Prozesse im Software-Lebenszyklus

Prozesse im Software-Lebenszyklus

Franziska Weiß Franziska Weiß

Franziska Weiß

Keep complexity simple. I Lösungen für Access & Identity Management, Technische Dokumentation, QMS & ISMS

Veröffentlicht: 8. Okt. 2021
+ Folgen

Die IEC 62304 ist ein internationaler Standard, der Mindestanforderungen an die wichtigsten Prozesse des Software-Lebenszyklus stellt. Er gilt sowohl für Hersteller:innen, die ihre Software als eigenständiges Medizinprodukt entwickeln (Standalone Software), als auch für solche, die eine Software lediglich in ihr Medizinprodukt einbetten (Embedded Software).

Die Norm beschreibt dabei in Anlehnung an die DIN EN ISO 14971 auch, welche Rolle das Risikomanagement innerhalb des Prozesses der Softwareentwicklung spielt. Konkret definiert die IEC 62304 Anforderungen für folgende Prozesse des Software-Lebenszyklus:

  • Softwareentwicklung
  • Softwarewartung
  • Risikomanagement für Software
  • Konfigurationsmanagement für Software
  • Problemlösung für Software

Zusätzlich zu den spezifischen Anforderungen für die verschiedenen Prozesse setzt die IEC 62304 den Einsatz eines Qualitätsmanagements-Systems, eines Risikomanagement-Systems und einer Software-Sicherheitsklassifizierung voraus.

Sicherheitsklassifizierung nach IEC 62304

Durch die Sicherheitsklassifizierung können Hersteller:innen von Medizinprodukten den Aufwand für die Dokumentation ihrer Software anpassen. Je höher der mögliche Schaden durch einen Softwarefehler ist, desto mehr Aufwand müssen sie bei der Dokumentation ihrer Software-Entwicklung betreiben.

Die IEC 62304 unterscheidet dabei die Sicherheitsklassen A, B und C, wobei für Sicherheitsklasse C der meiste Aufwand betrieben werden muss. Die Sicherheitsklassen werden folgendermaßen definiert:

Sicherheitsklasse A: Für die Sicherheitsklasse A darf ein Softwarefehler keine Verletzung oder Schädigung der Gesundheit verursachen. Hierbei gibt es jedoch eine Ausnahme: Softwaresysteme fallen ebenfalls in Klasse A, wenn ein Fehler zwar zu einer gesundheitsgefährdenden Situation führen kann, das Risiko aber akzeptabel ist – spätestens, wenn Risikokontrollmaßnahmen eingeleitet werden. Diese Maßnahmen dürfen allerdings nur außerhalb der Software liegen. Sicherheitsklasse B: Durch Softwaresysteme, die in Klasse B fallen, dürfen keine schweren Schäden möglich sein. Das bedeutet konkret, dass ein Softwarefehler zwar zu einem inakzeptablen Risiko führen kann, dieser aber nach den Risikokontrollmaßnahmen keine schweren Schäden nach sich ziehen darf. Sicherheitsklasse C: Bei Softwaresystemen, die in Klasse C eingestuft werden, kann ein Softwarefehler zu schweren Verletzung oder gar zum Tod führen.

Bei einem Softwaresystem kann die Sicherheitsklasse der einzelnen Komponenten durchaus unterschiedlich eingeschätzt werden. Da je nach Sicherheitsklasse unterschiedlich viele der oben genannten Anforderungen erfüllt werden müssen, ist es äußerst sinnvoll, Funktionen mit einer hohen und Funktionen mit einer niedrigen Sicherheitsklasse in unterschiedliche Komponenten zu integrieren.

Empfohlen von LinkedIn

Effizientes Dokumentenmanagement gemäss ISO 9001:…
Dr. Bernhard Bühlmann💡 Vor 2 Monaten
Webinar 3.5.: Konformität für Mil-/Aero-Anwendungen
Beate Lorenzoni Vor 6 Jahren
Entspricht dieser Identity- und…
Heini Schmid Vor 8 Jahren

Dabei muss natürlich sichergestellt werden, dass sich die Risiken auch tatsächlich nur auf die entsprechenden Komponenten beschränken.

Risikomanagement nach ISO 62304

Die Norm fordert grundsätzlich die Risikoanalyse in den gesamten Entwicklungsprozess zu integrieren. Ob alle normativen Vorgaben eingehalten wurden, kann dabei durch das Besichtigen der gesamten Dokumentation festgestellt werden. Dazu gehört auch die Risikomanagement-Akte.

  • Analyse der Gefährdungssituation
  • Risiko-Kontrollmaßnahmen
  • Verifizierung von Risiko-Kontrollmaßnahmen
  • Risikomanagement von Änderungen in der Software

Für den Nachweis einer zur IEC 62304 konformen Entwicklung der Medizinprodukte-Software können Traceability Matrizen herangezogen werden. Diese stellen sicher, dass Kund:innenanforderungen zum einen im Rahmen geeigneter Validierungsvorgänge geprüft, zum anderen Eingang in die Software gefunden haben und dort gegen die Anforderungen verifiziert wurden – Eine, insbesondere bei großen Systemen, anspruchsvolle Aufgabe. Der BAYOOSOFT Risk Manager kombiniert als normkonforme Lösung die Erweiterungsmodule Requirements Engineering und REST API mit dem Risikomanagement nach ISO 14971.

Wenn Sie mehr zum BAYOOSOFT Risk Manager erfahren wollen, besuchen Sie eine unserer kommenden Veranstaltungen:


Zum Anzeigen oder Hinzufügen von Kommentaren einloggen

Weitere Artikel von Franziska Weiß

See all articles

Ebenfalls angesehen

Themen ansehen