Cykl życia oprogramowania (SDLC) i punkty kontroli jakości w kontekście SaMD

Branża cyfrowego zdrowia, znana również jako „oprogramowanie jako wyrób medyczny” (SaMD), przeżywa prawdziwy rozkwit, a w tej szybko ewoluującej dziedzinie nieefektywne lub powolne procedury są nie tylko uciążliwe, ale i kosztowne. Opóźnienia te wynikają niekiedy z błędów wykrytych albo w tworzonym oprogramowaniu, albo w jego dokumentacji na konkretnym etapie cyklu życia oprogramowania (SDLC). Najlepsza obrona? Na wczesnych etapach, które są również realizowane w sposób strukturalny i nazywane są bramkami jakości, chodzi o to, aby wykrywać i zapobiegać problemom, zanim przerodzą się one w poważną awarię.

Dlaczego wczesne wykrywanie usterek ma kluczowe znaczenie w SaMD

Błędy oprogramowania, niezależnie od tego, czy wynikają z błędów logicznych, niekompletnych wymagań czy niespójnej dokumentacji, stanowią powszechne ryzyko w każdym procesie tworzenia oprogramowania. Jednak w przypadku SaMD stawka jest wyższa. Każda funkcja, środek kontroli ryzyka i wynik testu muszą być identyfikowalne, uzasadnione i podlegać audytowi przeprowadzanemu przez jednostkę notyfikowaną.

Im na późniejszym etapie SDLC wykryta zostanie SDLC , tym jej usunięcie będzie kosztowniejsze i bardziej czasochłonne. Dane branżowe konsekwentnie wskazują, że usunięcie błędu wykrytego na etapie konserwacji może kosztować od 50 do 100 razy więcej niż w przypadku wykrycia go na etapie gromadzenia wymagań.

W SaMD wady nie dotyczą wyłącznie logiki oprogramowania – obejmują one również:

• Brakująca lub niespójna dokumentacja dotycząca kontroli ryzyka
• Niezdefiniowane lub niejasno sformułowane wymagania dotyczące oprogramowania
• Luki w matrycach identyfikowalności między ryzykiem, wymaganiami i weryfikacją
• Niewłaściwie zaprojektowana architektura oprogramowania i jej wdrożenie

Kwestie te mogą zniweczyć całe zgłoszenia. Co gorsza, jeśli zostaną wykryte podczas oceny przeprowadzanej przez jednostkę notyfikowaną, mogą unieważnić wcześniejsze działania weryfikacyjne, zmuszając producentów do ponownego opracowania znacznej części dokumentacji technicznej, co pociąga za sobą wielomiesięczne opóźnienia i znaczne koszty.

Czym są punkty SDLC i dlaczego są one tak ważne?

Punkty kontroli jakości to formalne etapy wbudowane w SDLC oceny kompletności, spójności i poprawności artefaktów oprogramowania oraz działań przed przejściem do kolejnego etapu.
Warto postrzegać je jako zabezpieczenia zapewniające zgodność z wymaganiami. Gdy są prawidłowo realizowane, zapewniają:

• Zmniejszyć dług techniczny
• Wykrywaj problemy związane z dokumentacją, zanim jeszcze się pojawią i utrudnią realizację zadań, takich jak złożenie wniosku regulacyjnego
• Zkoordynować działania zespołów programistycznych w odniesieniu do kluczowych etapów
• Zapobieganie konieczności ponownej obróbki na dalszych etapach procesu
• Wzmocnić powiązania między wymaganiami, ryzykiem i środkami kontroli a wynikami weryfikacji i walidacji
• Zbuduj zaufanie do swojego produktu i bądź bardziej pewny, że spełni on wymogi regulacyjne

IEC 62304: Podstawa integracji procedur kontroli jakości

Norma IEC 62304, stanowiąca fundament tworzenia oprogramowania dla wyrobów medycznych, obsługuje szereg SDLC , w tym podejścia typu „waterfall”, model V oraz iteracyjne (np. oparte na metodologii Agile). Ta elastyczność pozwala producentom dostosowywać swoje procesy, ale wiąże się z pewną odpowiedzialnością: niezależnie od wybranego modelu wszystkie artefakty projektowe muszą być spójne, identyfikowalne i poddane kontroli.
Kontrole jakości są szczególnie ważne przed przejściem do fazy weryfikacji oprogramowania. Zgodnie z normą IEC 62304 oprogramowanie musi:

• Objęte zarządzaniem konfiguracją (tj. kontrolowaną wersjonowaniem i historią zmian)
• Prawidłowo sklasyfikowane pod względem ryzyka
• Udokumentowane spójnymi, ustalonymi wynikami, w tym analizami ryzyka, danymi wejściowymi do projektu oraz planami weryfikacji

Dzięki temu weryfikacja opiera się na solidnych podstawach, gotowych do kontroli, co minimalizuje ryzyko nieoczekiwanych komplikacji lub odrzucenia wniosku podczas oceny.

IEC 82304: Zapewnienie jakości w zakresie SaMD

Norma IEC 82304 zawiera wyczerpujące wytyczne dotyczące cyklu życia oprogramowania medycznego, obejmujące wszystkie etapy – od planowania, przez projektowanie i tworzenie, aż po działania po wprowadzeniu produktu na rynek. Ponieważ norma IEC 82304 dotyczy oprogramowania medycznego, jej zastosowanie w przypadku SaMD , że proces tworzenia oprogramowania przebiega zgodnie ze ustrukturyzowanymi i znormalizowanymi procedurami, zapewniającymi bezpieczeństwo i wydajność.

Najważniejsze postanowienia normy IEC 82304 obejmują:

• Procesy zarządzania ryzykiem zgodne z normą IEC 62304
• Szczegółowa dokumentacja dotycząca weryfikacji oprogramowania, zapewniająca identyfikowalność i walidację
• Okresowe aktualizacje oprogramowania w celu zapewnienia stałej zgodności z wymogami prawnymi
• Nadzór po wprowadzeniu do obrotu i zgłaszanie incydentów związanych z oprogramowaniem

Norma ta stanowi istotne uzupełnienie systemu kontroli jakości, uwzględniając zarówno kwestie związane z fazą przed wprowadzeniem do obrotu, jak i po wprowadzeniu do obrotu w SaMD .

Etapy, na których punkty kontroli jakości wnoszą wartość

Chociaż stosowanie punktów kontroli jakości na poszczególnych etapach cyklu życia SDLC być skuteczne, największą skuteczność wykazują one przed:

1. Ustalenie ostatecznych wymagań dotyczących oprogramowania
   • Należy zapobiegać sytuacji, w której wymagania są niekompletne, niejednoznaczne lub niemożliwe do przetestowania.
   • Powinna istnieć spójność między profilami wymagań użytkowników, przewidywanymi zastosowaniami systemów oraz różnymi środkami zarządzania ryzykiem.
2. Zakończenie prac architektonicznych i projektowych
    
   • Należy sprawdzić zgodność projektu z przepisami budowlanymi oraz klasyfikacją współczynników bezpieczeństwa.
   • Należy zadbać o to, aby wszystkie zidentyfikowane środki kontroli ryzyka zostały uwzględnione w projekcie.
3. Rozpoczęcie weryfikacji oprogramowania
    
4. Najważniejsza brama.
5. W trakcie procesu uzgadniania należy uwzględnić całą wykorzystaną, sporządzoną i istniejącą dokumentację.
6. Po zakończeniu tego etapu każda wykryta usterka oznacza rozpoczęcie oficjalnego procesu rozwiązywania problemów i zarządzania zmianami, co wiąże się ze znacznym wzrostem nakładu czasu i wysiłku niezbędnego do jej usunięcia.

Najlepsze praktyki dotyczące kontroli jakości przed weryfikacją oprogramowania

Przygotowując się do przeglądu jakościowego, można postępować zgodnie z trzema podstawowymi etapami, które obejmują:
Krok 1: Przegląd podstawowej dokumentacji technicznej
Należy sprawdzić wszystkie elementy dokumentacji technicznej pod kątem kompletności i spójności wewnętrznej.

• Plany rozwoju i integracji
   
  • Analiza ryzyka i środki kontroli
  • Specyfikacje wymagań oprogramowania
  • Dokumentacja architektoniczna i projektowa
  • Metody i protokoły weryfikacji

Wskazówka: Niniejsza ocena została przeprowadzona przy użyciu skróconych list kontrolnych opartych na normach IEC 62304, IEC 82304 oraz ISO/TR 80002-1 w ramach oceny strukturalnej.

Krok 2: Przeprowadź audyt wyjściowego kodu oprogramowania
Upewnij się, że wdrożone oprogramowanie:

• Jest zgodny z zatwierdzonym projektem
   
  • Spełnia wszystkie wymagania dotyczące klasyfikacji bezpieczeństwa oraz uwzględnia wszystkie przewidziane środki kontroli ryzyka
  • Wiąże się to z dalszymi zaplanowanymi działaniami w zakresie integracji i weryfikacji

Wskazówka: Przedstawione tu najlepsze praktyki powinny obejmować stosowanie narzędzi do statycznej analizy kodu oraz wzajemną weryfikację, aby wykrywać niespójności jeszcze przed przystąpieniem do testowania.

Krok 3: Przeprowadź nieformalne uruchomienie testów
Wykorzystaj „symulacyjne” uruchomienia testów weryfikacyjnych, aby sprawdzić:

• Sprawdzenie, czy spełnione zostały wszystkie wymagania dotyczące opracowanego oprogramowania
   
  • Wydajność funkcjonalna i działanie
  • Skuteczność kontroli ryzyka

Takie proaktywne testowanie pozwala uniknąć:

• Niepowodzenia testów spowodowane brakami w scenariuszach testowych
   
  • Poświęciłem sporo czasu na dopracowanie projektu, ale nie dysponuję odpowiednimi wynikami weryfikacji, które odpowiadałyby udokumentowanym środkom kontroli ryzyka.
  • Doraźne i przyszłe zmiany konfiguracji, które wymagają nowych stanów bazowych konfiguracji

Typowe wady wykrywane przez jednostki notyfikowane, których można uniknąć

Niewłaściwe wdrożenie procedur kontroli jakości może skutkować typowymi problemami sygnalizowanymi podczas przeglądów przeprowadzanych przez jednostkę notyfikowaną, takimi jak:

• Wymagania dotyczące oprogramowania, które nie są powiązane z wynikami weryfikacji
• Niesprawdzone lub słabo uzasadnione środki kontroli ryzyka
• Protokoły weryfikacyjne nie uwzględniają skrajnych przypadków ani scenariuszy awarii
• Rozbieżności między rzeczywistym działaniem oprogramowania a informacjami zawartymi w dokumentacji

Kwestie te często wiążą się z koniecznością przeprowadzenia poważnych poprawek, opóźnień w realizacji projektu, a nawet ponownych audytów.

FDA dotyczące SaMD )

FDA FDA opublikowała również serię wytycznych dotyczących SaMD , wyjaśniających wymogi regulacyjne i gwarantujących, że produkty spełniają normy bezpieczeństwa i wydajności niezbędne do uzyskania zatwierdzenia w Stanach Zjednoczonych.

Najważniejsze FDA dotyczące SaMD :

• Oprogramowanie jako wyrób medyczny (SaMD): Ocena kliniczna – dokument określający, w jaki sposób należy przeprowadzać i dokumentować oceny kliniczne.
• Zarządzanie ryzykiem w przypadku oprogramowania medycznego SaMD – FDA znaczenie zarządzania ryzykiem, zgodnie z normami IEC 62304 i ISO 14971.
• FDA dotyczące walidacji oprogramowania – Zawierają one konkretne zalecenia dotyczące walidacji oprogramowania, mające na celu zapewnienie zgodności produktu z kryteriami bezpieczeństwa i wydajności.
• Cyberbezpieczeństwo wyroby medycznewykorzystujących SaMD – FDA rygorystyczne wytyczne dotyczące zapewnienia cyberbezpieczeństwa wyroby medyczne, które są regularnie aktualizowane w celu przeciwdziałania nowym zagrożeniom.

Inwestycja, która się opłaca

Przeglądy jakościowe rzeczywiście wymagają czasu, ale stanowią inwestycję, a nie koszt. Po włączeniu do cyklu rozwoju oprogramowania SDLC) pomagają zespołom:

• Należy dbać o spójność dokumentacji i utrzymywać stałe tempo prac rozwojowych
• Zapobiegaj nieprawidłowościom, które mogą uniemożliwić uzyskanie certyfikatu
• Stwórz kulturę odpowiedzialności międzydziałowej
• Skróć czas wprowadzenia produktu na rynek i unikaj nieoczekiwanych komplikacji

Pominięcie tych przeglądów może w krótkim okresie zaoszczędzić kilka dni, ale w dłuższej perspektywie prawdopodobnie będzie kosztowało tygodnie lub miesiące.

Droga do SaMD jest usiana licznymi wymogami regulacyjnymi. Proaktywne wdrożenie punktów kontroli jakości w SDLC, zwłaszcza przed etapem weryfikacji oprogramowania, zapewnia zespołowi odpowiednią strukturę, przewidywanie i kontrolę, dzięki czemu można osiągnąć sukces już za pierwszym razem. Nie czekaj, aż jednostka notyfikowana wykryje krytyczne wady. Wykrywaj je wcześnie, szybko je naprawiaj i działaj z pewnością siebie.

Właśnie tu wkracza firma Freyr.
Nie tylko identyfikujemy luki, ale budujemy systemy, które je wypełniają. Dzięki dogłębnej wiedzy specjalistycznej w zakresie norm IEC 62304, IEC 82304, ISO 14971, FDA oraz globalnych ram SaMD , Freyr umożliwia Twoim zespołom wdrożenie gotowych do audytu punktów kontroli jakości, które wytrzymają rygorystyczną ocenę i przyspieszyć . Aby dowiedzieć się więcej, skontaktuj się już dziś z SaMD Freyr SaMD .