글로벌 의료기기 규제 컨퍼런스 AAMI/FDA neXus 참관기

안녕하세요. AITRICS의 RA/QA팀 Joy(김소정)입니다! ☺️

 

RA/QA팀에서는 국내외 의료기기 인허가 및 GMP(Good Manufacturing Practice, 제조품질관리기준)와 같은 품질관리 업무 이외에도 의료기기 국제 규제 동향을 파악하고 선도해 나가기 위한 다양한 활동들을 진행하고 있습니다.

 

지난 2월에는 워싱턴 D.C.에서 진행된 AAMI neXus 2024 에 참석하였습니다. 본 학회는 AAMI(Association for the Advancement of Medical Instrumentation)와 FDA(미국 식품의약국)이 주관하는 학회로,  AAMI 및 FDA 관계자들을 비롯한 다양한 외국계 의료기기 제조업체에서 방문하였습니다. ‘The medical Device Standards Conference’를 주제로 진행된 만큼 해외 의료기기 제조업체 RA/QA 담당자분들의 참석률이 높았습니다.🧑‍🤝‍🧑

 

 

 

먼저 참관기를 공유하기 전에 이번 학회의 주관처인 'AAMI'에 대해 간략하게 소개해드리겠습니다. AAMI(Association for the Advancement of Medical Instrumentation)는 다양한 이해관계자와 협력하며 의료기기의 개발, 관리 및 사용에 관한 표준과 규제 개발을 담당하고 있는 글로벌 조직입니다.✈️🌏

 

 

이번 학회는 AI/ML Medical Device, Industrial Sterilization, Transition to ISO13485 등 다양한 세션들로 구성되었습니다. 저는 AITRICS의 RA/QA 담당자로 참석한 만큼 <Implementation of AI in Healthcare>, <CyberSecurity>, <New and Coming Standards for AI/ML> 및 <PCCPs>와 같은 주제에 주목하였습니다.

 

여러 세션 중 본 포스팅에서는 'AI/ML(Artificial Intelligence and Machine Learning) in Medical Device'에 관련된 내용을 중점으로 국내 업계에서 알아두면 좋을 정보를 각 세션별로 간략히 소개합니다.🧑‍🏫

 

 

---

 

 

🔖 PCCP(Predetermined Change Control Plans)

 

PCCP(Predetermined Change Control Plan)란 ML-DSF(Machine Learning-Enabled Device Software Function)에 발생할 수 있는 변경(Modifications)과 변경을 어떻게 평가할지(Assess)에 대하여 서술한 문서를 의미합니다. 

2023년 4월에 FDA 가이던스가 발행되었고, 저희 팀에서 지난 포스팅으로 가이던스 리뷰를 진행하였는데요. 지난 포스트가 궁금하신 분들은 다음 링크를 방문해 주세요! 👉👉 [규제 Insight] FDA PCCP Guidance 분석

[규제 Insight] FDA PCCP Guidance 분석

 

FDA는 PCCP 제도가 의료기기의 보다 빠르고 지속적인 개선을 촉진하여 의료기기 혁신 속도를 높이는 데 도움을 주기 위한 것이라 설명합니다. 단, FDA Speaker는 PCCP가 PMA / 510(k) / De Novo 승인의 Supplements로 활용될 수 있으나, 필수가 아닌 선택사항임을 강조하였습니다.

Medtronic Speaker는 PCCP를 Submission 자료에 포함하기로 결정한 AF 알고리즘 실제 사례를 예시로 설명했습니다. 이미 시장에 출시된 제품을 새로운 데이터 셋으로 re-training하여 성능을 높이고, 그 제품을 더욱 빠르게 환자에게 사용할 수 있음을 강조하며 PCCP의 장점을 언급하였습니다.
변경 계획 내용을 사용자(고객)에게 어떻게 전달할 것인지 구체적인 방법과 사용자가 직접 데이터를 확인하기를 원하는 경우 Original data를 검토할 기회를 제공하는 것에 대한 내용도 구체적으로 작성했다고 설명합니다.

 

특히, 학회 동안 AI/ML 관련 주제를 가지고 발표한 모든 Speaker들의 발표에서 PCCP를 언급한 것은 주목할만 합니다.📝

 

PCCP 가이던스는 2024년도 안에 FDA가 Final Guidance로 발표할 예정인 Prioritized Guidance 목록에도 포함되어 있습니다.

 

 

 

 

🔖 Cybersecurity

 

FDA의 Senior cyber policy advisor이자 Medical Device Cybersecurity Team Lead인 Wilkerson은 Cybersecurity가 단순한 서류 작업이 아닌 환자 안전에서 비롯된 의료 기기 개발 단계에서의 중요성에 대해 언급합니다.🩺

 

새롭게 추가된 FD&C Act Section 524B(c)에서 ‘Cyber device’는 아래와 같이 정의됩니다.

 

•  Includes software validated, installed, or authorized by the sponsor as a device or in the device.
• Has the ability to connect to the internet; and
• Contains any such technological characteristics validated, installed or authorized by the sponsor that could be vulnerable to cybersecurity threats.

 

이 정의에는 인터넷 연결이 없지만 USB 포트와 같은 장치가 있는 의료기기도 포함될 수 있으며, 제조업체는 사이버보안 자료 승인을 위한 Submission 자료가 필수로 필요한 기기임을 명확히 인지하고 Section 524B(b)에 제시된 내용을 수행해야 한다고 설명합니다.🔧

Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions

Cybersecurity: Quality System Considerations and Premarket Submissions

 

본 가이던스는 제조업체가 사이버보안 문서 작성 전 가이던스를 꼭 검토할 것을 권고하고 있습니다.

 

가이던스는 아래와 같이 5개의 Section으로 구분하여 설명할 수 있습니다.

 

구 분	내 용
⚠️ Security Risk Management	- Security risk management는 TPLC 전반에 걸쳐 통합되어야 함   (Cybersecurity risks와 Controls에 대한 end-to-end 평가) - Parallel but interfacing process with ISO 14971 Safety Risk Management - 제조업체는 당사의 Safety Risk Management 내용을 시판 전 제출 자료에 포함되어야 함 (AAMI TIR57:2016 참고)
📏 Security Architecture	Implemetation of Security Controls  - Security needs to be designed in  - 8 Control Categories  - Appendix 1 contains recommendations for each category Architecture Views (4 Types)  - Global System View  - Multi-Patient Harm View  - Updateability/Patchability Tiew  - Security Use Case View(s)
👨🏻‍💼 Cybersecurity Testing	Recommendations on Types of Testing:  - Security Requirment Testing  - Threat Mitigation  - Vulnerability Testing  - Penetration Testing Section also makes rocommendations on:  - Independence and technical experise of testers  - Scope of testing (i.e., system-level)  - Thrid-Party Testing recommendations  - Submission documentation
🏷️ Labeling	- 매뉴얼 혹은 Security implementation guide에 제공될 수 있음 - 14 recommended elements - Labeling mitigations 및 Risk transfer items는 Human Factor 작업의 일부로 포함될 수 있음 - 사용자가 기기를 통합할 수 있는 충분한 정보를 제공해야 함
🧩 Cybersecurity Management Plan	- Includes managing cybersecurity throughout lifecycle inclusive of vulnearabilities and incidents - Plans should include Coordinated Vulnerability Disclosure process as described in the 2016 Postmarket Guidance

 

 

해당 가이던스에는 Cybersecurity Risk Assessments와 Interoperability를 포함한 사이버 보안 위험 평가 및 상호 운용성을 포함한 Premarket Submission을 명확히 하기 위한 하위 섹션이 포함되어 있습니다. Speaker Wilkerson은 사이버 보안이 Interoperability를 방해하면 안 된다고 강조합니다. 

또한, 사이버보안 제출 문서를 준비하고 있는 업체라면 준비하고 있을 Software Bill of Materials (SBOMs) 관련 제출 자료에 대해서는 NTIA(National Telecommunications and Information Administration)의 SBOM Framing 문서와 일치하므로 언급된 7 elementary materials를 확인하고 권장 사항을 따르라고 설명합니다.🛡️

제조업체에서 아직 당사가 사이버 보안에 적용이 되는지 헷갈리신다면 FDA Speaker 발표 자료에서 발췌한 자료를 공유드리니 아래 내용을 참고하시면 좋겠습니다.

 

💡 Does Cybersecurity Apply?
      - Cybersecurity applies if the device is or contains software
      - Cybersecurity documentation is required if the device meets the definition of a Cyber Device
      - Cybersecurity considerations apply regardless of whether the software
        or software component was designed by the medical device manufacturer or a third-party
      - Risks increaseif device contains one or more of these example interfaces:
        · Wired: USB, ethernet, SD, CD, RGA, etc. or
        · Wireless: Wi-Fi, Bluetooth, RF, inductive, Cloud, etc.
      - Cybersecurity considerations apply for entire system, not just end device. Examples include:
        · Software update infrastructure
        · Cloud applications
        · Commercial devices (phones, tablets, computers, etc.)

 

 

🔖 FDA Transition to ISO 13485

 

FDA가 ISO13485 표준을 채택함에 따라 용어도 명확히 하였습니다. 향후 FDA 품질 시스템은 QMSR (Quality Management System Regulation)을 사용하고 아래 용어는 지양하길 권고하였습니다.

• ISO13485 transition / Proposed Rule / 820 transition 사용 지양

 

많은 분들이 궁금해하실 Transition period는 2026년 2월 전까지는 기존 QS를 따라도 된다고 설명합니다.  또한 QMSR 최종 규칙은 ISO 13485 준수를 요구하고 21 CFR Part 820을 개정하였지만, 이것이 ISO 13485 인증이 필수라는 의미는 아니라고 설명합니다.

 

 

🔖 New and Coming Standards for AI/ML in Medical Device

 

본 세션에서는 AAMI에서 전문가들이 모여 발행한 다양한 가이던스와 표준이 소개되었습니다.

 

먼저, AAMI TIR45:2023; Guidance On The Use Of AGILE Practices In The Development Of Medical Device Software을 소개하며, Key Updates는 아래와 같습니다. 

 

 

 

 

-  Section 4

-  Section 5

- Section 6 most significant impact
    - Restructured Section 6.1 Addressing IEC 62304
     in an AGILE way (Includes new subsections)
    - New sections
      · 6.2 Using AGILE practices for regulatory compliance
      · 6.3 Addressing Other Regulatory Requirements
    in an AGILE way
-  Appendix B 🆕
-  Appendix C 🆕

 

 

 

 

 

다양하게 개발되고 있는 AI/ML in Medical Device 관련 규격도 소개되었습니다.

• ISO/IEC JTC1, SC42
  - ISO와 IEC의 합동 표준화 기구인 ISO/IEC JTC1은 인공지능 기술의 표준화를 위해 구축한 SC42와 지속적으로 다양
    한 프로젝트를 진행하고 있음
• IEEE 또한 다양한 AI Standards를 개발하고 있음
• ISO/IEC TC215는 의료기기 담당자들이 새로운 표준을 개발할 수 있도록 지원하기 위한 Task Force를 만듦
• AAMI와 BSI 또한 Healthcare AI 표준을 구축하기 위해 협력함

 

📂 출판 예정 표준

• IEC 63450 Testing of Artificial Intelligence / Machine Learning-enabled Medical Devices (in 2024)
• IEC 63524 Artificial intelligence-enabled medical devices — Computer-assisted analysis software for pulmonary images — Algorithm performance (in late 2024)
• IEC 63521 Machine Learning-enabled Medical Device – Performance Evaluation Process
• ML-MD, Logic Component
  - Quality metrics for external data component
  - Quality criteria and document requirements for “logic” component
  - Methods for building test sets
• ML-MD, Data Component
  - Data Lifecycle process standard (incl. Selection, collection, betting, documentation etc.)
  - Quality standards in design and development
  - Quality assurance methods and quality metrics
  - Methods for validation
• (AI-MD) Overaching process standard and consideration in all columns for symbolic AI + ML

 

---

 

오늘 소개해드린 AAMI/FDA neXus 참관기 이외에도 RA/QA팀에서는 앞으로도 지속적으로 인공지능 기술과 AI/ML 소프트웨어 의료기기에 관한 최신 규제를 모니터링하고 국내 업계에 소개하려 합니다.😊

 

국내의 관련 분야 종사자 분들 중에서 이러한 내용에 관심이 있거나 구체적인 논의가 필요하다면 언제든 연락 바랍니다! 🙌

 

에이아이트릭스 채용 바로가기> https://www.aitrics.com/career