디지털의료제품법 9

한 걸음 모자란 CMMI, ‘Goal Not Met’이 던지는 진짜 메시지

CMMI(Capability Maturity Model Integration)는 조직의 프로세스 역량을 객관적으로 평가하기 위한 국제적 표준입니다. 의료기기 산업에서도 품질경영시스템(QMS)과 개발 프로세스의 체계화를 위해 CMMI를 도입하는 사례가 점점 늘고 있습니다. 그러나 실제 평가 과정에서 많은 기업이 경험하는 좌절의 순간이 있습니다. 바로 “Goal Not Met”이라는 판정입니다. CMMI 평가의 기본 구조를 살펴보면, 각 성숙도 레벨(Maturity Level)은 여러 프로세스 영역(Process Area, PA)으로 구성되고, 각 영역은 특정 목표(Specific Goal, SG)와 공통 목표(Generic Goal, GG)로 나뉩니다. 평가자는 각 목표를 달성했는지 여부를 판단하여 ‘Go..

프로젝트의 완성은 ‘제품’에서 증명됩니다 - CMMI와 SaMD의 교차점

의료기기 산업에서 CMMI(Capability Maturity Model Integration)는 흔히 ‘프로세스 성숙도 모델’로 불립니다. 이는 조직이 프로젝트를 얼마나 체계적으로 수행하고 관리하는지를 평가하는 틀로, 예측 가능한 품질과 일정 준수를 보장하기 위해 설계되었습니다. 반면 SaMD(Software as a Medical Device)는 규제적 관점에서 ‘제품’ 자체의 안전성과 성능을 보장하는 것이 핵심입니다. 겉으로 보기엔 두 개념이 서로 다른 방향을 가리키는 것처럼 보이지만, 실제로는 하나의 목적—‘신뢰할 수 있는 의료 소프트웨어 제품의 지속적 제공’—으로 수렴합니다. CMMI가 다루는 ‘프로젝트’는 전술적(Tactical) 수준에서의 실행 단위입니다. 예를 들어, SaMD의 버전 1.0..

인증의 명패가 아니라, 체계의 증거다 – 의료기기 산업과 SP인증의 진정한 의미

소프트웨어 프로세스 품질인증, 즉 SP인증은 단순한 자격증이나 명패가 아닙니다. 이는 조직이 소프트웨어를 개발할 때 얼마나 일관되고 신뢰성 있는 체계를 갖추고 있는지를 국가가 공식적으로 인정해 주는 제도입니다. 의료기기 분야처럼 생명과 안전이 직결된 산업에서는 그 의미가 더욱 큽니다. SP인증의 근본 목적은 기업의 소프트웨어 개발 역량을 객관적으로 평가하고, 그 수준을 제도적으로 보증하는 데 있습니다. 특히 의료기기 소프트웨어의 경우, 개발 과정의 추적성(traceability), 형상관리(configuration management), 검증(validation) 및 위험관리(risk management) 등이 국제 규제 기준(예: ISO 13485, IEC 62304)과 긴밀히 연계되어 있기 때문에 S..

SPICE, 의료기기 소프트웨어 품질을 증명하는 보이지 않는 설계도

소프트웨어 공학에서 SPICE(Software Process Improvement and Capability dEtermination)는 단순한 프로세스 평가 도구가 아니라, 품질을 구조적으로 담보하기 위한 국제 표준 체계입니다. 특히 의료기기 산업에서는 이 표준이 단순한 선택이 아닌 필수 요소로 자리 잡고 있습니다. 의료기기 소프트웨어의 오류는 환자의 안전과 직결되기 때문에, 개발 과정의 신뢰성과 추적 가능성이 법적 요구사항 수준으로 관리되어야 합니다. SPICE는 ISO/IEC 15504에서 출발하여 현재 ISO/IEC 330xx 시리즈로 발전했으며, 프로세스의 성숙도를 객관적으로 평가할 수 있는 기준을 제공합니다. 의료기기 분야에서는 이를 기반으로 IEC 62304(의료기기 소프트웨어 생명주기 프로..

의료기기 개발, CMMI는 단순한 인증이 아니라 ‘프로세스의 근육’을 키우는 일!

의료기기 산업에서 품질과 신뢰성은 생명과 직결됩니다. 이러한 산업적 특성 속에서 조직의 개발 역량을 객관적으로 평가하고 지속적으로 개선하기 위한 도구로 CMMI(Capability Maturity Model Integration)는 중요한 의미를 가집니다. 많은 기업이 이를 ‘인증’으로만 인식하지만, 실제로는 조직의 개발 프로세스를 성숙하게 만드는 ‘경영 시스템’에 가깝습니다. CMMI는 미국 카네기 멜런 대학 소프트웨어공학연구소(SEI)가 국방성의 의뢰로 개발한 모델로, 현재는 소프트웨어뿐 아니라 의료기기, 항공, 국방, 자동차 등 다양한 분야에서 활용되고 있습니다. 특히 ISO 13485와 같은 품질경영시스템(QMS)과 병행할 때, 의료기기 개발 프로세스의 예측 가능성과 규제 대응력을 극대화할 수 있..

심사가 필요한 디지털의료기기소프트웨어 변경사항

디지털의료기기 소프트웨어는 특성상 지속적인 업데이트와 개선이 이루어집니다. 개발자에게는 자연스러운 개선일 수 있지만, 규제 관점에서는 작은 수정 하나가 허가사항 변경으로 이어질 수 있습니다. 실제로 많은 제조사가 “기능 개선” 또는 “운영환경 업데이트” 정도로 생각했던 변경이 규제상 변경허가 또는 변경신고 대상이 되는 사례가 반복적으로 발생합니다. 문제는 대부분의 변경이 기술적으로는 작아 보이지만, 안전성·유효성 또는 사용적합성에 영향을 줄 가능성이 있는지 여부로 판단된다는 점입니다. 디지털의료기기 소프트웨어에서 가장 대표적인 변경은 성능 또는 기능의 변화입니다. 예를 들어 진단 보조 기능이 추가되거나, 기존 알고리즘의 판단 기준이 조정되거나, 새로운 분석 지표가 도입되는 경우에는 단순한 기능 개선으로 ..

SaMD RA, 개발자와 같은 언어를 쓰고 있을까?

의료기기 분야에서 AI 기반 기술의 도입은 이미 필연적인 흐름이 되었습니다. 그러나 현장의 규제 담당자(RA) 입장에서 보면, 여전히 개발팀과의 언어적 간극이 큽니다. 특히 AI 모델 검증, 소프트웨어 툴 체인, Docker 등 기술적 개념은 단순히 ‘검토 대상 문서’로만 보기 어렵습니다. RA가 이해하지 못한 기술은 곧 ‘리스크’가 되기 때문입니다. 최근 AI 의료기기 허가를 추진하는 과정에서 느낀 점은, 개발팀이 사용하는 툴과 검증 방법론을 RA가 직접 이해해야 한다는 점입니다. 단순히 제출용 문서에 의존해서는 실제 구현 수준의 안전성과 성능을 제대로 설명할 수 없습니다. 예를 들어 Docker나 SaMD(SW as a Medical Device) 환경에서의 재현성, 검증 로그 관리, 버전 관리 체계..

SaMD 품질관리 - 혁신은 기술이 아니라 절차에서 시작된다

의료기기 산업, 특히 인공지능 기반 소프트웨어 의료기기(SaMD) 분야는 최근 몇 년간 폭발적인 성장을 이어가고 있습니다. 그러나 기술적 혁신의 속도와 달리, 그 기반이 되는 품질관리(QMS)와 문서화 체계의 성숙도는 여전히 걸음마 단계에 머물러 있습니다. 현장에서 혁신의 간판을 내건 기업조차, 국제 표준과 식약처 심사체계가 요구하는 수준의 프로세스를 제대로 이해하지 못하는 경우가 많습니다. 실제 심사 현장에서 자주 마주치는 문제는 단순합니다. 기업은 “ISO 62304를 준수한다”고 말하지만, 개발 문서에는 그 흔적이 없습니다. 요구사항 명세서에는 기능만 적혀 있고, 위험관리 문서에는 인공지능 모듈의 편향성이나 데이터 관리 절차가 빠져 있습니다. 개발자는 클래스 다이어그램 없이 ERD만 제출하고, RA..

디지털 헬스케어 시대, 소프트웨어 의료기기의 규제 방향 (PCCP, DMHT)

디지털 헬스케어와 인공지능(AI)의 발전은 의료기기 분야의 패러다임을 크게 변화시키고 있습니다. 특히 소프트웨어가 단독으로 의료기기로 기능할 수 있는 소프트웨어 의료기기(SaMD)와, 인공지능을 기반으로 한 AI 의료기기(AIaMD)는 기존 하드웨어 중심의 규제 체계로는 충분히 관리하기 어려운 새로운 도전 과제를 제시하고 있습니다. 소프트웨어 의료기기는 진단, 치료, 예후 예측 등 환자의 건강에 직접적인 영향을 미칠 수 있으므로, 기기의 안전성·유효성뿐만 아니라 알고리즘의 투명성(설명 가능성 및 해석 가능성)과 성능 유지 관리가 중요합니다. 특히 AI의 적응적 특성(재학습)은 예측 불가능한 변화로 이어질 수 있으므로, MHRA, FDA, Health Canada는 PCCP(사전변경관리계획) 개념을 도입..