Hanna Taller is a content creator for PTC’s ALM Marketing team. She is responsible for increasing brand awareness and driving thought leadership for Codebeamer. Hanna is passionate about creating insightful content centered around ALM, life sciences, automotive technology, and avionics.
In un'epoca in cui il software è presente in ogni aspetto della nostra vita, non sorprende che anche il settore sanitario abbia abbracciato la rivoluzione digitale. Uno sviluppo degno di nota è l'emergere del software come dispositivo medico (SaMD - software as a medical device). Questo concetto rivoluzionario ha il potenziale per ridefinire il modo in cui l'assistenza sanitaria viene fornita, monitorata e gestita. Comprendere come il SaMD viene definito, classificato e regolamentato nei mercati globali è fondamentale per sviluppatori, produttori e innovatori che mirano a introdurre sul mercato prodotti MedTech conformi, sicuri ed efficaci.
Come determinare se il vostro software è un SaMD?
Per determinare se il vostro software è qualificato come SaMD è necessario comprenderne l'uso e la funzione previsti. Secondo la FDA, l'IMDRF e l'MDR dell'UE, il software deve essere destinato a scopi medici e funzionare indipendentemente da qualsiasi dispositivo hardware. Ciò significa che il software deve contribuire direttamente al trattamento, alla diagnosi o al monitoraggio del paziente senza essere integrato in un dispositivo hardware medico.
Qual è la differenza tra SaMD e software in un dispositivo medico (SiMD)?
Mentre il SaMD funziona in modo indipendente, il SiMD si riferisce al software integrato nel funzionamento di un dispositivo medico hardware. Il SiMD in genere controlla o alimenta un dispositivo, come il software che gestisce un misuratore di pressione sanguigna. Comprendere queste distinzioni è fondamentale per la conformità normativa e le strategie di sviluppo dei prodotti.
Come viene regolamentato il SaMD a livello globale?
Il software come dispositivo medico non è soggetto a un'unica normativa globale, ma è regolamentato da diverse giurisdizioni (Stati Uniti, Unione Europea e altre...), spesso con riferimento ai documenti di armonizzazione globale dell'IMDRF.
Normative SaMD negli Stati Uniti
Negli Stati Uniti, la FDA supervisiona il SaMD attraverso sistemi di classificazione simili a quelli utilizzati per i dispositivi medici tradizionali. La FDA classifica il SaMD in base alle classi di rischio e richiede la presentazione di documenti prima dell'immissione sul mercato per garantirne la sicurezza e l'efficacia.
Normative sui software per dispositivi medici nell'Unione Europea
L'approccio dell'UE prevede il regolamento sui dispositivi medici (MDR), in particolare l'MDCG 2019-11, che classifica il software dei dispositivi medici. Il marchio CE è essenziale per l'ingresso nel mercato dell'UE, in quanto riflette la conformità a queste normative.
In che modo le autorità di regolamentazione globali stanno affrontando le sfide poste dal SaMD?
L'IMDRF fornisce un quadro di riferimento per armonizzare le normative SaMD a livello mondiale. Ciò include affrontare sfide uniche come i rischi di sicurezza informatica e la rapida evoluzione della tecnologia.
Come viene classificato il SaMD nei mercati normativi globali?
La classificazione (livello di rischio) determina il percorso normativo, l'onere documentale, il tempo di immissione sul mercato e gli obblighi continuativi.
Classificazione dei rischi SaMD e "livelli di preoccupazione" negli Stati Uniti
Negli Stati Uniti, la FDA non dispone di una matrice di classificazione specifica per il SaMD simile ai "livelli di preoccupazione" dell'IMDRF pubblicati nei documenti dell'IMDRF, ma utilizza invece le classi di dispositivi I-III. Tuttavia, il quadro dell'IMDRF è citato come riferimento ed è utile per la riflessione pre-commercializzazione. Ad esempio:
- Classe I: rischio basso, solo controlli generali
- Classe II: rischio moderato, controlli speciali e spesso 510(k) con dati clinici
- Classe III: rischio elevato, richiede PMA (approvazione pre-commercializzazione) con dati clinici
Classificazione dei rischi dei software per dispositivi medici nell'UE (Regola 11)
Nell'UE ai sensi del MDR (Allegato VIII, Regola 11): la classificazione del software è definita come segue:
-
Il software destinato a fornire informazioni utilizzate per prendere decisioni relative alla diagnosi o alla terapia è di classe IIa, a meno che tali decisioni possano causare:
- Morte o deterioramento irreversibile → Classe III
- Grave deterioramento o intervento chirurgico → Classe IIb
- I software destinati al monitoraggio dei processi fisiologici sono di classe IIa, tranne nel caso in cui il monitoraggio riguardi parametri fisiologici vitali le cui variazioni potrebbero causare un pericolo immediato → Classe IIb
- Tutti gli altri software sono di Classe I
Secondo uno studio pubblicato sulla rivista Therapeutic Innovation &Regulatory Science nell'ambito dell'MDR, molti software sono ora classificati come Classe II anziché Classe I, riflettendo una classificazione più rigorosa.
Il quadro di classificazione SaMD dell'IMDRF
Il documento dell'IMDRF "Possibile quadro di riferimento per la classificazione dei rischi" (SaMD WG N12) definisce una matrice basata su due assi: (1) importanza delle informazioni fornite dal SaMD per le decisioni sanitarie, e (2) stato della situazione o condizione sanitaria (critica, grave, non grave) affrontata dal software.
Esempi:
- Elevata importanza + condizione critica → categoria di rischio più elevata
- Significatività inferiore + condizione non grave → categoria di rischio inferiore
Questo quadro aiuta i produttori e le autorità di regolamentazione ad allinearsi a livello globale sulle modalità di valutazione dei rischi dei dispositivi medici software (SaMD) e di applicazione dei controlli, e molte giurisdizioni lo utilizzano come riferimento nella progettazione dei sistemi di classificazione.
IEC 62304 e classificazione della sicurezza del software
Sebbene non sia uno schema di classificazione normativo in sé, lo standard internazionale IEC 62304 ("Software per dispositivi medici - Processi del ciclo di vita del software") classifica i rischi per la sicurezza del software nelle classi A, B e C, dove:
- Classe A: nessun rischio di lesioni o danni alla salute
- Classe B: possibili lesioni non gravi
- Classe C: possibile morte o lesioni gravi
La norma IEC 62304 fornisce l'orientamento ingegneristico, mentre le classificazioni normative sopra menzionate forniscono l'orientamento alla conformità.
Sviluppo software e conformità per SaMD
IEC 62304 – requisiti del ciclo di vita del software
La norma IEC 62304 è lo standard de facto per i cicli di vita del software dei dispositivi medici, compreso il SaMD. I punti chiave includono:
- Definisce i processi del ciclo di vita del software: pianificazione dello sviluppo del software, requisiti, architettura/progettazione, implementazione, verifica, manutenzione
- Si applica al software come parte di un dispositivo medico e al software autonomo (ad es. SaMD)
Sebbene non sia strettamente obbligatorio in alcune giurisdizioni, il mancato rispetto della norma IEC 62304 renderà molto difficile dimostrare la conformità o ottenere l'approvazione normativa.
Gestione dei rischi per SaMD (ISO 14971 e linee guida FDA)
La gestione dei rischi è un elemento fondamentale per la conformità dei dispositivi medici software (SaMD). ISO 14971 è lo standard internazionale per la gestione dei rischi dei dispositivi medici e si applica anche al software, compreso il SaMD. Per il SaMD, ciò include i rischi funzionali (errori software, guasti degli algoritmi), i rischi di sicurezza informatica e l'integrità dei dati. La FDA e altri organismi di regolamentazione si aspettano che i produttori integrino la gestione dei rischi in tutto il ciclo di vita del prodotto, non solo nell'hardware, ma anche nelle modifiche e negli aggiornamenti del software e nei rischi informatici.
Convalida e verifica del software per SaMD
I processi di convalida e verifica sono fondamentali per dimostrare che il SaMD soddisfa l'uso previsto e funziona in modo sicuro ed efficace. La verifica del software comporta attività rigorose volte a garantire che il SaMD implementi correttamente i requisiti specificati, comprendenti procedure quali l'analisi statica del codice, i test unitari, i test di integrazione e i test di sistema. Allo stesso tempo, la convalida del software determina che il SaMD sviluppato soddisfi le esigenze degli utenti e lo scopo previsto all'interno del suo ambiente operativo, coinvolgendo in genere test di accettazione da parte degli utenti, test delle prestazioni e, se del caso, valutazioni cliniche. Questi processi completi sono indispensabili per stabilire l'affidabilità del software, mitigare i potenziali rischi associati a malfunzionamenti e garantire il rispetto di rigorosi standard normativi, salvaguardando così la sicurezza dei pazienti e garantendo l'efficacia clinica.
Principali norme di supporto
Oltre alla norma IEC 62304, norme correlate come la IEC 82304-1 e la IEC 62366-1 svolgono un importante ruolo complementare.
IEC 82304-1, Software sanitario - Requisiti generali per la sicurezza dei prodotti, va oltre la norma IEC 62304 affrontando la sicurezza e le prestazioni complessive dei prodotti software sanitari, compreso il software autonomo non necessariamente classificato come dispositivo medico. Si concentra su aspetti a livello di prodotto quali l'etichettatura di sicurezza, le istruzioni per l'uso, la convalida del prodotto e la manutenzione del ciclo di vita. Per gli sviluppatori di tecnologia medica, l'adesione alla norma IEC 82304-1 garantisce che il software non solo soddisfi i requisiti tecnici relativi al ciclo di vita e alla gestione dei rischi delineati nella norma IEC 62304, ma raggiunga anche un elevato standard di sicurezza, affidabilità e usabilità del prodotto dal punto di vista del sistema.
Allo stesso modo, la norma IEC 62366-1, Applicazione dell'ingegneria dell'usabilità ai dispositivi medici, sottolinea l'integrazione dell'ingegneria dell'usabilità nel processo di sviluppo per ridurre al minimo gli errori di utilizzo e migliorare la sicurezza e l'efficacia delle interazioni con l'utente. Questo standard garantisce che i fattori umani e le considerazioni relative alla progettazione dell'interfaccia siano integrati in tutto il ciclo di vita dello sviluppo del software, dalla definizione dei requisiti alla verifica e alla convalida della progettazione. Allineandosi alla norma IEC 62366-1, gli sviluppatori possono ridurre sistematicamente i rischi legati agli utenti e promuovere un funzionamento intuitivo e sicuro dei SaMD in ambienti clinici e reali.
Insieme, le norme IEC 62304, IEC 82304-1 e IEC 62366-1 forniscono un quadro completo e armonizzato per lo sviluppo, la convalida e la manutenzione di software per dispositivi medici sicuri, efficaci e incentrati sull'utente. Il rispetto di questi standard non solo supporta la conformità normativa nell'ambito di quadri normativi quali l'MDR dell'UE e le linee guida della FDA, ma rafforza anche gli obiettivi generali di qualità, gestione dei rischi e sicurezza dei pazienti durante l'intero ciclo di vita del software.
Cybersecurity nel SaMD: normative, linee guida e best practice
Poiché il SaMD è sempre più connesso in rete, basato su cloud o dipendente da librerie di terze parti, la sicurezza informatica è un requisito normativo fondamentale. La pagina della FDA dedicata alla sicurezza informatica afferma che "i dispositivi medici sono sempre più connessi a Internet, alle reti ospedaliere e ad altri dispositivi medici... queste stesse caratteristiche aumentano anche i potenziali rischi per la sicurezza informatica".
Linee guida fondamentali
- Sicurezza informatica nei dispositivi medici: Considerazioni sul sistema di qualità e contenuto delle richieste di immissione in commercio (FDA)
- Gestione post-commercializzazione della sicurezza informatica nei dispositivi medici (FDA)
- Per i dispositivi collegati in rete con software standard, le linee guida della FDA "Informazioni per le organizzazioni sanitarie sulle linee guida della FDA per l'industria: Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software" (Informazioni per le organizzazioni sanitarie sulle linee guida della FDA per l'industria: sicurezza informatica per i dispositivi medici collegati in rete contenenti software standard) rimane pertinente.
Migliori pratiche per la sicurezza informatica dei dispositivi medici software (SaMD)
- Eseguire una distinta dei materiali software (SBOM) per librerie/componenti esterni e gestire le vulnerabilità.
- Incorporare la valutazione dei rischi di sicurezza informatica nel processo di gestione dei rischi (ISO 14971).
- Fornire prove di un ciclo di vita dello sviluppo software sicuro (ad esempio, modellizzazione delle minacce, test di penetrazione).
- Assicurarsi di disporre di una procedura documentata per il monitoraggio post-commercializzazione e la gestione delle patch.
- Collegare i controlli di sicurezza informatica al proprio QMS (ad esempio, ISO 13485) e ai processi software (IEC 62304).
- Per i SaMD cloud/connessi, garantire la sicurezza delle comunicazioni, l'autenticazione, la crittografia e l'integrità dei dati.
Nel complesso, la sicurezza informatica passa dall'essere un elemento auspicabile a un elemento indispensabile nelle richieste di autorizzazione SaMD e nella sorveglianza post-commercializzazione.
L'importanza della sicurezza informatica nel settore MedTech
Scopri di più su come l'Omnibus Bill influisce sugli OEM MedTech
Leggi ora
Sorveglianza post-commercializzazione e conformità per i SaMD?
Il percorso normativo non termina con il lancio sul mercato. La sorveglianza post-commercializzazione, la gestione delle modifiche e gli aggiornamenti sono fondamentali, soprattutto per i SaMD.
Quando è necessaria una nuova presentazione per un SaMD?
Le modifiche al SaMD che incidono sulla sicurezza o sull'uso previsto possono richiedere nuove presentazioni normative. È fondamentale comprendere i criteri che determinano quando tali presentazioni sono necessarie per mantenere la conformità.
La FDA indica che le modifiche al software potrebbero richiedere una revisione pre-commercializzazione, "a seconda dell'importanza della modifica rispetto al livello di rischio per i pazienti".
Intelligenza artificiale e apprendimento automatico nel SaMD
L'intelligenza artificiale e l'apprendimento automatico introducono nuove dimensioni nel SaMD, richiedendo un'attenta valutazione delle implicazioni normative e dei potenziali impatti sulle prestazioni dei dispositivi.
Il futuro delle normative e della conformità SaMD
Il panorama normativo relativo al Software as a Medical Device sta evolvendo rapidamente per stare al passo con l'innovazione nel settore MedTech. Le autorità di regolamentazione di tutto il mondo stanno procedendo verso una maggiore armonizzazione internazionale, guidate dal lavoro dell'IMDRF.
Allo stesso tempo, le autorità di regolamentazione stanno spostando l'attenzione dalle approvazioni statiche e una tantum alla gestione continua del ciclo di vita del software. Si pone sempre più l'accento sulla gestione di aggiornamenti frequenti, sul monitoraggio delle prestazioni nel mondo reale e sulla gestione dell'evoluzione algoritmica, in particolare per i SaMD basati su IA e ML. La Sezione 524B della FDA, "Garantire la sicurezza informatica dei dispositivi", in vigore dal marzo 2023, rafforza la necessità di una maggiore sicurezza informatica e trasparenza della catena di approvvigionamento. Analogamente, in Europa, la prossima legge dell'UE sull'intelligenza artificiale imporrà probabilmente un doppio obbligo di conformità ai software medici basati sull'intelligenza artificiale, aggiungendo ulteriori requisiti alle attuali aspettative MDR.
Guardando al futuro, i produttori di SaMD possono aspettarsi linee guida globali più dettagliate sui protocolli di modifica, sulla segnalazione degli incidenti di sicurezza informatica (comprese le distinte dei materiali software - SBOM) e potenzialmente percorsi di approvazione semplificati per i software a basso rischio con un solido monitoraggio post-commercializzazione. Il futuro della regolamentazione SaMD richiederà non solo solidi processi pre-commercializzazione, ma anche una governance continua del ciclo di vita, la resilienza della sicurezza informatica e l'allineamento strategico con i quadri normativi globali per mantenere la conformità in un ecosistema sanitario digitale in continua evoluzione.
Come PTC può aiutare il vostro team a ottenere tracciabilità e convalida
La tecnologia Codebeamer di PTC fornisce una piattaforma integrata per la gestione dell'intero ciclo di vita dei SaMD, garantendo la conformità a standard quali IEC 62304, ISO 1348 e FDA 21 CFR Parte 820. Consente la tracciabilità end-to-end collegando le esigenze degli utenti, i requisiti, gli elementi di progettazione, i rischi, gli artefatti di codice e i casi di test in un unico ambiente. Questa tracciabilità viene mantenuta dinamicamente, consentendo ai team di eseguire facilmente analisi di impatto e generare automaticamente report pronti per l'audit e matrici di tracciabilità che dimostrano la conformità durante lo sviluppo e la convalida.
Codebeamer semplifica anche la verifica e la convalida offrendo flussi di lavoro configurabili per la pianificazione, l'esecuzione e la reportistica dei test, con piena integrazione nei più diffusi pool di CI/CD e test. I risultati dei test aggiornano automaticamente le relazioni, garantendo che ogni requisito e controllo dei rischi sia verificato e convalidato. Codebeamer include la funzionalità di firma elettronica e audit trail conforme alla norma 21 CFR Part 11, fornendo una registrazione sicura di tutte le attività di sviluppo e approvazione.
Inoltre, Codebeamer integra la gestione dei rischi e della qualità direttamente nel processo di sviluppo, supportando la valutazione dei rischi conforme alla norma ISO 14971, le FMEA e il monitoraggio delle misure di mitigazione. Quando è collegato a Windchill di PTC e strumenti DevOps come Git o Jenkins, crea un ciclo di vita del prodotto intelligente e unificato che abbraccia hardware, software e artefatti a livello di sistema. Questo ambiente connesso non solo semplifica la conformità normativa e la preparazione agli audit, ma migliora anche la collaborazione, la visibilità e la fiducia nella sicurezza e nell'efficacia dei SaMD.
Semplificate lo sviluppo del vostro SaMD
Le soluzioni ALM di PTC offrono un supporto sistematico per la tracciabilità e la convalida.
Scopri di più