ГОСТ IEC 62304-2022: полное руководство по стандарту разработки программного обеспечения медицинских изделий
ГОСТ IEC 62304-2022 устанавливает обязательные требования к разработке программного обеспечения медицинских изделий, определяя процессы жизненного цикла от планирования до сопровождения и классификацию по уровням безопасности.
Чтобы начать процесс сертификации уже сегодня
Свяжитесь с нами удобным способом:
8 812-309-89-10
Заявка на сайте 
Мы работаем с российскими и зарубежными производителями, обеспечивая полную конфиденциальность. Помогаем ускорить получение регистрационного удостоверения и избежать типичных ошибок.
Что такое ГОСТ IEC 62304-2022 и почему он критически важен для медицинского софта
ГОСТ IEC 62304-2022 «Изделия медицинские. Программное обеспечение. Процессы жизненного цикла» представляет собой межгосударственный стандарт, регламентирующий требования к разработке и сопровождению программного обеспечения для медицинских изделий.
Данный документ является адаптированной версией международного стандарта IEC 62304 и устанавливает комплексную систему процессов для обеспечения безопасности медицинского программного обеспечения на всех этапах его существования — от первоначального планирования до окончательного вывода ПО из эксплуатации.
Область применения стандарта
Стандарт распространяется на:
- Автономное медицинское ПО (SaMD) — диагностические приложения, облачные платформы анализа данных
- Встроенное программное обеспечение медицинских устройств — прошивки аппаратов ЭКГ, инфузионных насосов, системы управления оборудованием
- Программы технического обслуживания — ПО для калибровки, настройки и мониторинга медтехники
История принятия стандарта ГОСТ IEC 62304-2022
Хронология разработки стандарта
Подготовка проекта стандарта была осуществлена в 2022 году рабочей группой, состоящей из представителей трех организаций: ООО «МЕДИТЕСТ», ООО «Аурига» и ООО «ЭЛТА».
30 сентября 2022 года стандарт был принят Межгосударственным советом по стандартизации в рамках протокола №154-П. Спустя менее чем месяц, 26 октября 2022 года, документ был официально утвержден в Российской Федерации приказом Росстандарта №1196-ст.
Стандарт вступил в силу 1 сентября 2023 года и с этой даты действует на территории России и других стран-участниц соглашения о межгосударственной стандартизации.
Предыстория и замещение предыдущих версий
До введения ГОСТ IEC 62304-2022 в России действовал ГОСТ Р МЭК 62304-2013, который был отменен с 1 сентября 2023 года. Новый стандарт содержит существенные обновления и дополнения по сравнению с предшественником.
Правовой статус ГОСТ IEC 62304-2022: обязательно или добровольно
Согласно российскому законодательству, ГОСТ IEC 62304-2022 имеет добровольный статус применения, как и большинство национальных стандартов.
Однако на практике соблюдение стандарта становится де-факто обязательным в следующих случаях:
- При регистрации медицинских изделий в Росздравнадзоре
- При включении в единый реестр медицинских изделий ЕАЭС
- При получении разрешений на производство и реализацию
По какой причине: Стандарт включен в официальный перечень документов, соблюдение которых подтверждает выполнение общих требований безопасности и эффективности медицинских изделий.
Если выбираете альтернативный путь, придётся доказывать эквивалентный уровень безопасности ручным обоснованием, а это потребует:
- Проведения дополнительных экспертиз
- Увеличенных временных затрат
- Повышенных финансовых расходов
Классификация программного обеспечения по безопасности согласно ГОСТ IEC 62304-2022
Система классов безопасности
Стандарт устанавливает трехуровневую классификацию ПО в зависимости от потенциального вреда при его неисправности:
| Класс | Уровень риска | Последствия сбоя | Примеры применения |
|---|---|---|---|
| A | Отсутствие вреда | Невозможность причинения травм | Справочные приложения, информационные системы |
| B | Несерьезный вред | Возможны легкие травмы | ПО физиотерапевтического оборудования |
| C | Серьезный вред | Тяжелые травмы или смерть | Системы дозирования лекарств, мониторинга жизненных функций |
Влияние класса на требования
Класс безопасности определяет:
- Объем необходимой документации для подтверждения
- Глубину тестирования
- Количество этапов верификации и валидации
- Требования к управлению рисками
Структура требований (разделы стандарта ГОСТ IEC 62304-2022)
- Общие требования к организации: Установление политики качества, назначение ответственных лиц, определение класса безопасности ПО, создание системы документооборота.
Настройка понятного «маршрута» для всех документов по ПО: где они создаются, кто их утверждает, как хранятся и как быстро можно найти нужную версию, чтобы всегда была прослеживаемость «требование → код → тест».
- Процесс планирования разработки: План разработки программного обеспечения, стратегия верификации и валидации, управление рисками на этапе планирования, определение стандартов кодирования.
Выбор и документирование единых правил для программистов (как называть переменные, писать комментарии, обрабатывать ошибки, использовать безопасные библиотеки), чтобы код был единообразным, легко проверялся и снижал риск скрытых дефектов на всём жизненном цикле.
- Анализ требований к ПО: Формализация функциональных требований, определение требований безопасности, анализ интерфейсов системы, создание матрицы трассируемости.
Этап, где команда приводит запросы пользователей и регулятора в строгие, проверяемые формулировки — описывает, что должно делать ПО, какие риски оно не должно создавать, каким образом оно общается с другими частями системы и фиксирует всё это в матрице трассируемости, чтобы каждое требование потом легко «увидеть» в коде и в тестах.
- Архитектурное проектирование: Разработка архитектуры системы, декомпозиция на программные элементы, определение интерфейсов между компонентами, спецификация аппаратно-программных интерфейсов.
Этап, где разрабатывается «чертёж» всего ПО: определяют крупные блоки системы, разбивают их на мелкие модули, прописывают, как блоки обмениваются данными, и подробно описывают, через какие порты, сигналы или протоколы программа общается с аппаратной частью устройства.
- Детальное проектирование: Подробные спецификации программных модулей, алгоритмы и структуры данных, интерфейсы программных элементов.
Это элементы стадии детального проектирования: для каждого программного модуля нужно подготовить подробное описание (спецификацию), где фиксируются применяемые алгоритмы и структуры данных, а также строго определяются его интерфейсы — то есть, какие входы-выходы и правила взаимодействия используются между модулями.
- Реализация (кодирование): Соблюдение стандартов кодирования, документирование исходного кода, проведение промежуточных проверок.
Это этап реализации, когда программисты пишут код: они обязаны соблюдать утверждённые стандарты кодирования, оформлять комментарии и служебную документацию к исходникам, а также регулярно проводить промежуточные ревью и тесты, чтобы сразу ловить ошибки и подтверждать соответствие требованиям.
Процессы верификации и валидации согласно ГОСТ IEC 62304-2022
Верификация программных элементов: Статический анализ кода, динамическое тестирование, анализ покрытия кода тестами.
Интеграционное тестирование: Тестирование взаимодействия компонентов, проверка интерфейсов, анализ производительности системы.
Системное тестирование: Функциональное тестирование, тестирование безопасности, юзабилити-тестирование.
Управление рисками программного обеспечения
Типы анализируемых рисков:
- Функциональные сбои (случаи, когда программа работает не так, как задумано, и это влияет на её медицинское назначение)
- Отказы безопасности (ситуации, создающие угрозу здоровью пациента или оператора (например, неправильные дозы, утрата тревоги)
- Киберугрозы (взлом, вредоносное вмешательство или утечка данных, способные нарушить работу или конфиденциальность)
- Человеческий фактор (ошибки пользователя или обслуживающего персонала, вызванные непонятным интерфейсом, сложными процедурами и т.п.)
Методы снижения рисков: Архитектурные решения, дополнительные проверки, резервирование критических функций, предупреждающие сообщения пользователю.
Риски уменьшают за счёт продуманной архитектуры (чтобы изолировать опасные функции), включения дополнительных проверок и тестов, дублирования (резервирования) ключевых компонентов, а также вывода понятных предупреждений, помогающих пользователю предотвратить ошибку.
Процессы сопровождения
Техническая поддержка:
- Мониторинг работы ПО после выпуска
- Обработка сообщений о проблемах
- Выпуск обновлений и исправлений
После вывода изделия на рынок разработчик должен непрерывно отслеживать работу ПО, оперативно регистрировать и разбирать сообщения о сбоях, а при необходимости выпускать патчи и обновления, чтобы устранить дефекты и сохранить безопасность и эффективность системы.
Управление конфигурацией
- Контроль версий исходного кода
- Управление изменениями
- Отслеживание состава программного продукта
Нужно вести систему контроля версий для всего исходного кода, формально отслеживать и утверждать любые изменения, а также хранить точные списки того, из каких файлов и библиотек состоит каждая выпущенная версия ПО, чтобы её можно было однозначно восстановить и проверить.
Ключевые изменения стандарта ГОСТ IEC 62304-2022 в версии 2022 года
Новые требования к устаревшему ПО
Стандарт впервые устанавливает процедуры для программного обеспечения, разработанного до введения текущих требований:
- Ретроспективная оценка соответствия
- План приведения к требованиям стандарта
- Документирование исторических решений
Обновленная классификация безопасности
- Уточнение критериев отнесения к классам
- Усиление подхода, основанного на анализе рисков
- Расширение примеров классификации
Новые обязательные процессы:
Процесс управления конфигурацией ПО (раздел 8): контроль изменений, управление версиями, трассируемость требований.
Процесс разрешения проблем ПО (раздел 9): система обработки инцидентов, анализ влияния проблем, корректирующие и предупреждающие действия.
Как подтвердить соответствие стандарту ГОСТ IEC 62304-2022
Этапы подготовки к сертификации
Этап 1: Анализ текущего состояния: Аудит существующих процессов разработки, выявление несоответствий требованиям стандарта, составление плана устранения недостатков
Этап 2: Внедрение системы менеджмента качества: Политика качества организации, назначение ответственных за качество ПО, документирование процессов, обучение персонала
Этап 3: Создание проектной документации
Обязательные документы:
| Тип документа | Назначение | Класс ПО |
|---|---|---|
| План разработки ПО | Общая стратегия проекта | A, B, C |
| Спецификация требований | Функциональные и нефункциональные требования | A, B, C |
| Архитектурная документация | Структура системы | B, C |
| План управления рисками | Идентификация и контроль рисков | A, B, C |
| Протоколы тестирования | Результаты верификации и валидации | A, B, C |
| Руководство пользователя | Инструкции по эксплуатации | A, B, C |
Процедуры подтверждения соответствия
Внутренний аудит: Полнота документации, соответствие процессов стандарту, эффективность системы управления рисками, готовность к внешней оценке.
Испытания в аккредитованной лаборатории: Функциональное тестирование, тестирование безопасности, проверка кибербезопасности, эргономические испытания.
Экспертиза в уполномоченном органе
Варианты подтверждения соответствия:
- В рамках регистрации медизделия: Включение отчета по ГОСТ IEC 62304-2022 в регистрационное досье, экспертиза в Росздравнадзоре или нотифицированном органе ЕАЭС
- Добровольная сертификация: Получение сертификата соответствия в системе сертификации, использование для ускорения регистрационных процедур
Взаимосвязь стандарта ГОСТ IEC 62304-2022 с другими стандартами
Обязательные сопутствующие стандарты
ISO 14971 — Управление рисками медицинских изделий
Области пересечения: Методология анализа рисков, документирование процесса управления рисками, оценка остаточного риска.
ISO 13485 — Система менеджмента качества
Роль в системе: Общие принципы управления качеством, процессы корректирующих и предупреждающих действий, управление документацией.
Рекомендуемые дополнительные стандарты
IEC 62366-1 — Применение процессов инженерии эргономики
Применение для: Проектирования пользовательских интерфейсов, анализа ошибок использования, валидации удобства использования.
IEC 82304-1 — Программное обеспечение как медицинское изделие
Дополнительные требования: Жизненный цикл программного продукта, постмаркетинговый надзор, управление изменениями после выпуска.
Практические рекомендации по внедрению стандарта ГОСТ IEC 62304-2022
Для малых и средних компаний
Поэтапный подход к внедрению
- Фаза 1: Создание базовой документации (3-6 месяцев)
- Фаза 2: Внедрение процессов разработки (6-12 месяцев)
- Фаза 3: Полная интеграция с системой качества (12-18 месяцев)
Минимальный набор документов для класса A: План разработки ПО, спецификация требований, план тестирования, отчет по управлению рисками
Для крупных организаций
Интеграция с корпоративными процессами
Ключевые аспекты:
- Адаптация к существующим методологиям разработки
- Интеграция с системами управления проектами
- Обучение всех участников процесса
Автоматизация процессов соответствия
Рекомендуемые инструменты:
- Системы управления требованиями
- Платформы для управления тестированием
- Инструменты статического анализа кода
Типичные ошибки по внедрению стандарта ГОСТ IEC 62304-2022 и способы их избежать
Ошибки планирования:
Проблема «Недооценка объема работ»: Неверная оценка времени и ресурсов на подготовку документации
Решение: Проведение предварительного gap-анализа, консультации с экспертами по стандарту, поэтапное планирование с контрольными точками
Проблема «Игнорирование класса безопасности»: Неправильное определение класса ПО приводит к неадекватным требованиям
Решение: Тщательный анализ потенциального вреда, консультации с медицинскими экспертами, документирование обоснования выбора класса
Ошибки выполнения
Проблема «Формальный подход к документации»: Создание документов «для галочки» без реального внедрения процессов
Решение: Интеграция требований стандарта в рабочие процессы, регулярные внутренние аудиты, обучение команды принципам стандарта
Проблема «Недостаточная трассируемость»: Отсутствие связей между требованиями, кодом и тестами
Решение: Использование специализированных инструментов, создание матриц трассируемости, Регулярная актуализация связей
Будущее стандарта ГОСТ IEC 62304-2022 и тенденции развития
Цифровизация здравоохранения: Усиление требований к кибербезопасности, развитие требований к облачным решениям, интеграция с системами искусственного интеллекта
Международная гармонизация: Сближение с международными практиками, взаимное признание сертификатов, упрощение процедур для экспорта
Экспертное сопровождение
ГОСТ IEC 62304-2022 представляет собой комплексный стандарт, устанавливающий современные требования к разработке программного обеспечения медицинских изделий. Его соблюдение является практически обязательным для всех участников рынка медицинских технологий в России и странах ЕАЭС.
Компаниям, работающим в сфере медицинских технологий, рекомендуется как можно раньше начать подготовку к соответствию требованиям стандарта, учитывая его возрастающую роль в процессах регистрации и сертификации медицинских изделий.
Компания ООО ЕЦЭС «КВОЛИТИ» специализируется на комплексном сопровождении производителей медицинских изделий на всех этапах регистрационных процедур. Мы непрерывно отслеживаем все изменения в нормативно-правовой базе и актуализируем методики в соответствии с последними требованиями регуляторных органов.
Почему выбирают ООО «ЕЦЭС КВОЛИТИ»
Гарантии результата
- Фиксированные сроки, основанные на реальном опыте
- Прозрачное ценообразование
- Страхование ответственности и юридическая защита клиентов
Комплексный подход
- Предварительный аудит документации
- Разработка индивидуальной стратегии в зависимости от класса риска
- Полное сопровождение процесса, включая юридическую поддержку
Профессиональная команда
- Специалисты по техническому регулированию и ГОСТ
- Юристы, специализирующиеся на здравоохранении
- Консультанты по СМК (ИСО 13485) и сертификации
Часто задаваемые вопросы (FAQ)
Что такое ГОСТ IEC 62304-2022 и для чего он нужен?
ГОСТ IEC 62304-2022 — это межгосударственный стандарт, который регламентирует требования к разработке программного обеспечения для медицинских изделий. Он устанавливает процессы жизненного цикла медицинского ПО от планирования до вывода из эксплуатации и обеспечивает безопасность программных продуктов в медицине.
Обязательно ли соблюдать ГОСТ IEC 62304-2022 в России?
Формально стандарт имеет добровольный статус, но на практике его соблюдение становится обязательным при регистрации медицинских изделий в Росздравнадзоре, включении в реестр ЕАЭС и получении разрешений на производство. Альтернативный путь требует дополнительных экспертиз и обоснований.
Какие классы безопасности устанавливает стандарт для медицинского ПО?
Стандарт определяет три класса безопасности: класс A (отсутствие вреда) — справочные приложения, класс B (несерьезный вред) — физиотерапевтическое оборудование, класс C (серьезный вред) — системы дозирования лекарств и мониторинга жизненных функций. От класса зависит объем документации и тестирования.
Какие документы нужны для подтверждения соответствия ГОСТ IEC 62304-2022?
Обязательными документами являются: план разработки ПО, спецификация требований, план управления рисками, протоколы тестирования и руководство пользователя (для всех классов). Для классов B и C дополнительно требуется архитектурная документация.
Чем отличается ГОСТ IEC 62304-2022 от предыдущей версии 2013 года?
Новая версия включает требования к устаревшему ПО (ретроспективная оценка), обновленную классификацию безопасности с усиленным подходом к анализу рисков, а также два новых обязательных процесса: управление конфигурацией ПО и разрешение проблем ПО.
Какие основные этапы разработки медицинского ПО регламентирует стандарт?
Стандарт определяет 6 ключевых этапов: планирование разработки с определением стратегии и стандартов кодирования, анализ требований с созданием матрицы трассируемости, архитектурное проектирование системы, детальное проектирование модулей, реализация (кодирование) с соблюдением стандартов, верификация и валидация через тестирование.
Как ГОСТ IEC 62304-2022 связан с другими стандартами качества?
Стандарт тесно интегрирован с ISO 14971 (управление рисками медицинских изделий) для методологии анализа рисков и ISO 13485 (система менеджмента качества) для общих принципов управления качеством. Также рекомендуется использовать IEC 62366-1 для проектирования пользовательских интерфейсов и IEC 82304-1 для программного обеспечения как медицинского изделия.
Какие типы рисков анализируются при разработке медицинского ПО?
Стандарт требует анализа четырех основных типов рисков: функциональные сбои (неправильная работа программы), отказы безопасности (угрозы здоровью пациента), киберугрозы (взлом, вредоносное вмешательство, утечка данных) и человеческий фактор (ошибки пользователя из-за сложного интерфейса). Для снижения рисков применяются архитектурные решения, дополнительные проверки и резервирование.
Что включает процесс сопровождения медицинского ПО после выпуска?
Процесс сопровождения включает три основных направления: техническую поддержку (мониторинг работы ПО, обработка сообщений о проблемах, выпуск обновлений), управление конфигурацией (контроль версий, управление изменениями, отслеживание состава продукта) и постмаркетинговый надзор для обеспечения непрерывной безопасности и эффективности системы.
Наши эксперты готовы ответить на все ваши вопросы!
Свяжитесь с нами прямо сейчас, чтобы получить профессиональную консультацию по вашему вопросу. Наши специалисты детально разберут вашу ситуацию и предложат оптимальное решение.