Conformidade com a norma IEC 62304: O guia completo para o desenvolvimento de software para dispositivos médicos sem armadilhas

Passou meses a desenvolver o software do seu dispositivo médico, a contratar os melhores engenheiros e a criar o que considera ser um produto inovador. Depois, chega a fase de análise regulamentar e percebe que a sua documentação relativa à norma IEC 62304 está incompleta.

Soa-lhe familiar?

Não está sozinho; esta situação repete-se inúmeras vezes em todo o setor dos dispositivos médicos, causando às empresas meses de atrasos e milhares de dólares em retrabalho. O erro que a maioria das empresas de dispositivos médicos comete é tratar a conformidade com a norma IEC 62304 como um mero requisito de documentação, em vez de um quadro de segurança completo.

O resultado?

Auditorias mal sucedidas, rejeições por parte das autoridades reguladoras e segurança dos doentes comprometida.

 Este blogue abordará: O que é a norma IEC 62304? As classificações de segurança de software que define e o caminho para a conformidade.

O que é a norma IEC 62304 e por que é importante para o seu dispositivo?

A norma IEC 62304 é uma norma internacional relativa aos processos do ciclo de vida do software de dispositivos médicos, reconhecida pelaFDA US FDA por outras agências reguladoras em todo o mundo. Esta norma não é apenas mais um requisito de conformidade a cumprir – é o seu roteiro para o desenvolvimento de software de dispositivos médicos seguro e eficaz, que protege os doentes e permite uma comercialização mais rápida.

A norma aplica-se sempre que o software constitui uma componente importante da produção de dispositivos médicos, quer o seu software seja considerado, por si só, um dispositivo médico (Software como Dispositivo Médico ou SaMD), esteja integrado num dispositivo (Software num Dispositivo Médico ou SiMD) ou seja utilizado no processo de fabrico. Pense em tudo, desde aplicações móveis de saúde até robôs cirúrgicos complexos. Se o seu software se enquadra nesta categoria, necessita de uma certificação IEC 62304.

Por que é importante a conformidade com a norma IEC 62304?

• Necessário para FDA e a marcação CE para dispositivos médicos de software (SaMD)
• Abordagem sistemática para identificar e mitigar riscos relacionados com o software
• Norma harmonizada reconhecida a nível mundial
• Prova documentada da devida diligência no desenvolvimento de software
• Lançamento mais rápido no mercado com um planeamento adequado

A nossa experiência de trabalho com empresas de dispositivos médicos a nível mundial demonstrou que as organizações que aplicam a norma IEC 62304 numa fase inicial do seu processo de desenvolvimento conseguem apresentar os seus pedidos de homologação à primeira tentativa e reduzem o tempo de comercialização em média 4 a 6 meses.

Compreender as classificações de segurança de software da norma IEC 62304

A conformidade com a norma IEC 62304 começa pela classificação correta do risco de segurança do seu software. Se cometer um erro nesta fase, acabará por criar uma documentação excessivamente complexa ou por ignorar requisitos de segurança essenciais.

IEC 62304 Classe A: Sem risco de lesões

• Não contribui para situações de risco
• Requisitos mínimos de documentação
• Não é necessária a verificação da unidade
• Exemplo: Software administrativo para agendamento de consultas

IEC 62304 Classe B: Possibilidade de lesões não graves

• Pode contribuir para situações de risco que resultem em ferimentos leves
• Requisitos moderados de documentação e testes
• É necessária a verificação da unidade
• Exemplo: Software que monitoriza os sinais vitais, mas que dispõe de sistemas de reserva

IEC 62304 Classe C: Possibilidade de morte ou lesões graves

• Pode contribuir para situações de perigo que resultem em morte ou ferimentos graves
• É exigido o mais alto nível de documentação e verificação
• A documentação detalhada do projeto é obrigatória
• Exemplo: Software que controla a administração de insulina ou sistemas de suporte de vida

A classificação de risco não se resume apenas à finalidade do seu software – diz respeito ao que acontece quando este falha. Uma aplicação simples que faz cálculos de dosagem poderia ser classificada na Classe C se cálculos incorretos pudessem causar danos graves.

5 processos essenciais da norma IEC 62304 que deve implementar:

A norma IEC 62304 estabelece requisitos em cinco processos principais (cláusulas 5 a 9), juntamente com um guia de implementação passo a passo.

Processo 1: Planeamento do Desenvolvimento de Software (Cláusula 5.1)

O que é que tens de fazer??

Processo 2: Análise dos requisitos de software (Cláusula 5.2)

O que é que tens de fazer??

Dica profissional: os recursos que não podem ser testados não são requisitos – são apenas desejos. Cada requisito deve ter um método de verificação correspondente.

Processo 3: Arquitetura e Concepção de Software (Cláusulas 5.3-5.4)

Principais resultados esperados:

• Conceção da arquitetura de software
• Concepção meticulosa para software de Classe C
• Especificações da interface
• Estratégia de segregação para o controlo de riscos

Uma reflexão sobre a arquitetura: Consegue explicar a sua arquitetura de software a um regulador em 10 minutos? Se não, significa que é demasiado complexa ou mal documentada.

Processo 4: Implementação e testes (cláusulas 5.5-5.7)

Níveis de teste exigidos:

• Testes unitários (Classes B e C)
• Testes de integração (Classes B e C)
• Testes do sistema (todas as turmas)
• Testes de aceitação

A verdade sobre os testes: mais testes não significa melhores testes. Deve dar-se ênfase aos testes baseados no risco que validam os seus requisitos de segurança.

Processo 5: Integração da gestão de riscos (Cláusula 7)

É aqui que muitas empresas cometem erros. A gestão de riscos segundo a norma IEC 62304 não é uma atividade isolada – está integrada em todo o processo de desenvolvimento.

Requisitos de gestão de riscos de software:

• Descubra como o software agrava as situações de perigo
• Definir medidas de controlo de riscos para cada causa potencial
• Confirmar a eficácia das medidas de controlo de riscos
• Manter a rastreabilidade desde os riscos até às medidas de controlo

Navegando pelo SOUP: Software de Proveniência Desconhecida na norma IEC 62304

Todos os sistemas de software para dispositivos médicos utilizam componentes de terceiros – sistemas operativos, bases de dados, bibliotecas e serviços na nuvem. A norma IEC 62304 denomina-os «Software de Proveniência Desconhecida» (SOUP), e a sua utilização adequada é fundamental para a conformidade (por exemplo, Windows, Linux, Android, MySQL, pilhas TCP/IP, AWS, Azure, APIs do Google Cloud, criptografia, processamento de imagens).

Requisitos de identificação do SOUP:

• Nome do documento, versão e fabricante de cada item SOUP
• Analise os riscos potenciais para os doentes, os operadores e terceiros
• Analisar listas de anomalias publicadas, como erros
• Justificar por que razão cada item SOUP é adequado para a utilização a que se destina

Estratégia de gestão de risco SOUP:

• Abordar as falhas do SOUP para evitar impactos em todo o sistema
• Implementar mecanismos de vigilância e verificações de integridade
• Fornecer funcionalidades de backup para o SOUP crítico
• Valide o comportamento do SOUP no seu caso de utilização específico

IEC 62304 e ISO 14971: Integrar a gestão de riscos

A norma IEC 62304 não substitui a gestão de riscos da norma ISO 14971 – antes, alarga-a aos riscos específicos do software.

Abordagem de integração:

Comece pela norma ISO 14971 e realize uma análise de riscos ao nível do sistema

1. Identificar as causas relacionadas com o software para cada situação de risco e determinar se o software pode ser uma causa contribuinte
2. Aplicar a norma IEC 62304 através da documentação de medidas de controlo de riscos específicas do software
3. Verifique a eficácia, testando se os controlos do seu software funcionam efetivamente

A norma ISO 14971 analisa a probabilidade de danos; a norma IEC 62304 parte do princípio de uma probabilidade de falha de 100 % e centra-se nas consequências.

Armadilhas comuns da norma IEC 62304 e como evitá-las

Armadilha 1: Classificação incorreta da classe de segurança do software

Armadilha 2: Gestão inadequada do SOUP

• Erro: Considerar o software de terceiros como «um problema alheio»
• Consequência: riscos não controlados e incumprimentos normativos
• Solução: Manter um inventário SOUP completo com avaliações de risco

Armadilha 3: Má integração com o Sistema de Gestão da Qualidade

• Erro: Considerar a norma IEC 62304 como uma norma isolada
• Consequência: Processos desarticulados e conclusões da auditoria
• Solução: Integrar os requisitos da norma IEC 62304 no seu ISO 13485

Armadilha 4: Controlo insuficiente das alterações

• Erro: Processos informais de manutenção de software
• Consequência: alterações não controladas que introduzem novos riscos
• Solução: Implementar processos robustos de gestão de configurações e resolução de problemas

Armadilha 5: Excesso de documentação

• Erro: Criar documentação que ninguém utiliza
• Consequência: falhas nas auditorias e atrasos nos projetos
• Solução: Concentrar-se numa documentação relevante que apoie a tomada de decisões

A sua lista de verificação de conformidade com a norma IEC 62304

• Classificação de segurança do software atribuída e documentada
• Sistema de gestão da qualidade implementado (ISO 13485 )
• Processos de gestão de riscos definidos (em conformidade com a norma ISO 14971)
• Funções e responsabilidades atribuídas
• Plano de desenvolvimento elaborado e atualizado
• Requisitos de software documentados e rastreáveis
• Arquitetura concebida e revista
• Concepção detalhada concluída (Classe C)
• Verificação da unidade realizada (Classe B/C)
• Testes de integração concluídos (Classe B/C)
• Foram realizados testes do sistema (todas as classes)
• Software lançado com documentação adequada
• Plano de manutenção documentado
• Procedimentos de resolução de problemas estabelecidos
• Processo de avaliação do impacto das alterações definido
• Plano de vigilância pós-comercialização implementado
• Itens de configuração identificados
• Sistema de controlo de versões implementado
• Procedimentos de controlo de alterações estabelecidos
• Auditorias de configuração agendadas
• Análise de riscos de software concluída
• Medidas de controlo de riscos implementadas
• Verificação dos controlos de risco realizados
• Matriz de rastreabilidade atualizada

Melhores práticas para a conformidade contínua com a norma IEC 62304

1. Inicie os procedimentos da norma IEC 62304 durante o planeamento do projeto, e não no final do desenvolvimento. Os esforços de conformidade realizados numa fase tardia são dispendiosos e, muitas vezes, insuficientes.
2. Utilize ferramentas para a gestão da configuração, testes e geração de documentação. Os processos manuais não são escaláveis e dão origem a erros.
3. A conformidade com a norma IEC 62304 não se limita aos engenheiros de qualidade. Os programadores, os testadores e os gestores de projeto precisam todos de compreender as suas funções.
4. O software não termina com o lançamento. Planeie a manutenção contínua, as atualizações e as correções de cibersegurança desde o primeiro dia.
5. Realizar auditorias internas para identificar lacunas antes das avaliações externas. É mais barato prevenir do que remediar.

Como a Freyr pode acelerar o seu processo de conformidade com a norma IEC 62304

A Freyr acelera a entrada no mercado de dispositivos médicos.

Com mais de 2 200 especialistas em regulamentação e um historial de mais de 1 500 aprovações de dispositivos, alcançamos uma taxa de submissão com aprovação à primeira tentativa de 99%.

Especificamente para a norma IEC 62304, a Freyr oferece serviços completos de conformidade. A nossa metodologia comprovada abrange a análise de lacunas, a documentação e a gestão do ciclo de vida, com o objetivo de simplificar o processo de conformidade e acelerar a entrada do seu dispositivo no mercado. Explore aqui os nossos serviços relativos à norma IEC 62304 ou reach através do endereço sales@freyrsolutions.com.