Validations des applications logicielles selon la Norme ISO 13485:2016

Introduction

Dans le secteur des dispositifs médicaux, la conformité aux normes de qualité est essentielle pour garantir la sécurité et l’efficacité des produits. La norme ISO 13485:2016, qui spécifie les exigences relatives aux systèmes de management de la qualité pour les dispositifs médicaux, joue un rôle crucial dans ce processus. L’une des composantes clés de cette norme est la validation des applications logicielles utilisées dans le système de management qualité, mais également dans le développement, la fabrication et la surveillance des dispositifs médicaux.

Attention, ici on ne parle pas de la validation des logiciels qui sont considérés comme des dispositifs médicaux (application sur smarphone, …) ou qui sont intégrés dans des dispositifs médicaux, mais bien des logiciels utilisés par un fabricant ou un sous-traitant dans le cadre de son activité.

C’est quoi la validation des applications logicielles ?

Il est importat de ne pas confondre le rôle du développeur de l’application qui est seul responsable du développement et du test de l’application, et votre rôle d’utilisateur du logiciel. C’est pourquoi il est primordial de comprendre que ce qui est requis, ce n’est pas de valider le logiciel lui-même, mais de valider son application ou son utilisation.

Par exemple, on ne va pas valider qu’Excel sans faire une addition, normalement Microsoft a vérifié ce détail …. par contre, si vous utiliser Excel pour faire des calculs afin d’imprimer un certificat d’analyse, on va valider que la récupération des données et les formules utilisées pour les traiter sont conformes aux attentes, et donc que le certificat d’analyse généré est conforme.

Il est donc essentiel de lister l’ensemble des logiciels utilisés et pour chacun, définir son utilisation de manière la plus exhaustive possible.

Faut-il valider toutes les applications logicielles utilisées ?

Non bien sûr … La norme ISO 13485:2016 impose la validation des applications logicielles utilisés dans le SMQ avec une approche proportionnée au risque associé à son utilisation.

Exemple : Faut-il valider Word car je l’utilise pour éditer mes certificats de conformité ? La réponse est à priori non, car si Word n’est utilisé que pour saisir manuellement des données, c’est donc un outil passif et vous être seul responsable des données saisies. Attention cependant, si vous utilisez les fonctions de publipostage pour récupérer des données dans des bases de données pour votre certificat de conformité, une validation pourrait être nécessaire.

Pourquoi la Validation des Applications Logicielles est-elle cruciale ?

La validation des applications logicielles est un processus systématique qui vise à garantir que le logiciel répond aux exigences spécifiées et fonctionne comme prévu dans son environnement d’utilisation. Dans le contexte des dispositifs médicaux, cela est particulièrement important pour plusieurs raisons :

  • Sécurité des Patients : Un logiciel défectueux peut compromettre la sécurité des patients. La validation permet d’identifier et de corriger les erreurs avant la mise sur le marché.
  • Conformité Réglementaire : Les organismes de réglementation exigent que les logiciels utilisés dans les dispositifs médicaux soient validés conformément à la norme ISO 13485. Cela inclut la documentation des processus de validation.
  • Amélioration de la Qualité : La validation contribue à l’amélioration continue des processus et des produits, ce qui renforce la confiance des clients et des parties prenantes.

Étapes de la Validation des Applications Logicielles

La validation des applications logicielles selon l’ISO 13485 se déroule généralement en plusieurs étapes :

  1. Planification de la Validation : Élaboration d’un plan de validation qui définit les objectifs, les ressources nécessaires et les critères d’acceptation.
  2. Analyse des Risques : Identification et évaluation des risques associés à l’utilisation du logiciel, afin de mettre en place des mesures d’atténuation appropriées.
  3. Tests de Validation : Exécution de tests fonctionnels et non fonctionnels pour vérifier que le logiciel répond aux exigences spécifiées. Cela inclut des tests unitaires, des tests d’intégration et des tests d’acceptation. La méthodologie la plus courante est la QI-QO-QP. A chaque fois, il faudra rédiger un protocole (qui définira la marche à suivre, les conditions requis pour commencer, les scénarios de tests à réaliser avec leurs critères d’acceptation), un rapport pour saisir les résultats des scénarios de tests et au final rédiger un rapport présentant la conclusion de la phase). Cette démarche est valable pour
    • QI : Qualification d’Installation
    • QO : Qualification Opérationnelle
    • QP : Qualification de Performance
  4. Documentation : Rédaction de rapports de validation détaillant les résultats des tests, les anomalies détectées et les actions correctives mises en place.
  5. Revue et Approbation : Soumission des résultats de la validation pour examen et approbation par les parties prenantes concernées.
  6. Maintien de l’état validé : Mise en place d’un processus de surveillance pour détecter et traiter les problèmes qui pourraient survenir après la mise en production du logiciel. Il faudra veiller également à s’assurer avant les mises à jour qu’il n’y aura pas d’impact sur la validation ou mettre en place une nouvelle validation (qui peut être limitée aux impacts de la mise à jour identifiés)

Cette validation est requise pour les applications logicielles avant leur 1iere utilisation ou après un mise à jour.

QI : Qualification d’Installation

La QI, dans le cadre d’une application logicielle, consiste principalement à assurer que le logiciel correspond bien au cahier des charges.

C’est principalement une phase documentaire. On vérifiera ainsi que les besoins utilisateurs sont bien couverts, que les options requises ont bien été commandées (et les éventuelles clés logiciels sont disponibles).

On va s’assurer que le logiciel est installé correctement par rapport aux spécifications du fournisseur (Système d’exploitation, Taille disque Dur, Capacité mémoire, ..) que les options logicielles sont bien installées.

QO : Qualification Opérationnelle

La QO, dans le cadre d’une application logicielle, consiste principalement à vérifier que le logiciel fonctionne correctement par rapport aux attentes et répond aux besoins utilisateurs

  • Les conditions de tests sont principalement basés sur un fonctionnement simple et courant de l’application.
  • Selon les logiciels, plusieurs scénarios sont possibles:
    • Pour un logiciel standard, sans paramétrage, on vérifiera que les fonctions requises sont disponibles
    • Pour un logiciel plus complexe, avec du paramétrage par exemple, on vérifiera que les fonctions principales répondent aux besoins utilisateurs avec les paramétrages standards (exemple : impression d’une facture avec un ERP sans avoir personnaliser le template)

Par exemple, pour si une gestion de droits par utilisateur est requise, dans la QO, on vérifiera uniquement que l’on peut créer des utilisateurs et pour chacun leur attribuer des rôles.

On pourra également vérifier que si on doit saisir des valeurs entre -10.0 et 150.0, le logiciel accepte bien dans le champs de saisie des valeurs décimales et qu’on peut saisir des valeurs négatives….

QP : Qualification de Performance

La QP, dans le cadre d’une application logicielle, consiste principalement à assurer que le logiciel, dans des conditions d’utilisation normale (en production) répond aux exigences et fourni les résultats attendus.

Avant cette QP, on aura au préalable réaliser la configuration (ou paramétrage) complet de l’application, comme par exemple :

  • Création des comptes utilisateurs et paramétrage de leurs droits d’accès
  • Création ou mise à jour des formulaires (ou templates) pour éditer les documents
  • Paramétrage des différents équipements connectés (imprimantes, Bases de données, périphériques, IoT, ….)
  • Mise en place des procédures de sauvegardes des données

On aura également au préalable de la QP, réalisé la formation des utilisateurs.

Et pendant la QP, on utilisera la configuration définie, afin de s’assurer qu’elle répond aux besoins :

  • Pour des comptes utilisateurs échantillonnés, les droits sont ils conformes ?
  • Les documents générés sont-ils conformes ?
  • Les différents périphériques fonctionnent-ils ?
  • Les sauvegardes sont être réalisés conformément aux attentes ?

Dans certains cas, on peut envisager le déroulement de la QP en 2 phases :

  • QP 1 – Avant la mise en production : S’assurer pour le début de l’utilisation du logiciel que le niveau de confiance est suffisant pour la production. Il pourra être recommandé une surveillance des données de sorties accrue pendant la phase de QP 2.
  • QP 2 – Après la mise en production et pour une durée définie (plusieurs semaines ou plusieurs mois) : S’assurer que dans des conditions de productions normales le niveau de confiance dans l’application logicielle est conforme aux attentes.

A la fin de la QP 2, un rapport final sera rédigé, afin de conclure et rendre pleinement possible l’utilisation du logiciel en production (et en supprimant les mesures de surveillance exceptionnelle décidées pour la QP 2)

Pour aller plus loin :

ISO/TR 80002-2:2017 : Logiciels de dispositifs médicaux – Partie 2: Validation des logiciels pour les systèmes de qualité des dispositifs médicaux