Kann agile Softwareentwicklung in einem regulierten Umfeld wie der Medizintechnikindustrie funktionieren?

Was sind Vorteile, Herausforderungen und kritische Erfolgsfaktoren bei der Umsetzung?

Business Kontext

Studien haben gezeigt, dass die digitale Transformation in der Gesundheitsbranche in den letzten fünf Jahren enorm beschleunigt wurde. Ein katalysierender Aspekt war die COVID-19-Pandemie, die zu Veränderungen in den Interaktionen zwischen Patient:innen und medizinischem Fachpersonal führte. Im Zuge dieses Prozesses wurden neue Technologien entwickelt, die es ermöglicht haben, viele Aufgaben remote durchzuführen. Medizintechnik- und Life-Science-Unternehmen müssen nun zeitnah reagieren, um auf diese veränderten Bedingungen einzugehen. Aufgrund der zunehmenden digitalen Lösungen wurden die Kundenerwartungen dahingehend erhöht, dass Kund:innen in ihrer täglichen Arbeit in derselben Weise und Qualität von digitalen Lösungen unterstützt werden wie dies in anderen Branchen (z.B. Unterhaltung oder Reiseorganisation) bereits möglich ist.

In diesen Industrien haben R&D-Organisationen agile Entwicklungsmethoden erfolgreich verwendet, um dieses Niveau an Digitalisierung zu erreichen. Medizintechnik- und Life-Science-Unternehmen hingegen haben aufgrund der regulatorischen Anforderungen strenge Vorschriften und interne Prozesse einzuhalten, die agile Bestreben einschränken. Können die agilen Entwicklungsframeworks auf diese speziellen Rahmenbedingungen angepasst werden, um bei der Bewältigung dieser Herausforderungen zu helfen und damit den Softwareentwicklungsprozess zu beschleunigen sowie durch mehrfache Iterationen flexibel und nutzerzentriert zu gestalten?

Die Durchführung von Software-R&D-Projekten mit agiler Methodik kann die Effizienz auf verschiedene Weisen verbessern:

Time-to-Market: Durch die agile Methodik werden einsatzfähige Softwareinkremente in jedem Entwicklungsschritt (Sprints) geliefert, was den Teams dabei helfen kann, sich auf die wesentlichen Anwendungsfälle des Produkts zu konzentrieren und dieses schneller auf den Markt zu bringen.

Ressourcennutzung: Durch die Schätzung der Kosten für jedes Produktinkrement und die enge Überwachung des Fortschritts können Teams die Ressourcennutzung optimieren und Verschwendung reduzieren.

Kontinuierliche Verbesserung: Die agile Methodik inkludiert kontinuierliche Verbesserung und Feedback. Teams werden regelmäßig dazu ermutigt, ihre Prozesse zu verbessern und effizienter zu werden.

Reduzierter Nachbearbeitungsaufwand: Durch die frühzeitige Identifizierung von Problemen oder neuen Anforderungen im Projektverlauf und deren rasche Behebung bzw. Umsetzung können Teams das Risiko teurer Nacharbeiten reduzieren und sicherstellen, dass das Projekt den Kunden- und Nutzerwünschen entspricht.

Welche Herausforderungen bestehen bei Einführung von agilen Methodologien in einer regulierten Umgebung?

Einhaltung von Vorschriften: Medizintechnikunternehmen müssen eine Vielzahl von Vorschriften und Standards einhalten, wie z. B. MDR oder FDA-Vorschriften. Jede neue Methodik muss daher mit den Vorschriften konform sein und sicherstellen, dass alle erforderlichen Prozessschritte zur Zertifizierung sowie die zugehörigen Dokumentationen rechtzeitig abgeschlossen sind, damit eine Softwarelösung erfolgreich zugelassen werden kann.

Risikomanagement: Medizintechnikunternehmen müssen eine Vielzahl von Risiken managen, wie z. B. Patientensicherheit, Datenschutz und Cybersicherheit. Eine angemessene Identifizierung, Bewältigung und Überwachung dieser Risiken ist für den Projekterfolg entscheidend und muss auch bei agiler Softwareentwicklung umgesetzt werden.

Dokumentation: Medizintechnikunternehmen sind verpflichtet, detaillierte Dokumentationen über ihre Softwareentwicklungsprozesse und deren Ergebnisse zu führen.  Das Problem ist, dass bei einer Software, die als Medizinprodukt eingestuft ist, für jeden neuen Softwarerelease eine komplette technische Akte für die Zulassung erzeugt werden muss. Damit entsteht ein zusätzlicher Dokumentationsaufwand.

Einbeziehung der Interessengruppen: Im Gesundheitswesen sind viele Interessengruppen an Produkt- und Softwareentwicklungsprojekten beteiligt, darunter Patient:innen, Ärzt:innen, Regulierungsbehörden und IT-Mitarbeitende. Es ist wichtig sicherzustellen, dass die Stimmen aller Interessengruppen gehört und ihre jeweiligen Bedürfnisse berücksichtigt werden.

Wie können die Vorteile beider Ansätze kombiniert werden?

1. Erstellen Sie einen detaillierten Projektplan

Agil zu arbeiten bedeutet nicht, ohne Plan zu arbeiten. Beim Einsatz agiler Methoden in einer regulierten Umgebung sollte ein detaillierter Projektplan den Projektumfang, die Ziele, den Zeitplan, die erforderlichen Ressourcen und die zu bewältigenden Risiken umreißen und dokumentieren.

2. Erstellen Sie Dokumente durch automatisierte Prozesse

In einer regulierten Umgebung ist eine detaillierte Dokumentation erforderlich, um die Einhaltung von Standards und Vorschriften nachzuweisen. Gemäß dem Wasserfallmodell werden Design-Eingabe- und Ausgabedokumente für einen bestimmten Projektsynchronisationspunkt erstellt, in denen die Risiken, Geschäftsanforderungen, Architektur, Tests und betrieblichen Aspekte des zu erstellenden Produkts detailliert beschrieben werden. Die agilen Methodologien können angepasst werden, um die Anforderungen an die Dokumentation in den detaillierten Produkt-Backlog-Elementen zu berücksichtigen.

Die Dokumente können vor Beginn eines Entwicklungssprints oder eines Produktinkrements erstellt werden, um den regulatorischen Anforderungen gerecht zu werden und die Verfügbarkeit der Design-Eingaben sicherzustellen. Sie können einen engen Umfang beschreiben, der für den bevorstehenden Entwicklungszeitraum relevant ist. Durch Automatisierung in diesem Bereich kann der Zeitaufwand für die Erstellung, Aktualisierung und Genehmigungszyklen von Dokumenten erheblich reduziert werden. Anforderungen, Softwareentwürfe und Tests können nahe am Entwicklungsumfeld erstellt werden und mit Hilfe validierter Tools später in umfassende und konsistente Dokumente überführt werden kann, die den Anforderungen des Qualitätsmanagementsystems entsprechen.

3. Ausbau der Testautomatisierung

Es gibt mehrere Gründe, warum Investitionen in Testautomatisierung ein Projekt effizienter machen können. Wenn Änderungen an einer Software in einer regulierten Umgebung vorgenommen werden, besteht stets die Herausforderung, nachzuweisen, dass keine negativen Auswirkungen auf die Patientensicherheit und die allgemeine Wirksamkeit bestehen.

Oder wenn ein Produkt von einer Implementierungsphase zu einer Verifikations- und Validierungsphase übergeht, sind viele notwendige, aber zeitaufwändige Testaktivitäten erforderlich. In funktionsübergreifenden agilen Teams können Verifikationsaufgaben für bestimmte Funktionen der Softwarelösung Teil der Entwicklungssprints sein. Die Zeit, um Feedback zum tatsächlichen Zustand des Produkts zu erhalten, verringert sich erheblich bei hohem Automatisierungsgrad.

So reduziert sich auch das Risiko der Einführung unbeabsichtigter Nebenwirkungen bei Änderungen an einem bestehenden Code. Mit der richtigen Testdokumentation und Codequalität können automatisierte Tests die Geschäftsanforderungen formell abdecken und für Verifikationsaktivitäten verwendet werden, wodurch die benötigte Zeit für einen Testzyklus reduziert wird.

4. Risiken kontinuierlich managen

Gesundheitsorganisationen müssen eine Vielzahl von Risiken managen, wie z. B. Patientensicherheit, Datenschutz und IT-Sicherheit. Agile Methodologien können angepasst werden, um Risikomanagementpraktiken wie Risikoerkennung, Risikobewertung und Risikominderung in wiederholten verkürzten Zyklen einzuschließen, unterstützt durch den automatisierten Dokumentenerstellungsprozess und automatisierte Tests gegen die definierten Risikominderungen.

5. Einbeziehung der Interessengruppen

Durch regelmäßige Sprint- und Produktinkrement-Demonstrationssitzungen können die Teams allen wichtigen Interessengruppen zeigen, in welche Richtung sich die Digitallösung entwickelt. Da die Entwicklungszyklen verkürzt werden, können Patient:innen, Ärzt:innen und IT-Mitarbeitende regelmäßig Beitrag leisten, um Änderungswünsche einzubringen, denen die agilen Teams folgen können. Regelmäßig sollten zudem auch Kund:innen, Meinungsführer:innen und Partner:innen ihre Meinung darüber äußern können, wie die Lösung gestaltet werden soll. Dies können Medizintechnikunternehmen zum Beispiel durch gemeinsame Workshops oder Pilotphasen auf Grundlage von Zwischenproduktversionen ermöglichen.

Fazit

Die Einführung von neuen Prozessen, insbesondere in einer regulierten Umgebung, ist mit zusätzlichen Schwierigkeiten und Verzögerungen verbunden. Die Integration agiler Prinzipien, unterstützt von einem Team aus Branchenexperten und hochgradig automatisierten Prozessen, ermöglicht einer Organisation jedoch eine schnelle Reaktion und Antwort auf neue Herausforderungen, die sich aus den wandelnden Anforderungen der Medizintechnikbranche mit einer stark regulierten Umgebung ergeben.

➡️ Kontaktieren Sie uns, um sich über Ihre Ideen auszutauschen und wie wir helfen können. Besuchen Sie auch unsere Website, um mehr über uns und unsere Dienstleistungen zu erfahren.

➡️ Weitere Blogartikel zum Thema Health Solutions finden Sie hier.

Cloud Special Day – OOP 2019

Nicht nur Start-Ups sondern auch große und etablierte Unternehmen setzen immer stärker auf Cloud-Lösungen, um ihre Wertschöpfungskette zu digitalisieren. Doch welche technischen Möglichkeiten stehen auf Cloud-Plattformen wie Amazon Webservices und Microsoft Azure zur Verfügung, um geschäftskritische Anwendungen z. B. im medizintechnischen Umfeld zu entwickeln? Genau diese Fragen haben wir als Saxonia Systems AG (seit 03/2020 ZEISS Digital Innovation) im Rahmen unseres Cloud Special Days auf der OOP 2019 in München gemeinsam mit u. a. der Carl Zeiss Meditec AG beantwortet.

Vortrag 1

Sicher und compliant: Wie man eine medizinische Cloud-Plattform aufbaut​

Im ersten Beitrag boten Thorsten Bischoff (Carl Zeiss Meditec AG) und Dirk Barchmann (Saxonia Systems AG) einen Einblick in die Entwicklung einer bereits international eingeführten Mobil-Anwendung: Diese erlaubt es Ärzten, Patienten- und OP-Informationen mithilfe einer Cloud-Plattform auf Basis von Amazon Webservices (AWS) zwischen der Arztpraxis und einem entfernten OP-Saal zu synchronisieren. Das Hauptaugenmerk wurde dabei auf die Sicherheit der zu übermittelnden und zu speichernden Daten gelegt (encryption in transit / at rest), wobei es eine Vielzahl von Industrienormen und gesetzlichen Vorschriften in den verschiedenen Zielländern zu beachten und zu erfüllen galt. Beispiele dafür sind die DSGVO in Europa oder die HIPAA Privacy, Security, Transactions Rule in den USA sowie die weltweit anerkannten ISO-27001-Standards. Ein zentraler Lösungsbaustein sind bereits geprüfte und zertifizierte Cloud-Dienste wie etwa der Amazon Key Management Service (KMS) zur Verschlüsselung von Daten oder der Amazon Simple Storage Service (S3) zu deren Speicherung. Aber nicht nur technische Fragestellungen mussten geklärt werden – auch organisatorische und prozessuale Anpassungen wurden aufgrund der Nutzung von Cloud-Diensten vorgenommen, um die notwendigen Zertifizierungen zu erreichen.

Vortrag 2

Vor- und Nachbereitung von Katarakt OPs in der Cloud

Im darauffolgenden Vortrag von Rainer Scheubeck (Carl Zeiss Meditec AG) und Alexander Casall (Saxonia Systems AG) wurde davon berichtet, wie eine Lösung zur Vorbereitung, Planung und Nachbereitung von Augenoperationen in der Cloud entwickelt und in Produktion gebracht wurde.

Neben der Möglichkeit, dass Updates an zentraler Stelle ausgerollt und Daten (z. B. Stammdaten) zentral gepflegt werden können, war die dynamische Skalierbarkeit der Anwendung ein Argument für eine Cloud-basierte Lösung. Um die Nachhaltigkeit und Erweiterbarkeit der Anwendung sicherzustellen, werden die Komponenten der Anwendung als Docker-Container auf Basis der Cluster-Management-Lösung Kubernetes betrieben. Die verwendeten Cloud-Native-Dienste, wie etwa Azure Kubernetes Service und Azure CosmosDB, sind über standardisierte und verbreitete Schnittstellen angebunden. Dieses Vorgehen erlaubt es, die Anwendung relativ unabhängig vom Public-Cloud-Provider zu betreiben und ermöglicht es, den gewählten Provider ohne größeren Aufwand zu wechseln. Da es sich bei der Anwendung um ein Medizinprodukt handelt, ist deren Entwicklung und Distribution durch verschiedene Institutionen reguliert, so dass in der Konzeption und Entwicklung besonderer Wert auf Infrastruktur und Testautomatisierung gelegt wurde.

Vortrag 3

Neue Wege mit der Cloud erforschen

Dr. Andreas Zeidler (Carl Zeiss Meditec AG) und Leo Lindhorst (Saxonia Systems AG) stellten im dritten Vortrag die aktuellen Erkenntnisse eines F&E-Projekts der Carl Zeiss Meditec AG vor. Ziel ist es zu bewerten, wie bestehende On-Premises-Lösungen auf AWS migriert werden können. Hintergrund ist der steigende Bedarf der Mediziner an rechenintensiven Analysen, für die die bestehende On-Premises-Infrastruktur zu schwach ist. Für die Bewertung werden auf Basis des Prototyps einer medizinischen Cloud-Plattform mehrere minimale Produkte entwickelt, um die verschiedenen Ansätze und Herausforderungen bei einer Cloud-Migration zu explorieren. Dabei kommen moderne Konzepte und Technologien wie etwa Datalake oder Serverless-Architekturen zum Einsatz.

Vortrag 4

Private Cloud – Eine Alternative?

Für Fälle in denen eine Transformation zu einer Public-Cloud-Infrastruktur nicht möglich ist, kann eine Private-Cloud eine Alternative sein. Günther Buchner (Saxonia Systems AG) stellte im letzten Vortrag des Tages seine Erfahrungen bezüglich der Einführung einer OpenStack basierten Private-Cloud-Infrastruktur in einem Großunternehmen vor. Dabei handelt es sich um eine Infrastruktur, die zentral vom Unternehmen für verschiedene Parteien in der Organisation auf eigener Hardware betrieben wird. Diese Infrastruktur besitzt Cloud-Eigenschaften wie bedarfsorientiert skalierbare Bereitstellung und Abrechnung von Ressourcen, Hochverfügbarkeit und zentrale Implementierung von Querschnittsfunktionalitäten. Im beschriebenen Szenario kam OpenStack als Basistechnologie zum Einsatz.

Open Stack bietet einen Infrastructure as a Service (IaaS) Layer, auf dessen Basis im vorgestellten Projekt Cloud Foundry als Platform as a Service (PaaS) Dienst betrieben wird. Die Kosten werden, analog zur Public-Cloud, bedarfsabhängig anhand eines Kostenschlüssels auf die Abteilungen umgelegt, welche die Private-Cloud-Dienste nutzen. Die Einführung einer solchen komplexen IT-Infrastruktur ist zwar mit einem nicht unerheblichen Aufwand verbunden, bietet allerdings auch eine Reihe von Vorteilen: So können Unternehmen dadurch Agilität und Flexibilität in der Softwareentwicklung mit Cloud-Technologien steigern, ohne abhängig von Public-Cloud-Providern zu sein oder sich mit der komplexeren Datenschutzsituation bei Anbietern außerhalb der eigenen Organisation auseinandersetzen zu müssen.