Parue en 2006 et amendée en 2015, la norme IEC 62304 traite du développement et de la maintenance des logiciels de dispositifs médicaux. Revenons sur les éléments essentiels de cette norme.
La norme IEC 62304 en bref
L’ IEC 62304 est une des normes du domaine de la santé. Elle aborde le développement du logiciel de dispositif médical et son cycle de vie. La plupart du temps, elle est utilisée en addition avec d’autres normes telles que :
- IEC 13485 : Système de gestion de la qualité des dispositifs médicaux
- IEC 82304 : Sécurité et à la sureté des produits logiciels de santé
- ISO 14971 : Gestion des risques des dispositifs médicaux
- IEC 62366 : Exigences d’utilisabilité pour les dispositifs médicaux
- ISO/TR 20416 : Surveillance après mise sur le marché incombant aux fabricants
Les classes de sécurité du logiciel de l’IEC 62304
La norme IEC 62304 introduit 3 classes de sécurité du logiciel, allant de A (la moins critique) à C (la plus critique). Plus la criticité est élevée, plus le cycle de vie du logiciel de dispositif médical à mettre en œuvre devra être complet.
Les classes de sécurité du logiciel se définissent suivant la gravité des conséquences d’une défaillance du logiciel :
- Classe A : Aucune blessure ou atteinte à la santé n’est possible
- Classe B : Une blessure non-grave est possible
- Classe C : Le décès ou une blessure grave est possible
Comme nous l’avons vu, le standard IEC 62304 exige la mise en place d’un cycle de vie logiciel composé de plusieurs processus : gestion des risques, développement, maintenance, configuration, résolution de problèmes logiciel, et ceci dès la classe A.
Impact du classement de sécurité sur l’ingénierie du logiciel
La réglementation sur les dispositifs médicaux prévoit d’autant plus d’exigences pour la conception et le développement d’un logiciel de dispositif médical que ses anomalies potentielles sont susceptibles de porter à conséquence.
L’objectif de la classification de sécurité est d’indexer la maîtrise du cycle de vie du logiciel au risque pour le patient en cas de défaillance ou anomalie du logiciel. Cette classification impacte donc l’effort de traçabilité et de gestion documentaire afin que vous puissiez démontrer la maîtrise des risques par conception du dispositif médical.
Qu’est-ce qui est considéré comme un dispositif médical ?
Selon le règlement 2017/745 en vigueur depuis le 26 mai 2021, un dispositif médical est « tout instrument, appareil, équipement, logiciel, matière ou autre article, utilisé seul ou en association, y compris le logiciel destiné par le fabricant à être utilisé spécifiquement à des fins diagnostique et/ou thérapeutique, et nécessaire au bon fonctionnement de celui-ci, destiné par le fabricant à être utilisé chez l’homme à des fins :
- de diagnostic, de prévention, de contrôle, de traitement ou d’atténuation d’une maladie,
- de diagnostic, de contrôle, de traitement, d’atténuation ou de compensation d’une blessure ou d’un handicap,
- d’étude ou de remplacement ou modification de l’anatomie ou d’un processus physiologique,
- de maîtrise de la conception,
- et dont l’action principale voulue dans ou sur le corps humain n’est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens. »
Qu’est-ce qui est qualifié de logiciel de dispositif médical ?
La norme IEC 62304 s’applique pour les produits médicaux du moment que la finalité du produit répond à la définition d’un dispositif médical :
- un logiciel embarqué dans un dispositif médical,
- un logiciel sur ordinateur,
- une application sur smartphone (telles que les Healthapp, les applications mobiles de santé)
NOTE
Pour les logiciels sur PC et Smartphone, l’IEC 82304 vient en complément de l’IEC 62304.
Ce que cela signifie pour les fabricants de Dispositifs Médicaux
En tant que fabricant de Dispositifs Médicaux, il est indispensable d’assurer la conformité de vos logiciels à la réglementation en cours. C’est même une condition sine qua non pour mettre sur le marché votre dispositif médical.
Néanmoins, comme le dit l’expression : « C’est une condition nécessaire mais non suffisante. » En effet, la pérennité de vos produits médicaux, l’image de votre entreprise dépend également de la fiabilité de vos produits.
Appliquer les exigences de la norme IEC 62304 au cycle de vie des logiciels
La norme IEC 62304 n’impose pas explicitement des activités de vérification et des techniques de tests particulières. Néanmoins, elles sont absolument indispensables au bon respect du cycle de vie logiciel demandé par la norme, et doivent faire d’un partie d’un Plan d’Assurance Qualité Logicielle qui précisera au moins :
- Gestion de la configuration et des versions : maillon très important dans le cycle de vie d’un logiciel, la gestion de la configuration permet de stocker et tracer les différentes versions ou révisions de toute information destinée à être utilisée par un système (matériel, logiciel, document, donnée unitaire, etc.)
- Gestion des changements
- Suivi de la traçabilité des exigences : de nombreux industriels utilisent encore des matrices de traçabilité manuelles, longues, complexes et surtout avec risques d’erreurs. Or il est préférable d’utiliser des outils qui facilitent la traçabilité, automatique entre les éléments du projet
- Détection de bugs et de failles logicielles
- Vérification des unités logicielles: cela peut passer par la gestion des tests unitaires, d’intégration et système liés aux exigences ou par des revues par des pairs
Même si l’IEC 62304 ne donne pas de directives précises, il est toujours plus efficace de définir un système de management de la qualité (SMQ), une politique et méthodologie de développement stricte avant le démarrage du projet. Une stratégie anticipée et rigoureuse démontrera votre capacité, en tant que concepteur de logiciels de dispositifs médicaux, à concevoir des logiciels qualifiés lors des audits de conformité. Et pour soutenir ce projet, disposer d’un logiciel adapté fait la différence. Pour plus de détails à ce sujet, voici un article complémentaire avec les conseils Gartner® pour choisir le bon logiciel de SMQ.