Файл жизненного цикла ПО по ГОСТ IEC 62304-2022: полное руководство по созданию и ведению

Файл жизненного цикла программного обеспечения представляет собой обязательный комплект документов для регистрации медицинского ПО в соответствии с требованиями ГОСТ IEC 62304-2022 и успешного прохождения экспертизы Росздравнадзора.

Что такое файл жизненного цикла программного обеспечения и зачем он нужен

Файл жизненного цикла программного обеспечения (ФЖЦПО) — это структурированная совокупность документов, которая содержит полную историю создания, тестирования и сопровождения медицинского программного обеспечения. Этот комплект служит доказательством соблюдения всех требований безопасности при разработке медицинских изделий с программными компонентами.

Требования ГОСТ IEC 62304-2022 к разработке медицинского ПО

ГОСТ IEC 62304-2022 представляет собой российскую версию международного стандарта, который устанавливает требования к процессам жизненного цикла медицинского программного обеспечения. Стандарт действует с 1 сентября 2023 года и применяется ко всем медицинским изделиям, содержащим программные компоненты.

Область применения стандарта ГОСТ IEC 62304-2022:

• Встроенное ПО в медицинских устройствах
• Самостоятельные программные медицинские изделия (SaMD)
• Системы управления медицинским оборудованием

Более подробно вопрос применения и особенностей стандарта ГОСТ IEC 62304-2022 мы рассмотрели в отдельной статье.

Цели создания и ведения файла жизненного цикла ПО

Основные задачи ФЖЦПО для медицинских изделий

Цель	Описание	Практическая польза
Обеспечение безопасности	Документирование всех мер по минимизации рисков для пациентов	Снижение вероятности медицинских ошибок
Соответствие регулятивным требованиям	Подтверждение выполнения всех пунктов ГОСТ IEC 62304-2022	Упрощение процедуры регистрации медизделия
Прослеживаемость разработки	Связывание требований с кодом и тестами	Быстрое выявление источников проблем
Управление изменениями	Контроль всех модификаций ПО	Предотвращение непреднамеренных нарушений безопасности

Преимущества ведения ФЖЦПО для разработчиков медицинского ПО

• Ускорение экспертизы — готовый комплект документов сокращает время рассмотрения заявки
• Снижение затрат — систематический подход предотвращает дорогостоящие переделки
• Международная совместимость — соответствие требованиям FDA и MDR
• Упрощение аудитов — вся необходимая информация собрана в одном месте

Основные процессы жизненного цикла ПО по ГОСТ IEC 62304-2022

1. Процесс планирования разработки медицинского ПО

Ключевые моменты:

• План разработки программного обеспечения
• Назначение ролей и ответственностей
• Выбор модели жизненного цикла

Что документируется:

• Определение класса безопасности ПО (A, B или C)
• Стратегия интеграции с системой управления качеством
• Планы верификации (проверки соответствия требованиям) и валидации (оценки пригодности ПО к использованию)

2. Процесс разработки медицинского ПО

Этапы и их результаты:

Этап	Документы	Требования по классам
Анализ требований	Спецификация требований к ПО	A, B, C
Архитектурное проектирование	Архитектурные диаграммы, описание интерфейсов	A, B, C
Детальное проектирование	Спецификации компонентов	B, C
Реализация	Исходный код, результаты ревью	A, B, C
Интеграция и тестирование	Протоколы тестов, отчеты о дефектах	A, B, C

3. Процесс управления рисками в медицинском ПО

Обязательные элементы:

• Анализ опасностей программного обеспечения
• Оценка рисков с учетом вероятности и тяжести последствий
• Разработка мер контроля рисков
• Верификация эффективности мер контроля

Процесс заключается во выявлении потенциальных опасностей в ПО и оценке каждого риска по вероятности его возникновения и тяжести последствий, после чего разрабатываются и внедряются меры по снижению этих рисков и проверяется их действительная эффективность.

4. Процесс управления конфигурацией медицинского ПО

Документирование включает:

• Идентификацию всех элементов конфигурации
• Контроль изменений в программном обеспечении
• Управление версиями и релизами
• Отчеты о состоянии конфигурации

Процесс, в котором все элементы ПО (исходные коды, документация, инструменты и т.п.) чётко идентифицируются и отслеживаются, изменения регистрируются и контролируются, а выпуск новых версий и релизов формализован и сопровождается отчётами о текущем состоянии конфигурации.

5. Процесс решения проблем в медицинском ПО

Необходимые записи:

• Регистрация и классификация проблем
• Анализ влияния на безопасность
• Планы корректирующих действий
• Верификация устранения проблем

Процесс, в котором все выявленные проблемы регистрируются и классифицируются, оценивается их влияние на безопасность ПО, разрабатываются и внедряются корректирующие действия, а затем проверяется, корректно ли они устранили обнаруженные дефекты.

Классификация программного обеспечения по безопасности

Класс	Потенциальный вред	Примеры	Требования к документации
A	Отсутствие травм	Справочные приложения	Базовый набор документов
B	Несерьезная травма	Системы мониторинга	Расширенная документация
C	Смерть или серьезная травма	Системы жизнеобеспечения	Полный комплект документов

Как создать Файл жизненного цикла ПО (ФЖЦПО), который одобрит Росздравнадзор

Пошаговое руководство по созданию файла жизненного цикла ПО

Этап 1: Планирование структуры файла

Создание организационной основы:

1. Определите ответственного за ведение ФЖЦПО
2. Выберите систему хранения документов (Git, SharePoint, специализированная QMS)
3. Разработайте схему нумерации документов
4. Создайте матрицу соответствия требованиям стандарта

Рекомендуемая структура папок ФЖЦПО:

ФЖЦПО/
├── 01_Планирование/
├── 02_Требования/
├── 03_Архитектура/
├── 04_Реализация/
├── 05_Тестирование/
├── 06_Управление_рисками/
├── 07_Конфигурация/
├── 08_Решение_проблем/
└── 09_Релизы_и_сопровождение/

Этап 2: Определение класса безопасности медицинского ПО

Алгоритм классификации:

1. Проанализируйте функции программного обеспечения
2. Оцените потенциальный вред при отказе каждой функции
3. Присвойте класс безопасности согласно наиболее критичной функции
4. Задокументируйте обоснование выбора класса

Этап 3: Разработка и заполнение документов ФЖЦПО

Приоритетная последовательность создания документов:

1. План разработки ПО:

• Цели и область применения Программного обеспечения
• Роли и ответственности команды
• Выбранная модель жизненного цикла
• Критерии завершения этапов разработки

2. Спецификация требований к ПО

• Функциональные требования
• Требования к производительности Программного обеспечения
• Требования к безопасности ПО
• Ограничения и предположения

3. Архитектурная документация

• Диаграммы системной архитектуры

Графическое представление ключевых компонентов системы и их взаимосвязей, которое помогает разработчикам и заинтересованным сторонам увидеть общую структуру ПО и понять, как данные и функционал перемещаются между модулями)

• Описание интерфейсов

Документ, в котором подробно прописаны методы и форматы обмена данными между компонентами или с внешними системами, чтобы обеспечить согласованность взаимодействия и упростить интеграцию

• Спецификации SOUP-компонентов

Набор требований и характеристик для «готовых к использованию» (Commercial-Off-The-Shelf) программных модулей, который помогает оценить их потенциальное воздействие на безопасность и интегрировать их в систему с учётом рисков)

4. Файл управления рисками

• Реестр опасностей

Документ, в котором систематически фиксируются все потенциальные источники вреда в ПО, чтобы обеспечить их дальнейший анализ и отслеживание

• Оценка рисков

Процесс количественной или качественной работы с каждым зафиксированным опасным событием для определения вероятности его наступления и тяжести последствий

• Меры контроля
• План верификации мер контроля

Набор шагов и критериев, по которым проверяется эффективность реализованных мер контроля в реальных или смоделированных условиях

Этап 4: Обеспечение трассируемости в ФЖЦПО

Создание связей между элементами:

• Каждое требование должно быть связано с тестом
• Код должен ссылаться на соответствующие требования
• Тесты должны проверять меры контроля рисков
• Дефекты должны прослеживаться до исходных требований

Требования к оформлению документов файла жизненного цикла ПО

Обязательные элементы каждого документа

Титульная информация:

• Уникальный идентификатор документа
• Версия и дата создания
• Автор и утверждающее лицо
• Статус документа (черновик, утвержден, архивный)

Управление версиями:

• История изменений с указанием автора и причин внесения изменений
• Контроль доступа к редактированию
• Архивирование предыдущих версий

Специальные требования для экспертизы Росздравнадзора

Языковые требования:

• Основная документация на русском языке
• Допускается приложение оригиналов на английском языке
• Техническая терминология должна соответствовать российским стандартам

Форматирование и представление:

• Четкая структура с заголовками и подзаголовками
• Нумерация страниц и разделов
• Перекрестные ссылки между документами
• Графические схемы с подписями на русском языке

Контроль качества и внутренний аудит при подготовке к экспертизе Росздравнадзора

Чек-лист для самопроверки файла жизненного цикла ПО

Полнота документации:

• ☐ Все требуемые стандартом документы присутствуют
• ☐ Каждый документ имеет актуальную версию
• ☐ Отсутствуют разрывы в трассируемости
• ☐ Все ссылки между документами функционируют

Техническое соответствие:

• ☐ Класс безопасности определен и выбор тщательно обоснован
• ☐ Все выявленные риски имеют меры контроля
• ☐ Тестовое покрытие соответствует классу безопасности ПО
• ☐ SOUP-компоненты проанализированы на безопасность

Процессное соответствие:

• ☐ Назначены ответственные лица за каждый процесс
• ☐ Процедуры управления изменениями определены
• ☐ Процесс решения проблем документирован
• ☐ План сопровождения и поддержки создан

Рекомендации по проведению внутреннего аудита при работе с ФЖЦПО

Периодичность проверок:

• Предварительный аудит перед каждым релизом
• Плановые аудиты раз в квартал
• Внеплановые проверки при значительных изменениях

Методика аудита:

1. Сравнение фактического содержания ФЖЦПО с требованиями стандарта ГОСТ IEC 62304-2022
2. Проверка актуальности документов и соответствия реальному состоянию ПО
3. Анализ полноты покрытия всех процессов жизненного цикла
4. Верификация трассируемости между различными артефактами

Временные рамки подготовки к экспертизе Росздравнадзора

За 3 месяца до подачи:

• Завершение всех документов Файла жизненного цикла ПО
• Проведение комплексного внутреннего аудита
• Устранение всех выявленных несоответствий
• Подготовка сводного отчета о соответствии

За 1 месяц до подачи:

• Финальная сверка всех документов
• Подготовка электронных копий в требуемых форматах
• Создание навигационного индекса по файлу
• Подготовка ответов на типовые вопросы экспертов

Практические рекомендации по ведению Файла жизненного цикла ПО

Автоматизация процессов документирования ФЖЦПО

Интеграция с инструментами разработки:

• Автоматическое извлечение метрик покрытия кода

Процесс, при котором система сборки или специализированный плагин автоматически собирает данные о том, какая часть исходного кода была выполнена в ходе тестов, чтобы оценивать полноту тестового покрытия

• Генерация отчетов о тестировании из CI/CD систем

Автоматизированное создание и публикация результатов выполнения тестов (юнит-, интеграционных, приёмочных) сразу после каждого прогона в конвейере непрерывной интеграции и доставки

• Синхронизация версий документов с релизами ПО

Механизм, при котором при каждом выпуске новой версии программного обеспечения соответствующие документы (технические спецификации, инструкции, планы тестирования) автоматически обновляются и маркируются тем же номером версии.

• Автоматическое обновление матрицы трассируемости

Автоматический пересчёт и обновление связей между требованиями, тестами и исходным кодом при изменении любого из этих артефактов, чтобы гарантировать актуальность и полноту трассируемости

Рекомендуемые инструменты для ФЖЦПО:

• Управление требованиями: DOORS, Polarion, Azure DevOps
• Управление тестированием: TestRail, qTest, Zephyr
• Документооборот: Confluence, SharePoint, DocuWare
• Управление рисками: MasterControl, Greenlight Guru

Частые ошибки при работе с ФЖЦПО и способы их избежать

Проблема	Последствия	Решение
Документирование по факту	Потеря деталей, неточности	Ведение документов параллельно с разработкой
Отсутствие версионирования	Путаница в версиях, потеря истории	Строгий контроль версий всех документов
Слабая трассируемость	Сложность анализа изменений	Использование специализированных ALM-систем
Неполное тестирование	Пропуск критичных дефектов	Тест-планы, основанные на анализе рисков

Экспертная поддержка

Файл жизненного цикла программного обеспечения является ключевым элементом соответствия требованиям ГОСТ IEC 62304-2022. Правильно организованный и поддерживаемый ФЖЦПО не только обеспечивает успешное прохождение экспертизы Росздравнадзора, но и служит основой для эффективного управления качеством и безопасностью медицинского программного обеспечения на протяжении всего его жизненного цикла.

Инвестиции в создание качественного ФЖЦПО окупаются за счет сокращения времени регистрации медицинских изделий, снижения рисков отказов от регулятора и упрощения процессов сопровождения и обновления программного обеспечения.

Компания ООО ЕЦЭС «КВОЛИТИ» обладает многолетним опытом в сфере регистрации и сертификации медицинских изделий. Наши эксперты глубоко понимают все тонкости законодательных требований и помогут вам в разработке документации, которая сможет пройти экспертизу регулятора.