Objet

Cette procédure décrit le processus autour du cycle de vie du logiciel (de) DM mis en place par la société. Le processus se décompose en 5 activités :

1. Gestion des risques
2. Gestion de la configuration
3. Développement
4. Résolution de problème
5. Maintenance

Destinataires

Cette procédure concerne :

• Équipe de conception, développement, test et maintenance du logiciel.
• Chef projet
• Responsable qualité.
• Responsable gestion des risques
• Responsable clinique
• Responsable bureau d’étude
• Le sous-traitant XXX
• …

Guides, Normes et Réglementation

• Règlement (UE) 2017/745
• IEC 62304 :2006 – cycle de vie des logiciels médicaux + A1 :2015
• IEC 60601-1 :2007 +A1 :2014

Abréviations

ADR; C&D; CVL; DGR; DDM; E.L.; D.T.; IFU; N.C., PQP; SEMP; SUL; SOUP; U.L.

Définitions

Identification des risques dus au logiciel

L’identification des risques dus au logiciel est effectuée en début de développement, elle est affinée au fil des spécifications.

Elle est mise à jour durant toute la vie du dispositif, en fonction des évolutions du contexte. Les risques identifiés sont enregistrés dans le document DOC.AGR. L’identification tient compte des causes potentielles suivantes :

• Spécification incorrecte ou incomplète de l’E.L. dans la SEL.CVL
• Défaillance des E.L. internes ou externes
• Défaillance d’un SOUP
• Défaillance matérielle
• Mauvais usage identifié conformément à la procédure IAU
• …

Classes logicielles associées aux risques

Une classe de dangerosité est associée aux risques causés ou maitrisés par le logiciel :

Par défaut et avant analyse, le logiciel est traité comme étant de classe C.

Définition des classes

Les risques causés par le logiciel ou maitrisés par le logiciel sont pris en compte pour évaluer la classe. La classe des E.L. est évaluée en fonction de la gravité et de l’acceptabilité des risques :

• Classe A : pas de risque inacceptable (dommage nul ou proba nulle)
• Classe B : dommage non grave possible
• Classe C : dommage grave possible

Évaluation de la classe

Deux cas se présentent pour déterminer la classe de sécurité logicielle :

• Risques logiciels pour lesquels une mesure de maîtrise non logicielle existe,
• Risques pour lesquels la mesure de maîtrise de risque est mise en œuvre par le logiciel.

Les risques auxquels le logiciel contribue sont pris en compte après mise en œuvre des mesures de réduction non logicielles, donc en fonction du risque résiduel. Les risques maitrisés par le logiciel sont pris en compte sur la base du risque initial (pas de réduction de la classe de sécurité via le logiciel, car le logiciel portant la mesure de maîtrise peut lui-même défaillir).

L’évaluation de la classe du logiciel est enregistrée dans le DOC.DGR, elle s’appuie sur les classes des éléments logiciels enregistrées dans DOC.ADR.

Héritage de la classe de sécurité

La classe de sécurité est attribuée à l’E.L. (ou système logiciel) de plus haut niveau. Les E.L. enfants héritent de la classe de sécurité de leur parent.

Séparation du logiciel et classes de sécurité

Il est possible d’avoir au sein d’un système logiciel des E.L. de classe de sécurité différentes.

Cela est possible au moyen d’une séparation architecturale entre les E.L. de classes différentes.

Le cas échéant, la séparation des E.L. parents/enfants de classes différentes est justifiée et expliquée dans le document SAL.CVL.

Durant le développement : il est autorisé d’appliquer la présente procédure en fonction de la classe de chaque E.L. ; ou d’appliquer systématiquement pour tous les E.L. les exigences de la classe la plus élevée.

Les séparations architecturales communément admises :

• Entre classe C et B : séparation physique (par exemple 2 micro-contrôleurs séparés physiquement)
• Entre classe B et A : séparation physique ou logique (par exemple 2 processus communiquant par pipe)

▲