Naviguer la norme IEC 62304 pour les logiciels médicaux

Rédigé par
Nicolas Gauthier

Le développement de dispositifs médicaux est un processus englobant des tâches complexes et les erreurs de conception peuvent avoir des conséquences majeures sur les patients. Il est donc primordial de mettre en place des processus garantissant une qualité élevée, mais également une gestion efficace des risques pour les patients et leurs utilisateurs.

Malheureusement, l’histoire regorge d’exemples d’erreurs de conception, qui ont entraîné des blessures graves, mais qui auraient pu être évitées si le développement (ou la maintenance) avaient été réalisés de manières adéquates, selon les risques potentiels du produit.

Une introduction rapide aux normes relatives aux dispositifs médicaux

Pour éviter que cela ne se reproduise, les gouvernements ont instauré des réglementations. Ils ont ensuite confié à des agences gouvernementales, comme la Food and Drug Administration (FDA) aux États-Unis et Santé Canada, la responsabilité d’approuver les nouveaux produits médicaux. Ces dernières ont alors défini des réglementations (regulation) pour donner des instructions détaillées sur la manière dont les lois doivent être appliquées. Bien qu’elles doivent avant tout préciser ce qui est exigé des fabricants, une grande partie de leurs exigences proviennent en fait de différentes normes internationales.

Les normes (standards) sont des références qui décrivent une manière de faire à la fois approuvée et reconnue. Elles ont été pensées par des experts qui connaissent les besoins des organisations qu’ils représentent (fabricants, associations, régulateurs, etc.). Bien que le respect de ces normes soit volontaire, de nombreux régulateurs y voient une preuve de «bonnes pratiques». De plus, plusieurs réglementations s’appuient explicitement sur des normes reconnues par l’industrie.

Dans le contexte spécifique du développement de dispositifs médicaux, les réglementations et les normes ont un objectif commun: garantir la sécurité, l’efficacité et la sûreté de ceux-ci. Elles définissent les exigences et les meilleures pratiques au niveau de la structure organisationnelle, la gestion de projet, la gestion de risques, la conception, la mise en œuvre, la vérification et la validation. C’est le cas de la norme IEC 62304 qui s’applique au développement de logiciels médicaux.

Qu’est-ce que la norme IEC 62304?

La norme IEC 62304 intitulée Logiciels de dispositifs médicaux – Processus du cycle de vie du logiciel (Medical device software – Software life-cycle processes) est une norme internationale qui définit les exigences relatives au cycle de vie des logiciels de dispositifs médicaux, dont le développement et la maintenance. L’ensemble des processus, activités et tâches décrits dans la norme établit un cadre commun qui va de la planification initiale jusqu’au déploiement et à la maintenance de l’appareil, en passant par l’analyse des besoins et le test du logiciel.

La norme est reconnue par de nombreuses instances réglementaires comme étant la référence pour le développement d’un logiciel médical ou d’un logiciel embarqué dans un dispositif médical.
Son objectif est d’obtenir un logiciel conforme, c’est-à-dire qui fasse bien plus que fonctionner correctement: il doit répondre aux besoins des utilisateurs, ne pas causer de blessures et être sécuritaire (dans le sens de la cybersécurité).

La classification du logiciel détermine les activités à effectuer

Les activités exigées par la norme IEC 62304 diffèrent selon le risque que représente le logiciel vis-à-vis du patient et de l’utilisateur. C’est à la fois la probabilité qu’une erreur logicielle puisse causer des blessures et la gravité potentielle de ces blessures qui sont prises en considération.
La norme définit une classification dans laquelle elle identifie les logiciels médicaux selon trois classes de sécurité:
La première étape est donc de faire l’analyse de la classification du logiciel pour savoir ce qui est attendu par la norme. Plus la classe est à risque, plus les activités requises sont nombreuses.
Documentation du logicielClasse AClasse BClasse C
Software development planning
Software requirement analysis
Software architectural design-
Software detailed design--
Software unit implementation
Software unit verification-
Software integration & testing-
Software system testing
Software release

Des activités en lien avec le système de gestion de la qualité (SGQ)

Ceci dit, la norme IEC 62304 ne vit pas en silo. Elle s’insère dans le cadre d’autres exigences et normes de l’industrie. C’est le cas, par exemple, de la norme ISO 13485 intitulée Dispositifs médicaux – Systèmes de gestion de la qualité (Medical devices — Quality management systems). Cette dernière décrit les exigences des systèmes de gestion de la qualité. Elle s’applique au développement des dispositifs médicaux, mais elle n’est pas spécifique à une discipline particulière (mécanique, électronique, logiciel, etc). C’est la norme IEC 62304 qui vient compléter la norme ISO 13485 avec des requis spécifiques au développement logiciel.

Pour mieux comprendre, le système de gestion de la qualité (SGQ) est un guide qui prend la forme d’un cadre de travail structuré. Il est mis en œuvre par les organisations pour que leurs produits et services soient de qualité constante, mais aussi conformes aux réglementations. Il désigne l’ensemble des politiques, processus, procédures et ressources nécessaires pour planifier, exécuter et contrôler le développement des produits et services d’une organisation.

Dans le contexte du développement des dispositifs médicaux, la définition et l’application d’un système de gestion de la qualité n’est pas un simple choix, mais une exigence obligatoire, puisqu’il garantit la production de dispositifs sûrs, efficaces et fiables.
Les processus et les activités exigés dans la norme IEC 62304 viennent donc servir de guide au moment de la définition du SGQ qui sera mis en place pour la conception d’un dispositif médical contenant ou incluant du logiciel.

La norme ne précise pas comment les activités doivent être faites

La norme IEC 62304 définit les activités qui doivent être faites, mais ne précise pas quand ni comment. Chaque organisation doit donc documenter ses processus et ses activités, et les détailler dans les procédures opérationnelles normalisées (Standard Operating Procedures ou SOP) du SGQ.

D’ailleurs, bien qu’elle semble promouvoir une approche «waterfall», la norme IEC 62304 n’impose ou n’exclut aucune méthodologie de développement. Elle présente les activités de manière linéaire par simplicité de compréhension. C’est donc à l’organisation ou à l’équipe de décider et de définir l’approche qui sera mise en œuvre.

Pour cela, le niveau d’expertise et le niveau de maturité de l’organisation sont des atouts précieux pour faire les bons choix. Il existe également des guides qui peuvent aider à y voir plus clair.

Le plan de développement logiciel: un document essentiel

La norme IEC 62304 exige que chaque activité soit planifiée et documentée. Pour cela, le plan de développement logiciel (Software Development Plan) est un document essentiel à garder en référence tout au long du processus.

Le plan de développement logiciel établit et documente le processus de développement prévu au projet. Il vient définir le cycle de vie du développement, en établissant des phases et en y associant les activités et livrables qui doivent être effectués, incluant ce qui doit être documenté, les rôles et les responsabilités, ainsi que les jalons et dates importantes. Son écriture prouve donc qu’une planification du développement a bien été effectuée et guide l’équipe projet tout au long du développement.

L’objectif du plan de développement logiciel est de détailler tout ce qui doit être effectué et documenté afin de garantir une qualité (sécurité, efficacité et sûreté) adéquate selon la nature, l’ampleur et la classification du logiciel à développer. C’est un outil de communication essentiel pour les membres de l’équipe logiciel du projet, mais également pour toute personne en lien avec la gestion de projet, la gestion de risques ou la gestion de qualité.
Il est important de rappeler qu’une bonne gestion documentaire est primordiale pour faire approuver le dispositif médical par les instances réglementaires. On dit souvent que s’il n’y a pas de trace écrite lors de la réalisation d’une activité, cette activité est considérée comme n’avoir jamais eu lieu!

La norme doit être associée avec les recommandations de la FDA

Suivre les recommandations de la norme IEC 62304 permet de répondre plus facilement aux exigences de la FDA qui demande également que chaque activité soit documentée.

Ceci dit, la norme IEC 62304 ne couvre pas à 100% ce qui est demandé par la FDA. Par exemple, la cybersécurité est un concept qui n’est pas du tout présent dans la norme IEC 62304, alors que la FDA exige maintenant des activités (et livrables documentaires) d’analyse et contrôle des risques reliés à la cybersécurité.

De plus, la norme IEC 62304 n’utilise pas toujours la même nomenclature que la FDA. Il y a donc un arrimage à faire entre les deux au niveau de certains termes. Par exemple, entre customer needs, design inputs, software requirements et software design specifications ou encore entre software item, software unit, function, module, et components. Un guide rédigé par l’organisation américaine permet de faire la correspondance plus facilement.

La norme IEC 62304 a peu d’impact sur le travail d’un développeur

Si la norme peut sembler contraignante, notamment en ce qui concerne la gestion documentaire, elle a peu d’impact direct sur le travail d’un développeur. Elle met simplement le doigt sur les activités qui sont importantes à faire dans le cadre du développement d’un logiciel médical. Celles-ci sont propres au développement logiciel (conception, implémentation, tests) et sont bien connues des développeurs.
En revanche, les leaders techniques et les gestionnaires de projets doivent garder un œil attentif sur la manière dont les différentes activités sont menées et documentées.

Auteur et collaborateurs

Rédigé par
Nicolas Gauthier

Infolettre et Monthly Digest

Abonnez-vous pour recevoir notre contenu directement dans votre boîte courriel.

Articles que vous pourriez aimer

Design de produits médicaux: Les étapes clés et les meilleures pratiques pour réussir

10 erreurs à éviter dans le développement d’un dispositif médical

Renforcer la cybersécurité des logiciels médicaux avec le modèle STRIDE

Design de produits médicaux: Les étapes clés et les meilleures pratiques pour réussir

10 erreurs à éviter dans le développement d’un dispositif médical