IA, ML et cybersécurité : voici ce que la FDA pourrait bientôt demander

Regarder ce webinaire

La FDA a publié un certain nombre de documents qui pourraient aider à clarifier ses attentes en matière d’intelligence artificielle, d’apprentissage automatique et de cybersécurité. Il s’agit notamment du plan d’action sur les logiciels basés sur l’intelligence artificielle/l’apprentissage automatique (AI/ML) en tant que dispositif médical (SaMD), publié en janvier 2021 ; Good Machine Learning Practice for Medical Device Development : Guiding Principles, publié en octobre 2021 ; et le projet de directives qui vient d’être publié, Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions.

Michelle Jump, vice-présidente des services de sécurité pour Medsec ; et Yarmela Pavlovic, vice-présidente de la stratégie réglementaire de Medtronic, ont exploré ces documents lors de la session IME West 2022 du 12 avril, « Product Development Innovation in an Age of Regulatory Uncertainty ».

Le plan d’action AI/ML fournit un « cadre réglementaire plus adapté pour AI/ML », a expliqué Pavlovic. Elle a fait référence au document de discussion de la FDA de 2019, Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) – Discussion Paper and Request for Feedback, qui a défini un « cycle de vie total du produit approche des réglementations AI/ML en sachant que les produits AI/ML peuvent être itérés beaucoup plus efficacement et rapidement qu’un produit d’implant de dispositif médical typique ou quelque chose qui n’est pas basé sur un logiciel. C’est « parce qu’il est possible d’ajouter des données supplémentaires aux ensembles de formation sur lesquels les produits ont été formulés à l’origine », a-t-elle déclaré.

La clé de l’approche du cycle de vie total du produit est « un plan de contrôle des modifications prédéterminé » (PCCP), qui décrit « tous les types de modifications que le fabricant a l’intention d’apporter au produit dans un avenir prévisible, ainsi que les protocoles, les critères de réussite et les ensembles de données qu’ils utiliser pour évaluer les performances de ces produits », a-t-elle expliqué.

En répondant à une question du public sur les PCCP, Pavlovic a expliqué que «lorsque vous pensez à formuler un plan, vous devez commencer par à quoi ressemble le package de test que vous prévoyez de donner à la FDA. Le niveau de détail du PCCP correspondra au niveau de détail du protocole et des rapports de test de votre package de départ. Ce que vous ferez à l’avenir pour valider un produit découle de ce que vous avez fait en premier lieu. Et puis les types de changements que vous décrivez peuvent justifier des types de tests supplémentaires ou différents, alors réfléchissez aux questions scientifiques clés qui sont posées par ces changements et comment pouvez-vous superposer le bon niveau de preuve pour être à l’aise.

Le Medical Device Innovation Consortium a une verticale de santé numérique avec un flux de travail cherchant à créer des exemples de PCCP, a-t-elle ajouté.

Le plan d’action AI / ML comprend également de bonnes pratiques d’apprentissage automatique (GMLP), telles qu’avoir «une bonne hygiène autour des ensembles de données et des pratiques de gestion des données» ainsi que «des processus pour continuer à se renseigner sur le produit tel qu’il est utilisé dans la pratique commerciale pour assurez-vous de continuer à comprendre les performances de votre produit », a expliqué Pavlovic.

En outre, « le biais et la robustesse algorithmiques sont un domaine pour le développement ultérieur de la science réglementaire », a-t-elle déclaré. L’objectif serait de s’assurer que « la performance du produit est représentative de la population d’utilisation prévue et que nous n’avons pas de conséquences involontaires de l’utilisation de nos produits en raison de biais présents en raison de la façon dont ils ont été formés ou des choix d’ensembles de données .”

La performance dans le monde réel est le dernier élément du plan, a-t-elle déclaré, qui est l’idée que les entreprises « surveillent les performances du produit dans la nature, comme en utilisation clinique ». Mais il est complexe d’avoir des « accords de partage d’informations avec les clients », a-t-elle déclaré, il peut donc être nécessaire de trouver d’autres moyens de collecter ces données.

Répondant à une question du public sur la position de la FDA envers l’IA, Pavlovic a déclaré qu’il est important que les entreprises indiquent clairement à la FDA qu’elles « adoptent une approche rigoureuse de l’évaluation d’un produit » et qu’il existe « des processus en place pour assurer une performance continue ». une fois que le produit est sur le marché.

« Nous avons la responsabilité d’obtenir ces bons produits afin de ne pas compromettre les progrès vers l’avant. Nous tous dans cette salle prenons cette responsabilité au sérieux. Quelques produits peu performants nous feront reculer », a-t-elle ajouté.

Jump, qui travaille dans le domaine de la santé numérique depuis plus d’une décennie, a ajouté qu’elle avait vu la FDA devenir plus à l’aise avec les logiciels. Par exemple, la FDA n’était initialement pas à l’aise avec les mises à jour à distance, mais maintenant « ils disent : ‘Pourquoi ne faites-vous pas de mises à jour logicielles à distance ?’ dit-elle.

Mais ce avec quoi la FDA pourrait ne pas être à l’aise pourrait être le raisonnement derrière un produit, a-t-elle déclaré. « Si c’est nouveau et innovant. . . mettez-vous à l’aise pour expliquer ce que vous faites. En ce qui concerne l’IA, par exemple, la FDA craint « qu’ils voient des choses entrer dans une boîte noire et sortir avec une réponse », a-t-elle expliqué. « Ils ne comprennent pas ce qui pourrait changer et qui entraînerait une décision inattendue à laquelle les cliniciens font confiance. »

Pavlovic et Jump ont également partagé quelques premiers commentaires sur le tout nouveau projet de directives d’avril 2022 sur la cybersécurité, qui est beaucoup plus long que les directives de 2014. « Cela peut effrayer les gens. . . mais c’est une bénédiction déguisée », a déclaré Jump. « Suivez ce que disent ces conseils, car c’est ce qu’ils vont demander. . . ils demandent déjà [it].”

Par exemple, tout comme les entreprises de dispositifs médicaux doivent gérer les risques en fonction d’autres réglementations, l’agence s’attend désormais à une modélisation des menaces, a-t-elle expliqué.

« Obtenez vos commentaires maintenant », a ajouté Jump. « Je ne pense pas qu’ils vont beaucoup changer. » Pavlovic a déclaré: « C’est très cohérent avec ce qu’ils ont dit. »

Jump a souligné quelques nouveaux termes dans les directives, tels que le cadre de développement de produits logiciels (SPDF). « Vous devriez avoir un processus de conception sécurisé, qui est un nouveau nom pour un ancien concept. Une bonne conception sécurisée est beaucoup plus efficace que d’entrer et de corriger constamment des choses. La FDA veut vraiment pousser des approches de conception meilleures et sécurisées.

Elle a également clarifié la portée de l’approche réglementaire de la FDA. « Vous n’avez pas besoin d’être un produit connecté pour être applicable à la cybersécurité – s’il dispose d’un logiciel ou d’une logique programmable, vous êtes sous le coup des directives. » Elle a également ajouté que si une entreprise soumet une modification au matériel, la FDA peut toujours poser des questions sur la cybersécurité.