Die IEC 62304 ist eine in Europa harmonisierte1 Norm für „Medizingeräte-Software“. Sie trägt den Titel „Medizingeräte-Software – Software-Lebenszyklus-Prozesse“ und stellt Mindestanforderungen an Prozesse wie die Entwicklung und Wartung der Software.

Inhalt

Sie finden auf dieser Seite:

  1. Fachartikel zu den Aspekten der IEC 62304
  2. Fachartikel zu den Lebenszyklus-Aktivitäten
  3. Fachartikel zur regulatorischen Bedeutung der IEC 62304
  4. Hinweise, wo und wie Sie Hilfe bei der Umsetzung erhalten

1 Die IEC 62304 war unter der MDD und IVDD harmonisiert und ist unter der MDR und IVDR zur Harmonisierung vorgesehen.

1. Artikel zu Aspekten der IEC 62304

a) Anwendungsbereich

Die IEC 62304 ist anwendbar bei

Weil die IEC 82304-1 die Norm referenziert, ist die IEC 62304 sogar bei  Health Software relevant.

b) Regulatorischer Kontext

Qualifizierung und Klassifizierung

Beachten Sie auch die Fachartikel zu den Lebenszyklus-Aktivitäten unter Punkt 2.

Besondere Anforderungen an Software

c) Konzepte der Norm

2. Artikel zu den Lebenszyklus-Aktivitäten

Die folgenden Artikel sind nach den Kapiteln der IEC 62304 gruppiert.

Kapitel 5.1: Entwicklungsplan

Als Erstes verlangt die Norm, einen Entwicklungsplan zu erstellen. In diesem Zusammenhang sind diese Artikel lesenswert:

Kapitel 5.2: Anforderungen

Aus den Anforderungen des Produkts oder den Stakeholder-Anforderungen muss der Hersteller die Software-Anforderungen ableiten.

Kapitel 5.3 und 5.4: Architektur

In der Architektur legt der Hersteller den „Bauplan“ fest.

Kapitel 5.5 bis 5.7: Implementierung und Verifizierung

Gemäß diesem Bauplan ist dann die Software zu implementieren und zu verifizieren. Die Validierung ist nicht Gegenstand der IEC 62304, sondern der IEC 82304-1.

Kapitel 5.8: Freigabe

Die Entwicklung und Wartung schließt mit der Freigabe, die aber nicht mit der Produktfreigabe verwechselt werden darf:

Weitere Forderungen und Prozesse der Norm

Hinweis

Medizinprodukte, die Software enthalten und über externe Schnittstellen wie USB oder Ethernet verfügen, unterliegen den IT-Sicherheitsanforderungen. Bitte beachten Sie die regulatorischen Anforderungen an die IT-Sicherheit.

3. Regulatorische Bedeutung der IEC 62304

a) Nachweis der GSPR (MDR/IVDR)

Die Medizinprodukte-Verordnungen MDR und IVDR formulieren jeweils in Anhang I die sogenannten „Allgemeinen Sicherheits- und Leistungsanforderungen“ (engl.: General Safety and Performance Requirements, GSPR).

Eine dieser Forderungen lautet, dass „bei Produkten, zu deren Bestandteilen Software gehört, oder bei Produkten in Form einer Software“ die

„Software entsprechend dem Stand der Technik entwickelt und hergestellt [wird], wobei die Grundsätze des Software-Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen sind.“

Das ist eine gesetzliche Anforderung. Ein Verstoß dagegen kann mit Geld- und Freiheitsstrafen belegt werden.

Hersteller von Medizingeräten bzw. Medizinprodukten sollten die Konformität mit diesen Anforderungen nachweisen, indem sie harmonisierte Normen einhalten.

Die Norm IEC 62304 ist die speziell für die Lebenszyklus-Prozesse harmonisierte1 Norm. Eine weitere Norm ist die IEC 82304-1.

b) „Consensus Standard“ der FDA

Die FDA erkennt die IEC 62304 als „Consensus Standard“ an. Sie erwartet aber keine Konformität mit dieser Norm. Allerdings stellt die Behörde z. B. in ihren Leitlinien zur Software Validation vergleichbare Anforderungen.

c) IEC 62304 Zertifizierung

Einige Prüfstellen bieten eine „Zertifizierung nach IEC 62304“ an. Hersteller sollten sich der Grenzen dieser Zertifizierungen bewusst sein:

  1. Eine Zertifizierung hat keinen so hohen Wert, v. a. nicht, wenn die Prüfinstitute für diese Zertifizierung nicht akkreditiert sind. Denn solch ein Zertifikat könnte jeder ausstellen.
  2. Die IEC 62304 ist eine Prozessnorm, keine Produktnorm. Daher muss eine Prüfung die Prozesskonformität beurteilen und nicht das Produkt. Das Zertifikat sagt also nicht direkt etwas über die Produktgüte aus.
  3. Die Behauptung einiger Prüfstellen, dass die Zertifizierung dabei helfe, beim Testen Zeit zu sparen, ist nicht nachvollziehbar. Hersteller können durch Testautomatisierung sowie durch den Einsatz von geeigneten Werkzeugen und Verfahren Zeit sparen. Die Zertifizierung senkt den Testaufwand aber nicht.
  4. Im Rahmen einer Zertifizierung nach ISO 13485, die von akkreditierten Stellen vorgenommen wird, müssen Auditoren ohnehin indirekt die Konformität mit IEC 62304 prüfen, zumindest exemplarisch.

Das Johner Institut rät nicht generell von einer Zertifizierung nach IEC 62304 ab. Aber jeder sollte die „Beweiskraft“ dieser Zertifikate kennen.

4. Unterstützung bei der IEC 62304

Nutzen Sie die Unterstützung des Johner Instituts:

  • Der Auditgarant zeigt Ihnen anhand von Videotrainings, wie Sie Schritt für Schritt eine schlanke und IEC-62304-konforme Dokumentation erstellen. Ein vollständiger Satz an Templates nimmt Ihnen viel Arbeit ab.

Melden Sie sich gleich, damit wir gemeinsam die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Produkte schnell in den Markt kommen.


Level of Concern und Documentation Level : Was die FDA damit erreichen möchte

1. Documentation Level: Ende des Level of Concern Am 14.06.2023 hat die FDA das Guidance-Dokument Content of Premarket Submissions for Device Software Functions final freigegeben. Dieses Dokument löst das Guidance-Dokument ab, welches den Level of Concern einführte und unterscheidet nur noch zwei Klassen. a) Bestimmung der Klassen Die FDA definiert nicht mehr drei „Level of…

Weiterlesen

GLP – Good Laboratory Practice (Gute Laborpraxis)

Die GLP (Good Laboratory Practice) definiert Anforderungen an ein Qualitätssicherungssystem für nicht-klinische gesundheits- und umweltrelevante Sicherheitsprüfungen. Durch die GLP werden der organisatorische Ablauf und die Bedingungen festgelegt, unter denen Laboruntersuchungen geplant, durchgeführt und überwacht werden. Die Aufzeichnung und Berichterstattung der Prüfungen ist ebenfalls Gegenstand der GLP. Lesen Sie in diesem Artikel, welche Anforderungen ggf. auch…

Weiterlesen

IT-Security bei “Legacy Devices”

Dass Gesetze und Normen die IT-Security auch bei „Legacy Devices“ einfordern, ist verständlich. Die Art, wie diese Anforderungen formuliert werden, führt allerdings oft zu Verwirrung. Beispielsweise konnten sich Gesetzgeber und Normenkomitees nicht auf gemeinsame Definitionen einigen. So geht es einmal um die IT-Sicherheit bei Legacy Devices, einmal um die IT-Sicherheit von Altprodukten bzw. von Bestandsprodukten…

Weiterlesen
Traceability entlang der Entwicklung von Medizinprodukten

Traceability: Drei Kontexte unterscheiden!

Der Begriff Tracebility (auf deutsch Nachverfolgbarkeit) wird im Kontext von Medizinprodukten in verschiedenen Kontexten unterschiedlich verstanden. Entsprechend unterschiedlich sind auch die regulatorischen Anforderungen, welche die Hersteller und anderen Akteure (z.B. Betreiber, Lieferanten) erfüllen müssen. Sowohl mit dem Verständnis des Konzepts als auch mit dem Erfüllen der regulatorischen Anforderungen tun sich viele Organisationen schwer. Dieser Artikel…

Weiterlesen

Software als Medizinprodukt – Software as Medical Device

Unter Software als Medizinprodukt (Software as Medical Device, SaMD) versteht man (eigenständige) Standalone-Software, die ein Medizinprodukt ist, aber nicht Teil eines solchen. Sie ist nicht zu verwechseln mit Medical Device Software im Sinne der EU. Wann müssen Sie als Hersteller Software als Medizinprodukt und wann als Medical Device Software qualifizieren? Das erfahren Sie hier – und können…

Weiterlesen
Lastenheft und Pflichtenheft

Lastenheft und Pflichtenheft

Lastenheft und Pflichtenheft, Systemspezifikation und Systemanforderungen Die Vorstellungen darüber, was Lastenhefte und Pflichtenhefte enthalten müssen, gehen weit auseinander – manchmal auch innerhalb einer Firma. Das liegt u. a. daran, dass die beiden Dokumente die verschiedenen Anforderungstypen nicht konsequent unterscheiden. Vielmehr unterscheiden sie sich in der Granularität und dem Detailgrad. Schon aus regulatorischer Sicht sollten Sie…

Weiterlesen

TIR 45: Agile Software-Entwicklung für Medizinprodukte

Der TIR45 („Guidance on the use of AGILE practices in the development of medical device software“) ist ein Technical Information Report (daher TIR) der AAMI, der Association for the Advancement of Medical Instrumentation. Der 2012 erstmalig veröffentlichte TIR45 hat sich vor allem ein Ziel gesetzt: Medizinprodukte-Herstellern eine Anleitung zu geben, wie sie Software agil und…

Weiterlesen