Aufbau eines skalierbaren Qualitätsmanagementsystems (QMS) für SaMD ISO 13485, ISO 14971 und IEC 62304 sowie SOP für KMU und Start-ups

6 Min. Lesezeit

Die Entwicklung einer regulierten Software ist nicht nur eine produktbezogene Herausforderung, sondern auch eine Herausforderung für das Betriebsmodell. Für Start-ups und KKMU (Kleinst-, kleine und mittlere Unternehmen), die medizinische Software entwickeln, besteht die größte Schwierigkeit nicht nur darin, eine Prozedur zu verfassen, sondern ein System zu entwerfen, das mit raschen Iterationen Schritt hält und gleichzeitig die Rückverfolgbarkeit, die Nachweise und die Kontrolle gewährleistet, die die Aufsichtsbehörden erwarten.

Ein skalierbares SaMD muss zwei Aufgaben gleichzeitig erfüllen: Es muss Patienten durch strenge Kontrollen während des gesamten Lebenszyklus schützen und Innovatoren vor bürokratischen Hürden bewahren, die den Lernprozess verlangsamen. Das Ziel besteht nicht darin, ein veraltetes, auf Ordnern basierendes MedTech-System zu kopieren, sondern ein Qualitätsmanagementsystem aufzubauen, das schlank, auditierbar und mit modernen Softwarebereitstellungsmethoden kompatibel ist.

Eine klare QMS-Architektur ist das, was skalierbare Compliance von Verwaltungsaufwand unterscheidet. Wenn das System auf Risiken, Änderungskontrolle und Nachweise ausgerichtet ist und nicht auf den Umfang der Dokumentation, fördert es sowohl Schnelligkeit als auch Qualität. In der Praxis stützt sich diese Architektur vor allem auf das Qualitätsmanagementsystem für Medizinprodukte (ISO 13485) für unternehmensweite Kontrollen und auf die Einhaltung der Anforderungen des Lebenszyklusmanagements für medizinische Software (IEC 62304).

Das Kern-Framework: ISO 13485 IEC 62304, auf Skalierbarkeit ausgelegt

Ein skalierbares ISO 13485 beginnt mit soliden organisatorischen Grundlagen, Dokumentenkontrolle, Schulungen, Lieferantenüberwachung, Korrektur- und Vorbeugungsmaßnahmen (CAPA), internen Audits und der Managementbewertung. Dennoch entfaltet es seine volle Wirksamkeit erst dann, wenn diese Kontrollmechanismen eng mit den täglichen technischen Arbeitsabläufen verknüpft sind. Anstatt die Norm als Checkliste zu betrachten, nutzen leistungsstarke Teams sie als Governance-Rahmenwerk, das Konsistenz, Rückverfolgbarkeit und eine nachhaltige Regulierungsbereitschaft stärkt. Der direkte Verweis auf die offizielle BeschreibungISO 13485 in Ihrer QMS-Begründung kann Teams dabei helfen, die Erwartungen klar zu interpretieren.

Auf der Softwareseite regelt die Norm IEC 62304 die Lebenszyklusstruktur, die Planung, die Anforderungen, die Architektur, die Implementierung, die Verifizierung, die Freigabe, die Wartung und die Problemlösung. In der Praxis bildet die IEC 62304 die Brücke zwischen Ihrem Software-Workflow und Ihren auditfähigen Nachweisen. Wenn Teams eine einzige „Quelle der Wahrheit“ für die Anforderungen des Lebenszyklus benötigen, dient die Verweisnummer der IEC 62304 als hilfreiche Grundlage für die Auslegung.

Für Start-ups steht die Integration im Vordergrund: ISO 13485 das systemweite Qualitätsgerüst, während die Norm IEC 62304 die darin integrierte Software-Engine verankert. Dieser kombinierte Ansatz bildet das Rückgrat des Qualitätsmanagementsystems für SaMD realen Betriebsmodellen.

Ein praktischer Plan zur Einführung eines Qualitätsmanagementsystems für KKMU und Start-ups

Ein skalierbarer Plan zur Einführung eines Qualitätsmanagementsystems lässt sich am besten schrittweise umsetzen, wobei man sich an der Produktreife und den Risiken orientieren sollte, nicht an den Unternehmenszielen. Man braucht nicht vom ersten Tag an ein „Unternehmensweites Qualitätsmanagementsystem“; man braucht die richtigen Kontrollmechanismen zum richtigen Zeitpunkt.

Phase 1: Aufbau eines minimal funktionsfähigen Systems
Konzentrieren Sie sich auf die wesentlichen Elemente für eine kontrollierte Entwicklung: Dokumentenkontrolle, Schulungen, an Ihren Lebenszyklus angepasste Konstruktionskontrollen, Integration des Risikomanagements, grundlegende Lieferantenkontrollen und einen Änderungsmanagementprozess, der einfach genug in der Anwendung ist.

Phase 2: Aufbau einer auditfähigen Rückverfolgbarkeit.
Wenn Sie sich der klinischen Validierung und der Einreichungsreife nähern, sollten Sie die Rückverfolgbarkeit von den Anforderungen über die Risiken bis hin zu den Tests und Ergebnissen stärken. Hier sollte die Gestaltung des Qualitätsmanagementsystems die Gegebenheiten der agilen Softwareentwicklung widerspiegeln, d. h. kleinere Inkremente, häufige Releases und validierte Auswirkungen von Änderungen.

Phase 3: Ausweitung auf die Lebenszyklus-Governance.
Sobald Produkte im Einsatz sind, muss Ihr Qualitätsmanagementsystem (QMS) eine kontinuierliche Überwachung gewährleisten. Dazu gehören PMS-Eingaben, das Patch-Management für Cybersicherheit, die Bearbeitung von Beschwerden, CAPA sowie regelmäßige Überprüfungen, die eine fortlaufende Kontrolle nachweisen.

Dieser schrittweise Ansatz sorgt dafür, dass das Qualitätsmanagementsystem für Medizinprodukte praxisnah bleibt und gleichzeitig die für das Vertrauen der Aufsichtsbehörden erforderliche Disziplin gewahrt wird.

Erfolgreiches SOP : Von „Dokumenten“ zu „Entscheidungssystemen“

Für viele KKMU scheitern Standardarbeitsanweisungen (SOPs), weil sie eher darauf ausgelegt sind, Audits zu bestehen, als das Verhalten zu steuern. Gute SOPs sorgen für Vorhersehbarkeit bei Entscheidungen. Sie legen fest, wer entscheidet, welche Nachweise erforderlich sind, welche Schwellenwerte maßgeblich sind und wie das Ergebnis dokumentiert wird.

Ein solider SOP für SaMD konzentriert sich SaMD auf einige wenige Bereiche mit besonders großer Wirkung:

Software-Lebenszyklusmanagement (gemäß IEC 62304): Planung, Anforderungen, Verifizierung/Validierung, Freigabe und Wartung.
Integration von Risiko und Benutzerfreundlichkeit: Wie Gefahren identifiziert, kontrolliert, bewertet und bei Änderungen aktualisiert werden
Änderungskontrolle und Folgenabschätzung: Was löst eine erneute Validierung aus und was gilt als wesentliche Änderung?
Umgang mit Sicherheitslücken: Erfassung → Triage → Patching → Überprüfung → Kommunikation
Kontrollen bei Zulieferern und Open-Source-Komponenten: Wie Komponenten bewertet, genehmigt, überwacht und aktualisiert werden

SOPs sollten kurz, umsetzbar und in einer praxisnahen Sprache verfasst sein. Ein nützlicher Maßstab ist, dass ein neuer Ingenieur in der Lage sein sollte, die SOP zu befolgen, und eine Aufsichtsbehörde in der Lage sein sollte, sie zu prüfen. Wenn sie einen dieser Tests nicht besteht, sollte sie vereinfacht werden.

Das QMS an die regulatorischen Anforderungen anpassen, ohne es übermäßig auszubauen

Start-ups fragen oft: „Wie viel QMS ist genug?“ Die ideale Antwort lautet: Es sollte ausreichen, um die Kontrolle über das Wesentliche nachzuweisen, d. h. über Sicherheit, Leistung und Änderungen.

Im US prüfen die Aufsichtsbehörden, ob Sie über wirksame Konstruktionskontrollen, Validierungsverfahren und robuste Qualitätsprozesse verfügen; die AnforderungenFDAan Qualitätssysteme und Konstruktionskontrollen liefern wichtige Anhaltspunkte dafür, wie ein konformes System in der Praxis ausgelegt wird.

In der Europäischen Union werden die Erwartungen durch die EU-Medizinprodukteverordnung (MDR) und die In-vitro-Diagnostika-Verordnung (IVDR) geprägt, wobei die Aufsicht bei den benannten Stellen liegt; die Aufsichtsbehörden bewerten die Konformität mit den allgemeinen Sicherheits- und Leistungsanforderungen in Anhang I, das Risikomanagement (in Übereinstimmung mit ISO 14971), die klinische Bewertung, die Überwachung nach dem Inverkehrbringen sowie die Wirksamkeit des Qualitätsmanagementsystems des Herstellers (in der Regel an ISO 13485 ausgerichtet).

In den übrigen Ländern der Welt (ROW) variieren die regulatorischen Rahmenbedingungen, orientieren sich jedoch häufig an den Grundsätzen des International Medical Device Regulators Forum (IMDRF), der Norm ISO 13485 und risikobasierten Klassifizierungssystemen. Behörden wie Health Canada, TGA (Australien), PMDA Japan) und andere bewerten die Ausgereiftheit der Designkontrollen, die Stringenz der Validierung, das Lieferantenmanagement und die Prozesse nach dem Inverkehrbringen und stützen sich dabei häufig auf frühere Zulassungen oder Zertifizierungen (z. B. CE-Kennzeichnung, MDSAP) als Teil ihrer Prüfung.

Das strategische Prinzip lautet: risikobasierte Verhältnismäßigkeit. Je höher das Risiko und die klinischen Auswirkungen, desto strenger sind die erwarteten Anforderungen. Doch selbst bei Produkten mit geringerem Risiko ist das Fehlen grundlegender Kontrollmechanismen (unklaren Anforderungen, uneinheitlichen Prüfungen, unkontrollierten Änderungen) eine häufige Ursache für regulatorische Reibungsverluste.

Skalierbarkeit gewährleisten: Die Denkweise des „modernen QMS“

Die skalierbarsten SaMD -Konzepte weisen einige gemeinsame Merkmale auf:

Der Prozess ist in den Tools verankert (z. B. Änderungskontrolle in Verbindung mit der Problemverfolgung, Validierungsnachweise verknüpft mit CI/CD-Artefakten).
Die Rückverfolgbarkeit wird, soweit möglich, automatisiert, wodurch menschliche Fehler und manuelle Datenerfassung reduziert werden.
Die Verwaltung ist schlank, aber einheitlich, sodass dieselbe Logik über alle Versionen und Datensätze hinweg angewendet wird.

So vermeiden Unternehmen, dass das Qualitätsmanagementsystem als „Verwaltungsaufwand“ betrachtet wird, und bauen es stattdessen als „Betriebssystem“ auf.

Abschließende Betrachtung

Ein gut durchdachtes SaMD ist eine Investition in das Vertrauen, dass die Software wie vorgesehen funktioniert, dass Risiken systematisch gesteuert werden und dass Änderungen diszipliniert geregelt werden. Wenn die Kontrollmechanismen ISO 13485 auf die Realitäten der Softwareentwicklung abgestimmt sind und die Einhaltung der Norm IEC 62304 als praktischer Leitfaden für den Lebenszyklus betrachtet wird, können Start-ups ihre Qualität steigern, ohne dabei den Verwaltungsaufwand zu vergrößern.

In der Praxis erfüllen Teams, die das QMS als eine Disziplin des gesamten Lebenszyklus betrachten, indem sie die Dauerhaftigkeit von Nachweisen, Risikokontrollen und das Änderungsmanagement miteinander verknüpfen, die in dem „Comprehensive Guide to Software as a Medical Device (SaMD) Compliance & Global Registration“ dargelegten Erwartungen.

Wenden Sie sich an Freyr Solutions, um Ihre SaMD zu besprechen und zu erfahren, wie Freyr Ihre weltweiten Zulassungsverfahren optimieren kann.

Häufig gestellte Fragen (FAQs)

Wodurch unterscheidet sich ein SaMD von einem herkömmlichen QMS für Medizinprodukte?

Ein SaMD muss auf häufige Softwareänderungen, schnellere Release-Zyklen und sich wandelnde Risikoprofile ausgelegt sein. Im Vergleich zu hardwarebasierten Produkten erwarten die Aufsichtsbehörden eine strengere Kontrolle hinsichtlich der Bewertung von Änderungsauswirkungen, der Verifizierung und Validierung der Software über verschiedene Versionen hinweg, der Cybersicherheits-Updates sowie einer Rückverfolgbarkeit, die auch bei Produktiterationen gewährleistet bleibt – allesamt Kennzeichen eines soliden QMS für Medizinproduktesoftware.

Benötigen Start-ups und kleine und mittlere Unternehmen (KMU) vom ersten Tag an ein vollständiges ISO 13485 ystem ISO 13485 ?

Nicht unbedingt. Teams in der Frühphase profitieren am meisten von einem schrittweisen Ansatz, d. h. sie führen zunächst die Kontrollen ein, die für eine sichere Entwicklung und die Erhebung von Nachweisen erforderlich sind (Dokumentenkontrolle, Designkontrolle, Risikomanagement, Änderungskontrolle), und erweitern diese dann auf eine umfassendere Systemreife, während das Produkt auf die Validierung und Marktreife zusteuert. Ein stufenweiser Plan zur Einführung eines Qualitätsmanagementsystems hilft Start-ups dabei, eine übermäßige Ausgestaltung zu vermeiden und gleichzeitig auditbereit zu bleiben.

Wie fügt sich die Einhaltung der Norm IEC 62304 in ein ISO 13485 ein?

Stellen Sie sich ISO 13485 als die unternehmensweite Steuerungsebene vor und die Konformität mit IEC 62304 als den Motor für den Software-Lebenszyklus innerhalb dieser Ebene. IEC 62304 definiert die Struktur für Softwareplanung, Anforderungen, Entwicklung, Prüfung, Freigabe, Wartung und Problemlösung. Gleichzeitig ISO 13485 die umfassenderen Kontrollmechanismen (Schulungen, Audits, CAPA, Lieferantenmanagement), die erforderlich sind, um die Konformität im gesamten Unternehmen aufrechtzuerhalten.

Welche Standardarbeitsanweisungen (SOPs) sollten für ein Qualitätsmanagementsystem (QMS) für Medizinproduktesoftware als Erstes erstellt werden?

Beginnen Sie mit Standardarbeitsanweisungen (SOPs), die sich direkt auf Sicherheit und Änderungsmanagement beziehen: Softwareentwicklungszyklus (in Übereinstimmung mit IEC 62304), Integration des Risikomanagements, Änderungskontrolle/Folgenabschätzung, Verifizierung und Validierung, Beschwerdebearbeitung/CAPA sowie Umgang mit Sicherheitslücken in der Cybersicherheit. Diese Verfahren bilden das Rückgrat eines skalierbaren Qualitätsmanagementsystems für Medizinprodukte und verringern das regulatorische Risiko bei zunehmender Freigabehäufigkeit.

Wie sieht ein praktischer Plan zur Umsetzung eines Qualitätsmanagementsystems für SaMD aus, die mit agiler Entwicklung arbeiten?

Ein praxisorientierter Plan stimmt die QMS-Kontrollen auf agile Arbeitsabläufe ab, anstatt ihnen entgegenzuwirken. Er umfasst in der Regel eine schlanke Dokumentation, eine toolgestützte Rückverfolgbarkeit (von den Anforderungen über die Risiken bis hin zu den Tests), konsequente Überprüfungen der Auswirkungen von Änderungen bei jedem Release sowie regelmäßige Governance-Maßnahmen (Audits, Managementbewertung), die sicherstellen, dass das System ordnungsgemäß funktioniert. Dieser Ansatz unterstützt ISO 13485 SaMD gewährleistet SaMD eine hohe Entwicklungsgeschwindigkeit.