Progettazione secondo MDR – norme tecniche requisito essenziale di sicurezza a cura dello Studio Stefanelli&Stefanelli

Le norme tecniche rivestono un ruolo cruciale nella regolamentazione dei dispositivi medici, poiché forniscono ai Fabbricanti chiare indicazioni sui requisiti tecnici dei prodotti e sui metodi di test necessari per garantire il rispetto di tali requisiti. Le norme tecniche armonizzate, inoltre, garantiscono una presunzione di conformità ai requisiti dei Regolamenti MDR ed IVDR; ciò implica che, se un fabbricante aderisce pienamente a tutte le parti applicabili di queste norme, si dà per assodato che tale dispositivo sia in linea con i requisiti del regolamento. Questo aspetto facilita notevolmente il processo di dimostrazione della conformità durante le valutazioni, dato che le autorità competenti e gli organismi notificati trattano il rispetto di queste norme come prova sufficiente che i requisiti del regolamento sono stati rispettati.

 

Un esempio classico di queste norme armonizzate, utili in modo ampio sull’intero spettro delle categorie merceologiche di DM e IVD, sono le norme ISO 13485 e ISO 14971. Queste norme sono facilmente applicabili anche al contesto di tecnologie innovative, come MD e IVD che ottengano la loro prestazione grazie a principi di AI.

 

Anche le norme tecniche non armonizzate forniscono indicazioni su come possano essere soddisfatti i requisiti di sicurezza e performance richiesti dal regolamento. L’uso di queste norme è commentato nella “Blue Guide” dell’Unione Europea, un documento che fornisce linee guida generali per l’attuazione di direttive e regolamenti. Sebbene non conferiscano una presunzione automatica di conformità, le norme non armonizzate servono comunque come importanti riferimenti per rispettare i requisiti. Infatti, rappresentano lo “stato dell’arte” e dunque rappresentano un chiaro e robusto criterio per la valutazione del rapporto rischio-beneficio.

Conseguentemente, in assenza attualmente di norme armonizzate che si rivolgano verticalmente ai MD e IVD “AI-powered”, è ragionevole identificare le norme non armonizzate più adeguate.

 

La norma IEC 62304 è uno standard internazionale che stabilisce i requisiti relativi ai processi del ciclo di vita del software utilizzato nei dispositivi medici. Questa norma fornisce un framework metodologico per la gestione della sicurezza del software, che include lo sviluppo, la manutenzione e il controllo dei processi software per i dispositivi medici. Essa offre importanti indicazioni per aiutare i fabbricanti a conformarsi al requisito essenziale 17 del MDR, specifico per i SaMD. Analogamente si può dire per l’equivalente requisito essenziale 16 del IVDR.

 

Tuttavia, per i dispositivi medici che incorporano tecnologie avanzate come l’intelligenza artificiale (IA), specialmente quelli che si affidano a principi di IA per erogare la loro prestazione clinica o la performance diagnostica, aderire esclusivamente alla norma IEC 62304 può non essere sufficiente. Questo perché l’IA introduce variabilità e complessità che possono non essere completamente indirizzate dai requisiti standardizzati del software “statico”, descritti nella IEC 62304.

 

I dispositivi medici che utilizzano l’IA, in particolare quelli basati su algoritmi di apprendimento automatico, possono subire modifiche nel loro comportamento a seguito dell’interazione con nuovi dati clinici, una caratteristica non coperta in modo esaustivo dalla gestione del ciclo di vita descritta in IEC 62304.

Per queste ragioni, i fabbricanti di dispositivi medici che sfruttano l’IA come parte della loro funzionalità principale devono considerare ulteriori misure di conformità e valutazione del rischio. Questo potrebbe includere:

 

  • **Validazione specifica per l’IA**: Sviluppare e attuare protocolli di test che sono particolarmente disegnati per i sistemi di IA, in grado di valutare la robustezza, la sicurezza e l’efficacia degli algoritmi in scenari di utilizzo reali e su dataset variabili.
  • **Trasparenza e spiegabilità**: Fornire una documentazione dettagliata sui principi di funzionamento dell’IA, inclusi gli algoritmi utilizzati, le modalità di addestramento dei modelli e le misure adottate per garantire la trasparenza e la comprensione dei processi decisionali automatici.
  • **Valutazione continua dei dati in ingresso**: Implementare strategie per la valutazione e il monitoraggio continuo dei dati utilizzati nel training degli algoritmi di IA, per assicurare che le prestazioni del dispositivo rimangano stabili e sicure anche di fronte a nuovi dati.

 

Vi sono alcune norme non armonizzate che rispondono particolarmente bene alla esigenza di strutturare un’analisi del rischio dedicata. Ad esempio, una dettagliata linea guida dell’ente BSI [1] propone una decina di standard relativi all’Intelligenza artificiale nell’industria. Tra quelli citati, se ne segnalano alcuni per la loro specifica possibilità di integrazione nel settore biomedicale, in particolare con la norma ISO 14971:

 

  • ISO/IEC 23894 Artificial Intelligence – Risk Management
  • ISO/IEC TR 24028 Overview of Trustworthiness in Artificial Intelligence
  • ISO/IEC TR 24027 Bias in AI Systems and AI Aided Decision Making

 

Da ultimo, una considerazione di sistema: la corretta progettazione e convalida di dispositivi medici che utilizzano l’intelligenza artificiale necessitano di un approccio sistemico e metodico, dove la creazione di un sistema di gestione della qualità (SGQ) efficace è fondamentale. La conformità a standard riconosciuti ed armonizzati come ISO 13485 può essere integrata con standard relativi alle specificità della AI. Infatti la ISO 42001 offre una solida base per sviluppare e mantenere  un sistema qualità integrato per dispositivi medici che non solo soddisfano le esigenze cliniche ma anche garantiscono la gestione dei rischi e delle complessità tipiche dei prodotti che contengono principi di AI.

[1] BSI White Paper – Overview of standardization landscape in artificial intelligence