QMS에 사용된 소프트웨어의 유효성 검증 도입 배경

의료기기 분야에서는 소프트웨어가 포함되어 있는 제품은  ISO 62304이 적용되어 왔습니다. 하지만 ISO 13485:2016에 따라 소프트웨어 검증에 대한 새로운 요구사항을 적용해야 되는 강제성이 부과되었습니다. 

 

하드웨어 중심의 품질관리 분야에서 기업들은 장비의 적격성(IQ, OQ, PQ)만 검증하여 제조 및 품질관리를 수행해 오고 있었습니다. 점점 산업이 발전하면서 장비의 효율성과 정확성, 편리성을 극대화하기 위해 점점 소프트웨어가 포함되지 않은 장비가 없을 정을 정도로 거의 모든 장비는 소프트웨어로 구동되거나 결과를 보여주고 분석, 해석해주는 역할을 하게 변화되었습니다. 

 

왜 소프트웨어 유효성 검증을 해야 되나??

 

소프트웨어가 버그가 많고 그것이 여태 숨겨져 왔으며 그로 인해 제품의 품질에 영향을 주는 사건사고가 많이 발생하였으며 효율성을 위해 도입한 소프트웨어 때문에 원하지 않는 더 많은 비용을 지불해 오고 있었습니다. 

잘 못된 소프트웨어는 장비를 멈추게 하기도 하고 우리에게 잘 못된 결과를 제시하기도 하였습니다. 

이런 잘 못 된 영향으로부터 제품을 보호하고 부적합한 제품이 고객에게 사용되지 않도록 방지하여야 하는 것은 규제 기관은 물론, 기업의 의무이기 때문입니다. 

 

유효성 검증 범위는 어떻게 되나?

 

이 규정은 ISO 13485가 2016으로 개정되면서 새롭게 도입되는 규정인 거 같지만 이전부터 소프트웨어의 검증의 요구는 지속되어 왔습니다.

 

FDA QSR 규정에서 소프트웨어 검증은 1997년 6월 1일부터 20년간 요구되어 왔고 2016년에 국제 규격에서 공통적으로 대다수의 국가가 요구할 수 있게 개정된 것입니다. 

 

CFR.820.70(i)의 내용을 보면 아래와 같이 요구하고 있습니다.

자동화된 프로세스, 컴퓨터 또는 자동 데이터 처리 시스템이 생산 또는 품질 시스템의 일부로 사용되는 경우 제조업체는 확립된 프로토콜에 따라 컴퓨터 소프트웨어가 의도된 사용되고 작동하는지 검증해야 한다. 모든 소프트웨어 변경은 승인 및 발급 전에 검증되어야 한다. 이러한 검증 활동 및 결과는 문서화되어야 한다.

 

따라서 제조 업체는 생산 또는 QMS에 사용되는 모든 소프트웨어는 검증되어야 합니다. 

또한 21 CFR Part 11은 전자 기록 및 전자 서명의 관리에 대한 요구사항을 추가하고 있습니다. 제조 업체가 사용하는 소프트웨어가 그러한 요소를 적용하고 관리하고 있다면 검증되어야 합니다.

 

ISO 13485:2003의 7.5.2항에서는 조직은 생산 및 서비스 제공을 위한 컴퓨터 소프트웨어의 적용을 검증하기 위한 문서화된 절차를 수립하라고 되어 있습니다. 하지만 다른 프로세스 또는 QMS에서 사용되는 소프트웨어를 검증해야 된다고 되어 있지 않아 강제적으로 적용하라고 의무화 하기에는 범위가 너무 한정되어 있었습니다.

 

특히 유럽이나 타 국가의 규정에는 21 CFR Part 11 전자 기록 및 서명 요건이 없어 유일하게 미국에서만 적용되어 왔습니다.

 

하지만 이번 13485:2016이 나오면서 정식으로 QMS에 사용되는 거의 모든 소프트웨어가 적용대상이 되게 되었습니다. 

 

적용되는 소프트웨어를 나열하는 것은 너무 많고 범위가 넓어 나열하기 힘들고 적용 제외되는 것은 QMS 범위를 벗어나는 금융 및 일반 사무 소프트웨어가 해당되고 특히 IT나 네트워크 인프라의 소프트웨어는 검증 대상에서 제외될 수 있습니다. 

그러나 이것도 경계가 애매한 부분이 있으며, 소프트웨어의 장애가 결국 QMS에 영향을 미친다면 검증되어야 합니다.