Software-Testing: Die Forderungen der IEC 62304 und FDA erfüllen

Das Software-Testing zählt neben den Code-Reviews zur Software-Verifizierung. Gesetze und Normen stellen Anforderungen an die Art und den Umfang des Software-Testings.

Inhalt

Diese Seite verschafft Ihnen einen schnellen Überblick über das Software-Testing und verlinkt für weitergehende Informationen auf Fachartikel.

Software-Testing: Die Grundlagen
Regulatorische Anforderungen
Sieben Praxistipps
Unterstützung

1. Software-Testing: Die Grundlagen

a) Software-Testing als Teil der Software-Qualitätssicherung

Das Ziel des Testens von Software besteht darin, Fehler in der Software zu finden. Damit ist das Software-Testing ein Teil der analytischen Qualitätssicherung (s. Abb. 1).

Das Software-Testing zählt zur Software-Qualitätssicherung

Abb. 1: Software-Tests sind ein Teil der analytischen Qualitätssicherung.

Vorsicht!

Es weder möglich noch erlaubt, die Software-Qualität nur mit Testen zu erreichen.

Zur konstruktiven Qualitätssicherung zählen

Prozesse, z. B. Entwicklungsprozesse
Methoden und Verfahren, z. B. das Requirements-Engineering, das Modellieren mit UML und das Ableiten von Testfällen mit Äquivalenzklassen
Werkzeuge wie ALM-Werkzeuge, Entwicklungsumgebungen, Modellierungs- und Testwerkzeuge

Auf der Meta-Ebene gibt es Gesetze und Normen sowie Schulungs- und Weiterbildungsmaßnahmen, die sich u. a. auf die drei oben genannten Aspekte beziehen.

Die analytische Qualitätssicherung versucht, mithilfe von verschiedenen Prozessen, Methoden und Werkzeugen Fehler in verschiedenen Testobjekten zu finden. Man unterscheidet:

Audits: Hier geht es darum, Fehler in Prozessen zu finden.
Reviews: suchen Fehler u. a. in Dokumenten wie Spezifikationen oder Code (Code Reviews)
(Software)Tests: suchen Fehler in Testobjekten, beispielsweise in Form von Unit-Tests, Integrationstests und Software-Systemtests

b) Taxonomie der Software-Testmethoden

Software-Tests lassen sich nach vielen Kriterien sortieren (s. Abb. 2).

Taxonomie der Methoden zum Software-Testing

Abb. 2: Taxonomie der Methoden beim Software-Testing

Die IEC 62304 unterteilt ihre Anforderungen nach den Lebenszyklus-Phasen (s. Abb. 3).

2. Regulatorische Anforderungen

a) Europa

MDR, IVDR

Die MDR und IVDR verlangen Software-Lebenszyklus-Prozesse nach Stand der Technik (s. MDR, Anhang I, Abschnitt 17.2) und die Dokumentation der „Verifizierung und Validierung der Software“ (s. Anhang II, Abschnitt 6.1.b).

IEC 62304

Die für diese EU-Verordnungen harmonisierte Norm IEC 62304 fordert das Software-Testing in folgenden Kapiteln:

5.5: Verifizierung der Software-Einheiten (inkl. Unit-Tests)
5.6: Software-Integrationstests
5.7: Software-Systemtests

Bei der Software-Freigabe (Kapitel 5.8) müssen die Hersteller überprüfen, ob die Software-Tests so durchgeführt wurden, wie im Softwareentwicklungsplan beschrieben.

V-Modell für Software, dem die Kapitel der IEC 62304 zugeordnet sind

Abb. 3: Die IEC 62304 fordert in den Kapitel 5.5 bis 5.7 die Verifizierung der Software durch u. a. Software-Tests.

Bei Legacy-Software erlaubt die Norm Ausnahmen.

IEC 82304

Die Software-Validierung fällt nicht in den Anwendungsbereich der IEC 62304, sondern den der IEC 82304-1. Allerdings sind deren Anforderungen sehr unspezifisch.

Wichtige Methoden zur Validierung von Software sind die klinische Bewertung und die Usability-Validierung, typischerweise in Form einer summativen Evaluation bzw. eines Usability-Tests.

Vorsicht!

Der Begriff Software-Validierung wird in verschiedenen Kontexten unterschiedlich verstanden. Beispielsweise umfasst Computerized Systems Validation nicht nur eine Validierung am Ende der Entwicklung, wie in Abb. 3 zu sehen.

Das Video auf der Seite zur Validierung hilft, Missverständnisse zu vermeiden.

b) FDA

Die FDA erkennt die IEC 62304 als „recognized standard“ an. Aber die relevantesten Vorgaben an die Software-Architektur formuliert die Behörde in ihrer Leitlinie General Prinicples of Software Validation.

Die Leitlinie Content of the premarket submission gibt vor, welche Unterlagen Hersteller einreichen müssen. Darin macht die FDA auch Vorgaben für das Software-Testing.

c) Sonstiges

Hersteller, die die Anforderungen der FDA und der EU an das Software-Testing erfüllen, dürften weitgehend auch konform mit Anforderungen anderer Märkte sein.

Manchmal hilft es, weitere Normen zu beachten. Dazu zählen:

IEC 62443-4-1 und ISO/IEC 15408 zur IT-Sicherheit
ISO 299119-6 zum Software-Testing in agilen Projekten
ISO 29119-11 zum Software-Testing von KI-basierten Anwendungen

3. Sieben Tipps zum Software-Testing

Tipp 1: Bei Unit-Tests auch die Units testen

Entwickler verstehen unter dem Unit-Testing etwas anderes als Auditoren: Für die Ersteren sind Unit-Tests die Tests der granularen Einheiten, also z. B. der Methoden und Klassen. Hingegen müssen aus regulatorischer Sicht die Unit-Tests die Software-Einheiten testen, die größere Komponenten darstellen können.

Lesen Sie mehr dazu in diesem Artikel.

Tipp 2: Die richtigen Methoden wählen

Je nach Testziel sollten die Hersteller die passenden Methoden wählen. Ein Fuzz-Test hat eine andere Zielsetzung als ein Penetration-Test.

Nutzen Sie Blackbox-Testverfahren. Damit kann man nicht nur bei Software-Systemtests systematisch diejenigen Testfälle ermitteln, die die höchste Wahrscheinlichkeit haben, Fehler zu finden.

Tipp 3: Die Testabdeckung quantifizieren

Tests können nur dann Fehler finden, wenn der Testcode die zu testende Software tatsächlich durchläuft. Mit Werkzeugen lässt sich der Code-Coverage automatisiert bestimmen. Diese Metrik sollten Hersteller für sich festlegen.

Tipp 4: Alle Tests als Regressionstests nutzen

Jeder zusätzliche Test erhöht die Wahrscheinlichkeit, dass Fehler rechtzeitig gefunden und beseitigt werden. Deshalb hat es sich bewährt, nach Änderungen alle Tests als Regressionstests zu wiederholen. Nicht nur während der Entwicklung, sondern auch während der Software-Wartung.

Tipp 5: Nicht nur in der Entwicklung testen

Wenn Hersteller es den Anwendern erlauben, die Software anzupassen (etwa durch die Parametrierung der Software oder gar eigene Scripts), dann sollten diese Anpassungen ebenfalls durch Software-Tests überprüft werden.

Tipp 6: Mit Beta-Tests vorsichtig sein

Beta-Tests haben das Ziel, ein Produkt (hier eine Software) vor dem offiziellen Release einem ausgewählten Anwenderkreis zur Verfügung zu stellen, um Feedback zum Produkt zu erhalten.

Medizinproduktehersteller müssen sich bewusst sein, dass solch ein Beta-Test bereits eine gesetzeswidrige Inverkehrbringung des Produkts darstellen kann.

Tipp 7: Kompetenz sicherstellen

Software-Testing ist eine Kompetenz, die Hersteller festlegen und gewährleisten müssen. Dazu verpflichtet sie u. a. die ISO 13485; und zwar spezifisch für jedes Entwicklungsprojekt.

4. Unterstützung

Nutzen Sie die Unterstützung des Johner Instituts:

Haben Sie noch Fragen zur Software-Architektur oder zu den regulatorischen Anforderungen? Dann nutzen Sie das kostenfreie Micro-Consulting.

Im Kompaktseminar medizinische Software erwerben Sie die vorgeschriebenen Kompetenzen. Sie lernen die gesetzlichen Anforderungen an die Software-Entwicklung kennen und erfüllen.

Mit dem Auditgarant lernen Sie anhand von Videotrainings, wie Sie Schritt für Schritt eine schlanke und IEC 62304 konforme „Software-Akte“ selbst erstellen. Ein vollständiger Satz an Templates nimmt Ihnen dabei viel Arbeit ab.

Nutzen Sie die Unterstützung unserer Expertinnen und Experten. Sie helfen Ihnen, Ihre Software kurz, präzise und gesetzeskonform zu dokumentieren, und bereiten Sie auf Audits und „Tech File Reviews“ vor.

Lassen Sie die IT-Sicherheit Ihrer Produkte durch Penetration-Tests bewerten.

Melden Sie sich gleich, damit wir die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Software bzw. Ihr Produkt schnell in den Markt kommt.

Betriebssystem konform mit IEC 62304 und FDA?

Von Prof. Dr. Christian Johner 23. Oktober 2024 9 Kommentare

Müssen Medizinproduktehersteller bei der Auswahl des Betriebssystems darauf achten, dass das Betriebssystem IEC- 62304-konform ist? Was sagt die FDA? Dieser Artikel …

Zyklomatische Komplexität

Von Prof. Dr. Christian Johner 19. September 2024 3 Kommentare

Die zyklomatische Komplexität ist eine Metrik im Software-Engineering, welche die Komplexität und damit die Fehlerträchtigkeit und Wartbarkeit von Code zu bestimmen hilft. Die zyklomatische Komplexität wird auch als Mc Cabe Maß bezeichnet.

Unit Testing und IEC 62304

Von Urs Mueller 14. August 2024 10 Kommentare

Unter Unit-Testing wird in der Software-Entwicklung das Testen von Software-Units verstanden. Allerdings gibt es kein einheitliches Verständnis darüber, Dieser Artikel verschafft Klarheit.

Regressionstest: Ihre Software-Versicherung

Von Janos Hackenbeck 9. Juli 2024 Kommentar hinterlassen

Unter einem Regressionstest verstehen die meisten Software-Tester die Wiederholung eines bestehenden Tests. Damit möchten sie prüfen, ob dieser Test nach einer Software-Änderung noch immer erfolgreich durchläuft. Lesen Sie in diesem Beitrag, was Sie bei einem Regressionstest von medizinscher Software beachten sollten.

Regulatorische Anforderungen an Medizinprodukte mit Machine Learning

Von Dr. Tina Priewasser 8. Juli 2024 1 Kommentar

Die Einbindung von KI bei Medizinprodukten hat große Fortschritte gemacht, z. B. bei der Diagnose von Krankheiten. Hersteller von Produkten mit Machine Learning stehen vor der Herausforderung, die Konformität ihrer Produkte nachweisen zu müssen. Auch wenn Sie die Gesetzte kennen – welche Normen und Best Practices sind zu berücksichtigen, um die Nachweise zu führen und…

Verifizierung und Validierung: Unterschied & Definitionen

Von Prof. Dr. Christian Johner 14. April 2024 7 Kommentare

Wie unterscheiden sich Verifizierung und Validierung und wie sind diese Begriffe definiert? Selbst Normen und Gesetze verwenden die Begriffe falsch oder missverständlich. Dieser Artikel

Software-Wartung: Wie Sie typische Fallen im Audit vermeiden

Von Claudia Schmitt 19. Januar 2024 4 Kommentare

Unter Software-Wartung versteht man die Phase, in der die Software weiterentwickelt wird, z. B. mit dem Ziel 79% aller Bugs werden laut FDA während der Software-Wartung eingeführt. Entsprechend adressieren einige Regularien dieses Thema. Update: Ergänzung zur Software-Wartung während der Entwicklung

MDCG 2023-4 zu Kombinationen von MDSW und Hardware

Von Prof. Dr. Christian Johner 31. Oktober 2023 2 Kommentare

Die MDCG hat im Oktober 2023 eine Leitlinie MDCG 2023-4 veröffentlicht mit dem Titel „Medical Device Software (MDSW) – Hardware combinations – Guidance on MDSW intended to work in combination with hardware or hardware components”.

TIR 45: Agile Software-Entwicklung für Medizinprodukte

Von Janos Hackenbeck 16. Juni 2023 6 Kommentare

Der TIR45 („Guidance on the use of AGILE practices in the development of medical device software“) ist ein Technical Information Report (daher TIR) der AAMI, der Association for the Advancement of Medical Instrumentation. Der 2012 erstmalig veröffentlichte TIR45 hat sich vor allem ein Ziel gesetzt: Medizinprodukte-Herstellern eine Anleitung zu geben, wie sie Software agil und…

Software-Komponenten konform mit IEC 62304 und FDA entwickeln

Von Prof. Dr. Christian Johner 9. Mai 2023 Kommentar hinterlassen

Die Hersteller medizinischer Software müssen die gesetzlichen Anforderungen an die Software-Komponenten erfüllen, um ihre Produkte „zulassen“ zu dürfen. Dieser Artikel stellt diese Anforderungen vor und gibt 7 Tipps, wie diese schnell und einfach zu erfüllen sind.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Matomo
Anbieter	Johner Institut
Zweck	Cookie von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://www.johner-institut.de/datenschutz/
Cookie Name	_pk_.
Cookie Laufzeit	13 Monate

Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365