본문 바로가기

인사이트

[규제 Insight] FDA 가이던스 'Computer Software Assurance for Production and Quality System Software' 분석

안녕하세요. 에이아이트릭스 RA/QA 팀의 Joy 입니다. 😊

 

RA/QA 팀에서는 의료기기에 대한 규제 동향을 파악하고 분석하여 의료기기 시장을 선도하고자 규제에 대한 다양한 인사이트를 전달하는 포스트를 게시하고 있습니다.

 

지난 포스트가 궁금하신 분들은 아래 링크를 방문해주세요.

2022.06.28 - [규제 Insight] 의료AI 국제표준화 단체(ITU/WHO FG-AI4H) 소개 및 회의 참관기

 

 

이번에 소개해드릴 내용은 FDA에서 발간한 Computer Software Assurance for Production and Quality System Software (draft) 가이던스입니다.

 

 

FDA에서 Computer Software Assurance를 주제로 한 가이던스가 첫 발행인 만큼, FDA도 Computer Software Assurance activities에 대해 주요하게 생각하고 있다는 것을 알 수 있었습니다.

 

아직 Final이 아닌 draft version의 가이던스이지만, 품질 시스템에 Computer Software를 사용하는 제조업체들의 이해를 돕고자 미리 정리해보았습니다.

 

가이던스 분석에 들어가기 앞서, 우리에게 친숙한 ISO 13485:2016 Medical Devices Quality Management System 및 FDA 21 CFR 820.70 에서도 품질 시스템의 일부로 사용되는 SW는 검증 및 변경 관리 대상임을 명시하고 있습니다.

관련 내용은 아래를 확인해주세요. ⬇️

 

이렇게 규격에도 언급되어 있지만 ‘Computer Software’라는 단어 자체가 익숙하지 않을 분들을 위해 아래와 같이 간략히 용어 정리를 해보았습니다.

  • Computer Software: 생산 및 품질 시스템의 일부로 사용되는 SW
  • Computer Software Assurance: 해당 SW가 의도된 용도에 적합한 것을 확립하고 유지하기 위한 위험 기반 접근법

제조업체가 생산 모니터링 및 운영, 생산 데이터 전송 및 분석 등을 위한 자동화 처리 시스템에 점점 더 많이 의존하는 추세로 Computer Software Assurance의 중요성은 더 강화되고 있습니다.

 

 

FDA’s Software Validation Guidance에 설명된 바와 같이, SW test만으로는 SW가 의도된 용도에 적합하다는 확신을 얻기에 충분하지 않은 경우가 많기 때문에 이 가이던스는 생산 또는 품질 시스템에 사용되는 컴퓨터와 자동화 데이터 처리 시스템의 Computer Software Assurance에 대한 권장 사항을 제공하기 위해 발행되었습니다.

 

또한, 21 CFR part 820의 Computer Software Validation과 같은 규제 요구 사항을 충족하기 위해 적용될 수 있는 다양한 방법 및 테스트 활동을 설명하고 있습니다.

 

 

해당 가이던스 V. Computer Software Assurance Risk Framework 장에서는 다양한 Computer SW Assurance 상황에서 적용할 수 있는 Framework를 아래와 같이 A단계부터 D단계까지 순차적으로 소개하고 있습니다.

 

A. SW의 Intended Use 식별

B. 위험 수준 결정

C. 위험 수준에 맞는 적절한 보증 활동 결정

D. 보증 활동을 입증할 수 있는 기록 작성

 

단계별로 제조업체가 확인해야 할 활동들에 대해 간단히 요약해보았습니다.

 

A. Identifyting the Intended Use

가장 먼저, 제조업체는 SW가 생산 또는 품질 시스템의 일부로 사용되는 SW인지 Intended use를 식별하여야 합니다.

일반적으로 SW는 아래 두 가지 범주 중 하나로 분류됩니다.

  1. 생산 또는 QMS 일부로 직접 사용되는 SW
    1. 자동화 생산 프로세스, 검사, 테스트 또는 생산 데이터의 수집 및 처리 SW
    2. QMS 프로세스 자동화, QMS 데이터 수집 및 처리 또는 QMS 규정에 따라 설정된 품질 기록 유지를 위한 SW
  2. 생산 또는 QMS를 지원하는 SW
    1. SW 시스템을 테스트 또는 모니터링하거나 스크립트 개발 및 실행에 사용되는 것과 같이 생산 또는 QMS 일부로 사용되는 SW에 대한 테스트 활동을 자동화하는 개발 도구로 사용하기 위한 SW
    2. 품질 기록이 아닌 일반 기록 보관을 자동화하기 위한 SW

 

이 가이던스는 SW의 개별 기능 또는 Intended use를 조사하여 Computer Software Assurance Framework를 권장하고 있지만, SW가 한 가지 용도로만 사용되는 단순한 경우 제조업체는 각 기능, 동작을 검토하는 것이 비효율적일 수 있으므로 제조업체가 사용하고 있는 SW에 맞게 검증 활동을 하는 것이 맞습니다.

 

B. Determining the Risk-Based Approach

제조업체가 사용하고 있는 SW 특징, 기능 또는 동작이 생산 또는 품질 시스템의 일부로 사용하도록 의도된 것이라고 결정하면, 위험 기반 분석을 사용하여 적절한 보증 활동을 결정해야 합니다.

이 가이던스에서 Computer SW의 위험 수준은 ‘high process risk’와 ‘not high process risk’ 이분법으로 제시하고 있습니다.

 

C. Determining the Appropriate Assurance Activities

위험이 발생할 수 있는 지에 대한 여부를 결정한 뒤, 제조업체는 그에 상응하는 Assurance activities를 결정해야 하며, 일반적으로 수행하는 Assurance activities 유형에는 다음이 포함될 수 있습니다.

 

  • Unscripted testing
    • AD-hoc testing
    • Error-guessing
    • Exploratory testing
  • Scripted testing
    • Robust scripted testing
    • Limited scripted tesing

 

위 testing에 대한 자세한 설명과 예시는 가이던스에 언급되어 있으니 필요하신 분들은 가이던스를 확인해주시기 바랍니다.

 

D. Establishing the Appropriate Record

제조업체는 SW Assurance activities가 적절하게 이루어졌는지 확인하기 위하여 충분한 객관적 증거를 제시해야 합니다. 일반적으로 다음이 포함됩니다.

  • SW 특징, 기능 또는 동작의 Intended use
  • SW 특징, 기능 또는 동작의 위험 결정
  • 다음을 포함한 Assurance activities의 문서화
    • Assurance activities를 기반으로 수행된 테스트에 대한 설명
    • 발견된 문제 (e.g. deviations, failures) 및 처리
    • 결과의 수용 가능성에 대한 결론
    • the date of testing/assessment and the name of the person who conducted the testing/assessment;
    • 적절한 경우 검토 및 승인 설정 (e.g. 필요한 경우, 서명 권한이 있는 개인의 서명 및 날짜)

 

이렇게 이번 가이던스는 생산 및 품질 시스템에 SW를 사용하고 있는 모든 제조업체에게 필요한 Assurance activities 예시를 들며 설명합니다.

 

하지만, SaMD 제조업체 RA/QA 담당자로서 Github, AWS 등과 같은 SaMD 제조업체에서 많이 사용되고 있는 tool이나 SW 개발 및 검증 테스팅 도구에 대한 보증 활동의 예시도 자세히 언급되어 있었다면 SaMD 제조업체에게도 좋은 가이던스가 될 수 있지 않았을까 라는 아쉬움이 남습니다.

 

ERP나 COTS LMS등을 사용하고 계시는 제조업체 종사자분들은 구체적인 예시를 확인하실 수 있으니 해당 가이던스 원문을 참고 바랍니다.

 

또한, 앞서 언급한 ISO 13485:2016 4.1.6절에 언급되고 있는 Computer Software Assurance activities에 관한 내용은 ISO/TR 80002-2 규격에서 더 자세히 확인하실 수 있으니 필요하다면 해당 규격을 참고하시는 것도 좋은 방법이겠습니다.

 

ISO/TR 80002-2 규격의 영문 원본은 구매를 해야 열람할 수 있지만, 국문 번역본은 e-나라 표준인증에서 무료로 제공됩니다. 아래 링크를 통해 확인이 가능하니 참고 바랍니다.

 

향후 일정

오늘 소개해드린 FDA에서 발간하는 가이던스 이외에도 European Commission에서 발간하는 MDCG Guidance등 여러 국가에서 다양하게 국가별 규제 사항에 대한 가이드라인을 제공하고 있습니다.

 

에이아이트릭스 RA/QA 팀에서는 지속적으로 인공지능(AI) 기술과 소프트웨어 의료기기에 관한 최신 규제를 모니터링하고 국내 업계에 소개할 예정입니다.

 

국내의 관련 분야 종사자 분들 중에서 이러한 내용에 관심이 있거나 구체적인 논의가 필요하다면 언제든 연락 바랍니다! 🙌🏽