Le secteur des logiciels de dispositifs médicaux est de plus en plus règlementé et contrôlé ; il est devenu indispensable de mettre en place un processus rigoureux de management des risques et de qualité logicielle afin d’assurer la conformité aux normes lors des audits réalisés sur place ou à distance. Pour ce faire, la mise en place de processus rigoureux, appuyés par un outil, facilite le déploiement des bonnes pratiques tout au long du cycle de vie de votre logiciel de dispositifs médicaux (DM). Tuleap vous aide à atteindre à vos enjeux de conformité à la norme IEC 62304: voici comment.

conformité IEC 62304 avec Tuleap

Une piqûre de rappel sur la norme IEC 62304

La norme IEC 62304 est l’une des nombreuses règlementations du domaine de la santé qui s’applique aux dispositifs médicaux et, plus précisément, au développement et à la maintenance des logiciels de DM.
Depuis sa parution en 2006, la norme IEC 62304 a fait l’objet de plusieurs amendements et projets de loi, visant à élargir son champ d’application tout en faisant évoluer les définitions relatives aux dispositifs médicaux, aux logiciels de dispositifs médicaux et leur classement de sécurité.

Pour se rafraîchir la mémoire sur ces derniers points clés, vous pouvez revenir sur les exigences de la norme IEC 62304 pour les Logiciels de Dispositif Médical.

Il est important de souligner que la norme IEC 62304 n’exige pas la mise en place de techniques de vérification et de test spécifiques, c’est-à-dire standardisées pour tout type d’organisation. Mais elle suppose que chaque entreprise concernée suive une méthodologie rigoureuse tout au long du cycle de vie de son logiciel de DM pour apporter des preuves de conformité aux exigences, absolument indispensables en cas d’audits. D’où l’importance de disposer d’un Plan d’Assurance Qualité (PAQ) logicielle pour définir en amont toutes les spécifications du projet dans le but de garantir la conformité des produits livrés et ainsi réduire les risques à un niveau « acceptable ».

Plusieurs processus à articuler

Enfin, pour la norme IEC 62304 on va suivre un cycle de réalisation défini à partir des besoins utilisateur et essentiellement articulé autour de 3 grandes actions :

  • la mise en place d’un système de développement proprement dit,
  • qui, à son tour, va être couplé à un système de gestion des configurations du logiciel,
  • et également à un système de gestion des exigences, de gestion des risques et des mesures de reduction de risques associés .

En même temps, tout cela est encapsulé dans un release et test management afin d’assurer toutes les activités liées au bug tracking et au change request.
L’objectif ultime étant d’avoir un système complètement intégré, garant à la fois d’une traçabilité complète du premier besoin du client jusqu’à sa satisfaction et de la conformité aux normes du secteur.

IEC 62304 Software Development Process

Quels impacts en cas de difficultés de conformité ?

Audits et anomalies…

Il existe plusieurs audits de conformité auxquels les entreprises fabricantes de logiciels de dispositifs médicaux doivent se soumettre. Ils sont conduits par des auditeurs externes de l’Organisme Notifié (ON) et, selon leur typologie, peuvent se dérouler sur un ou plusieurs jours sur les sites à auditer ou bien à distance.

Brièvement :

  • les audits de marquage CE, en cas de sortie d’un nouveau produit
  • les audits de renouvellement prévus tous les 3 ans
  • les audits de suivi (ou de surveillance) 1 fois par an
  • les audits inopinés au moins une fois tous les 3 ans, s’ajoutant donc au cycle de certification de trois ans.

Si lors d’un audit des anomalies sont détectées, celles-ci peuvent être de 2 types :

  • non conformité mineure, que l’organisation auditée aura le temps de traiter jusqu’à l’audit suivant pour qu’elle ne devienne pas grave, c’est-à-dire une non conformité majeure
  • non conformité majeure, que l’organisation auditée devra obligatoirement traiter dans l’espace de 3 mois avant qu’elle soit re-examinée. Au cas où la défaillance ne serait pas traitée, l’entreprise aura l’interdiction de revendre le produit tant que cette non conformité n’est pas corrigée.

… voici les risques d’une gestion de projet logiciel non optimisée

Risque de non conformité

  • Interdiction de mise sur le marché des produits
  • Augmentation du time-to-market
  • Perte des marchés

Non adéquation aux attentes

  • Dégradation de l’image
  • Perte de confiance avec clients et fournisseurs
  • Besoin de contrôle et de résolution très rapide des anomalies

En conclusion, l’organisation, l’adaptabilité et surtout la capacité à réagir rapidement sont des facteurs primordiaux non seulement pour prouver aux auditeurs que les logiciels et produits développés sont conformes aux normes, mais également pour faire face aux changements rapides du marché, dont les évolutions des normes qui deviennent de plus en plus contraignantes.

Comment prouver sa conformité à l’IEC 62304 avec Tuleap

Le choix d’un outil adapté est désormais indispensable, mais il faut souligner que celui-ci vient s’ajouter et non pas se substituer à une organisation car les deux sont complémentaires. L’ idée est donc d’avoir un outil garantissant l’ensemble des fonctionnalités utiles à la gestion du développement logiciel et à sa maintenance – aka un bon outil de gestion du cycle de vie des applications (Application Lifecycle Management ou ALM, en anglais) comme Tuleap.

Des avantages imbattables à toutes les étapes

Vous allez être confiants lors des audits et dans les produits que vous livrez. Voici en quoi Tuleap devient un allié stratégique lors de la création de produits logiciels médicaux :

  1. 1. La centralisation et sécurisation de toutes vos données de projets logiciels au même endroit, pour avoir un seul référentiel digital.
  2. 2. Des outils adaptés pour la gestion intégrée de tous vos processus de développement et de maintenance des logiciels de dispositifs médicaux (planification des releases, gestion des versions, gestions des exigences, gestion des risques, gestion des tests, correction de bugs, intégrations…).
  3. 3. La normalisation des processus via des modèles (espaces de travail), aussi personnalisables en fonction des spécificités de l’entreprise et son secteur.
  4. 4. L‘ automatisation des flux de travail (workflows) qui augmente la productivité et évite les erreurs dans les processus de gestion des artefacts et des documents.
  5. 5. La traçabilité automatique, de bout-en-bout, à travers tout le cycle de vie de votre logiciel avec l’historique de tous les changements effectués.
  6. 6. Des dashboards sur-mesure, actualisés en temps réel et un reporting sans faille de vos activités pour préparer et passer vos audits de conformité plus rapidement, même à distance.

Cycle de vie classique de création d’un logiciel de DM

1. Définition de l’utilisation

Pour assurer le bon déroulement et accomplissement d’un projet logiciel, d’autant plus dans un environnement contraignant comme celui des dispositifs médicaux, il est fondamental d’avoir une vision claire et globale dès le début et ainsi mieux définir la direction à prendre.
Pour cela, comprendre les besoins des clients est primordial : Tuleap fournit un environnement dédié à la collecte des attentes utilisateur, appelées user stories, pour ensuite faciliter l’organisation des activités techniques nécessaires à la réalisation des fonctionnalités souhaitées.

En complément, les équipes peuvent stocker toutes les informations sur leur projet et collaborer à la rédaction de documents dans leur espace sécurisé de gestion des documents dans Tuleap.

Concrètement, une fois connecté à votre page personnelle Tuleap via le navigateur et après avoir accédé à l’espace de travail souhaité (i.e. projet Software Medical Device ci-contre), le menu à gauche permet de naviguer entre les différents services et modules proposés par l’outil. C’est par ici que vous retrouverez un espace de gestion documentaire où vous pouvez non seulement ajouter et modifier tous les papiers inhérents au projet, mais aussi collaborer à leur rédaction et mise à jour dans le temps grâce au MediaWiki intégré.

tuleap gestion de documents DM
Interface Tuleap : Gestion de documents pour les projets de développement logiciel de DM

2. Analyse

Tuleap permet d’aller plus loin dans la gestion de risques avec un système d’alarme et de définition de mesure de risques qui peuvent être paramétrés en fonction des spécificités du produit à développer et, bien évidemment, des exigences à remplir. De plus, il est possible d’ajouter autant de mesures et d’exigences qu’on veut : si, par exemple, quand on établit une nouvelle fonctionnalité il y a un autre type de risque qui en découle, il faudra alors rajouter une nouvelle mesure de risque à considérer qui donnera lieu à d’autres exigences encore. Et, pour terminer cette boucle, ces nouvelles exigences déboucheront sur la création d’une nouvelle fonctionnalité.

Tous ces éléments sont à définir via la partie centrale de l’interface Tuleap, correspondant à la fenêtre dans laquelle on travaille et qui affiche donc un dashboard dédié au bloc Risk Management.
Comment faire pour rajouter une nouvelle fonctionnalité, telle qu’un change request d’un client, en cours de route ? C’est à partir de ce même dashboard, généralement sous forme d’un tableau Kanban, qu’on peut facilement la configurer en précisant, par exemple, les personnes qui y travailleront, les impacts sur le développement d’un DM, les éventuelles évolutions concernant les risques et, par conséquent, les nouvelles mesures de risque à établir et qui vont potentiellement affecter les autres fonctionnalités en cours de développement.

Petite précision sur la nature d’une fonctionnalité : soit elle est directement liée à un besoin utilisateur, soit elle découle d’une exigence lors de cette phase d’analyse.

Enfin, tous les items peuvent être reliés entre eux dans Tuleap grâce à une forme de hiérarchisation parent-enfant, pour ensuite être insérés dans un système de tracking personnalisable qui assure un suivi sans faille et une traçabilité complète dès le début du projet logiciel.

graphique des dépendances
Tuleap Dependency Graph : arborescence des différents niveaux de hiérarchisation entre plusieurs artifacts du projet logiciel qui font référence à l’exigence « 354086 »

3. Conception

Une fois toutes les fonctionnalités définies, les équipes passent à la phase de planification des releases, en priorisant le travail selon les exigences. Dans Tuleap, cela se traduit par la création et organisation des tâches (et éventuellement sous-tâches) via des dashboards agiles intégrés dans l’outil (i.e. tableaux Kanban), permettant aux équipes d’optimiser leur productivité grâce à une visibilité accrue sur l’état d’avancement du projet logiciel, et cela, en temps réel.
De plus, la nouvelle fonctionnalité de Roadmap Agile avec Tuleap (widget Feature Roadmap), vous permet de montrer les différentes releases prévues et/ou en cours, ainsi que les contraintes entre elles.

Autrement dit, on peut donc définir un plan de développement plus détaillé avec une date de début (et éventuellement de fin), le coût engendré en termes d’efforts, les personnes pouvant y travailler etc.
D’autres éléments à customiser que l’on retrouve dans ce volet de gestion de projet logiciel avec Tuleap :

  • Backlog Planning : il regroupe l’ensemble des fonctionnalités à développer, en faisant une distinction – à l’aide de codes couleurs – entre celles venant d’un besoin utilisateur et celles créées à partir d’exigences.
  • Milestones : ils représentent les différents jalons du projet à paramétrer en fonction, par exemple, des releases ou bien d’un produit médical précis.
  • Cardwall (ou Tableau des tâches) : lors de la phase de réalisation proprement dite, il est employé pour suivre la progression du travail jusqu’au moment où toutes les tâches auront atteint la ligne d’arrivée.
gestion de projet logiciel de dispositifs médicaux
planification et conception d'un dispositif médical

4. Développement

Tuleap offre de nombreux modules pour améliorer la gestion et l’efficacité des équipes durant le développement logiciel proprement dit : gestion des versions à l’échelle, revue de code simplifiée, automatisation des tâches via l’API REST et webhooks… tout ce qu’il faut pour développer vos logiciels de dispositifs médicaux sans jamais quitter l’interface Tuleap.

En effet, c’est toujours dans la barre du menu à gauche que l’on retrouve l’onglet dédié à la gestion de versions Git. Vous pouvez ici créer autant de dépôt Git que vous le souhaitez et ensuite définir, via Tuleap Pull Request, un workflow automatisé pour la revue de code et successivement l’intégration continue.

En plus des outils Git et Pull Request propres à l’outil, Tuleap est un logiciel flexible qui peux être connecté à d’autres outils tels que Jenkins, Gerrit ou encore GitLab pour aller plus loin dans le développement et l’intégration continue (CD/CI).

Pour plus de détails sur les intégrations possibles avec Tuleap et comment les mettre en place, voici quelques références utiles :

5. Vérification et maintenance

Tuleap intègre également un module entièrement dédié à la gestion de tests au même endroit. En effet, Tuleap Test Management® (TTM), permet de mener tous vos tests automatiques et manuels ainsi que de gérer vos exigences dans un environnement intégré, vous évitant ainsi de jongler entre plusieurs feuilles de calculs et outils.

Vous pouvez effecteur plusieurs types de tests et paramétrer vos campagnes de validation en fonction de vos besoins : des tests de fonctionnalités afin d’en vérifier le bon fonctionnement et/ou des tests transverses de requirements qui vont reprendre toutes les exigences pour s’assurer que celles embarquées sont conformes à ce qui a été défini en amont.

Dans le cas contraire, on génère une anomalie via TTM qui nécessitera ensuite d’une correction rapide et qui parfois, à son tour, engendre une nouvelle exigence à intégrer, re-vérifier et tester avec une autre campagne.
Entre-temps, 100% de traçabilité garantie avec TTM qui connecte automatiquement l’ensemble de ces éléments du projet pour atteindre une cohérence parfaite tout au long du cycle de vie de vos logiciels de DM.

graphique Tuleap des dépendances entre exigences
gestion des campagnes de test et validation logiciel

Prouver aux auditeurs la qualité de vos logiciels et la conformité à la norme IEC 62304 n’a jamais été aussi simple : visualisez en quelques clics tout l’historique de votre projet de développement avec une carte dynamique (Tuleap dependencies graph ci-contre) qui montre l’arborescence des dépendances et les relations entre les exigences, les tests et tout autre artefact du produit livré.

Aller plus loin