Medizinische Software im europäischen Rechtsraum

Sie erinnern sich an die europäischen Richtlinien für Medizinprodukte vom letzten Blogeintrag? Auch wenn viel Energie investiert wird, um solche Richtlinien zu veröffentlichen, kann es passieren, dass diese aufgrund neuer Erkenntnisse geändert werden müssen. Genau dies ist mit den Richtlinien für allgemeine Medizinprodukte (93/42 EWG) und für aktive, implantierbare Medizinprodukte (90/385 EWG) im Jahr 2007 geschehen. Hier wurde beispielsweise anerkannt, dass Software auch alleinstehend ein Medizinprodukt darstellen kann (Stand-Alone Software, Mobile Health Applikationen) oder Software gemäß dem Stand der Technik validiert werden muss. Die jüngste der drei Richtlinien, die Richtlinie für In-Vitro-Diagnostika, berücksichtigt die Besonderheiten medizinischer Software bereits seit ihrer Veröffentlichung im Jahr 1998.

Eine wesentliche Änderung betraf die grundlegenden Anforderungen, also all jene Anforderungen, welche Ihr Medizinprodukt unbedingt erfüllen muss und welche im Anhang I der jeweiligen Richtlinie zu finden sind. Seit 2007 ist dort folgendes festgehalten:

  Bei Produkten, die Software enthalten oder bei denen es sich um medizinische Software an sich  
  handelt, muss die Software entsprechend dem Stand der Technik validiert werden, wobei die Grundsätze des
  Software-Lebenszyklus, des Risikomanagements, der Validierung und Verifizierung zu berücksichtigen sind.   

Wie stellt man nun als Hersteller die Konformität mit diesen Anforderungen sicher? Die Antwort kennen Sie bereits vom letzten Blogeintrag: durch die Zuhilfenahme harmonisierter Normen.

Die Erfüllung der ersten Anforderung nach einem Software-Lebenszyklus wird beispielsweise in DER harmonisierten Norm für medizinische Software, der IEC EN 62304:2006 detailliert beschrieben. Je nach Risikopotential der Software müssen hier Prozesse, Aktivitäten und Aufgaben durchgeführt und dokumentiert werden.

Jedes Medizinprodukt birgt Risiken für Anwender, Patienten und Dritte. Verständlicherweise wird demnach dem Risikomanagementprozess als Prozess für die Identifikation, Bewertung und Kontrolle dieser Risiken auch bei Software-Systemen eine hohe Bedeutung zugemessen. Das Risikomanagement für Medizinprodukte ganz allgemein wird in der EN ISO 14971:2012 definiert. Zusätzlich finden sich in der EN 62304 noch spezielle Anforderungen für das Software-Risikomanagement.

Ziel der Validierung ist, in einfachen Worten, die Sicherstellung, dass Ihr Medizinprodukt für die zugedachte medizinische Indikation und die damit verbundene Nutzungsumgebung geeignet ist. Dies kann beispielsweise durch Usability Tests unter Einbeziehung der Anwender (ohne Patientenkontakt) oder durch Messungen an künstlichen Phantomen geschehen. Anforderungen für die Validierung zu finden ist zur Zeit noch etwas schwierig, da dies in der Norm EN 62304 nicht erwähnt ist. Diese Tätigkeiten werden bei eingebetteten Software-Systemen in der EN 60601-1 'Medizinische elektrische Geräte“ bzw. der EN ISO 13485:2012 “Medizinprodukte – Qualitätsmanagementsysteme” geregelt. Bei Stand-Alone-Softwaresystemen kann die Validierung an diese Anforderungen angelehnt werden.

Der letzte Punkt der Verifizierung überprüft den Output gegen den geforderten Input der jeweiligen Entwicklungsphase, beispielsweise Teile des Source-Codes gegen die Anforderungsspezifikation. Die Phase der Verifikation des Source-Codes erfolgt auf drei Ebenen, wobei jede davon geplant und dokumentiert werden muss. Die unterste Stufe bilden meist automatisiert durchgeführte Tests der einzelnen Software-Einheiten, beispielsweise einzelne Funktionen oder Methoden. Die nächsten Abstraktionsebenen beinhalten die Verifikation von Schnittstellen zwischen den Software-Einheiten und schließlich die Verifikation des Software-Systems an sich. Auch dazu finden sich in der EN 62304 Anforderungen.

Die Unterscheidung von Verifizierung und Validierung führt nach wie vor nicht nur unter Entwicklern zu Verwirrung. Mit den folgenden beiden Fragen lässt sich der Unterschied aber sehr einfach zusammenfassen:

Verification Am I building the thing right?
Validation Am I building the right thing?

Eine weitere Gegenüberstellung findet sich zB unter softwaretestingfundamentals.com (Englisch)


Zusammenfassend sollten Sie nach dem Lesen der ersten beiden Blogartikel nun überblicksmäßig wissen, wo im europäischen Rechtsraum die Anforderungen an Medizinprodukte definiert sind und was die wichtigsten harmonisierten Normen in Zusammenhang mit medizinischer Software sind.

Die nächsten beiden Blogeinträge werden nach dem selben Muster die regulatorischen Rahmenbedingungen des amerikanischen Marktes vorstellen. Aber eines vorweg: die EN 62304 wird unsere ständige normative Begleitung sein. Die praxisnahe Umsetzung dieser Norm ist demnach das bestimmende Thema unserer Beratungstätigkeit und dieses Blogs.