Die FDA unterscheidet drei sogenannte „Level of Concern“, die sehr an die Sicherheitsklassen der IEC 62304 erinnern. Allerdings gibt es Unterschiede, die immer wieder zu Problemen bei Inspektionen oder 510(k)-Zulassungen führen.
Vorsicht!
Beachten Sie, dass die FDA am 04.11.2021 einen Entwurf eines neuen Guidance-Dokuments publiziert hat, das die Level of Concern ablösen wird. Sie erfahren dazu mehr in Kapitel 4.
1. Definition und Bestimmung des Level of Concern
Die FDA definiert drei Level of Concern zur Klassifizierung von Software:
- Minor: We believe the level of concern is Minor if failures or latent design flaws are unlikely to cause any injury to the patient or operator.
- Moderate: We believe the level of concern is Moderate if a failure or latent design flaw could directly result in minor injury to the patient or operator […].
- Major: We believe the level of concern is Major if a failure or latent flaw could directly result in death or serious injury to the patient or operator […]
Die FDA nennt in ihrem Guidance Document Content of Premarket Submissions for Software Contained in Medical Devices nicht nur diese drei Klassen, sondern gibt auch Hilfestellung, um den Level of Concern zu bestimmen.
Dazu hat die FDA einen Entscheidungsbaum definiert und zwei Listen mit Fragen. Die erste Liste enthält u. a. die folgenden Fragen:
- Ist die Software ein Zubehör zu einem Medizinprodukt, das einen „Major Level of Concern“ hat?
- Kann ein Softwarefehler (vor Risikokontrollmaßnahmen!) zu einem Tod oder zu einer schweren Verletzung führen, beispielsweise weil die Software eine Behandlung steuert oder dem Vitaldaten-Monitoring in potenziell lebensbedrohlichen Situationen dient?
Sobald man eine der Fragen mit „ja“ beantworten kann, ist der Level of Concern bestimmt.
2. Level of Concern: Welche Folgen diese Klassifizierung hat
Umfang der einzureichenden Dokumentation
Der Level of Concern steuert die Menge der einzureichenden Unterlagen:
Dokument | Minor Level of Concern | Moderate Level of Concern | Major Level of Concern |
---|
Software Description | ja | ja | ja |
Gefährdungsanalyse | ja | ja | ja |
Software Requirements | ja | ja | ja |
Software-Architektur | nein | ja | ja |
Software Design Specification | nein | ja | ja |
Software Development Environment Description | nein | ja | ja |
Verifizierung und Validierung | verkürzt | ja | ja |
Traceability Analysis | ja | ja | ja |
Off-the-Shelf Software
Auch bei Off-the-Shelf Software (OTSS) spielt der Level of Concern eine entscheidende Rolle: Er regelt
- den Umfang der dafür notwendigen Dokumentation (z. B. Basic Documentation, Special Documentation),
- ob und welche risikomininierenden Maßnahmen dokumentiert werden müssen,
- ob ggf. ein Audit beim Hersteller notwendig ist und
- ob diese Komponente überhaupt eingesetzt werden darf.
Sie als Hersteller sollten diesen Off-the-Shelf Software Guidance der FDA kennen und beachten.
Lesen Sie hier mehr zu Gemeinsamkeiten und Unterschieden zwischen OTS und SOUP.
3. Sicherheitsklassifizierung gemäß IEC 62304 vs. Level of Concern gemäß FDA
Die Level of Concern erinnern an die Sicherheitsklassifizierung von Software-Komponenten in der IEC 62304:2007:
- Klasse A: Keine Verletzung oder Schädigung der Gesundheit ist möglich
- Klasse B: Keine schwere Verletzung ist möglich
- Klasse C: Tod oder schwere Verletzung ist möglich
Sind damit diese beiden Klassifizierungen äquivalent? Nein!
- Die Klassifizierung der FDA legt fest, welche Unterlagen bei der Zulassung einzureichen sind. Die Klassifizierung nach IEC 62304 legt fest, welche Unterlagen zu erstellen sind.
Für die niedrigen Klassen kann man sich manches ersparen. Beim FDA-Audit müssen hingegen die Unterlagen für alle Komponenten vorliegen. Dass dies besonders bei niedrig klassifizierten Komponenten meist nicht erfolgt, ist eine andere Sache. - Während die Klasse A nur vom Schweregrad abhängt, berücksichtigt der Minor Level of Concern auch die Wahrscheinlichkeit („unlikely“). Damit umgeht die FDA die absurde Diskussion, dass selbst die unkritischste Software im unwahrscheinlichsten Fall eben doch einen großen Schaden verursachen kann und deshalb eigentlich alle Software der Klasse C angehört. Dieses Problem will die IEC 62304 mit dem Ammendment zur Sicherheitsklasse lösen.
Lesen Sie hier mehr zu den Änderungen bei der Sicherheitsklassifizierung gemäß IEC 62304.
4. Änderungen: Ende des Level of Concern
Am 04.11.2021 hat die FDA den Entwurf eines Guidance-Dokuments Content of Premarket Submissions for Device Software Functions publiziert. Dieses Dokument soll das Guidance-Dokument ablösen, das den Level of Concern einführte.
Dieses neue Guidance-Dokument unterscheidet nur noch zwei Klassen.
a) Bestimmung der Klassen
Die FDA definiert nicht mehr drei „Level of Concern“, sondern zwei „Dokumentationsklassen“:
- Basic Documentation
- Enhanced Documentation
Eine Software verlangt eine „Enhanced Documentation“, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
Das Produkt, das die Software enthält oder die Software ist,
- ist ein Kombinationsprodukt,
- dient dem Einsatz in der Transfusionsmedizin bzw. Organspende (Bestimmung von Organspendern und Empfängern),
- fällt in die Klasse III oder
- kann im Fall eines Fehlers zum Tod oder zu einer schweren Verletzung („serious injury“) führen.
Beim vierten Punkt bezieht sich die FDA auf vernünftigerweise vorhersehbare Risiken.
b) Konsequenz der Klassifizierung
Ähnlich wie die Level of Concern wirkt sich auch die Klassifizierung auf den Umfang der einzureichenden (Software-)Dokumentation aus:
Element der Software-Dokumentation | Basic Documentation | Enhanced Documentation |
Bestimmung der Dokumentationsklasse | x | x |
Beschreibung der Software | x | x |
System- und Software-Architektur | x | x |
Risikomanagement | x | x |
Software Requirements Specification (Software-Anforderungen) | x | x |
Software Design Specification | — | x |
Dokumentation der Software-Entwicklung und -Wartung | x | x (erweitert) |
Software-Testing | x (ohne Details der Unit- und Integrationstest) | x |
Versionshistorie | x | x |
Liste und Bewertung der Anomalien | x | x |
Die neuen Anforderungen erinnern sehr an die bisherigen Level moderate und major. D. h., dass Hersteller keine Software-Dokumentation einreichen können, die nur den sehr laxen Anforderungen des minor level of concern entspricht.
c) Bewertung
Die FDA nimmt starken Bezug auf die IEC 62304. Ein Vorgehen gemäß Klasse A erlaubt sie aber spätestens mit der neuen Version des Guidance-Dokuments nicht mehr. Zudem sollten sich Hersteller bewusst sein, dass die Menge der einzureichenden Dokumentation unabhängig ist von der Menge der zu erstellenden Dokumentation.
Das Johner Institut empfiehlt Herstellern daher grundlegend, konform den Anforderungen der Sicherheitsklasse C zu arbeiten und zu dokumentieren.
Wünschen Sie sich Unterstützung dabei, eine „FDA-konforme“ Software-Dokumentation zu erstellen? Professor Johner und sein Team helfen gerne! Nehmen Sie Kontakt auf!
Änderungshistorie
- 2021-11-08: Kapitel 4 eingefügt