Was die MDR verwechselt und weshalb Sie nicht von CAPA sprechen sollten
Die FDA (im 21 CFR part 820 – QSR) und die ISO 13485 unterscheiden Korrekturmaßnahmen (corrective actions), Vorbeugungsmaßnahme (preventive actions) und Korrekturen (corrections).
Leider unterscheiden die MDR und die IVDR diese Konzepte nicht präzise. Auch einige Hersteller glauben, „corrective and preventive actions“ zu CAPA zusammenfassen zu können. Doch das ist genauso unpräzise wie die mangelnde Unterscheidung zwischen Korrektur (correction) und Korrekturmaßnahme (corrective action).
Dieser Artikel definiert die Begriffe und hilft, Abweichungen in Audits und illegale Vermarktung von Produkten zu vermeiden, die durch diese Begriffsverwechslungen entstehen. Er nennt die regulatorischen Anforderungen und erläutert an Beispielen, wie die Begriffspaare „corrective action“ und „correction“ sowie „corrective action“ und „preventive action“ zu unterscheiden sind.
Abb. 1: Korrekturen, Korrekturmaßnahmen, Vorbeugungsmaßnahme
1. Korrektur – Correction
Definition
Die ISO 9000 definiert den Begriff Korrektur (correction) wie folgt:
Definition: Korrektur
„Maßnahme zur Beseitigung einer erkannten Nichtkonformität“
Quelle: ISO 9000:2015 3.12.2
Definition: Correction
„action to eliminate a detected nonconformity“
Quelle: ISO 9000:2015 3.12.2
Beispiele
Beispiele für Korrekturen sind:
- Zu langes Bauteil kürzen
- Software-Bug beseitigen
- Medizinprodukt in die richtige Klasse einstufen
2. Korrekturmaßnahme – Corrective Action
a) Korrekturmaßnahme bei ISO 9000 und ISO 13485
Definition
Die ISO 9000:2015 definiert den Begriff Korrekturmaßnahme (corrective action) wie folgt:
Definition: Korrekturmaßnahme
„Maßnahme zum Beseitigen der Ursache einer Nichtkonformität und zum Verhindern des erneuten Auftretens“
Quelle: ISO 9001:2015 3.12.2
Definition: Corrective Action
„action to eliminate the cause of a nonconformity and to prevent recurrence“
Quelle: ISO 9001:2015 3.12.2
Ziel einer Korrekturmaßnahme ist es, nicht nur Fehler, sondern die Ursachen von bereits aufgetretenen Fehlern zu erkennen und zu beseitigen sowie sicherzustellen, dass solche Fehler nicht noch einmal auftreten.
Vorsicht!
Umgangssprachlich bezeichnet man Maßnahmen, die sicherstellen sollen, dass ein Fehler nicht noch einmal auftritt, als Vorbeugungsmaßnahme. Es handelt sich dabei aber nicht um eine „preventive action“ im Sinne der Definition.
Beispiele für Korrekturmaßnahmen
Beispiele für Korrekturmaßnahmen (Corrective Actions) sind:
- Die fehlerhafte Einstellung einer Produktionsmaschine; z.B. CNC-Fräse ändern, damit das Bauteil künftig die richtige Länge hat
- Nach einem Softwarefehler die Kodierrichtlinien überarbeiten, damit der Fehler nicht mehr (so wahrscheinlich) auftritt
- Nach einem Datenverlust ein neues Datenschutzkonzept etablieren
- Für Personen eine Weiterbildung verbindlich machen, bevor diese Produkte klassifizieren
- Die Endprüfung automatisieren, damit die Dokumentation der Prüfergebnisse nicht mehr vergessen werden kann
b) Korrekturmaßnahme gemäß MDR und IVDR
Leider hat die MDR die Definition des Begriffs Korrekturmaßnahme nicht von der ISO 9000 bzw. ISO 13485 übernommen:
Definition: Korrekturmaßnahme
„Maßnahme zur Beseitigung der Ursache eines potenziellen oder vorhandenen Mangels an Konformität oder einer sonstigen unerwünschten Situation“
Quelle: MDR Artikel 2
Definition: Corrective Action
„action taken to eliminate the cause of a potential or actual non-conformity or other undesirable situation“
Quelle: MDR Artikel 2
Diese Definition ist sehr unglücklich, weil sie die Beseitigung der Ursache eines potenziellen Mangels und die Beseitigung der Ursache eines vorhandenen Mangels vermischt. Unter der Beseitigung der Ursache eines potenziellen Mangels versteht man üblicherweise eine Vorbeugungsmaßnahme.
Bedauerlicherweise verwenden die MDR und IVDR neben dem Begriff Korrekturmaßnahme auch noch den der Sicherheitskorrekturmaßnahme.
Definition: Sicherheitskorrekturmaßnahme im Feld
„eine von einem Hersteller aus technischen oder medizinischen Gründen ergriffene Korrekturmaßnahme zur Verhinderung oder Verringerung des Risikos eines schwerwiegenden Vorkommnisses im Zusammenhang mit einem auf dem Markt bereitgestellten Produkt“
Quelle: MDR Artikel 2, Absatz 68
Obwohl weder die MDR noch die IVDR den Begriff Vorbeugungsmaßnahme definieren, verwenden sie ihn, allerdings immer nur im Zusammenspiel „Korrektur- und Vorbeugungsmaßnahme“. Weshalb das Vermischen dieser Begriffe ein Problem ist, führt dieser Artikel weiter unten aus.
3. Vorbeugungsmaßnahme – Preventive Action
Definition
ISO 9000:2015 und ISO 13485 kennen beide den Begriff der Vorbeugungsmaßnahme:
Definition: Vorbeugungsmaßnahme
„Maßnahme zur Beseitigung der Ursache einer möglichen Nichtkonformität oder einer anderen möglichen unerwünschten Situtation“
Quelle: ISO 9000:2015 3.12.1
Definition: Preventive Action
„action to eliminate the cause of a potential nonconformity or other potential undesirable situation“
Quelle: ISO 9000:2015 3.12.1
Eine Vorbeugungsmaßnahme (preventive action) soll künftige Fehler vermeiden, die noch nicht aufgetreten sind.
Interessanterweise definiert die ISO 9000:2015 den Begriff, fordert dann aber keine Vorbeugungsmaßnahme mehr.
Beispiele für Vorbeugungsmaßnahme
Vorbeugungsmaßnahme können das Design eines Produkts betreffen, um dessen Sicherheit zu erhöhen, z.B.:
- Wahl eines anderen Werkstoffs oder anderer Bauteile
- Verwendung einer besser lesbaren Schriftart auf einer Benutzerschnittstelle
- Wertebereichsprüfung von Eingabewerten
- Einschränkung des Verwendungszwecks
- Änderung der Systemarchitektur, z.B. Einführung eines Watchdogs
Andere Maßnahmen betreffen das Qualitätsmanagement. z.B.:
- Bessere Qualifizierung von Mitarbeitern
- Verbesserung eines Prozesses, z.B. des Entwicklungsprozesses
- Einführen zusätzlicher Code-Reviews
- Überarbeitung der Checkliste zur Überprüfung von Software-Anforderungen
- Einfordern einer neuen Metrik für die statische Code-Analyse
Würden Sie eine dieser Maßnahmen ergreifen, um einen bereits aufgetretenen Fehler künftig zu vermeiden, wären dies keine Vorbeugungsmaßnahme, sondern eine Korrekturmaßnahme. In anderen Worten:
Sie können keine Vorbeugungsmaßnahme (preventive action) mehr ergreifen, wenn das Problem bereits aufgetreten ist. Wenn Sie nach dem Auftreten des Problems durch eine neue Maßnahme sicherstellen, dass das Problem nicht nochmals auftritt, ist das eine Korrekturmaßnahme (corrective action). Beide Maßnahmen haben das gleiche Ziel: ein künftiges Problem zu vermeiden.
Weil die meisten Hersteller erst bei aufgetretenen Problemen reagieren, gibt es also viele „corrective actions“ und nur wenige „preventive actions“.
4. Regulatorische Anforderungen an Korrektur- und Vorbeugungsmaßnahme
a) ISO 13485
Die ISO 13485 fordert in Kapitel 8.5 („Verbesserung“) sowohl die „corrective actions“ (Kapitel 8.5.2 „Korrekturmaßnahmen“) als auch die „preventive actions“ (Kapitel 8.5.3 „Vorbeugungsmaßnahme“).
Die Hersteller müssen Prozesse dafür definieren, Aufzeichnungen dazu führen und eine Begründung angeben, wenn sie bei einer Kundenreklamation keine Korrektur- oder Vorbeugungsmaßnahme ergreifen.
b) FDA
Die FDA fordert „corrective and preventive actions“ in 21 CFR part 820.100. Die Anforderungen entsprechen im Wesentlichen der ISO 13485.
c) MDR
Die MDR und in gleicher Weise die IVDR stellen Anforderungen an die Korrektur- und Vorbeugungsmaßnahme, die im deutschen Text auch als „korrektive und präventive Maßnahmen“ übersetzt sind. Dazu zählen:
- Das QM-System muss diese Maßnahmen regeln (Artikel 10).
- Dies müssen die Benannten Stellen auditieren.
- Die Hersteller müssen notwendige Korrekturmaßnahmen durchführen (Artikel 10).
- Dabei müssen Händler, Importeure und Bevollmächtigte mitwirken.
- Die Hersteller müssen „Sicherheitskorrekturmaßnahmen“ an die Behörden melden.
- Die Hersteller sind verpflichtet, anhand der Post-Market-Daten über notwendige Korrektur- und Präventivmaßnahmen zu entscheiden (u.a. Artikel 83ff).
- Bei klinischen Prüfungen müssen die Sponsoren die Korrekturmaßnahmen melden.
d) IMDRF
Die IMDRF hat ein Guidance Document mit dem Titel „Quality management system –Medical Devices – Guidance on corrective action and preventive action and related QMS processes“ veröffentlich, das sehr lesenswert ist. Bei den Definitionen greift das Dokument auf die der ISO 9000 zurück, allerdings in der Ausgabe 2005.
Einige der Vorschläge, wie die Vorgaben der ISO 13485 umgesetzt werden können z.B. zur Ursachenanalysen finden sich auch im Practical Guide zur ISO 13485. Auditoren nutzen beide Dokumente.
Die Guidance der IMDRF hat den Vorteil kostenfrei zu sein, der ISO-Dokument kostet ca. 85 EUR.
5. Das CAPA-Problem
Aus dem angloamerikanischen Sprachraum ist der Begriff CAPA übernommen worden, der für „Corrective And Preventive Action“ steht. Die Vermischung dieser Maßnahmen ist aber aus mehreren Gründen problematisch.
a) Problem mit Verfahrensanweisung
Einige Firmen erstellen eine Verfahrensanweisung (SOP) mit dem Titel CAPA, in der sie (nur) ein gemeinsames Verfahren für die Korrekturmaßnahmen und die Vorbeugungsmaßnahme festlegen. Sie fordern darin teilweise sogar zu jeder Korrekturmaßnahme auch ein Vorbeugungsmaßnahme.
Dabei verfolgen sie den Gedanken, dass sichergestellt („vorgebeugt“) werden muss, dass das Problem nicht nochmals in gleicher oder ähnlicher Weise auftritt. Aber diese Form der „Vorbeugung“ ist keine Vorbeugungs- sondern eine Korrekturmaßnahme.
Es kann auch deshalb nicht nur ein Verfahren geben, weil sich die Maßnahmentypen bezüglich der Inputs, Rollen oder regulatorischen Vorgaben unterscheiden.
Inputs
Das betriebliche Vorschlagswesen, die Liste künftiger Normen und Gesetze sowie technologische Trends weisen auf mögliche künftige Nichtkonformitäten hin. Sie sind aber noch nicht als Informationen aufzufassen, die auf bereits bestehende Nichtkonformitäten hinweisen und deren Ursachen der Hersteller als Korrekturmaßnahme also beseitigen müsste.
Aktivitäten und Rollen
Eine Korrekturmaßnahme verlangt andere bzw. zusätzliche Aktivitäten und ggf. Rollen als eine Vorbeugungsmaßnahme:
- Die Ursachenanalyse bei Korrekturmaßnahmen kann sich von einer Ursachenanalyse bei Vorbeugungsmaßnahme unterscheiden: Bei einer Korrekturmaßnahme weiß man, dass es eine Nicht-Konformität gibt. Damit steht auch fest, dass mindestens eine Ursache dafür existiert. Bei einer Vorbeugungsmaßnahme sucht man die Ursachen einer potenziellen Nicht-Konformität.
- Die Entscheidung über Behördenmeldungen gibt es i.d.R. auch nur bei Korrekturmaßnahmen.
Regulatorische Vorgaben
Die ISO 13485 hat sehr genaue Vorgaben bezüglich des Umgangs mit Nichtkonformitäten. D.h., dass der Hersteller bei Korrekturen und Korrekturmaßnahmen weniger Freiheitsgrade hat als bei Vorbeugungsmaßnahme.
Hätten die MDR und IVDR die Begriffsdefinitionen der ISO 13485 übernommen, würde die Diskussion der Frage überflüssig, ob die Korrekturmaßnahmen gemäß MDR der Vereinigungsmenge von Korrekturmaßnahmen und Vorbeugungsmaßnahme gemäß ISO 13485 entsprechen.
b) Problem mit „non-significant changes“
Die MDR gewährt bei „non-significant changes“ Übergangsfristen. Ob eine Änderung als nicht signifikant eingestuft wird, hängt laut MDCG davon ab, ob eine Korrekturmaßnahme vorliegt oder nicht.
Abb. 2: Das MDCG-Dokument definiert, wann eine Design-Änderung „non-significant“ ist. Das ist bei Korrekturmaßnahmen der Fall. Und bei Vorbeugungsmaßnahme? (Quelle: MDCG)
Hinweis: Zwischen dem No-Zweig bei der Frage „Design change releted to corrective actions*?“ und dem unteren Kästchen sind im Original weitere Fallunterscheidungen, die aber hier nicht abgebildet sind.
Sind Vorbeugungsmaßnahme nun auch als „non-significant design changes“ zu verstehen? Das würde den Herstellern viele Möglichkeiten eröffnen. Oder unterscheidet die MDR jetzt doch präzise zwischen Korrekturmaßnahmen und Vorbeugungsmaßnahme?
Präzise Begriffsdefinitionen und eine konsequente Verwendung dieser Begriffe würde solche Diskussionen erübrigen.
6. Fazit
Die klare Trennung von Korrektur (correction), Korrekturmaßnahme (corrective action) und Vorbeugungsmaßnahme (preventive action) ist sinnvoll und sollte von Herstellern unbedingt beachtet werden. Dass ausgerechnet die EU-Verordnungen (MDR, IVDR) diese konzeptionelle Integrität zerstören, ist ärgerlich.
Änderungshistorie
- 2021-02-09: Beitrag vollständig überarbeitet.
- 2021-02-10: Link zum IMDRF Dokument und dem Practical Guide zur ISO 13485 ergänzt
Das Johner Institut unterstützt Medizinproduktehersteller dabei, schlanke ISO 13485- und MDR-konforme QM-Systeme zu etablieren, die bei Audits und FDA-Inspektionen bestehen.
