La norme IEC 62304, publiée en 2006 et amendée en 2015, encadre le cycle de vie logiciel des dispositifs médicaux. Elle s’applique à tout logiciel de dispositif médical, qu’il soit intégré à un matériel (logiciel embarqué) ou autonome (SaMD).

Qu’est-ce que la norme IEC 62304 ou ISO 62304 ?
La norme IEC 62304 définit les exigences pour le développement et la maintenance des logiciels de dispositifs médicaux. Elle s’applique aux logiciels embarqués, aux logiciels autonomes (SaMD) et aux applications mobiles dès lors qu’ils répondent à la définition réglementaire d’un dispositif médical. Son respect est indispensable pour obtenir le marquage CE, l’agrément FDA et garantir la sécurité des patients.
Les classes de sécurité du logiciel de l’IEC 62304
La norme IEC 62304 introduit 3 classes de sécurité du logiciel, allant de A (la moins critique) à C (la plus critique). Plus la criticité est élevée, plus le cycle de vie du logiciel de dispositif médical à mettre en œuvre devra être complet.
Les classes de sécurité du logiciel se définissent suivant la gravité des conséquences d’une défaillance du logiciel :
- Classe A : Aucune blessure ou atteinte à la santé n’est possible
- Classe B : Une blessure non-grave est possible
- Classe C : Le décès ou une blessure grave est possible
Cette classification logicielle détermine le niveau d’exigence en matière de gestion des risques, de validation logicielle et de vérification logicielle.
Impact du classement de sécurité sur l’ingénierie du logiciel
La réglementation sur les dispositifs médicaux prévoit d’autant plus d’exigences pour la conception et le développement d’un logiciel de dispositif médical que ses anomalies potentielles sont susceptibles de porter à conséquence.
L’objectif de la classification de sécurité est d’indexer la maîtrise du cycle de vie du logiciel au risque pour le patient en cas de défaillance ou anomalie du logiciel. Cette classification impacte donc l’effort de traçabilité et de gestion documentaire afin que vous puissiez démontrer la maîtrise des risques par conception du dispositif médical.

Exigences du cycle de vie logiciel selon IEC 62304
Le standard IEC 62304 exige la mise en place d’un cycle de vie logiciel composé de plusieurs processus :
- Gestion des risques : Analyse des dangers liés au logiciel, en lien avec l’ISO 14971.
- Développement logiciel : Spécifications, conception, codage et tests adaptés à la classification logicielle.
- Maintenance : Gestion des mises à jour et correctifs tout en préservant la sécurité logicielle.
- Gestion de configuration : Traçabilité des versions et des composants logiciels.
- Documentation : Dossiers complets pour prouver la conformité réglementaire lors des audits.
La norme n’impose pas de méthodes de test spécifiques, mais exige des preuves de vérification logicielle et de validation logicielle pour chaque exigence fonctionnelle.
Complémentarité avec d’autres normes dispositifs médicaux
La norme IEC 62304 ou CEI 62304 s’utilise souvent avec :
- IEC 13485 : Système de gestion de la qualité des dispositifs médicaux
- IEC 82304 : Sécurité et à la sureté des produits logiciels de santé
- IEC 82304-1 : Logiciels santé autonomes
- ISO 14971 : Gestion des risques des dispositifs médicaux
- IEC 62366 : Exigences d’utilisabilité pour les dispositifs médicaux
- ISO/TR 20416 : Surveillance après mise sur le marché incombant aux fabricants
- IEC 60601-1 : Sécurité des équipements électriques
Son intégration avec la réglementation européenne (MDR) et les exigences FDA est essentielle pour les marchés internationaux.
Perspectives et évolutions de la norme IEC62304
La future édition (2027) élargira le champ d’application à tous les logiciels santé, renforçant l’importance de la traçabilité logicielle et de la documentation logicielle pour répondre aux nouvelles exigences de conformité réglementaire.
Logiciel ou pas ? Comprendre la frontière avec le dispositif médical
1. Qu’est ce qu’un dispositif médical ?
Selon le règlement 2017/745 en vigueur depuis le 26 mai 2021, un dispositif médical est « tout instrument, appareil, équipement, logiciel, matière ou autre article, utilisé seul ou en association, y compris le logiciel destiné par le fabricant à être utilisé spécifiquement à des fins diagnostique et/ou thérapeutique, et nécessaire au bon fonctionnement de celui-ci, destiné par le fabricant à être utilisé chez l’homme à des fins :
- de diagnostic, de prévention, de contrôle, de traitement ou d’atténuation d’une maladie,
- de diagnostic, de contrôle, de traitement, d’atténuation ou de compensation d’une blessure ou d’un handicap,
- d’étude ou de remplacement ou modification de l’anatomie ou d’un processus physiologique,
- de maîtrise de la conception,
- et dont l’action principale voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens. »
2. Qu’est-ce que le logiciel dans un dispositif médical ?

Un logiciel est considéré comme un dispositif médical s’il répond à la définition du Règlement (UE) 2017/745 (article 2.1) :
« Tout logiciel destiné par le fabricant à être utilisé, seul ou en combinaison, pour des fins médicales spécifiques : diagnostic, prévention, contrôle, traitement ou atténuation d’une maladie ou d’un handicap. »
3. Critères de qualification essentiels
Pour être qualifié de dispositif médical, un logiciel doit :
- Avoir une finalité médicale déclarée par le fabricant (ex : diagnostic du cancer, calcul de dosage de médicaments).
- Transformer des données médicales pour générer des informations spécifiques à un patient (ex : algorithme d’analyse d’IRM).
- Agir directement sur la prise en charge médicale (aide à la décision thérapeutique, surveillance en temps réel).
NOTE
Pour les logiciels sur PC et Smartphone, l’IEC 82304 vient en complément de l’IEC 62304.
Que signifie la norme IEC 62304 pour les fabricants de dispositifs médicaux ?
En tant que fabricant de Dispositifs Médicaux, il est indispensable d’assurer la conformité de vos logiciels à la réglementation en cours. C’est même une condition sine qua non pour mettre sur le marché votre dispositif médical.
Néanmoins, comme le dit l’expression : « C’est une condition nécessaire mais non suffisante. » En effet, la pérennité de vos produits médicaux, l’image de votre entreprise dépend également de la fiabilité de vos produits.
Appliquer les exigences de la norme IEC 62304 au cycle de vie des logiciels
La norme IEC 62304 n’impose pas explicitement des activités de vérification et des techniques de tests particulières. Néanmoins, elles sont absolument indispensables au bon respect du cycle de vie logiciel demandé par la norme, et doivent faire d’un partie d’un Plan d’Assurance Qualité Logicielle qui précisera au moins :
- Gestion de la configuration et des versions : maillon très important dans le cycle de vie d’un logiciel, la gestion de la configuration permet de stocker et tracer les différentes versions ou révisions de toute information destinée à être utilisée par un système (matériel, logiciel, document, donnée unitaire, etc.)
- Gestion des changements
- Suivi de la traçabilité des exigences : de nombreux industriels utilisent encore des matrices de traçabilité manuelles, longues, complexes et surtout avec risques d’erreurs. Or il est préférable d’utiliser des outils qui facilitent la traçabilité, automatique entre les éléments du projet
- Détection de bugs et de failles logicielles
- Vérification des unités logicielles: cela peut passer par la gestion des tests unitaires, d’intégration et système liés aux exigences ou par des revues par des pairs
Même si l’IEC 62304 ne donne pas de directives précises, il est toujours plus efficace de définir un système de management de la qualité (SMQ), une politique et méthodologie de développement stricte avant le démarrage du projet. Une stratégie anticipée et rigoureuse démontrera votre capacité, en tant que concepteur de logiciels de dispositifs médicaux, à concevoir des logiciels qualifiés lors des audits de conformité. Et pour soutenir ce projet, disposer d’un logiciel adapté fait la différence. Pour plus de détails à ce sujet, voici un article complémentaire avec les conseils Gartner® pour choisir le bon logiciel de SMQ.