Cumplimiento de la norma IEC 62304: la guía completa para el desarrollo Dispositivos Médicos sin caer en los errores habituales
5 min de lectura

Llevas meses desarrollando tu Dispositivos Médicos , contratando a los mejores ingenieros y creando lo que consideras un producto innovador. Pero llega la revisión reglamentaria y te das cuenta de que tu documentación según la norma IEC 62304 está incompleta.

¿Te suena?

No estás solo: esta situación se repite una y otra vez en el Dispositivos Médicos , lo que supone para las empresas meses de retrasos y miles de dólares en trabajos de corrección. El error que cometen la mayoría de Dispositivos Médicos es que consideran el cumplimiento de la norma IEC 62304 como un mero trámite documental, en lugar de como un marco de seguridad completo.

¿El resultado?

Auditorías fallidas, denegaciones por parte de las autoridades reguladoras y riesgos para la seguridad de los pacientes.

 En este blog se tratarán los siguientes temas: ¿Qué es la norma IEC 62304? Las clasificaciones de seguridad del software que define y el camino hacia el cumplimiento de la norma.

¿Qué es la norma IEC 62304 y por qué es importante para su dispositivo?

La norma IEC 62304 es una norma internacional sobre los procesos del ciclo de vida Dispositivos Médicos , reconocida por laFDA US FDA otras agencias reguladoras de todo el mundo. Esta norma no es solo un requisito más que cumplir: es su hoja de ruta para desarrollar Dispositivos Médicos seguro y eficaz que proteja a los pacientes y se comercialice más rápidamente.

La norma se aplica siempre que el software sea un componente importante en Dispositivos Médicos , tanto si el software es un Dispositivos Médicos independiente Dispositivos Médicos Software as a Dispositivos Médicos SaMD), como si forma parte de un dispositivo (Software in a Dispositivos Médicos SiMD), o si se utiliza en la fabricación. Piensa en todo, desde aplicaciones móviles de salud hasta complejos robots quirúrgicos. Si tu software entra dentro de esta categoría, necesitas una certificación IEC 62304.

¿Por qué es importante el cumplimiento de la norma IEC 62304?

  • Requisitos para FDA y el marcado CE de los dispositivos médicos de software (SaMD)
  • Enfoque sistemático para identificar y mitigar los riesgos relacionados con el software
  • Norma armonizada aceptada a nivel mundial
  • Prueba documentada del cumplimiento de las medidas de diligencia debida en el desarrollo de software
  • Una comercialización más rápida gracias a una planificación adecuada

Nuestra experiencia trabajando con Dispositivos Médicos a nivel mundial nos ha demostrado que las organizaciones que aplican la norma IEC 62304 en las primeras fases de su proceso de desarrollo logran presentar solicitudes correctas a la primera y reducen el tiempo de comercialización en una media de entre 4 y 6 meses.

Comprensión de las clasificaciones de seguridad del software según la norma IEC 62304

El cumplimiento de la norma IEC 62304 comienza por clasificar correctamente el riesgo de seguridad de su software. Si se equivoca en este punto, acabará elaborando una documentación excesivamente detallada o pasando por alto requisitos de seguridad fundamentales.

IEC 62304 Clase A: No existe riesgo de lesiones

  • No contribuye a crear situaciones de peligro
  • Requisitos mínimos de documentación
  • No es necesario realizar una verificación de la unidad
  • Ejemplo: software administrativo para la gestión de citas

IEC 62304 Clase B: Posibilidad de lesiones leves

  • Puede contribuir a situaciones peligrosas que provoquen lesiones leves
  • Requisitos moderados de documentación y pruebas
  • Se requiere la verificación de la unidad
  • Ejemplo: software que monitoriza los signos vitales pero cuenta con sistemas de respaldo

IEC 62304 Clase C: Posible riesgo de muerte o lesiones graves

  • Puede contribuir a situaciones peligrosas que provoquen la muerte o lesiones graves
  • Se exige el máximo nivel de documentación y verificación
  • Es obligatorio presentar la documentación de diseño detallada
  • Ejemplo: software que controla la administración de insulina o los sistemas de soporte vital

La clasificación de riesgos no se limita al uso previsto del software, sino que tiene que ver con lo que ocurre cuando falla. Una sencilla aplicación que calcula dosis podría clasificarse en la clase C si unos cálculos incorrectos pudieran provocar daños graves.

5 procesos esenciales de la norma IEC 62304 que debes implementar:

La norma IEC 62304 establece los requisitos en cinco procesos fundamentales (cláusulas 5 a 9), junto con una guía de implementación paso a paso.

Proceso 1: Planificación del desarrollo de software (cláusula 5.1)

¿Qué tienes que hacer?

Proceso 2: Análisis de los requisitos del software (cláusula 5.2)

¿Qué tienes que hacer?

Consejo de experto: los elementos que no se pueden comprobar no son requisitos, sino deseos. Cada requisito debe tener un método de verificación correspondiente.

Proceso 3: Arquitectura y diseño de software (cláusulas 5.3-5.4)

Resultados clave:

  • Diseño de la arquitectura de software
  • Diseño meticuloso para software de clase C
  • Especificaciones de la interfaz
  • Estrategia de segregación para el control de riesgos

Una prueba de realidad para la arquitectura: ¿Podrías explicar tu arquitectura de software a un regulador en 10 minutos? Si no es así, es demasiado compleja o está mal documentada.

Proceso 4: Implementación y pruebas (cláusulas 5.5-5.7)

Niveles de prueba requeridos:

  • Pruebas unitarias (clases B y C)
  • Pruebas de integración (clases B y C)
  • Pruebas del sistema (todas las clases)
  • Pruebas de aceptación

La verdad sobre las pruebas: hacer más pruebas no significa hacer mejores pruebas. Se debe hacer hincapié en las pruebas basadas en el riesgo que validen los requisitos de seguridad.

Proceso 5: Integración de la gestión de riesgos (cláusula 7)

Aquí es donde muchas empresas cometen errores. La gestión de riesgos según la norma IEC 62304 no es una actividad independiente, sino que está integrada en todo el proceso de desarrollo.

Requisitos para la gestión de riesgos de software:

  • Descubre cómo el software agrava las situaciones de peligro
  • Definir medidas de control de riesgos para cada causa potencial
  • Verificar la eficacia de las medidas de control de riesgos
  • Mantener la trazabilidad desde los riesgos hasta las medidas de control

Cómo abordar el SOUP: software de procedencia desconocida en la norma IEC 62304

Todos los sistemas Dispositivos Médicos utilizan componentes de terceros: sistemas operativos, bases de datos, bibliotecas y servicios en la nube. La norma IEC 62304 los denomina «software de procedencia desconocida» (SOUP), y su correcto funcionamiento es fundamental para el cumplimiento normativo (por ejemplo, Windows, Linux, Android, MySQL, pilas TCP/IP, AWS, Azure, APIs de Google Cloud, criptografía, procesamiento de imágenes).

Requisitos de identificación de SOUP:

  • Nombre del documento, versión y fabricante de cada elemento SOUP
  • Analizar los posibles riesgos para los pacientes, los operadores y terceros
  • Analizar las listas de anomalías publicadas, como los errores
  • Comprueba por qué cada elemento de SOUP es adecuado para el uso previsto

Estrategia de gestión de riesgos SOUP:

  • Abordar los fallos de SOUP para evitar repercusiones en todo el sistema
  • Implementar mecanismos de supervisión y comprobaciones de estado
  • Proporcionar una función de copia de seguridad para SOUP
  • Comprueba el funcionamiento de SOUP en tu caso de uso concreto

IEC 62304 e ISO 14971: cómo lograr que la gestión de riesgos funcione de forma coordinada

La norma IEC 62304 no sustituye a la gestión de riesgos de la norma ISO 14971, sino que la amplía para incluir los riesgos específicos del software.

Enfoque de integración:

Empiece por la norma ISO 14971 y realice un análisis de riesgos a nivel del sistema

  1. Identificar las causas relacionadas con el software para cada situación de riesgo y determinar si el software podría ser una causa contribuyente
  2. Aplicar la norma IEC 62304 mediante la documentación de las medidas de control de riesgos específicas del software
  3. Comprueba la eficacia comprobando que los controles de tu software funcionan realmente

La norma ISO 14971 analiza la probabilidad de que se produzcan daños; la norma IEC 62304 parte de una probabilidad de fallo del 100 % y se centra en las consecuencias.

Errores habituales en la norma IEC 62304 y cómo evitarlos

Error 1: Clasificación errónea de la clase de seguridad del software

Error n.º 2: Gestión inadecuada del SOUP

  • Error: Considerar el software de terceros como «un problema ajeno»
  • Consecuencia: riesgos no controlados e incumplimientos normativos
  • Solución: Mantener un inventario completo de SOUP con evaluaciones de riesgos

Error n.º 3: Integración deficiente con el sistema de gestión de la calidad

  • Error: Considerar la norma IEC 62304 como una norma independiente
  • Consecuencia: procesos inconexos y resultados de auditoría
  • Solución: Incorpora los requisitos de la norma IEC 62304 en tu ISO 13485

Error n.º 4: Control insuficiente de los cambios

  • Error: Procesos informales de mantenimiento de software
  • Consecuencia: cambios incontrolados que introducen nuevos riesgos
  • Solución: Implementar procesos sólidos de gestión de la configuración y resolución de problemas

Error n.º 5: Exceso de documentación

  • Error: Crear documentación que nadie utiliza
  • Consecuencia: fallos en las auditorías y retrasos en los proyectos
  • Solución: Centrarse en una documentación relevante que respalde la toma de decisiones

Tu lista de verificación para el cumplimiento de la norma IEC 62304

  • Clasificación de seguridad del software asignada y documentada
  • Sistema de gestión de la calidad implantado (ISO 13485 )
  • Procesos de gestión de riesgos definidos (conforme a la norma ISO 14971)
  • Funciones y responsabilidades asignadas
  • Elaboración y mantenimiento del plan de desarrollo
  • Requisitos de software documentados y trazables
  • Arquitectura diseñada y revisada
  • Se ha completado el diseño detallado (Clase C)
  • Se ha realizado la verificación de la unidad (Clase B/C)
  • Pruebas de integración completadas (Clase B/C)
  • Se han realizado pruebas del sistema (todas las clases)
  • Software publicado con la documentación correspondiente
  • Plan de mantenimiento documentado
  • Procedimientos establecidos para la resolución de problemas
  • Se ha definido el proceso de evaluación del impacto de los cambios
  • Plan de vigilancia poscomercialización puesto en marcha
  • Elementos de configuración identificados
  • Se ha implementado un sistema de control de versiones
  • Procedimientos de control de cambios establecidos
  • Auditorías de configuración programadas
  • Se ha completado el análisis de riesgos del software
  • Medidas de control de riesgos aplicadas
  • Verificación de los controles de riesgo realizados
  • Matriz de trazabilidad actualizada

Buenas prácticas para el cumplimiento continuo de la norma IEC 62304

  1. Empiece a aplicar la norma IEC 62304 durante la planificación del proyecto, no al final del desarrollo. Las medidas de cumplimiento adoptadas en fases avanzadas resultan costosas y, a menudo, son insuficientes.
  2. Utiliza herramientas para la gestión de la configuración, las pruebas y la generación de documentación. Los procesos manuales no son escalables y dan lugar a errores.
  3. El cumplimiento de la norma IEC 62304 no es solo cosa de los ingenieros de calidad. Los desarrolladores, los evaluadores y los jefes de proyecto deben comprender cuáles son sus funciones.
  4. El software no termina con su lanzamiento. Planifica el mantenimiento continuo, las actualizaciones y los parches de ciberseguridad desde el primer día.
  5. Realizar auditorías internas para detectar deficiencias antes de las evaluaciones externas. Es más barato prevenir que remediar.

Cómo Freyr puede acelerar tu proceso de certificación según la norma IEC 62304

Freyr acelera su entrada en Dispositivos Médicos .

Con más de 2.200 expertos en normativa y un historial de más de 1.500 autorizaciones de productos, logramos una tasa de presentación correcta a la primera del 99 %.

En lo que respecta específicamente a la norma IEC 62304, Freyr ofrece servicios completos de cumplimiento normativo. Nuestra metodología contrastada abarca el análisis de deficiencias, la documentación y la gestión del ciclo de vida, con el fin de agilizar el proceso de conformidad y acelerar la comercialización de su dispositivo. Descubra aquí nuestros servicios relacionados con la norma IEC 62304 o reach con nosotros en sales@freyrsolutions.com.

Suscribirse al Blog de Freyr