Nowe wytyczne FDA dotyczące zapewnienia jakości oprogramowania w systemach produkcji i jakości

24 września 2025 r. FDA opublikowała ostateczne wytyczne dotyczące Computer Software Assurance (CSA). Dokument ten jest przełomowy w podejściu do walidacji oprogramowania, ponieważ odchodzi od sztywnego modelu dokumentacyjnego na rzecz podejścia opartego na ryzyku i przewidzianym zastosowaniu systemów. Zmiana ta ma ogromne znaczenie zarówno dla producentów wyrobów medycznych działających na rynku amerykańskim, jak i tych, […]

24 września 2025 r. FDA opublikowała ostateczne wytyczne dotyczące Computer Software Assurance (CSA). Dokument ten jest przełomowy w podejściu do walidacji oprogramowania, ponieważ odchodzi od sztywnego modelu dokumentacyjnego na rzecz podejścia opartego na ryzyku i przewidzianym zastosowaniu systemów. Zmiana ta ma ogromne znaczenie zarówno dla producentów wyrobów medycznych działających na rynku amerykańskim, jak i tych, którzy planują harmonizację działań z wymogami UE w ramach MDR i IVDR.

Od tradycyjnej walidacji do CSA – zmiana paradygmatu

Dotychczasowe podejście do walidacji oprogramowania (tzw. Computer System Validation, CSV) koncentrowało się głównie na dokumentowaniu procesu testowania. W praktyce prowadziło to często do nadmiernej biurokracji i ograniczonego skupienia na rzeczywistych ryzykach.

CSA przesuwa akcent na intended use – czyli przewidziane zastosowanie danego systemu. Jeśli oprogramowanie ma bezpośredni wpływ na bezpieczeństwo pacjentów czy jakość wyrobów, wymagania dotyczące walidacji są znacznie wyższe niż w przypadku narzędzi pomocniczych, które nie generują ryzyk klinicznych.

Kluczowe elementy nowego podejścia do walidacji oprogramowania

Wytyczne FDA precyzują, że producenci muszą dostosować zakres działań zapewniających jakość do rodzaju i poziomu ryzyka związanego z oprogramowaniem. Oznacza to konieczność wdrożenia procesów obejmujących:

• klasyfikację oprogramowania na podstawie jego znaczenia dla jakości i bezpieczeństwa wyrobów medycznych,
• wybór adekwatnych metod testowania – od prostych testów eksploracyjnych po szczegółowe scenariusze walidacyjne,
• dokumentację decyzji i wyników w sposób przejrzysty, ale proporcjonalny do ryzyka,
• zarządzanie zmianami w cyklu życia oprogramowania – w tym obowiązek ponownej oceny ryzyka przy aktualizacjach,
• włączenie cyberbezpieczeństwa jako integralnego elementu zapewnienia jakości.

Powiązanie dokumentu FDA z MDR i IVDR

Choć dokument FDA nie jest formalnie związany z przepisami unijnymi, jego logika znajduje odzwierciedlenie w MDR i IVDR.

• MDR Załącznik I (GSPR) wymaga, aby ryzyka związane z wyrobem – w tym z oprogramowaniem – były minimalizowane tak dalece, jak to możliwe. CSA ułatwia praktyczną implementację tego wymogu.
• MDR Załącznik II wskazuje na konieczność prowadzenia obszernej dokumentacji technicznej. FDA podkreśla jednak, że dokumentacja powinna być proporcjonalna – to podejście jest spójne z oczekiwaniem UE dotyczącym jasności i przejrzystości.
• Wreszcie, MDR artykuł 83 i kolejne odnoszą się do nadzoru po wprowadzeniu do obrotu (PMS). CSA wspiera to podejście, promując aktywne monitorowanie działania systemów po wdrożeniu i reagowanie na ich aktualizacje.

Znaczenie dla producentów i jednostek notyfikowanych

Wdrożenie CSA ma kilka praktycznych konsekwencji:

• większa elastyczność – producenci mogą dopasować zakres walidacji do realnych zagrożeń, co skraca czas wdrożenia systemów,
• lepsze wykorzystanie zasobów – dzięki ograniczeniu nadmiernej biurokracji można skoncentrować się na obszarach o najwyższym ryzyku,
• ułatwienie zgodności globalnej – stosowanie CSA w połączeniu z wymaganiami MDR/IVDR tworzy spójne ramy akceptowalne zarówno w USA, jak i w UE,
• zwiększone oczekiwania jednostek notyfikowanych – w procesach oceny zgodności mogą one wymagać od producentów przedstawienia dowodów na skuteczne wdrożenie CSA, szczególnie w przypadku systemów krytycznych dla jakości wyrobów.

Nowe wyzwania: cyberbezpieczeństwo i zarządzanie zmianami

FDA szczególnie podkreśla konieczność zapewnienia odporności oprogramowania na zagrożenia cybernetyczne. To podejście jest spójne z wymaganiami MDR (Załącznik I, sekcja 17), które wskazują na potrzebę uwzględnienia ryzyk związanych z dostępem do danych i atakami hakerskimi.

Drugim istotnym aspektem jest zarządzanie zmianami. W CSA każda aktualizacja systemu musi być oceniana pod kątem ryzyka. Zmiany istotne – np. aktualizacja algorytmu wspierającego proces produkcyjny – mogą wymagać ponownej walidacji. Jest to w pełni zgodne z MDR art. 120(3), który przewiduje konieczność przeprowadzenia nowej oceny zgodności przy wprowadzeniu istotnych zmian.

Podsumowanie i rekomendacje

Nowe wytyczne FDA stanowią praktyczny przewodnik dla producentów, jak skutecznie wdrażać systemy oprogramowania przy jednoczesnym zachowaniu zgodności z wymaganiami regulacyjnymi. Kluczowe przesłanie dokumentu można sprowadzić do kilku punktów:

• walidacja powinna być proporcjonalna do ryzyka,
• przewidziane zastosowanie decyduje o zakresie działań zapewniających,
• cyberbezpieczeństwo i zarządzanie zmianami są integralną częścią procesu,
• CSA wspiera harmonizację wymagań w skali globalnej, ułatwiając jednoczesne spełnianie wymogów FDA i MDR/IVDR.

Dla firm MedTech wdrażających innowacyjne rozwiązania oznacza to konieczność aktualizacji procedur QMS, szkolenia zespołów oraz inwestycji w narzędzia wspierające analizę ryzyka i monitorowanie systemów w cyklu życia.