IA, ML et cybersécurité : voici ce que la FDA pourrait bientôt demander
La FDA a publié un certain nombre de documents qui pourraient aider à clarifier ses attentes en matière d’intelligence artificielle, d’apprentissage automatique et de cybersécurité. Il s’agit notamment du plan d’action sur les logiciels basés sur l’intelligence artificielle/l’apprentissage automatique (AI/ML) en tant que dispositif médical (SaMD), publié en janvier 2021 ; Good Machine Learning Practice for Medical Device Development : Guiding Principles, publié en octobre 2021 ; et le projet de directives qui vient d’être publié, Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions.
Michelle Jump, vice-présidente des services de sécurité pour Medsec ; et Yarmela Pavlovic, vice-présidente de la stratégie réglementaire de Medtronic, ont exploré ces documents lors de la session IME West 2022 du 12 avril, Product Development Innovation in an Age of Regulatory Uncertainty.
Le plan d’action AI/ML fournit un cadre réglementaire plus adapté pour AI/ML, a expliqué Pavlovic. Elle a fait référence au document de travail 2019 de la FDA, Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) – Discussion Paper and Request for Feedback, qui a défini une approche du cycle de vie total du produit. aux réglementations AI/ML, étant entendu que les produits AI/ML peuvent être itérés beaucoup plus efficacement et rapidement qu’un produit d’implant de dispositif médical typique ou quelque chose qui n’est pas basé sur un logiciel. En effet, il est possible d’ajouter des données supplémentaires aux ensembles de formation sur lesquels les produits ont été formulés à l’origine, a-t-elle déclaré.
La clé de l’approche du cycle de vie total du produit est un plan de contrôle des modifications prédéterminé (PCCP), qui décrit tous les types de modifications que le fabricant a l’intention d’apporter au produit dans un avenir prévisible, ainsi que les protocoles, les critères de réussite et les ensembles de données qu’ils utiliseront pour évaluant les performances de ces produits, a-t-elle expliqué.
En répondant à une question du public sur les PCCP, Pavlovic a expliqué que lorsque vous pensez à formuler un plan, vous devez commencer par à quoi ressemble le package de test que vous prévoyez de donner à la FDA. Le niveau de détail du PCCP correspondra au niveau de détail du protocole et des rapports de test de votre package de départ. Ce que vous faites à l’avenir pour valider un produit découle de ce que vous avez fait en premier lieu. Et puis, les types de changements que vous décrivez peuvent justifier des types de tests supplémentaires ou différents, alors réfléchissez aux questions scientifiques clés qui sont posées par ces changements et comment pouvez-vous superposer le bon niveau de preuve pour être à l’aise.
Le Medical Device Innovation Consortium a une verticale de santé numérique avec un flux de travail cherchant à créer des exemples de PCCP, a-t-elle ajouté.
Le plan d’action AI / ML comprend également de bonnes pratiques d’apprentissage automatique (GMLP), telles qu’une bonne hygiène autour des ensembles de données et des pratiques de gestion des données, ainsi que des processus pour continuer à se renseigner sur le produit tel qu’il est utilisé dans la pratique commerciale pour vous assurer que vous continuent à comprendre les performances de votre produit, a expliqué Pavlovic.
En outre, le biais et la robustesse algorithmiques sont un domaine pour le développement ultérieur de la science réglementaire, a-t-elle déclaré. L’objectif serait de s’assurer que les performances du produit sont représentatives de la population d’utilisation prévue et que nous n’avons pas de conséquences involontaires de l’utilisation de nos produits en raison de biais présents en raison de la façon dont ils ont été formés ou des choix d’ensembles de données.
La performance dans le monde réel est le dernier élément du plan, a-t-elle déclaré, qui est l’idée que les entreprises surveilleraient les performances du produit dans la nature, comme en utilisation clinique. Mais il est complexe d’avoir des accords de partage d’informations avec les clients, a-t-elle déclaré, il peut donc être nécessaire de trouver d’autres moyens de collecter ces données.
Répondant à une question du public sur la position de la FDA à l’égard de l’IA, Pavlovic a déclaré qu’il est important que les entreprises indiquent clairement à la FDA qu’elles adoptent une approche rigoureuse de l’évaluation d’un produit et qu’il existe des processus en place pour assurer une performance continue une fois le produit est sur le marché.
Nous avons la responsabilité de faire en sorte que ces produits soient corrects afin de ne pas compromettre les progrès vers l’avant. Nous tous dans cette salle prenons cette responsabilité au sérieux. Quelques produits peu performants nous feront reculer, a-t-elle ajouté.
Jump, qui travaille dans le domaine de la santé numérique depuis plus d’une décennie, a ajouté qu’elle avait vu la FDA devenir plus à l’aise avec les logiciels. Par exemple, la FDA n’était initialement pas à l’aise avec les mises à jour à distance, mais maintenant, ils disent : pourquoi ne faites-vous pas de mises à jour logicielles à distance ? dit-elle.
Mais ce avec quoi la FDA pourrait ne pas être à l’aise pourrait être le raisonnement derrière un produit, a-t-elle déclaré. Si c’est nouveau et innovant. . . mettez-vous à l’aise pour expliquer ce que vous faites. En ce qui concerne l’IA, par exemple, la FDA craint de voir des choses entrer dans une boîte noire et sortir avec une réponse, a-t-elle expliqué. Ils ne comprennent pas ce qui pourrait changer et qui entraînerait une décision inattendue à laquelle les cliniciens font confiance.
Pavlovic et Jump ont également partagé quelques premiers commentaires sur le tout nouveau projet de directives d’avril 2022 sur la cybersécurité, qui est beaucoup plus long que les directives de 2014. Cela peut effrayer les gens. . . mais c’est une bénédiction déguisée, a déclaré Jump. Suivez ce que disent ces conseils, car c’est ce qu’ils vont demander. . . ils demandent déjà [it].
Par exemple, tout comme les entreprises de dispositifs médicaux doivent gérer les risques en fonction d’autres réglementations, l’agence s’attend désormais à une modélisation des menaces, a-t-elle expliqué.
Obtenez vos commentaires maintenant, Jump ajouté. Je ne pense pas qu’ils vont beaucoup changer. Saïd Pavlovic : C’est très cohérent avec ce qu’ils ont dit.
Jump a souligné quelques nouveaux termes dans les directives, tels que le cadre de développement de produits logiciels (SPDF). Vous devriez avoir un processus de conception sécurisé qui est un nouveau nom pour un ancien concept. Une bonne conception sécurisée est beaucoup plus efficace que d’entrer et de corriger constamment des choses. La FDA veut vraiment pousser de meilleures approches de conception sécurisées.
Elle a également clarifié la portée de l’approche réglementaire de la FDA. Vous n’avez pas besoin d’être un produit connecté pour être applicable à la cybersécurité s’il dispose d’un logiciel ou d’une logique programmable, vous êtes sous le champ d’application des directives. Elle a également ajouté que si une entreprise soumet une modification au matériel, la FDA peut toujours poser des questions sur la cybersécurité.