Die FDA veröffentlichte im September 2025 den Leitfaden zu Computer Software Assurance (CSA), um Herstellern von Medizinprodukten Empfehlungen zur risikobasierten Validierung von Software zu geben, die in der Produktion oder im Qualitätssystem eingesetzt wird.
Bereits in der Draft-Phase des Leitfadens haben wir in Workshops und auf den DLS User Summits die effizienten und praxisnahen CSA-Ansätze vorgestellt.
Ziel des Leitfaden ist es, den Fokus weg von rein formaler Softwarevalidierung hin zu effizienter, sinnhafter, risikobasierter Software-Assurance zu verschieben.
Die FDA empfiehlt einen 6-Schritte-Prozess, um das angemessene Maß an Aktivitäten festzulegen:
- Identifizierung der beabsichtigten Nutzung
Zunächst wird ermittelt, wie und wofür die Software eingesetzt wird – z. B. direkt in der Produktion oder unterstützend im Qualitätssystem. Davon hängt ab, ob und in welchem Umfang eine Validierung erforderlich ist. - Risikobasierte Analyse
Für jede relevante Funktion wird bewertet, welche Risiken bei einem Ausfall entstehen können. Dabei wird zwischen „hohem Prozessrisiko“ (mögliche Beeinträchtigung der Produktsicherheit) und „nicht hohem Prozessrisiko“ unterschieden. (Vgl. Publikation im GMP-Berater: 9.D Systemklassifizierung und Risikomanagement) - Bewertung von Softwareänderungen
Änderungen an produktions- oder qualitätsrelevanter Software werden darauf geprüft, ob sie Auswirkungen auf Sicherheit oder Wirksamkeit haben.
Je nach Ergebnis erfolgt die Meldung an die FDA im Rahmen eines Jahresberichts oder einer 30-Tage-Notifikation. - Bestimmung geeigneter Assurance-Aktivitäten
Die Auswahl der Testmethoden und des Validierungsumfangs richtet sich nach dem ermittelten Risiko. Hohe Risiken erfordern meist detaillierte, dokumentierte Tests; niedrigere Risiken können mit einfacheren oder explorativen Methoden abgesichert werden. - Zusätzliche Überlegungen für Assurance-Aktivitäten
Vorhandene Kontrollen, Lieferantenbewertungen und Prozesssicherungen können den Validierungsaufwand verringern. Hersteller dürfen auf bestehende Nachweise zurückgreifen, um Doppelarbeit zu vermeiden. - Erstellung der geeigneten Dokumentation
Alle Bewertungen, Tests und Ergebnisse müssen nachvollziehbar dokumentiert werden. Die FDA empfiehlt dabei ausdrücklich, digitale Aufzeichnungen wie Audit Trails oder Systemlogs anstelle papierbasierter Nachweise zu nutzen.
„Der risikobasierte Computer Software Assurance Ansatz der FDA bietet eine praxisnahe und moderne Grundlage zur effizienten Bewertung und Validierung computergestützter Systeme. Die Fokussierung auf einzelne Funktionen ermöglicht eine präzisere Risikobewertung und stärkt die Nachvollziehbarkeit. Dieser Ansatz steht im Einklang mit unserem etablierten Vorgehen zur Risikobewertung, dass wir bereits in der Beratung und im GMP-Berater vermitteln. Besonders positiv ist, dass bestehende Kontrollen und digitale Nachweise gezielt genutzt werden können, um den Validierungsaufwand zu reduzieren. Dadurch wird sowohl die regulatorische Compliance als auch die praktische Umsetzbarkeit für Hersteller verbessert.“ sagt Dr. Dennis Sandkühler, Director Quality & Compliance der Digital Life Sciences GmbH.
