Yeni AB Tıbbi Cihaz Mevzuatının (MDR – EU 2017/745) hayatımıza artık tamamen girmesi ile birlikte validasyon (geçerli kılma) süreçlerinin önemi iyice artmıştır. MDR’ ın ikinci maddesi uyarınca tıbbi cihaz olarak kabul edilen bir yazılımın ve tıbbi cihaz içinde kullanılan yazılımın validasyon süreçlerinin MDR şartları ile uyumlu olması gerekmektedir. EN / IEC 62304 bir tıbbi cihaz yazılımının yaşam döngüsü yönetiminde (life cycle management) uyulması gereken şartları tanımlayan temel bir standarttır. Bu standarda ek olarak, FDA Kılavuz dokümanı “Yazılım Validasyonu Genel Prensipleri”, tıbbi cihaz yazılımının validasyonu için rehber olarak kullanılabilir.
Tıbbi Cihaz Yazılımı
Diğer cihazlara benzer şekilde, tek başına kullanılan yazılımların tıbbi cihaz olarak sınıflandırılabilmesi için beyan edilen kullanım amacının, MDR Madde 2 (1) ‘deki tanıma uyması gereklidir. Kısaca, bir hastalığın veya benzer klinik endikasyonların teşhisi, önlenmesi, izlenmesi, tahmini, prognozu, tedavisi veya hafifletilmesine yönelik bir kullanıma sahip olmalıdırlar. Madde 2 (4) ‘de belirtildiği üzere, bunlar aktif cihazlar olarak sınıflandırılırlar. Bu konu hakkında ayrıntılı bilgi için AB Komisyonu tarafından yayınlanan bilgi notunu ya da MDCG 2019-11 numaralı rehber dokümanı inceleyebilirsiniz.
EU 2017/745’in EK I’ in de yer alana GSPR 17 (Genel Güvenlik ve Performans Gereksinimi), tıbbi cihaz yazılımının mevzuata uyumluluğu için temel şartları içerir.
GSPR 17.2: Yazılım içeren cihazlar veya kendi başına cihaz olan yazılımlar, state of the art yaklaşımlar dikkate alınarak geliştirme yaşam döngüsü, bilgi güvenliği dahil risk yönetimi prensipleri doğrultusunda tasarlanmalı, üretilmeli ve geçeli kılınmalıdır.
Teknik Dokümantasyon Gereksinimleri
EU 2017/745 Ek II’ ye göre, bu tür cihazların teknik dokümantasyonu; bitmiş cihazda kullanıldığı şekliyle yazılım tasarım ve geliştirme sürecini ve yazılımın validasyonunu içermelidir. Bu bilgiler tipik olarak simülasyonları, gerçek kullanım koşullarında gerçekleştirilen tüm doğrulama testlerinin sonuçlarını ve serbest bırakmadan önce yapılan validasyonları içermelidir. Ayrıca, tüm farklı donanım yapılandırmalarını ve uygun olduğu durumlarda, üretici tarafından sağlanan bilgilerde tanımlanan işletim sistemlerini de belirtmelidir.
Bu temel gereksinimler, yazılım yaşam döngüsü yönetimi ve doğrulamanın önemini artırır.
Tıbbi Cihaz Yazılımı Risk Sınıflandırması (MDR)
En kafa karıştırıcı konulardan biri de bir tıbbi cihazın MDR Ek VIII’ e göre risk sınıflandırması ile EN / IEC 62304’e göre yazılımın sınıflandırması arasındaki farktır.
EU MDR, bir cihazı çalıştıran veya bir cihazın kullanımını etkileyen yazılımın, cihazla aynı sınıfa girmesi gerektiğinden açıkça bahsetmektedir. Yazılım başka herhangi bir cihazdan bağımsız ise (stand alone software), kendi başına sınıflandırılmalıdır. Bağımsız yazılım, 2. maddeye göre aktif bir tıbbi cihaz olarak değerlendirilmeli ve kendi kullanım amacı çerçevesinde Ek VIII’ in 11. kuralına göre sınıflandırılmalıdır.
Öte yandan EN / IEC 62304, aşağıda tanımlandığı gibi 3 risk sınıfa (A, B, C ) işaret eder. İki sınıflandırma yöntemi teknik olarak birbirinden tamamen bağımsızdır.
EN / IEC 62304 Gereksinimler
Yazılım yaşam döngüsü yönetimi için (life cycle management), EN / IEC 62304, yukarıda belirtilen yasal gerekliliklere uyumu sağlamak için kullanılmalıdır. Standardın en son revizyonu, yazılım tasarımının mevcut revizyonundan önce bitirilmiş yazılımılar (Legacy Software) için özel bir bölüm içerir. Bu değişiklik, standarda uygunluğu sadece mevzuata uyum için göstermeyi amaçlayan üreticiler için yararlı araçlar sağlar.
Etkili bir EN / IEC 62304 uygulamasının başlangıç noktası, yazılım güvenlik sınıflandırmasının tanımıdır. Standart, amaçlanan kullanıma ve tıbbi cihazdan kaynaklanabilecek olası tehlikelere göre tanımlanması gereken 3 risk sınıfını (A, B, C) tanımlar. Bir üretici standardın Şekil 3’ünü takip ederek risk sınıfını ve bu risk sınıfı için belirtilen uygulanabilir yaşam döngüsü yönetimi gereksinimlerini kolayca belirleyebilir.
Yaşam Döngüsü Yönetim Süreci (Life Cycle Management)
EN / IEC 62304’ün 1 ve 2 numaralı şekillerinde verilen akış diyagramları, yazılım geliştirme ve idamesi ile alakalı süreçlere genel bir bakış sağlar. Ayrıca standardın her bir gerekliliğine, gerekliliğin hangi risk sınıfı için geçerli olduğunu belirten bir not eşlik eder. (Tablo A.1 – Yazılım güvenlik sınıfına göre gereksinimlerin özeti)
Buna ek olarak, standardın 4.2 maddesinde tanımlandığı gibi ISO 14971: 2019 ile uyumlu bir risk yönetimi süreci tüm yaşam döngüsü boyunca uygulanmalıdır.
Tıbbi Cihaz Yazılım Validasyonu (Geçerli Kılınması)
EN / IEC 62304 madde 1.2’de tanımlandığı üzere, standart, tıbbi cihaz tamamen yazılımdan oluşsa bile, tıbbi cihazın doğrulanmasını ve serbest bırakılmasını kapsamaz. Bu anlamda, FDA’nın “Genel Yazılım Validasyon İlkeleri; Endüstri ve FDA Personeli için Nihai Kılavuz” isimli rehber dokümanı kullanılabilir. Bu rehber doküman, üreticilerin yasal gerekliliklere uymalarına çok yardımcı olacaktır.
FDA rehber dokümanından faydalanarak, SRS (Yazılım Gereksinimleri Spesifikasyonu), SDS (Yazılım Tasarım Spesifikasyonu), İzlenebilirlik Matrisi, Risk Analizi, Doğrulama ve Validasyon testlerini içeren bir dosya kolaylıkla oluşturularak, tıbbi cihazın teknik dokümantasyonuna dahil edilebilir.
Bu rehber dokümanda ve ISO 13485′ de tanımlanan ilkelerin uygulanmasıyla, mevzuatın tasarım ve doğrulama gereksinimleri kolayca yerine getirilebilir.