Cycle de vie du développement logiciel (SDLC) et contrôles de qualité pour SaMD

Le secteur de la santé numérique, ou des logiciels considérés comme des dispositifs médicaux (SaMD), est en plein essor, et dans ce domaine en constante évolution, des procédures inefficaces ou lentes sont non seulement gênantes, mais aussi coûteuses. Ces retards sont parfois dus à des défauts détectés soit dans le logiciel en cours de développement, soit dans la documentation de celui-ci, au cours d’une phase spécifique du cycle de vie du développement logiciel (SDLC). La meilleure défense ? Au cours des premières étapes, qui sont également menées de manière structurée et appelées « quality gates », l'idée est de repérer et d'anticiper les problèmes avant qu'ils ne se transforment en un problème majeur.

Pourquoi la détection précoce des défauts est essentielle dans SaMD

Les défauts logiciels, qu'ils soient dus à des erreurs de logique, à des spécifications incomplètes ou à une documentation incohérente, constituent un risque courant dans tout processus de développement. Mais dans SaMD, les enjeux sont plus importants. Chaque fonctionnalité, chaque mesure de contrôle des risques et chaque résultat de test doit être traçable, justifié et vérifiable par un organisme notifié.

Plus SDLC défaut est détecté à un stade avancé SDLC , plus sa correction s'avère coûteuse et prend du temps. Les données du secteur montrent systématiquement que la correction d'un bug détecté pendant la phase de maintenance peut coûter 50 à 100 fois plus cher que s'il avait été repéré lors de la phase de collecte des exigences.

Dans SaMD , les défauts ne concernent pas uniquement la logique logicielle ; ils englobent également :

• Documentation relative au contrôle des risques manquante ou incohérente
• Des exigences logicielles non définies ou mal définies
• Lacunes dans les matrices de traçabilité entre les risques, les exigences et la vérification
• Incohérence entre l'architecture logicielle et sa mise en œuvre

Ces problèmes peuvent compromettre l'ensemble d'un dossier de demande. Pire encore, s'ils sont détectés lors de l'évaluation par l'organisme notifié, ils peuvent invalider les efforts de vérification antérieurs, obligeant les fabricants à refaire des parties importantes du dossier technique, ce qui entraîne des mois de retard et des coûts considérables.

Que sont SDLC » SDLC et pourquoi sont-ils importants ?

Les « quality gates » sont des points de contrôle formels intégrés à votre SDLC évaluer l'exhaustivité, la cohérence et l'exactitude des artefacts logiciels et des activités avant de passer à la phase suivante.
Il peut être utile de les considérer comme des garde-fous en matière de conformité. Lorsqu'elles sont correctement mises en œuvre, elles :

• Réduire la dette technique
• Identifier les problèmes liés à la documentation avant qu'ils ne surviennent et ne compromettent les livrables, tels que les dossiers réglementaires
• Harmoniser les équipes de développement autour des étapes clés
• Éviter les retouches en aval
• Renforcer les liens entre les exigences, les risques et leurs contrôles, ainsi que les résultats de la vérification et de la validation
• Renforcez la confiance dans votre produit et soyez plus sûr qu'il franchira les obstacles réglementaires

IEC 62304 : le fondement de l'intégration des contrôles qualité

La norme CEI 62304, pierre angulaire du développement de logiciels pour dispositifs médicaux, prend en charge toute une gamme de SDLC , notamment les approches en cascade, le modèle en V et les approches itératives (par exemple, de type Agile). Cette flexibilité permet aux fabricants d'adapter leurs processus, mais elle s'accompagne d'une responsabilité : quel que soit le modèle, tous les artefacts de développement doivent être cohérents, traçables et contrôlés.
Les contrôles de qualité sont particulièrement importants avant d'entrer dans la phase de vérification du logiciel. Selon la norme CEI 62304, le logiciel doit être :

• Intégré à la gestion de configuration (c'est-à-dire avec un contrôle des versions et un historique des modifications)
• Classés correctement en fonction du risque
• Documenté par des livrables cohérents et référencés, notamment des analyses de risques, des données de conception et des plans de vérification

Cela garantit que la vérification repose sur des bases solides et prêtes à être examinées, ce qui réduit au minimum le risque de surprises ou de refus lors de l'évaluation.

IEC 82304 : Assurance qualité des dispositifs médicaux logiciels ( SaMD)

La norme CEI 82304 fournit des recommandations détaillées sur le cycle de vie des logiciels de santé, couvrant toutes les étapes, de la planification à la conception et au développement, jusqu'aux activités post-commercialisation. Comme la norme CEI 82304 est axée sur les logiciels de santé, son application aux SaMD que leur développement suit des approches structurées et normalisées qui assurent la sécurité et la performance.

Les principales dispositions de la norme CEI 82304 sont les suivantes :

• Processus de gestion des risques conformes à la norme CEI 62304
• Documentation détaillée pour la vérification des logiciels, garantissant la traçabilité et la validation
• Mises à jour régulières des logiciels afin de garantir le respect constant des exigences réglementaires
• Surveillance post-commercialisation et notification des incidents liés aux logiciels

Cette norme constitue un complément essentiel au cadre de contrôle qualité, car elle traite à la fois des aspects à prendre en compte avant et après la mise sur le marché dans le cadre SaMD .

Les étapes au cours desquelles les contrôles qualité apportent une valeur ajoutée

Même si le recours à des « quality gates » tout au long du SDLC s'avérer efficace, c'est avant tout :

1. Finalisation des spécifications logicielles
   • Évitez que les exigences soient incomplètes, ambiguës ou impossibles à tester.
   • Il convient d'assurer la cohérence entre les profils des besoins des utilisateurs, les utilisations prévues des systèmes et les différentes mesures de gestion des risques.
2. Achèvement des travaux d'architecture et de design
    
   • Vérifier la conformité architecturale et le respect de la classification des facteurs de sécurité.
   • Veillez à ce que toutes les mesures de contrôle des risques qui ont été identifiées soient intégrées dans la conception.
3. Lancement de la vérification logicielle
    
4. La porte la plus importante.
5. Toute la documentation utilisée, préparée et existante doit être prise en compte lors du processus de rapprochement.
6. Une fois cette étape franchie, tout problème identifié implique le lancement du processus officiel de résolution des problèmes et de gestion du changement, ce qui entraîne une augmentation considérable du temps et des efforts nécessaires pour le résoudre.

Bonnes pratiques pour l'examen de contrôle qualité avant la vérification d'un logiciel

La préparation d'un contrôle de qualité comporte trois étapes essentielles, à savoir :
Étape 1 : Examiner la documentation technique de référence
Vérifier que tous les documents techniques sont complets et cohérents en interne.

• Plans de développement et d'intégration
   
  • Analyses des risques et mesures de contrôle
  • Spécifications techniques du logiciel
  • Documents d'architecture et de conception détaillée
  • Méthodes et protocoles de vérification

Remarque : cette évaluation a été réalisée à l'aide de listes de contrôle abrégées s'appuyant sur les normes CEI 62304, CEI 82304 et ISO/TR 80002-1 pour l'évaluation structurée.

Étape 2 : Audit du code logiciel de référence
Vérifiez que le logiciel mis en œuvre :

• Conforme au projet approuvé
   
  • Conforme à toutes les classifications de sécurité et à l'ensemble des mesures de maîtrise des risques prévues
  • Cela correspond aux activités d'intégration et de vérification prévues

Conseil : les bonnes pratiques présentées ici devraient inclure l'utilisation d'outils d'analyse statique du code et de revues par les pairs afin de détecter les incohérences avant de procéder aux tests proprement dits.

Étape 3 : Réaliser une exécution informelle des tests
Utilisez des exécutions « simulées » des tests de vérification pour vérifier :

• Vérification que toutes les exigences relatives au logiciel développé ont été satisfaites
   
  • Performances fonctionnelles et comportement
  • Efficacité de la gestion des risques

Ces tests préventifs permettent d'éviter :

• Échecs de test dus à des lacunes dans les cas de test
   
  • Nous avons consacré beaucoup de temps à l'affinement, mais nous ne disposons pas de résultats de vérification adéquats correspondant aux mesures de contrôle des risques documentées.
  • Les reconfigurations ponctuelles et éventuelles qui nécessitent de nouvelles références de configuration

Défauts courants détectés par les organismes notifiés et pouvant être évités

Une mauvaise mise en œuvre des contrôles de qualité peut entraîner l'apparition de problèmes courants signalés lors des audits des organismes notifiés, tels que :

• Exigences logicielles non liées aux résultats de la vérification
• Mesures de contrôle des risques non vérifiées ou faiblement justifiées
• Protocoles de vérification ne tenant pas compte de tous les cas limites ou scénarios de défaillance
• Écarts entre le comportement réel du logiciel et les spécifications documentées

Ces problèmes entraînent souvent d'importants travaux de refonte, des retards dans les projets, voire de nouveaux audits.

FDA relatives à SaMD

L' FDA a également publié une série de lignes directrices destinées SaMD , clarifiant les exigences réglementaires et garantissant que les produits répondent aux normes de sécurité et de performance requises pour être homologués aux États-Unis.

FDA principales FDA concernant SaMD :

• Logiciels considérés comme des dispositifs médicaux (SaMD) : Évaluation clinique – Document décrivant la manière dont les évaluations cliniques doivent être menées et documentées.
• Gestion des risques pour SaMD – La FDA l'importance de la gestion des risques, conformément aux normes CEI 62304 et ISO 14971.
• FDA sur la validation des logiciels – Ce document fournit des recommandations spécifiques concernant la validation des logiciels afin de garantir que le produit répond aux critères de sécurité et de performance.
• Cybersécurité des dispositifs médicaux SaMD – La FDA des directives strictes visant à garantir la cybersécurité des dispositifs médicaux, et procède à des mises à jour régulières pour faire face aux nouvelles menaces.

Un investissement rentable

Les contrôles de qualité prennent certes du temps, mais ils constituent un investissement et non une dépense. Lorsqu'ils sont intégrés à votre SDLC, ils aident les équipes à :

• Assurer la cohérence de la documentation et le rythme de développement
• Éviter les non-conformités susceptibles de compromettre la certification
• Instaurer une culture de responsabilité interfonctionnelle
• Accélérez la mise sur le marché tout en limitant les imprévus

Si l'on fait l'impasse sur ces vérifications, on gagnera peut-être quelques jours à court terme, mais cela risque de coûter des semaines, voire des mois, à long terme.

Le parcours menant à SaMD comporte de nombreux contrôles réglementaires. En intégrant de manière proactive des étapes de contrôle qualité dans votre SDLC, en particulier avant la vérification du logiciel, vous offrez à votre équipe la structure, la prévoyance et la maîtrise nécessaires pour réussir du premier coup. N’attendez pas que votre organisme notifié détecte des défauts critiques. Identifiez-les rapidement, corrigez-les sans tarder et avancez en toute confiance.

C'est là que Freyr intervient.
Nous ne nous contentons pas d'identifier les lacunes, nous mettons en place des systèmes qui permettent de les combler. Fort d'une expertise approfondie dans les normes IEC 62304, IEC 82304, ISO 14971, FDA et les cadres SaMD mondiaux SaMD , Freyr donne à vos équipes les moyens d'intégrer des contrôles qualité prêts pour l'audit, capables de résister à un examen minutieux et d'accélérer les processus d'homologation. Pour en savoir plus, contactez dès aujourd'hui un SaMD de Freyr.