Nouveauté ! Développez votre produit SxMD avec un eQMS structuré comprenant des modèles SxMD prêts à être audités et conformes aux normes EU et US. En savoir plus !
Modèles essentiels pour la gestion des risques liés à l'IA au sein de votre QMS ou ALM
Gérer efficacement les risques des logiciels de dispositifs médicaux pour l'IA nécessite une approche structurée. Pour standardiser ce processus, nous avons créé un modèle flexible de gestion des risques liés à l'IA. Ce modèle est principalement basé sur l'EU AI Act, avec des orientations provenant des normes ISO. Étant donné que les normes ISO ne sont pas encore harmonisées avec l'EU AI Act, notre approche assure la conformité avec les réglementations actuelles tout en intégrant les meilleures pratiques des cadres de gestion des risques établis. Ces normes offrent des perspectives et des méthodologies précieuses pour la gestion des risques.
Comparaison de l'ISO 14971 avec l'EU AI Act/ISO 23894/ISO 31000
Pour comprendre les différences et les aspects uniques de ces normes, comparons l'ISO 14971 avec l'EU AI Act, l'ISO 23894 et l'ISO 31000.
| ISO 14971 | vs | AI Act/ISO 23894/ISO 31000 |
|---|---|---|
| Objectif : Dispositifs médicaux | Objectif : Droits fondamentaux, santé et sécurité, et environnement | |
| Mesures de contrôle des risques : Détermination des mesures appropriées pour réduire les risques à un niveau acceptable | Options de traitement des risques : Comprend la détermination des options de traitement des risques avec une possibilité d'augmenter le risque pour saisir des opportunités | |
| Objectif : Se concentre principalement sur la minimisation des risques pour la santé et la sécurité | Objectif : Se concentre plus largement sur la protection des droits fondamentaux et de l'environnement, ainsi que sur la santé et la sécurité |
Principales différences
Portée de l'accent
ISO 14971 : Se concentre uniquement sur la santé et la sécurité, crucial pour les dispositifs médicaux et les technologies connexes.
EU AI Act/ISO 23894/ISO 31000 : Étend la portée pour inclure les droits fondamentaux et les considérations environnementales, reflétant une approche plus holistique de la gestion des risques.
Approche de la gestion des risques
ISO 14971 : Met l'accent sur les mesures de contrôle des risques pour garantir que les risques sont réduits à des niveaux acceptables.
EU AI Act/ISO 23894/ISO 31000 : Introduit des options de traitement des risques, permettant une approche équilibrée qui envisage d'augmenter les risques pour des opportunités potentielles, à condition qu'ils soient gérés de manière responsable.
En intégrant ces perspectives diverses, notre modèle de gestion des risques liés à l'IA offre un cadre complet et adaptable qui s'aligne avec les dernières exigences réglementaires et les meilleures pratiques de l'industrie.
Comprendre le processus de gestion des risques pour les logiciels de dispositifs médicaux
Le processus de gestion des risques pour les logiciels de dispositifs médicaux est crucial pour assurer la sécurité et l'efficacité des logiciels dans un environnement hautement réglementé. Voici un aperçu détaillé des étapes impliquées :
Déterminer les objectifs et les sources de risques
Objectifs : Établir des objectifs clairs pour le système d'IA, en se concentrant sur la sécurité des patients, la conformité réglementaire et la fonctionnalité.
Sources de risques : Identifier les sources potentielles de risques, telles que les bogues logiciels, les menaces de cybersécurité, les erreurs des utilisateurs et les facteurs environnementaux.
Identifier les risques et sélectionner les options de contrôle/traitement
Identifier les risques : Réaliser une évaluation approfondie des risques pour identifier les risques spécifiques associés au SaMD. Utiliser des outils comme l'analyse des modes de défaillance et de leurs effets (FMEA) ou l'analyse de l'arbre de défaillance (FTA).
Sélectionner les options de contrôle/traitement : Développer des mesures de contrôle des risques pour atténuer les risques identifiés. Les options peuvent inclure des mises à jour logicielles, la formation des utilisateurs ou l'ajout de systèmes redondants.
Évaluer l'efficacité des contrôles de risques
Attribuer un propriétaire du risque : Désigner un responsable du risque pour superviser la mise en œuvre des contrôles des risques.
Vérifier l'efficacité : Surveiller et évaluer en continu l'efficacité des mesures de contrôle des risques par le biais de tests, de retours d'expérience et de mesures de performance.
Décider de l'acceptation des risques et de la surveillance continue
Acceptation des risques : Décider si le risque résiduel est acceptable. Sinon, réévaluer les mesures de contrôle.
Surveillance continue : Surveiller en continu les risques et les mesures de contrôle, en mettant à jour le plan de gestion des risques au besoin. Revoir et analyser régulièrement les données pour assurer la conformité et la sécurité en cours.
Règlements, normes et orientations référencés dans le modèle de gestion des risques liés à l'IA
Les modèles fournissent une démonstration pratique de la manière dont un système de gestion des risques peut être configuré, organisé et utilisé par des organisations impliquant des systèmes d'IA à haut risque. Il comprend l'identification, l'analyse et le traitement des risques qu'un système d'IA à haut risque pourrait poser aux droits fondamentaux, à la santé et à la sécurité, et à l'environnement lorsqu'il est utilisé conformément à son objectif.
Principaux règlements et normes
EU AI Act - Acte sur l'intelligence artificielle de l'UE (position adoptée par le Parlement européen en première lecture le 13 mars 2024).
ISO 31000:2017 - Gestion des risques - Lignes directrices
ISO/IEC 23894:2023 - Technologies de l'information - Intelligence artificielle - Lignes directrices sur la gestion des risques.
Règlements et normes de soutien
Charte des droits fondamentaux de l'Union européenne (2012/C 326/02)
Déclaration européenne sur les droits et principes numériques (26 janvier 2022)
Lignes directrices éthiques pour une IA de confiance développées par le groupe d'experts de haut niveau sur l'intelligence artificielle (AI HLEG) nommé par la Commission européenne
ISO/IEC 42001:2023 - Technologies de l'information - Intelligence artificielle - Système de gestion
ISO/IEC TR 24027:2021 - Technologies de l'information - Intelligence artificielle (IA) - Biais dans les systèmes d'IA et aide à la décision par l'IA.
Que comprennent les modèles de gestion des risques liés à l'IA proposés par Matrix ?
Les modèles de gestion des risques liés à l'IA font référence à des outils et pratiques pour protéger de manière proactive les organisations et les utilisateurs finaux contre les risques spécifiques de l'IA. Ils incluent des catégories telles que législation, orientations, objectifs, sources de risques, risques, contrôles des risques, cas de test, tests, procédures opérationnelles standard et examens. Pour minimiser la courbe d'apprentissage, Matrix Requirements maintient la même structure que les autres modèles proposés.
Voici un aperçu des catégories et modèles inclus par défaut :
Catégories de gestion des risques liés à l'IA
Législation
Fournit une liste structurée de la législation pertinente. Vous pouvez ajouter d'autres législations auxquelles votre organisation doit se conformer. Cette catégorie permet une analyse des écarts de la législation pertinente liée aux systèmes de gestion des risques liés à l'IA.
Orientations
Offre une liste structurée de normes et de cadres qui guident la mise en œuvre et l'intégration efficaces de la gestion des risques liés à l'IA dans les activités et fonctions liées à l'IA de votre organisation. Comme pour la catégorie législation, vous pouvez ajouter d'autres orientations, normes et cadres au besoin, et effectuer une analyse des écarts.
Objectifs
Cette catégorie comprend des objectifs spécifiques aux systèmes d'IA, divisés en trois sous-catégories : légalité, objectifs éthiques, et fiabilité et robustesse. Ces objectifs couvrent la conformité aux lois et règlements, le respect des principes éthiques tels que l'équité et la confidentialité, et la garantie de la fiabilité et de la robustesse techniques.
Sources de risques
Inclut des sources de risques prédéfinies basées sur l'ISO/IEC 23894, avec des entrées pour identifier les sources de risques liées à la législation, aux orientations, aux objectifs et aux risques associés. Les sources de risques peuvent être étendues en fonction de la nature du système d'IA.
Risques
Couvre les risques basés sur l'article 9 de l'AI Act, y compris le risque de l'objectif prévu, les risques émergents, et les risques de surveillance post-marché. Le modèle inclut des formules pour calculer les scores de risque initial et résiduel, et offre des options de traitement des risques pouvant être personnalisées.
Le modèle comprend des risques prédéfinis avec des formules pour calculer le score de risque initial, ajoutant une autre couche à une formule de risque standard pour inclure la source du risque. Une fois le risque initial calculé, vous pouvez passer aux options de traitement des risques et ajouter votre contrôle des risques pour calculer le risque résiduel, qui peut être plus élevé ou plus bas. Le modèle propose 8 options de traitement des risques par défaut avec la possibilité pour vous de modifier ou d'en ajouter de nouvelles qui s'alignent mieux avec votre cas d'utilisation commerciale.
Contrôles des risques
Permet d'ajouter le statut de l'application des contrôles des risques, y compris les actions à entreprendre, les ressources nécessaires, les dates d'exécution prévues, les preuves des actions entreprises et les actions supplémentaires pour modifier la probabilité ou la gravité du dommage.
Cas de test
Documente les résultats des tests des cas de test sélectionnés, y compris les descriptions, les versions, les testeurs, les dates des tests, les résultats des exécutions des tests, les étapes des cas de test et les commentaires avec des liens, des images ou du code.
Exécution des tests
La catégorie d'exécution des tests ou XTC est destinée à montrer le résultat des tests sur les cas de test sélectionnés. Comme les XTC standards, ils incluent une description, une version, un testeur, une date de test, les résultats des exécutions de tests, les étapes des cas de test et un champ de commentaire où vous pouvez inclure des liens, des images, du code ou tout autre élément que vous souhaitez ajouter pour prouver le cas de test.
Modèles de documents
Le modèle de gestion des risques liés à l'IA comprend des modèles pré-structurés pour la gestion des risques liés à l'IA, tels que :
Évaluation de l'impact sur les droits fondamentaux (FRIA) : Assure que votre système d'IA respecte les droits humains fondamentaux, en accord avec des règlements comme l'EU AI Act.
Sources de risques spécifiques au système d'IA : Identifie les risques potentiels uniques à votre système d'IA, permettant des stratégies de mitigation des risques ciblées.
Politique d'IA : Établit un cadre clair pour l'utilisation de l'IA au sein de votre organisation, garantissant que toutes les parties prenantes comprennent les directives et les exigences de conformité.
Rapport de gestion des risques liés à l'IA : Fournit une analyse détaillée des risques identifiés et des mesures prises pour les traiter, favorisant la transparence et la prise de décision éclairée.
Plan de traitement des risques liés à l'IA : Offre une approche structurée pour traiter et gérer les risques, y compris des options pour la réduction des risques, l'acceptation ou même la prise de risques calculés pour saisir des opportunités.
Rôles et responsabilités : Définit clairement qui est responsable de chaque aspect de la gestion des risques, assurant la responsabilité et la mise en œuvre efficace des contrôles des risques.
En exploitant des modèles de documents pré-structurés, vous économisez du temps et des ressources car vous n'avez pas à repartir de zéro. Votre organisation peut être confiante que vous avez couvert tous les aspects de la gestion des risques, travaillé avec des modèles alignés sur des normes telles que l'EU AI Act et les orientations ISO pour assurer la conformité, et fourni une documentation claire et cohérente qui aide les équipes à mieux comprendre et gérer les risques liés à l'IA.
À qui s'adressent les modèles de gestion des risques liés à l'IA ?
L'EU AI Act s'applique à toute entreprise impliquée dans la fabrication de systèmes d'IA à haut risque. En raison de l'AI Act, les entreprises doivent effectuer des évaluations de conformité, dont l'un est le système de gestion des risques applicable à toutes les organisations, pas seulement aux entreprises de dispositifs médicaux.
Ces modèles sont pertinents pour :
Fournisseurs : Ceux qui développent le système.
Utilisateurs : Référés comme « déployeurs ».
Importateurs : Entités introduisant des systèmes d'IA sur le marché.
Distributeurs : Ceux qui distribuent des systèmes d'IA.
Fabricants : Entreprises fabriquant des systèmes d'IA.
Commencer avec la gestion des risques liés à l'IA
Le modèle comprend un manuel du modèle de gestion des risques liés à l'IA avec des instructions pour la configuration et l'utilisation du modèle, assurant une utilisation correcte. Il inclut également des textes d'aide pour les zones nécessitant une personnalisation avec vos propres informations et des exemples pour illustrer le niveau de détail requis pour la conformité.
Pour en savoir plus sur les modèles de gestion des risques liés à l'IA pour les logiciels de dispositifs médicaux, contactez-nous pour demander une démo avec un expert produit qui pourra vous montrer comment Matrix Requirements peut vous aider à mettre votre dispositif médical sur le marché plus rapidement.