Conformità alla norma IEC 62304: la guida completa allo sviluppo di software per dispositivi medici senza insidie
5 minuti di lettura

Hai dedicato mesi allo sviluppo del software per il tuo dispositivo medico, assumendo i migliori ingegneri e realizzando quello che ritieni essere un prodotto innovativo. Poi arriva la revisione normativa e ti accorgi che la tua documentazione relativa alla norma IEC 62304 è incompleta.

Ti suona familiare?

Non siete i soli: questa situazione si ripete innumerevoli volte nel settore dei dispositivi medici, causando alle aziende mesi di ritardi e migliaia di dollari in costi di rilavorazione. L'errore che commette la maggior parte delle aziende produttrici di dispositivi medici è quello di considerare la conformità alla norma IEC 62304 come un semplice requisito documentale, anziché come un quadro di riferimento completo per la sicurezza.

Il risultato?

Audit falliti, rifiuti da parte delle autorità di regolamentazione e compromissione della sicurezza dei pazienti.

 Questo blog tratterà i seguenti argomenti: Che cos’è la norma IEC 62304? Le classificazioni di sicurezza del software in essa definite e il percorso verso la conformità.

Che cos'è la norma IEC 62304 e perché è importante per il tuo dispositivo?

La norma IEC 62304 è uno standard internazionale relativo ai processi del ciclo di vita del software per dispositivi medici, riconosciuto dallaFDA US FDA da altre agenzie di regolamentazione in tutto il mondo. Questa norma non è solo un altro requisito da spuntare su un elenco: è la vostra guida per lo sviluppo di software per dispositivi medici sicuro ed efficace, in grado di proteggere i pazienti e di arrivare più rapidamente sul mercato.

La norma si applica ogni volta che il software costituisce una componente importante nella produzione di dispositivi medici, indipendentemente dal fatto che il software sia un dispositivo medico a sé stante (Software as a Medical Device o SaMD), sia integrato in un dispositivo (Software in a Medical Device o SiMD) o venga utilizzato nel processo di produzione. Si pensi a tutto, dalle app mobili per la salute ai complessi robot chirurgici. Se il vostro software rientra in questa categoria, è necessaria una certificazione IEC 62304.

Perché è importante la conformità alla norma IEC 62304?

  • Requisiti necessari per FDA e il marchio CE per i dispositivi medici software (SaMD)
  • Approccio sistematico all'identificazione e alla mitigazione dei rischi legati al software
  • Norma armonizzata riconosciuta a livello mondiale
  • Prova documentata dell'adeguata diligenza nello sviluppo del software
  • Un time-to-market più rapido grazie a una pianificazione adeguata

La nostra esperienza di collaborazione con aziende produttrici di dispositivi medici a livello globale ha dimostrato che le organizzazioni che applicano la norma IEC 62304 nelle prime fasi del processo di sviluppo riescono a presentare domande di omologazione corrette al primo tentativo e a ridurre i tempi di immissione sul mercato in media da 4 a 6 mesi.

Comprendere le classificazioni di sicurezza del software secondo la norma IEC 62304

La conformità alla norma IEC 62304 inizia con una corretta classificazione dei rischi per la sicurezza del proprio software. Se si commette un errore in questa fase, si rischia di elaborare una documentazione eccessivamente dettagliata oppure di trascurare requisiti di sicurezza fondamentali.

IEC 62304 Classe A: nessun rischio di lesioni

  • Nessun contributo a situazioni pericolose
  • Requisiti minimi in materia di documentazione
  • Non è richiesta alcuna verifica dell'unità
  • Esempio: software amministrativo per la gestione degli appuntamenti

IEC 62304 Classe B: Possibilità di lesioni non gravi

  • Può contribuire a creare situazioni pericolose che causano lesioni lievi
  • Requisiti moderati in materia di documentazione e collaudo
  • È richiesta la verifica dell'unità
  • Esempio: un software che monitora i parametri vitali ma dispone di sistemi di backup

IEC 62304 Classe C: Possibilità di morte o lesioni gravi

  • Può contribuire a creare situazioni pericolose che possono causare la morte o lesioni gravi
  • È richiesto il massimo livello di documentazione e verifica
  • La documentazione tecnica dettagliata è obbligatoria
  • Esempio: software che controlla la somministrazione di insulina o i sistemi di supporto vitale

La classificazione del rischio non riguarda solo lo scopo del software, ma anche le conseguenze di un suo malfunzionamento. Una semplice app che fornisce calcoli di dosaggio potrebbe rientrare nella Classe C se calcoli errati potessero causare gravi danni.

5 processi fondamentali della norma IEC 62304 che devi implementare:

La norma IEC 62304 definisce i requisiti relativi a cinque processi fondamentali (clausole 5-9) e fornisce una guida dettagliata alla loro attuazione.

Processo 1: Pianificazione dello sviluppo del software (Clausola 5.1)

Cosa devi fare??

Processo 2: Analisi dei requisiti software (Clausola 5.2)

Cosa devi fare??

Consiglio da esperto: le risorse che non possono essere testate non sono requisiti, ma semplici desideri. Ogni requisito deve avere un metodo di verifica corrispondente.

Processo 3: Architettura e progettazione del software (paragrafi 5.3-5.4)

Risultati chiave:

  • Progettazione dell'architettura software
  • Progettazione meticolosa per software di Classe C
  • Specifiche dell'interfaccia
  • Strategia di segregazione per il controllo dei rischi

Una verifica della realtà dell'architettura: riusciresti a spiegare la tua architettura software a un'autorità di regolamentazione in 10 minuti? Se la risposta è no, significa che è troppo complessa o documentata in modo inadeguato.

Fase 4: Implementazione e collaudo (punti 5.5-5.7)

Livelli di prova richiesti:

  • Test unitari (Classi B e C)
  • Test di integrazione (Classe B e C)
  • Test di sistema (tutte le classi)
  • Test di accettazione

Verifica della veridicità: un maggior numero di test non equivale a test migliori. È opportuno privilegiare i test basati sul rischio che convalidino i requisiti di sicurezza.

Processo 5: Integrazione della gestione dei rischi (Clausola 7)

È proprio qui che molte aziende commettono degli errori. La gestione dei rischi secondo la norma IEC 62304 non è un'attività a sé stante, ma è integrata in tutto il processo di sviluppo.

Requisiti relativi alla gestione dei rischi legati al software:

  • Scopri in che modo il software può aggravare le situazioni di pericolo
  • Definire misure di controllo del rischio per ciascuna causa potenziale
  • Verificare l'efficacia delle misure di controllo dei rischi
  • Garantire la tracciabilità dai rischi alle misure di controllo

Orientarsi nel SOUP: software di provenienza sconosciuta nella norma IEC 62304

Ogni sistema software per dispositivi medici utilizza componenti di terze parti: sistemi operativi, database, librerie e servizi cloud. La norma IEC 62304 definisce tali componenti "Software di provenienza sconosciuta" (SOUP) e il loro corretto funzionamento è fondamentale ai fini della conformità (ad esempio, Windows, Linux, Android, MySQL, stack TCP/IP, AWS, Azure, APIs di Google Cloud, crittografia, elaborazione delle immagini).

Requisiti di identificazione SOUP:

  • Nome del documento, versione e produttore di ciascun articolo SOUP
  • Analizzare i potenziali rischi per i pazienti, gli operatori e i terzi
  • Esaminare gli elenchi di anomalie pubblicati, come i bug
  • Verificare perché ogni articolo SOUP è adatto all'uso previsto

Strategia di gestione del rischio SOUP:

  • Prevenire le interruzioni di SOUP per evitare ripercussioni a livello di sistema
  • Implementare meccanismi di controllo e verifiche di integrità
  • Fornire funzionalità di backup per SOUP critico
  • Verifica il comportamento di SOUP nel tuo caso d'uso specifico

IEC 62304 e ISO 14971: integrare la gestione dei rischi

La norma IEC 62304 non sostituisce la gestione dei rischi prevista dalla norma ISO 14971, ma la integra per quanto riguarda i rischi specifici del software.

Approccio all'integrazione:

Iniziare con la norma ISO 14971 ed effettuare un'analisi dei rischi a livello di sistema

  1. Identificare le cause legate al software per ciascuna situazione di pericolo e stabilire se il software possa essere una causa concorrente
  2. Applicare la norma IEC 62304 documentando le misure di controllo dei rischi specifiche per il software
  3. Verifica l'efficacia assicurandoti che i controlli del tuo software funzionino effettivamente

La norma ISO 14971 analizza la probabilità di danno; la norma IEC 62304 ipotizza una probabilità di guasto del 100% e si concentra sulle conseguenze.

Errori comuni nella norma IEC 62304 e come evitarli

Errore n. 1: classificazione errata della classe di sicurezza del software

Insidiosa 2: Gestione inadeguata della SOUP

  • Errore: considerare il software di terze parti come «un problema che riguarda qualcun altro»
  • Conseguenza: rischi non controllati e violazioni della conformità
  • Soluzione: Tenere un inventario completo delle SOUP con relative valutazioni dei rischi

Insidiosa 3: Scarsa integrazione con il sistema di gestione della qualità

  • Errore: considerare la norma IEC 62304 come una norma a sé stante
  • Conseguenza: processi non integrati e risultati degli audit
  • Soluzione: integrare i requisiti della norma IEC 62304 nel proprio ISO 13485

Insidiosa 4: Controllo delle modifiche insufficiente

  • Errore: processi informali di manutenzione del software
  • Conseguenza: modifiche non controllate che comportano nuovi rischi
  • Soluzione: implementare processi efficaci di gestione della configurazione e di risoluzione dei problemi

Insidiosa 5: Sovraccarico di documentazione

  • Errore: creare documentazione che nessuno usa
  • Conseguenza: carenze nelle verifiche e ritardi nei progetti
  • Soluzione: concentrarsi su una documentazione significativa che supporti il processo decisionale

La tua lista di controllo per la conformità alla norma IEC 62304

  • Classificazione di sicurezza del software assegnata e documentata
  • Sistema di gestione della qualità implementato (ISO 13485 )
  • Processi di gestione dei rischi definiti (in conformità con la norma ISO 14971)
  • Ruoli e responsabilità assegnati
  • Piano di sviluppo elaborato e aggiornato
  • Requisiti software documentati e tracciabili
  • Progettazione e revisione architettonica
  • Progetto esecutivo completato (Classe C)
  • Verifica dell'unità effettuata (Classe B/C)
  • Test di integrazione completati (Classe B/C)
  • Test di sistema eseguiti (tutte le classi)
  • Software distribuito con la relativa documentazione
  • Piano di manutenzione documentato
  • Procedure stabilite per la risoluzione dei problemi
  • Definizione del processo di valutazione dell'impatto dei cambiamenti
  • Piano di sorveglianza post-commercializzazione attuato
  • Elementi di configurazione individuati
  • Sistema di controllo delle versioni implementato
  • Procedure di controllo delle modifiche definite
  • Verifiche di configurazione in programma
  • Analisi dei rischi relativi al software completata
  • Misure di controllo dei rischi attuate
  • Verifica dei controlli di rischio effettuati
  • Matrice di tracciabilità aggiornata

Migliori pratiche per garantire la conformità continua alla norma IEC 62304

  1. Iniziate a occuparvi degli aspetti relativi alla norma IEC 62304 già in fase di pianificazione del progetto, non alla fine dello sviluppo. Gli interventi di adeguamento effettuati in una fase avanzata sono costosi e spesso insufficienti.
  2. Utilizza strumenti per la gestione della configurazione, il collaudo e la generazione della documentazione. I processi manuali non sono scalabili e comportano il rischio di errori.
  3. La conformità alla norma IEC 62304 non riguarda solo gli ingegneri della qualità. Anche gli sviluppatori, i collaudatori e i responsabili di progetto devono comprendere i propri ruoli.
  4. Il lavoro sul software non termina con il rilascio. È necessario pianificare fin dal primo giorno la manutenzione continua, gli aggiornamenti e le patch di sicurezza informatica.
  5. Effettuare audit interni per individuare eventuali lacune prima delle valutazioni esterne. Prevenire costa meno che porre rimedio.

Come Freyr può accelerare il tuo percorso verso la conformità alla norma IEC 62304

Freyr accelera l'ingresso nel mercato dei dispositivi medici.

Con oltre 2.200 esperti in materia di regolamentazione e un track record di oltre 1.500 dispositivi approvati, raggiungiamo un tasso di presentazione corretta al primo tentativo pari al 99%.

In particolare per quanto riguarda la norma IEC 62304, Freyr offre servizi completi di conformità. La nostra metodologia collaudata comprende l'analisi delle lacune, la documentazione e la gestione del ciclo di vita, al fine di semplificare il processo di conformità e accelerare l'immissione sul mercato del vostro dispositivo. Scoprite qui i nostri servizi relativi alla norma IEC 62304 oppure reach all'indirizzo sales@freyrsolutions.com.

Iscriviti al blog di Freyr