Frage Software-Validierung / risikobasierter Ansatz

Mehr
31 Okt 2018 16:43 #27822 von v1ech
Liebe Qualitäter,

Ich hab vorab schon ein bisschen etwas zu dem Thema hier im Forum gefunden, jedoch nicht, was mir konkret meine Frage beantwortet.

Zudem richte ich mich an euch eher hinsichtlich eurer Erfahrung in der Praxis, als der normativen Auslegung.

Meine Situation: Ich verwalte ein QMS (im Aufbau) nach 13485:2016, welches für eine (medical) SW-Entwicklung im niederen Risikobereich ausgelegt ist.
Die 13485 fordert zwar nicht explizit Risikomanagement nach 14971:2012, jedoch tut dies zB die 62304, weshalb der Risikomanagementprozess nach der 14971 läuft. Die Grundstruktur der Analyse findet ihr im Anhang. In der Analyse sind sowohl Produktrisiken drin, als auch Risiken, die sich auf eine Kombination der Software mit bestimmter Hardware beziehen. Soweit so gut.

Nun fehlt mir in meinem QMS noch der Punkt der Software-Validierung, welchen ich nun angehe. Die 13485 gewährt ja, den Tiefegrad der Validierung an das Risiko anzupassen. Dies möchte ich nun sauber dokumentieren, und genau hier fehlt mir ein bisschen die praktische Erfahrung, wie ich das umsetze.

Die SW-Entwicklung wird anhand von JIRA, Confluence und Bitbucket durchgeführt und dokumentiert, was ich grundsätzlich einmal für validierungspflichtig halte. Allerdings nicht die Atlassian-tools selbst, sondern konkret unsere spezifische Nutzung derer. Im Detail: Wir definieren dort unsere SW-Requirements, spezifizieren exakt, was die Funktion können soll, erwirken eine Freigabe vor Entwicklungsstart, welche die Frage der Risikoanalyse stellt, und organisieren schließlich die lückenlose Dokumentation zwischen Spezifikation, Planung der Umsetzung, dokumentierter Umsetzung und Testprotokollen.
Außerdem wird anhand dieser Tickets gebrancht und jeder Bitbucket Commit auf ein oder mehrere Ticket verwiesen.

Anhand dieser ausführlichen Infos sieht man nun, dass gewisse Dinge sinnvoll wären zu validieren (zB. ob die Dokumentation der Umsetzung und der Tests stets mit den Spezifikationen und den SW-Requirements verknüpft sind), und andere eher nicht.
Außerdem steht die Tatsache, dass ich gewisse Validierungen vernachlässigen kann, weil das Risiko akzeptabel ist für mich im Widerspruch zum Grundprinzip der 14971, nach dem jedes Risiko soweit wie möglich verringert werden muss (ich also so gesehen jede erdenkliche Validierung durchführen müsste).

Wie geh ich hier richtig vor? Bin über jeden Denkanstroß oder jede Praxiserfahrung zur Rechtfertigung von risikobasierten Entscheidungen (selbige Denkweise trifft ja auch auf Prozessvalidierungen zu) dankbar.

LG v1ech
Anhänge:

Bitte Anmelden oder Registrieren um der Konversation beizutreten.