為進(jìn)一步規(guī)范醫(yī)療器械軟件注冊(cè)的管理,國家藥監(jiān)局器審中心組織制定了醫(yī)療器械軟件注冊(cè)審查指導(dǎo)原則(2022年修訂版)(2022年第9號(hào)),并與2022年3月9日發(fā)布。
為進(jìn)一步規(guī)范醫(yī)療器械軟件注冊(cè)的管理,國家藥監(jiān)局器審中心組織制定了醫(yī)療器械軟件注冊(cè)審查指導(dǎo)原則(2022年修訂版)(2022年第9號(hào)),并與2022年3月9日發(fā)布。
醫(yī)療器械軟件注冊(cè)審查指導(dǎo)原則
(2022年修訂版)
本指導(dǎo)原則旨在指導(dǎo)注冊(cè)申請(qǐng)人規(guī)范醫(yī)療器械軟件生存周期過程和準(zhǔn)備醫(yī)療器械軟件注冊(cè)申報(bào)資料,同時(shí)規(guī)范醫(yī)療器械軟件的技術(shù)審評(píng)要求,為醫(yī)療器械軟件、質(zhì)量管理軟件的體系核查提供參考。
本指導(dǎo)原則是對(duì)醫(yī)療器械軟件的一般要求,注冊(cè)申請(qǐng)人需根據(jù)產(chǎn)品特性和風(fēng)險(xiǎn)程度確定本指導(dǎo)原則具體內(nèi)容的適用性,若不適用詳述理由。注冊(cè)申請(qǐng)人亦可采用其他符合法規(guī)要求的替代方法,但需提供詳盡研究資料。
本指導(dǎo)原則是在現(xiàn)行法規(guī)、強(qiáng)制性標(biāo)準(zhǔn)體系以及當(dāng)前科技能力、認(rèn)知水平下制定的,隨著法規(guī)、強(qiáng)制性標(biāo)準(zhǔn)體系的不斷完善以及科技能力、認(rèn)知水平的不斷發(fā)展,本指導(dǎo)原則相關(guān)內(nèi)容也將適時(shí)調(diào)整。
本指導(dǎo)原則作為注冊(cè)申請(qǐng)人、審評(píng)人員和檢查人員的指導(dǎo)性文件,不包括審評(píng)審批所涉及的行政事項(xiàng),亦不作為法規(guī)強(qiáng)制執(zhí)行,應(yīng)在符合法規(guī)要求的前提下使用本指導(dǎo)原則。
本指導(dǎo)原則是數(shù)字醫(yī)療(Digital Health)指導(dǎo)原則體系的基礎(chǔ)指導(dǎo)原則,亦是醫(yī)療器械軟件的通用指導(dǎo)原則,其他含有或涉及軟件的醫(yī)療器械指導(dǎo)原則可在本指導(dǎo)原則基礎(chǔ)上進(jìn)行有針對(duì)性的調(diào)整、修改和完善。
一、適用范圍
本指導(dǎo)原則適用于醫(yī)療器械軟件的注冊(cè)申報(bào),包括第二、三類獨(dú)立軟件和含有軟件組件的醫(yī)療器械(包括體外診斷醫(yī)療器械);適用于自研軟件、現(xiàn)成軟件的注冊(cè)申報(bào)。
本指導(dǎo)原則也可用作醫(yī)療器械軟件、質(zhì)量管理軟件的體系核查參考。
二、主要概念
(一)醫(yī)療器械軟件
醫(yī)療器械軟件包括本身即為醫(yī)療器械的軟件或者醫(yī)療器械內(nèi)含的軟件,前者即醫(yī)療器械獨(dú)立軟件(簡稱獨(dú)立軟件),后者即醫(yī)療器械軟件組件(簡稱軟件組件),詳見圖1。
獨(dú)立軟件(SaMD)是指具有一個(gè)或多個(gè)醫(yī)療目的/用途,無需醫(yī)療器械硬件即可完成自身預(yù)期用途,運(yùn)行于通用計(jì)算平臺(tái)的軟件[1]。通用計(jì)算平臺(tái)滿足信息技術(shù)設(shè)備安全要求(含電磁兼容),符合GB 4943.1、GB/T 9254等標(biāo)準(zhǔn)。
獨(dú)立軟件可分為通用型獨(dú)立軟件和專用型獨(dú)立軟件,前者通?;谕ㄓ脭?shù)據(jù)接口與多個(gè)醫(yī)療器械聯(lián)合使用,如醫(yī)學(xué)圖像處理軟件、患者監(jiān)護(hù)軟件;后者基于通用、專用數(shù)據(jù)接口與特定醫(yī)療器械聯(lián)合使用,可視為醫(yī)療器械附件,如動(dòng)態(tài)心電數(shù)據(jù)分析軟件、眼科顯微鏡圖像處理軟件。
軟件組件(SiMD)是指具有一個(gè)或多個(gè)醫(yī)療目的/用途,控制/驅(qū)動(dòng)醫(yī)療器械硬件或運(yùn)行于醫(yī)用計(jì)算平臺(tái)的軟件。醫(yī)用計(jì)算平臺(tái)滿足醫(yī)用電氣設(shè)備(GB 9706系列)、實(shí)驗(yàn)室用電氣設(shè)備(GB 4793系列)或有源植入式醫(yī)療器械(GB 16174系列)等安全要求(含電磁兼容);醫(yī)用計(jì)算平臺(tái)可與通用計(jì)算平臺(tái)聯(lián)合使用構(gòu)成系統(tǒng),整體視為醫(yī)用計(jì)算平臺(tái)。
獨(dú)立軟件作為醫(yī)療器械或醫(yī)療器械附件,通常單獨(dú)注冊(cè),特殊情況可隨醫(yī)療器械進(jìn)行注冊(cè),此時(shí)雖不控制/驅(qū)動(dòng)醫(yī)療器械硬件但從產(chǎn)品角度運(yùn)行于醫(yī)用計(jì)算平臺(tái),故視為軟件組件,如專用型獨(dú)立軟件可作為附件隨醫(yī)療器械進(jìn)行注冊(cè)。
軟件組件作為醫(yī)療器械或醫(yī)療器械部件、附件的組成部分,不宜單獨(dú)注冊(cè),需隨醫(yī)療器械進(jìn)行整體注冊(cè)。
(二)系統(tǒng)軟件、應(yīng)用軟件、中間件、支持軟件
系統(tǒng)軟件是指設(shè)計(jì)用于保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的軟件,如操作系統(tǒng)軟件、虛擬機(jī)軟件。應(yīng)用軟件是指設(shè)計(jì)用于實(shí)現(xiàn)計(jì)算機(jī)用戶特定需求的軟件,如瀏覽器軟件、數(shù)據(jù)庫軟件、安全軟件。中間件介于系統(tǒng)軟件和應(yīng)用軟件之間,依賴于系統(tǒng)軟件的支持,同時(shí)又為應(yīng)用軟件提供支持,如分布式計(jì)算平臺(tái)軟件。支持軟件是指設(shè)計(jì)用于開發(fā)、測試其他軟件的軟件,如軟件開發(fā)工具、軟件測試工具。
醫(yī)療器械軟件屬于應(yīng)用軟件,其正常運(yùn)行通常需要基于系統(tǒng)軟件,或同時(shí)需要應(yīng)用軟件(含其他醫(yī)療器械軟件)、中間件、支持軟件的支持。
有些注冊(cè)申請(qǐng)人會(huì)開發(fā)醫(yī)用中間件用作醫(yī)療器械軟件的公共支持平臺(tái),由于這些醫(yī)用中間件是醫(yī)療器械軟件正常運(yùn)行所必需的,故作為醫(yī)療器械軟件的組成部分予以考慮。
有些支持軟件(如VTK、ITK)自帶算法庫,醫(yī)療器械軟件開發(fā)過程已將算法庫相關(guān)內(nèi)容集成于自身內(nèi)部,故醫(yī)療器械軟件正常運(yùn)行需要這些支持軟件的支持。
本指導(dǎo)原則將醫(yī)療器械軟件正常運(yùn)行所必需的其他的醫(yī)療器械軟件及醫(yī)用中間件稱為必備軟件,而將其正常運(yùn)行所必需的系統(tǒng)軟件、通用應(yīng)用軟件、通用中間件、支持軟件統(tǒng)稱為外部軟件環(huán)境。必備軟件作為醫(yī)療器械軟件單獨(dú)注冊(cè),明確相互接口關(guān)系及技術(shù)特征即可。外部軟件環(huán)境不含必備軟件,亦非醫(yī)療器械軟件。
(三)軟件生存周期
軟件生存周期(又稱軟件生命周期)是指軟件系統(tǒng)從概念定義至停止使用的時(shí)間周期,包括軟件開發(fā)策劃、軟件需求分析、軟件設(shè)計(jì)、軟件編碼、軟件測試、軟件發(fā)布、軟件部署、軟件維護(hù)、軟件停運(yùn)等階段。其中,從軟件需求分析到軟件發(fā)布的時(shí)間周期稱為軟件開發(fā)生存周期。
軟件開發(fā)策劃主要確定軟件開發(fā)的目標(biāo)和可行性。軟件需求分析是將法規(guī)、標(biāo)準(zhǔn)、用戶、產(chǎn)品等要求轉(zhuǎn)換為軟件需求規(guī)范/軟件需求規(guī)格說明(SRS)。軟件設(shè)計(jì)是通過設(shè)計(jì)活動(dòng)將軟件需求規(guī)范轉(zhuǎn)換為軟件設(shè)計(jì)規(guī)范/軟件設(shè)計(jì)規(guī)格說明(SDS)。軟件編碼是通過編寫源代碼將軟件設(shè)計(jì)規(guī)范轉(zhuǎn)換為軟件系統(tǒng)。軟件測試是通過各類測試活動(dòng)保證軟件系統(tǒng)質(zhì)量。軟件發(fā)布是將軟件系統(tǒng)予以產(chǎn)品定型。軟件部署是指軟件系統(tǒng)的交付、安裝、設(shè)置和配置。軟件維護(hù)是對(duì)軟件系統(tǒng)發(fā)布后的更新需求予以實(shí)現(xiàn)。軟件停運(yùn)(即軟件退市)是指終止軟件系統(tǒng)的銷售和售后服務(wù),售后服務(wù)停止時(shí)間通常晚于停售時(shí)間。
軟件生存周期模型是指一組包含過程、活動(dòng)和任務(wù)的框架,跨越從軟件需求分析到軟件停運(yùn)的軟件生存周期過程,每個(gè)過程可細(xì)分為若干活動(dòng),每個(gè)活動(dòng)又可細(xì)分為若干任務(wù)。其中,軟件開發(fā)生存周期模型是軟件生存周期模型的重要組成部分,常見模型包括瀑布模型、迭代模型、增量模型、V模型等。
敏捷開發(fā)是以人為核心、迭代與增量相結(jié)合的軟件開發(fā)方法,常見軟件開發(fā)生存周期模型包括SCRUM、極限編程等。敏捷開發(fā)秉承四條理念:人員互動(dòng)勝于過程和工具,可用的軟件勝于詳盡的文檔,客戶合作勝于合同談判,響應(yīng)變化勝于遵循計(jì)劃。因此,使用敏捷開發(fā)應(yīng)兼顧質(zhì)量管理體系相關(guān)要求,重點(diǎn)關(guān)注軟件更新、文件與記錄等控制要求。
注冊(cè)申請(qǐng)人可結(jié)合軟件的產(chǎn)品特點(diǎn)、風(fēng)險(xiǎn)程度以及質(zhì)量管理體系要求,選擇適宜的軟件生存周期模型,參照相關(guān)國際、國家、行業(yè)標(biāo)準(zhǔn)建立相應(yīng)軟件生存周期過程。
(四)軟件測試、軟件驗(yàn)證、軟件確認(rèn)
軟件測試是軟件質(zhì)量保證的基本措施,也是軟件驗(yàn)證、軟件確認(rèn)的重要方法,從不同角度有不同分類方法。
從測試依據(jù)角度可分為黑盒測試和白盒測試。其中,黑盒測試是指基于輸入與輸出的測試,白盒測試是指基于源代碼的測試,黑盒測試與白盒測試可組合使用,即灰盒測試。白盒測試根據(jù)是否運(yùn)行源代碼又可分為靜態(tài)、動(dòng)態(tài)分析/測試。
從測試進(jìn)程角度可分為單元測試、集成測試、系統(tǒng)測試。其中,單元測試是對(duì)軟件單元進(jìn)行測試,通常采用白盒測試;集成測試是對(duì)軟件項(xiàng)(由若干軟件單元組成,即軟件模塊)進(jìn)行測試,白盒測試、黑盒測試、灰盒測試相結(jié)合;系統(tǒng)測試是對(duì)軟件系統(tǒng)(由若干軟件項(xiàng)組成)進(jìn)行測試,通常采用黑盒測試,其從測試內(nèi)容角度又可分為功能測試、性能測試、并發(fā)測試、壓力測試、接口測試、內(nèi)存測試、兼容性測試、用戶界面測試、安裝卸載測試、安全測試等。
從測試實(shí)施方角度可分為內(nèi)部測試、用戶測試、第三方測試。其中,內(nèi)部測試是指注冊(cè)申請(qǐng)人實(shí)施的測試,包括單元測試、集成測試、系統(tǒng)測試,白盒測試、黑盒測試、灰盒測試相結(jié)合;用戶測試是指預(yù)期用戶在真實(shí)或模擬使用場景對(duì)軟件系統(tǒng)進(jìn)行測試,采用黑盒測試;第三方測試是指第三方機(jī)構(gòu)對(duì)軟件系統(tǒng)進(jìn)行測試,通常采用黑盒測試。
回歸測試是指用于確定軟件更新沒有產(chǎn)生不良影響且未引入風(fēng)險(xiǎn)不可接受新缺陷的軟件測試?;貧w測試需根據(jù)軟件更新的類型、內(nèi)容和程度,開展與之相適宜的單元測試、集成測試、系統(tǒng)測試、用戶測試、第三方測試等測試活動(dòng)。
軟件驗(yàn)證是指通過提供客觀證據(jù)認(rèn)定軟件開發(fā)、軟件維護(hù)某一階段的輸出滿足輸入要求。軟件驗(yàn)證包括源代碼審核、靜態(tài)和動(dòng)態(tài)分析/測試、單元測試、集成測試、系統(tǒng)測試、設(shè)計(jì)評(píng)審等系列活動(dòng),是軟件確認(rèn)的基礎(chǔ)。
軟件確認(rèn)是指通過提供客觀證據(jù)認(rèn)定軟件滿足用戶需求和預(yù)期用途。軟件確認(rèn)是基于過程控制的設(shè)計(jì)確認(rèn),包括用戶測試、臨床評(píng)價(jià)、設(shè)計(jì)評(píng)審等系列活動(dòng),即要保證軟件滿足用戶需求和預(yù)期用途,又要確保軟件已知剩余缺陷的風(fēng)險(xiǎn)均可接受。
注冊(cè)申請(qǐng)人需結(jié)合軟件的產(chǎn)品特點(diǎn)、風(fēng)險(xiǎn)程度考慮相應(yīng)軟件測試要求,明確語句、判定、條件、路徑等測試覆蓋率要求,以保證軟件驗(yàn)證、軟件確認(rèn)的質(zhì)量。全部源代碼均應(yīng)測試,可結(jié)合白盒測試、黑盒測試、灰盒測試等方法予以實(shí)現(xiàn)。
(五)軟件可追溯性分析
軟件可追溯性分析作為軟件驗(yàn)證、軟件確認(rèn)的重要活動(dòng)之一,是指追蹤軟件需求、軟件設(shè)計(jì)、源代碼、軟件測試、軟件風(fēng)險(xiǎn)管理之間的關(guān)系,分析已識(shí)別關(guān)系的正確性、一致性、完整性、準(zhǔn)確性。
軟件生存周期過程均需開展可追溯性分析活動(dòng),詳見圖2。軟件需求分析階段追溯分析軟件需求與產(chǎn)品需求、軟件需求與風(fēng)險(xiǎn)分析的關(guān)系。軟件設(shè)計(jì)階段追溯分析軟件設(shè)計(jì)與軟件需求、軟件設(shè)計(jì)與風(fēng)險(xiǎn)控制的關(guān)系。軟件編碼階段追溯分析源代碼與軟件設(shè)計(jì)、源代碼與測試用例的關(guān)系。內(nèi)部測試階段追溯分析單元測試、集成測試、系統(tǒng)測試各級(jí)測試用例與軟件設(shè)計(jì),系統(tǒng)測試與軟件需求,系統(tǒng)測試與風(fēng)險(xiǎn)管理的關(guān)系。用戶測試階段追溯分析用戶測試與產(chǎn)品需求、用戶測試與風(fēng)險(xiǎn)管理的關(guān)系。軟件更新亦需開展與之相適宜的軟件可追溯性分析活動(dòng)。
注冊(cè)申請(qǐng)人應(yīng)建立軟件可追溯性分析過程,規(guī)范軟件可追溯性分析相關(guān)活動(dòng)要求,以保證軟件驗(yàn)證、軟件確認(rèn)的質(zhì)量??紤]到行業(yè)實(shí)際情況,源代碼追溯分析活動(dòng)追溯至軟件單元(列明名稱)即可。
(六)軟件更新
1. 主要概念
軟件更新是指注冊(cè)申請(qǐng)人在軟件生存周期全過程對(duì)軟件所做的任一修改,亦稱軟件變更、軟件維護(hù)。軟件維護(hù)通常與軟件更新含義相同,但可特指發(fā)布后軟件更新。
軟件更新從不同角度出發(fā)有不同分類方法。從更新結(jié)果角度可分為重大更新和輕微更新,重大更新是指影響到醫(yī)療器械安全性或有效性的軟件更新,反之即為輕微更新。
從更新內(nèi)容角度可分為增強(qiáng)類更新和糾正類更新(即軟件缺陷修復(fù))。增強(qiáng)類更新又可分為完善型更新和適應(yīng)型更新,其中完善型更新是指改變功能、性能、接口等軟件屬性的軟件更新,適應(yīng)型更新是指適應(yīng)新運(yùn)行環(huán)境的軟件更新;其從更新結(jié)果角度又可分為重大增強(qiáng)類更新、輕微增強(qiáng)類更新。糾正類更新又可分為修正型更新和預(yù)防型更新,其中修正型更新是指修復(fù)軟件存在且已造成運(yùn)行故障缺陷的軟件更新,預(yù)防型更新是指修復(fù)軟件存在但尚未造成運(yùn)行故障缺陷的軟件更新;其通常屬于輕微更新,除非影響到醫(yī)療器械安全性或有效性。
本指導(dǎo)原則關(guān)注醫(yī)療器械軟件的安全性和有效性,將軟件更新分為:
(1)重大軟件更新:影響到醫(yī)療器械安全性或有效性的增強(qiáng)類更新,即重大增強(qiáng)類軟件更新,應(yīng)申請(qǐng)變更注冊(cè)。
(2)輕微軟件更新:不影響醫(yī)療器械安全性與有效性的增強(qiáng)類更新、糾正類更新,包括輕微增強(qiáng)類軟件更新、糾正類軟件更新,通過質(zhì)量管理體系進(jìn)行控制,無需申請(qǐng)變更注冊(cè),待下次變更注冊(cè)時(shí)提交相應(yīng)注冊(cè)申報(bào)資料。
此外,軟件構(gòu)建是指軟件編譯生成一個(gè)工作版本,符合軟件更新定義,通過質(zhì)量管理體系進(jìn)行控制,注冊(cè)申報(bào)資料要求與糾正類軟件更新相同。召回相關(guān)軟件更新包括軟件更新導(dǎo)致召回、召回措施所用軟件更新,無論增強(qiáng)類更新還是糾正類更新均屬于重大軟件更新,按照醫(yī)療器械召回相關(guān)法規(guī)要求處理,不屬于本指導(dǎo)原則討論范疇。
軟件更新遵循風(fēng)險(xiǎn)從高原則,即同時(shí)發(fā)生重大、輕微軟件更新按重大軟件更新處理,同時(shí)發(fā)生增強(qiáng)類、糾正類軟件更新按增強(qiáng)類軟件更新處理。軟件更新需考慮引入回滾機(jī)制,以保證醫(yī)療業(yè)務(wù)的連續(xù)性,特別是對(duì)高風(fēng)險(xiǎn)軟件。
軟件重新開發(fā)即注冊(cè)申請(qǐng)人棄用原有軟件而開發(fā)新軟件,不屬于軟件更新范疇,按初次發(fā)布處理。
2. 重大軟件更新判定原則
軟件更新若影響到醫(yī)療器械的預(yù)期用途、使用場景或核心功能原則上均屬于重大軟件更新,其判定原則包括但不限于:
(1)完善型軟件更新:若影響到用戶決策(含決策能力、決策結(jié)果、決策流程、用戶行動(dòng))或人員(含患者、用戶、其他相關(guān)人員)安全則屬于重大軟件更新,如軟件的輸入輸出數(shù)據(jù)類型、體系結(jié)構(gòu)、用戶界面關(guān)系、物理拓?fù)洹⒑诵乃惴?、核心功能、診療流程或預(yù)期用途等發(fā)生改變,軟件系統(tǒng)、高風(fēng)險(xiǎn)軟件項(xiàng)/軟件單元進(jìn)行代碼重構(gòu),安全性級(jí)別改變,調(diào)整報(bào)警方式等;而運(yùn)算效率單純提高、診療流程或工作語言可配置化(即用戶可保留原有診療流程或工作語言)、用戶界面文字性修改、中低風(fēng)險(xiǎn)軟件項(xiàng)/軟件單元的代碼重構(gòu)等情況通常不視為重大軟件更新,除非影響到醫(yī)療器械的安全性或有效性。
(2)適應(yīng)型軟件更新:若軟件運(yùn)行環(huán)境跨越互不兼容的計(jì)算平臺(tái)(含硬件配置、外部軟件環(huán)境、必備軟件、網(wǎng)絡(luò)條件)則屬于重大軟件更新,如預(yù)期運(yùn)行的操作系統(tǒng)軟件由Windows變?yōu)閕OS,更換瀏覽器內(nèi)核、必備軟件,網(wǎng)絡(luò)條件由局域網(wǎng)變?yōu)閺V域網(wǎng),計(jì)算平臺(tái)由通用計(jì)算平臺(tái)變?yōu)獒t(yī)用計(jì)算平臺(tái)等;預(yù)期運(yùn)行的系統(tǒng)軟件、支持軟件、通用中間件的兼容性版本更新、補(bǔ)丁更新通常不視為重大軟件更新,除非影響到醫(yī)療器械的安全性或有效性。
綜上,醫(yī)療器械軟件更新類型如圖3所示。
重大軟件更新的范圍會(huì)隨著認(rèn)知水平與技術(shù)能力的提高、不良事件與召回情況的分析進(jìn)行動(dòng)態(tài)調(diào)整。
(七)軟件版本
軟件沒有物理實(shí)體,只能通過狀態(tài)標(biāo)識(shí)進(jìn)行軟件更新管理,從而保證軟件質(zhì)量。軟件版本使用不同字段來區(qū)分軟件更新類型,進(jìn)而標(biāo)識(shí)軟件狀態(tài),因此軟件版本與軟件是一一對(duì)應(yīng)的表里關(guān)系,亦是軟件標(biāo)識(shí)不可或缺的組成部分。
軟件版本可分為軟件發(fā)布版本和軟件完整版本[3],其中軟件發(fā)布版本僅體現(xiàn)重大軟件更新,即只限于重大增強(qiáng)類軟件更新,其改變意味著發(fā)生重大軟件更新,反之亦然;軟件完整版本體現(xiàn)重大、輕微軟件更新的全部類型,包括重大增強(qiáng)類軟件更新、輕微增強(qiáng)類軟件更新、糾正類軟件更新、軟件構(gòu)建(若適用),其不同字段的改變意味發(fā)生不同類型的軟件更新,反之亦然。
軟件發(fā)布版本發(fā)生改變表示軟件發(fā)生重大更新,應(yīng)申請(qǐng)變更注冊(cè),軟件完整版本發(fā)生改變但軟件發(fā)布版本未變表示軟件僅發(fā)生輕微更新,此時(shí)通過質(zhì)量管理體系進(jìn)行控制,無需申請(qǐng)變更注冊(cè)。例如,軟件版本命名規(guī)則為X.Y.Z.B,其中X表示重大增強(qiáng)類軟件更新,Y表示輕微增強(qiáng)類軟件更新,Z表示糾正類軟件更新,B表示軟件構(gòu)建,則軟件發(fā)布版本為X,軟件完整版本為X.Y.Z.B,此時(shí)X改變應(yīng)申請(qǐng)變更注冊(cè),而Y、Z、B改變但X未變則無需申請(qǐng)變更注冊(cè)。
注冊(cè)申請(qǐng)人應(yīng)綜合考慮軟件產(chǎn)品特點(diǎn)、質(zhì)量管理體系要求、合規(guī)性等因素制定軟件版本命名規(guī)則并予以記錄,明確字段的位數(shù)、范圍、含義,涵蓋軟件更新全部類型,字段含義明確且無歧義無矛盾,能夠區(qū)分重大軟件更新和輕微軟件更新,保證軟件更新的版本變更符合軟件版本命名規(guī)則要求。同時(shí),考慮醫(yī)療器械網(wǎng)絡(luò)安全、人工智能醫(yī)療器械等指導(dǎo)原則的要求。
軟件版本命名規(guī)則同樣遵循風(fēng)險(xiǎn)從高原則,即某字段同時(shí)表示重大軟件更新和輕微軟件更新,則該字段按重大軟件更新處理,并作為軟件發(fā)布版本的組成部分。
有用戶界面的軟件可在登錄界面、主界面、“關(guān)于”或“幫助”等界面體現(xiàn)軟件發(fā)布版本、軟件完整版本,兩個(gè)版本均需體現(xiàn)但無需每個(gè)界面同時(shí)體現(xiàn)。無用戶界面的軟件需提供獲取軟件完整版本的方法,以明確軟件版本信息[4]。
產(chǎn)品技術(shù)要求注明軟件發(fā)布版本、軟件版本命名規(guī)則,其中軟件版本命名規(guī)則需與質(zhì)量管理體系保持一致。檢測報(bào)告提供軟件版本界面照片或列明軟件版本信息,有用戶界面的軟件體現(xiàn)軟件發(fā)布版本、軟件完整版本,無用戶界面的軟件體現(xiàn)軟件完整版本。說明書注明軟件發(fā)布版本。
軟件模塊(含醫(yī)用中間件)若單獨(dú)進(jìn)行版本控制,亦需滿足版本控制要求,并明確與軟件系統(tǒng)版本控制的關(guān)系。
(八)軟件算法、軟件功能、軟件用途
軟件算法是軟件功能的基礎(chǔ),二者是多對(duì)多的關(guān)系,即一個(gè)軟件算法可供一個(gè)或多個(gè)軟件功能使用,一個(gè)軟件功能可含一個(gè)或多個(gè)軟件算法。同理,軟件功能和軟件用途的關(guān)系亦是如此。
從用戶角度出發(fā),軟件算法是內(nèi)在不可見的,軟件功能和軟件用途是外在可見的,考慮到軟件功能是軟件算法、軟件用途的聯(lián)系紐帶,故以軟件功能作為軟件安全有效性評(píng)價(jià)主線。例如,區(qū)域生長算法可實(shí)現(xiàn)圖像分割功能,圖像分割功能可用于病變輪廓標(biāo)識(shí)。
軟件功能從不同角度出發(fā)有不同分類方法。從重要性角度可分為核心功能和非核心功能,其中核心功能是指軟件在預(yù)期使用場景完成預(yù)期用途所必需的功能,反之即為非核心功能。
從技術(shù)特征角度大體上可分為處理功能、控制功能、安全功能,其中處理功能是指加工醫(yī)療器械數(shù)據(jù)(即醫(yī)療器械產(chǎn)生的用于醫(yī)療用途的客觀數(shù)據(jù))或基于模型計(jì)算(如輻射劑量模型、藥代模型)的功能,控制功能是指控制/驅(qū)動(dòng)醫(yī)療器械硬件運(yùn)行的功能,安全功能是指保證醫(yī)療器械安全性的功能。
處理功能從數(shù)據(jù)流角度又可分為前處理功能和后處理功能,前者是指采集人體解剖、生理信息生成醫(yī)療器械數(shù)據(jù)過程的處理功能,如濾波、降噪、校正、重建等功能;后者是指利用醫(yī)療器械數(shù)據(jù)生成診療信息或進(jìn)行醫(yī)療干預(yù)過程的處理功能,如平移、縮放、旋轉(zhuǎn)、濾波、測量、分割、融合、三維重建、治療計(jì)劃制定、藥代模型計(jì)算、基因測序、分析等功能。后處理功能從復(fù)雜性角度又可分為簡單功能和復(fù)雜功能,前者是指對(duì)現(xiàn)有醫(yī)療信息進(jìn)行操作而非生成新醫(yī)療信息的功能,如平移、縮放、旋轉(zhuǎn)等功能;后者是指生成新醫(yī)療信息的功能,如濾波、測量、分割、融合、三維重建、治療計(jì)劃制定、藥代模型計(jì)算、基因測序、分析等功能。
獨(dú)立軟件的功能均為后處理功能,軟件組件的功能以控制功能、前處理功能為主,兼具后處理功能??紤]到控制功能和前處理功能通常與醫(yī)療器械硬件產(chǎn)品共同評(píng)價(jià),故處理功能若無明示均指后處理功能;同時(shí),考慮到測量、模型計(jì)算、分析等功能具有特殊性,通常情況下與處理功能并列表述。
從監(jiān)管范圍角度可分為醫(yī)療器械功能和非醫(yī)療器械功能,其中醫(yī)療器械功能是指可用作醫(yī)療器械界定依據(jù)的軟件功能,如醫(yī)學(xué)圖像、生理參數(shù)、體外診斷等數(shù)據(jù)的測量、處理、模型計(jì)算、分析等功能;反之即為非醫(yī)療器械功能,如收費(fèi)計(jì)價(jià)、行政辦公等功能,不屬于監(jiān)管對(duì)象;實(shí)現(xiàn)醫(yī)療器械功能所必需的患者信息管理功能屬于醫(yī)療器械功能。二者盡量通過模塊化設(shè)計(jì)予以拆分,若在技術(shù)上無法拆分需將非醫(yī)療器械功能作為醫(yī)療器械軟件的組成部分予以整體考慮。
軟件算法從重要性角度可分為核心算法和非核心算法,其中核心算法是指實(shí)現(xiàn)軟件核心功能所必需的算法,反之即為非核心算法。從復(fù)雜性角度可分為簡單算法和復(fù)雜算法,前者原理簡單明確或基于成熟公式,后者通?;谀P脱芯?,存在諸多假設(shè)條件且影響因素較多,同時(shí)二者在算法規(guī)模、參數(shù)數(shù)量、運(yùn)算速度等方面亦存在差異。從可解釋性角度可分為白盒算法和黑盒算法,前者可與現(xiàn)有知識(shí)建立關(guān)聯(lián),后者難與現(xiàn)有知識(shí)建立關(guān)聯(lián),前者可解釋性優(yōu)于后者。
軟件用途通常可分為輔助決策和非輔助決策,其中輔助決策是指通過提供診療活動(dòng)建議輔助用戶(如醫(yī)務(wù)人員、患者)進(jìn)行醫(yī)療決策,如病灶特征識(shí)別、病灶性質(zhì)判定、用藥指導(dǎo)、制定治療計(jì)劃等,相當(dāng)于用戶的“助手”;反之,僅提供醫(yī)療參考信息而不進(jìn)行醫(yī)療決策即為非輔助決策,包括流程優(yōu)化、診療驅(qū)動(dòng),前者如診療流程簡化等,后者如測量、分割、三維重建等,相當(dāng)于用戶的“工具”。同時(shí),輔助決策和非輔助決策從實(shí)時(shí)性角度均可細(xì)分為實(shí)時(shí)和非實(shí)時(shí),前者風(fēng)險(xiǎn)通常高于后者。故軟件功能從軟件用途角度又可分為輔助決策類功能和非輔助決策類功能、實(shí)時(shí)功能和非實(shí)時(shí)功能。
軟件算法、軟件功能、軟件用途從成熟度角度均可分為成熟和全新兩種類型,其中成熟是指安全有效性已在醫(yī)療實(shí)踐中得到充分證實(shí)的情形,全新是指未上市或安全有效性尚未在醫(yī)療實(shí)踐中得到充分證實(shí)的情形[5]。同理,軟件亦可分為全新軟件和成熟軟件,軟件的算法、功能、用途若有一項(xiàng)為全新類型則屬于全新軟件,反之屬于成熟軟件。因全新軟件的潛在未知風(fēng)險(xiǎn)多于成熟軟件,故本指導(dǎo)原則以核心功能、核心算法為基礎(chǔ),重點(diǎn)關(guān)注全新軟件的安全有效性。
三、基本原則
(一)基于軟件特性
隨著信息通訊技術(shù)的迅猛發(fā)展,軟件在醫(yī)療器械中的應(yīng)用日益普遍,作用日趨重要,開發(fā)形式靈活多變,新技術(shù)層出不窮。但隨之而來的質(zhì)量問題也日益增多,醫(yī)療器械召回?cái)?shù)據(jù)表明軟件相關(guān)召回?cái)?shù)量持續(xù)增加,明顯高于同期醫(yī)療器械整體水平,同時(shí)軟件失效導(dǎo)致患者死亡或嚴(yán)重傷害的召回事件也屢見不鮮,因此軟件質(zhì)量問題的嚴(yán)重性不容忽視,需要基于軟件特性加強(qiáng)軟件質(zhì)量保證工作。
軟件沒有物理實(shí)體,在開發(fā)和使用過程中人為因素影響無處不在,軟件測試由于時(shí)間和成本的限制不能窮盡所有情況,所以軟件缺陷無法避免。同時(shí),軟件更新頻繁且迅速,細(xì)微更新可能導(dǎo)致嚴(yán)重后果,并存在累積效應(yīng)和退化問題(即每修復(fù)若干個(gè)缺陷就會(huì)產(chǎn)生一個(gè)新缺陷),所以軟件缺陷無法根除。因此,軟件缺陷可視為軟件的固有屬性之一,這也是軟件質(zhì)量問題較為突出的根源所在。
軟件與硬件存在諸多差異:硬件是物理實(shí)體,軟件是邏輯關(guān)系;硬件變更周期較長,軟件更新容易、快速且頻繁;硬件有磨損問題,軟件雖無磨損但有累積效應(yīng)和退化問題;硬件質(zhì)量取決于設(shè)計(jì)開發(fā)和生產(chǎn),軟件質(zhì)量取決于設(shè)計(jì)開發(fā),與生產(chǎn)基本無關(guān);硬件失效先有征兆再發(fā)生,軟件失效往往沒有征兆突然發(fā)生,軟件失效率遠(yuǎn)高于硬件;硬件部件可以標(biāo)準(zhǔn)化,軟件模塊的標(biāo)準(zhǔn)化較為復(fù)雜;細(xì)微變更對(duì)硬件影響有限,但對(duì)軟件影響可能嚴(yán)重;硬件檢驗(yàn)可基本保證質(zhì)量,軟件測試不足以保證質(zhì)量。這些差異使得傳統(tǒng)硬件質(zhì)量控制方法對(duì)于軟件質(zhì)量保證往往達(dá)不到預(yù)期效果。
鑒于軟件特性,只有綜合考慮風(fēng)險(xiǎn)管理、質(zhì)量管理和軟件工程的要求才能保證軟件的安全有效性。注冊(cè)申請(qǐng)人需基于軟件風(fēng)險(xiǎn)程度,采用良好軟件工程實(shí)踐完善質(zhì)量管理體系,針對(duì)算法、接口、更新、異常處理等軟件召回主要原因,盡早、重點(diǎn)、全面開展軟件質(zhì)量保證工作。
(二)風(fēng)險(xiǎn)導(dǎo)向
綜合考慮軟件使用的普遍性、監(jiān)管資源的有限性和風(fēng)險(xiǎn)分級(jí)管理導(dǎo)向,軟件風(fēng)險(xiǎn)程度不同,其生存周期質(zhì)控要求和注冊(cè)申報(bào)資料要求亦不同。
軟件風(fēng)險(xiǎn)程度采用軟件安全性級(jí)別進(jìn)行表述,軟件安全性級(jí)別越高,生存周期質(zhì)控要求越嚴(yán)格,注冊(cè)申報(bào)資料也越詳盡。軟件安全性級(jí)別基于軟件風(fēng)險(xiǎn)程度分為輕微、中等、嚴(yán)重三個(gè)級(jí)別[6],其中輕微級(jí)別即軟件不可能產(chǎn)生傷害,中等級(jí)別即軟件可能直接或間接產(chǎn)生輕微(不嚴(yán)重)傷害,嚴(yán)重級(jí)別即軟件可能直接或間接產(chǎn)生嚴(yán)重傷害或?qū)е滤劳觥?/span>
軟件安全性級(jí)別可結(jié)合軟件的預(yù)期用途、使用場景、核心功能進(jìn)行綜合判定[7]。其中,預(yù)期用途主要考慮軟件的用途類型(如治療、診斷、監(jiān)護(hù)、篩查)、重要程度(如重要作用、參考作用、補(bǔ)充作用)、緊迫程度(如危重情形、嚴(yán)重情形、普通情形)、成熟程度(成熟、全新)等因素,使用場景主要考慮軟件的使用場所(如門診、手術(shù)、住院、急救、家庭、轉(zhuǎn)運(yùn)、公共場所)、疾病特征(如嚴(yán)重性、緊迫性、傳染性)、適用人群(如成人、兒童、老人、孕婦)、目標(biāo)用戶(如醫(yī)務(wù)人員、患者)等因素,核心功能主要考慮軟件的功能類型(如重要程度、技術(shù)特征、復(fù)雜程度、成熟程度)、核心算法(如重要程度、復(fù)雜程度、可解釋性、成熟程度)、輸入輸出(輸入數(shù)據(jù)如醫(yī)學(xué)圖像、生理參數(shù)、體外診斷等數(shù)據(jù),輸出結(jié)果如處理、測量、分析等結(jié)果)、接口(如應(yīng)用程序接口(API)、數(shù)據(jù)接口、產(chǎn)品接口)等因素。
軟件安全性級(jí)別也可根據(jù)風(fēng)險(xiǎn)管理所確定的風(fēng)險(xiǎn)等級(jí)進(jìn)行判定,軟件安全性級(jí)別與風(fēng)險(xiǎn)等級(jí)的分級(jí)可以不同,但二者存在對(duì)應(yīng)關(guān)系,因此可根據(jù)風(fēng)險(xiǎn)等級(jí)來判定軟件安全性級(jí)別,但應(yīng)在采取風(fēng)險(xiǎn)控制措施之前進(jìn)行判定,后續(xù)可通過外部風(fēng)險(xiǎn)控制措施(含軟件措施、硬件措施)降低初始軟件安全性級(jí)別。
軟件風(fēng)險(xiǎn)管理需要注意:軟件本身不是危險(xiǎn),但可能會(huì)引發(fā)危險(xiǎn)情況;軟件失效雖表現(xiàn)為隨機(jī)性失效但實(shí)為系統(tǒng)性失效,同時(shí)軟件失效所致危險(xiǎn)的發(fā)生概率難以統(tǒng)計(jì),故軟件風(fēng)險(xiǎn)程度基于傷害嚴(yán)重度并可結(jié)合危險(xiǎn)情況所致傷害的概率進(jìn)行判定;軟件組件需與所屬醫(yī)療器械整體開展風(fēng)險(xiǎn)管理工作。
軟件安全性級(jí)別亦可參考已上市同類醫(yī)療器械軟件的不良事件和召回情況進(jìn)行判定,即已上市同類醫(yī)療器械軟件若發(fā)生嚴(yán)重不良事件或一級(jí)召回屬于嚴(yán)重級(jí)別,發(fā)生不良事件或二級(jí)召回屬于中等級(jí)別,未發(fā)生不良事件且僅發(fā)生三級(jí)召回或無召回屬于輕微級(jí)別。
注冊(cè)申請(qǐng)人應(yīng)結(jié)合質(zhì)量管理體系要求建立相應(yīng)軟件生存周期過程,并開展與軟件安全性級(jí)別相匹配的軟件質(zhì)量保證工作。同時(shí),基于軟件安全性級(jí)別提交相應(yīng)注冊(cè)申報(bào)資料,注冊(cè)申報(bào)資料均來源于軟件生存周期過程所形成的文檔。
獨(dú)立軟件和軟件組件雖然存在技術(shù)差異,但生存周期過程質(zhì)控原則和要求均相同,故二者注冊(cè)申報(bào)資料要求基本一致,具體內(nèi)容略有差異,詳見第八章。
(三)全生命周期質(zhì)控
由于軟件本身的復(fù)雜性和軟件測試的局限性,軟件開發(fā)過程的質(zhì)量保證活動(dòng)不足以保證軟件的安全有效性,因此應(yīng)在醫(yī)療器械全生命周期中考慮軟件質(zhì)控要求,并將軟件風(fēng)險(xiǎn)管理、軟件配置管理、軟件缺陷管理、軟件可追溯性分析貫穿于醫(yī)療器械生命周期全程。
上市前開展充分有效的軟件驗(yàn)證與確認(rèn)活動(dòng),識(shí)別軟件可預(yù)見的風(fēng)險(xiǎn)并將其降至可接受水平。上市后繼續(xù)開展軟件質(zhì)量保證工作,結(jié)合用戶投訴、不良事件和召回等情況識(shí)別前期未預(yù)見的風(fēng)險(xiǎn),并采取必要措施保證軟件質(zhì)量;同時(shí),基于軟件更新需求的評(píng)估,實(shí)施軟件更新活動(dòng)以滿足用戶新需求,并開展與之相適宜的軟件驗(yàn)證與確認(rèn)活動(dòng),以保證軟件更新質(zhì)量;此外,軟件停運(yùn)考慮用戶告知與后續(xù)服務(wù)、數(shù)據(jù)遷移、患者數(shù)據(jù)與隱私保護(hù)等要求。
總之,數(shù)字醫(yī)療技術(shù)處于快速發(fā)展階段,新技術(shù)層出不窮,對(duì)醫(yī)療器械行業(yè)的影響日益深遠(yuǎn),其監(jiān)管問題亟需加強(qiáng)研究。無論何種數(shù)字醫(yī)療新技術(shù),軟件作為其技術(shù)基礎(chǔ),仍可遵循上述三條基本原則,開展相應(yīng)安全有效性評(píng)價(jià)工作。
四、現(xiàn)成軟件
(一)主要概念
注冊(cè)申請(qǐng)人進(jìn)行完整生存周期控制的軟件稱為自研軟件(若無明示簡稱為軟件),反之注冊(cè)申請(qǐng)人未進(jìn)行(含無法證明)完整生存周期控制的軟件稱為現(xiàn)成軟件,包括遺留軟件、成品軟件、外包軟件。其中,遺留軟件是指注冊(cè)申請(qǐng)人以前開發(fā)但現(xiàn)在不能得到足夠開發(fā)記錄的軟件,即注冊(cè)申請(qǐng)人無法證明其進(jìn)行完整生存周期控制的軟件,涉及應(yīng)用軟件、中間件。成品軟件是指第三方開發(fā)的且通??傻玫降能浖?,即注冊(cè)申請(qǐng)人未進(jìn)行完整生存周期控制的軟件,涉及系統(tǒng)軟件、應(yīng)用軟件、中間件、支持軟件,如開源/閉源軟件、免費(fèi)/付費(fèi)軟件等。外包軟件是指注冊(cè)申請(qǐng)人委托第三方開發(fā)的軟件,即注冊(cè)申請(qǐng)人僅進(jìn)行部分生存周期控制的軟件,涉及應(yīng)用軟件、中間件。
現(xiàn)成軟件與醫(yī)療器械軟件的關(guān)系可分為兩類。一類是現(xiàn)成軟件作為醫(yī)療器械軟件的組成部分,即現(xiàn)成軟件組件,包括遺留軟件、成品軟件、外包軟件,涉及醫(yī)用應(yīng)用軟件、醫(yī)用中間件,屬于監(jiān)管對(duì)象;無論是否設(shè)計(jì)用于醫(yī)療用途,現(xiàn)成軟件組件作為醫(yī)療器械軟件的組成部分,其功能均屬于醫(yī)療器械功能,原因在于若為非醫(yī)療器械功能則應(yīng)從醫(yī)療器械軟件中直接刪除。另一類是現(xiàn)成軟件作為醫(yī)療器械軟件運(yùn)行環(huán)境的組成部分,即外部軟件環(huán)境,主要為成品軟件,涉及系統(tǒng)軟件、通用應(yīng)用軟件、通用中間件、支持軟件,雖非監(jiān)管對(duì)象,但需從風(fēng)險(xiǎn)管理角度考慮其對(duì)醫(yī)療器械軟件的影響。
綜上,現(xiàn)成軟件類型詳見圖4。
醫(yī)療器械軟件除部分內(nèi)嵌型軟件組件外,均需外部軟件環(huán)境的支持方能正常運(yùn)行。同時(shí),醫(yī)療器械軟件既可自研軟件和現(xiàn)成軟件組件相結(jié)合,部分使用現(xiàn)成軟件組件,即部分使用方式;又可全部使用現(xiàn)成軟件組件,即全部使用方式。因此,現(xiàn)成軟件的使用具有普遍性、靈活性、復(fù)雜性等特點(diǎn)。
由于現(xiàn)成軟件通常并非設(shè)計(jì)用于醫(yī)療,特別是外部軟件環(huán)境,未必能夠滿足醫(yī)療器械相關(guān)要求,未用功能可能通過耦合關(guān)系對(duì)醫(yī)療器械軟件產(chǎn)生不利影響,而且注冊(cè)申請(qǐng)人未對(duì)現(xiàn)成軟件進(jìn)行完整生存周期控制,因此使用現(xiàn)成軟件的風(fēng)險(xiǎn)相對(duì)較高。此外,現(xiàn)成軟件組件直接實(shí)現(xiàn)醫(yī)療用途,風(fēng)險(xiǎn)相對(duì)更高。
注冊(cè)申請(qǐng)人使用現(xiàn)成軟件應(yīng)保證醫(yī)療器械軟件的安全有效性,成品軟件和外部軟件環(huán)境的開發(fā)商作為醫(yī)療器械供應(yīng)商并不承擔(dān)注冊(cè)申請(qǐng)人相關(guān)責(zé)任。因此,注冊(cè)申請(qǐng)人需結(jié)合現(xiàn)成軟件的類型、特點(diǎn)以及業(yè)界使用情況,區(qū)分現(xiàn)成軟件組件和外部軟件環(huán)境,綜合考慮現(xiàn)成軟件的使用廣泛度、技術(shù)成熟度、售后支持程度以及功能、性能、兼容性、易用性、可靠性、維護(hù)性、可移植性、網(wǎng)絡(luò)安全等要求,采用基于風(fēng)險(xiǎn)的全生命周期管理方法進(jìn)行質(zhì)控,特別是在采購、設(shè)計(jì)開發(fā)、上市后監(jiān)測等方面,同時(shí)開展差距分析,必要時(shí)采取補(bǔ)救措施以保證安全有效性。
由于自研軟件與現(xiàn)成軟件、現(xiàn)成軟件組件與外部軟件環(huán)境、部分使用方式與全部使用方式的質(zhì)控要求均存在差異,故相應(yīng)注冊(cè)申報(bào)資料均有所不同,具體要求詳見第八章。此外,醫(yī)療器械軟件可同時(shí)使用多個(gè)版本、多個(gè)、多種的現(xiàn)成軟件,需進(jìn)行整體考量并提供相應(yīng)注冊(cè)申報(bào)資料。
(二)現(xiàn)成軟件通用考量
1. 現(xiàn)成軟件組件
現(xiàn)成軟件組件的軟件更新、軟件版本相關(guān)要求與自研軟件基本相同,同樣遵循風(fēng)險(xiǎn)從高原則。
現(xiàn)成軟件組件若發(fā)生重大軟件更新亦應(yīng)申請(qǐng)變更注冊(cè),若發(fā)生輕微軟件更新通過質(zhì)量管理體系進(jìn)行控制,無需申請(qǐng)變更注冊(cè)。
注冊(cè)申請(qǐng)人應(yīng)根據(jù)質(zhì)量管理體系要求,制定現(xiàn)成軟件組件的版本命名規(guī)則,亦需考慮合規(guī)性要求。若現(xiàn)成軟件組件開發(fā)商的軟件版本命名規(guī)則滿足合規(guī)性要求,可直接采用。
2. 外部軟件環(huán)境
醫(yī)療器械軟件與外部軟件環(huán)境存在耦合關(guān)系,需整體考量。
從醫(yī)療器械軟件角度,軟件安全性級(jí)別判定需考慮外部軟件環(huán)境失效的影響,軟件需求規(guī)范文檔、軟件測試計(jì)劃列明外部軟件環(huán)境的基本情況,軟件測試報(bào)告列明外部軟件環(huán)境所含各現(xiàn)成軟件的名稱、完整版本、補(bǔ)丁版本。軟件驗(yàn)證與確認(rèn)基于外部軟件環(huán)境所含全部現(xiàn)成軟件予以實(shí)施,若使用同一現(xiàn)成軟件的多個(gè)版本,則每個(gè)版本均需進(jìn)行軟件驗(yàn)證與確認(rèn)。根據(jù)風(fēng)險(xiǎn)控制要求,醫(yī)療器械軟件必要時(shí)需具備外部軟件環(huán)境自檢功能,以確保自身能夠正常運(yùn)行。同理,說明書必要時(shí)需明確外部軟件環(huán)境所含全部現(xiàn)成軟件的交付、安裝、設(shè)置、配置、更新以及使用限制、警示提示等內(nèi)容。
從外部軟件環(huán)境角度,自身風(fēng)險(xiǎn)相對(duì)較低,由于與醫(yī)療器械軟件相互耦合,故其安全性級(jí)別與醫(yī)療器械軟件的安全性級(jí)別相同,注冊(cè)申報(bào)資料詳盡程度亦取決于其安全性級(jí)別。
外部軟件環(huán)境更新對(duì)于醫(yī)療器械軟件而言屬于適應(yīng)型軟件更新,包括產(chǎn)品更新(即更換外部軟件環(huán)境所含現(xiàn)成軟件)、版本更新、補(bǔ)丁更新等情況。外部軟件環(huán)境更新情況不同,對(duì)于醫(yī)療器械軟件的影響亦不同,通常補(bǔ)丁更新、與醫(yī)療器械軟件兼容的版本更新屬于輕微軟件更新,而產(chǎn)品更新、為解決與醫(yī)療器械軟件不兼容問題的版本更新屬于重大軟件更新,同樣遵循風(fēng)險(xiǎn)從高原則。因此,注冊(cè)申請(qǐng)人需依據(jù)相應(yīng)流程開展外部軟件環(huán)境更新的影響評(píng)估工作。
五、質(zhì)量管理軟件
(一)主要概念
質(zhì)量管理軟件是指醫(yī)療器械質(zhì)量管理所用的應(yīng)用軟件,非醫(yī)療器械軟件,無需申報(bào)注冊(cè)。質(zhì)量管理軟件與醫(yī)療器械軟件在技術(shù)層面具有相同之處,故可參照醫(yī)療器械軟件相關(guān)要求考慮質(zhì)量管理軟件的確認(rèn)要求。
質(zhì)量管理軟件參照醫(yī)療器械軟件可分為類獨(dú)立軟件和類軟件組件,前者包括設(shè)計(jì)開發(fā)所用軟件、流程管理所用軟件等,后者包括生產(chǎn)設(shè)備所含軟件、檢驗(yàn)設(shè)備所含軟件等。
質(zhì)量管理軟件多數(shù)通過采購獲得,特別是類軟件組件,可視為成品軟件,主要采用全部使用方式,若二次開發(fā)則屬于部分使用方式;少數(shù)自行研發(fā),主要是類獨(dú)立軟件,可視為自研軟件。因此,質(zhì)量管理軟件確認(rèn)通常可參照成品軟件、自研軟件的確認(rèn)要求。
質(zhì)量管理軟件亦需外部軟件環(huán)境(含系統(tǒng)軟件、通用應(yīng)用軟件、通用中間件、支持軟件)的支持方能正常運(yùn)行,故其確認(rèn)亦需考慮外部軟件環(huán)境的評(píng)估要求。
(二)質(zhì)量管理軟件確認(rèn)考量
質(zhì)量管理軟件確認(rèn)以軟件功能為基礎(chǔ),綜合考慮需求分析、驗(yàn)收測試、維護(hù)計(jì)劃等要求。其中,需求分析考慮軟件的功能、性能、接口等要求,評(píng)估候選軟件以確定目標(biāo)對(duì)象。驗(yàn)收測試基于外部軟件環(huán)境予以實(shí)施,確保軟件能夠滿足使用需求,而且軟件已知剩余缺陷、未用軟件功能對(duì)于醫(yī)療器械質(zhì)量的影響均可接受。維護(hù)計(jì)劃考慮軟件更新相關(guān)要求,特別是糾正類軟件更新(即軟件缺陷修復(fù))的維護(hù)方案。
質(zhì)量管理軟件外部軟件環(huán)境的評(píng)估要求可參照自研軟件相應(yīng)要求。質(zhì)量管理軟件更新應(yīng)重新進(jìn)行軟件確認(rèn),其外部軟件環(huán)境更新亦需開展影響評(píng)估工作。
六、醫(yī)療器械軟件生存周期過程
軟件生存周期過程主要包括軟件開發(fā)過程、軟件維護(hù)過程、軟件風(fēng)險(xiǎn)管理過程、軟件配置管理過程、軟件缺陷管理過程。
軟件開發(fā)過程包括軟件開發(fā)策劃、軟件需求分析、軟件設(shè)計(jì)、軟件編碼、軟件驗(yàn)證、軟件確認(rèn)、軟件發(fā)布等活動(dòng)。
軟件維護(hù)過程適用于發(fā)布后增強(qiáng)類軟件更新,包括軟件更新需求評(píng)估、軟件更新策劃、軟件更新實(shí)施、軟件驗(yàn)證、軟件確認(rèn)、軟件發(fā)布、用戶告知等活動(dòng)。
軟件風(fēng)險(xiǎn)管理過程包括風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)控制、綜合剩余風(fēng)險(xiǎn)評(píng)價(jià)等活動(dòng),基于醫(yī)療器械風(fēng)險(xiǎn)管理過程予以實(shí)施,可采用醫(yī)療器械常用風(fēng)險(xiǎn)管理方法。
軟件配置管理過程包括配置項(xiàng)識(shí)別、更改控制、配置狀態(tài)記錄等活動(dòng),基于軟件版本命名規(guī)則進(jìn)行軟件版本控制,可使用配置管理工具或常用辦公軟件予以實(shí)施。軟件版本命名規(guī)則明確字段的位數(shù)、范圍、含義,字段含義明確且無歧義無矛盾,涵蓋自研軟件、現(xiàn)成軟件、網(wǎng)絡(luò)安全的全部軟件更新類型,能夠區(qū)分重大軟件更新和輕微軟件更新,保證軟件更新的版本變更符合軟件版本命名規(guī)則要求[8]。
軟件缺陷管理過程適用于發(fā)布前和發(fā)布后糾正類軟件更新,包括軟件缺陷評(píng)估、軟件缺陷修復(fù)、回歸測試等活動(dòng),可使用缺陷管理工具或常用辦公軟件予以實(shí)施。
軟件開發(fā)過程、軟件維護(hù)過程是前后關(guān)系,軟件風(fēng)險(xiǎn)管理過程、軟件配置管理過程、軟件缺陷管理過程貫穿于軟件開發(fā)過程、軟件維護(hù)過程。
同時(shí),軟件可追溯性分析也是軟件生存周期過程的重要過程之一,同樣貫穿于軟件開發(fā)過程、軟件維護(hù)過程,可使用可追溯性分析工具或常用辦公軟件予以實(shí)施。
此外,軟件生存周期過程亦需考慮現(xiàn)成軟件、網(wǎng)絡(luò)安全相關(guān)要求。現(xiàn)成軟件考慮采購控制、設(shè)計(jì)開發(fā)控制等要求,使用外包軟件需與供應(yīng)商簽訂質(zhì)量協(xié)議,使用遺留軟件需評(píng)估現(xiàn)有文件、上市后使用問題(含不良事件、召回)等情況,使用開源軟件需遵循相應(yīng)開源許可協(xié)議。網(wǎng)絡(luò)安全設(shè)計(jì)開發(fā)與軟件設(shè)計(jì)開發(fā)相融合,可基于網(wǎng)絡(luò)安全能力建設(shè)要求予以實(shí)施,并考慮網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)要求。
軟件生存周期過程質(zhì)量保證活動(dòng)要求應(yīng)與軟件安全性級(jí)別相匹配,軟件風(fēng)險(xiǎn)程度越高,其質(zhì)控要求越嚴(yán)格。
敏捷開發(fā)具有特殊性,還需加強(qiáng)軟件更新、文件與記錄等控制要求。
軟件生存周期過程(包括現(xiàn)成軟件、網(wǎng)絡(luò)安全)的具體要求詳見醫(yī)療器械獨(dú)立軟件生產(chǎn)質(zhì)量管理規(guī)范及其現(xiàn)場檢查指導(dǎo)原則[9]。
七、技術(shù)考量
(一)注冊(cè)單元與檢測單元
1. 注冊(cè)單元?jiǎng)澐衷瓌t
(1)獨(dú)立軟件
獨(dú)立軟件注冊(cè)單元以管理類別、預(yù)期用途、功能模塊作為劃分原則。
不同管理類別的獨(dú)立軟件作為不同注冊(cè)單元,若在技術(shù)上無法拆分可作為一個(gè)注冊(cè)單元并按照較高管理類別申報(bào)注冊(cè)。
不同預(yù)期用途的獨(dú)立軟件作為不同注冊(cè)單元,按照預(yù)期用途可分為輔助決策類和非輔助決策類,每類又可細(xì)分為治療、診斷、監(jiān)護(hù)、篩查等情形。
對(duì)于功能龐大復(fù)雜的獨(dú)立軟件,依據(jù)功能模塊的類型和數(shù)量劃分注冊(cè)單元,每個(gè)注冊(cè)單元所含功能模塊數(shù)量需適中。按照功能模塊類型可分為平臺(tái)功能軟件和特定功能軟件[10],其中平臺(tái)功能軟件作為軟件平臺(tái)提供基本功能和共用功能,支持多模態(tài)數(shù)據(jù)(如醫(yī)學(xué)圖像、生理參數(shù)、體外診斷等數(shù)據(jù));特定功能軟件運(yùn)行于平臺(tái)功能軟件并提供特定功能,支持單模態(tài)數(shù)據(jù)或者使用多模態(tài)數(shù)據(jù)實(shí)現(xiàn)某一特定預(yù)期用途。
例如,某PACS包含數(shù)十個(gè)單獨(dú)的功能模塊,并含有輔助決策類功能模塊,需拆分為一個(gè)平臺(tái)功能軟件和多個(gè)特定功能軟件,其中輔助決策類功能模塊單獨(dú)作為一個(gè)注冊(cè)單元。
(2)軟件組件
軟件組件注冊(cè)單元與所屬醫(yī)療器械相同,有軟件組件和無軟件組件的醫(yī)療器械作為不同注冊(cè)單元。專用型獨(dú)立軟件視為軟件組件的注冊(cè)單元與軟件組件相同。
2. 檢測單元?jiǎng)澐衷瓌t
檢測單元是指同一注冊(cè)單元內(nèi)用于檢測的代表產(chǎn)品。
(1)獨(dú)立軟件
獨(dú)立軟件檢測單元原則上與注冊(cè)單元相同,但若有多個(gè)運(yùn)行環(huán)境或多個(gè)發(fā)布版本,則每個(gè)互不兼容的運(yùn)行環(huán)境(含云計(jì)算)或每個(gè)互不涵蓋的發(fā)布版本均需作為一個(gè)檢測單元。
若軟件核心功能相同但核心算法類型不同,則每類核心算法所對(duì)應(yīng)的核心功能均需檢測(檢測對(duì)象為核心功能而非核心算法)。例如,圖像分割功能所用核心算法含常規(guī)圖像處理算法和人工智能算法,基于這兩類算法的圖像分割功能均需檢測。
(2)軟件組件
軟件組件檢測單元原則上與所屬醫(yī)療器械相同,但醫(yī)療器械若包含多個(gè)軟件組件或多個(gè)發(fā)布版本的軟件組件,則每個(gè)軟件組件或每個(gè)發(fā)布版本的軟件組件均需作為一個(gè)檢測單元,除非檢測單元能夠完整覆蓋注冊(cè)單元全部情況。同理,若軟件核心功能相同但核心算法類型不同,則每類核心算法所對(duì)應(yīng)的核心功能均需檢測。
專用型獨(dú)立軟件視為軟件組件的檢測單元原則上與軟件組件相同,但若有多個(gè)運(yùn)行環(huán)境,則每個(gè)互不兼容的運(yùn)行環(huán)境(含云計(jì)算)均需作為一個(gè)檢測單元。
(二)臨床評(píng)價(jià)基本原則
本指導(dǎo)原則僅明確醫(yī)療器械軟件臨床評(píng)價(jià)的基本原則[11],具體要求詳見醫(yī)療器械臨床評(píng)價(jià)相關(guān)指導(dǎo)原則。
1. 獨(dú)立軟件
獨(dú)立軟件通?;谲浖δ苓M(jìn)行臨床評(píng)價(jià),必要時(shí)可基于軟件算法進(jìn)行臨床評(píng)價(jià)。臨床評(píng)價(jià)需結(jié)合獨(dú)立軟件的預(yù)期用途和成熟度予以綜合考慮,可選擇已上市醫(yī)療器械所含同類軟件功能進(jìn)行同品種醫(yī)療器械比對(duì)。
非輔助決策類軟件功能基于核心功能進(jìn)行同品種醫(yī)療器械比對(duì)。全新的核心算法、核心功能、預(yù)期用途原則上均需開展臨床評(píng)價(jià)。簡單操作類、單純流程優(yōu)化類軟件功能可通過非臨床證據(jù)予以評(píng)價(jià)。
輔助決策類軟件功能基于核心算法進(jìn)行同品種醫(yī)療器械比對(duì),所選同品種醫(yī)療器械的臨床證據(jù)原則上需基于臨床試驗(yàn)(含回顧性研究,下同)。全新的核心算法、核心功能、預(yù)期用途原則上均需開展臨床試驗(yàn)。臨床試驗(yàn)若采用陽性對(duì)照設(shè)計(jì),可選擇預(yù)期用途相同且核心算法或核心功能等同的獨(dú)立軟件進(jìn)行對(duì)照。
2. 軟件組件
軟件組件控制功能、前處理功能的臨床評(píng)價(jià)通常與所屬醫(yī)療器械進(jìn)行整體評(píng)價(jià)。后處理功能的臨床評(píng)價(jià)可參照獨(dú)立軟件要求,亦可隨所屬醫(yī)療器械進(jìn)行整體評(píng)價(jià)。
專用型獨(dú)立軟件視為軟件組件的臨床評(píng)價(jià)與軟件組件后處理功能要求相同。
(三)網(wǎng)絡(luò)安全
醫(yī)療器械網(wǎng)絡(luò)安全需從網(wǎng)絡(luò)安全角度綜合考慮信息安全和數(shù)據(jù)安全。醫(yī)療器械軟件若具備電子數(shù)據(jù)交換、遠(yuǎn)程訪問與控制、用戶訪問三種功能當(dāng)中一種及以上功能,均需考慮網(wǎng)絡(luò)安全問題,具體要求詳見醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)指導(dǎo)原則。
(四)云計(jì)算[12]
云計(jì)算在醫(yī)療器械行業(yè)的應(yīng)用日益增多,雖然其具有降低信息化成本、減少重復(fù)建設(shè)、提高資源利用率、增加業(yè)務(wù)靈活性、提升服務(wù)專業(yè)性等優(yōu)勢,但是也存在著用戶對(duì)數(shù)據(jù)控制能力減弱、服務(wù)可持續(xù)性降低、數(shù)據(jù)所有權(quán)面臨挑戰(zhàn)、數(shù)據(jù)保護(hù)困難、數(shù)據(jù)殘留難以處理、用戶與云服務(wù)商責(zé)任不清、產(chǎn)生司法管轄權(quán)問題、面臨網(wǎng)絡(luò)安全威脅等風(fēng)險(xiǎn),因此注冊(cè)申請(qǐng)人需權(quán)衡使用云計(jì)算的受益和風(fēng)險(xiǎn)。
云計(jì)算視為現(xiàn)成軟件,云服務(wù)商視為醫(yī)療器械供應(yīng)商,因此,注冊(cè)申請(qǐng)人可參照現(xiàn)成軟件和醫(yī)療器械供應(yīng)商相關(guān)要求,考慮云計(jì)算的需求分析、風(fēng)險(xiǎn)管理、驗(yàn)證與確認(rèn)、維護(hù)計(jì)劃等活動(dòng)要求。
需求分析需考慮云計(jì)算的技術(shù)特征、云服務(wù)商的選擇問題。云計(jì)算技術(shù)特征包括服務(wù)模式、部署模式、配置情況、核心功能、數(shù)據(jù)接口、網(wǎng)絡(luò)安全保證等方面,其中服務(wù)模式分為軟件即服務(wù)(SaaS)、平臺(tái)即服務(wù)(PaaS)、基礎(chǔ)設(shè)施即服務(wù)(IaaS),部署模式分為私有云、公有云、混合云,配置情況包括計(jì)算資源、配套軟件功能等要求,核心功能包括數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)分析等功能,數(shù)據(jù)接口考慮傳輸協(xié)議、存儲(chǔ)格式等要求,網(wǎng)絡(luò)安全保證考慮數(shù)據(jù)匿名、數(shù)據(jù)加密、數(shù)據(jù)傳輸校驗(yàn)、安全配置等技術(shù)措施。同時(shí),基于云計(jì)算的服務(wù)資質(zhì)、服務(wù)協(xié)議等因素考慮云服務(wù)商選擇問題,云計(jì)算服務(wù)協(xié)議需明確網(wǎng)絡(luò)安全保證、患者數(shù)據(jù)與隱私保護(hù)等責(zé)任承擔(dān)要求。
風(fēng)險(xiǎn)管理基于云計(jì)算的核心功能、數(shù)據(jù)接口、網(wǎng)絡(luò)安全保證予以實(shí)施。驗(yàn)證與確認(rèn)基于云計(jì)算環(huán)境開展醫(yī)療器械軟件的驗(yàn)證與確認(rèn)工作,確保云計(jì)算滿足使用要求,且已知剩余缺陷的風(fēng)險(xiǎn)均可接受。維護(hù)計(jì)劃考慮云計(jì)算更新的維護(hù)方案,重新開展醫(yī)療器械軟件的驗(yàn)證與確認(rèn)工作,明確云計(jì)算服務(wù)終止的無損數(shù)據(jù)遷移方案。
若使用云計(jì)算,注冊(cè)申請(qǐng)人需在自研軟件研究報(bào)告、外部軟件環(huán)境評(píng)估報(bào)告相關(guān)條款中予以體現(xiàn),具體要求詳見第八章。若自建云計(jì)算平臺(tái),注冊(cè)申請(qǐng)人應(yīng)遵循云服務(wù)商相關(guān)規(guī)定,參照自研軟件要求提交相應(yīng)研究資料。
(五)移動(dòng)計(jì)算
醫(yī)療器械軟件若運(yùn)行于供個(gè)人使用的移動(dòng)計(jì)算終端(含醫(yī)用終端、通用終端),則屬于移動(dòng)醫(yī)療器械。此時(shí)需綜合考慮移動(dòng)計(jì)算終端的技術(shù)特征及其風(fēng)險(xiǎn),具體要求詳見移動(dòng)醫(yī)療器械相關(guān)指導(dǎo)原則。
(六)人工智能
醫(yī)療器械軟件若使用人工智能技術(shù)實(shí)現(xiàn)其預(yù)期用途(即醫(yī)療用途),則屬于人工智能醫(yī)療器械。此時(shí)需綜合考慮人工智能算法的技術(shù)特征及其風(fēng)險(xiǎn),具體要求詳見人工智能醫(yī)療器械相關(guān)指導(dǎo)原則。
(七)人因與可用性
建議加強(qiáng)醫(yī)療器械軟件用戶界面的人因設(shè)計(jì)以提升可用性,將用戶錯(cuò)誤使用的風(fēng)險(xiǎn)降至可接受水平,具體要求詳見醫(yī)療器械人因設(shè)計(jì)相關(guān)指導(dǎo)原則。
(八)互操作性
互操作性(又稱互用性)是指醫(yī)療器械與其他醫(yī)療器械或通用設(shè)備通過電子接口交換并使用信息的能力。其中電子接口包含硬件接口和軟件接口,信息包括但不限于醫(yī)學(xué)圖像、生理參數(shù)、體外診斷等數(shù)據(jù)和控制指令。
互操作性重點(diǎn)關(guān)注醫(yī)療器械軟件的接口設(shè)計(jì)及其風(fēng)險(xiǎn),接口包括內(nèi)部接口和外部接口,前者是指軟件模塊之間的接口,后者是指供用戶調(diào)用的接口,分體式醫(yī)療器械各獨(dú)立部分的內(nèi)部接口視為外部接口,如服務(wù)器與客戶端、主機(jī)與從機(jī)的內(nèi)部接口。從用戶角度出發(fā)軟件接口若無明示均指外部接口。
注冊(cè)申請(qǐng)人需考慮軟件接口的需求分析、風(fēng)險(xiǎn)管理、驗(yàn)證與確認(rèn)、維護(hù)計(jì)劃等活動(dòng)要求,以及說明書與標(biāo)簽的設(shè)計(jì)要求。
需求分析基于軟件接口的預(yù)期用戶(如醫(yī)務(wù)人員、患者、維護(hù)人員)、使用場景、預(yù)期用途明確其技術(shù)特征、使用限制。其中,軟件接口包括供用戶調(diào)用的應(yīng)用程序接口、數(shù)據(jù)接口(含傳輸協(xié)議、存儲(chǔ)格式,如DICOM、HL7、JPG、PNG、私有協(xié)議與格式)、產(chǎn)品接口(可聯(lián)合使用的其他醫(yī)療器械獨(dú)立軟件、醫(yī)療器械硬件產(chǎn)品)。技術(shù)特征包括但不限于連接對(duì)象、信息內(nèi)容、通信協(xié)議、性能指標(biāo)、網(wǎng)絡(luò)安全保證等要求。使用限制需考慮每個(gè)軟件接口的預(yù)期用戶范圍、連接要求。
風(fēng)險(xiǎn)管理基于軟件接口的預(yù)期用戶、使用場景、預(yù)期用途及技術(shù)特征、使用限制予以實(shí)施,明確故障應(yīng)對(duì)措施。驗(yàn)證與確認(rèn)應(yīng)保證軟件接口滿足設(shè)計(jì)要求,且已知剩余缺陷的風(fēng)險(xiǎn)均可接受。維護(hù)計(jì)劃考慮軟件接口的更新要求,軟件接口更新亦需重新進(jìn)行驗(yàn)證與確認(rèn)。
說明書逐項(xiàng)說明每個(gè)軟件接口的預(yù)期用戶、使用場景、預(yù)期用途、技術(shù)特征、使用限制、故障應(yīng)對(duì)措施。根據(jù)風(fēng)險(xiǎn)控制要求,標(biāo)簽明確關(guān)鍵軟件接口的技術(shù)特征、使用限制。
注冊(cè)申請(qǐng)人可單獨(dú)提交一份互操作性研究資料,內(nèi)容包括基本信息、需求規(guī)范、風(fēng)險(xiǎn)管理、驗(yàn)證與確認(rèn)、維護(hù)計(jì)劃;亦可在自研軟件研究報(bào)告相關(guān)條款中體現(xiàn)軟件接口要求,具體要求詳見第八章。
(九)測量功能
測量功能(又稱量化、定量功能)可分為圖形學(xué)測量功能、客觀物理測量功能,前者基于圖形學(xué)間接反映客觀事物的測量結(jié)果,后者直接反映客觀事物的測量結(jié)果。無論何種測量功能均需結(jié)合測量的誤差、不確定度等因素,明確測量準(zhǔn)確性指標(biāo),如線性度、精度、重復(fù)性、再現(xiàn)性、范圍限值、顯示誤差等。
注冊(cè)申請(qǐng)人需提供測量準(zhǔn)確性的研究資料,并在說明書中向用戶告知。此外,客觀物理測量還需在產(chǎn)品技術(shù)要求中明確準(zhǔn)確性指標(biāo),圖形學(xué)測量還需在說明書中提供關(guān)于測量準(zhǔn)確性的警示信息。
(十)遠(yuǎn)程訪問與控制
對(duì)于遠(yuǎn)程訪問與控制(含遠(yuǎn)程維護(hù)與升級(jí))功能,需明確相關(guān)功能的性能指標(biāo)要求和網(wǎng)絡(luò)安全要求,具體要求詳見醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)指導(dǎo)原則。
注冊(cè)申請(qǐng)人需在軟件研究資料、網(wǎng)絡(luò)安全研究資料中提供相應(yīng)研究資料,在產(chǎn)品技術(shù)要求中明確性能指標(biāo)要求,并在說明書中向用戶告知相應(yīng)功能的使用要求(含網(wǎng)絡(luò)安全)。
(十一)通用計(jì)算平臺(tái)
通用計(jì)算平臺(tái)本身不屬于監(jiān)管對(duì)象,需從風(fēng)險(xiǎn)管理角度考慮其對(duì)醫(yī)療器械的影響,具體要求取決于其是否作為醫(yī)療器械的產(chǎn)品結(jié)構(gòu)組成。
對(duì)于獨(dú)立軟件、專用型獨(dú)立軟件視為軟件組件,醫(yī)療器械的產(chǎn)品結(jié)構(gòu)組成不含通用計(jì)算平臺(tái),在說明書中向用戶告知通用計(jì)算平臺(tái)需滿足信息技術(shù)設(shè)備安全要求(含電磁兼容),并列明需符合的標(biāo)準(zhǔn)清單。
對(duì)于外控型軟件組件,醫(yī)療器械的產(chǎn)品結(jié)構(gòu)組成含有通用計(jì)算平臺(tái),在“其他研究資料”中提供通用計(jì)算平臺(tái)滿足信息技術(shù)設(shè)備安全要求(含電磁兼容)的證明性資料,如相關(guān)標(biāo)準(zhǔn)的自檢報(bào)告、檢測報(bào)告或相關(guān)認(rèn)證文件。
(十二)非醫(yī)療器械功能
醫(yī)療器械軟件若在技術(shù)上能夠拆分非醫(yī)療器械功能,即采用模塊化設(shè)計(jì)區(qū)分醫(yī)療器械功能和非醫(yī)療器械功能,則產(chǎn)品結(jié)構(gòu)組成不應(yīng)包含非醫(yī)療器械功能模塊,說明書若含有非醫(yī)療器械功能應(yīng)予以刪除或注明為非醫(yī)療器械功能,產(chǎn)品技術(shù)要求不應(yīng)含有非醫(yī)療器械功能。
醫(yī)療器械軟件若在技術(shù)上無法拆分非醫(yī)療器械功能,需將非醫(yī)療器械功能作為自身組成部分予以整體考慮,重點(diǎn)關(guān)注非醫(yī)療器械功能對(duì)于醫(yī)療器械軟件的影響及其風(fēng)險(xiǎn)。注冊(cè)申請(qǐng)人需在醫(yī)療器械軟件設(shè)計(jì)開發(fā)整體框架下考慮非醫(yī)療器械功能的軟件生存周期過程質(zhì)控要求,原則上可按軟件安全性級(jí)別為輕微級(jí)別的要求予以處理。醫(yī)療器械軟件的研究資料涵蓋非醫(yī)療器械功能,說明書對(duì)非醫(yī)療器械功能予以注明,產(chǎn)品技術(shù)要求性能指標(biāo)所述“功能”條款簡述非醫(yī)療器械功能即可。
(十三)植入物產(chǎn)品設(shè)計(jì)軟件
有些植入式醫(yī)療器械本身不含有醫(yī)療器械軟件,但其安全有效性顯著受限于產(chǎn)品設(shè)計(jì)軟件的輸出結(jié)果,如有源植入物設(shè)計(jì)軟件(如可編程邏輯控件編程軟件、集成電路設(shè)計(jì)軟件)、個(gè)性化無源植入物(如骨科、齒科增材制造假體)設(shè)計(jì)軟件等。
同時(shí),有些植入式醫(yī)療器械需采用建模仿真軟件進(jìn)行安全有效性驗(yàn)證,如磁共振環(huán)境安全仿真軟件、計(jì)算流體力學(xué)仿真軟件、有限元計(jì)算仿真軟件等。
因此,從醫(yī)療器械安全有效性評(píng)價(jià)角度出發(fā),此兩類植入物產(chǎn)品設(shè)計(jì)軟件在植入式醫(yī)療器械注冊(cè)申報(bào)時(shí)亦需提交軟件研究資料。由于植入式醫(yī)療器械風(fēng)險(xiǎn)較高,植入物產(chǎn)品設(shè)計(jì)軟件屬于質(zhì)量管理軟件,故可參照嚴(yán)重級(jí)別的成品軟件、自研軟件要求提交軟件研究資料,具體要求詳見第八章。
(十四)使用期限
獨(dú)立軟件的使用期限即軟件生存周期時(shí)限,通過商業(yè)因素予以確定,無需提供驗(yàn)證資料。
軟件組件的使用期限與所屬醫(yī)療器械相同,無需單獨(dú)體現(xiàn)。專用型獨(dú)立軟件視為軟件組件的使用期限要求與獨(dú)立軟件相同,在所屬醫(yī)療器械使用期限研究資料中體現(xiàn)。
(十五)異常處理
異常處理(Exception handling)用于處理軟件出現(xiàn)的異常狀況,及時(shí)將軟件異常信息告知用戶,以采取風(fēng)險(xiǎn)控制措施保證安全有效性。注冊(cè)申請(qǐng)人需在醫(yī)療器械軟件設(shè)計(jì)開發(fā)過程中加強(qiáng)異常處理的設(shè)計(jì)工作,特別是在手術(shù)、急救等使用場景下。
(十六)功能安全與軟件可靠性
考慮到行業(yè)實(shí)際情況,功能安全、軟件可靠性暫不要求,待時(shí)機(jī)成熟時(shí)納入考量。建議注冊(cè)申請(qǐng)人參考相關(guān)標(biāo)準(zhǔn)要求加強(qiáng)功能安全、軟件可靠性的設(shè)計(jì)工作,若已開展相應(yīng)工作可在軟件研究資料中予以提供。
(十七)GB/T 25000.51實(shí)施要求
GB/T 25000.51適用于醫(yī)療器械軟件,其中“產(chǎn)品說明要求”、“用戶文檔集要求”適用于說明書,“軟件質(zhì)量要求”適用于軟件本身,同時(shí)“使用質(zhì)量”不適用。
注冊(cè)申請(qǐng)人需在軟件研究資料中提交GB/T 25000.51自測報(bào)告,亦可提交自檢報(bào)告或檢驗(yàn)報(bào)告代替自測報(bào)告,下同。
(十八)進(jìn)口醫(yī)療器械軟件
對(duì)于進(jìn)口醫(yī)療器械軟件,應(yīng)提供本次申報(bào)軟件在原產(chǎn)國(即注冊(cè)地或生產(chǎn)地址所在國家/地區(qū))獲準(zhǔn)上市的證明文件或證明性材料,注明軟件完整版本。
進(jìn)口醫(yī)療器械軟件若存在中外差異,如語言差異、軟件功能刪減、適用范圍縮減等,需在軟件研究資料中提交本次申報(bào)軟件與原產(chǎn)國獲準(zhǔn)上市版本軟件的中外差異說明材料。
考慮到進(jìn)口醫(yī)療器械軟件不一定在中國同步注冊(cè),即該軟件在原產(chǎn)國已多次變更注冊(cè)但在中國為一次注冊(cè)(含產(chǎn)品注冊(cè)、變更注冊(cè))。對(duì)于產(chǎn)品注冊(cè),注冊(cè)申報(bào)資料需涵蓋本次申報(bào)軟件的全部內(nèi)容;對(duì)于變更注冊(cè),注冊(cè)申報(bào)資料需涵蓋軟件自中國前次注冊(cè)至本次申報(bào)的全部變更內(nèi)容。
(未完待續(xù))