Conformité à la norme CEI 62304 : le guide complet du développement de logiciels pour dispositifs médicaux, sans les pièges
5 min de lecture

Vous avez passé des mois à développer le logiciel de votre dispositif médical, à recruter les meilleurs ingénieurs et à créer ce que vous considérez comme un produit innovant. Puis vient l'examen réglementaire, et vous vous rendez compte que votre documentation relative à la norme CEI 62304 est incomplète.

Ça vous dit quelque chose ?

Vous n'êtes pas le seul dans ce cas : cette situation se produit sans cesse dans le secteur des dispositifs médicaux, ce qui entraîne pour les entreprises des mois de retard et des milliers de dollars de coûts liés aux retouches. La plupart des fabricants de dispositifs médicaux commettent l'erreur de considérer la conformité à la norme CEI 62304 comme une simple formalité administrative plutôt que comme un cadre de sécurité complet.

Le résultat ?

Échecs lors des audits, refus des autorités réglementaires et mise en péril de la sécurité des patients.

 Cet article abordera les thèmes suivants : Qu'est-ce que la norme CEI 62304 ? Les classifications de sécurité logicielle qu'elle définit, ainsi que la démarche à suivre pour s'y conformer.

Qu'est-ce que la norme CEI 62304 et en quoi est-elle importante pour votre appareil ?

La norme CEI 62304 est une norme internationale relative aux processus du cycle de vie des logiciels destinés aux dispositifs médicaux, reconnue par laFDA US FDA d'autres organismes de réglementation à travers le monde. Cette norme n'est pas simplement une case à cocher pour satisfaire aux exigences réglementaires : c'est votre feuille de route pour développer des logiciels destinés aux dispositifs médicaux sûrs et efficaces, qui protègent les patients et permettent une mise sur le marché plus rapide.

Cette norme s'applique dès lors que les logiciels constituent un élément essentiel de la production de dispositifs médicaux, que votre logiciel soit considéré comme un dispositif médical à part entière (Software as a Medical Device ou SaMD), qu'il soit intégré à un dispositif (Software in a Medical Device ou SiMD) ou qu'il soit utilisé dans le cadre de la fabrication. Cela englobe tout, des applications mobiles de santé aux robots chirurgicaux complexes. Si votre logiciel relève de ce champ d'application, vous devez obtenir une certification IEC 62304.

Pourquoi la conformité à la norme CEI 62304 est-elle importante ?

  • Nécessaire pour FDA et le marquage CE des dispositifs médicaux logiciels (SaMD)
  • Approche systématique pour identifier et atténuer les risques liés aux logiciels
  • Norme harmonisée reconnue à l'échelle mondiale
  • Preuve documentée de la diligence raisonnable dans le développement de logiciels
  • Une mise sur le marché plus rapide grâce à une bonne planification

Notre expérience auprès d'entreprises du secteur des dispositifs médicaux à l'échelle mondiale a montré que les organisations qui appliquent la norme CEI 62304 dès les premières étapes de leur processus de développement parviennent à soumettre des dossiers conformes dès le premier essai et réduisent le délai de mise sur le marché de 4 à 6 mois en moyenne.

Comprendre les classifications de sécurité des logiciels selon la norme CEI 62304

La mise en conformité avec la norme CEI 62304 commence par une classification correcte des risques liés à la sécurité de votre logiciel. Si vous vous trompez sur ce point, vous risquez soit de surcharger votre documentation, soit de passer à côté d'exigences de sécurité essentielles.

IEC 62304 Classe A : aucun risque de blessure

  • Aucune contribution à des situations dangereuses
  • Exigences minimales en matière de documentation
  • Aucune vérification de l'unité n'est requise
  • Exemple : logiciel de gestion pour la prise de rendez-vous

IEC 62304 Classe B : risque de blessures légères

  • Peut contribuer à créer des situations dangereuses pouvant entraîner des blessures légères
  • Exigences modérées en matière de documentation et de tests
  • Vérification de l'unité requise
  • Exemple : logiciel qui surveille les signes vitaux mais dispose de systèmes de secours

IEC 62304 Classe C : risque de décès ou de blessures graves

  • Peut contribuer à créer des situations dangereuses pouvant entraîner la mort ou des blessures graves
  • Un niveau maximal de documentation et de vérification est requis
  • La documentation technique détaillée est obligatoire
  • Exemple : logiciels contrôlant l'administration d'insuline ou les systèmes de maintien des fonctions vitales

La classification des risques ne se limite pas à l'usage prévu de votre logiciel : elle concerne également les conséquences d'une défaillance de celui-ci. Une simple application permettant de calculer des posologies pourrait être classée en catégorie C si des calculs erronés pouvaient entraîner des préjudices graves.

Les 5 processus essentiels de la norme CEI 62304 que vous devez mettre en œuvre :

La norme CEI 62304 définit des exigences réparties en cinq processus fondamentaux (clauses 5 à 9) et fournit un guide de mise en œuvre étape par étape.

Processus 1 : Planification du développement logiciel (clause 5.1)

Que devez-vous faire ?

Processus 2 : Analyse des exigences logicielles (clause 5.2)

Que devez-vous faire ?

Conseil de pro : les éléments qui ne peuvent pas être testés ne constituent pas des exigences, mais des souhaits. Chaque exigence doit s'accompagner d'une méthode de vérification correspondante.

Processus 3 : Architecture et conception logicielles (paragraphes 5.3-5.4)

Principaux résultats attendus :

  • Conception de l'architecture logicielle
  • Une conception minutieuse pour les logiciels de classe C
  • Spécifications d'interface
  • Stratégie de ségrégation pour la maîtrise des risques

Une mise au point sur l'architecture : êtes-vous capable d'expliquer votre architecture logicielle à un organisme de réglementation en 10 minutes ? Si ce n'est pas le cas, c'est qu'elle est trop complexe ou mal documentée.

Étape 4 : Mise en œuvre et essais (paragraphes 5.5 à 5.7)

Niveaux de contrôle requis :

  • Tests unitaires (classes B et C)
  • Tests d'intégration (classes B et C)
  • Tests du système (toutes les classes)
  • Tests de réception

La vérité sur les tests : multiplier les tests ne signifie pas pour autant améliorer leur qualité. Il convient de privilégier les tests basés sur les risques qui permettent de valider vos exigences de sécurité.

Processus 5 : Intégration de la gestion des risques (clause 7)

C'est là que de nombreuses entreprises commettent des erreurs. La gestion des risques selon la norme CEI 62304 n'est pas une activité distincte : elle est intégrée à l'ensemble de votre processus de développement.

Exigences en matière de gestion des risques liés aux logiciels :

  • Découvrez comment les logiciels peuvent aggraver les situations dangereuses
  • Définir des mesures de maîtrise des risques pour chaque cause potentielle
  • Vérifier l'efficacité des mesures de maîtrise des risques
  • Assurer la traçabilité depuis les dangers jusqu'aux mesures de contrôle

Comprendre les logiciels d'origine inconnue (SOUP) dans la norme CEI 62304

Tout système logiciel destiné aux dispositifs médicaux utilise des composants tiers : systèmes d'exploitation, bases de données, bibliothèques et services cloud. La norme CEI 62304 désigne ces composants sous le terme de « logiciels de provenance inconnue » (SOUP), et leur bon fonctionnement est essentiel pour la conformité (par exemple, Windows, Linux, Android, MySQL, les piles TCP/IP, AWS, Azure, APIs Google Cloud, la cryptographie, le traitement d'images).

Exigences en matière d'identification SOUP :

  • Nom du document, version et fabricant de chaque élément SOUP
  • Examiner les risques potentiels pour les patients, les opérateurs et les tiers
  • Examiner les listes d'anomalies publiées, comme les bogues
  • Vérifier pourquoi chaque élément SOUP est adapté à l'usage auquel il est destiné

Stratégie de gestion des risques SOUP :

  • Couvrir les défaillances de SOUP afin d'éviter des répercussions à l'échelle du système
  • Mettre en place des mécanismes de surveillance et des contrôles de santé
  • Fournir une fonctionnalité de sauvegarde pour SOUP
  • Vérifiez le comportement de SOUP dans votre cas d'utilisation spécifique

IEC 62304 et ISO 14971 : harmoniser la gestion des risques

La norme CEI 62304 ne remplace pas la gestion des risques prévue par la norme ISO 14971 ; elle la complète en tenant compte des risques spécifiques aux logiciels.

Approche d'intégration :

Commencez par la norme ISO 14971 et réalisez une analyse des risques au niveau du système

  1. Identifier les causes liées au logiciel pour chaque situation dangereuse, déterminer si le logiciel pourrait être une cause contributive
  2. Appliquer la norme CEI 62304 en documentant les mesures de maîtrise des risques spécifiques aux logiciels
  3. Vérifiez l'efficacité de vos contrôles logiciels en testant leur bon fonctionnement

La norme ISO 14971 examine la probabilité d'un préjudice ; la norme CEI 62304 part d'une probabilité de défaillance de 100 % et se concentre sur les conséquences.

Les pièges courants de la norme CEI 62304 et comment les éviter

Piège n° 1 : classification erronée de la classe de sécurité d'un logiciel

Piège n° 2 : une gestion insuffisante du SOUP

  • Erreur : considérer les logiciels tiers comme « le problème de quelqu'un d'autre »
  • Conséquence : risques non maîtrisés et manquements à la conformité
  • Solution : Tenir à jour un inventaire complet du SOUP accompagné d'évaluations des risques

Piège n° 3 : Mauvaise intégration au système de gestion de la qualité

  • Erreur : considérer la norme CEI 62304 comme une norme isolée
  • Conséquence : processus disjoints et constatations d'audit
  • Solution : Intégrez les exigences de la norme CEI 62304 dans votre ISO 13485

Piège n° 4 : un contrôle des changements insuffisant

  • Erreur : processus informels de maintenance logicielle
  • Conséquence : des changements incontrôlés qui entraînent de nouveaux risques
  • Solution : mettre en place des processus rigoureux de gestion de la configuration et de résolution des problèmes

Piège n° 5 : surcharge documentaire

  • Erreur : créer une documentation que personne n'utilise
  • Conséquence : échecs d'audit et retards dans les projets
  • Solution : privilégier une documentation pertinente qui facilite la prise de décision

Votre liste de contrôle pour la conformité à la norme CEI 62304

  • Classification de sécurité du logiciel attribuée et documentée
  • Système de gestion de la qualité mis en place (ISO 13485 )
  • Processus de gestion des risques définis (conformes à la norme ISO 14971)
  • Rôles et responsabilités attribués
  • Élaboration et mise à jour du plan de développement
  • Spécifications logicielles documentées et traçables
  • Architecture conçue et révisée
  • Conception détaillée achevée (classe C)
  • Vérification de l'unité effectuée (classe B/C)
  • Tests d'intégration terminés (classes B/C)
  • Tests du système effectués (toutes les classes)
  • Logiciel fourni avec une documentation complète
  • Plan de maintenance documenté
  • Mise en place de procédures de résolution des problèmes
  • Définition du processus d'évaluation de l'impact des changements
  • Mise en œuvre du plan de surveillance post-commercialisation
  • Éléments de configuration identifiés
  • Système de contrôle de version mis en place
  • Mise en place de procédures de contrôle des modifications
  • Audits de configuration prévus
  • Analyse des risques liés aux logiciels terminée
  • Mesures de contrôle des risques mises en œuvre
  • Vérification des contrôles des risques mis en place
  • Matrice de traçabilité mise à jour

Bonnes pratiques pour le maintien de la conformité à la norme CEI 62304

  1. Commencez à mettre en œuvre les exigences de la norme CEI 62304 dès la phase de planification du projet, et non à la fin du développement. Les efforts de mise en conformité entrepris à un stade avancé sont coûteux et souvent insuffisants.
  2. Utilisez des outils pour la gestion de la configuration, les tests et la génération de documentation. Les processus manuels ne sont pas évolutifs et sont source d'erreurs.
  3. La conformité à la norme CEI 62304 ne concerne pas uniquement les ingénieurs qualité. Les développeurs, les testeurs et les chefs de projet doivent tous comprendre leur rôle.
  4. Le développement d'un logiciel ne s'arrête pas à sa mise sur le marché. Prévoyez dès le départ une maintenance continue, des mises à jour et des correctifs de cybersécurité.
  5. Réaliser des audits internes afin d'identifier les lacunes avant les évaluations externes. Mieux vaut prévenir que guérir.

Comment Freyr peut vous aider à accélérer votre mise en conformité avec la norme CEI 62304

Freyr accélère son entrée sur le marché des dispositifs médicaux.

Avec plus de 2 200 experts en réglementation et plus de 1 500 autorisations de mise sur le marché à notre actif, nous affichons un taux de réussite de 99 % dès le premier dépôt.

En ce qui concerne plus particulièrement la norme CEI 62304, Freyr propose des services complets de mise en conformité. Notre méthodologie éprouvée couvre l'analyse des écarts, la documentation et la gestion du cycle de vie afin de rationaliser le processus de mise en conformité et d'accélérer la mise sur le marché de votre dispositif. Découvrez nos services liés à la norme CEI 62304 ici ou reach à l'adresse sales@freyrsolutions.com.

S'abonner au blog Freyr