なぜソフトウェアの安全性クラスは他のリスクコントロール手段で低減できるのか

医療機器の開発において、ソフトウェアの安全性確保は避けて通れない重要課題である。特に近年では、AI技術の導入やIoT化の進展により、医療機器におけるソフトウェアの役割はますます大きくなっている。本稿では、医療機器ソフトウェアの安全性クラスが、なぜ他のリスクコントロール手段によって低減可能なのか、その理由と実務上の留意点について解説する。

IEC 62304とソフトウェア安全性クラスの基本概念

IEC 62304規格の概要

IEC 62304は、医療機器ソフトウェアのライフサイクルプロセスに関する国際規格である。この規格は、ソフトウェアの開発計画から保守・廃棄に至るまでの全工程において、安全性を確保するための要求事項を定めている。

ソフトウェア安全性クラスの分類

IEC 62304では、ソフトウェアの安全性クラスを以下の3段階に分類している。

  • クラスA:負傷または健康への被害が生じない
  • クラスB:重傷以外の傷害が生じる可能性がある
  • クラスC:死亡または重傷が生じる可能性がある

この分類は、ソフトウェアの故障や不具合が患者や使用者に与える潜在的な危害の程度に基づいて決定される。

リスクコントロール手段による安全性クラスの低減メカニズム

システム全体での安全性評価の考え方

IEC 62304の特徴的な点は、ソフトウェア単体ではなく、システム全体の文脈で安全性を評価することである。これは、医療機器が複数の要素(ソフトウェア、ハードウェア、機械的部品など)から構成される複合システムであることを反映している。
重要な点として、IEC 62304では安全性クラス決定時にソフトウェア故障の確率を100%と仮定することが要求されている。この保守的な仮定により、ソフトウェアは必ず故障するものとして扱い、その上で外部のリスクコントロール手段による保護の有効性を評価する。

リスクコントロール手段の種類と効果

リスクコントロール手段には、主に以下のような方法がある。

1.ハードウェアによる保護機能

  • ウォッチドッグタイマーによる異常検知
  • 独立した安全回路による強制停止機能
  • 冗長化システムによるフェイルセーフ設計

2.機械的な安全機構

  • 物理的なストッパーやリミッター
  • 圧力解放弁などの安全装置
  • 手動オーバーライド機能

3.電気的な保護回路

  • 過電流保護回路
  • 絶縁監視システム
  • 非常停止回路

安全性クラス低減の実例

例えば、インスリンポンプのソフトウェアを考えてみよう。ソフトウェア単体では、誤動作により過剰投与のリスクがあるため、クラスCに分類される可能性がある。しかし、以下のようなハードウェア保護機能を実装することで、システム全体のリスクを低減できる。

  • 独立した流量監視回路による異常検知
  • 機械的な最大投与量制限機構
  • バッテリー異常時の自動停止機能

これらの保護機能により、ソフトウェアの不具合が直接的に患者に危害を与える可能性が大幅に減少し、結果として安全性クラスをBまたはAに低減することが可能となる。

規制当局への対応における注意点

FDA申請時の要求事項

米国FDAへの申請においては、IEC 62304とは異なるアプローチが求められることに注意が必要である。FDAは「レベル・オブ・コンサーン(Level of Concern)」という概念を用いており、これは他のリスクコントロール手段を適用するのソフトウェアのリスクレベルに基づいて評価される。
2023年に改訂されたFDAガイダンスでは、以下の2つの文書レベルが定義されている。

  • Enhanced Documentation:リスク軽減策適用前に死亡または重傷のリスクがある場合
  • Basic Documentation:上記以外の場合

このアプローチは、IEC 62304がリスクコントロール手段適用後の残留リスクで安全性クラスを決定する方法とは根本的に異なるため、FDA申請を予定している場合は特に注意が必要である。

日本およびその他地域での対応

日本の医薬品医療機器総合機構(PMDA)や欧州のノーティファイドボディでは、基本的にIEC 62304に準拠したアプローチが受け入れられている。ただし、各国の規制要求には微妙な違いがあるため、対象市場に応じた適切な対応が必要である。

実務上の推奨事項

リスクマネジメントプロセスの統合

効果的な安全性クラスの管理のためには、以下のプロセスを統合的に運用することが重要である。

  1. 初期リスク分析:ソフトウェア単体でのワーストケースシナリオを特定
  2. リスクコントロール設計:適切な保護機能の選定と実装
  3. 残留リスク評価:保護機能適用後のリスクレベルの再評価
  4. 検証・妥当性確認:保護機能の有効性の確認

ドキュメンテーションの重要性

規制当局への説明責任を果たすため、以下の文書を適切に作成・維持することが不可欠である。

  • リスク分析報告書
  • リスクコントロール手段の設計根拠
  • 検証試験結果
  • トレーサビリティマトリクス

特に、外部リスクコントロール手段を使用して安全性クラスを低減する場合は、その手段の有効性を検証した証拠を文書化することが重要である。IEC 62304の第2版に向けた検討では、この検証要求がさらに強化される方向にある。

関連商品

お役立ち情報
QMS(手順書)ひな形 医療機器関連
🕒️2023年4月7日
ecompliance.co.jp
【書籍】【徹底解説】IEC 62366-1 ユーザビリティエンジニアリング
https://ecompliance.co.jp/SHOP/BOOK-MD002.html
ecompliance.co.jp
【IEC 62304対応】医療機器ソフトウェアQMS様式ひな形一式
https://ecompliance.co.jp/SHOP/MD-QMS-368.html
ecompliance.co.jp
【IEC-62304対応】製品ソフトウェア設計開発規定
https://ecompliance.co.jp/SHOP/MD-QMS-366.html
ecompliance.co.jp
【VOD】医療機器ソフトウェア規格(IEC62304)
https://ecompliance.co.jp/SHOP/O136.html

 

関連記事一覧