Medizinprodukte: Neue Anforderungen an Künstliche Intelligenz (KI)-basierte Software

Benannte Stellen haben einen Fragenkatalog für Medizinprodukte mit Künstlicher Intelligenz (KI)-basierter Software veröffentlicht. Um die Anforderungen zu erfüllen, sollten Hersteller ihre Prozesse anpassen und aktualisieren. Dieser Fachbeitrag erörtert, was gefordert wird und wie die Anforderungen umgesetzt weren können.

Neue Anforderungen der Benannten Stellen

KI-basierte Software unterliegt genauso wie klassische Software der Regulierung durch die Europäische Verordnung 2017/745 über Medizinprodukte (MDR), wenn sie als Medizinprodukt in Europa in Verkehr gebracht werden soll. Vereinfacht gesagt, müssen Hersteller von Medizinprodukte-Software vor allem die allgemeinen Pflichten aus Art. 10 MDR sowie die Grundlegenden Sicherheits- und Leistungsanforderungen (GRUSULA) im Anhang I MDR erfüllen. Im Abschnitt 17 finden sich dort Software-spezifische Anforderungen.

Welche Anforderungen muss meine Software erfüllen? Kompatibilität/Interoperabilität; Wiederholbarkeit, Zuverlässigkeit und Leistung; Validier./Verifiz., Softwarelebenszyklus, Risikomanagement, IT-Sicherheit; Mobile Plattform: spezifische Eigenschaften, externe Faktoren; Hardware, IT Netzwerk Eigenschaften und IT-Sicherheitsmaßnahmen

Unser Blog-Beitrag „Künstliche Intelligenz (KI) und Medizinprodukte: Technologie und Zulassung“ erläutert die spezifischen Anforderungen an KI-Software im Detail. Natürlich gelten auch die allgemeinen Anforderungen an Medizinprodukte und die speziellen Anforderungen an Software, mit welchen wir uns in den anderen Blogbeiträgen beschäftigt haben und auf die wir hier nicht noch mal im Detail eingehen können. Da in der MDR keine KI-spezifischen Anforderungen enthalten sind, ergeben sich letztendlich Unsicherheiten bei den Herstellern darüber, was Benannte Stellen im Rahmen der Konformitätsbewertung an zusätzlicher Dokumentation sehen wollen. Auch stellt sich die Frage, welcher Zusatzaufwand damit verbunden ist.

Neuer Fragenkatalog der Deutschen Benannten Stellen

Die Interessengemeinschaft der Benannten Stellen für Medizinprodukte in Deutschland hat 2020 die zweite Version ihres Fragenkatalogs „Künstliche Intelligenz bei Medizinprodukten“ veröffentlicht. Der Fragenkatalog ist zwar im rechtlichen Sinne grundsätzlich nicht verbindlich und wurde auch bislang nicht in die einschlägigen Guidances der Europäischen Medical Device Coordination Group (MDCG) aufgenommen, aber er stellt aus unserer Sicht eine wichtige Anleitung zur Erstellung einer MDR-konformen Dokumentation dar. Im Wesentlichen lassen sich die darin formulierten Anforderungen in zwei Kategorien unterteilen:

  1. Zusätzliche Anforderungen für regulatorische Bereiche, wie Hersteller-Informationen, Gebrauchstauglichkeit, Informationssicherheit, klinische Bewertung/Nachbeobachtung, Risikomanagement, Qualitätsmanagement, Überwachung nach dem Inverkehrbringen etc., für die bereits Normen und/oder MDCG Guidances vorhanden sind.
  2. Neue Anforderungen im Bereich der Softwarelebenszyklus-Prozesse, für welche die einschlägigen Normen IEC 62304 und IEC 82304-1 in der jetzigen Form keine konkreten Hilfestellungen geben.

Wie sind die Anforderungen umzusetzen?

Die zusätzlichen Anforderungen der ersten Kategorie lassen sich beim Hersteller problemlos in bestehende Prozesse integrieren. Als Beispiel soll hier die Überwachung nach dem Inverkehrbringen dienen. Im dazugehörigen Plan gemäß der ISO/TR 20416 legt der Hersteller die Quellen und die Art der Bewertung der Ergebnisse für die Überwachung nach dem Inverkehrbringen fest. Bei KI-basierter Software sind die üblichen Quellen um die „Leistungsüberwachung im Betrieb von KI-basierter Software“ und die „Überwachung der Datenqualität im Betrieb bei KI-basierter Software“ zu erweitern und quantitativ sowie hinsichtlich eines möglichen Trends zu analysieren.

Die zweite Kategorie enthält vor allem neue Anforderungen für KI-basierte Software aus den Bereichen Datenmanagement und Modellentwicklung. Es ist hier keineswegs so, dass die Softwarelebenszyklus-Prozesse (Software-Entwicklung, Software-Release, Software-Wartung und Software-Außerbetriebnahme) nicht angewendet werden können. Vielmehr müssen sie angepasst oder um einen weiteren Prozess „KI-Modell“ erweitert werden, wie wir es in der nachfolgenden Abbildung vorschlagen.

Software and AI model development - QMS processes side by side . Process "Software development": Start, specify requirements, plan architecture, perform safety classification, plan development. Process "AI model": Start, produce AI-specific records, manage data, develop model.

Zu dem neuen Prozess „KI-Modell“ gehören auch neue mitgeltende Dokumente, nämlich „Datenmanagement KI-Modell“ und „Entwicklung KI-Modell“. Und keine Angst! Es ist durchaus möglich bei beiden Kategorien verwendete Tools in die Prozesse beim Hersteller zu integrieren.

Zertifizierbarkeit von KI-basierter Software

Uns erreicht auch immer wieder die Frage, ob kontinuierlich lernende KI-basierte Software (dynamische KI) auch CE-zertifiziert werden kann. Die Benannten Stellen beziehen hierzu im Fragenkatalog klar Position: diese ist „grundsätzlich nicht zertifizierbar, da das System verifiziert und validiert sein muss (u.a. muss die Funktionsfähigkeit anhand des Verwendungszwecks validiert sein).“ Aber auch für eine statische KI können Einschränkungen hinsichtlich der Zertifizierbarkeit bestehen, wenn es sich dabei um ein „Blackbox System“ handelt (vgl. Art. 22 und 35 Europäische Datenschutzgrundverordnung sowie Nr. 17.2 im Anhang I MDR). Dann handelt es sich laut Fragenkatalog um eine Einzelfallentscheidung der beteiligten Benannten Stelle.

Ausblick

Im Plan der MDCG findet sich die Guidance „Artificial Intelligence under MDR/IVDR framework“, aber leider mit einem unbestimmten Datum für die Veröffentlichung. Weiterhin hat die EU Kommission am 21.04.2021 den Gesetzesvorschlag „Artificial Intelligence Act“ veröffentlicht. Hier die wesentlichen Punkte:

  • Ziel: Hochgradiger Schutz der Gesundheit, der Sicherheit und der Grundrechte sowie Gewährleistung des freien Verkehrs von KI-basierten Waren und Dienstleistungen,
  • Einstufung als Hochrisikoprodukte: KI-basierte Medizinprodukte und KI-Systeme, die dazu bestimmt sind, für den Versand von […] medizinischen Hilfsmitten verwendet zu werden oder eine Priorität bei deren Versand festzulegen (Art. 6) und
  • Anforderungen an Produkte mit hohem Risiko: Qualität der Datensätze, technische Dokumentation und Aufzeichnungen, Transparenz und Bereitstellung von Informationen für die Anwender, menschliche Überwachung sowie Robustheit, Genauigkeit und Cybersicherheit.

Es bleibt abzuwarten, in welcher Form diese neue Europäische Verordnung kommt und in welcher Art und Weise sie sich auf den Medizinprodukte-Sektor auswirkt.

Schreiben Sie einen Kommentar!

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.