Was MDR und IVDR verwechseln und weshalb Sie nicht von CAPA sprechen sollten
Die FDA (im 21 CFR part 820 – QSR) und die ISO 13485 unterscheiden Korrekturmaßnahmen (corrective actions), Vorbeugungsmaßnahmen (preventive actions) und Korrekturen (corrections).
Leider unterscheiden die MDR und die IVDR diese Konzepte nicht präzise. Auch einige Hersteller glauben, „corrective and preventive actions“ zu einem CAPA-Prozess zusammenfassen zu können. Doch das ist genauso unpräzise wie die mangelnde Unterscheidung zwischen Korrektur (correction) und Korrekturmaßnahme (corrective action).
Dieser Artikel definiert die Begriffe und hilft, Abweichungen in Audits und illegale Vermarktung von Produkten zu vermeiden, die durch diese Begriffsverwechslungen entstehen. Er nennt die regulatorischen Anforderungen und erläutert an Beispielen, wie die Begriffspaare „corrective action“ und „correction“ sowie „corrective action“ und „preventive action“ zu unterscheiden sind.
1. Korrektur – Correction
Definition
Die ISO 9000 definiert den Begriff Korrektur (correction) wie folgt:
„Maßnahme zur Beseitigung einer erkannten Nichtkonformität“
Quelle: ISO 9000:2015 3.12.3
„action to eliminate a detected nonconformity“
Quelle: ISO 9000:2015 3.12.3
Beispiele für Korrekturen
- Zu langes Bauteil kürzen
- Software-Bug beseitigen
- Medizinprodukt in die richtige Klasse einstufen
2. Korrekturmaßnahme – Corrective Action
a) Korrekturmaßnahme bei ISO 9000 und ISO 13485
Definition
Die ISO 9000 definiert den Begriff Korrekturmaßnahme (corrective action) wie folgt:
„Maßnahme zum Beseitigen der Ursache einer Nichtkonformität und zum Verhindern des erneuten Auftretens“
Quelle: ISO 9000:2015 3.12.2
„Maßnahme zum Beseitigen der Ursache einer Nichtkonformität und zum Verhindern des erneuten Auftretens“
Quelle: ISO 9000:2015 3.12.2
Ziel von Korrekturmaßnahmen ist es, nicht den Fehler, sondern die Ursache eines bereits aufgetretenen Fehlers zu beseitigen und damit sicherzustellen, dass solche Fehler nicht noch einmal auftreten.
Umgangssprachlich werden Maßnahmen, die sicherstellen sollen, dass ein bereits aufgetretener Fehler nicht noch einmal vorkommt, oft als Vorbeugungsmaßnahmen bezeichnet. Es handelt sich dabei aber nicht um eine „preventive action“ im Sinne der Definition.
Beispiele für Korrekturmaßnahmen
- Die fehlerhafte Einstellung einer Produktionsmaschine, z. B. CNC-Fräse ändern, damit das Bauteil künftig die richtige Länge hat
- Nach einem Softwarefehler die Kodierrichtlinien überarbeiten, damit der Fehler nicht mehr (so wahrscheinlich) auftritt
- Nach einem Datenverlust ein neues Datenschutzkonzept etablieren
- Nach einer fehlerhaften Klassifizierung, für Personen eine Weiterbildung verbindlich machen, bevor diese Produkte klassifizieren
- Die Endprüfung automatisieren, damit die Dokumentation der Prüfergebnisse nicht erneut vergessen werden kann
b) Korrekturmaßnahme gemäß MDR und IVDR
Leider haben MDR und IVDR die Definition des Begriffs Korrekturmaßnahme nicht von der ISO 9000 bzw. ISO 13485 übernommen:
„Maßnahme zur Beseitigung der Ursache eines potenziellen oder vorhandenen Mangels an Konformität oder einer sonstigen unerwünschten Situation“
Quelle: MDR Artikel 2
„action taken to eliminate the cause of a potential or actual non-conformity or other undesirable situation“
Quelle: MDR Artikel 2
Diese Definition ist sehr unglücklich, weil sie die Beseitigung der Ursache eines potenziellen Mangels und die Beseitigung der Ursache eines vorhandenen Mangels vermischt. Unter der Beseitigung der Ursache eines potenziellen Mangels versteht man üblicherweise eine Vorbeugungsmaßnahme.
Bedauerlicherweise verwenden die MDR und IVDR neben dem Begriff Korrekturmaßnahme auch noch den der Sicherheitskorrekturmaßnahme.
„eine von einem Hersteller aus technischen oder medizinischen Gründen ergriffene Korrekturmaßnahme zur Verhinderung oder Verringerung des Risikos eines schwerwiegenden Vorkommnisses im Zusammenhang mit einem auf dem Markt bereitgestellten Produkt“
Quelle: MDR Artikel 2
Obwohl weder die MDR noch die IVDR den Begriff Vorbeugungsmaßnahme definieren, verwenden sie ihn, allerdings immer nur im Zusammenspiel „Korrektur- und Vorbeugungsmaßnahme“. Weshalb das Vermischen dieser Begriffe ein Problem ist, führt dieser Artikel weiter unten aus.
3. Vorbeugungsmaßnahme – Preventive Action
Definition
ISO 9000 definiert den Begriff Vorbeugungsmaßnahme (preventive action) wie folgt:
„Maßnahme zur Beseitigung der Ursache einer möglichen Nichtkonformität oder einer anderen möglichen unerwünschten Situtation“
Quelle: ISO 9000:2015 3.12.1
„action to eliminate the cause of a potential nonconformity or other potential undesirable situation“
Quelle: ISO 9000:2015 3.12.1
Eine Vorbeugungsmaßnahme (preventive action) soll künftige Fehler vermeiden, die noch nicht aufgetreten sind.
Beispiele für Vorbeugungsmaßnahmen
Vorbeugungsmaßnahme können das Design eines Produkts betreffen, um dessen Sicherheit zu erhöhen, z. B.:
- Wahl eines anderen Werkstoffs oder anderer Bauteile
- Verwendung einer besser lesbaren Schriftart auf einer Benutzerschnittstelle
- Wertebereichsprüfung von Eingabewerten
- Einschränkung des Verwendungszwecks
- Änderung der Systemarchitektur, z. B. Einführung eines Watchdogs
Andere Maßnahmen können das Qualitätsmanagement betreffen, z. B.:
- Bessere Qualifizierung von Mitarbeitern
- Verbesserung eines Prozesses, z. B. des Entwicklungsprozesses
- Einführen zusätzlicher Code-Reviews
- Überarbeitung der Checkliste zur Überprüfung von Software-Anforderungen
- Einfordern einer neuen Metrik für die statische Code-Analyse
Würden Sie eine dieser Maßnahmen ergreifen, um einen bereits aufgetretenen Fehler künftig zu vermeiden, wären dies keine Vorbeugungsmaßnahme, sondern eine Korrekturmaßnahme. In anderen Worten:
Sie können keine Vorbeugungsmaßnahme (preventive action) mehr ergreifen, wenn das Problem bereits aufgetreten ist. Wenn Sie nach dem Auftreten des Problems durch eine neue Maßnahme sicherstellen, dass das Problem nicht nochmals auftritt, ist das eine Korrekturmaßnahme (corrective action). Beide Maßnahmen haben das gleiche Ziel: ein künftiges Problem zu vermeiden.
Weil die meisten Hersteller meist erst bei aufgetretenen Problemen reagieren, gibt es also viele „corrective actions“ und nur wenige „preventive actions“.
4. Regulatorische Anforderungen an Korrektur- und Vorbeugungsmaßnahmen
a) ISO 13485
Die ISO 13485 fordert in Kapitel 8.5 („Verbesserung“) sowohl die „corrective actions“ (Kapitel 8.5.2 „Korrekturmaßnahmen“), als auch die „preventive actions“ (Kapitel 8.5.3 „Vorbeugungsmaßnahmen“).
Die Hersteller müssen Prozesse dafür definieren, Aufzeichnungen dazu führen und eine Begründung angeben, wenn sie bei einer Kundenreklamation keine Korrektur- oder Vorbeugungsmaßnahme ergreifen.
b) FDA
Die FDA fordert „corrective and preventive actions“ in 21 CFR part 820.100. Die Anforderungen entsprechen im Wesentlichen der ISO 13485.
c) MDR
Die MDR und in gleicher Weise die IVDR stellen Anforderungen an die Korrektur- und Vorbeugungsmaßnahme, die im deutschen Text auch als „korrektive und präventive Maßnahmen“ übersetzt sind. Dazu zählen:
- Das QM-System muss diese Maßnahmen regeln (Artikel 10).
- Dies müssen die Benannten Stellen auditieren.
- Die Hersteller müssen notwendige Korrekturmaßnahmen durchführen (Artikel 10).
- Dabei müssen Händler, Importeure und Bevollmächtigte mitwirken.
- Die Hersteller müssen „Sicherheitskorrekturmaßnahmen“ an die Behörden melden.
- Die Hersteller sind verpflichtet, anhand der Post-Market-Daten über notwendige Korrektur- und Präventivmaßnahmen zu entscheiden (u. a. MDR Artikel 83ff bzw. IVDR Artikel 78ff).
- Bei klinischen Prüfungen müssen die Sponsoren die Korrekturmaßnahmen melden.
d) GHTF
Die GHTF hat ein Guidance Document mit dem Titel „Quality management system –Medical Devices – Guidance on corrective action and preventive action and related QMS processes“ veröffentlich, das sehr lesenswert ist. Bei den Definitionen greift das Dokument auf die der ISO 9000 zurück, allerdings in der Ausgabe 2005.
Einige der Vorschläge, wie die Vorgaben der ISO 13485 umgesetzt werden können, z. B. zur Ursachenanalyse, finden sich auch im Practical Guide zur ISO 13485. Auditoren nutzen beide Dokumente.
Die Guidance der GHTF hat den Vorteil kostenfrei zu sein, der ISO-Guide kostet ca. 100 EUR.
5. Das CAPA-Problem
Aus dem angloamerikanischen Sprachraum ist der Begriff CAPA übernommen worden, der für „Corrective And Preventive Action“ steht. Die Vermischung dieser Maßnahmen ist aber aus mehreren Gründen problematisch.
a) Problem mit der Verfahrensanweisung
Einige Firmen erstellen eine Verfahrensanweisung (SOP) mit dem Titel CAPA, in der sie (nur) ein gemeinsames Verfahren für die Korrekturmaßnahmen und die Vorbeugungsmaßnahmen festlegen. Sie fordern darin teilweise sogar zu jeder Korrekturmaßnahme auch ein Vorbeugungsmaßnahme.
Dabei verfolgen sie den Gedanken, dass sichergestellt („vorgebeugt“) werden muss, dass das Problem nicht nochmals in gleicher oder ähnlicher Weise auftritt. Aber diese Form der „Vorbeugung“ ist keine Vorbeugungs- sondern eine Korrekturmaßnahme.
Es kann auch deshalb nicht nur ein Verfahren geben, weil sich die Maßnahmentypen bezüglich der Inputs, Rollen oder regulatorischen Vorgaben unterscheiden.
Inputs
Das betriebliche Vorschlagswesen, die Liste künftiger Normen und Gesetze sowie technologische Trends und Kennzahlen weisen auf mögliche künftige Nichtkonformitäten hin. Sie sind aber noch nicht als Informationen aufzufassen, die auf bereits bestehende Nichtkonformitäten hinweisen und deren Ursachen der Hersteller als Korrekturmaßnahme also beseitigen müsste.
Aktivitäten und Rollen
Eine Korrekturmaßnahme verlangt andere bzw. zusätzliche Aktivitäten und ggf. Rollen als eine Vorbeugungsmaßnahme:
- Die Ursachenanalyse bei Korrekturmaßnahmen kann sich von einer Ursachenanalyse bei Vorbeugungsmaßnahmen unterscheiden: Bei einer Korrekturmaßnahme weiß man, dass es eine Nicht-Konformität gibt. Damit steht auch fest, dass mindestens eine Ursache dafür existiert. Bei einer Vorbeugungsmaßnahme sucht man die Ursachen einer potenziellen Nichtkonformität.
- Die Entscheidung über Behördenmeldungen gibt es i. d. R. auch nur bei Korrekturmaßnahmen.
Regulatorische Vorgaben
Die ISO 13485 hat sehr genaue Vorgaben bezüglich des Umgangs mit Nichtkonformitäten. D. h., dass der Hersteller bei Korrekturen und Korrekturmaßnahmen weniger Freiheitsgrade hat als bei Vorbeugungsmaßnahmen.
Hätten die MDR und IVDR die Begriffsdefinitionen der ISO 13485 übernommen, würde die Diskussion der Frage überflüssig, ob die Korrekturmaßnahmen gemäß MDR der Vereinigungsmenge von Korrekturmaßnahmen und Vorbeugungsmaßnahmen gemäß ISO 13485 entsprechen.
b) Problem mit „non-significant changes“
Die MDR gewährt bei „non-significant changes“ Übergangsfristen. Ob eine Änderung als nicht signifikant eingestuft wird, hängt laut MDCG davon ab, ob eine Korrekturmaßnahme vorliegt oder nicht.
Hinweis: Zwischen dem No-Zweig bei der Frage „Design change releted to corrective actions*?“ und dem unteren Kästchen sind im Original weitere Fallunterscheidungen, die aber hier nicht abgebildet sind.
Sind Vorbeugungsmaßnahmen nun auch als „non-significant design changes“ zu verstehen? Das würde den Herstellern viele Möglichkeiten eröffnen. Oder unterscheidet die MDR jetzt doch präzise zwischen Korrekturmaßnahmen und Vorbeugungsmaßnahmen?
Präzise Begriffsdefinitionen und eine konsequente Verwendung dieser Begriffe würde solche Fragen erübrigen.
6. Fazit
Die klare Trennung von Korrektur (correction), Korrekturmaßnahme (corrective action) und Vorbeugungsmaßnahme (preventive action) ist sinnvoll und sollte von Herstellern unbedingt beachtet werden. Dass ausgerechnet die EU-Verordnungen (MDR, IVDR) diese konzeptionelle Integrität zerstören, ist ärgerlich.
Das Johner Institut unterstützt Sie dabei, schlanke MDR-, IVDR- und FDA-konforme QM-Systeme zu etablieren, die bei Audits und Inspektionen bestehen.
Änderungshistorie
- 2023-05-31: Redaktionelle Änderungen
- 2021-02-09: Beitrag vollständig überarbeitet.
- 2021-02-10: Link zum IMDRF Dokument und dem Practical Guide zur ISO 13485 ergänzt
Guten Morgen,
ich möchte zwei kleine Ergänzungen beitragen. Zwar sind zunächst die Regeln der FDA tatsächlich sehr ähnlich, aber während der Inspection habe ich bei amerikanischen Auditoren (Inspektoren) deutlich gründlicheres Vorgehen kennengelernt. So gehört bei der „Root Cause Analysis“ unbedingt dazu, welche Produkte außer dem nun bekannt gewordenen noch von der gefundenen Schwachstelle beeinträchtigt worden sein könnten. Diese Suche und Auswertung ist unbedingt schriftlich zu dokumentieren.
Selbst zum Thema Software fiele mit eine Correction ein: Sie haben in ein Programm z.B. eine falsche .dll eingebunden. Dann könnten Sie ein Patch schreiben (und ausschließlich an die betroffenen User verteilen), das ausschließlich diese .dll ersetzt. Zukünftige Installationen, die auf derselben (fehlerhaften) .exe beruhen, wären dadurch nicht korrigiert, hier braucht es die Corrective Action. Denkbar ist das bei sehr aufwendigen Installationen und kleinen Reparaturen, wo man dem Kunden nicht die komplette Neu-Installation zumuten möchte. Ist das nicht das übliche Vorgehen bei MS-Produkten?
Viele Grüße, Peter Knipp
Klasse Ergänzung, danke, lieber Herr Knipp!!
Achtung, Begriffserklärungen sind in der ISO 9000, nicht in der ISO 9001 geregelt.
Das ist absolut korrekt, Lieber Herr Hendel, das verbessere ich sofort! Danke für den Hinweis!
Sehr geehrter Herr Prof. Johner,
ich möchte gern auf eine Ungereimtheit zur MDR aufmerksam machen, vielleicht sammeln Sie so etwas oder können es richtigstellen.
Im Rahmen einer Überarbeitung unserer CAPA Prozedur bin ich auf folgende abweichende Definition gestoßen:
MDR, Article 2:
(67) ‘corrective action’ means action taken to eliminate the cause of a potential or actual non-conformity or other undesirable situation;
ISO 9000:2015:
3.12.1 preventive action
action to eliminate the cause of a potential nonconformity (3.6.9) or other potential undesirable situation
3.12.2 corrective action
action to eliminate the cause of a nonconformity (3.6.9) and to prevent recurrence
Für mich sieht es so aus, als habe man corrective und preventive action in der MDR in einen Topf geworfen. Ich kann auch im weiteren Verordnungstext bei den Begrifflichkeiten keinen Unterschied erkennen.
Vielen Dank für Ihren Kommentar und viele Grüße,
Joachim Schneider
Lieber Herr Schneider,
das ist wirklich eine spannende Beobachtung! Das sieht wirklich so aus, als würden Preventive und Corrective Actions in einen Topf geschmissen. Ich bin gerade die MDR nochmals durchgegangen. In der Tat sprechen Sie von beiden fast immer im „Doppelpack“. Das ist, wie Sie sagen, nicht sauber. Das sind die Folgen, wenn man mit dem Begriff „CAPA“ beides so zusammenführt.
Ich werde den Artikel mit Ihren wertvollen Hinweisen noch im Januar ergänzen.
Vielen Dank für diese präzise Beobachtung!
Herzliche Grüße, Christian Johner
Guten Tag Herr Johner,
ein wirklich toller Artikel und sehr informativ. Ich bin jedoch bei einer Aussage mir nicht ganz sicher, ob diese so zutrifft:
Kapitel 5; Aktivitäten und Rollen: „Einer Ursachenanalyse bedarf es nur bei einer Korrekturmaßnahme“.
Nach der ISO 13485, muss man bei Vorbeugungsmaßnahmen die potentielle Nichtkonformität und ihre Ursache ermitteln. Ich würde das so verstehen, dass man sehr wohl eine Ursachenanalyse bei einer Vorbeugungsmaßnahme durchzuführen hat.
Mit freundlichen Grüßen
Andreas Mohr
Das ist ein super-wichtiger Hinweis, lieber Herr Mohr!
Der Satz war in der Tat nicht optimal geschrieben. Ich habe ihn überarbeitet.
Danke für Ihren wertvollen Beitrag!
Beste Grüße, Christian Johner