La norme IEC 62304, qui régit le cycle de vie des logiciels de dispositifs médicaux, fait l'objet d'une mise à jour qui devrait déboucher sur la publication d'une deuxième édition en avril 2027. La perspective est encore lointaine mais on sait déjà à quels principaux changements on peut s'attendre.

Eric Millot est expert sur les sujets technico-réglementaires relatifs aux logiciels DM (Source : DM Partenaire).

Olivier Tourdes est expert en technologies & réglementation des logiciels de santé (Source : Kobalt Software).

Par Olivier Tourdes (Kobalt Software) et Eric Millot (DM Partenaire), membres du réseau DM Experts

Dédiée au cycle de vie des logiciels médicaux, la norme IEC 62304 a été créée en 2006. Elle a fait l'objet en 2015 d'un amendement, actuellement en vigueur. L’évolution rapide des technologies au cours de cette dernière décennie a suscité une tentative de mise à jour destinée à prendre en compte de nouveaux sujets. La rédaction d'une deuxième édition de cette norme a alors été menée, mais à l'issue du troisième brouillon, il a été décidé en 2021 de reporter sa publication.

Un calendrier délicat à gérer

Depuis le début de l’année dernière, le travail sur cette 2ème édition a repris. Les commentaires recueillis viennent d’être pris en compte afin d’établir un nouveau brouillon, avec un objectif de publication en avril 2027. Il faut dire que le groupe chargé de cette norme travaille aussi sur des normes connexes relatives à la sécurité générale, à l’aptitude à l’utilisation et à la cybersécurité, pour lesquelles des publications sont également prévues. Une volonté de cohérence entre ces différents documents est certainement un premier élément explicatif du calendrier.

Un autre élément de difficulté est lié à l’intelligence artificielle (IA), qui évolue très fortement et n’est, pour le moment, pas déclinée dans les normes logicielles applicables au secteur des dispositifs médicaux. Comme nous le verrons plus loin dans cet article, un premier pas est envisagé dans ce sens !

Une approche plus flexible pour les éditeurs de logiciels

Le périmètre de la norme évolue. Elle s’applique désormais aux logiciels de santé et non plus seulement aux logiciels de dispositifs médicaux. Cette évolution répond à la transformation numérique du secteur, qui englobe désormais, sans exhaustivité, les applications mobiles de suivi médical, les plateformes de télémédecine, les systèmes de gestion des données de santé personnelles, et les outils d'aide à la décision clinique.

Suite à cette évolution, la norme propose une approche plus flexible pour les systèmes de management de la qualité et pour la gestion des risques, en supprimant les références directes à l’ISO 13485 et à l’ISO 14971. Cette suppression ne dispense pas les fabricants de mettre en place ces processus mais elle permet aux éditeurs de logiciels de santé non DM :

• d’adapter leurs processus qualité sans être contraints par l’intégralité de l’ISO 13485 ;
• de déconnecter leur analyse de risque de l’ISO 14971 et de pouvoir disposer d’autres méthodologies spécifiques.

Un nouveau système de classification

La norme repose désormais sur un nouveau système de classification, qui fait passer les classes de sécurité précédentes (A, B, C) à des niveaux de rigueur (I et II), s'alignant sur les recommandations de la FDA (guide "Content of Premarket Submissions for Device Software Functions") et favorisant l'harmonisation internationale :

• la classe A est consolidée au niveau de rigueur I,
• les classes B et C sont consolidées au niveau de rigueur II.

Le passage à deux niveaux de rigueur devrait simplifier la classification, notamment lorsqu’un logiciel était sujet à des incertitudes d'interprétation.

Cette simplification s’accompagne d’un durcissement global des exigences, qui s'exprime en particulier par les points suivants :

• les exigences architecturales, auparavant limitées aux classes B et C, s'appliquent désormais au niveau I (documenter l'architecture du système, définir les interfaces et assurer la traçabilité des exigences), des tests d'intégration étant nécessaires ;
• la validation des outils et méthodes de développement est désormais obligatoire dès le niveau I. Cela inclut la qualification des environnements de développement, des outils de test automatisés et des méthodologies ;
• la traçabilité des outils, des paramètres, des données, des environnements et des simulateurs est également étendue au niveau I ;
• la séparation nécessaire entre les éléments logiciels pour réduire les risques et les preuves de l'efficacité de cette séparation sont applicables au niveau II, ainsi que l’ajout de précisions dans la documentation relative à la "conception détaillée".

En plus des activités relatives à leur cycle de vie, les logiciels intégrant de l’IA nécessitent l’ajout de processus spécifiques, pour gérer la préparation des données, le développement et l'optimisation des modèles, la vérification, la validation et l’évaluation continue de leurs performances.

Certains attendus, en particulier autour de la maintenance, sont clarifiés et les logiciels hérités ("Legacy Software" tels que définis dans la norme IEC 62304) sortent du cadre des exigences (la méthodologie de conformité est déplacée en annexe).

Des informations supplémentaires à venir

Comme nous l’avons vu, cette deuxième édition devrait donc changer certains paradigmes actuellement en vigueur dans les logiciels de santé - extension de son périmètre d’application, évolution de son système de classification ou encore prise en compte de l’intelligence artificielle - la rendant, en un sens, plus modulaire.

Ainsi, la norme devra être mise en perspective – en fonction des produits de santé concernés – dans un écosystème de normes plus large : logiciels de santé, avec ou sans IA, autonomes, communicants, traitant des données de santé, intégrés dans des dispositifs médicaux actifs...

De nouvelles informations devraient être disponibles en fin d’année, à la suite d’une session plénière du groupe de travail normatif.

www.dm-experts.fr, kobalt-software.eu, www.dm-partenaire.fr