Die ISO/IEC/IEEE 15289 trägt den Titel „Systems and software engineering — Content of life-cycle information items (documentation)“.
Wie der Titel vermuten lässt, gibt sie Vorgaben zum Inhalt von Software-Dokumentationen. Damit eignet sich die Norm, um
- bei der Umsetzung anderer Normen wie der ISO/IEC/IEEE 12207:2017 und der IEC 62304 zu helfen,
- die Konformität mit diesen Normen zu überprüfen,
- die notwendigen Dokumente einer Software-Dokumentation zu identifizieren,
- die Inhalte dieser Dokumente festzulegen.
Somit ist die ISO/IEC/IEEE 15289:2019 eine Norm, die jede Organisation betrifft, die Software entwickelt.
1. Übersicht über die ISO/IEC/IEEE 15289
a) Zielgruppe: Wer die Norm lesen sollten
Die Norm wendet sich an Personen, die in folgenden Rollen an der software-Dokumentation beteiligt sind:
|
Rolle | Aufgaben im Kontext der ISO/IEC/IEEE 15289 |
|
Projektmanager |
Informationsmanagementprozess festlegen Anforderungen an die Dokumentation (und damit Dokumente und deren Inhalte) bestimmen |
|
Käufer (der Software) |
Anforderungen an die Dokumentation festlegen, die der Hersteller erzeugen muss |
| Entwickler (z.B. Architektur, Implementierung, Testen) | Dokumentation zur Entwicklung von Software und Systemen schreiben |
|
Qualitätsmanager | Konformität mit Normen (genannt sind hier die ISO/IEC/IEEE 12207 und ISO/IEC/IEEE 15288) prüfenQualität von Prozessen, Produkten und Dienstleistungen verbessern |
b) Kapitelstruktur der ISO/IEC/IEEE 15289
Die ISO/IEC/IEEE 15289:2019 umfasst 86 Seiten und enthält 10 Kapitel.
Sie können sich die Mindmap als PDF hier herunterladen:
Die folgende Tabelle gibt einen Überblick über die einzelnen Kapitel der Norm.
|
Kapitel |
Titel |
Zusammenfassung |
|
1 |
Scope | Die Norm will für alle Dokumente einer Software-Dokumentation Inhalte, aber kein Managementsystem beschreiben. |
|
2 |
Normative References | Verweise auf ISO/IEC/IEEE 12207 und ISO/IEC/IEEE 15288 |
|
3 |
Terms, definitions and abbreviated terms |
29 Definitionen. Die Dokumentenklassen definiert aber erst Kapitel 7. |
|
4 |
Applicability |
Ziel, Zielgruppe, Anwendungsbereich (Software-Systeme und Software-Projekte aller Art) |
|
5 |
Conformance | Die Norm kann genutzt werden, um die Konformität mit der ISO/IEC/IEEE 12207 und der ISO/IEC/IEEE 15288 zu prüfen. |
|
6 |
Life-cycle data and information items | Allgemeine Anforderungen an Dokumente und Aufzeichnungen sowie deren Abgrenzung. Siehe Kapitel 3. |
|
7 |
Generic types of information items | Übersicht über sieben Dokumentenklassen und deren generische Inhalte (s. u.) |
|
8 |
Mapping of information items to the life cycle processes |
Mapping auf die Normen ISO/IEC/IEEE 12207 und ISO/IEC/IEEE 15288 |
|
9 |
Records | Spezifische Hinweise zu Aufzeichnungen, die die Norm aber etwas anders interpretieren als die ISO 9000 |
|
10 |
Specific information item (document) contents | Konkrete Vorgaben zu den einzelnen Dokumententypen, z. B. „Software Architecture Description“ |
2. Anforderungen an Dokumente
a) Allgemeine Anforderungen
Die ISO/IEC/IEEE 15289 beschreibt in Kapitel 6 allgemeine Anforderungen an Dokumente:
- Eindeutigkeit
- Vollständigkeit
- Überprüfbarkeit
- Konsistenz
- Änderbarkeit
- Verfolgbarkeit (auf andere Dokumente)
- Präsentierbarkeit
Das Johner Institut empfiehlt, in Arbeitsanweisungen und Checklisten für das Dokumenten-Review spezifischere Anforderungen an Dokumente zu formulieren. Beispielsweise sollte für eine Software-Requirements-Specification konkret die Prüfung gefordert werden, ob die Laufzeitumgebung anhand von Hardware, Betriebssystem (inklusive Version) festgelegt wurden.
b) Anforderungen auf der Meta-Ebene
Weitere Anforderungen an Dokumente auf der Meta-Ebene sind:
- Alle zu managende Informationen/Dokumente sind identifiziert (z. B. Liste aller Dokumente).
- Es ist festgelegt, in welcher Form die Information dargestellt werden soll (z. B. textuell, grafisch, in Datenbanken).
- Der Status der Dokumente/Informationen ist erkennbar.
- Die Information/Dokumente stehen den vorgesehenen Stakeholdern tatsächlich zur Verfügung.
Die ISO 15289 geht nicht spezifisch auf die Dokumentenlenkung ein. Lesen Sie daher hier mehr zum Thema Dokumentenlenkung, um die Anforderungen u. a. der ISO 13485 zu erfüllen.
c) Anforderungen an die Inhalte
Die ISO 15289 legt die Anforderungen an die spezifischen Dokumente auf zwei Ebenen fest:
- Zuerst ordnet sie jedes Dokument einer Dokumentenklasse zu, die sie „Generic types of information items“ nennt. Für jede Dokumentenklasse spezifiziert sie die jeweiligen Inhalte. Dieser Artikel stellt im Folgenden die sieben Dokumentenklassen vor.
- Die Norm ergänzt für jedes spezifische Dokument (z. B. eine Software-Architektur) weitere Inhalte. Ein konkretes Beispiel folgt im nächsten Abschnitt.
3. Dokumentenklassen und generische Inhalte
a) Dokumente
Die ISO/IEC/IEEE 15289 beschreibt im zehnten Kapitel insgesamt 74 Dokumententypen wie Release Plan oder System architecture description. All diese Dokumententypen teilt die Norm in sieben Dokumentenklassen ein. Sie verwendet allerdings nicht den Begriff Dokumentenklasse, sondern den Begriff Generic type of information items.
|
# |
Dokumentenklasse |
Beschreibung |
Beispiele |
|
1 |
Description |
Repräsentation einer geplanten oder tatsächlichen Funktion, Dienstleistung, Produkt, Komponente usw. |
Software-Architektur, Service-Katalog, Betriebskonzept |
|
2 |
Plan |
Festlegung, wann, wie und bei wem bestimmte Prozesse oder Aktivitäten durchgeführt werden | V&V-Pläne, Software-Entwicklungsplan, Risikomanagementplan |
|
3 |
Policy | Festlegung der Top-Level-Absichten einer Organisation, um bestimmte Ziele zu erreichen | Qualitätspolitik, Risikopolitik (wird aber nicht von ISO 15289 genannt) |
|
4 |
Procedure |
Detaillierte Festlegung, wann und wie ein bestimmter Prozess, eine bestimmte Aktivität oder Aufgabe umgesetzt werden soll, ggf. einschließlich der Werkzeuge |
Gebrauchsanweisung, Testanweisung, SOP zum Umgang mit Reklamationen |
|
5 |
Report |
Beschreibung der Ergebnisse von Aktivitäten |
Testbericht, Problem Report, Incident Report, Review Protokoll |
|
6 |
Request | Informationen, um um eine Antwort bzw. Reaktion zu bitten | Change Request, Kundenumfrage, RFP (Request for Proposal) |
|
7 |
Specification |
Anforderungen an eine Dienstleistung, ein Produkt oder einen Prozess |
Vertrag, Software Requirements Specification, SLA |
Für jede dieser Dokumentenklassen nennt die Norm die generischen Inhalte. So muss beispielsweise ein Dokument der Klasse „Descripition“ u. a. die folgenden Elemente enthalten:
- Datum und Status
- Anwendungsbereich
- Referenzen
- Genutzte Notation
- Zusammenfassung
- Glossar
- Änderungshistorie
Das zehnte Kapitel der ISO 15289 ergänzt dann für jedes spezifische Dokument weitere Inhalte. Beispielsweise muss eine Software-Architektur, die zur Dokumentenklasse „Description“ zählt, zusätzlich enthalten:
- Eine oder mehrere architektonische Sichten
- Eine Konzeption des Systems bezüglich Zweck und nichtfunktionaler Eigenschaften wie Sicherheit, Interoperabilität und Security
- Einschränkungen des Lösungsraums („Contraints“)
- Design-Entscheidungen und Begründungen
Eine Software-Architektur muss viele nichtfunktionale Anforderungen der Software-Anforderungsspezifikation umsetzen. Einen Überblick über die nichtfunktionalen Anforderungen verschafft die ISO 25010.
b) Aufzeichnungen
Begriffsdefinition
Neben den Dokumenten bzw. Dokumentenklassen (Generic types of information items) kennt die ISO 15289 auch die Aufzeichnungen (Records). Allerdings versteht die Norm die Aufzeichnungen nicht ganz im Sinne einer ISO 9000 und spricht daher auch von „records of Data“ bzw. „data records“.
Diese „data records“ erinnern eher an Rohdaten in Datenbanken, Registern oder Repositories. Die Records im Sinn der ISO 15289 enthalten die sachlichen Daten (z. B. Liste von Testergebnissen in einer Testdatenbank), die dann zu Aufzeichnungen im Sinne der ISO 9000 zusammengefasst werden.
Ein (abschließender) Testbericht wäre dann bereits ein Dokument vom Typ Record.
Inhalte
Auch für die Records legt die ISO 15289 die Standardinhalte fest:
- Datum und Status der Aufzeichnung
- Scope
- Gegenstand oder Kategorie
- Ausstellende Organisation
- Referenzen
- Inhalte
- Eindeutige Identifizierung
Für diese Aufzeichnungen nimmt die ISO 15289 genau wie bei den Dokumenten ein Mapping auf die Anforderungen der die ISO/IEC/IEEE 12207 und ISO/IEC/IEEE 15288 vor.
4. Mapping auf die IEC 62304
Entwickler medizinischer Software, die die IEC 62304 befolgen, können ebenfalls von den Vorgaben der ISO 15289 profitieren. Dazu ist es notwendig, die von der IEC 62304 geforderten Inhalte den Dokumententypen der ISO 15289 zuzuordnen.
|
Kapitel der IEC 62304 |
Geforderte Inhalte |
Dokumente gemäß ISO 15289 |
Kapitel der ISO 15289 |
|
5.1 |
Software Development Plan |
Development Plan Projekt Management Plan Release Plan Quality Plan |
10.16 10.42 10.47 10.44 |
|
5.1 |
Software Risk Management Planning | Risk Management Plan (nicht 100 % passend) |
10.52 |
|
5.1 |
Documentation Planning |
Information Management Plan Information Management Procedure | 10.27 10.28 |
|
5.1 |
Software Configuration Management Planning |
Configuration Management Plan Configuration Management Procedure |
10.9 10.10 |
|
5.2 |
Software Requirement Analysis | System Requirements Specification ggf. Interface Description |
10.60 10.28 |
|
5.2 | Installation Requirements |
Operational Concept |
10.35 |
|
5.2 |
Re-evaluate Medical Device Risk Analysis |
Risk Action Request |
10.51 |
|
5.2 |
Verify Software Requirements |
Verification procedure Verification report |
10.73 10.74 |
Die ISO 15289 ist nicht nur bei der Entwicklungsdokumentation gemäß IEC 62304 Kapitel 5 hilfreich. Sie verschafft auch einen Überblick über weitere Lebenszyklus-Dokumente, die die IEC 62304 in den Kapitel 7 bis 9 teilweise nur rudimentär ausführt.
5. Fazit, Zusammenfassung
Die ISO/IEC/IEEE 15289 ist eine nützliche Norm:
- Verschafft Klarheit und Übersicht
Sie verschafft durch Konzepte wie die Dokumentenklassen Klarheit und reduziert dadurch das Gefühl, in einem Meer an Dokumenten zu ertrinken. - Hilft, nichts zu vergessen, und dient als Basis für Prüfungen
Die Norm listet die Dokumente, mit denen Organisationen, die Software entwickeln, üblicherweise arbeiten. Sie stellt zudem Anforderungen an die jeweiligen Inhalte der Dokumente. Damit kann sie als Checkliste für Projektleiter, Qualitätsmanager und Auditoren dienen. - Unterstützt bei der Erstellung von Dokumenten
Gerade junge Unternehmen wissen nicht, welche Inhalte dokumentiert werden müssen, wie sie diese Inhalte auf Dokumente aufteilen und wie sie diese Dokumente strukturieren können. Das betrifft nicht nur die Entwicklung, sondern auch den Betrieb von Software-Systemen. Die ISO 15289 liefert für beides konkrete Hinweise.
Beispiele für Dokumente, die nicht direkt mit der Entwicklung zu tun haben, sind User Notifications, Indicent Management Procedures oder Transition Plans.
Auch etablierte Unternehmen werden von der Norm profitieren, insbesondere wenn sich über Jahre hinweg ein Dokumentenchaos mit redundanten oder überflüssigen Inhalten entwickelt hat.
Das Johner Institut unterstützt Medizinproduktehersteller, deren Produkte Software enthalten oder Software sind, beim Aufbau einer gesetzeskonformen Software-Dokumentation und bei deren Überprüfung vor Audits. Nehmen Sie gleich Kontakt auf (z. B. via Webformular), um zu erfahren, wie Sie in kurzer Zeit eine schlanke, präzise und konforme Dokumentation etablieren, mit der Sie in Audits und Reviews glänzen werden.
Der Auditgarant enthält einen umfangreichen Satz an Templates für die Software-Dokumentation, um IEC-62304- und ISO-13485-Konformität zu erreichen sowie Probleme bei der Zulassung der Medizinprodukte zu vermeiden.
