Softwareentwicklung nach IEC 62304: Welche Anforderungen müssen Sie erfüllen?

Die IEC 62304 ist ein internationaler Standard, der Mindestanforderungen an die wichtigsten Prozesse des Software-Lebenszyklus stellt. Er gilt sowohl für Hersteller:innen, die ihre Software als eigenständiges Medizinprodukt entwickeln (Standalone Software), als auch für solche, die eine Software lediglich in ihr Medizinprodukt einbetten (Embedded Software).

Die Norm beschreibt dabei in Anlehnung an die DIN EN ISO 14971 auch, welche Rolle das Risikomanagement innerhalb des Prozesses der Softwareentwicklung spielt. Konkret definiert die IEC 62304 Anforderungen für folgende Prozesse des Software-Lebenszyklus:

Softwareentwicklung
Software-Wartung
Software-Risikomanagement
Software-Konfigurationsmanagement
Problemlösung für Software

Zusätzlich zu den spezifischen Anforderungen für die verschiedenen Prozesse setzt die IEC 62304 den Einsatz eines Qualitätsmanagements-Systems, eines Risikomanagement-Systems und einer Software-Sicherheitsklassifizierung voraus.

Sicherheitsklassifizierung nach IEC 62304

Durch die Sicherheitsklassifizierung können Hersteller:innen von Medizinprodukten den Aufwand für die Dokumentation ihrer Software anpassen. Je höher der mögliche Schaden durch einen Softwarefehler ist, desto mehr Aufwand müssen sie bei der Dokumentation ihrer Software-Entwicklung betreiben.

Die IEC 62304 unterscheidet dabei die Sicherheitsklassen A, B und C, wobei für Sicherheitsklasse C der meiste Aufwand betrieben werden muss. Die Sicherheitsklassen werden folgendermaßen definiert:

Sicherheitsklasse A

Für die Sicherheitsklasse A darf ein Softwarefehler keine Verletzung oder Schädigung der Gesundheit verursachen. Hierbei gibt es jedoch eine Ausnahme: Softwaresysteme fallen ebenfalls in Klasse A, wenn ein Fehler zwar zu einer gesundheitsgefährdenden Situation führen kann, das Risiko aber akzeptabel ist – spätestens, wenn Risikokontrollmaßnahmen eingeleitet werden. Diese Maßnahmen dürfen allerdings nur außerhalb der Software liegen.

Sicherheitsklasse B

Durch Softwaresysteme, die in Klasse B fallen, dürfen keine schweren Schäden möglich sein. Das bedeutet konkret, dass ein Softwarefehler zwar zu einem inakzeptablen Risiko führen kann, dieser aber nach den Risikokontrollmaßnahmen keine schweren Schäden nach sich ziehen darf.

Sicherheitsklasse C

Bei Softwaresystemen, die in Klasse C eingestuft werden, kann ein Softwarefehler zu schweren Verletzung oder gar zum Tod führen.

Anforderungen an die Softwareentwicklung nach IEC 62304

Je nach Sicherheitsklasse der Software müssen unterschiedlich viele Anforderungen für die Dokumentation der Softwareentwicklung erfüllt werden:

Software-Entwicklungsplan (A, B, C)
Software-Anforderungsanalyse (A, B, C)
Software-Architekturentwurf (B, C)
Erstellung des Software-Designs (C)
Implementierung und Verifizierung der Softwareeinheiten (B, C)
Software-Integration und Integrationstest (B, C)
Software-Systemtest (B, C)
Software-Freigabe (A, B, C)

Bei einem Softwaresystem kann die Sicherheitsklasse der einzelnen Komponenten durchaus unterschiedlich eingeschätzt werden. Da je nach Sicherheitsklasse unterschiedlich viele der oben genannten Anforderungen erfüllt werden müssen, ist es äußerst sinnvoll, Funktionen mit einer hohen und Funktionen mit einer niedrigen Sicherheitsklasse in unterschiedliche Komponenten zu integrieren.

Dabei muss natürlich sichergestellt werden, dass sich die Risiken auch tatsächlich nur auf die entsprechenden Komponenten beschränken.

Risikomanagement nach ISO 62304

Auch der gesamte Prozess des Risikomanagements unterliegt nach IEC 62304 bestimmten Auflagen:

Analyse der Gefährdungssituation
Risiko-Kontrollmaßnahmen
Verifizierung von Risiko-Kontrollmaßnahmen
Risikomanagement von Änderungen in der Software

Die Norm fordert hierbei grundsätzlich die Risikoanalyse in den gesamten Entwicklungsprozess zu integrieren. Ob alle normativen Vorgaben eingehalten wurden, kann dabei durch das Besichtigen der gesamten Dokumentation festgestellt werden. Dazu gehört auch die Risikomanagement-Akte.

Analyse der Gefährdungssituation
Risiko-Kontrollmaßnahmen
Verifizierung von Risiko-Kontrollmaßnahmen
Risikomanagement von Änderungen in der Software

Der BAYOOSOFT Risk Manager bietet für die Dokumentation der Softwareentwicklung eine Lösung, die zur IEC 62304 konform ist. Denn internationale Gesetze und Verordnungen, EU-Richtlinien, FDA-Guidelines, Produkt- und Prozessnormen, Guidance Dokumente sowie Qualitätsmanagementsysteme stellen die Grundlage des Risk Managers.

Gut zu wissen

Für den Nachweis einer zur IEC 62304 konformen Entwicklung der Medizinprodukte-Software können Traceability Matrizen herangezogen werden.

Diese stellen sicher, dass Kund:innenanforderungen zum einen im Rahmen geeigneter Validierungsvorgänge geprüft, zum anderen Eingang in die Software gefunden haben und dort gegen die Anforderungen verifiziert wurden – Eine, insbesondere bei großen Systemen, anspruchsvolle Aufgabe.

Der BAYOOSOFT Risk Manager kombiniert als normkonforme Lösung die Erweiterungsmodule Requirements Engineering und REST API mit dem Risikomanagement nach ISO 14971.

Vereinbaren Sie noch heute einen Termin für eine individuelle Produktvorstellung. Unsere Expert:innen für Risikomanagement stellen Ihnen den BAYOOSOFT Risk Manager gerne ausführlich vor.

Jetzt anfragen

Softwareentwicklung nach IEC 62304: Welche Anforderungen müssen Sie erfüllen?

Sicherheitsklassifizierung nach IEC 62304

Anforderungen an die Softwareentwicklung nach IEC 62304

Risikomanagement nach ISO 62304

Aktuelles