Was MDR und IVDR verwechseln und weshalb Sie nicht von CAPA sprechen sollten
Die FDA (im 21 CFR part 820 – QSR) und die ISO 13485 unterscheiden
- Korrekturmaßnahmen (corrective actions),
- Vorbeugungsmaßnahmen (preventive actions) und
- Korrekturen (corrections).
Leider unterscheiden die MDR und die IVDR diese Konzepte nicht präzise. Auch einige Hersteller glauben, „corrective and preventive actions“ zu einem CAPA-Prozess zusammenfassen zu können. Doch das ist genauso unpräzise wie die mangelnde Unterscheidung zwischen Korrektur (correction) und Korrekturmaßnahme (corrective action).
Dieser Artikel definiert die Begriffe und hilft, Abweichungen in Audits und illegale Vermarktung von Produkten zu vermeiden, die durch diese Begriffsverwechslungen entstehen. Er nennt die regulatorischen Anforderungen und erläutert an Beispielen, wie die Begriffspaare „corrective action“ und „correction“ sowie „corrective action“ und „preventive action“ zu unterscheiden sind.
1. Korrektur – Correction
Definition
Die ISO 9000 definiert den Begriff „Korrektur“ (correction) wie folgt:
„Maßnahme zur Beseitigung einer erkannten Nichtkonformität“
Quelle: ISO 9000:2015 3.12.3
„action to eliminate a detected nonconformity“
Quelle: ISO 9000:2015 3.12.3
Beispiele für Korrekturen
- Zu langes Bauteil kürzen
- Software-Bug beseitigen
- Medizinprodukt in die richtige Klasse einstufen
2. Korrekturmaßnahme – Corrective Action
a) Korrekturmaßnahme bei ISO 9000 und ISO 13485
Definition
Die ISO 9000 definiert den Begriff „Korrekturmaßnahme“ (corrective action) wie folgt:
„Maßnahme zum Beseitigen der Ursache einer Nichtkonformität und zum Verhindern des erneuten Auftretens“
Quelle: ISO 9000:2015 3.12.2
„action to eliminate the cause of a nonconformity and to prevent recurrence“
Quelle: ISO 9000:2015 3.12.2
Das Ziel von Korrekturmaßnahmen ist somit, nicht den Fehler, sondern die Ursache eines bereits aufgetretenen Fehlers zu beseitigen und damit sicherzustellen, dass solche Fehler nicht noch einmal auftreten.
Umgangssprachlich werden Maßnahmen, die sicherstellen sollen, dass ein bereits aufgetretener Fehler nicht noch einmal vorkommt, oft als Vorbeugungsmaßnahmen bezeichnet. Es handelt sich dabei aber nicht um eine „preventive action“ im Sinne der Definition.
Beispiele für Korrekturmaßnahmen
- Die fehlerhafte Einstellung einer Produktionsmaschine (z. B. CNC-Fräse) ändern, damit das Bauteil künftig die richtige Länge hat
- Nach einem Softwarefehler die Kodierrichtlinien überarbeiten, damit der Fehler nicht mehr (so wahrscheinlich) auftritt
- Nach einem Datenverlust ein neues Datenschutzkonzept etablieren
- Nach einer fehlerhaften Klassifizierung eine Weiterbildung für diejenigen Personen verbindlich durchführen, die weitere Produkte klassifizieren
- Die Endprüfung automatisieren, damit die Dokumentation der Prüfergebnisse nicht erneut vergessen werden kann
b) Korrekturmaßnahme gemäß MDR und IVDR
Leider haben MDR und IVDR die Definition des Begriffs Korrekturmaßnahme nicht von der ISO 9000 bzw. ISO 13485 übernommen:
„Maßnahme zur Beseitigung der Ursache eines potenziellen oder vorhandenen Mangels an Konformität oder einer sonstigen unerwünschten Situation“
Quelle: MDR Artikel 2
„action taken to eliminate the cause of a potential or actual non-conformity or other undesirable situation“
Quelle: MDR Artikel 2
Diese Definition ist sehr unglücklich, weil sie die Beseitigung der Ursache eines potenziellen Mangels und die Beseitigung der Ursache eines vorhandenen Mangels vermischt. Unter der Beseitigung der Ursache eines potenziellen Mangels versteht man üblicherweise eine Vorbeugungsmaßnahme.
Bedauerlicherweise verwenden die MDR und IVDR neben dem Begriff Korrekturmaßnahme auch noch den Begriff Sicherheitskorrekturmaßnahme.
„eine von einem Hersteller aus technischen oder medizinischen Gründen ergriffene Korrekturmaßnahme zur Verhinderung oder Verringerung des Risikos eines schwerwiegenden Vorkommnisses im Zusammenhang mit einem auf dem Markt bereitgestellten Produkt“
Quelle: MDR Artikel 2
Obwohl weder die MDR noch die IVDR den Begriff „Vorbeugungsmaßnahme“ definieren, verwenden sie ihn, allerdings immer nur im Zusammenspiel „Korrektur- und Vorbeugungsmaßnahme“. Weshalb das Vermischen dieser Begriffe ein Problem ist, führt dieser Artikel weiter unten aus.
3. Vorbeugungsmaßnahme – Preventive Action
Definition
Die ISO 9000 definiert den Begriff „Vorbeugungsmaßnahme“ (preventive action) wie folgt:
„Maßnahme zur Beseitigung der Ursache einer möglichen Nichtkonformität oder einer anderen möglichen unerwünschten Situtation“
Quelle: ISO 9000:2015 3.12.1
„action to eliminate the cause of a potential nonconformity or other potential undesirable situation“
Quelle: ISO 9000:2015 3.12.1
Eine Vorbeugungsmaßnahme (preventive action) soll künftige Fehler vermeiden, die noch nicht aufgetreten sind.
Beispiele für Vorbeugungsmaßnahmen
Vorbeugungsmaßnahme können das Design eines Produkts betreffen, um dessen Sicherheit zu erhöhen, z. B.:
- Wahl eines anderen Werkstoffs oder anderer Bauteile
- Verwendung einer besser lesbaren Schriftart auf einer Benutzerschnittstelle
- Wertebereichsprüfung von Eingabewerten
- Einschränkung des Verwendungszwecks
- Änderung der Systemarchitektur, z. B. Einführung eines Watchdogs
Andere Maßnahmen können das Qualitätsmanagement betreffen, z. B.:
- Bessere Qualifizierung von Mitarbeitern
- Verbesserung eines Prozesses, z. B. des Entwicklungsprozesses
- Einführen zusätzlicher Code-Reviews
- Überarbeitung der Checkliste zur Überprüfung von Software-Anforderungen
- Einfordern einer neuen Metrik für die statische Code-Analyse
Würden Sie eine dieser Maßnahmen ergreifen, um einen bereits aufgetretenen Fehler künftig zu vermeiden, wäre dies keine Vorbeugungsmaßnahme, sondern eine Korrekturmaßnahme. Mit anderen Worten:
Sie können keine Vorbeugungsmaßnahme (preventive action) mehr ergreifen, wenn das Problem bereits aufgetreten ist. Wenn Sie nach dem Auftreten des Problems durch eine neue Maßnahme sicherstellen, dass das Problem nicht erneut auftritt, ist das eine Korrekturmaßnahme (corrective action). Beide Maßnahmen haben das gleiche Ziel: ein künftiges Problem zu vermeiden.
Weil die meisten Hersteller meist erst reagieren, wenn Probleme bereits aufgetreten sind, gibt es viele „corrective actions“ und nur wenige „preventive actions“.
4. Regulatorische Anforderungen an Korrektur- und Vorbeugungsmaßnahmen
a) ISO 13485
Die ISO 13485 fordert in Kapitel 8.5 („Verbesserung“) sowohl die „corrective actions“ (Kapitel 8.5.2 „Korrekturmaßnahmen“), als auch die „preventive actions“ (Kapitel 8.5.3 „Vorbeugungsmaßnahmen“).
Die Hersteller müssen Prozesse dafür definieren, Aufzeichnungen führen und eine Begründung angeben, wenn sie bei einer Kundenreklamation keine Korrektur- oder Vorbeugungsmaßnahme ergreifen.
b) FDA
Die FDA fordert „corrective and preventive actions“ (CAPA) in 21 CFR part 820.100. Die Anforderungen entsprechen im Wesentlichen der ISO 13485.
Die FDA ersetzt den 21 CFR part 820 weitgehend durch eine Referenz auf die ISO 13485. Damit gleichen sich die Anforderungen an die Korrektur- und Vorbeugemaßnahmen (CAPA) vollständig.
c) MDR
Die MDR und in gleicher Weise die IVDR stellen Anforderungen an die Korrektur- und Vorbeugungsmaßnahme (CAPA), die im deutschen Text auch als „korrektive und präventive Maßnahmen“ übersetzt sind. Dazu zählen:
- Das QM-System muss diese Maßnahmen regeln (Artikel 10).
- Dies müssen die Benannten Stellen auditieren.
- Die Hersteller müssen notwendige Korrekturmaßnahmen durchführen (Artikel 10).
- Dabei müssen Händler, Importeure und Bevollmächtigte mitwirken.
- Die Hersteller müssen „Sicherheitskorrekturmaßnahmen“ an die Behörden melden.
- Die Hersteller sind verpflichtet, anhand der Post-Market-Daten über notwendige Korrektur- und Präventivmaßnahmen zu entscheiden (u. a. MDR Artikel 83 ff. bzw. IVDR Artikel 78 ff.).
- Bei klinischen Prüfungen müssen die Sponsoren die Korrekturmaßnahmen melden.
d) GHTF
Die GHTF hat ein Guidance-Dokument mit dem Titel Quality management system –Medical Devices – Guidance on corrective action and preventive action and related QMS processes veröffentlich, das sehr lesenswert ist. Bei den Definitionen greift das Dokument auf die ISO 9000 zurück, allerdings auf die Ausgabe 2005.
Einige der Vorschläge, wie die Vorgaben der ISO 13485 umgesetzt werden können (z. B. zur Ursachenanalyse), finden sich auch im Practical Guide zur ISO 13485. Auditoren nutzen beide Dokumente.
Die Guidance der GHTF ist kostenfrei, der ISO-Guide kostet ca. 100 EUR.
5. Das CAPA-Problem
Aus dem angloamerikanischen Sprachraum ist der Begriff CAPA übernommen worden, der für „Corrective And Preventive Action“ steht. Die Vermischung dieser Maßnahmen ist aber aus mehreren Gründen problematisch.
a) Problem mit der Verfahrensanweisung
Einige Firmen erstellen eine Verfahrensanweisung (SOP) mit dem Titel CAPA, in der sie (nur) ein gemeinsames Verfahren für die Korrekturmaßnahmen und die Vorbeugungsmaßnahmen festlegen. Sie fordern darin teilweise sogar zu jeder Korrekturmaßnahme auch ein Vorbeugungsmaßnahme.
Dabei verfolgen sie den Gedanken, dass sichergestellt („vorgebeugt“) werden muss, dass das Problem nicht erneut in gleicher oder ähnlicher Weise auftritt. Aber diese Form der „Vorbeugung“ ist keine Vorbeugungs- sondern eine Korrekturmaßnahme.
Es kann auch deshalb nicht nur ein Verfahren geben, weil sich die Maßnahmentypen bezüglich der Inputs, Rollen oder regulatorischen Vorgaben unterscheiden.
Unterschiedliche Inputs
Das betriebliche Vorschlagswesen, die Liste künftiger Normen und Gesetze sowie technologische Trends und Kennzahlen weisen auf mögliche künftige Nichtkonformitäten hin. Sie sind aber noch nicht als Informationen aufzufassen, die auf bereits bestehende Nichtkonformitäten hinweisen und deren Ursachen der Hersteller als Korrekturmaßnahme also beseitigen müsste.
Das heißt, dass beispielsweise das betriebliche Vorschlagswesen ein Teil des Prozesses mit den Vorbeugemaßnahmen ist, aber nicht Gegenstand des Prozesses mit den Korrekturmaßnahmen.
Unterschiedliche Aktivitäten und Rollen
Eine Korrekturmaßnahme verlangt andere bzw. zusätzliche Aktivitäten und ggf. Rollen als eine Vorbeugungsmaßnahme:
- Die Ursachenanalyse bei Korrekturmaßnahmen kann sich von jener bei Vorbeugungsmaßnahmen unterscheiden: Bei einer Korrekturmaßnahme weiß man, dass es eine Nicht-Konformität gibt. Damit steht auch fest, dass mindestens eine Ursache dafür existiert. Bei einer Vorbeugungsmaßnahme sucht man die Ursachen einer potenziellen Nichtkonformität.
- Die Entscheidung über Behördenmeldungen gibt es i. d. R. nur bei Korrekturmaßnahmen.
Es gibt viele Methoden, um Ursachen von bereits aufgetretenen Fehlern zu ergründen, z. B. die 5-Why-Methode. Diese Methoden lassen sich meist auch anwenden, um die Ursachen noch nicht aufgetretener Fehler zu finden: „Wie könnte es dazu kommen, das XY passiert?“
Unterschiedliche regulatorische Vorgaben
Die ISO 13485 hat sehr genaue Vorgaben bezüglich des Umgangs mit Nichtkonformitäten. Dadurch hat der Hersteller bei Korrekturen und Korrekturmaßnahmen weniger Freiheitsgrade als bei Vorbeugungsmaßnahmen.
Hätten die MDR und IVDR die Begriffsdefinitionen der ISO 13485 übernommen, würde die Diskussion der Frage überflüssig, ob die Korrekturmaßnahmen gemäß MDR der Vereinigungsmenge von Korrekturmaßnahmen und Vorbeugungsmaßnahmen gemäß ISO 13485 entsprechen.
b) Problem mit „non-significant changes“
Die MDR gewährt bei „non-significant changes“ Übergangsfristen. Ob eine Änderung als nicht signifikant eingestuft wird, hängt laut MDCG davon ab, ob eine Korrekturmaßnahme vorliegt oder nicht.
Hinweis: Zwischen dem No-Zweig bei der Frage „Design change releted to corrective actions*?“ und dem unteren Kästchen gibt es im Original weitere Fallunterscheidungen, die hier nicht abgebildet sind.
Sind Vorbeugungsmaßnahmen nun auch als „non-significant design changes“ zu verstehen? Das würde den Herstellern viele Möglichkeiten eröffnen. Oder unterscheidet die MDR jetzt doch präzise zwischen Korrekturmaßnahmen und Vorbeugungsmaßnahmen?
Präzise Begriffsdefinitionen und eine konsequente Verwendung dieser Begriffe würden solche Fragen erübrigen.
6. Fazit
Die klare Trennung von Korrektur (correction), Korrekturmaßnahme (corrective action) und Vorbeugungsmaßnahme (preventive action) ist sinnvoll und sollte von Herstellern unbedingt beachtet werden. Ein Zusammenlegen beider als „CAPA“ ist nicht angebracht.
Dass ausgerechnet die EU-Verordnungen MDR und IVDR diese konzeptionelle Integrität zerstören, ist ärgerlich.
Das Johner Institut unterstützt Sie dabei, schlanke MDR-, IVDR- und FDA-konforme QM-Systeme zu etablieren, die bei Audits und Inspektionen bestehen.
Änderungshistorie
- 2023-10-06: Beispiele ergänzt, Hinweisboxen eingefügt
- 2023-05-31: Redaktionelle Änderungen
- 2021-02-09: Beitrag vollständig überarbeitet.
- 2021-02-10: Link zum IMDRF Dokument und dem Practical Guide zur ISO 13485 ergänzt
Guten Morgen,
ich möchte zwei kleine Ergänzungen beitragen. Zwar sind zunächst die Regeln der FDA tatsächlich sehr ähnlich, aber während der Inspection habe ich bei amerikanischen Auditoren (Inspektoren) deutlich gründlicheres Vorgehen kennengelernt. So gehört bei der „Root Cause Analysis“ unbedingt dazu, welche Produkte außer dem nun bekannt gewordenen noch von der gefundenen Schwachstelle beeinträchtigt worden sein könnten. Diese Suche und Auswertung ist unbedingt schriftlich zu dokumentieren.
Selbst zum Thema Software fiele mit eine Correction ein: Sie haben in ein Programm z.B. eine falsche .dll eingebunden. Dann könnten Sie ein Patch schreiben (und ausschließlich an die betroffenen User verteilen), das ausschließlich diese .dll ersetzt. Zukünftige Installationen, die auf derselben (fehlerhaften) .exe beruhen, wären dadurch nicht korrigiert, hier braucht es die Corrective Action. Denkbar ist das bei sehr aufwendigen Installationen und kleinen Reparaturen, wo man dem Kunden nicht die komplette Neu-Installation zumuten möchte. Ist das nicht das übliche Vorgehen bei MS-Produkten?
Viele Grüße, Peter Knipp
Klasse Ergänzung, danke, lieber Herr Knipp!!
Achtung, Begriffserklärungen sind in der ISO 9000, nicht in der ISO 9001 geregelt.
Das ist absolut korrekt, Lieber Herr Hendel, das verbessere ich sofort! Danke für den Hinweis!
Sehr geehrter Herr Prof. Johner,
ich möchte gern auf eine Ungereimtheit zur MDR aufmerksam machen, vielleicht sammeln Sie so etwas oder können es richtigstellen.
Im Rahmen einer Überarbeitung unserer CAPA Prozedur bin ich auf folgende abweichende Definition gestoßen:
MDR, Article 2:
(67) ‘corrective action’ means action taken to eliminate the cause of a potential or actual non-conformity or other undesirable situation;
ISO 9000:2015:
3.12.1 preventive action
action to eliminate the cause of a potential nonconformity (3.6.9) or other potential undesirable situation
3.12.2 corrective action
action to eliminate the cause of a nonconformity (3.6.9) and to prevent recurrence
Für mich sieht es so aus, als habe man corrective und preventive action in der MDR in einen Topf geworfen. Ich kann auch im weiteren Verordnungstext bei den Begrifflichkeiten keinen Unterschied erkennen.
Vielen Dank für Ihren Kommentar und viele Grüße,
Joachim Schneider
Lieber Herr Schneider,
das ist wirklich eine spannende Beobachtung! Das sieht wirklich so aus, als würden Preventive und Corrective Actions in einen Topf geschmissen. Ich bin gerade die MDR nochmals durchgegangen. In der Tat sprechen Sie von beiden fast immer im „Doppelpack“. Das ist, wie Sie sagen, nicht sauber. Das sind die Folgen, wenn man mit dem Begriff „CAPA“ beides so zusammenführt.
Ich werde den Artikel mit Ihren wertvollen Hinweisen noch im Januar ergänzen.
Vielen Dank für diese präzise Beobachtung!
Herzliche Grüße, Christian Johner
Guten Tag Herr Johner,
ein wirklich toller Artikel und sehr informativ. Ich bin jedoch bei einer Aussage mir nicht ganz sicher, ob diese so zutrifft:
Kapitel 5; Aktivitäten und Rollen: „Einer Ursachenanalyse bedarf es nur bei einer Korrekturmaßnahme“.
Nach der ISO 13485, muss man bei Vorbeugungsmaßnahmen die potentielle Nichtkonformität und ihre Ursache ermitteln. Ich würde das so verstehen, dass man sehr wohl eine Ursachenanalyse bei einer Vorbeugungsmaßnahme durchzuführen hat.
Mit freundlichen Grüßen
Andreas Mohr
Das ist ein super-wichtiger Hinweis, lieber Herr Mohr!
Der Satz war in der Tat nicht optimal geschrieben. Ich habe ihn überarbeitet.
Danke für Ihren wertvollen Beitrag!
Beste Grüße, Christian Johner
Sehr geehrter Herr Hafen,
vielen Dank für den Beitrag.
Im Arbeitsschutz gibt es den Begriff „Beinahunfall“. Das ist ein Ereignis, bei dem ein Unfall durch Zufall oder durch Rechtzeitiges Bemerken oder/und Eingreifen nicht eintritt.
Warum gibt es bei Thema CAPA auch nicht Beinahnichtkonformitäten oder Beinahfehler? Ich finde diese sollten genauso berücksichtigt werden wie auch die tatsächlichen Nichtkonformitäten und Fehler. Das wäre doch eine wunderbare Quelle für Vorbeugungsmaßnahmen.
Mit freundlichen Grüßen
Maria Luz
Sehr geehrte Frau Luz,
danke für diese wichtige Frage!
Ihre Einschätzung teile ich, dass „Beinaheumfälle“ eine „wunderbare Quelle für Vorbeugemaßnahmen“ sind.
Den Begriff des „Beinaheunfalls“ kennt die ISO 13485 nicht. Die IEC 62366-1 kennt jedoch „Close Calls“.
Ein Beinaheunfall ist ein Ereignis, das im Risikomanagement bewertet werden muss z.B. im Rahmen der Post-market Surveillance. Das Ziel der Post-Market Surveillance besteht auch darin, die notwendigen Korrektur- und Vorbeugemaßnahmen zu initieren.
Fazit: Auch wenn viele Gesetze und Normen das Konzept der Beinaheunfälle nicht kennen, so gibt es indirekt doch die Anforderungen diese zu erfassen und zu bewerten.
Eine wichtige Voraussetzung dafür ist ein System und Prozesse, diese Ereignisse systematisch zu erfassen, zu bewerten und nachzuverfolgen.
Mit nochmaligem Dank und mit vielen Grüßen, Christian Johner
Hallo Herr Johner, danke für den ausgezeichneten Artikel! Er spiegelt auch die Diskussionen wider, die wir im QM meines Arbeitgebers führen. Bei einem Satz des Artikels habe ich eine Rückfrage. Unter 4. a) 13485 steht der Satz „Die Hersteller müssen Prozesse dafür definieren, Aufzeichnungen führen und eine Begründung angeben, wenn sie bei einer Kundenreklamation keine Korrektur- oder Vorbeugungsmaßnahme ergreifen.“ Hier verstehe ich nicht, warum man bei einer Kundenreklamation (also vermutlich bei einem aufgetretenen Fehler) begründen muss, dass man keine Vorbeugemaßnahme ergreift. Im Artikel haben wir gelernt, dass bei einem aufgetretenen Fehler per Definition keine Vorbeugemaßnahme gemacht werden kann. Viele Grüße, Peter Rösler
Lieber Herr Rösler,
ich danke Ihnen sehr für Ihr Lob zu unserem Artikel und Ihre sehr gute Frage.
Zuerst zur Klarstellung: Bei einem bereits aufgetretenen Fehler kann es, wie Sie korrekt sagen und wie es auch im Artikel steht, nicht zu einer Vorbeugungsmaßnahme kommen, sondern nur zu einer Korrekturmaßnahme.
Nun gibt es aber bei (Kunden-)Reklamationen hin und wieder den Fall, dass überhaupt kein Fehler aufgetreten ist. Es kann zum Beispiel zu unbegründeten Reklamationen durch Kunden kommen, die eine falsche Erwartungshaltung hatten oder eine Produktbeschreibung nicht gelesen haben oder einfach nur ein Ventil brauchen, um angestaute Wut, die aber nichts mit dem Produkt zu tun hat, loszuwerden. Als Reklamationen eingestufte Rückmeldungen können aber auch auf mögliche, aber noch nicht aufgetretene Fehler hinweisen, welche dann als Vorbeugungsmaßnahme zu behandeln sind.
Mit nochmaligen Dank und herzlichen Grüßen,
Ulrich Hafen