IEC 62304 Nedir? Tıbbi Cihaz Yazılımı Yaşam Döngüsü Standardı
IEC 62304, tıbbi cihaz yazılımlarının güvenli ve etkili bir şekilde geliştirilmesi, bakımı ve kullanımdan kaldırılması için gereken yaşam döngüsü süreçlerini tanımlayan uluslararası standarttır. FDA, MDR ve diğer tıbbi cihaz düzenleyici otoriteleri tarafından kabul edilen bu standart, yazılım içeren tüm tıbbi cihazlar ve bağımsız tıbbi yazılımlar (SaMD) için geçerlidir.
Kapsam ve Uygulama Alanı
IEC 62304 şunları kapsar:
- Gömülü yazılım (embedded software): Tıbbi cihazın içindeki yazılım (örn: infüzyon pompası firmware'i)
- Bağımsız yazılım (standalone): Kendi başına çalışan tıbbi yazılımlar
- SaMD (Software as a Medical Device): Donanım olmadan tek başına tıbbi amaçla kullanılan yazılım (örn: tanı destek uygulamaları, radyoloji AI)
- Mobil sağlık uygulamaları: Tıbbi amaçlı mobil uygulamalar
Kapsam Dışı
- Genel amaçlı BT altyapısı (hastane ağı, sunucular)
- Tıbbi olmayan sağlık & wellness uygulamaları
- Üretim süreç yazılımları (bunlar GAMP kapsamındadır)
Yazılım Güvenlik Sınıflandırması
IEC 62304'ün en önemli özelliği, yazılımı risk seviyesine göre 3 sınıfa ayırmasıdır:
| Sınıf | Risk Seviyesi | Tanım | Örnek |
|---|---|---|---|
| Sınıf A | Yaralanma yok | Yazılım hatası yaralanmaya veya sağlık hasarına yol açamaz | Hasta kayıt sistemi |
| Sınıf B | Ciddi olmayan yaralanma | Yazılım hatası ciddi olmayan yaralanmaya yol açabilir | Tansiyon ölçüm cihazı yazılımı |
| Sınıf C | Ölüm veya ciddi yaralanma | Yazılım hatası ölüme veya ciddi yaralanmaya yol açabilir | İnfüzyon pompası, radyoterapi planlama |
Sınıfın Etkisi
Yazılım güvenlik sınıfı, uygulanması gereken süreçlerin kapsamını belirler:
| Süreç | Sınıf A | Sınıf B | Sınıf C |
|---|---|---|---|
| Geliştirme planlaması | ✅ | ✅ | ✅ |
| Gereksinim analizi | ✅ | ✅ | ✅ |
| Mimari tasarım | — | ✅ | ✅ |
| Detaylı tasarım | — | — | ✅ |
| Birim test | — | — | ✅ |
| Entegrasyon testi | — | ✅ | ✅ |
| Sistem testi | ✅ | ✅ | ✅ |
Yazılım Yaşam Döngüsü Süreçleri
1. Yazılım Geliştirme Planlaması
- Geliştirme yaşam döngüsü modelinin seçimi (Waterfall, Agile, V-Model)
- Konfigürasyon yönetimi planı
- Yazılım doğrulama (verification) ve test planları
2. Yazılım Gereksinim Analizi
- Fonksiyonel ve performans gereksinimleri
- Arayüz gereksinimleri (donanım, diğer yazılımlar, kullanıcı)
- Güvenlik gereksinimleri (risk analizinden türetilen)
- Düzenleyici gereksinimler
3. Yazılım Mimari Tasarım
- Yazılım bileşenlerinin tanımlanması
- Bileşenler arası arayüzler
- SOUP (Software of Unknown Provenance) bileşenlerinin belirlenmesi
- Mimari risk değerlendirmesi
4. Detaylı Tasarım
- Her bileşenin detaylı tasarımı (Sınıf C için zorunlu)
- Algoritmalar, veri yapıları, arayüz detayları
- Tasarım kararlarının dokümantasyonu
5. Yazılım Birim Implementasyonu ve Doğrulaması
- Kodlama standartlarına uygunluk
- Statik analiz ve kod inceleme
- Birim testler (Sınıf C için zorunlu)
6. Yazılım Entegrasyon ve Test
- Bileşenlerin entegrasyonu ve entegrasyon testleri
- Regresyon testleri
- Arayüz testleri
7. Yazılım Sistem Testi
- Gereksinimlere karşı sistem doğrulaması
- Performans, yük ve stress testleri
- Kullanılabilirlik testleri
8. Yazılım Sürüm Yönetimi
- Sürüm kontrol ve konfigürasyon yönetimi
- Değişiklik kontrol prosedürleri
- Yama ve güncelleme yönetimi
SOUP (Software of Unknown Provenance)
IEC 62304'ün kritik kavramlarından biri SOUP'tur:
- Tanım: Tıbbi cihaz yazılımı için özel olarak geliştirilmemiş, harici kaynaklı yazılım bileşenleri
- Örnekler: Açık kaynak kütüphaneler, işletim sistemleri, RTOS, veritabanları, üçüncü parti SDK'lar
- Gereksinimler: SOUP bileşenleri tanımlanmalı, risk değerlendirmesi yapılmalı, güncelleme ve anomali izleme planı oluşturulmalıdır
Tıbbi Cihaz Sektöründe Profesyonel Yetkinlik
ISO 13485, MDR/IVDR regülasyonları ve CE belgelendirme süreçlerini uygulamalı eğitimlerle öğrenin.
Eğitimleri KeşfetISO 13485
Tıbbi cihaz kalite yönetim sistemi
MDR/IVDR
AB tıbbi cihaz ve IVD regülasyonları
Risk Yönetimi
ISO 14971 risk analizi ve değerlendirmesi
CE Belgelendirme
Teknik dosya ve uygunluk değerlendirmesi
IEC 62304 ve Agile Geliştirme
IEC 62304 Amendment 1 (2015), Agile metodolojilerin kullanımını kolaylaştırmıştır:
- Sprint bazlı geliştirme: Her sprint sonunda doğrulanmış ve dokümante edilmiş yazılım artışı
- Sürekli entegrasyon: Otomatik test ve derleme pipeline'ları
- Traceability: Gereksinim → tasarım → kod → test izlenebilirliği araçlarla sağlanır
Düzenleyici Bağlam
| Düzenleyici | IEC 62304 Rolü |
|---|---|
| MDR (AB) | Harmonize standart, CE işaretlemesi için referans |
| FDA | Recognized consensus standard, 510(k)/PMA başvurularında kabul |
| TİTCK | MDR uyumlu Türkiye mevzuatında referans |
| Health Canada | Kabul edilen standart |
Sıkça Sorulan Sorular
SaMD ile geleneksel tıbbi cihaz yazılımı arasındaki fark nedir?
SaMD (Software as a Medical Device) donanımdan bağımsız olarak tıbbi amaçla kullanılan yazılımdır (örn: AI tanı uygulaması). Geleneksel tıbbi cihaz yazılımı ise bir donanımın parçası olarak çalışır (örn: MR cihazı yazılımı). Her ikisi de IEC 62304 kapsamındadır ancak SaMD için IMDRF sınıflandırma çerçevesi de uygulanır.
IEC 62304 ve IEC 82304 arasındaki fark nedir?
IEC 62304 yazılım geliştirme süreçlerini, IEC 82304 ise sağlık yazılım ürünlerinin genel gereksinimlerini kapsar. IEC 82304, IEC 62304'e atıfta bulunur ve ek olarak kullanıcı dokümantasyonu, veri güvenliği ve kurulum gereksinimlerini içerir.
Yazılım güvenlik sınıfı nasıl belirlenir?
ISO 14971 risk yönetimi sürecinin çıktılarına göre belirlenir. Yazılım hatasının olası en kötü sonucu değerlendirilir: ölüm/ciddi yaralanma → Sınıf C, ciddi olmayan yaralanma → Sınıf B, sağlık hasarı olasılığı yok → Sınıf A.
Sonuç
IEC 62304, tıbbi cihaz yazılımı geliştiren tüm kuruluşlar için temel standarttır. Yazılım güvenlik sınıflandırması, yaşam döngüsü süreçleri ve SOUP yönetimi kavramlarına hâkimiyet, bu alanda çalışan yazılım mühendisleri ve kalite uzmanları için zorunludur.
