Aufbau eines skalierbaren Qualitätsmanagementsystems (QMS) für SaMD ISO 13485, ISO 14971, IEC 62304 & SOP-Erstellung für KMU und Start-ups | Freyr – Globaler Anbieter von regulatorischen Lösungen und Dienstleistungen

Aufbau eines skalierbaren Qualitätsmanagementsystems (QMS) für SaMD ISO 13485, ISO 14971, IEC 62304 und SOP-Erstellung für KMU und Start-ups

6 Min. Lesezeit

Die Entwicklung einer regulierten Software ist nicht nur eine Produktherausforderung, sondern eine Herausforderung für das gesamte Betriebsmodell. Für Start-ups und KMU (kleine und mittlere Unternehmen), die medizinische Software entwickeln, ist der schwierigste Teil nicht nur das Schreiben einer Prozedur; es ist die Entwicklung eines Systems, das mit schnellen Iterationen Schritt hält und gleichzeitig die Rückverfolgbarkeit, Nachweise und Kontrolle bietet, die Regulierungsbehörden erwarten.

Ein skalierbares SaMD-QMS muss zwei Dinge gleichzeitig leisten: Patienten durch disziplinierte Lebenszykluskontrollen schützen und Innovatoren vor Bürokratie bewahren, die das Lernen verlangsamt. Ziel ist es nicht, ein veraltetes, ordnerbasiertes MedTech-System zu kopieren, sondern ein QMS aufzubauen, das schlank, auditierbar und mit moderner Softwarebereitstellung kompatibel ist.

Eine klare QMS-Architektur trennt skalierbare Compliance von administrativem Aufwand. Wenn das System auf Risiken, Änderungskontrolle und Nachweise ausgelegt ist, anstatt auf das Dokumentationsvolumen, unterstützt es sowohl Geschwindigkeit als auch Qualität. In der Praxis ist diese Architektur am stärksten im Qualitätsmanagementsystem für Medizinprodukte (ISO 13485) für unternehmensweite Kontrollen und in der Konformität des Lebenszyklusmanagements für medizinische Software (IEC 62304) verankert.

Die Grundlagen: ISO 13485 + IEC 62304, auf Skalierbarkeit ausgelegt

Ein skalierbares ISO 13485 QM-System beginnt mit starken organisatorischen Grundlagen, Dokumentenlenkung, Schulungen, Lieferantenüberwachung, CAPA, internen Audits und Managementbewertung. Es wird jedoch erst dann wirklich effektiv, wenn diese Kontrollen eng mit den täglichen Entwicklungspraktiken verbunden sind. Anstatt den Standard als Checkliste zu betrachten, nutzen leistungsstarke Teams ihn als Governance-Rahmenwerk, das Konsistenz, Rückverfolgbarkeit und eine dauerhafte regulatorische Bereitschaft fördert. Der direkte Verweis auf die offizielle Beschreibung des Qualitätsmanagementsystems nach ISO 13485 in Ihrer QM-Begründung kann Teams helfen, Erwartungen klar zu interpretieren.

Im Bereich Software bietet die Einhaltung der IEC 62304 die Lebenszyklusstruktur, Planung, Anforderungen, Architektur, Implementierung, Verifizierung, Freigabe, Wartung und Problemlösung. In der Praxis wird die IEC 62304 zur Brücke zwischen Ihrem Software-Workflow und Ihren auditfähigen Nachweisen. Wenn Teams eine einzige „Quelle der Wahrheit“ für Lebenszyklus-Erwartungen benötigen, ist die Publikationsreferenz für IEC 62304 hilfreich, um die Interpretation zu fundieren.

Für Start-ups ist das Ziel die Integration: ISO 13485 bietet das systemweite Qualitätsgerüst, während IEC 62304 die Software-Engine verankert, die darin läuft. Dieser kombinierte Ansatz ist das Rückgrat des QM-Systems für SaMD in realen Betriebsmodellen.

Ein praktischer QM-System-Implementierungsplan für KMU und Start-ups

Ein skalierbarer QM-System-Implementierungsplan wird am besten in Phasen umgesetzt, abgestimmt auf Produktreife und Risiko, nicht auf Unternehmensambitionen. Sie benötigen am ersten Tag kein „Enterprise QM-System“; Sie benötigen die richtigen Kontrollen zur richtigen Zeit.

Phase 1: Aufbau des minimal notwendigen Systems
Konzentrieren Sie sich auf das Wesentliche für eine kontrollierte Entwicklung: Dokumentenlenkung, Schulungen, Entwicklungskontrollen, die auf Ihren Lebenszyklus abgestimmt sind, Integration des Risikomanagements, grundlegende Lieferantenkontrollen und einen Änderungsmanagementprozess, der einfach genug zu handhaben ist.

Phase 2: Aufbau einer auditfähigen Rückverfolgbarkeit.
Wenn Sie sich der klinischen Validierung und Einreichungsbereitschaft nähern, stärken Sie die Rückverfolgbarkeit von Anforderungen über Risiken bis hin zu Tests und Ergebnissen. Hier sollte das QM-System-Design die Realitäten der agilen Softwarebereitstellung widerspiegeln, d. h. kleinere Inkremente, häufige Releases und validierte Auswirkungen von Änderungen.

Phase 3: Ausbau zur Lebenszyklus-Steuerung.
Sobald Produkte auf dem Markt sind, muss Ihr QM-System eine dauerhafte Überwachung gewährleisten. Dazu gehören PMS-Eingaben, Cybersicherheits-Patch-Management, Beschwerdemanagement, CAPA und regelmäßige Überprüfungen, die eine fortlaufende Kontrolle belegen.

Dieser gestufte Ansatz hält das QM-System für Medizinprodukte praktikabel, während er die für die regulatorische Sicherheit erforderliche Disziplin bewahrt.

SOP-Erstellung, die funktioniert: Von „Dokumenten“ zu „Entscheidungssystemen“

Bei vielen KMU scheitern SOPs, weil sie geschrieben werden, um Audits zu bestehen, anstatt Verhaltensweisen zu prägen. Gute SOPs machen Entscheidungen vorhersehbar. Sie definieren, wer entscheidet, welche Nachweise benötigt werden, welche Schwellenwerte relevant sind und wie das Ergebnis dokumentiert wird.

Ein starkes SOP-Set für SaMD konzentriert sich typischerweise auf einige „wirkungsvolle“ Bereiche:

Software-Lebenszyklus-Management (abgestimmt auf IEC 62304): Planung, Anforderungen, Verifizierung/Validierung, Freigabe und Wartung.
Integration von Risiko und Benutzerfreundlichkeit: Wie Gefahren identifiziert, kontrolliert, bewertet und durch Änderungen aktualisiert werden.
Änderungsmanagement und Folgenabschätzung: Was eine erneute Validierung auslöst und was als signifikante Änderung gilt.
Umgang mit Cybersecurity-Schwachstellen: Erfassung → Triage → Patch → Verifizierung → Kommunikation
Lieferanten- und Open-Source-Kontrollen: Wie Komponenten bewertet, genehmigt, überwacht und aktualisiert werden.

Halten Sie SOPs kurz, durchsetzbar und in operativer Sprache verfasst. Ein nützlicher Maßstab ist, dass ein neuer Ingenieur die SOP befolgen können sollte und ein Regulator sie auditieren können sollte. Wenn sie einen der beiden Tests nicht besteht, vereinfachen Sie sie.

QM-System an regulatorische Erwartungen anpassen ohne Überdimensionierung

Start-ups fragen oft: „Wie viel QM-System ist genug?“ Die ideale Antwort ist, dass es ausreichen sollte, um die Kontrolle über das Wesentliche zu demonstrieren, d. h. Sicherheit, Leistung und Änderungen.

Im US-Kontext bewerten Regulierungsbehörden, ob Sie über effektive Entwicklungskontrollen, Validierungsdisziplin und robuste Qualitätsprozesse verfügen; die Erwartungen der FDA an Qualitätssysteme und Entwicklungskontrollen liefern wichtige Hinweise, wie ein konformes System in der Praxis interpretiert wird.

In der Europäischen Union werden die Erwartungen durch die EU-Medizinprodukte-Verordnung (MDR) und die In-vitro-Diagnostika-Verordnung (IVDR) geprägt, unter Aufsicht von Benannten Stellen; Regulierungsbehörden bewerten die Konformität mit den grundlegenden Sicherheits- und Leistungsanforderungen des Anhangs I, das Risikomanagement (abgestimmt auf ISO 14971), die klinische Bewertung, die Überwachung nach dem Inverkehrbringen und die Wirksamkeit des Qualitätsmanagementsystems des Herstellers (typischerweise abgestimmt auf ISO 13485).

Im Rest der Welt (ROW) variieren die regulatorischen Rahmenbedingungen, stimmen aber oft mit den Prinzipien des International Medical Device Regulators Forum (IMDRF), der ISO 13485 und risikobasierten Klassifizierungssystemen überein. Behörden wie Health Canada, TGA (Australien), PMDA (Japan) und andere bewerten die Reife der Entwicklungskontrollen, die Validierungsgenauigkeit, das Lieferantenmanagement und die Prozesse nach dem Inverkehrbringen, wobei sie häufig frühere Genehmigungen oder Zertifizierungen (z. B. CE-Kennzeichnung, MDSAP) als Teil ihrer Prüfung nutzen.

Das strategische Prinzip ist die risikobasierte Proportionalität. Je höher das Risiko und der klinische Einfluss, desto höher die erwartete Strenge. Aber selbst bei Produkten mit geringerem Risiko ist das Fehlen grundlegender Kontrollen (unklare Anforderungen, inkonsistente Tests, unkontrollierte Änderungen) eine häufige Ursache für regulatorische Probleme.

Skalierbarkeit ermöglichen: Die Denkweise des „modernen QM-Systems“

Die skalierbarsten SaMD QMS-Konzepte weisen einige gemeinsame Merkmale auf:

Prozesse sind in Tools integriert (z. B. Änderungsmanagement, das mit der Fehlerverfolgung verbunden ist, Validierungsnachweise, die an CI/CD-Artefakte geknüpft sind).
Die Rückverfolgbarkeit wird, wo immer möglich, automatisiert, wodurch menschliche Fehler und manuelle Zusammenstellungen reduziert werden.
Die Governance ist schlank, aber konsistent, sodass dieselbe Logik über alle Releases und Aufzeichnungen hinweg angewendet wird.

So vermeiden Unternehmen ein „QMS als Overhead“ und bauen ein „QMS als Betriebssystem“ auf.

Abschließende Betrachtung

Ein gut aufgebautes SaMD QMS ist eine Investition in Vertrauen: Vertrauen, dass die Software wie beabsichtigt funktioniert; Vertrauen, dass Risiken systematisch gemanagt werden; und Vertrauen, dass Änderungen diszipliniert gesteuert werden. Wenn ISO 13485 QMS-Kontrollen so konzipiert sind, dass sie den Software-Realitäten entsprechen und die IEC 62304-Konformität als praktischer Lebenszyklus-Entwurf behandelt wird, können Start-ups Qualität skalieren, ohne die Bürokratie zu erhöhen.

In der Praxis richten sich Teams, die das QMS als Lebenszyklusdisziplin betrachten, indem sie die Dauerhaftigkeit von Nachweisen, Risikokontrollen und Änderungsmanagement miteinander verknüpfen, tendenziell konsistenter an den Erwartungen aus, die im Umfassenden Leitfaden zur Konformität und globalen Registrierung von Software als Medizinprodukt (SaMD). beschrieben sind.

Wenden Sie sich an Freyr Solutions, um Ihre SaMD zu besprechen und zu erfahren, wie Freyr Ihre weltweiten Zulassungsverfahren optimieren kann.

Häufig gestellte Fragen (FAQs)

Was unterscheidet ein SaMD QMS von einem traditionellen QMS für Medizinprodukte?

Ein SaMD QMS muss für häufige Softwareänderungen, schnellere Release-Zyklen und sich entwickelnde Risikoprofile konzipiert sein. Im Vergleich zu hardwarebasierten Geräten erwarten die Aufsichtsbehörden eine strengere Kontrolle der Bewertung von Änderungsfolgen, der Software-Verifizierung/-Validierung über verschiedene Versionen hinweg, der Cybersicherheits-Updates und eine Rückverfolgbarkeit, die bei Produktiterationen intakt bleibt – alles Merkmale eines robusten QMS für Medizinproduktesoftware.

Benötigen Start-ups und KMU vom ersten Tag an ein vollständiges Qualitätsmanagementsystem nach ISO 13485?

Nicht unbedingt. Teams in der Frühphase profitieren am meisten von einem schrittweisen Ansatz: Sie implementieren die Kontrollen, die für eine sichere Entwicklung und die Generierung von Nachweisen erforderlich sind (Dokumentenlenkung, Designkontrollen, Risikomanagement, Änderungsmanagement), und erweitern dann die Systemreife, wenn das Produkt auf Validierung und Marktreife zusteuert. Ein gestufter QMS-Implementierungsplan hilft Start-ups, übermäßigen Aufwand zu vermeiden und gleichzeitig auditbereit zu bleiben.

Wie fügt sich die IEC 62304-Konformität in ein ISO 13485 QMS ein?

Betrachten Sie das ISO 13485 QMS als die unternehmensweite Governance-Ebene und die IEC 62304-Konformität als den Software-Lebenszyklus-Motor darin. IEC 62304 definiert die Struktur für Softwareplanung, Anforderungen, Entwicklung, Tests, Freigabe, Wartung und Problemlösung. Gleichzeitig bietet ISO 13485 die umfassenderen Kontrollen (Schulungen, Audits, CAPA, Lieferantenmanagement), die erforderlich sind, um die Compliance im gesamten Unternehmen aufrechtzuerhalten.

Welche SOPs sind am wichtigsten, zuerst für ein QMS für Medizinproduktesoftware zu erstellen?

Beginnen Sie mit SOPs, die direkt Sicherheit und Änderungen regeln: Software-Entwicklungslebenszyklus (abgestimmt auf IEC 62304), Integration des Risikomanagements, Änderungsmanagement/Folgenabschätzung, Verifizierung und Validierung, Beschwerdemanagement/CAPA und den Umgang mit Cybersicherheitslücken. Diese Verfahren bilden das Rückgrat eines skalierbaren QMS für Medizinprodukte und reduzieren das regulatorische Risiko, wenn die Releases beschleunigt werden.

Wie sieht ein praktischer QMS-Implementierungsplan für SaMD-Teams aus, die agile Entwicklung nutzen?

Ein praktischer Plan stimmt QMS-Kontrollen mit agilen Workflows ab, anstatt sie zu bekämpfen. Er umfasst typischerweise schlanke Dokumentation, toolbasierte Rückverfolgbarkeit (von Anforderungen über Risiken bis hin zu Tests), konsistente Überprüfungen der Änderungsfolgen für jedes Release und eine periodische Governance (Audits, Management Review), die die Funktionsfähigkeit des Systems validiert. Dieser Ansatz unterstützt ISO 13485 für SaMD und erhält gleichzeitig die Entwicklungsgeschwindigkeit aufrecht.