Validation des logiciels utilisés dans le SMQ

Par Guillaume Promé
le 14 Juin. 2018 • Logiciel, SMQ

Nouveauté de la norme ISO 13485:2016, il faut désormais valider les systèmes informatisés utilisés dans le cadre du SMQ, une exigence que l’on retrouve :

§ 4.1.6 : logiciels utilisés dans le SMQ (au sens large)
§ 7.5.6 : logiciels utilisés dans le cadre de la production ou des prestations de service
§ 7.6 : logiciels utilisés dans le cadre de la surveillance / mesure (du produit ou de vos activités)

Cet article présente l’approche attendue pour de telles vérifications, en accord avec le guide ISO TR 80002-2.

Pourquoi une validation des logiciels ?

Première réponse : pour éviter les non-conformités. C’est une nouveauté et ce point est particulièrement suivi lors des audits ISO 13485:2016.

Seconde réponse : pour éviter une catastrophe industrielle :

Le logiciel de contrôle final des dispositifs donne des faux positifs ? Il faut rappeler tout le lot
Le logiciel de suivi des ECM se trompe dans l’état de conformité métrologique ? Il faut faire une analyse d’impact sur tous les dispositifs contrôlés avec l’ECM
Le logiciel de gestion des documents n’est pas robuste ? Attendez une fausse manip’ dans les dossiers de la documentation technique …

Nous confions de plus en plus de responsabilités aux logiciels, ils doivent être validés en conséquence.

Validation des logiciels selon l’ISO TR 80002-2

Le guide ISO/TR 80002-2:2017 est disponible en anglais uniquement, il n’y-a pas d’éditions nationales (voir les boutiques de normes).

Remarque : le guide s’applique aux logiciels du SMQ, les logiciels dispositifs médicaux ou faisant partie d’un dispositif médical ne sont pas concernés, ils ont leur propre norme (l’IEC 62304)

Vue globale des activités

Le logigramme ci-dessous met en évidence les activités de définition du contexte, gestion des risques, planification et validation durant les phases de conception, développement et maintenance.

Cycle de vie des logiciels

Le guide aborde deux types de logiciels :

les logiciels achetés
les logiciels développés en interne

Le cycle de vie du logiciel couvre les activités de :

Conception, dans le cas des logiciels achetés cela se limite à définir le contexte : à quoi sert le logiciel, qui va l’utiliser, quels sont les risques associés
Développement (pour les softs faits en interne)
Maintenance (modification d’un logiciel réalisé en interne ou mise à jour d’un logiciel sur étagère)

Validation des logiciels

La planification de la validation d’un logiciel est réalisée dès la définition du besoin, elle repose sur l’analyse des risques associée à l’utilisation du soft :

identifier les risques propres à l’activité utilisant le logiciel (ex : risque de perdre la traçabilité d’un dispositif)
identifier les risques induits par l’outil logiciel (ex : risque de mauvais accès à une base de données)
évaluer les niveaux de risques
en fonction du niveau de risque : planifier la validation

Il n’est pas question de faire une vérification technique du logiciel, mais de valider l’atteinte des objectifs d’utilisation, en déroulant des scénarios d’utilisation avec des utilisateurs représentatifs.

Approche par les risques appliquée à la validation de logiciel

La norme ISO 13485 prône une approche basée sur les risques. Il est inutile de tout valider et de tout tester pendant des mois pour un coût exorbitant, un volume documentaire énorme et un résultat déjà connu.

L’effort doit être proportionnel à la criticité du système.

Pourquoi faire compliqué alors que c’est souvent si simple ?

Validation des logiciels et RGPD

Pour s’adapter aux nouvelles réalités numériques l’Europe a amélioré son cadre législatif avec l’entrée en vigueur du RGPD le 25 mai 2018. Tous les organismes sont concernés, publics et privés, de tout secteur d’activité : ils doivent obligatoirement assurer une protection des données et être en mesure de le démontrer la conformité réglementaire des logiciels concernés.

Une analyse d’impact sur la protection des données doit être menée, au regard des risques pour les droits et libertés des personnes concernées.

Conclusion

Le processus de validation fournit une preuve documentée des performances des logiciels que vous utilisez dans vos activités les plus critiques.

Une définition claire des documents maîtres (Cahier des charges, Spécifications Fonctionnelles et Techniques, Plan de Validation, Analyse de Risque et Matrice de Traçabilité) et une planification des tests réalisés permettront de réduire la phase de test de validation à son minimum et ainsi économiser un temps précieux.

4 commentaires

LAINE

15 Juin. 2018
Connectez-vous pour répondre

Super article, Merci encore pour vos lumières, encore une fois un articles pour les novices comme moi.
Cyrille Michaud

18 Juin. 2018
Connectez-vous pour répondre

J'espère que personne n'a de logiciel à valider qui tourne encore sur un terminal VT100 ! (c'est l'ordi qu'il y a sur la photo) J'aime aussi beaucoup le titre de la doc à gauche de la machine.
Antoine62

31 Août. 2018
Connectez-vous pour répondre

Bonjour,

J'ai quelque question à propos de la validation du logiciel.
Une fois les risques liés au logiciel identifiés, et après avoir évalué le niveau de ces risques, qu'entendez vous par "planifier la validation".
J'entend cette notion dans le sens où, une fois le risque et le niveau identifié, il faut trouver une solution pour prévenir ou voir même contrer ce risque. (C'est ce que je pense avoir compris dans le document ISO 8
LBD

12 Avr. 2021
Connectez-vous pour répondre

Bonjour,
Je cherche une définition du terme "application logicielle"?
Merci d'avance.

Le Blog des Dispositifs Médicaux