Softwareentwicklungszyklus (SDLC) und Qualitätskontrollen zur SaMD
Lesezeit: 5 Min.

Die Branche für digitale Gesundheit oder Software als Medizinprodukt (SaMD) boomt, und in diesem sich rasch wandelnden Bereich sind ineffektive oder langsame Abläufe nicht nur lästig, sondern auch kostspielig. Solche Verzögerungen werden manchmal durch Mängel verursacht, die entweder in der zu entwickelnden Software oder in der Dokumentation der Software während einer bestimmten Phase des Softwareentwicklungszyklus (SDLC) entdeckt wurden. Die beste Verteidigung? In den frühen Phasen, die ebenfalls strukturiert ablaufen und als „Quality Gates“ bezeichnet werden, geht es darum, Probleme zu erkennen und zu vermeiden, bevor sie sich zu einem größeren Problem entwickeln.

Warum die frühzeitige Fehlererkennung bei SaMD von entscheidender Bedeutung ist

Softwarefehler – sei es aufgrund von Logikfehlern, unvollständigen Anforderungen oder inkonsistenter Dokumentation – stellen in jedem Entwicklungsprozess ein häufiges Risiko dar. Bei SaMD steht jedoch noch mehr auf dem Spiel. Jede Funktion, jede Risikokontrolle und jedes Testergebnis muss nachvollziehbar, begründet und von einer benannten Stelle überprüfbar sein.

Je später im SDLC Fehler entdeckt wird, desto teurer und zeitaufwendiger wird dessen Behebung. Branchendaten belegen durchweg, dass die Behebung eines Fehlers, der erst in der Wartungsphase entdeckt wird, 50- bis 100-mal so viel kosten kann wie die Behebung eines Fehlers, der bereits während der Anforderungserfassung entdeckt wurde.

Bei SaMD beziehen sich Fehler nicht nur auf die Softwarelogik, sondern umfassen auch:

  • Fehlende oder lückenhafte Dokumentation der Risikokontrolle
  • Nicht definierte oder unzureichend definierte Softwareanforderungen
  • Lücken in den Rückverfolgbarkeitsmatrizen zwischen Risiken, Anforderungen und Überprüfung
  • Nicht aufeinander abgestimmte Softwarearchitektur und -implementierung

Diese Probleme können ganze Anträge zum Scheitern bringen. Schlimmer noch: Werden sie bei der Bewertung durch die benannte Stelle entdeckt, können sie bereits geleistete Überprüfungsarbeiten ungültig machen, sodass Hersteller wesentliche Teile der technischen Unterlagen überarbeiten müssen, was zu monatelangen Verzögerungen und erheblichen Kosten führt.

Was sind SDLC – und warum sind sie so wichtig?

Qualitätskontrollpunkte sind formelle Prüfschritte, die in Ihren SDLC integriert sind, SDLC die Vollständigkeit, Konsistenz und Korrektheit von Software-Artefakten und -Aktivitäten SDLC bewerten, bevor zur nächsten Phase übergegangen wird.
Es kann hilfreich sein, sie als Sicherheitsvorkehrungen zur Einhaltung von Vorschriften zu betrachten. Bei ordnungsgemäßer Durchführung sorgen sie dafür, dass:

  • Technische Schulden abbauen
  • Erkennen Sie Probleme mit der Dokumentation, bevor sie auftreten und die Erbringung von Leistungen wie beispielsweise die Einreichung von Zulassungsanträgen behindern
  • Entwicklungsteams auf wichtige Meilensteine abstimmen
  • Nacharbeiten in nachfolgenden Arbeitsschritten vermeiden
  • Die Verknüpfungen zwischen Anforderungen, Risiken und deren Kontrollmaßnahmen sowie den Ergebnissen der Verifizierung und Validierung verbessern
  • Schaffen Sie Vertrauen in Ihr Produkt und seien Sie zuversichtlicher, dass es die behördlichen Hürden nimmt

IEC 62304: Die Grundlage für die Integration von Qualitätskontrollen

Die Norm IEC 62304, der Grundpfeiler der Softwareentwicklung für Medizinprodukte, unterstützt eine Reihe von SDLC , darunter Wasserfall-, V-Modell- und iterative (z. B. agile) Ansätze. Diese Flexibilität ermöglicht es Herstellern, ihre Prozesse anzupassen, bringt jedoch auch eine Verantwortung mit sich: Unabhängig vom Modell müssen alle Entwicklungsartefakte konsistent, rückverfolgbar und kontrolliert sein.
Qualitätskontrollen sind besonders wichtig vor dem Eintritt in die Software-Verifizierungsphase. Gemäß IEC 62304 muss Software:

  • Unter Konfigurationsmanagement gestellt (d. h. kontrollierte Versionierung und Änderungshistorie)
  • Richtig nach Risiko eingestuft
  • Dokumentiert anhand konsistenter, als Referenz festgelegter Ergebnisse, einschließlich Risikoanalysen, Entwurfsvorgaben und Verifizierungsplänen

Dadurch wird sichergestellt, dass die Überprüfung auf einer soliden, prüfungsreifen Grundlage basiert, wodurch das Risiko von Überraschungen oder Ablehnungen während der Bewertung minimiert wird.

IEC 82304: Qualitätssicherung bei SaMD

Die Norm IEC 82304 bietet umfassende Leitlinien zum Software-Lebenszyklus für Gesundheitssoftware und deckt alle Phasen ab, von der Planung über den Entwurf und die Entwicklung bis hin zu Aktivitäten nach der Markteinführung. Da sich die IEC 82304 auf Gesundheitssoftware konzentriert, SaMD ihre Anwendung bei SaMD , dass die Entwicklung nach strukturierten und standardisierten Ansätzen erfolgt, die Sicherheit und Leistungsfähigkeit garantieren.

Zu den wichtigsten Bestimmungen der Norm IEC 82304 gehören:

  • Risikomanagementprozesse, die mit der Norm IEC 62304 im Einklang stehen
  • Detaillierte Dokumentation zur Softwareverifizierung, die Rückverfolgbarkeit und Validierung gewährleistet
  • Regelmäßige Software-Updates, um die fortlaufende Einhaltung gesetzlicher Vorschriften sicherzustellen
  • Marktüberwachung und Meldung von softwarebezogenen Vorfällen

Diese Norm stellt eine wesentliche Ergänzung des „Quality-Gate“-Rahmenwerks dar, da sie sowohl Aspekte vor als auch nach dem Inverkehrbringen bei SaMD berücksichtigt.

Phasen, in denen Qualitätskontrollen einen Mehrwert bieten

Auch wenn der Einsatz von Qualitätskontrollen während des gesamten SDLC sinnvoll sein SDLC , sind sie am wirksamsten vor:

  1. Festlegung der Softwareanforderungen
    • Verhindern Sie, dass Anforderungen unvollständig, mehrdeutig oder nicht überprüfbar sind.
    • Es sollte ein Gleichgewicht zwischen den Anforderungsprofilen der Nutzer, den vorgesehenen Verwendungszwecken der Systeme und den verschiedenen Risikomanagementmaßnahmen bestehen.
  2. Architektur & Design – Fertigstellung
     
    • Überprüfen Sie die Einhaltung der baulichen Vorschriften und die Übereinstimmung mit der Klassifizierung der Sicherheitsfaktoren.
    • Stellen Sie sicher, dass alle identifizierten Risikokontrollen in die Konzeption einbezogen werden.
  3. Einleitung zur Softwareverifizierung
     
  4. Das entscheidende Tor.
  5. Alle verwendeten, erstellten und vorhandenen Unterlagen müssen im Rahmen des Abstimmungsprozesses berücksichtigt werden.
  6. Nach dieser Phase bedeutet jedes festgestellte Problem, dass der offizielle Prozess zur Problemlösung und zum Änderungsmanagement eingeleitet wird, was mit einem erheblichen Mehraufwand an Zeit und Arbeit verbunden ist.

Bewährte Verfahren für die Qualitätsprüfung vor der Verifizierung von Software

Bei der Vorbereitung auf eine Quality-Gate-Prüfung lassen sich drei wesentliche Schritte unterscheiden, die wie folgt aussehen:
Schritt 1: Überprüfung der technischen Basisdokumentation
Überprüfen Sie alle technischen Dokumente sowohl auf Vollständigkeit als auch auf interne Konsistenz.

  • Entwicklungs- und Integrationspläne
     
    • Risikoanalysen und Kontrollmaßnahmen
    • Software-Anforderungsspezifikationen
    • Architektur- und Ausführungsunterlagen
    • Verifizierungsmethoden und -protokolle

Hinweis: Diese Bewertung wurde unter Verwendung von gekürzten Checklisten auf der Grundlage der Normen IEC 62304, IEC 82304 und ISO/TR 80002-1 im Rahmen der strukturierten Bewertung durchgeführt.

Schritt 2: Überprüfung des Basis-Software-Codes
Stellen Sie sicher, dass die implementierte Software:

  • Entspricht dem genehmigten Entwurf
     
    • Erfüllt alle Sicherheitsanforderungen und umfasst alle vorgesehenen Maßnahmen zur Risikokontrolle
    • steht im Zusammenhang mit den geplanten weiteren Integrations- und Verifizierungsmaßnahmen

Tipp: Die hier aufgeführten bewährten Verfahren sollten den Einsatz von Tools zur statischen Codeanalyse und Peer-Reviews umfassen, um Unstimmigkeiten zu erkennen, bevor sie tatsächlich getestet werden.

Schritt 3: Informelle Testausführung durchführen
Verwenden Sie „Mock“-Durchläufe der Verifikationstests, um Folgendes zu überprüfen:

  • Überprüfung, ob alle Anforderungen an die entwickelte Software erfüllt wurden
     
    • Funktionale Leistung und Verhalten
    • Wirksamkeit der Risikokontrolle

Durch diese proaktiven Tests lassen sich folgende Probleme vermeiden:

  • Testfehler aufgrund fehlender Testfälle
     
    • Ich habe viel Zeit in die Optimierung investiert, verfüge jedoch nicht über aussagekräftige Prüfergebnisse, die mit den dokumentierten Risikokontrollmaßnahmen übereinstimmen.
    • Ad-hoc- und spätere Neukonfigurationen, die neue Konfigurations-Baselines erfordern

Häufige Mängel, die von benannten Stellen festgestellt wurden und vermieden werden können

Eine mangelhafte Umsetzung der Qualitätssicherung kann zu typischen Problemen führen, die bei Überprüfungen durch benannte Stellen festgestellt werden, wie zum Beispiel:

  • Softwareanforderungen, die nicht mit den Verifizierungsergebnissen verknüpft sind
  • Nicht überprüfte oder nur unzureichend begründete Risikokontrollen
  • Verifizierungsprotokolle, bei denen Randfälle oder Fehlerszenarien nicht berücksichtigt werden
  • Diskrepanzen zwischen dem tatsächlichen Verhalten der Software und den dokumentierten Angaben

Diese Probleme führen oft zu umfangreichen Nachbesserungen, Projektverzögerungen und sogar zu erneuten Prüfungen.

FDA zur SaMD

Die FDA hat zudem eine Reihe von Leitlinien für SaMD veröffentlicht, die Klarheit über die regulatorischen Anforderungen schaffen und sicherstellen, dass die Produkte die Sicherheits- und Leistungsstandards für eine Zulassung in den USA erfüllen.

SaMD FDA wichtigsten FDA für SaMD :

  • Software als Medizinprodukt (SaMD): Klinische Bewertung – Ein Dokument, in dem dargelegt wird, wie klinische Bewertungen durchgeführt und dokumentiert werden müssen.
  • Risikomanagement für SaMD – Die FDA die Bedeutung des Risikomanagements und orientiert sich dabei an den Normen IEC 62304 und ISO 14971.
  • FDA zur Softwarevalidierung – Diese enthalten konkrete Empfehlungen zur Softwarevalidierung, um sicherzustellen, dass das Produkt die Sicherheits- und Leistungskriterien erfüllt.
  • Cybersicherheit für SaMD – Die FDA strenge Richtlinien zur Gewährleistung der Cybersicherheit von Medizinprodukten FDA , die regelmäßig aktualisiert werden, um neuen Bedrohungen Rechnung zu tragen.

Eine Investition, die sich auszahlt

Qualitätsprüfungen nehmen zwar Zeit in Anspruch, sind aber eine Investition und keine Kosten. Wenn sie in Ihren SDLC integriert werden, helfen sie den Teams dabei:

  • Eine einheitliche Dokumentation und einen gleichmäßigen Entwicklungsrhythmus gewährleisten
  • Verhindern Sie Abweichungen, die die Zertifizierung gefährden
  • Eine Kultur der funktionsübergreifenden Verantwortlichkeit schaffen
  • Schnellere Markteinführung mit weniger Überraschungen

Das Überspringen dieser Überprüfungen mag kurzfristig zwar ein paar Tage Zeit sparen, wird aber langfristig wahrscheinlich Wochen oder Monate kosten.

Der Weg zur SaMD ist mit zahlreichen behördlichen Kontrollpunkten gespickt. Durch die proaktive Einbindung von Qualitätskontrollen in Ihren SDLC – insbesondere vor der Softwareverifizierung – erhält Ihr Team die nötige Struktur, Weitsicht und Kontrolle, um alles gleich beim ersten Mal richtig zu machen. Warten Sie nicht darauf, dass Ihre benannte Stelle kritische Mängel aufdeckt. Erkennen Sie diese frühzeitig, beheben Sie sie schnell und gehen Sie zuversichtlich voran.

Hier kommt Freyr ins Spiel.
Wir decken nicht nur Lücken auf, sondern entwickeln Systeme, die diese schließen. Mit fundiertem Fachwissen zu IEC 62304, IEC 82304, ISO 14971, FDA und den globalen SaMD unterstützt Freyr Ihre Teams dabei, auditfähige Qualitätskontrollpunkte zu integrieren, die einer genauen Prüfung standhalten und die Zulassungsprozesse beschleunigen. Um mehr zu erfahren, wenden Sie sich noch heute an einen SaMD .

Abonnieren Sie den Freyr-Blog

Blog-Tags

Keine Ergebnisse gefunden.