> Level of Concern h\u00e4tte das zur Folge, dass der Hersteller ein Audit beim OTS-Hersteller durchf\u00fchren muss, was in der Regel nicht m\u00f6glich&nbsp;ist.<\/p>\n\n\n\n<p>Die gute Nachricht bez\u00fcglich&nbsp;OTS-Software besteht darin, dass es einen Level of Concern sowohl vor als auch nach den risikominimierenden Ma\u00dfnahmen gibt.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"153\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software-300x153.png\" alt=\"ots-software\" class=\"wp-image-6819\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software-300x153.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software-900x460.png 900w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/12\/ots-software.png 945w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><\/figure>\n\n\n\n<p>Nur wenn <b>nach<\/b> diesen Ma\u00dfnahmen die OTS-Software noch einen <em>&#8222;Major Level of Concern&#8220;<\/em> hat, wird die \u201eSpecial Documentation\u201c notwendig, zu der das Audit beim OTS-Hersteller z\u00e4hlt.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Risikobasierter Ansatz<\/h4>\n\n\n\n<p>Obwohl die FDA den Begriff SOUP kennt, sind die Anforderungen eher unscharf:<\/p>\n\n\n\n<p><cite>&#8222;Therefore, we recommend that you explain the origin of the software and the circumstances surrounding the software documentation. Additionally, your Hazard Analysis should encompass the risks associated with the SOUP regarding missing or incomplete documentation or lack of documentation of prior testing. Nonetheless, the responsibility for adequate testing of the device and for providing appropriate documentation of software test plans and results remains with you.&#8220;<\/cite><\/p>\n\n\n\n<p>Man erkennt jedoch den risikobasierten Ansatz.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"> Festlegung des Documentation Levels (g\u00fcltig ab August 2023)<\/h4>\n\n\n\n<p>Im August 2023 hat die FDA die neue Version des <a href=\"https:\/\/www.fda.gov\/regulatory-information\/search-fda-guidance-documents\/shelf-software-use-medical-devices\">Guidance-Dokuments  &#8222;Off-the-shelf Software Use in Medical Devices&#8220;<\/a> publiziert.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp<\/span><\/div>\n<p><a href=\"https:\/\/draftable.com\/compare\/HlxNgPXvspAb\">Diese Gegen\u00fcberstellung<\/a> hilft, die Guidance-Dokumente der FDA zur OTS-Software zu vergleichen.<\/p>\n<\/div>\n\n\n\n<p>Eine wesentliche \u00c4nderung betrifft den bisherigen Level of Concern. Die FDA passt die guidance damit an die  \u00c4nderungen aus der FDA Guidance &#8222;Content of Premarket Submissions for Device Software Functions&#8220; (2023) an und unterscheidet nicht mehr drei, sondern zwei Klassen. Sie spricht auch nicht mehr vom Level of Concern, sondern vom Basic bzw. Enhanced &#8222;Documentation Level&#8220;. Diese Documentation Level bestimmen (wie auch bereits die Level of Concern) die zur Einreichung <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/level-of-concern\/\">bei der FDA zu liefernde Software-Dokumentation<\/a>. Anders als bei der IEC 62304, bedeutet das aber nicht, dass man prinzipiell auf die Aktivit\u00e4ten in der Entwicklung verzichten werden darf, so hei\u00dft es z.B. beim &#8222;Basic Documentation Level&#8220;:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8222;<em>During premarket review, FDA may request additional information, if needed, to evaluate the safety and effectiveness of the device<\/em>.<em>&#8222;<\/em><\/p>\n<cite>FDA guidance &#8222;Off-The-Shelf Software Use in Medical Devices&#8220;, 2023<\/cite><\/blockquote>\n\n\n\n<p>Auch wird die OTS nicht mehr eigenst\u00e4ndig klassifiziert sondern erbt das &#8222;Documentation Level&#8220; des Medizinprodukts, wie das Beispiel aus Appendix B (3) verdeutlicht: <\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8222;<em>[&#8230;] since the device has an Enhanced Documentation Level, the OTS Software Documentation will follow the Enhanced Documentation Level in this guidance&#8220;<\/em><\/p>\n<cite>FDA guidance &#8222;Off-The-Shelf Software Use in Medical Devices&#8220;, 2023<\/cite><\/blockquote>\n\n\n\n<p>Abh\u00e4ngig vom documenation level erwartet die FDA die folgenden Dokumentationen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Dokumentation<\/strong><\/td><td><strong>Basic<\/strong><\/td><td><strong>Enhanced<\/strong><\/td><\/tr><tr><td>Beschreibung der OTS-Software<\/td><td>X<\/td><td>X<\/td><\/tr><tr><td>Risikobewertung der OTSS<\/td><td>X<\/td><td>X<\/td><\/tr><tr><td>Software-Testing<\/td><td>X<\/td><td>X<\/td><\/tr><tr><td>Sicherstellung der &#8222;Development Methodologies and Continued Maintenance&#8220; <\/td><td>&#8211;<\/td><td>X<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-element-caption\">Tabelle 1: Vergleich der Anforderungen der FDA an OTSS mit Basic und Enhance Documentation Level<\/figcaption><\/figure>\n\n\n\n<p>Die letzte Anforderung f\u00fcr das &#8222;Enhanced Documentation Level&#8220; bedeutet letztlich, dass man den Entwicklungsprozess und die angewendeten Methoden kennt. Damit w\u00e4re diese Software zwar noch OTS-Software, aber im Sinne der IEC 62304 nicht zwingend auch eine SOUP, denn die Lebenszyklusaufzeichungen m\u00fcssten vorhanden sein.<\/p>\n\n\n\n<p>Da das Documentation level f\u00fcr das gesamte Medizinprodukt gilt (&#8222;<em>[&#8230;]<\/em> <em>the documentation level reflects the device as a whole<\/em>&#8222;) und die OTS das documentation level des Medizinprodukts erbt, f\u00fchrt das dazu, dass sehr viele OTS in das enhanced documentation level fallen werden. <\/p>\n\n\n\n<p>Man bedenke die typische Sicherheits-Architektur kritischer Systeme aus Steuereinheit und \u00dcberwachungseinheit. Gem\u00e4\u00df FDA h\u00e4tte das Produkt als Ganzes ein enhanced documentation level. Alle OTS h\u00e4tten ein enhanced documentation level, wo man aus Sicht der IEC 62304 die Steuereinheit ggf. herunterklassifiziert h\u00e4tte bzw. bei der fr\u00fcheren OTS guidance andere Level of Concern vergeben h\u00e4tte. <\/p>\n\n\n\n<p>Diese <em>enhanced documentation level<\/em> Anforderungen lassen sich f\u00fcr viele OTS-Software nicht erf\u00fcllen. Damit stehen die Hersteller von Medizinprodukten vor den gleichen Herausforderungen wie fr\u00fcher beim &#8222;Major Level of Concern&#8220;. Noch nicht ganz klar ist, ob mit der \u00c4nderung von &#8222;<em>Audit<\/em>&#8220; auf &#8222;<em>Review<\/em>&#8220; der Entwicklungsdokumentation der OTS, die FDA bewusst die Anforderung etwas weicher formuliert und damit auf die Hersteller zugeht.<\/p>\n\n\n\n<p>Gl\u00fccklicherweise bietet auch die neue Guidance die M\u00f6glichkeit \u00fcber das Risikomanagement nach Ma\u00dfnahmen den Einsatz der OTS zu rechtfertigen, auch wenn man nicht den Entwicklungsprozess und die angewendeten Methoden des OTS-Lieferanten auditieren kann.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Vergleich der Anforderungen<\/h3>\n\n\n\n<p>Die Definitionen der beiden Begriffe sich \u00e4hneln sehr, doch es gibt folgenden&nbsp;<strong>regulatorischen Unterschied<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Bei den SOUP&nbsp;hat&nbsp;die Sicherheitsklasse&nbsp;keinen direkten Einfluss auf die Zulassung bzw. Verwendbarkeit. Insbesondere fordert sie nicht unter Umst\u00e4nden ein Lieferantenaudit. <\/li>\n\n\n\n<li>Bei der OTS ist dies der Fall.<\/li>\n<\/ul>\n\n\n\n<p>In beiden F\u00e4llen sind Risiken durch SOUP bzw. OTS zu analysieren und zu bewerten.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Lesen Sie hier mehr zur <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/legacy-software\/\">Abgrenzung von Legacy Software, SOUP und OTS<\/a>.<\/p>\n<\/div>\n\n\n\n<p>Weitere Unterschiede sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die FDA nutzt einen risikobasierten Ansatz, um die Forderungen an OTS zu skalieren. Diese Forderungen k\u00f6nnen bis zum Verbot der OTS gehen. Die IEC 62304 nennt keine konkreten Forderungen, insbesondere gibt es keine Abh\u00e4ngigkeit von der Sicherheitsklasse.<\/li>\n\n\n\n<li>Die FDA hat eine konkrete Liste an Eigenschaften, die f\u00fcr jede OTS-Komponente zu dokumentieren ist. Die IEC 62304 ist unspezifischer (siehe Kapitel 5.3.3 und 5.3.4).<\/li>\n\n\n\n<li>Die FDA erlaubt es nicht, eigene Software, f\u00fcr die keine ad\u00e4quaten Aufzeichnungen vorhanden sind, als OTSS zu behandeln.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">d) \u201eIndirekte\u201c regulatorische Anforderungen an SOUP &amp; OTS<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Versionskontrolle<\/h4>\n\n\n\n<p>Wie alle anderen m\u00fcssen auch die SOUPs der Versionskontrolle unterliegen. Im Gegensatz zum Quellcode w\u00fcrde man aber nicht etwa den kompilierten Code (z. B. die DLL- oder die JAR-Datei, das Executable) im Versionsverwaltungssystem einchecken. <\/p>\n\n\n\n<p>Zus\u00e4tzlich unterliegt die auszuliefernde Software, also das Ergebnis des Build-Prozesses, der Konfigurationskontrolle \u2013 und nicht nur die Artefakte, die als Input dessen dienen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Post-Market Surveillance<\/h4>\n\n\n\n<p>Im Rahmen der&nbsp;<a href=\"https:\/\/www.johner-institut.de\/blog\/iso-14971-risikomanagement\/post-market-surveillance\/\">Post-Market Surveillance<\/a>&nbsp;und der nachgelagerten Phase des Risikomanagements m\u00fcssen die Hersteller Informationen aktiv nachverfolgen, die R\u00fcckschl\u00fcsse auf Bugs oder auf durch SOUP verursachte Risiken erlauben. Zu den Informationsquellen z\u00e4hlen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Kundenr\u00fcckmeldungen (Beschwerden, Fehlermeldungen, Beobachtungen)<\/li>\n\n\n\n<li>Meldungen der Hersteller, z. B. in Form von Release Notes oder Bug Reports<\/li>\n\n\n\n<li>Meldungen anderer Hersteller zu Problemen mit der SOUP, z. B. beim&nbsp;<a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/bfarm\/\">BfArM<\/a>&nbsp;oder der MAUDE-Datenbank der FDA<\/li>\n\n\n\n<li>Hinweise zu Problemen mit der IT-Sicherheit, z. B. in der <a href=\"https:\/\/nvd.nist.gov\/vuln\">NIST-Datenbank<\/a><\/li>\n<\/ul>\n\n\n\n<p>Wie bei jedem potenziellen Problem muss der Hersteller das Problem analysieren und entsprechende Ma\u00dfnahmen ergreifen. Dazu geh\u00f6ren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Austausch der SOUP durch neue Version<\/li>\n\n\n\n<li>Ersatz &nbsp;durch eigene oder andere Komponente<\/li>\n\n\n\n<li>Entfernen und ggf. deaktivieren von Funktionalit\u00e4t<\/li>\n\n\n\n<li>Verbot, das Produkt weiterhin zu nutzen<\/li>\n\n\n\n<li>Hinweise zum Umgang mit dem Produkt bzw. dem Fehler<\/li>\n<\/ul>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Wie Hersteller am besten Meldungen \u00fcber Schwachstellen kommunizieren, beschreibt der <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-29147\/\">Artikel zur ISO 29147<\/a>. Ein weiterer Artikel beschreibt die <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/#anchor-section_scroll1\">regulatorischen Anforderungen an die IT-Sicherheit<\/a>.<\/p>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">3. Praxistipps zum Umgang mit SOUP und OTS<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Kriterien zur Auswahl von SOUPs und OTS<\/h3>\n\n\n\n<p>Die folgenden Kriterien helfen bei der Auswahl eines SOUP-Herstellers bzw. einer SOUP:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Kann man den SOUP-Hersteller auditieren? =&gt; z. B. ein Lieferantenaudit des Entwicklungsprozesses und des Wartungsprozesses<\/li>\n\n\n\n<li>Bietet die SOUP die Funktionalit\u00e4t, die wir ben\u00f6tigen?&nbsp;Wie vollst\u00e4ndig&nbsp;erf\u00fcllt sie unsere Anforderungen?<\/li>\n\n\n\n<li>K\u00f6nnen wir der SOUP die von ihr notwendigen Laufzeitbedingungen wie Hardware, RAM, Betriebssystem usw. bereitstellen?<\/li>\n\n\n\n<li>Wie oft ist die SOUP im Einsatz? =&gt; Absch\u00e4tzen der Fehlerwahrscheinlichkeit<\/li>\n\n\n\n<li>Ver\u00f6ffentlicht der Hersteller Buglisten? =&gt; Input f\u00fcr die Risikoanalyse<\/li>\n\n\n\n<li>Ist eine technische Dokumentation der SOUP verf\u00fcgbar, etwa eine Architektur? Gibt es Testberichte?<\/li>\n\n\n\n<li>Sind gar Testergebnisse einsehbar, wie beispielsweise bei den Apache-Projekten?<\/li>\n\n\n\n<li>Ist m\u00f6glicherweise sogar der Source-Code erh\u00e4ltlich?<\/li>\n\n\n\n<li>Gibt es Berichte aus vorangegangenen Audits?<\/li>\n\n\n\n<li>Ist ein QM-System beim SOUP-Hersteller vorhanden? =&gt; z. B. nach Normen ISO 9001, ISO 15504, ISO 13485 etc.<\/li>\n\n\n\n<li>Ist die SOUP in anderen Medizinprodukten bereits im Einsatz?<\/li>\n\n\n\n<li>Was kostet sie?<\/li>\n\n\n\n<li>Wie gut ist der Support? Wie schnell reagiert er? Zu welchen Zeiten ist er&nbsp;verf\u00fcgbar?<\/li>\n<\/ul>\n\n\n\n<p>Erstellen Sie eine Nutzerwertanalyse, mit der Sie die einzelnen Kriterien&nbsp;f\u00fcr Ihren konkreten Anwendungsfall gewichten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Umgang mit SOUP bzw. OTS in Hardware-Bauteilen<\/h3>\n\n\n\n<p>Wie geht man mit Software um, die bereits in Bauteilen enthalten ist, die Hersteller von Dritten beziehen, z. B.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Software in einem Modem- oder GSM-Chip<\/li>\n\n\n\n<li>Software in einem USB-Baustein<\/li>\n\n\n\n<li>Software in Display-Controllern<\/li>\n\n\n\n<li>Software in Ethernet-Chips und sonstigen Mikrocontrollern<\/li>\n<\/ul>\n\n\n\n<div class=\"wp-block-media-text alignwide is-stacked-on-mobile\"><figure class=\"wp-block-media-text__media\"><img loading=\"lazy\" decoding=\"async\" width=\"150\" height=\"150\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/04\/software-hardware-baustein-soup-150x150.jpg\" alt=\"Software in Hardware-Bausteinen: Auch eine SOUP?\" class=\"wp-image-10557 size-full\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/04\/software-hardware-baustein-soup-150x150.jpg 150w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/04\/software-hardware-baustein-soup-300x300.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/04\/software-hardware-baustein-soup-1024x1019.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/04\/software-hardware-baustein-soup.jpg 1929w\" sizes=\"auto, (max-width: 150px) 100vw, 150px\" \/><\/figure><div class=\"wp-block-media-text__content\">\n<p>Die Frage, ob Software in Hardware-Bauteilen als SOUP gilt, stellen v. a. Hersteller, die die Gesamtheit aller Software in einem Medizinprodukt als das Software-System definieren. Davon r\u00e4t das Johner Institut ab. <\/p>\n\n\n\n<p>Definieren Sie als Software-System die Gesamtheit der Software innerhalb eines Prozessoren- bzw. Speicherbereichs. <\/p>\n\n\n\n<p>In einem Medizinger\u00e4t kann es somit mehrere Software-Systeme geben, zumindest eines pro PESS (programmierbares elektrisches Subsystem). Weshalb Sie dies so aufteilen sollten, erfahren Sie in den&nbsp;<a href=\"https:\/\/www.johner-institut.de\/produkte\/auditgarant\/\">Videotrainings im Auditgarant<\/a>.<\/p>\n<\/div><\/div>\n\n\n\n<p>Das Johner Institut empfiehlt, diese Software aus folgenden Gr\u00fcnden&nbsp;<strong>nicht<\/strong>&nbsp;als SOUP zu behandeln:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>F\u00fcr den Hersteller ist es nicht nachvollziehbar, welcher Teil der Funktionalit\u00e4t einer gekauften Hardware in Software implementiert ist. Damit kann der Hersteller auch keine Anforderungen an diese Software formulieren, wie von der IEC 62304 formuliert.<\/li>\n\n\n\n<li>Diese \u201eembedded\u201c Software f\u00e4llt nicht unter die Definition des Begriffs SOUP.<\/li>\n\n\n\n<li>Ein Auditor wird Sie wahrscheinlich nicht auf diese Software ansprechen, sondern auf das ganze Bauteil. Machen Sie die Sache nicht unn\u00f6tig kompliziert.<\/li>\n\n\n\n<li>Die Risiken, dass diese Software Fehler enth\u00e4lt, k\u00f6nnen und sollten Sie&nbsp;nicht auf Ebene dieser&nbsp;Software diskutieren und beherrschen, sondern auf Ebene des Bausteins bzw. der System-Architektur.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">c) Umgang mit Linkern<\/h3>\n\n\n\n<p>Wie gehen Auditoren mit den Linkern um? Hierzu gibt es leider unterschiedliche Antworten: <\/p>\n\n\n\n<p>Ein Auditor vertrat die Meinung, ein Linker w\u00fcrde Software-Teile f\u00fcr den Kompiliervorgang in das Programm rein-linken. Insofern m\u00fcsste dieser in die Software gelinkte Teil der Software als SOUP betrachtet werden. <\/p>\n\n\n\n<p>Diese Meinung teilen andere Auditoren und das Johner Institut nicht: Ein Linker selbst ist keine SOUP. Vielmehr ist er wie der Compiler eine Prozess-Software. Man k\u00f6nnte eher diskutieren, ob der Linker deshalb zu validieren ist.<\/p>\n\n\n\n<p>Eine SOUP ist, nochmals zu Erinnerung, <\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201eeine&nbsp;<strong>Software-Komponente<\/strong>, die bereits entwickelt wurde, und allgemein verf\u00fcgbar ist, und die nicht entwickelt wurde, um in das Medizinprodukt integriert zu werden, oder bereits fertig entwickelte Software, f\u00fcr die angemessene Aufzeichnungen zum Entwicklungsprozess nicht verf\u00fcgbar sind.\u201d<\/p>\n<cite>IEC 62304<\/cite><\/blockquote>\n\n\n\n<p>Ein Linker erstellt aber gerade keine Komponenten, au\u00dferdem war das, was der Linker erstellt, keinesfalls vorher vorhanden und allgemein verf\u00fcgbar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">d) Vorsicht mit der Behauptung, eine SOUP sei \u201ezertifiziert\u201c<\/h3>\n\n\n\n<p>Oft stellt sich die Frage: W\u00e4re es nicht besser, eine zertifizierte SOUP zu nehmen? Es gibt ja Hersteller von Betriebssystemen, die so etwas anbieten (<a href=\"http:\/\/rtos.com\/products\/threadx\/certification_pack\">Beispiel<\/a>).<\/p>\n\n\n\n<p>Es ist immer das Ziel, einen Hersteller auszuw\u00e4hlen, der Software professionell entwickelt. Grunds\u00e4tzlich braucht aber kein SOUP-Hersteller die Regulierungen zu Medizinprodukten (z. B. die MDR oder IEC 62304) zu beachten, da er kein Inverkehrbringer ist. <\/p>\n\n\n\n<p>Dass es IEC-62304-zertifizierte Produkte geben soll, erscheint fragw\u00fcrdig, denn die IEC 62304 ist eine Prozessnorm und keine Produktnorm. Das hei\u00dft: Man kann sich nur zertifizieren lassen, dass man konform mit den (geringen) Anforderungen dieser Norm entwickelt. \u00dcber die G\u00fcte des Produkts sagt das aber nichts aus.<\/p>\n\n\n\n<p>Diese Form der Werbung oder Kommunikation ist zumindest missverst\u00e4ndlich. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Fazit und Zusammenfassung<\/h2>\n\n\n\n<p>In Medizinprodukten w\u00e4chst kontinuierlich der Anteil der Software, die die Hersteller nicht mehr selbst schreiben, sondern etwa in Form von Bibliotheken \u00fcbernehmen. Damit wird es immer wichtiger, dass Hersteller die Konformit\u00e4t ihrer Produkte auch dann nachweisen k\u00f6nnen, wenn sie die Software Dritter verwenden. Das <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Empfehlungen-nach-Angriffszielen\/Webanwendungen\/log4j\/log4j_node.html\">Log4J-Desaster<\/a> hat dieses Problem sehr ins Bewusstsein ger\u00fcckt.<\/p>\n\n\n\n<p>Die IEC 62304 und die FDA f\u00fchren dazu die nicht ganz deckungsgleichen Konzepte der SOUP und der OTS-Software ein. Hersteller m\u00fcssen diese Konzepte und die damit verbundenen regulatorischen Anforderungen kennen und beachten, um Schwierigkeiten bei Zulassungen und Audits sowie v. a. Probleme mit der Sicherheit ihrer Produkte zu vermeiden.<\/p>\n\n\n\n<div class=\"wp-block-group has-white-color has-advertising-gradient-background has-text-color has-background is-layout-constrained wp-container-core-group-is-layout-23b1a4dc wp-block-group-is-layout-constrained\" style=\"padding-top:var(--wp--preset--spacing--30);padding-right:var(--wp--preset--spacing--30);padding-bottom:var(--wp--preset--spacing--30);padding-left:var(--wp--preset--spacing--30)\">\n<p>Das Johner Institut unterst\u00fctzt Medizinproduktehersteller bei der normen- und gesetzeskonformen Entwicklung von Software. Wir stellen sicher, dass Sie schnell und verl\u00e4sslich die &#8222;Zulassungen&#8220; Ihrer Produkte erreichen, unn\u00f6tige Aufw\u00e4nde vermeiden und sichere Medizinprodukte entwickeln.<\/p>\n\n\n\n<p><a href=\"\/kontakt\/\">Melden Sie sich<\/a>, wenn Sie Unterst\u00fctzung w\u00fcnschen, sei es beim Erstellen oder Pr\u00fcfen der Software-Akte oder f\u00fcr Pentests der Produkte.<\/p>\n<\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2023-11-15: kleinere Korrekturen, Konkretisierung f\u00fcr bessere Verst\u00e4ndlichkeit<\/li>\n\n\n\n<li>2023-10-30: Im Kapitel 2.b) Erg\u00e4nzungen zum neuen 2023 Guidance-Dokument hinzugef\u00fcgt<\/li>\n\n\n\n<li>2023-09-05: Im Kapitel 2.b) Unterkapitel zum neuen Guidance-Document der FDA erg\u00e4nzt<\/li>\n\n\n\n<li>2023-03-13: Artikel v\u00f6llig \u00fcberarbeitet und aktualisiert und mit dem bisherigen Schlagwortbeitrag zusammengef\u00fchrt<\/li>\n\n\n\n<li>2017-09-13: Erste Version des Artikels<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Sowohl die FDA als auch die IEC 62304 kennen durch Dritte entwickelte Software. Sie sprechen von Off-the-Shelf Software&nbsp;(OTS) bzw. von Software of Unknown Provenance (SOUP). Worin unterscheiden sich OTS und SOUP? Welche Gemeinsamkeiten haben beide? Welche gesetzlichen Anforderungen m\u00fcssen sie erf\u00fcllen? Dieser Artikel gibt Antworten.<\/p>\n","protected":false},"author":108,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":true,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[184],"tags":[1188,269,1200,362,368],"ppma_author":[1225],"class_list":["post-4658","post","type-post","status-publish","format-standard","hentry","category-iec-62304-medizinische-software","tag-fda","tag-medizinische-software","tag-post-market-phase","tag-software-architektur","tag-soup","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.3 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Off-the-shelf Software: Nicht mit SOUP verwechseln!<\/title>\n<meta name=\"description\" content=\"Die FDA definiert &quot;off-the-shelf software&quot; OTS, die IEC 62304 die software of unknown provenance SOUP. Beide Begriffe sind aber nicht ganz deckungsgleich.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Off-the-shelf Software: Nicht mit SOUP verwechseln!\" \/>\n<meta property=\"og:description\" content=\"Die FDA definiert &quot;off-the-shelf software&quot; OTS, die IEC 62304 die software of unknown provenance SOUP. Beide Begriffe sind aber nicht ganz deckungsgleich.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2023-10-30T09:55:55+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-05-24T09:34:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/07\/071612_1931_SOUPnachIEC1.png\" \/>\n<meta name=\"author\" content=\"Alexander Wassel\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alexander Wassel\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"17\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/\"},\"author\":{\"name\":\"Alexander Wassel\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/680c4440e9700973e534dac3af5d1a08\"},\"headline\":\"Off-the-Shelf Software (OTS) versus SOUP\",\"datePublished\":\"2023-10-30T09:55:55+00:00\",\"dateModified\":\"2024-05-24T09:34:15+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/\"},\"wordCount\":3192,\"commentCount\":18,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2012\\\/07\\\/071612_1931_SOUPnachIEC1.png\",\"keywords\":[\"FDA - Medizinprodukte in den USA\",\"Medizinische Software \\\/ Medical Device Software\",\"Post-Market-Phase bei Medizinprodukten\",\"Software-Architektur (IEC-62304-konform)\",\"SOUP - Software of Unknown Provenance\"],\"articleSection\":[\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/\",\"name\":\"Off-the-shelf Software: Nicht mit SOUP verwechseln!\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2012\\\/07\\\/071612_1931_SOUPnachIEC1.png\",\"datePublished\":\"2023-10-30T09:55:55+00:00\",\"dateModified\":\"2024-05-24T09:34:15+00:00\",\"description\":\"Die FDA definiert \\\"off-the-shelf software\\\" OTS, die IEC 62304 die software of unknown provenance SOUP. Beide Begriffe sind aber nicht ganz deckungsgleich.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2012\\\/07\\\/071612_1931_SOUPnachIEC1.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2012\\\/07\\\/071612_1931_SOUPnachIEC1.png\",\"width\":\"387\",\"height\":\"168\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/iec-62304-medizinische-software\\\/off-the-shelf-software-ots-versus-soup\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Software &amp; IEC 62304\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/iec-62304-medizinische-software\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Off-the-Shelf Software (OTS) versus SOUP\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/680c4440e9700973e534dac3af5d1a08\",\"name\":\"Alexander Wassel\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Alexander_Wassel_300x300.pngb1f8b17d9a67c66b6cb2abad4a346895\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Alexander_Wassel_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Alexander_Wassel_300x300.png\",\"caption\":\"Alexander Wassel\"},\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/alexanderwassel\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Off-the-shelf Software: Nicht mit SOUP verwechseln!","description":"Die FDA definiert \"off-the-shelf software\" OTS, die IEC 62304 die software of unknown provenance SOUP. Beide Begriffe sind aber nicht ganz deckungsgleich.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/","og_locale":"de_DE","og_type":"article","og_title":"Off-the-shelf Software: Nicht mit SOUP verwechseln!","og_description":"Die FDA definiert \"off-the-shelf software\" OTS, die IEC 62304 die software of unknown provenance SOUP. Beide Begriffe sind aber nicht ganz deckungsgleich.","og_url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2023-10-30T09:55:55+00:00","article_modified_time":"2024-05-24T09:34:15+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/07\/071612_1931_SOUPnachIEC1.png","type":"","width":"","height":""}],"author":"Alexander Wassel","twitter_misc":{"Verfasst von":"Alexander Wassel","Gesch\u00e4tzte Lesezeit":"17\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/"},"author":{"name":"Alexander Wassel","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/680c4440e9700973e534dac3af5d1a08"},"headline":"Off-the-Shelf Software (OTS) versus SOUP","datePublished":"2023-10-30T09:55:55+00:00","dateModified":"2024-05-24T09:34:15+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/"},"wordCount":3192,"commentCount":18,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/07\/071612_1931_SOUPnachIEC1.png","keywords":["FDA - Medizinprodukte in den USA","Medizinische Software \/ Medical Device Software","Post-Market-Phase bei Medizinprodukten","Software-Architektur (IEC-62304-konform)","SOUP - Software of Unknown Provenance"],"articleSection":["Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/","url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/","name":"Off-the-shelf Software: Nicht mit SOUP verwechseln!","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/07\/071612_1931_SOUPnachIEC1.png","datePublished":"2023-10-30T09:55:55+00:00","dateModified":"2024-05-24T09:34:15+00:00","description":"Die FDA definiert \"off-the-shelf software\" OTS, die IEC 62304 die software of unknown provenance SOUP. Beide Begriffe sind aber nicht ganz deckungsgleich.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/07\/071612_1931_SOUPnachIEC1.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/07\/071612_1931_SOUPnachIEC1.png","width":"387","height":"168"},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/off-the-shelf-software-ots-versus-soup\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Software &amp; IEC 62304","item":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},{"@type":"ListItem","position":3,"name":"Off-the-Shelf Software (OTS) versus SOUP"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/680c4440e9700973e534dac3af5d1a08","name":"Alexander Wassel","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Alexander_Wassel_300x300.pngb1f8b17d9a67c66b6cb2abad4a346895","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Alexander_Wassel_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Alexander_Wassel_300x300.png","caption":"Alexander Wassel"},"url":"https:\/\/www.johner-institut.de\/blog\/author\/alexanderwassel\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":5371949,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/software-komponenten\/","url_meta":{"origin":4658,"position":0},"title":"Software-Komponenten konform mit IEC 62304 und FDA entwickeln","author":"Prof. Dr. Christian Johner","date":"9. Mai 2023","format":false,"excerpt":"Die Hersteller medizinischer Software m\u00fcssen die gesetzlichen Anforderungen an die Software-Komponenten erf\u00fcllen, um ihre Produkte \u201ezulassen\u201c zu d\u00fcrfen. Dieser Artikel stellt diese Anforderungen vor und gibt 7 Tipps, wie diese schnell und einfach zu erf\u00fcllen sind. 1. Was Software-Komponenten sind a) Definition Die IEC 62304 definiert den Begriff Software-Komponente wie\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/Software-Komponenten.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/Software-Komponenten.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/Software-Komponenten.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/Software-Komponenten.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/Software-Komponenten.png?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":12005,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/legacy-software\/","url_meta":{"origin":4658,"position":1},"title":"Legacy Software: Forderungen der IEC 62304","author":"Alexander Wassel","date":"25. Oktober 2017","format":false,"excerpt":"Legacy Software definiert die IEC 62304 in deren neuen Ammendment\u00a0I als Software (Teil eines Medizinprodukts oder eigenst\u00e4ndige Software), die zum damaligen Zeitpunkt legal in Verkehr gebracht wurde, aber heutigen Anforderungen (insbesondere der IEC 62304) nicht mehr gen\u00fcgt. Update: Abgrenzung von Legacy Software, SOUP und OTS Beispiel f\u00fcr Legacy Software Wenn\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Legacy Software: Damals legal, heute nicht mehr IEC 62304 konform","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/12\/legacy-software-scaled.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/12\/legacy-software-scaled.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/12\/legacy-software-scaled.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/12\/legacy-software-scaled.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/12\/legacy-software-scaled.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/12\/legacy-software-scaled.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":3981,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/betriebssystem-iec-62304-konform\/","url_meta":{"origin":4658,"position":2},"title":"Betriebssystem konform mit IEC 62304 und FDA?","author":"Prof. Dr. Christian Johner","date":"23. Oktober 2024","format":false,"excerpt":"M\u00fcssen Medizinproduktehersteller bei der Auswahl des Betriebssystems darauf achten, dass das Betriebssystem IEC- 62304-konform ist? Was sagt die FDA? Dieser Artikel \u2026 nennt die regulatorischen Anforderungen (z. B. IEC 62304, FDA) an\u00a0Betriebssysteme. gibt Tipps zur Auswahl von Betriebssystemen. untersucht, ob es eine IEC 62304-Zertifizierung f\u00fcr Betriebssysteme geben kann bzw. muss.\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Betriebssystem und IEC-62304","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2012\/03\/Betriebssystem-IEC-62304.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":5377358,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/sbom-software-bills-of-materials\/","url_meta":{"origin":4658,"position":3},"title":"SBOM: Software Bill of Materials","author":"Christian Rosenzweig","date":"23. Januar 2024","format":false,"excerpt":"Gesetze und Normen verpflichten Medizinproduktehersteller zur Software Bill of Materials, der SBOM. Standardisierte SBOM-Formate reichen allerdings nicht immer aus, um diese Anforderungen zu erf\u00fcllen. Insbesondere Medizinproduktehersteller, die f\u00fcr ihre Software keine SBOM ausliefern und nutzen, sind im Markt nicht mehr akzeptiert. Hier sind die Gr\u00fcnde. 1. SBOM: Die Grundlagen a)\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"SBOM Hierarchie der Komponenten","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/01\/SBOM-Komponenten-Hierarchie-Kopie.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":9264,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/java-virtual-machine-jvm\/","url_meta":{"origin":4658,"position":4},"title":"Java Virtual Machine JVM eine SOUP?","author":"Prof. Dr. Christian Johner","date":"23. M\u00e4rz 2017","format":false,"excerpt":"Java Virtual Machines (JVM) sind\u00a0Software-Programme, die Hardware und Betriebssysteme abstrahieren, indem sie Programmen eine virtuelle Betriebssystem- und Hardware-unabh\u00e4ngige Schicht zur Verf\u00fcgung stellen. \u201eWrite once, run everywhere\u201c war einst der Slogan. Eine JVM ist somit\u00a0eine Software. Aber ist eine Java Virtual Machine\u00a0auch eine SOUP? Antworten finden Sie in diesem Beitrag. JVM:\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Technologie-Stack: Wo verl\u00e4uft die Grenze zwischen SOUP und Laufzeitumgebung?","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2014\/12\/JVM-SOUP-IEC62366.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2014\/12\/JVM-SOUP-IEC62366.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2014\/12\/JVM-SOUP-IEC62366.png?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":11303,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/level-of-concern\/","url_meta":{"origin":4658,"position":5},"title":"Level of Concern und Documentation Level : Was die FDA damit erreichen m\u00f6chte","author":"Claudia Schmitt","date":"19. Januar 2024","format":false,"excerpt":"1. Documentation Level: Ende des Level of Concern Am 14.06.2023 hat die FDA das Guidance-Dokument Content of Premarket Submissions for Device Software Functions final freigegeben. Dieses Dokument l\u00f6st das Guidance-Dokument ab, welches den Level of Concern einf\u00fchrte und unterscheidet nur noch zwei Klassen. a) Bestimmung der Klassen Die FDA definiert\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"Der Level of Concern bestimmt sich anhand eines Entscheidungsbaums","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/FDA-Level-of-Concern.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/FDA-Level-of-Concern.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/FDA-Level-of-Concern.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/FDA-Level-of-Concern.png?resize=700%2C400&ssl=1 2x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-1d8","jetpack_sharing_enabled":true,"authors":[{"term_id":1225,"user_id":108,"is_guest":0,"slug":"alexanderwassel","display_name":"Alexander Wassel","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Alexander_Wassel_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Alexander_Wassel_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/4658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/108"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=4658"}],"version-history":[{"count":20,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/4658\/revisions"}],"predecessor-version":[{"id":5376947,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/4658\/revisions\/5376947"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=4658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=4658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=4658"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=4658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}