24 września 2025 r. FDA opublikowała ostateczne wytyczne dotyczące Computer Software Assurance (CSA). Dokument ten jest przełomowy w podejściu do walidacji oprogramowania, ponieważ odchodzi od sztywnego modelu dokumentacyjnego na rzecz podejścia opartego na ryzyku i przewidzianym zastosowaniu systemów. Zmiana ta ma ogromne znaczenie zarówno dla producentów wyrobów medycznych działających na rynku amerykańskim, jak i tych, […]

Od tradycyjnej walidacji do CSA – zmiana paradygmatu

Dotychczasowe podejście do walidacji oprogramowania (tzw. Computer System Validation, CSV) koncentrowało się głównie na dokumentowaniu procesu testowania. W praktyce prowadziło to często do nadmiernej biurokracji i ograniczonego skupienia na rzeczywistych ryzykach.

CSA przesuwa akcent na intended use – czyli przewidziane zastosowanie danego systemu. Jeśli oprogramowanie ma bezpośredni wpływ na bezpieczeństwo pacjentów czy jakość wyrobów, wymagania dotyczące walidacji są znacznie wyższe niż w przypadku narzędzi pomocniczych, które nie generują ryzyk klinicznych.

Kluczowe elementy nowego podejścia do walidacji oprogramowania

Wytyczne FDA precyzują, że producenci muszą dostosować zakres działań zapewniających jakość do rodzaju i poziomu ryzyka związanego z oprogramowaniem. Oznacza to konieczność wdrożenia procesów obejmujących:

klasyfikację oprogramowania na podstawie jego znaczenia dla jakości i bezpieczeństwa wyrobów medycznych,
wybór adekwatnych metod testowania – od prostych testów eksploracyjnych po szczegółowe scenariusze walidacyjne,
dokumentację decyzji i wyników w sposób przejrzysty, ale proporcjonalny do ryzyka,
zarządzanie zmianami w cyklu życia oprogramowania – w tym obowiązek ponownej oceny ryzyka przy aktualizacjach,
włączenie cyberbezpieczeństwa jako integralnego elementu zapewnienia jakości.

Powiązanie dokumentu FDA z MDR i IVDR

Choć dokument FDA nie jest formalnie związany z przepisami unijnymi, jego logika znajduje odzwierciedlenie w MDR i IVDR.

MDR Załącznik I (GSPR) wymaga, aby ryzyka związane z wyrobem – w tym z oprogramowaniem – były minimalizowane tak dalece, jak to możliwe. CSA ułatwia praktyczną implementację tego wymogu.
MDR Załącznik II wskazuje na konieczność prowadzenia obszernej dokumentacji technicznej. FDA podkreśla jednak, że dokumentacja powinna być proporcjonalna – to podejście jest spójne z oczekiwaniem UE dotyczącym jasności i przejrzystości.
Wreszcie, MDR artykuł 83 i kolejne odnoszą się do nadzoru po wprowadzeniu do obrotu (PMS). CSA wspiera to podejście, promując aktywne monitorowanie działania systemów po wdrożeniu i reagowanie na ich aktualizacje.

Znaczenie dla producentów i jednostek notyfikowanych

Wdrożenie CSA ma kilka praktycznych konsekwencji:

większa elastyczność – producenci mogą dopasować zakres walidacji do realnych zagrożeń, co skraca czas wdrożenia systemów,
lepsze wykorzystanie zasobów – dzięki ograniczeniu nadmiernej biurokracji można skoncentrować się na obszarach o najwyższym ryzyku,
ułatwienie zgodności globalnej – stosowanie CSA w połączeniu z wymaganiami MDR/IVDR tworzy spójne ramy akceptowalne zarówno w USA, jak i w UE,
zwiększone oczekiwania jednostek notyfikowanych – w procesach oceny zgodności mogą one wymagać od producentów przedstawienia dowodów na skuteczne wdrożenie CSA, szczególnie w przypadku systemów krytycznych dla jakości wyrobów.

Nowe wyzwania: cyberbezpieczeństwo i zarządzanie zmianami

FDA szczególnie podkreśla konieczność zapewnienia odporności oprogramowania na zagrożenia cybernetyczne. To podejście jest spójne z wymaganiami MDR (Załącznik I, sekcja 17), które wskazują na potrzebę uwzględnienia ryzyk związanych z dostępem do danych i atakami hakerskimi.

Drugim istotnym aspektem jest zarządzanie zmianami. W CSA każda aktualizacja systemu musi być oceniana pod kątem ryzyka. Zmiany istotne – np. aktualizacja algorytmu wspierającego proces produkcyjny – mogą wymagać ponownej walidacji. Jest to w pełni zgodne z MDR art. 120(3), który przewiduje konieczność przeprowadzenia nowej oceny zgodności przy wprowadzeniu istotnych zmian.

Podsumowanie i rekomendacje

Nowe wytyczne FDA stanowią praktyczny przewodnik dla producentów, jak skutecznie wdrażać systemy oprogramowania przy jednoczesnym zachowaniu zgodności z wymaganiami regulacyjnymi. Kluczowe przesłanie dokumentu można sprowadzić do kilku punktów:

walidacja powinna być proporcjonalna do ryzyka,
przewidziane zastosowanie decyduje o zakresie działań zapewniających,
cyberbezpieczeństwo i zarządzanie zmianami są integralną częścią procesu,
CSA wspiera harmonizację wymagań w skali globalnej, ułatwiając jednoczesne spełnianie wymogów FDA i MDR/IVDR.

Dla firm MedTech wdrażających innowacyjne rozwiązania oznacza to konieczność aktualizacji procedur QMS, szkolenia zespołów oraz inwestycji w narzędzia wspierające analizę ryzyka i monitorowanie systemów w cyklu życia.

Nowe wytyczne FDA dotyczące zapewnienia jakości oprogramowania w systemach produkcji i jakości

Od tradycyjnej walidacji do CSA – zmiana paradygmatu

Kluczowe elementy nowego podejścia do walidacji oprogramowania

Powiązanie dokumentu FDA z MDR i IVDR

Znaczenie dla producentów i jednostek notyfikowanych

Nowe wyzwania: cyberbezpieczeństwo i zarządzanie zmianami

Podsumowanie i rekomendacje

Sprawdź nasze artykuły

Nowa wersja podręcznika Borderline & Classification dla wyrobów medycznych i IVD

Zaktualizowane wymagania MHRA dla badań klinicznych wyrobów medycznych

Data Act i wyroby medyczne: nowe obowiązki w zakresie danych IoT

Australijskie TGA publikuje przewodnik dotyczący regulacji oprogramowania jako wyrobu medycznego (SaMD)

Case study

Ocena działania zestawu do wykrywania RNA HIV-1

Ocena skuteczności i bezpieczeństwa w badaniu klinicznym wypełniacza skórnego

Kliniczna ocena działania testu diagnostycznego HIV Ag/Ab

Badanie działania testu antygenowego SARS-CoV-2 i grypy A/B