Was die MDR verwechselt und weshalb Sie nicht von CAPA sprechen sollten
Die FDA (im 21 CFR part 820 – QSR) und die ISO 13485 unterscheiden Korrekturmaßnahmen (corrective actions), Vorbeugungsmaßnahme (preventive actions) und Korrekturen (corrections).
Leider unterscheiden die MDR und die IVDR diese Konzepte nicht präzise. Auch einige Hersteller glauben, „corrective and preventive actions“ zu CAPA zusammenfassen zu können. Doch das ist genauso unpräzise wie die mangelnde Unterscheidung zwischen Korrektur (correction) und Korrekturmaßnahme (corrective action).
Dieser Artikel definiert die Begriffe und hilft, Abweichungen in Audits und illegale Vermarktung von Produkten zu vermeiden, die durch diese Begriffsverwechslungen entstehen. Er nennt die regulatorischen Anforderungen und erläutert an Beispielen, wie die Begriffspaare „corrective action“ und „correction“ sowie „corrective action“ und „preventive action“ zu unterscheiden sind.
1. Korrektur – Correction
Definition
Die ISO 9000 definiert den Begriff Korrektur (correction) wie folgt:
Beispiele
Beispiele für Korrekturen sind:
- Zu langes Bauteil kürzen
- Software-Bug beseitigen
- Medizinprodukt in die richtige Klasse einstufen
2. Korrekturmaßnahme – Corrective Action
a) Korrekturmaßnahme bei ISO 9000 und ISO 13485
Definition
Die ISO 9000:2015 definiert den Begriff Korrekturmaßnahme (corrective action) wie folgt:
Ziel einer Korrekturmaßnahme ist es, nicht nur Fehler, sondern die Ursachen von bereits aufgetretenen Fehlern zu erkennen und zu beseitigen sowie sicherzustellen, dass solche Fehler nicht noch einmal auftreten.
Umgangssprachlich bezeichnet man Maßnahmen, die sicherstellen sollen, dass ein Fehler nicht noch einmal auftritt, als Vorbeugungsmaßnahme. Es handelt sich dabei aber nicht um eine „preventive action“ im Sinne der Definition.
Beispiele für Korrekturmaßnahmen
Beispiele für Korrekturmaßnahmen (Corrective Actions) sind:
- Die fehlerhafte Einstellung einer Produktionsmaschine; z.B. CNC-Fräse ändern, damit das Bauteil künftig die richtige Länge hat
- Nach einem Softwarefehler die Kodierrichtlinien überarbeiten, damit der Fehler nicht mehr (so wahrscheinlich) auftritt
- Nach einem Datenverlust ein neues Datenschutzkonzept etablieren
- Für Personen eine Weiterbildung verbindlich machen, bevor diese Produkte klassifizieren
- Die Endprüfung automatisieren, damit die Dokumentation der Prüfergebnisse nicht mehr vergessen werden kann
b) Korrekturmaßnahme gemäß MDR und IVDR
Leider hat die MDR die Definition des Begriffs Korrekturmaßnahme nicht von der ISO 9000 bzw. ISO 13485 übernommen:
Diese Definition ist sehr unglücklich, weil sie die Beseitigung der Ursache eines potenziellen Mangels und die Beseitigung der Ursache eines vorhandenen Mangels vermischt. Unter der Beseitigung der Ursache eines potenziellen Mangels versteht man üblicherweise eine Vorbeugungsmaßnahme.
Bedauerlicherweise verwenden die MDR und IVDR neben dem Begriff Korrekturmaßnahme auch noch den der Sicherheitskorrekturmaßnahme.
Obwohl weder die MDR noch die IVDR den Begriff Vorbeugungsmaßnahme definieren, verwenden sie ihn, allerdings immer nur im Zusammenspiel „Korrektur- und Vorbeugungsmaßnahme“. Weshalb das Vermischen dieser Begriffe ein Problem ist, führt dieser Artikel weiter unten aus.
3. Vorbeugungsmaßnahme – Preventive Action
Definition
ISO 9000:2015 und ISO 13485 kennen beide den Begriff der Vorbeugungsmaßnahme:
Eine Vorbeugungsmaßnahme (preventive action) soll künftige Fehler vermeiden, die noch nicht aufgetreten sind.
Interessanterweise definiert die ISO 9000:2015 den Begriff, fordert dann aber keine Vorbeugungsmaßnahme mehr.
Beispiele für Vorbeugungsmaßnahme
Vorbeugungsmaßnahme können das Design eines Produkts betreffen, um dessen Sicherheit zu erhöhen, z.B.:
- Wahl eines anderen Werkstoffs oder anderer Bauteile
- Verwendung einer besser lesbaren Schriftart auf einer Benutzerschnittstelle
- Wertebereichsprüfung von Eingabewerten
- Einschränkung des Verwendungszwecks
- Änderung der Systemarchitektur, z.B. Einführung eines Watchdogs
Andere Maßnahmen betreffen das Qualitätsmanagement. z.B.:
- Bessere Qualifizierung von Mitarbeitern
- Verbesserung eines Prozesses, z.B. des Entwicklungsprozesses
- Einführen zusätzlicher Code-Reviews
- Überarbeitung der Checkliste zur Überprüfung von Software-Anforderungen
- Einfordern einer neuen Metrik für die statische Code-Analyse
Würden Sie eine dieser Maßnahmen ergreifen, um einen bereits aufgetretenen Fehler künftig zu vermeiden, wären dies keine Vorbeugungsmaßnahme, sondern eine Korrekturmaßnahme. In anderen Worten:
Sie können keine Vorbeugungsmaßnahme (preventive action) mehr ergreifen, wenn das Problem bereits aufgetreten ist. Wenn Sie nach dem Auftreten des Problems durch eine neue Maßnahme sicherstellen, dass das Problem nicht nochmals auftritt, ist das eine Korrekturmaßnahme (corrective action). Beide Maßnahmen haben das gleiche Ziel: ein künftiges Problem zu vermeiden.
Weil die meisten Hersteller erst bei aufgetretenen Problemen reagieren, gibt es also viele „corrective actions“ und nur wenige „preventive actions“.
4. Regulatorische Anforderungen an Korrektur- und Vorbeugungsmaßnahme
a) ISO 13485
Die ISO 13485 fordert in Kapitel 8.5 („Verbesserung“) sowohl die „corrective actions“ (Kapitel 8.5.2 „Korrekturmaßnahmen“) als auch die „preventive actions“ (Kapitel 8.5.3 „Vorbeugungsmaßnahme“).
Die Hersteller müssen Prozesse dafür definieren, Aufzeichnungen dazu führen und eine Begründung angeben, wenn sie bei einer Kundenreklamation keine Korrektur- oder Vorbeugungsmaßnahme ergreifen.
b) FDA
Die FDA fordert „corrective and preventive actions“ in 21 CFR part 820.100. Die Anforderungen entsprechen im Wesentlichen der ISO 13485.
c) MDR
Die MDR und in gleicher Weise die IVDR stellen Anforderungen an die Korrektur- und Vorbeugungsmaßnahme, die im deutschen Text auch als „korrektive und präventive Maßnahmen“ übersetzt sind. Dazu zählen:
- Das QM-System muss diese Maßnahmen regeln (Artikel 10).
- Dies müssen die Benannten Stellen auditieren.
- Die Hersteller müssen notwendige Korrekturmaßnahmen durchführen (Artikel 10).
- Dabei müssen Händler, Importeure und Bevollmächtigte mitwirken.
- Die Hersteller müssen „Sicherheitskorrekturmaßnahmen“ an die Behörden melden.
- Die Hersteller sind verpflichtet, anhand der Post-Market-Daten über notwendige Korrektur- und Präventivmaßnahmen zu entscheiden (u.a. Artikel 83ff).
- Bei klinischen Prüfungen müssen die Sponsoren die Korrekturmaßnahmen melden.
d) IMDRF
Die IMDRF hat ein Guidance Document mit dem Titel „Quality management system –Medical Devices – Guidance on corrective action and preventive action and related QMS processes“ veröffentlich, das sehr lesenswert ist. Bei den Definitionen greift das Dokument auf die der ISO 9000 zurück, allerdings in der Ausgabe 2005.
Einige der Vorschläge, wie die Vorgaben der ISO 13485 umgesetzt werden können z.B. zur Ursachenanalysen finden sich auch im Practical Guide zur ISO 13485. Auditoren nutzen beide Dokumente.
Die Guidance der IMDRF hat den Vorteil kostenfrei zu sein, der ISO-Dokument kostet ca. 85 EUR.
5. Das CAPA-Problem
Aus dem angloamerikanischen Sprachraum ist der Begriff CAPA übernommen worden, der für „Corrective And Preventive Action“ steht. Die Vermischung dieser Maßnahmen ist aber aus mehreren Gründen problematisch.
a) Problem mit Verfahrensanweisung
Einige Firmen erstellen eine Verfahrensanweisung (SOP) mit dem Titel CAPA, in der sie (nur) ein gemeinsames Verfahren für die Korrekturmaßnahmen und die Vorbeugungsmaßnahme festlegen. Sie fordern darin teilweise sogar zu jeder Korrekturmaßnahme auch ein Vorbeugungsmaßnahme.
Dabei verfolgen sie den Gedanken, dass sichergestellt („vorgebeugt“) werden muss, dass das Problem nicht nochmals in gleicher oder ähnlicher Weise auftritt. Aber diese Form der „Vorbeugung“ ist keine Vorbeugungs- sondern eine Korrekturmaßnahme.
Es kann auch deshalb nicht nur ein Verfahren geben, weil sich die Maßnahmentypen bezüglich der Inputs, Rollen oder regulatorischen Vorgaben unterscheiden.
Inputs
Das betriebliche Vorschlagswesen, die Liste künftiger Normen und Gesetze sowie technologische Trends weisen auf mögliche künftige Nichtkonformitäten hin. Sie sind aber noch nicht als Informationen aufzufassen, die auf bereits bestehende Nichtkonformitäten hinweisen und deren Ursachen der Hersteller als Korrekturmaßnahme also beseitigen müsste.
Aktivitäten und Rollen
Eine Korrekturmaßnahme verlangt andere bzw. zusätzliche Aktivitäten und ggf. Rollen als eine Vorbeugungsmaßnahme:
- Die Ursachenanalyse bei Korrekturmaßnahmen kann sich von einer Ursachenanalyse bei Vorbeugungsmaßnahme unterscheiden: Bei einer Korrekturmaßnahme weiß man, dass es eine Nicht-Konformität gibt. Damit steht auch fest, dass mindestens eine Ursache dafür existiert. Bei einer Vorbeugungsmaßnahme sucht man die Ursachen einer potenziellen Nicht-Konformität.
- Die Entscheidung über Behördenmeldungen gibt es i.d.R. auch nur bei Korrekturmaßnahmen.
Regulatorische Vorgaben
Die ISO 13485 hat sehr genaue Vorgaben bezüglich des Umgangs mit Nichtkonformitäten. D.h., dass der Hersteller bei Korrekturen und Korrekturmaßnahmen weniger Freiheitsgrade hat als bei Vorbeugungsmaßnahme.
Hätten die MDR und IVDR die Begriffsdefinitionen der ISO 13485 übernommen, würde die Diskussion der Frage überflüssig, ob die Korrekturmaßnahmen gemäß MDR der Vereinigungsmenge von Korrekturmaßnahmen und Vorbeugungsmaßnahme gemäß ISO 13485 entsprechen.
b) Problem mit „non-significant changes“
Die MDR gewährt bei „non-significant changes“ Übergangsfristen. Ob eine Änderung als nicht signifikant eingestuft wird, hängt laut MDCG davon ab, ob eine Korrekturmaßnahme vorliegt oder nicht.
Hinweis: Zwischen dem No-Zweig bei der Frage „Design change releted to corrective actions*?“ und dem unteren Kästchen sind im Original weitere Fallunterscheidungen, die aber hier nicht abgebildet sind.
Sind Vorbeugungsmaßnahme nun auch als „non-significant design changes“ zu verstehen? Das würde den Herstellern viele Möglichkeiten eröffnen. Oder unterscheidet die MDR jetzt doch präzise zwischen Korrekturmaßnahmen und Vorbeugungsmaßnahme?
Präzise Begriffsdefinitionen und eine konsequente Verwendung dieser Begriffe würde solche Diskussionen erübrigen.
6. Fazit
Die klare Trennung von Korrektur (correction), Korrekturmaßnahme (corrective action) und Vorbeugungsmaßnahme (preventive action) ist sinnvoll und sollte von Herstellern unbedingt beachtet werden. Dass ausgerechnet die EU-Verordnungen (MDR, IVDR) diese konzeptionelle Integrität zerstören, ist ärgerlich.
Änderungshistorie
- 2021-02-09: Beitrag vollständig überarbeitet.
- 2021-02-10: Link zum IMDRF Dokument und dem Practical Guide zur ISO 13485 ergänzt
Das Johner Institut unterstützt Medizinproduktehersteller dabei, schlanke ISO 13485- und MDR-konforme QM-Systeme zu etablieren, die bei Audits und FDA-Inspektionen bestehen.
Guten Morgen,
ich möchte zwei kleine Ergänzungen beitragen. Zwar sind zunächst die Regeln der FDA tatsächlich sehr ähnlich, aber während der Inspection habe ich bei amerikanischen Auditoren (Inspektoren) deutlich gründlicheres Vorgehen kennengelernt. So gehört bei der „Root Cause Analysis“ unbedingt dazu, welche Produkte außer dem nun bekannt gewordenen noch von der gefundenen Schwachstelle beeinträchtigt worden sein könnten. Diese Suche und Auswertung ist unbedingt schriftlich zu dokumentieren.
Selbst zum Thema Software fiele mit eine Correction ein: Sie haben in ein Programm z.B. eine falsche .dll eingebunden. Dann könnten Sie ein Patch schreiben (und ausschließlich an die betroffenen User verteilen), das ausschließlich diese .dll ersetzt. Zukünftige Installationen, die auf derselben (fehlerhaften) .exe beruhen, wären dadurch nicht korrigiert, hier braucht es die Corrective Action. Denkbar ist das bei sehr aufwendigen Installationen und kleinen Reparaturen, wo man dem Kunden nicht die komplette Neu-Installation zumuten möchte. Ist das nicht das übliche Vorgehen bei MS-Produkten?
Viele Grüße, Peter Knipp
Klasse Ergänzung, danke, lieber Herr Knipp!!
Achtung, Begriffserklärungen sind in der ISO 9000, nicht in der ISO 9001 geregelt.
Das ist absolut korrekt, Lieber Herr Hendel, das verbessere ich sofort! Danke für den Hinweis!
Sehr geehrter Herr Prof. Johner,
ich möchte gern auf eine Ungereimtheit zur MDR aufmerksam machen, vielleicht sammeln Sie so etwas oder können es richtigstellen.
Im Rahmen einer Überarbeitung unserer CAPA Prozedur bin ich auf folgende abweichende Definition gestoßen:
MDR, Article 2:
(67) ‘corrective action’ means action taken to eliminate the cause of a potential or actual non-conformity or other undesirable situation;
ISO 9000:2015:
3.12.1 preventive action
action to eliminate the cause of a potential nonconformity (3.6.9) or other potential undesirable situation
3.12.2 corrective action
action to eliminate the cause of a nonconformity (3.6.9) and to prevent recurrence
Für mich sieht es so aus, als habe man corrective und preventive action in der MDR in einen Topf geworfen. Ich kann auch im weiteren Verordnungstext bei den Begrifflichkeiten keinen Unterschied erkennen.
Vielen Dank für Ihren Kommentar und viele Grüße,
Joachim Schneider
Lieber Herr Schneider,
das ist wirklich eine spannende Beobachtung! Das sieht wirklich so aus, als würden Preventive und Corrective Actions in einen Topf geschmissen. Ich bin gerade die MDR nochmals durchgegangen. In der Tat sprechen Sie von beiden fast immer im „Doppelpack“. Das ist, wie Sie sagen, nicht sauber. Das sind die Folgen, wenn man mit dem Begriff „CAPA“ beides so zusammenführt.
Ich werde den Artikel mit Ihren wertvollen Hinweisen noch im Januar ergänzen.
Vielen Dank für diese präzise Beobachtung!
Herzliche Grüße, Christian Johner
Guten Tag Herr Johner,
ein wirklich toller Artikel und sehr informativ. Ich bin jedoch bei einer Aussage mir nicht ganz sicher, ob diese so zutrifft:
Kapitel 5; Aktivitäten und Rollen: „Einer Ursachenanalyse bedarf es nur bei einer Korrekturmaßnahme“.
Nach der ISO 13485, muss man bei Vorbeugungsmaßnahmen die potentielle Nichtkonformität und ihre Ursache ermitteln. Ich würde das so verstehen, dass man sehr wohl eine Ursachenanalyse bei einer Vorbeugungsmaßnahme durchzuführen hat.
Mit freundlichen Grüßen
Andreas Mohr
Das ist ein super-wichtiger Hinweis, lieber Herr Mohr!
Der Satz war in der Tat nicht optimal geschrieben. Ich habe ihn überarbeitet.
Danke für Ihren wertvollen Beitrag!
Beste Grüße, Christian Johner