La Gestione delle situazioni avverse nei Dispositivi Medici Software
Normazione e Organizzazione

La Gestione delle situazioni avverse nei Dispositivi Medici Software

By 12 Ottobre 2023 No Comments

L’articolo 87 del Regolamento Europeo 2017/745 sui Dispositivi Medici (MDR) riporta che è onere dei fabbricanti dei dispositivi, messi a disposizione sul mercato dell’Unione, segnalare  alle pertinenti autorità competenti  qualsiasi incidente grave  connesso  a tali dispositivi

In tale articolo si precisa che, quando il fabbricante del dispositivo in questione ritiene che l’incidente sia un incidente grave, egli debba fornire all’autorità competente dello Stato membro in cui si è verificato l’incidente, una relazione su tale incidente : mentre se il fabbricante ritiene che l’incidente non sia un incidente grave o che si tratti di un effetto collaterale indesiderabile, ma atteso ,esso potrà essere oggetto di una successiva Relazione sulle Tendenze

Ora non è sempre facile individuare una classificazione delle tipologie di situazioni che possono essere definite come incidenti, incidenti gravi, non gravi o come effetti collaterali anche a fronte di una corretta analisi dei rischi di prodotto.

A maggior ragione tale difficoltà cresce quando siamo in presenza di Dispositivi medici software Stand Alone (SaMD).  A differenza dei  manufatti, i quali possono creare loro stessi problemi sia ai pazienti (es. nel caso di dispositivi invasivi) sia agli utilizzatori ( nel caso di dispositivi elettromedicali difettosi), questi tipi di dispositivi medici in genere, per la loro stessa natura  intangibile, difficilmente possono essere fonte diretta di possibili incidenti.

Pertanto. ogni volta che si realizza un Dispositivo Medico software è necessario comprendere come poter ottemperare a quanto richiesto dall’articolo 87.

Vediamo alcune considerazioni su questo problema.

Definizioni

Incidente Qualsiasi malfunzionamento o alterazione delle caratteristiche o delle prestazioni di un dispositivo messo a disposizione sul mercato compreso l’errore d’uso determinato dalle caratteristiche ergonomiche, come pure qualsiasi inadeguatezza nelle informazioni fornite dal fabbricante e qualsiasi effetto collaterale negativo

Incidente Grave Qualsiasi incidente che, direttamente o indirettamente, ha causato, può aver causato o può causare una delle seguenti conseguenze:
a) il decesso di un paziente, di un utilizzatore o di un’altra persona,
b) il grave deterioramento, temporaneo o permanente, delle condizioni di salute del paziente, dell’utilizzatore o di un’altra persona, una grave minaccia per la sanità pubblica

Effetto Collaterale Indesiderato  qualsiasi manifestazione medica non voluta e non intenzionale nel corpo umano, come conseguenza del normale utilizzo di un dispositivo.

Situazioni avverse per un SaMD

La natura di un dispositivo medico (SaMD) porta a considerare che il criterio più probabile di accadimento di  incidenti avversi sia quello derivante da un danno indiretto.

Tale danno può verificarsi come conseguenza della decisione medica , intrapresa/non intrapresa dagli operatori sanitari (che per dispositivi di autotest  può essere effettuata direttamente dal paziente stesso),  sulla base di informazioni o  dei risultati  forniti dal Dispositivo Medico SaMD

I danni indiretti, dovuti al fatto che tali dispositivi producano risultati imprecisi, grazie ad esempio al fatto di aver subito controlli di qualità inadeguati, possono essere conseguenza di situazioni quali:

  • diagnosi errate
  • diagnosi tardive
  • trattamenti ritardati
  • trattamenti inappropriati
  • assenza di trattamenti

Vediamo nei successivi paragrafi alcune tipologie di cause che possono determinare tali situazioni.

Problemi dovuti a Dispositivi non conformi

Situazioni avverse possono verificarsi dal mancato rispetto delle caratteristiche prestazionali specificate dal produttore. Gli esempi potrebbero includere, ma non sono ovviamente limitati, a quanto segue:

  • Il Dispositivo Medico software non avvisa l’operatore sanitario , secondo le istruzioni per l’uso, quando lo stato di salute del paziente raggiunge una soglia clinica predeterminata.
  • Vi sono problemi di compatibilità derivanti dagli aggiornamenti del sistema operativo che possono portare alla perdita della capacità di visualizzare i dati in tempo reale comportando un trattamento inappropriato o assente o un ritardo nella diagnosi
  • Il monitoraggio da remoto dei segni vitali del paziente potrebbe portare a ritardi nella diagnosi e nel trattamento se non riesce a rilevare i parametri fisiologici corretti, ad es. frequenza cardiaca, frequenza respiratoria, saturazione di ossigeno ecc.
  • I dispositivi di monitoraggio delle attività non riescono ad allertare gli operatori sanitari quando un residente in una casa di cura sta peggiorando o è a rischio di deterioramento fisico il che potrebbe causare ritardi nella diagnosi e nel trattamento.
  • I dispositivi che gestiscono il triage, attraverso strumenti basati sulla intelligenza artificiale (AI), non riescono a identificare i risultati dell’immagine cerebrale clinicamente rilevanti relativi all’ictus acuto, portando a una diagnosi errata, ritardata o mancata.
  • Gli strumenti di intelligenza artificiale destinati a identificare le radiografie non rilevano un’anomalia che porta a una diagnosi errata, ritardata o mancata.
  • Software MRI (Magnetic Resonance Imaging) che degrada l’aspetto delle strutture anatomiche e patologiche portando a diagnosi errate, ritardate o mancate.
  • Dispositivi software che leggono in modo errato il risultato di un test del flusso laterale, con il risultato che un individuo infetto non si isola e quindi diffonde la malattia.

Problemi dovuti a scarsa accuratezza diagnostica

Situazioni avverse  sono derivanti dalla poca accuratezza di dispositivi come i rilevatori di situazioni cliniche . Ad esempio:

  • Dispositivi software utilizzati come controllori dei sintomi per rilevare una condizione medica che non riescono ad identificare una condizione corretta che porta quindi a diagnosi errate, false rassicurazioni o ritardi nel trattamento.
  • Stumenti per la dermatologia utilizzate per il rilevamento del melanoma che forniscono risultati imprecisi che potrebbero impedire a un individuo di chiedere un parere clinico a un operatore sanitario

Danni procurati da Software di supporto decisionale

Situazioni avverse possono essere creati da anche da dispositivi utilizzati come sola consultazione quali ad esempio :

  • Punteggi sovrastimati/sottostimati nell’algoritmo predittivo utilizzato per supportare i medici nella valutazione del potenziale rischio di malattie cardiovascolari nei pazienti. Di conseguenza, può causare un trattamento inappropriato o assente.
  • Errore terapeutico derivante da calcoli errati dei calcolatori della dose.
  • Pazienti che ricevono un trattamento radioterapico inappropriato a causa di calcoli errati della intensità di somministrazione.

Problemi dovuti all’ interfaccia utente

Situazioni avverse possono derivare da situazioni critiche dovute alla interfaccia utente dovute ad esempio da Istruzioni o usabilità dell’interfaccia utente poco chiare con conseguente cattiva comprensione dei dati di input richiesti che può portare ad una immissione di dati non corretta

Ad esempio la compilazione di un questionario non correttamente impostato  potrebbe far sì che l’utente selezioni un’opzione errata determinando un inserimento di dati impreciso

Altra tipologia di situazione avversa è dovuta, pur in presenza di un interfaccia corretta, ad errori di utilizzo da parte dell’utente il quale inserisce valori errati portando l’utente stesso a fare affidamento su risultati non validi

In questo caso è necessario che i fabbricanti di Dispositivi Medici software impostino la progettazione del software sulla base di quanto indicato nella norma IEC 62366 e soprattutto effettuino una esauriente analisi dei rischi che individui i pericoli possibili di un uso non corretto del dispositivo da parte dell’utilizzatore finale

Gli errori d’uso devono comunque essere documentati e gestiti nell’ambito del sistema di gestione della qualità del fabbricante.

Problemi dovuti alla sicurezza del sistema informatico

Situazioni avverse potrebbero maniferstarsi  a causa di sistemi identificati come vulnerabili quali ad esempio:

  • Accessi non autorizzati  che potrebbero mettere a rischio lo stesso funzionamento del dispositivo .
  • Infezioni da malware che possono compromettere la sicurezza del dispositivo, causando problemi di funzionamento o accedendo ai dati sensibili.
  • Corruzione dei dati dei pazienti, durante un loro trasferimento, che porta a diagnosi errate o ritardate.
  • Denial of Service (DoS) che può sovraccaricare il sistema, impedendo il funzionamento del dispositivo medico software
  • Mancanza di crittografia nei dati trasmessi o memorizzati può esporre le informazioni dei pazienti a rischi di accesso non autorizzato
  • Accesso fisico non autorizzato che può portare ad un danneggiamento del Dispositivo Medico
  • Mancanza di aggiornamenti: se i dispositivi medici software non vengono aggiornati regolarmente per affrontare nuove minacce, possono diventare vulnerabili.

Segnalazioni di situazioni avverse

E’ di estrema importanza mettere in grande evidenza le modalità con cui le varie parti interessate possano comunicare, in modo repentino al fabbricante del Dispositivo Medico software, gli eventi che hanno portato al verificarsi di incidenti, soprattutto se sono considerati gravi,  in cui si presume che possa essere coinvolto il dispositivo stesso.

Innanzitutto le indicazioni su come comunicare tali incidenti devono essere fornite in modo chiaro e facilmente visualizzabile dal fabbricante. Si consiglia che la modalità fornita sia dedicata e non sia la stessa di altre tipologie di comunicazione che i clienti / utenti scambiano con il fabbricante : questo al fine di evitare che comunicazioni  di tale importanza si possano perdere in mezzo ad altre decine di segnalazioni

Tale modalità deve essere riportata nel Manuale Utente (sia cartaceo sia elettronico) ben evidenziata nello specifico sommario / menù. Sarebbe opportuno che per quelle applicazioni software che dispongono di un interfaccia utente, tale informazione compaia anche in una delle pagine iniziali dell’applicazione software all’atto dell’avvio del programma

Inoltre si dovrebbe redigere una procedura interna del Sistema Qualità del fabbricante che riporti in modo chiaro è rigoroso in che modo si tengono sotto controllo tali tipi di segnalazioni, che data la loro importanza, deve essere effettuato in modo sistematico ( ad esempio attraverso un alert verso un dispositivo quale potrebbe essere il cellulare del responsabile della gestione delle comunicazione esterne)

Analisi degli incidenti

La valutazione della causa potenziale di un incidente grave dovrebbe essere condotta in modo completo e accurato, tenendo conto di tutti i fattori pertinenti.  Stabilire o identificare il legame tra il dispositivo del fabbricante e l’incidente grave può essere difficile, soprattutto quando sono coinvolti più dispositivi . In situazioni complesse, si deve presumere che il dispositivo possa aver contribuito o potenzialmente possa contribuire all’incidente grave e il fabbricante deve quindi essere cauto nella sua valutazione e nelle sue conclusioni.

In caso di dubbio, il fabbricante dovrebbe comunque presentare una relazione sull’incidente come riportato successivamente.

Ecco alcuni dei criteri che possono essere considerati per tale alutazione:

  • la gravità del danno dovuto ad un eventuale uso improprio o da un malfunzionamento del dispositivo medico software soprattutto se tale dispositivo controlla dispositivi medici critici o essere coinvolto in decisioni cruciali per la vita del paziente
  • la probabilità che il dispositivo medico software possa essere malfunzionante o comportare errori critici: questo potrebbe dipendere dalla complessità del software, dalla sua stabilità e dalla presenza di backup o meccanismi di sicurezza, Per tale motivo é importante che, fra le varie tipologie di pericoli da analizzare durante la Risk Analysis, vi sia anche quella che riguarda i possibili rischi software
  • le considerazioni sul fatto che il dispositivo medico software sia destinato all’uso in situazioni ad alto rischio o per trattamenti critici. Gli utilizzi previsti del software possono influenzare la valutazione del potenziale di accadimento di incidenti gravi.
  • l’analisi dei dati clinici e sperimentali disponibili per il dispositivo medico software per identificare potenziali rischi o prove di incidenti gravi associati all’uso
  • la disamina della storia degli incidenti riportati relativi al dispositivo medico software o a dispositivi simili sul mercato. Gli incidenti passati possono essere indicativi del potenziale per incidenti gravi futuri
  • la conduzione di un‘analisi dei rischi per identificare i potenziali scenari di malfunzionamento o errori gravi e valutare come tali scenari potrebbero influire sulla sicurezza del paziente

Gestione delle comunicazione degli incidenti

L’’MDR dà precise indicazioni su come gestire le segnalazioni di incidenti da parte dei fabbricanti alle parti interessate.

  • per ogni incidente grave è necessario segnalare alle pertinenti autorità competenti, attraverso il Modulo Vigilance di EUDAMED immediatamente dopo aver stabilito il nesso causale, anche solo ragionevolmente possibile, fra l’incidente ed il  dispositivo, e non oltre 15 giorni dopo aver avuto conoscenza dell’incidente.
  • in caso di grave minaccia per la salute pubblica, (ad esempio nel caso di dispositivi che abbiano come obiettivo clinico una situazione pandemica) una relazione su tale incidente viene trasmessa immediatamente e non oltre 2 giorni dopo avere avuto conoscenza della minaccia
  • in caso di decesso o di un inatteso grave deterioramento delle condizioni di salute di una persona, la relazione va trasmessa immediatamente dopo che il fabbricante ha accertato o  anche solo se si presume l’esistenza di un nesso causale tra il dispositivo e l’incidente grave e comunque entro 10 giorni dopo la data in cui al produttore diviene noto l’incidente grave.
  • Quando si ritiene che l’incidente non sia un incidente grave o che si tratti di un effetto collaterale indesiderabile ma atteso, tale incidente potrà essere oggetto della Relazione sulle Tendenze

Per le segnalazioni dei rischi gravi si consiglia l’utilizzo del modulo MIR

Azioni Conseguenti

Oltre alla comunicazione, il Regolamento Europeo 2017/745 richiede di intraprendere una serie di azioni conseguenti in caso di evento avverso grave. Queste azioni includono:

  • Messa in atto di misure correttive: se la valutazione dell’evento avverso grave, dimostra che il dispositivo è difettoso o che non è conforme ai requisiti di sicurezza , il fabbricante, il rappresentante autorizzato o l’importatore deve predisporre un’Azione Correttiva di Sicurezza adottando misure per ridurre o eliminare il rischio. Tale azione  di sicurezza adottata, che deve essere portata senza indugio all’attenzione degli utilizzatori del dispositivo in questione mediante un Avviso di Sicurezza e registrata sul  Modulo Vigilance di EUDAMED , potrà essere valutata dalla autorità competente e può includere:
    • Isolamento del dispositivo richiesta agli utenti interessati di predisporre modalità per impedire l’uso del  dispositivo problematico .
    • Sospensione del utilizzo del dispositivo nel caso di modalità SaaS
    • Assistenza medica fornire informazioni per un’assistenza medica adeguata ai pazienti colpiti dall’incidente
    • Revisione del software condurre un’ispezione completa del software per identificare e correggere il problema o il bug responsabile dell’incidente
    • Rafforzamento delle procedure di test: rivedere e migliorare le procedure di test e validazione del software per garantire che simili incidenti non si ripetano in futuro.
    • Monitoraggio continuo: Implementare un sistema di monitoraggio continuo per rilevare tempestivamente eventuali nuovi problemi di sicurezza
    • Modifiche all’etichettatura o al manuale d’uso per migliorare le indicazioni relative all’utilizzo del sispositivo
  • Pubblicazione di un rapporto sugli eventi avversi gravi: il fabbricante, il rappresentante autorizzato o l’importatore deve pubblicare un rapporto sugli eventi avversi gravi entro 12 mesi dalla  data dell’ultimo evento avverso grave segnalato. Questo rapporto deve includere le seguenti informazioni:
    • Un riassunto degli eventi avversi gravi segnalati
    • Le misure adottate per ridurre o eliminare il rischio
    • Le raccomandazioni per migliorare la sicurezza dei dispositivi

Inoltre, il Regolamento Europeo 2017/745 prevede che la Commissione Europea e gli Stati membri possano adottare proprie misure di sicurezza in caso di evento avverso grave. Queste misure possono includere:

  • Richiesta al fabbricante, al rappresentante autorizzato o all’importatore di adottare misure correttive
  • Restrizione o divieto della messa a disposizione sul mercato del dispositivo
  • Richiesta al fabbricante, al rappresentante autorizzato o all’importatore di ritirare il dispositivo dal mercato

Le misure di sicurezza sono adottate per proteggere la salute e la sicurezza degli utilizzatori in caso di rischio grave associato a un dispositivo medico.

Relazione delle Tendenze

I fabbricanti realizzano un documento, che viene pubblicato sulla piattaforma elettronica EUDAMED, ogni aumento statisticamente significativo della frequenza di incidenti che sono diversi da quelli gravi oppure della frequenza degli effetti collaterali indesiderati ma attesi, che possano avere un impatto significativo sui rischi e sui benefici dello specifico Dispositivo medico software.

Il regolamento chiede che sia definito il criterio con cui tale aumento sia considerato significativo in modo tale che si renda necessario produrre tale relazione. Tale necessità  può dipendere comunque anche dal livello di gravità e dalla frequenza degli incidenti, dai rischi potenziali associati, dalle raccomandazioni di sicurezza, dalla difficoltà di risoluzione degli incidenti e da altri fattori che possono essere rilevanti per la sicurezza dei pazienti e dagli utilizzatori.

La decisione di produrre una relazione dovrebbe essere basata su una valutazione completa dei dati disponibili e delle circostanze specifiche in cui il  dispositivo in questione sia parte in causa.

GRAZIE PER L’ATTENZIONE

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Recommended For You

Normazione e Organizzazione

MODALITÀ DI VALIDAZIONE DI UN DATABASE CLINICO

De Martino Antonio
De Martino Antonio18 Marzo 2024
Normazione e Organizzazione

IEC 81001-5-1: un importante standard per la Sicurezza Informatica in ambito Medicale

De Martino Antonio
De Martino Antonio25 Settembre 2023
Normazione e Organizzazione

LA VALIDAZIONE DI UNA APPLICAZIONE PLC NEL MONDO MEDICALE

De Martino Antonio
De Martino Antonio10 Settembre 2023

Leave a Reply