Seit Jahren kämpft das Normengremium darum, die erste Ausgabe der IEC 62304 zu überarbeiten, die aus dem Jahr 2005 stammt. Einer Zeit vor dem iPhone. Daher wird zunehmend in Frage gestellt, ob die Norm noch dem Stand der Technik entspricht.
Dieser Artikel Informiert über den aktuellen Stand und die Zielsetzung der 2. Edition der IEC 62304.
Das Neueste in Kürze
Zeitplanung
Nach dem „Committee Draft“ (CD1) von 2025 musste die Arbeitsgruppe IEC SC62A MT49 knapp 1.500 Kommentare einarbeiten. Jetzt plant sie, in den nächsten Wochen nicht die zweite Ausgabe der Norm zu veröffentlichen, sondern den zweiten Committee Draft (CD2).
Daher ist mit einem FDIS erst 2028 zu rechnen, was erst 2029 zu einer Publikation führen kann. Das ist möglicherweise realistischer als die aktuelle „Forecast Publication“ (Oktober 2028) gemäß IEC.
Parallel dazu will die CENELEC-Arbeitsgruppe in Kürze mit den Z-Anhängen beginnen, damit diese dann auch zeitgleich veröffentlicht werden können, um die Norm im Official Journal als harmonisierte Norm für die MDR und IVDR zu listen.
Inhalt
Die neue Ausgabe der IEC 62304 erhielt als Vorgabe („Design Spec“), dass die Detailtiefe und die Stärke der Methoden und Controls „commensurate“, also dem Produkt (Zweckbestimmung, Risiko) angemessen sein sollten. Das verstehe ich als „risk based“. So heißt es in der „Design Spec“:
- “4.2 IV The risk management process used at the product level should be commensurate with the intended use of the product and the software.”
- “5.1 Planning is a key element of good software however it is often not robust. Planning documentation is required for all rigor levels of software in scope of this standard. This section of IEC 62304 should be made more explicit and specific to adequately describe the application of methods for a specific software development project commensurate with the rigor required (e.g., design review methods: pair program (lowest rigor level) to formal review methods (highest rigor level)).”
Im deutschen Komitee DKE AK 804.3.1 „Software“ gibt es den Wunsch, eine übergreifende und einheitliche Möglichkeit zu beschreiben, wie der unter 5.1. formulierte Gedanke praktisch umgesetzt werden kann. Der Software Development Plan wird dabei als ein naheliegender und geeigneter Ort angesehen, um diese Vorgehensweise zu dokumentieren.
Dabei wird diskutiert, dass die Hersteller in so einem Dokument für Software Process Rigor Level II (SPRL II) tatsächlich die alten Safety Classes B und C in gewisser Weise wieder einführen könnten. Damit wäre der alte Prozess unverändert, allerdings konform zur neuen geplanten Ausgabe.
Historie der IEC 62304 (2. Ausgabe)
Die erste Version der Norm wurde als IEC 62304:2006 veröffentlicht. Die Norm blieb von einer redaktionellen Korrektur im Jahr 2008 abgesehen fast 10 Jahre unverändert. Erst 2015 folgte das Amendement 1 (A1:2015). Die konsolidierte und aktuelle Version der Norm ist die IEC 62304:2015. Diese Version wurde zwar noch nicht harmonisiert, stellt aber den Stand der Technik dar.
Das Normungsgremium stellte inzwischen auch die IEC 82304-1 fertig. Deren Ziel besteht darin, auch Health-Software, die kein Medizinprodukt oder Teil dessen ist, zu adressieren.
Parallel schrieb das Normenkomitee an der 2. Ausgabe der IEC 62304. Deren Status wurde jedoch zum Jahreswechsel 2021/2022 als „gelöscht“ markiert.
Damit gibt es folgende Normen:
- IEC 62304:2006 (mit Korrektur im Jahr 2008)
- IEC 62304:2015 (IEC 62304:2006 + Korrektur im Jahr 2008 + Amendment I im Jahr 2015). Diese Version wird auch als „Version 1.1“ bezeichnet.
- IEC 62304 (2. Ausgabe). Diese Version lag zunächst als IEC/DIS 62304 (2. Ausgabe) als Entwurf vor. Der Status wurde jedoch auf „gelöscht“ geändert.
Anwendungsbereiche der IEC 62304 2. Ausgabe („2nd edition“)
Im Gegensatz zu den Vorgängernormen wendet sich die 2. Ausgabe an „Health Software“ und nicht mehr nur an „Medical Device Software“.
„Software intended to be used specifically for managing, maintaining or improving health of individual persons, or the delivery of care“
Quelle: IEC 62304 2. Ausgabe
Die Health Software stellt eine Übermenge der Medical Device Software dar und beschränkt sich nicht auf Medizinprodukte.
„Software system that has been developed for the purpose of being incorporated into the MEDICAL DEVICE being developed or that is intended for use as a medical device“
Quelle: IEC 62304 2. Ausgabe
Medical Device Software kann Software als Teil eines Medizinprodukts sein oder selbst ein Medizinprodukt darstellen (Stand-alone-Software).
Änderungen durch die 2. Ausgabe der IEC 62304
Die Informationen in diesem Abschnitt sind noch nicht mit der letzten Entwurfsversion der IEC 62304 abgeglichen.
Die Kapitelstruktur lässt bereits erkennen, dass die Änderungen überschaubar bleiben:
| IEC 62304 „Version 1.1“ Medical device software – Software life cycle processes |
IEC 62304 „Version 2“
Health software – Software life cycle processes |
Kommentar |
| 1 Scope | 1 Scope | Nun „Health Software“ statt „Medical Device Software“ |
| 1.1 Purpose | 1.1 Purpose | |
| 1.2 Field of application | 1.2 Field of application | |
| 1.3 Relationship to other standards | 1.3 Relationship to other standards | |
| 1.4 Compliance | 1.4 Compliance | |
| 2 Normative references | 2 Normative references | |
| 3 Terms and definitions | 3 Terms and definitions | Ergänzungen und Änderungen (siehe Kritik) |
| 4 General requirements | 4 General requirements | |
| 4.1 Legal and regulatory obligations | Die Hersteller müssen alle relevanten regulatorischen Anforderungen bestimmen und erfüllen. Das fordert bereits die ISO 13485:2016. | |
| 4.1 Quality management system | 4.2 Quality management system | |
| 4.2 Risk management | 4.3 Risk management | In begründeten Fällen ist die Konformität mit der ISO 14971 nicht mehr verlangt. |
| 4.4 Security Risk management | Security als Teil des Risikomanagements explizit verlangt (siehe Kritik). | |
| 4.5 Usability engineering | Hersteller muss Risiken aufgrund mangelnder Gebrauchstauglichkeit beherrschen. Die IEC 62366 ist nicht normativ gefordert. | |
| 4.3 Software safety classification | 4.6 Software safety classification | Kleine, aber wesentliche Änderungen, siehe unten bei Problem und bei Verbesserungen |
| 4.4 Legacy software | 4.7 Legacy software | |
| 5 Software development process | 5. Software development process | |
| 5.1 Software development planning | 5.1 Software development planning | |
| 5.2 Software requirements analysis | 5.2 Software requirements analysis | |
| 5.3 Software architectural design | 5.3 Software architectural design | |
| 5.4 Software detailed design | 5.4 Software detailed design | |
| 5.5 Software unit implementation and verification | 5.5 Software unit implementation | |
| 5.6 Software integration and integration testing | 5.6 Software integration and integration testing | |
| 5.7 Software system testing | 5.7 Software system testing | |
| 5.8 Software release | 5.8 Software release for utilization at a system level | |
| 6 Software maintenance process | 6. Software maintenance process | |
| 6.1 Establish software maintenance plan | 6.1 Establish software maintenance plan | |
| 6.2 Problem and modification analysis | 6.2 Problem and modification analysis | |
| 6.3 Modification implementation | 6.3 Modification implementation | |
| 7 Software risk management process | 7 Software safety risk management process | |
| 7.1 Analysis of software contributing to hazardous situations | 7.1 Analysis of software contributing to hazardous situations | |
| 7.2 Risk control measures | 7.2 Risk control measures | |
| 7.3 Verification of risk control measures | 7.3 Verification of risk control measures | |
| 7.4 Risk management of software changes | 7.4 Risk management of software changes | |
| 8 Software configuration management process | 8. Software configuration management process | |
| 8.1 Configuration identification | 8.1 Configuration identification | |
| 8.2 Change control | 8.2 Change control | |
| 8.3 Configuration status accounting | 8.3 Configuration status accounting | |
| 9 Software problem resolution process | 9 Software problem resolution process | |
| 9.1 Prepare problem reports | 9.1 Prepare problem reports | |
| 9.2 Investigate the problem | 9.2 Investigate the problem | |
| 9.3 Advise relevant parties | 9.3 Advise relevant parties | |
| 9.4 Use change control process | 9.4 Use change control process | |
| 9.5 Maintain records | 9.5 Maintain records | |
| 9.6 Analyse problems for trends | 9.6 Analyse problems for trends | |
| 9.7 Verify software problem resolution | 9.7 Verify software problem resolution | |
| 9.8 Test documentation contents | 9.8 Test documentation contents |
Diese Übersicht lässt erkennen, dass keine Kapitel weggefallen, dafür einige Unterkapitel ergänzt worden sind. Zu den Änderungen zählen v. a. die folgenden:
Anwendungsbereich
Die „2nd edition“ der IEC 62304 soll weiterhin für Standalone- und embedded Software (also als Medizinprodukt oder Teil eines solchen) anwendbar bleiben. Allerdings soll sie zusätzlich auch für Health Software generell Anwendung finden. Das heißt: Für Software in Fitnessgeräten und Standalone-Software wie Fitness-Apps beschreibt die IEC 62304 2. Ausgabe den Stand der Technik.
Für die Medizinproduktehersteller sind daher die Änderungen endlich.
Konsequenterweise ändert sich der Titel der Norm von „Medical Device Software“ auf „Health Software“.
Sicherheitsklassen
Die Definition der Sicherheitsklassen, wie sie bereits im Amendment I der IEC 62304 veröffentlicht sind, findet Eingang in die IEC 62304 2nd edition. Eine kleine Änderung gibt es aber, die wir weiter unten diskutieren.
Neue Anforderungen an die Anforderungen
Die Software-Anforderungen (Kapitel 5.2) müssen die Aspekte Safety und Security explizit berücksichtigen. Das beinhaltet Anforderungen, um die Cyber-Security zu gewährleisten. Neu in diesem Zusammenhang ist der Begriff Security Threat Management.
Auch dem Thema Usability wird ein eigenes Unterkapitel gewidmet.
Risikomanagement
Die normative Forderung nach einem Risikomanagement nach ISO 14971 gibt die IEC 62304 2. Ausgabe auf. Der Hersteller kann andere Vorgehensmodelle begründen. Ob die Benannten Stellen mitgehen, ist natürlich eine andere Sache.
Kritik
Die Änderungen in der 2. Ausgabe der IEC 62304 sind überschaubar. Das vereinfacht den Umstieg sehr. An bewährten Konzepten hält die neueste Version der Norm fest. An alten Problemen leider auch.
Alte Probleme bleiben bestehen
a) Begriffsdefinitionen
Die Begriffe „Software Item“ und „Software Unit“ sind wir noch immer nicht los. Entwickler haben ein anderes Verständnis von „Software Unit“ und vermissen den Begriff der Software-Komponente. Aber vielleicht hätte eine Änderung zu viel „Unruhe“ verursacht.
b) Software-Sicherheitsklassifizierung
Die Regeln zum Bestimmen der Sicherheitsklasse wurden mit dem Amendment 1 deutlich verbessert. Leider enthält die Norm noch immer den Satz „Probability of a software failure shall be assumed to be 1.“ Den erläuternden Satz dazu (es geht nur darum, die Sicherheitsklasse zu bestimmen) überlesen Hersteller gerne.
c) Reihenfolgen
Sowohl Abbildung 1 als auch die Reihnefolge der Kapitel legen den Lesenden nahe, dass es eine Reihenfolge der folgenden Aktivitäten gibt:
- Software-Entwicklungsplan erstellen
- Software-Anforderungen bestimmen
- Software-Architektur entwerfen
Das erscheint auf den ersten Blick als sinnvoll. Doch wie will man im Entwicklungsplan Werkzeuge festlegen, bevor die Anforderungen und die technische Umsetzung (Architektur) klar sind? Natürlich ist ein iteratives Vorgehen erlaubt. Aber manche Anforderungen wären in anderen Kapiteln besser aufgehoben.
Das gilt nicht nur für Werkzeuge wie zur Code-Analyse, sondern genauso für die zum Konfigurations- und Versionsmanagement.
d) Software-Anforderungen
Die IEC 62304 belässt das problematische Kapitel 5.2 unverändert. Die ursprünglichen Autoren hatten sich an der ISO 9126 bedient. Dabei zerstörten sie die Logik der ISO 9126 weitgehend. Es war ein Kapitel entstanden, das eine konzeptionelle Integrität vermissen lässt und teilweise irreführend ist. Beispiele:
- Funktionale und Performance-Anforderungen sind orthogonal zueinander. Anforderungen an die Laufzeitumgebung ebenfalls. Die IEC 62304 wirft das wild durcheinander.
- Zählen die Interfaces zu anderen Systemen nicht zu den Inputs und Outputs?
- Anforderungen an „Data definition and databases“ gehören nur in den seltensten Fällen zu den Software-Anforderungen. Das sind Aspekte des Lösungsraums, konkret der Software-Architektur.
- Regulatorische Anforderungen zählen zu den Stakeholder-Anforderungen. Nur in Ausnahmefällen sollten diese unverändert in eine Software Requirements Specification (Software-Anforderungen) übernommen werden.
Die Auswirkungen dieses suboptimalen Kapitels, die wir täglich in der Praxis beobachten, sind:
- Vermischung von Stakeholder- und Produkt-/Software-Anforderungen. Die ISO 13485 weiß das zu unterscheiden.
- Vermischung von Software-Anforderungen und Software-Architektur
- Software-Anforderungen, die regulatorische Anforderungen einfach nur referenzieren
- Software-Anforderungen, die zwar die Aspekte der IEC 62304 abdecken, aber für eine Entwicklung als Input unbrauchbar sind. Teilweise schreiben selbst große Konzerne diese Dokumentation doppelt: eine für die Auditoren und eine für die Entwickler.
- Unlogischer Aufbau der Software Requirements Specification und/oder eine Kapitelstruktur, die sich an der des Kapitels 5.2. orientiert
e) „Software Detailed Design“
Weiterhin fordert auch die 2. Ausgabe der IEC 62304, ein „detailed Design“ für jede Software-Einheit zu entwickeln. Wie soll das funktionieren? Eine Software-Einheit ist eine Software-Komponente, die der Hersteller nicht weiter zerlegt. Nun soll er für diese Komponente ein detailliertes Design entwickeln. Ein Design entspricht einer Fein-Architektur. Und Architektur ist definiert als die Zerlegung eines Systems in Komponenten und eine Beschreibung der Schnittstellen dazwischen.
Was erwartet die IEC 62304 von den Herstellern in Kapitel 5.4.2?
f) Akzeptanzkriterien für Software-Einheiten
Die Arbeiten an der IEC 62304 begannen vor mehr als 10 Jahren. Dass sich in dieser Zeit die Programmiersprachen weiterentwickelt haben, scheint an der Liste der Akzeptanzkriterien in Kapitel 5.5.4 vorbeigegangen zu sein. Ein Blick in den TIOBE-Index könnte hilfreich sein, um die wichtigsten Programmiersprachen zu identifizieren – und etwas spezifischere und zeitgemäßere Akzeptanzkriterien vorzuschlagen.
Ob eine Norm überhaupt solche technischen Details wie die Initialisierung von Variablen adressieren sollte, steht auf einem ganz anderen Blatt.
g) Agilität
Die Agilität ist bei den meisten Software-Entwicklungsabteilungen gelebte Realität. In den unterschiedlichsten Ausprägungen. Die FDA versucht zumindest mit dem TIR 45 eine Handlungsleitung zu geben. Die IEC 62304 (2. Ausgabe) erwähnt dieses Dokument nicht einmal.
Was macht sie stattdessen? Sie erwähnt zwar die Möglichkeit des agilen Entwickelns, verwendet aber das (fehlerhafte) Bild des V-Modells aus der IEC 60601-1. Was die Hersteller daraus schließen, liegt auf der Hand.
h) Problemlösungs- und Wartungsprozess
Das Zusammenspiel von Problemlösungsprozess, Wartungsprozess und Konfigurationsmanagementprozess beschreibt die Norm nicht wirklich gut. Erst im informativen Anhang wird klar, wie die Autoren die Abgrenzung insbesondere von Problemlösungs- und Wartungsprozess gemeint haben.
Viele Hersteller verstehen nicht wirklich, weshalb beide Prozesse Anforderungen an die Problemberichte stellen. Es ist ihnen unklar, im Rahmen welches Prozesses diese Berichte zu erstellen, auszuwerten und zu berücksichtigen sind.
Neue Probleme werden eingeführt
Leider führt die neusete Version der Norm auch neue Probleme ein:
a) Begriffsdefinitionen
Nachdem das Amendment I endlich die Definitionen der Begriffe wie Schaden, Gefährdung und Gefährdungssituation aus der ISO 14971 übernommen hatte, fällt der Normenentwurf wieder auf die ISO/IEC Guide 51:2014 zurück. Das macht es den Herstellern nicht einfacher.
b) Security Risk Management
Weshalb das Risikomanagement in ein Risikomanagement und ein „Security Risk Management“ zerlegt wird, erschließt sich nicht sofort. Natürlich wird dieser Aspekt immer wichtiger. Aber die Forderung lässt sich so (miss)verstehen, als ob ein zweites Risikomanagement notwendig sei.
Genauso ist der Verweis auf die ISO 27000 irreführend. Auch wenn sich die Konzepte überlappen: Die IT-Security eines Produkts ist nicht das Gleiche wie die IT-Security einer Organisation.
c) Risikomanagement nach ISO 14971 verbindlich?
Einerseits besteht die neue IEC 62304 nicht in jedem Fall auf einer Konformität mit der ISO 14971. Andererseits müssen die Maßnahmen zur Risikobeherrschung in Übereinstimmung mit der ISO 14971 festgelegt, implementiert und dokumentiert werden.
Verbesserungen
Die 2. Ausgabe hält einige Verbesserungen für die Hersteller bereit:
a) Regularien
Die Änderungen rücken die 2. Ausgabe der IEC 62304 noch näher an die Anforderungen der FDA.
Das Usability Engineering wird nun explizit gefordert. Gleichzeitig wird die IEC 62366 nicht normativ gefordert. Das ergibt Sinn, da sich die 2. Ausgabe der IEC 62304 nicht nur an Medizinprodukte-Software wendet.
b) Sicherheitsklassifizierung
Im Entscheidungsbaum steht nicht mehr der fast absurde Satz „Does failure of the software result in unacceptable risk?“. Danach hätte es nur Software der Sicherheitsklasse A geben können. Nun heißt es „Considering the external RCM: Can the hazardous situation lead to unacceptable risk?“.
Wirklich großartig ist das noch nicht: Nun steckt die Wahrscheinlichkeit einmal im Risiko und zum anderen im Wort „can“. Das wird weiterer Erläuterungen bedürfen. Oder einer besseren Version 2.0.
Fazit
Von einer 2. Ausgabe der IEC 62304 zu sprechen, ist vielleicht etwas hoch gegriffen. Die Änderungen durch das Amendment 1 waren fast bedeutsamer. Aber Version 1.2 hört sich nicht ganz so ambitiös wie Version 2 an.
Wer den Scope auf Health Software ausdehnen will, sollte mehr leisten, als den Begriff „Medical Device Software“ durch „Health Software“ zu ersetzen. Die Norm zielt mit dem weitgehend gleichen Instrumentarium auf Software, die ein Medizinprodukt oder ein Teil dessen ist, und auf sonstige Software.
Weil die Änderungen so überschaubar sind, wird den Herstellern das Upgrade relativ schnell und einfach gelingen. Die Chancen auf einen Quantensprung und auf eine Behebung alter Probleme scheint die 2. Ausgabe der IEC 62304 nicht vollständig zu nutzen.
Sie bleibt trotzdem meine Lieblingsnorm.
Versionshistorie:
- 02.07.2026: Einleitung überarbeitet, Kapitel „Das Neuste in Kürze“ eingefügt, den Rest des Artikels aber noch nicht vollständig mit der neuesten Entwurfsversion abgeglichen
- 06.01.2022: Hinweis zum Stand aktualisiert
Ähnliche Beiträge
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.