IEC 62304 ist nicht veraltet - es ist ein Traceability Framework für die moderne medizinische Softwareentwicklung

Dr. Andrei Ninu

Regulierungsexperte für aktive Medizinprodukte

Mai 07 , 2025

In der heutigen Zeit der agilen Entwicklung, DevOps und schnellen Iterationszyklen sehen viele Entwickler die IEC 62304 als ein Überbleibsel aus einer älteren Zeit. Ihr klassischer Software-Lebenszyklus und ihr Vertrauen in das V-Modell stehen oft im Widerspruch zu flexiblen, schnelllebigen Entwicklungspraktiken.

Doch die IEC 62304 war nie als starre Vorschrift gedacht, wie Software zu entwickeln ist. Stattdessen bietet sie einen robusten Rahmen für den Nachweis von Kontrolle, Sicherheit und Rückverfolgbarkeit - grundlegende Elemente, die entscheidend sind, unabhängig davon, ob Ihr Team in zweiwöchigen Sprints oder längeren Wasserfallzyklen arbeitet.

Nachvollziehbarkeit: Das unumstößliche Prinzip

Das Herzstück der IEC 62304 ist das Konzept der Rückverfolgbarkeit. Dazu gehören:
- Definierte und testbare Software-Anforderungen,
- Dokumentierte Architektur- und Design-Entscheidungen,
- Abgestimmte und aufgezeichnete Verifikationsaktivitäten,
- Integrierte Risikokontrollmaßnahmen gemäß ISO 14971,
- Management von Software-Anomalien und Konfigurationsänderungen.
Diese Prinzipien gelten universell - unabhängig davon, ob Ihr Team Scrum, Kanban oder ein hybrides agiles Framework verwendet.

IEC 62304 und Agile: Kompatibel durch Design

Obwohl die IEC 62304 einen strukturierten Lebenszyklus fördert, ist sie grundsätzlich methodenunabhängig. Agile Entwicklung kann mit ihren Erwartungen übereinstimmen, wenn sie durch die Linse der Ergebnisse und Artefakte und nicht durch eine starre Sequenzierung interpretiert wird.

Sprints können inkrementell getestete Komponenten liefern; Backlogs können auf Anforderungsspezifikationen abgebildet werden. Entscheidend ist, dass alle Aktivitäten im Lebenszyklus - von den Anforderungen bis zur Verifizierung - dokumentiert, überprüft und kontrolliert werden.

Es kommt nicht darauf an, wie Sie Ihre Software entwickeln, sondern wie gut Sie nachweisen können, dass sie sicher und effektiv ist und die gesetzlichen Anforderungen erfüllt.

Überdenken des V-Modells als Dokumentationsgerüst

Das V-Modell, das oft als Synonym für die IEC 62304 angesehen wird, sollte nicht als Bedienungsanleitung für Entwicklungsprozesse verstanden werden. Stattdessen ist es am besten als Dokumentationsgerüst zu verstehen - eine Visualisierung der Ausrichtung zwischen Entwicklungsaktivitäten und ihrer entsprechenden Verifizierung.
Agile Entwicklung passt zu diesem Modell, wenn:

- Anforderungen auf Testfälle zurückzuführen sind,

- Designentscheidungen validiert werden,

- Codeänderungen kontrolliert und überprüft werden,

- Releases mit entsprechenden Risikobewertungen dokumentiert werden.

Anpassung an regulatorische Erwartungen

Aufsichtsbehörden erkennen die IEC 62304 weiterhin an und verlassen sich auf sie, nicht wegen ihrer Lebenszyklusstruktur, sondern wegen ihrer konsistenten, überprüfbaren Erwartungen:

Anforderungen auf hoher Ebene, wie sie in Anhang II - Medizinprodukteverordnung (MDR 2017/745) angegeben sind, können auf software-spezifische Anforderungen zurückgeführt werden, die von der IEC 62304 angegeben werden, wie z. B. Anforderungen, Risikomanagement und Konfigurationskontrolle, Software-Versionshistorie und risikobasierte Verifizierung, die natürlich vom Rahmenwerk der IEC 62304 unterstützt werden. Sogar die FDA-Richtlinie 2023 zur Softwaredokumentation geht direkt auf die Konzepte der IEC 62304 zurück.

Die Aufsichtsbehörden wollen sichergehen, dass die Hersteller ihre Software verstehen, ihr Verhalten verifizieren und ihre Risiken mindern können. Die IEC 62304 ist nach wie vor die weltweit am besten harmonisierte Methode, um diese Sicherheit zu gewährleisten.

Als Benannte Stelle im Rahmen der MDR erkennt die DQS-MED die IEC 62304 weiterhin als die am besten geeignete Norm für die strukturierte Dokumentation der Lebenszyklusprozesse von Software für Medizinprodukte an.

Fazit: IEC 62304 ist eine neu zu interpretierende Norm

Die IEC 62304 ist kein Relikt aus der Vergangenheit, sondern ein regulatorischer Anker für die moderne Softwareentwicklung.

Ja, die IEC 62304 muss neu interpretiert oder sogar an die Realitäten der heutigen Entwicklungsumgebungen angepasst werden. Ihr Lebenszyklusmodell mag traditionell erscheinen, aber ihre Prinzipien - Rückverfolgbarkeit, Verifizierung und Kontrolle - sind zeitlos.

Mit der Einführung agilerer, flexiblerer Entwicklungsstrategien werden diese Prinzipien sogar noch wichtiger für Entwickler von Software für medizinische Geräte, die nicht nur die Einhaltung von Vorschriften, sondern auch die Sicherheit der Patienten gewährleisten wollen.

MDR, ISO 13485, MDSAP und mehr von der DQS!

Konforme Software fängt hier an – kontaktieren Sie uns. Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen

Autor

Dr. Andrei Ninu

Dr. Andrei Ninu ist ein sehr erfahrener Regulierungsexperte, der sich auf aktive Medizinprodukte spezialisiert hat, mit einem starken Fokus auf Funktions- und Softwaresicherheit sowie auf Anwendungen der künstlichen Intelligenz (KI) im Gesundheitswesen. Er verfügt über umfassendes Fachwissen über die Einhaltung von EU-Vorschriften, insbesondere über Zertifizierungs- und Konformitätsbewertungsprozesse für Hersteller von Medizinprodukten.

Neben seinem Fachwissen im Bereich der Regulierung verfügt Dr. Ninu über mehr als ein Jahrzehnt praktischer Erfahrung in der Softwareentwicklung. Er hat die Entwicklung von KI-Systemen im Gesundheitswesen und deren transformative Auswirkungen auf die Medizintechnik aus erster Hand miterlebt.

Sein akademischer Hintergrund umfasst einen Master-Abschluss in Kontrollsystemen und Robotik sowie ein Doktorat in Informatik/Biomedizintechnik an der Technischen Universität Wien, wo er sich auf die Mensch-Maschine-Interaktion in der Rehabilitation konzentrierte. Er vertiefte diesen Bereich während seiner Postdoc-Forschung an der Universitätsklinik Göttingen, wo er sich auf die robotergestützte Rehabilitation spezialisierte.