Normes logicielles CEI : qu'est-ce que la norme CEI 62304 et son utilisation dans la conformité des dispositifs médicaux ?

La norme CEI 62304 est une norme de sécurité fonctionnelle pour les dispositifs médicaux et son respect est essentiel pour les développeurs de logiciels. Qu'il s'agisse d'un médecin, d'un spécialiste ou d'une infirmière, les prestataires de soins de santé dépendent des dispositifs médicaux pour soigner leurs patients. Ces systèmes critiques pour la sécurité doivent être sécurisés et fiables pour garantir que tout a été fait pour éviter toute panne catastrophique susceptible de provoquer la mort ou de graves conséquences industrielles. Pour évaluer le risque, la Food and Drug Administration (FDA) des États-Unis a créé un système de classification pour faciliter le développement de ces systèmes critiques pour la sécurité.

Dispositifs médicaux peuvent être classés en trois catégories.

• Classe I. Dispositifs à faible risque non destinés à soutenir ou à maintenir la vie. Cela peut inclure des articles comme un bandage, une béquille ou un fauteuil roulant non électrique.
• Classe II. Les dispositifs à risque intermédiaire entrent en contact prolongé avec un patient et le praticien doit être formé à leur utilisation. Ces dispositifs peuvent inclure des cathéters, des brassards de tensiomètre ou des pompes à perfusion intraveineuse.
• Classe III. Dispositifs à haut risque conçus pour maintenir ou soutenir la vie. Les appareils de classe III sont des outils qui sauvent des vies comme les défibrillateurs, les stimulateurs cardiaques ou les ventilateurs à haute fréquence.

De toutes les classifications, les appareils de classe III ne représentent que 10 pour cent de tous les appareils réglementés par la FDA. C'est à cause du risque encouru. Lorsque les prestataires de soins de santé dépendent d'un dispositif médical spécialisé pour sauver des vies, il doit à chaque fois répondre aux attentes. Pour ce faire, vous devez vous conformer aux réglementations de conformité dès le départ, et c'est pour cela que la norme CEI 62304 a été conçue.

Qu'est-ce que la CEI 62304?

Créé par l'Organisation internationale de normalisation (ISO), IEC 62304 est la norme qui spécifie le processus et les objectifs nécessaires pour développer en toute sécurité un logiciel de dispositif médical. Ces directives touchent chaque phase du cycle de vie du développement logiciel (SDLC), couvrant tout, de la planification initiale et l'analyse des besoins, jusqu'au test du système logiciel et au déploiement de l'appareil.

Bien que la norme CEI 62304 regorge d'une documentation très détaillée qui vous indique ce qu'il faut faire pour créer un logiciel conforme, la mise en garde est qu'elle ne vous indique pas vraiment comment procéder. Ces lignes directrices ont été intentionnellement créées de cette manière pour tenir compte des changements évolutifs dans les pratiques de développement ou de l'introduction de nouvelles technologies. Ainsi, il ne fournit pas vraiment le « comment » pour s'adapter à la flexibilité et à l'expansion.

Portée et objectif des normes logicielles CEI

Le champ d'application de la CEI 62304 couvre l'ensemble du cycle de vie du développement logiciel des dispositifs médicaux, englobant des processus tels que la gestion des risques, la conception de logiciels, la vérification, la validation, la maintenance, la documentation et les logiciels existants, avec pour objectif principal d'assurer la sécurité et l'efficacité des dispositifs médicaux. logiciel de l’appareil tout au long de son cycle de vie. Vous trouverez ci-dessous les domaines principaux couverts par la CEI 62304.

1. Logiciel de dispositif médical. La CEI 62304 s'applique aux logiciels qui font partie intégrante d'un dispositif médical ou sont destinés au développement de logiciels de dispositifs médicaux. Cela peut inclure des logiciels utilisés pour le contrôle, la surveillance, le traitement des données et la gestion des patients des dispositifs médicaux.
2. Cycle de vie du logiciel. La norme couvre l'ensemble du cycle de vie du développement logiciel, depuis le concept initial jusqu'à la fin du support logiciel. Cela englobe des processus tels que la gestion des exigences, le développement de logiciels, la maintenance et la gestion de l'obsolescence.
3. Gestion des risques. La CEI 62304 intègre une approche basée sur les risques pour guider le développement de logiciels destinés à être utilisés dans le secteur de la santé. Il exige l'identification, l'évaluation et l'atténuation des risques associés au logiciel afin de garantir la sécurité des patients et l'efficacité du dispositif.
4. Maintenance et modifications du logiciel. La norme fournit des lignes directrices pour la gestion de la maintenance et des modifications logicielles, y compris les mises à jour logicielles, les correctifs et les modifications, afin de maintenir la sécurité et les performances du logiciel au fil du temps.
5. Documentation. La norme CEI 62304 exige une documentation approfondie du processus de développement logiciel. Cette documentation sert de preuve de conformité et est cruciale pour les soumissions et les audits réglementaires.
6. Verification ET VALIDATION. La norme décrit les processus de vérification et de validation du logiciel afin de confirmer qu'il fonctionne correctement, que le bon produit a été créé et qu'il est conforme aux exigences réglementaires.
7. Intégration avec le matériel. La norme traite de l'intégration de logiciels avec des composants matériels au sein des dispositifs médicaux, garantissant que le logiciel interagit de manière sûre et efficace avec le matériel de l'appareil.
8. Conformité aux exigences réglementaires. Le respect des normes CEI 62304 est essentiel pour l'approbation réglementaire dans diverses régions, y compris le FDA des États-Unis et l'Union européenne (MDR). La conformité facilite l’accès au marché et réduit les obstacles réglementaires.

L'objectif principal de la norme CEI 62304 est de garantir la sécurité et les performances des logiciels des dispositifs médicaux tout au long de leur cycle de vie. Le but est que les objectifs clés soient résumés sous la légende suivante :

1. Fournir un cadre commun pour les processus du cycle de vie des logiciels de dispositifs médicaux.
2. Établir des exigences pour le développement, la vérification, la validation, la maintenance et la gestion des risques des logiciels de dispositifs médicaux.
3. Pour aider à garantir la sécurité et la fiabilité des logiciels de dispositifs médicaux.

Exigences clés de la CEI 62304

La CEI 62304 décrit plusieurs exigences clés qui sont cruciales pour le développement de logiciels pour dispositifs médicaux. Ces exigences fournissent un cadre pour garantir la sécurité, l’efficacité et la conformité des logiciels des dispositifs médicaux. Ici, nous détaillerons certaines des exigences les plus essentielles.

1. Processus de développement de logiciels

La norme CEI 62304 impose l'établissement d'une approche structurée du développement de logiciels, comprenant une documentation claire des processus, des activités et des tâches. Cette exigence garantit que les logiciels médicaux sont développés de manière systématique, en mettant l’accent sur la sécurité et l’efficacité des patients. En vertu de cette exigence, chaque phase du processus de développement logiciel, depuis la spécification des exigences jusqu'à la conception, le codage, les tests et la maintenance, doit être bien documentée et méticuleusement respectée.

2. Gestion des risques

La gestion des risques est une exigence centrale de la norme CEI 62304. Les logiciels de dispositifs médicaux doivent faire l'objet d'une analyse complète des dangers et d'une évaluation des risques. Cela signifie que les fabricants doivent identifier et évaluer les dangers et les risques potentiels associés à l'utilisation du logiciel, y compris les risques liés à la sécurité des patients, aux pannes logicielles et aux performances inadéquates. Ces risques sont ensuite triés grâce à des mesures de conception, de test et de contrôle appropriées pour garantir que le logiciel fonctionne de manière sûre et efficace.

3. Maintenance du logiciel

La norme définit également des exigences spécifiques en matière de maintenance logicielle, car la maintenance du logiciel dans un dispositif médical est tout aussi critique que son développement initial. Les fabricants doivent établir des processus pour surveiller, maintenir et résoudre les problèmes liés aux mises à jour et aux correctifs logiciels.

4. Vérification et validation

La norme CEI 62304 exige des processus de vérification et de validation rigoureux. Ils vont de pair.
La vérification se concentre sur le processus consistant à garantir que le logiciel a été construit conformément à sa conception et à ses exigences. Il s'agit de confirmer que le logiciel a été développé conformément au mandat des normes CEI 62304. Ainsi, cela vérifie si le processus de développement logiciel a suivi des examens de code, des inspections et d'autres spécifications de conception et normes de codage systématiques et approfondies. Il s'agit d'une étape essentielle pour prévenir les défauts du code et réduire le potentiel d'erreurs et les risques de sécurité dans le logiciel final.

D'autre part, la validation consiste à évaluer si le logiciel remplit les fonctions prévues de manière efficace et sûre dans l'environnement de soins de santé réel. Cela signifie s’assurer que le logiciel répond aux besoins réels des utilisateurs, notamment des professionnels de santé et des patients. Dans le développement de logiciels de dispositifs médicaux, la validation implique généralement de tester le logiciel dans des conditions qui simulent son utilisation prévue.

Les processus de vérification et de validation peuvent être menés avec des outils de test de logiciels de dispositifs médicaux comme celui de Parasoft. Test C / C ++, Jtest et pointTEST.

5. Documentation et traçabilité

Une documentation détaillée est une exigence fondamentale de la norme. Toutes les phases du processus de développement logiciel doivent être soigneusement documentées. La documentation assure la transparence et la traçabilité et permet aux organismes de réglementation et aux fabricants de comprendre l'historique du logiciel et de confirmer sa conformité. Cela aide également à identifier et à résoudre en temps opportun les problèmes ou les défauts.

6. Étiquetage et instructions

Le logiciel du dispositif médical doit être accompagné d’un étiquetage et d’instructions (manuel) clairs et précis. L'utilisation prévue du logiciel, ses limites et ses procédures d'exploitation appropriées doivent être bien documentées et fournies aux utilisateurs et aux responsables. Cette exigence est essentielle pour garantir que les professionnels de santé et les patients puissent utiliser le logiciel de manière sûre et efficace.

7. Conformité aux exigences réglementaires

La CEI 62304 exige également que les fabricants démontrent leur conformité aux exigences pertinentes pour obtenir l'accès au marché et les approbations réglementaires. Cela garantit que le logiciel respecte des normes strictes de sécurité et de performance et qu'il convient à une utilisation dans le milieu de la santé.

Pourquoi existe-t-il différentes normes ISO pour les dispositifs médicaux?

Il n'existe pas une seule norme ISO qui couvre tous les besoins et types d'exigences pour créer tous les dispositifs médicaux en toute sécurité. Au lieu de cela, ils sont souvent divisés en différentes normes pour couvrir différents aspects ou besoins de l'appareil en cours de développement. Pour certaines normes, des modifications sont ajoutées pour inclure des mises à jour et/ou résoudre des problèmes émergents. Bien qu'il y ait beaucoup de coûts de main-d'œuvre et d'informations à suivre pour satisfaire aux réglementations de conformité, il est effectivement dans le meilleur intérêt des sociétés médicales de fournir des produits sûrs qui contribuent à garantir la sûreté et la sécurité du praticien et du patient.

Par exemple, la norme ISO 9001 n’est pas nécessairement conçue pour le secteur de la santé. Il vise à garantir que les entreprises disposent d’un système de gestion de la qualité (QMS). Avec un système de gestion de la qualité en place, les organisations peuvent garantir la satisfaction des parties prenantes, le respect des exigences réglementaires et statutaires et des décisions fondées sur des preuves prises tout au long du cycle de vie du développement de produits avec qualité et valeur pour les clients.

La norme ISO 9001 contribue à améliorer les processus de contrôle qualité (CQ), à réduire les coûts et à favoriser la croissance. L'ISO 13485, quant à elle, complète l'ISO 9001 en intégrant des exigences supplémentaires en matière de dispositifs médicaux, mais également en évaluant si votre système de gestion de la qualité est approprié et efficace tout en mettant l'accent sur la sécurité et l'efficacité des dispositifs médicaux.

Avec la norme ISO 14001, les fabricants de dispositifs médicaux disposent de lignes directrices pour créer et maintenir un système de gestion environnementale (EMS) afin de réduire les déchets, réduire les impacts environnementaux et garantir la conformité légale. Pour contribuer à d'autres économies liées au développement durable, la norme ISO 50001 contribue à réduire les dépenses d'exploitation en aidant à identifier les moyens d'améliorer l'efficacité énergétique. Disposer des outils et des processus permettant à une entreprise de fonctionner fait partie de la gestion de la qualité de toute organisation, et ces normes sont toutes des pièces du puzzle.

Qu'est-ce que l'ISO 14971 et le processus de risque qui y est défini?

Conçue spécifiquement pour effectuer la gestion des risques liés aux dispositifs médicaux, la norme ISO 14971 aide les fabricants et les développeurs de logiciels à identifier tous les dangers associés à un dispositif médical et à être en mesure de contrôler ces risques. Les processus de la norme ISO 14971 visent à atténuer les risques, tels que ceux associés à la biocompatibilité, à la sécurité des données et des systèmes, à l'électricité, aux rayonnements et à l'accessibilité.

Pour gérer ces types de menaces, une organisation doit identifier, évaluer, analyser et évaluer les problèmes de sécurité potentiels tout au long du cycle de vie du produit. Avec la norme ISO 14971, vous disposez d'une norme utile pour vous aider à identifier les chances ou la probabilité qu'un problème se produise et la gravité de ce problème, y compris la manière de contrôler les risques et de surveiller l'efficacité des contrôles.

Tendances et développements futurs pour la CEI 62304

Les tendances futures ne sont pas faciles à prévoir, mais à partir de ce qui se passe dans le paysage des dispositifs logiciels médicaux par rapport à d'autres domaines technologiques, voici les tendances et les mises à jour potentielles qui pourraient avoir une incidence sur la norme CEI 62304.

Cybersécurité et protection des données

L'une des tendances les plus significatives ayant un impact sur les logiciels de dispositifs médicaux est l'attention croissante portée à cybersécurité et protection des données. La connectivité croissante des dispositifs médicaux aux réseaux et aux services cloud a introduit de nouvelles vulnérabilités. À son tour, ce besoin a également généré de nouvelles bonnes pratiques pour un cycle de vie logiciel sécurisé. La FDA a récemment reconnu la norme CEI 81001-5 intitulée « Sûreté, efficacité et sécurité des logiciels de santé et des systèmes informatiques de santé – Partie 5-1 : Sécurité – Activités dans le cycle de vie du produit ». La norme fournit une spécification des activités qui doivent être réalisées par l'entreprise de dispositifs médicaux pour les logiciels incorporés dans les dispositifs médicaux dans le cadre d'un cycle de vie de développement.

Intelligence artificielle (IA) et apprentissage automatique

IA et apprentissage automatique sont de plus en plus répandus dans les soins de santé car ils offrent la possibilité d’améliorer les diagnostics et les traitements. La FDA a approuvé plusieurs logiciels d'IA/ML en tant que produits de dispositifs médicaux (SaMD). Cependant, la FDA continue de solliciter des commentaires à mesure qu’elle fait progresser ses critères réglementaires dans ce domaine. Des publications ont été publiées par la FDA, telles que le « Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine Learning (AI/ML) – Base Software as a Medical Device (SaMD) » pour fournir des orientations mais également recueillir des commentaires. D'autres FAQ sur l'IA/ML de la FDA peuvent être trouvées dans le Thèmes spéciaux de science et de recherche.

Interaction Homme-Machine

Malgré l'essor et l'utilisation accrue des technologies émergentes dans les dispositifs médicaux, comme les appareils portables qui capturent et analysent les données à des fins d'étude et de diagnostic, la robotique telle que les prothèses de membres avancées, la réalité virtuelle (VR) pour la pratique pré-chirurgicale et l'éducation/formation, l'examen réglementaire et les orientations font toujours défaut.

L’essor de la conception centrée sur l’utilisateur et la complexité croissante des interfaces logicielles des dispositifs médicaux nécessitent de se concentrer sur les normes d’interaction homme-machine (IHM). Les futures mises à jour de la CEI 62304 pourraient inclure des recommandations plus détaillées pour la conception d'interfaces intuitives et conviviales, en particulier dans les cas où le logiciel interagit directement avec les patients ou les prestataires de soins de santé.

Mettre davantage l'accent sur les normes d'interopérabilité

L’interopérabilité des dispositifs médicaux avec les systèmes de santé et les dossiers de santé électroniques est en hausse. En 2023, la FDA a officiellement reconnu l’ensemble initial de normes suivant que les fabricants pourraient utiliser pour améliorer les soins aux patients en garantissant que les appareils fonctionnent bien ensemble.

• ANSI/AAMI 2700-1 (2019)
• AAMI/ANSI/UL 2800 (2022)
• ISO/IEEE 11073-20601 (2019)
• NEMA PS 3.1-3.20 (2022)

Approches basées sur le risque

La CEI 62304 pourrait évoluer pour intégrer des approches basées sur les risques plus sophistiquées, permettant aux fabricants d'adapter leurs processus de développement de logiciels aux risques spécifiques associés à leurs appareils. Cependant, la CEI 62304 ne peut pas à elle seule traiter ce sujet en détail. La norme complémentaire et internationale ISO 14971 spécifie un processus applicable à toutes les étapes du cycle de vie d'un dispositif médical, permettant à un fabricant d'identifier les dangers associés aux dispositifs médicaux, d'estimer et d'évaluer les risques associés, de contrôler ces risques et de surveiller l'efficacité de les contrôles.

Qu’entend-on par qualité dans l’ingénierie des systèmes et des logiciels ?

Lorsque nous parlons de qualité de fabrication d'un logiciel médical, nous faisons référence à l'absence de défauts et au fait que le produit est fiable et robuste. Lors des tests de logiciels, nous effectuons des tests de robustesse. Une forme de ceci consiste à évaluer ou à tester dans les limites du système et à tester également en dehors des limites du système.

Les tests dans les limites font référence à l'alimentation d'une gamme d'entrées ou de données auxquelles le système s'attendrait. Les tests en dehors des limites consistent à alimenter le système en une série d'entrées qui seraient très improbables, voire jamais reçues. La façon dont l’appareil ou le système gère de tels scénarios contribue à renforcer la robustesse ou la qualité du système. Avec Parasoft, les développeurs et les testeurs dépassent les limites à chaque étape du SDLC avec des solutions de test de qualité logicielle puissantes, complètes et robustes.

Solutions Parasoft pour les tests de conformité CEI 62304

La FDA recommande à toute entreprise de dispositifs médicaux développant des logiciels d'inclure une analyse statique dans leur SDLC pour garantir un logiciel sûr, sécurisé et fiable. En fait, effectuer une analyse statique est la meilleure première ligne de défense pour identifier et corriger les bugs ou les problèmes. Nos clients ont indiqué que si leurs équipes effectuaient une analyse statique pendant la phase de mise en œuvre, ils réduisaient considérablement les coûts d'assurance qualité et de maintenance. Avec Parasoft C/C++test, vous obtenez une solution complète de tests logiciels automatisés qui comprend un large éventail de méthodologies de test pour aider à satisfaire aux exigences de conformité CEI 62304.

Le test C/C++ est certifié TÜV pour une utilisation sur les dispositifs médicaux de classe I, classe II et classe III, et automatise les méthodes de test logiciel définies dans la norme CEI 62304. De plus, notre solution de reporting de tableau de bord centralisé offre aux équipes de développement un moyen simple d'exposer , prévenir et corriger les erreurs de conception. Il regroupe également les résultats des tests, ce qui facilite la conformité aux normes de sécurité, de codage et de sécurité des processus en générant automatiquement les documents nécessaires pour démontrer la conformité.