Die IEC 82304 liegt inzwischen vor. Ein guter Anlass, sich diese Norm zu „Health-Software-Products“ näher anzusehen.
IEC 82304: Weshalb noch eine Norm?
Lücke der IEC 62304 bei Validierung schließen
Mit dem Anspruch für jede Medizinprodukte-Software anwendbar zu sein – gleich ob standalone oder embedded –, war die IEC 62304 gestartet. Doch beim Schreiben schienen die Autoren stärker die embedded Software im Hinterkopf gehabt zu haben, wie man manchem Kapitel (z.B. 5.5.4) deutlich anmerkt. Das hatte leider zur Folge, dass die Norm keine Aussage zur Validierung macht, weil embedded Software nicht validierbar ist, sondern nur das ganze Medizinprodukt.
Anforderungen auch an Nicht-Medizinprodukte-Software formulieren
Die IEC 82304 ist nun angetreten, nicht nur diese Lücke zu schließen, sondern auch den wachsenden Markt der Software-Produkte zu regulieren, die zwar etwas mit Medizin, Gesundheit oder Wellness zu tun haben, aber (noch) kein Medizinprodukt sind.
Anwendungsbereich der IEC 82304
An wen sich die Norm wendet
Auch wenn die IEC 82304 zum „Nummernkreis“ der 80000-er Normen zählt, der auch die IEC 80001-1 umfasst, so wendet sich diese nur an die Hersteller, nicht an die Betreiber.
Für welche Software diese Norm anzuwenden ist
Die IEC 82304 fühlt sich für „Health Software Products“ zuständig. Darunter versteht die Norm:
combination of health software and accompanying documents
IEC 82304-1
Dabei definiert die IEC 82304 den Begriff Health Software wie folgt:
Software intended to be used specifically for managing, maintaining or improving health of individual persons, or the delivery of care.
IEC 82304-1
Nur bei standalone Software
D.h. die Norm soll bei standalone Software Anwendung finden, nicht bei „embedded Software“, also nicht bei Software, die Teil eines Medizinprodukts ist, insbesondere nicht, wenn es sich um ein IVD oder ein Medizingerät handelt, das in den „Scope“ der IEC 60601-1 fällt.
Nicht nur bei Medizinprodukten
Die Norm beschränkt sich nicht auf Medizinprodukte. Da eine Software für den Fitnessbereich der Verbesserung der Gesundheit dient, fällt diese ebenfalls in den Anwendungsbereich.
Verbindlichkeit
Die IEC 82304 soll im Jahr 2024 harmonisiert werden. Das bedeutet aber nicht, dass Sie diese Norm einfach ignorieren können. Das hat folgende Gründe:
- Die benannten Stellen bzw. Auditoren stellen zunehmend in Abrede, dass die Normen (z.B. in den harmonierten Versionen) den Stand der Technik repräsentieren. Nach Ansicht vieler tut das die IEC 82304. Als Hersteller sollten Sie zumindest argumentieren können, weshalb Sie gewisse Forderungen der neuen Norm nicht erfüllen.
- Es gibt derzeit keine Norm, die die Software-Validierung adäquat adressiert. (Anmerkung: Mit Software-Validierung ist nicht wie bei der FDA die Software-Qualitätssicherung insgesamt gemeint). Ob die IEC 82304 nun den Stand der Technik bei der Validierung adäquat beschreibt, diskutieren wir weiter unten.
Lassen Sie Ihre Software mit Leichtigkeit als Medizinprodukt zu
Entdecken Sie jetzt, wie Sie Ihre Software als Medizinprodukt in Verkehr bringen können. Erfahren Sie alles über die IEC 82304 & IEC 62304 Normen und lernen Sie, wie Sie die Anforderungen einfach und praxisorientiert umsetzen können. Mit über 25 Videos und einem kompletten Set einer IEC 62304-konformen Software-Akte unterstützen wir Sie dabei, Ihre Software erfolgreich und schnell zu vermarkten
Was die IEC 82304 von Ihnen fordert
Die IEC 62304 gilt mit, die ISO 14971 nicht ganz
Die IEC 82304 macht es sich einfach und referenziert die IEC 62304 mit, indem sie schreibt, dass ein Teil oder aller Inhalt der referenzierten Normen (genannt sind aber nur die IEC 62304 und das Amendement) mitgelten.
Der Teil der IEC 62304, den die IEC 82304 nicht als verbindlich referenziert, ist sehr überschaubar, da die Kapitel fünf bis neun (also alle Prozesse) zu beachten sind. Nur bei der von der IEC 62304 referenzierten ISO 14971 erlaubt die IEC 82304 den Herstellern gewisse Abstriche zu machen.
Forderungen im Überblick
Die Kapitelstruktur lässt die wichtigsten Forderungen bereits erahnen, die wir im folgenden Kapitel vorstellen.
Forderungen im Detail
Kapitel 4: Produktanforderungen
Hersteller müssen klare Anforderungen an das Produkt formulieren und sich dabei der Risiken durch das Produkt bewusstmachen – und diese durch entsprechende Maßnahmen beherrschen. Dazu zählt auch, dass die Hersteller festlegen, welche Nutzer in welcher (Nutzungs-)Umgebung auf welcher Hardware das Produkt zu welchem Ziel nutzen sollen.
Dabei dürfen sich die vom Hersteller zu spezifizierenden Anforderungen nicht nur auf das Produkt und seine Schnittstellen zu anderen Systemen (Interoperabilität) beziehen. Sie müssen auch die Dokumentation, die Begleitdokumente, die Installation, die Updates, den Support usw. berücksichtigen.
Kapitel 5: Lebenszyklus
Die Forderungen dieses Kapitels lassen sich mit einem Satz zusammenfassen: „Mach es wie von der IEC 62304 in den Kapiteln fünf bis neun geschrieben“.
Kapitel 6: Validierung
Das sechste Kapitel besagt, dass man die Validierung planen, durchführen und dokumentieren muss. Sie listet einige Beispiele für Methoden wie „inspection, analysis“. Die Validierung soll aber prüfen, ob die „Use Requirements“ (Nutzungsanforderungen) erfüllt sind, die in Kapitel 4.2 genannt würden. Dort finden sich aber nur bedingt Nutzungsanforderungen, dafür sind andere Stakeholder-Anforderungen und Systemanforderungen benannt.
Bemerkenswert sind die Forderungen nach der Kompetenz und nach einer Unabhängigkeit des Validierungsteams vom Entwicklungsteams.
Kapitel 7: Begleitdokumente
Überraschend ausführlich geht es im Kapitel 7.2 zur Sache: Sehr ausführlich beschreibt die Norm welche Dokumente die Hersteller mit welchen Informationen bereitstellen müssen:
- Gebrauchsanweisung: Zweckbestimmung, Netzwerkumgebung, Sicherheitshinweise, Installation usw.
- Technische Beschreibung: Hardware, Plattform, Installation, Konfiguration, Wartung, Anforderungen an das Netzwerk und damit verbundene Risiken usw.
Kapitel 8: Nachgelagerte Phase
Mit der Vermarktung der Produkte endet die Verantwortung der Hersteller nicht. Nun müssen Sie auf Fehler reagieren (z.B. Bug-Fixing), geänderte Teile der Software neu validieren, die Begleitmaterialien aktualisieren und all dies kommunizieren.
IEC 82304: Eine Kritik
Die folgenden Überlegungen sind natürlich subjektiv, aber bei der Einordnung der Norm dennoch hilfreich.
Das gefällt
- Eine kurze Norm
Die IEC 82304 ist eine mit 28 Seiten (davon ist fast die Hälfte nicht normativ) eine kompakte Norm. Das ist gut. - Stand der Technik beschrieben
Es ist auch gut, dass der Stand der Technik für Nicht-Medizinprodukte-Software beschrieben wurde, wenngleich das größtenteils andere, nicht medizinproduktespezifische Normen auch schon tun. Dort fehlt allerdings der Aspekt Risikomanagement. - Begleitmaterialien
Die Norm beschreibt im Kapitel 7 sehr konkret und auch (fast zu) ausführlich die Anforderungen an die Begleitmaterialien. Das lässt sich fast als Checkliste nutzen. - Nachgelagerte Phase
Die Forderungen, Änderungen an der Software zu bewerten, zu validieren, zu dokumentieren und zu kommunizieren, klingen zwar banal, werden aber sehr oft nicht erfüllt. Jetzt gibt es Klarheit.
Das überrascht
- Zu viele Forderungen
Eine Referenz auf eine IEC 62304 ist schnell gesetzt. Aber was bedeutet das für die Hersteller? Mit dieser Referenz haben die Autoren Forderungen einbezogen, die in ihrem Umfang und ihrer Komplexität erschlagend sind. Selbst Medizinproduktehersteller sind damit mehr als gefordert. Das wissen wir aus der täglichen Beratungspraxis. Diesen Hammer auf Hersteller von Fitness-Apps loszulassen, mag erschrecken. - Mangelnde „Usability“
Es geht dabei gar nicht nur um die Menge der Forderungen, sondern auch darum, dass sich Firmen in eine Welt der Medizinprodukte-Regularien begeben müssen, der sie nicht gewachsen sind. Schlecht für die Firmen, gut für die Beratungsunternehmen.
Hinweis: Wir geben auch kostenlose Hilfe in unserem Micro-Consulting. - Geringe Handlungsleitung bei der Validierung
Wer gehofft hat, endlich Hinweise dazu bekommen, wie man Software validiert (im Sinn der Definition der IEC 82304), wird enttäuscht. Nicht einmal der Anhang nennt Methoden. Die Abgrenzung der Validierung zur Usability-Validierung und tw. auch zur „klinischen Validierung“ müssen sich Hersteller an anderer Stelle suchen. Beispiele für die Software-Validierung (bzw. die Methoden dazu) hätte man sich im Anhang wünschen können.
Hinweis: Sie finden hier einen Artikel zur Validierung von Medizinprodukten. - Stringenz (an manchen Stellen)
Die IEC 82304 wiederholt die Definition des Begriffs „Validierung“ (confirmation, through the provision of objective evidence, that the requirements for a specific intended use or application have been fulfilled). Im Kapitel 6 zur Validierung geht es dann v.a. um die Prüfung gegen die „use requirements“. Diese Nutzungsanforderungen werden teilweise mit der Zweckbestimmung gleichgesetzt.
Nutzungsanforderungen sind aber eine Sonderform der Stakeholder-Anforderungen, zu denen v.a. auch die funktionalen Anforderungen, also die Anforderungen an das Arbeitsergebnis, zählen. Würde man sich auf die „use requirements“ beschränken, würde sich die Software-Validierung auf die Usabiliy-Validierung beschränken. Darum geht es den Autoren aber nicht.
Fazit: Es ist nicht wirklich falsch, was die IEC 82304 schreibt. Eine Norm, die für so viele Menschen und Firmen zum Problem werden kann, bedarf aber einer absoluten Stringenz und Präzision.
Fazit
Die IEC 82304 deckt eine relevante regulatorische Lücke ab. Keiner von uns will sich einer fehlerhaften Software aussetzen lassen, wenn damit Gesundheitsrisiken verbunden sind – unabhängig davon, ob der Hersteller diese Software als Medizinprodukt klassifiziert hat.
An zentralen Stellen schießt die Norm etwas übers Ziel hinaus und dürfte für viele Hersteller v.a. durch die normativ referenzierte IEC 62304 zu einem schwer verdaubaren Dokument werden.
guten und spannenden Abriss über die neue Norm, hilft bei der Differenzierung zwischen 62304 und 82304! Vielen Dank
Danke, wie immer sehr informativ. Ich habe meine Probleme mit dieser Norm. Ein Medizinproduktehersteller, der Risikomanagement, Usability Engineering und auch Maintenance und Post Market Surveillance ernst nimmt, findet nichts, was er nicht längst tut. Klare Vorgaben zur Validierung hätten einen Mehrwert dargestellt, leider sind ausgerechnet diese doch eher dünn. Ich möchte den Autoren der Norm nicht zu nahe treten, das ist ja immer auch ein Kompromisswerk, aber aus meiner Sicht ändert sie in der jetzigen Form weder etwas am Stand der Technik – wohlgemerkt für Medizinprodukte – noch ist der Vergleich mit der IEC 60601 gerechtfertigt.
Die Frage ist: Ist die Harmonisierung für Medizinprodukte wirklich nur eine Frage der Zeit? Werden Auditoren tatsächlich auf formale Konformität zu dieser Norm pochen? Ich bin gespannt.
Welche Behörde kontrolliert diese Requirements?
KISIM, Spital, Arzt oder offizielle Stelle?
Die Benannten Stellen prüfen die Einhaltung dieser Norm. So wurde z.B. bereits geprüft, dass die Begleitmaterialien ausreichen Informationen zur IT-Sicherheit enthalten