為進一步規(guī)范醫(yī)療器械軟件注冊的管理,國家藥監(jiān)局器審中心組織制定了醫(yī)療器械軟件注冊審查指導原則(2022年修訂版)(2022年第9號),并與2022年3月9日發(fā)布。
為進一步規(guī)范醫(yī)療器械軟件注冊的管理,國家藥監(jiān)局器審中心組織制定了醫(yī)療器械軟件注冊審查指導原則(2022年修訂版)(2022年第9號),并與2022年3月9日發(fā)布。
醫(yī)療器械軟件注冊審查指導原則
(2022年修訂版)
本指導原則旨在指導注冊申請人規(guī)范醫(yī)療器械軟件生存周期過程和準備醫(yī)療器械軟件注冊申報資料,同時規(guī)范醫(yī)療器械軟件的技術(shù)審評要求,為醫(yī)療器械軟件、質(zhì)量管理軟件的體系核查提供參考。
本指導原則是對醫(yī)療器械軟件的一般要求,注冊申請人需根據(jù)產(chǎn)品特性和風險程度確定本指導原則具體內(nèi)容的適用性,若不適用詳述理由。注冊申請人亦可采用其他符合法規(guī)要求的替代方法,但需提供詳盡研究資料。
本指導原則是在現(xiàn)行法規(guī)、強制性標準體系以及當前科技能力、認知水平下制定的,隨著法規(guī)、強制性標準體系的不斷完善以及科技能力、認知水平的不斷發(fā)展,本指導原則相關(guān)內(nèi)容也將適時調(diào)整。
本指導原則作為注冊申請人、審評人員和檢查人員的指導性文件,不包括審評審批所涉及的行政事項,亦不作為法規(guī)強制執(zhí)行,應在符合法規(guī)要求的前提下使用本指導原則。
本指導原則是數(shù)字醫(yī)療(Digital Health)指導原則體系的基礎(chǔ)指導原則,亦是醫(yī)療器械軟件的通用指導原則,其他含有或涉及軟件的醫(yī)療器械指導原則可在本指導原則基礎(chǔ)上進行有針對性的調(diào)整、修改和完善。
一、適用范圍
本指導原則適用于醫(yī)療器械軟件的注冊申報,包括第二、三類獨立軟件和含有軟件組件的醫(yī)療器械(包括體外診斷醫(yī)療器械);適用于自研軟件、現(xiàn)成軟件的注冊申報。
本指導原則也可用作醫(yī)療器械軟件、質(zhì)量管理軟件的體系核查參考。
二、主要概念
(一)醫(yī)療器械軟件
醫(yī)療器械軟件包括本身即為醫(yī)療器械的軟件或者醫(yī)療器械內(nèi)含的軟件,前者即醫(yī)療器械獨立軟件(簡稱獨立軟件),后者即醫(yī)療器械軟件組件(簡稱軟件組件),詳見圖1。
獨立軟件(SaMD)是指具有一個或多個醫(yī)療目的/用途,無需醫(yī)療器械硬件即可完成自身預期用途,運行于通用計算平臺的軟件[1]。通用計算平臺滿足信息技術(shù)設(shè)備安全要求(含電磁兼容),符合GB 4943.1、GB/T 9254等標準。
獨立軟件可分為通用型獨立軟件和專用型獨立軟件,前者通?;谕ㄓ脭?shù)據(jù)接口與多個醫(yī)療器械聯(lián)合使用,如醫(yī)學圖像處理軟件、患者監(jiān)護軟件;后者基于通用、專用數(shù)據(jù)接口與特定醫(yī)療器械聯(lián)合使用,可視為醫(yī)療器械附件,如動態(tài)心電數(shù)據(jù)分析軟件、眼科顯微鏡圖像處理軟件。
軟件組件(SiMD)是指具有一個或多個醫(yī)療目的/用途,控制/驅(qū)動醫(yī)療器械硬件或運行于醫(yī)用計算平臺的軟件。醫(yī)用計算平臺滿足醫(yī)用電氣設(shè)備(GB 9706系列)、實驗室用電氣設(shè)備(GB 4793系列)或有源植入式醫(yī)療器械(GB 16174系列)等安全要求(含電磁兼容);醫(yī)用計算平臺可與通用計算平臺聯(lián)合使用構(gòu)成系統(tǒng),整體視為醫(yī)用計算平臺。
獨立軟件作為醫(yī)療器械或醫(yī)療器械附件,通常單獨注冊,特殊情況可隨醫(yī)療器械進行注冊,此時雖不控制/驅(qū)動醫(yī)療器械硬件但從產(chǎn)品角度運行于醫(yī)用計算平臺,故視為軟件組件,如專用型獨立軟件可作為附件隨醫(yī)療器械進行注冊。
軟件組件作為醫(yī)療器械或醫(yī)療器械部件、附件的組成部分,不宜單獨注冊,需隨醫(yī)療器械進行整體注冊。
(二)系統(tǒng)軟件、應用軟件、中間件、支持軟件
系統(tǒng)軟件是指設(shè)計用于保障計算機系統(tǒng)正常運行的軟件,如操作系統(tǒng)軟件、虛擬機軟件。應用軟件是指設(shè)計用于實現(xiàn)計算機用戶特定需求的軟件,如瀏覽器軟件、數(shù)據(jù)庫軟件、安全軟件。中間件介于系統(tǒng)軟件和應用軟件之間,依賴于系統(tǒng)軟件的支持,同時又為應用軟件提供支持,如分布式計算平臺軟件。支持軟件是指設(shè)計用于開發(fā)、測試其他軟件的軟件,如軟件開發(fā)工具、軟件測試工具。
醫(yī)療器械軟件屬于應用軟件,其正常運行通常需要基于系統(tǒng)軟件,或同時需要應用軟件(含其他醫(yī)療器械軟件)、中間件、支持軟件的支持。
有些注冊申請人會開發(fā)醫(yī)用中間件用作醫(yī)療器械軟件的公共支持平臺,由于這些醫(yī)用中間件是醫(yī)療器械軟件正常運行所必需的,故作為醫(yī)療器械軟件的組成部分予以考慮。
有些支持軟件(如VTK、ITK)自帶算法庫,醫(yī)療器械軟件開發(fā)過程已將算法庫相關(guān)內(nèi)容集成于自身內(nèi)部,故醫(yī)療器械軟件正常運行需要這些支持軟件的支持。
本指導原則將醫(yī)療器械軟件正常運行所必需的其他的醫(yī)療器械軟件及醫(yī)用中間件稱為必備軟件,而將其正常運行所必需的系統(tǒng)軟件、通用應用軟件、通用中間件、支持軟件統(tǒng)稱為外部軟件環(huán)境。必備軟件作為醫(yī)療器械軟件單獨注冊,明確相互接口關(guān)系及技術(shù)特征即可。外部軟件環(huán)境不含必備軟件,亦非醫(yī)療器械軟件。
(三)軟件生存周期
軟件生存周期(又稱軟件生命周期)是指軟件系統(tǒng)從概念定義至停止使用的時間周期,包括軟件開發(fā)策劃、軟件需求分析、軟件設(shè)計、軟件編碼、軟件測試、軟件發(fā)布、軟件部署、軟件維護、軟件停運等階段。其中,從軟件需求分析到軟件發(fā)布的時間周期稱為軟件開發(fā)生存周期。
軟件開發(fā)策劃主要確定軟件開發(fā)的目標和可行性。軟件需求分析是將法規(guī)、標準、用戶、產(chǎn)品等要求轉(zhuǎn)換為軟件需求規(guī)范/軟件需求規(guī)格說明(SRS)。軟件設(shè)計是通過設(shè)計活動將軟件需求規(guī)范轉(zhuǎn)換為軟件設(shè)計規(guī)范/軟件設(shè)計規(guī)格說明(SDS)。軟件編碼是通過編寫源代碼將軟件設(shè)計規(guī)范轉(zhuǎn)換為軟件系統(tǒng)。軟件測試是通過各類測試活動保證軟件系統(tǒng)質(zhì)量。軟件發(fā)布是將軟件系統(tǒng)予以產(chǎn)品定型。軟件部署是指軟件系統(tǒng)的交付、安裝、設(shè)置和配置。軟件維護是對軟件系統(tǒng)發(fā)布后的更新需求予以實現(xiàn)。軟件停運(即軟件退市)是指終止軟件系統(tǒng)的銷售和售后服務,售后服務停止時間通常晚于停售時間。
軟件生存周期模型是指一組包含過程、活動和任務的框架,跨越從軟件需求分析到軟件停運的軟件生存周期過程,每個過程可細分為若干活動,每個活動又可細分為若干任務。其中,軟件開發(fā)生存周期模型是軟件生存周期模型的重要組成部分,常見模型包括瀑布模型、迭代模型、增量模型、V模型等。
敏捷開發(fā)是以人為核心、迭代與增量相結(jié)合的軟件開發(fā)方法,常見軟件開發(fā)生存周期模型包括SCRUM、極限編程等。敏捷開發(fā)秉承四條理念:人員互動勝于過程和工具,可用的軟件勝于詳盡的文檔,客戶合作勝于合同談判,響應變化勝于遵循計劃。因此,使用敏捷開發(fā)應兼顧質(zhì)量管理體系相關(guān)要求,重點關(guān)注軟件更新、文件與記錄等控制要求。
注冊申請人可結(jié)合軟件的產(chǎn)品特點、風險程度以及質(zhì)量管理體系要求,選擇適宜的軟件生存周期模型,參照相關(guān)國際、國家、行業(yè)標準建立相應軟件生存周期過程。
(四)軟件測試、軟件驗證、軟件確認
軟件測試是軟件質(zhì)量保證的基本措施,也是軟件驗證、軟件確認的重要方法,從不同角度有不同分類方法。
從測試依據(jù)角度可分為黑盒測試和白盒測試。其中,黑盒測試是指基于輸入與輸出的測試,白盒測試是指基于源代碼的測試,黑盒測試與白盒測試可組合使用,即灰盒測試。白盒測試根據(jù)是否運行源代碼又可分為靜態(tài)、動態(tài)分析/測試。
從測試進程角度可分為單元測試、集成測試、系統(tǒng)測試。其中,單元測試是對軟件單元進行測試,通常采用白盒測試;集成測試是對軟件項(由若干軟件單元組成,即軟件模塊)進行測試,白盒測試、黑盒測試、灰盒測試相結(jié)合;系統(tǒng)測試是對軟件系統(tǒng)(由若干軟件項組成)進行測試,通常采用黑盒測試,其從測試內(nèi)容角度又可分為功能測試、性能測試、并發(fā)測試、壓力測試、接口測試、內(nèi)存測試、兼容性測試、用戶界面測試、安裝卸載測試、安全測試等。
從測試實施方角度可分為內(nèi)部測試、用戶測試、第三方測試。其中,內(nèi)部測試是指注冊申請人實施的測試,包括單元測試、集成測試、系統(tǒng)測試,白盒測試、黑盒測試、灰盒測試相結(jié)合;用戶測試是指預期用戶在真實或模擬使用場景對軟件系統(tǒng)進行測試,采用黑盒測試;第三方測試是指第三方機構(gòu)對軟件系統(tǒng)進行測試,通常采用黑盒測試。
回歸測試是指用于確定軟件更新沒有產(chǎn)生不良影響且未引入風險不可接受新缺陷的軟件測試?;貧w測試需根據(jù)軟件更新的類型、內(nèi)容和程度,開展與之相適宜的單元測試、集成測試、系統(tǒng)測試、用戶測試、第三方測試等測試活動。
軟件驗證是指通過提供客觀證據(jù)認定軟件開發(fā)、軟件維護某一階段的輸出滿足輸入要求。軟件驗證包括源代碼審核、靜態(tài)和動態(tài)分析/測試、單元測試、集成測試、系統(tǒng)測試、設(shè)計評審等系列活動,是軟件確認的基礎(chǔ)。
軟件確認是指通過提供客觀證據(jù)認定軟件滿足用戶需求和預期用途。軟件確認是基于過程控制的設(shè)計確認,包括用戶測試、臨床評價、設(shè)計評審等系列活動,即要保證軟件滿足用戶需求和預期用途,又要確保軟件已知剩余缺陷的風險均可接受。
注冊申請人需結(jié)合軟件的產(chǎn)品特點、風險程度考慮相應軟件測試要求,明確語句、判定、條件、路徑等測試覆蓋率要求,以保證軟件驗證、軟件確認的質(zhì)量。全部源代碼均應測試,可結(jié)合白盒測試、黑盒測試、灰盒測試等方法予以實現(xiàn)。
(五)軟件可追溯性分析
軟件可追溯性分析作為軟件驗證、軟件確認的重要活動之一,是指追蹤軟件需求、軟件設(shè)計、源代碼、軟件測試、軟件風險管理之間的關(guān)系,分析已識別關(guān)系的正確性、一致性、完整性、準確性。
軟件生存周期過程均需開展可追溯性分析活動,詳見圖2。軟件需求分析階段追溯分析軟件需求與產(chǎn)品需求、軟件需求與風險分析的關(guān)系。軟件設(shè)計階段追溯分析軟件設(shè)計與軟件需求、軟件設(shè)計與風險控制的關(guān)系。軟件編碼階段追溯分析源代碼與軟件設(shè)計、源代碼與測試用例的關(guān)系。內(nèi)部測試階段追溯分析單元測試、集成測試、系統(tǒng)測試各級測試用例與軟件設(shè)計,系統(tǒng)測試與軟件需求,系統(tǒng)測試與風險管理的關(guān)系。用戶測試階段追溯分析用戶測試與產(chǎn)品需求、用戶測試與風險管理的關(guān)系。軟件更新亦需開展與之相適宜的軟件可追溯性分析活動。
注冊申請人應建立軟件可追溯性分析過程,規(guī)范軟件可追溯性分析相關(guān)活動要求,以保證軟件驗證、軟件確認的質(zhì)量??紤]到行業(yè)實際情況,源代碼追溯分析活動追溯至軟件單元(列明名稱)即可。
(六)軟件更新
1. 主要概念
軟件更新是指注冊申請人在軟件生存周期全過程對軟件所做的任一修改,亦稱軟件變更、軟件維護。軟件維護通常與軟件更新含義相同,但可特指發(fā)布后軟件更新。
軟件更新從不同角度出發(fā)有不同分類方法。從更新結(jié)果角度可分為重大更新和輕微更新,重大更新是指影響到醫(yī)療器械安全性或有效性的軟件更新,反之即為輕微更新。
從更新內(nèi)容角度可分為增強類更新和糾正類更新(即軟件缺陷修復)。增強類更新又可分為完善型更新和適應型更新,其中完善型更新是指改變功能、性能、接口等軟件屬性的軟件更新,適應型更新是指適應新運行環(huán)境的軟件更新;其從更新結(jié)果角度又可分為重大增強類更新、輕微增強類更新。糾正類更新又可分為修正型更新和預防型更新,其中修正型更新是指修復軟件存在且已造成運行故障缺陷的軟件更新,預防型更新是指修復軟件存在但尚未造成運行故障缺陷的軟件更新;其通常屬于輕微更新,除非影響到醫(yī)療器械安全性或有效性。
本指導原則關(guān)注醫(yī)療器械軟件的安全性和有效性,將軟件更新分為:
(1)重大軟件更新:影響到醫(yī)療器械安全性或有效性的增強類更新,即重大增強類軟件更新,應申請變更注冊。
(2)輕微軟件更新:不影響醫(yī)療器械安全性與有效性的增強類更新、糾正類更新,包括輕微增強類軟件更新、糾正類軟件更新,通過質(zhì)量管理體系進行控制,無需申請變更注冊,待下次變更注冊時提交相應注冊申報資料。
此外,軟件構(gòu)建是指軟件編譯生成一個工作版本,符合軟件更新定義,通過質(zhì)量管理體系進行控制,注冊申報資料要求與糾正類軟件更新相同。召回相關(guān)軟件更新包括軟件更新導致召回、召回措施所用軟件更新,無論增強類更新還是糾正類更新均屬于重大軟件更新,按照醫(yī)療器械召回相關(guān)法規(guī)要求處理,不屬于本指導原則討論范疇。
軟件更新遵循風險從高原則,即同時發(fā)生重大、輕微軟件更新按重大軟件更新處理,同時發(fā)生增強類、糾正類軟件更新按增強類軟件更新處理。軟件更新需考慮引入回滾機制,以保證醫(yī)療業(yè)務的連續(xù)性,特別是對高風險軟件。
軟件重新開發(fā)即注冊申請人棄用原有軟件而開發(fā)新軟件,不屬于軟件更新范疇,按初次發(fā)布處理。
2. 重大軟件更新判定原則
軟件更新若影響到醫(yī)療器械的預期用途、使用場景或核心功能原則上均屬于重大軟件更新,其判定原則包括但不限于:
(1)完善型軟件更新:若影響到用戶決策(含決策能力、決策結(jié)果、決策流程、用戶行動)或人員(含患者、用戶、其他相關(guān)人員)安全則屬于重大軟件更新,如軟件的輸入輸出數(shù)據(jù)類型、體系結(jié)構(gòu)、用戶界面關(guān)系、物理拓撲、核心算法、核心功能、診療流程或預期用途等發(fā)生改變,軟件系統(tǒng)、高風險軟件項/軟件單元進行代碼重構(gòu),安全性級別改變,調(diào)整報警方式等;而運算效率單純提高、診療流程或工作語言可配置化(即用戶可保留原有診療流程或工作語言)、用戶界面文字性修改、中低風險軟件項/軟件單元的代碼重構(gòu)等情況通常不視為重大軟件更新,除非影響到醫(yī)療器械的安全性或有效性。
(2)適應型軟件更新:若軟件運行環(huán)境跨越互不兼容的計算平臺(含硬件配置、外部軟件環(huán)境、必備軟件、網(wǎng)絡(luò)條件)則屬于重大軟件更新,如預期運行的操作系統(tǒng)軟件由Windows變?yōu)閕OS,更換瀏覽器內(nèi)核、必備軟件,網(wǎng)絡(luò)條件由局域網(wǎng)變?yōu)閺V域網(wǎng),計算平臺由通用計算平臺變?yōu)獒t(yī)用計算平臺等;預期運行的系統(tǒng)軟件、支持軟件、通用中間件的兼容性版本更新、補丁更新通常不視為重大軟件更新,除非影響到醫(yī)療器械的安全性或有效性。
綜上,醫(yī)療器械軟件更新類型如圖3所示。
重大軟件更新的范圍會隨著認知水平與技術(shù)能力的提高、不良事件與召回情況的分析進行動態(tài)調(diào)整。
(七)軟件版本
軟件沒有物理實體,只能通過狀態(tài)標識進行軟件更新管理,從而保證軟件質(zhì)量。軟件版本使用不同字段來區(qū)分軟件更新類型,進而標識軟件狀態(tài),因此軟件版本與軟件是一一對應的表里關(guān)系,亦是軟件標識不可或缺的組成部分。
軟件版本可分為軟件發(fā)布版本和軟件完整版本[3],其中軟件發(fā)布版本僅體現(xiàn)重大軟件更新,即只限于重大增強類軟件更新,其改變意味著發(fā)生重大軟件更新,反之亦然;軟件完整版本體現(xiàn)重大、輕微軟件更新的全部類型,包括重大增強類軟件更新、輕微增強類軟件更新、糾正類軟件更新、軟件構(gòu)建(若適用),其不同字段的改變意味發(fā)生不同類型的軟件更新,反之亦然。
軟件發(fā)布版本發(fā)生改變表示軟件發(fā)生重大更新,應申請變更注冊,軟件完整版本發(fā)生改變但軟件發(fā)布版本未變表示軟件僅發(fā)生輕微更新,此時通過質(zhì)量管理體系進行控制,無需申請變更注冊。例如,軟件版本命名規(guī)則為X.Y.Z.B,其中X表示重大增強類軟件更新,Y表示輕微增強類軟件更新,Z表示糾正類軟件更新,B表示軟件構(gòu)建,則軟件發(fā)布版本為X,軟件完整版本為X.Y.Z.B,此時X改變應申請變更注冊,而Y、Z、B改變但X未變則無需申請變更注冊。
注冊申請人應綜合考慮軟件產(chǎn)品特點、質(zhì)量管理體系要求、合規(guī)性等因素制定軟件版本命名規(guī)則并予以記錄,明確字段的位數(shù)、范圍、含義,涵蓋軟件更新全部類型,字段含義明確且無歧義無矛盾,能夠區(qū)分重大軟件更新和輕微軟件更新,保證軟件更新的版本變更符合軟件版本命名規(guī)則要求。同時,考慮醫(yī)療器械網(wǎng)絡(luò)安全、人工智能醫(yī)療器械等指導原則的要求。
軟件版本命名規(guī)則同樣遵循風險從高原則,即某字段同時表示重大軟件更新和輕微軟件更新,則該字段按重大軟件更新處理,并作為軟件發(fā)布版本的組成部分。
有用戶界面的軟件可在登錄界面、主界面、“關(guān)于”或“幫助”等界面體現(xiàn)軟件發(fā)布版本、軟件完整版本,兩個版本均需體現(xiàn)但無需每個界面同時體現(xiàn)。無用戶界面的軟件需提供獲取軟件完整版本的方法,以明確軟件版本信息[4]。
產(chǎn)品技術(shù)要求注明軟件發(fā)布版本、軟件版本命名規(guī)則,其中軟件版本命名規(guī)則需與質(zhì)量管理體系保持一致。檢測報告提供軟件版本界面照片或列明軟件版本信息,有用戶界面的軟件體現(xiàn)軟件發(fā)布版本、軟件完整版本,無用戶界面的軟件體現(xiàn)軟件完整版本。說明書注明軟件發(fā)布版本。
軟件模塊(含醫(yī)用中間件)若單獨進行版本控制,亦需滿足版本控制要求,并明確與軟件系統(tǒng)版本控制的關(guān)系。
(八)軟件算法、軟件功能、軟件用途
軟件算法是軟件功能的基礎(chǔ),二者是多對多的關(guān)系,即一個軟件算法可供一個或多個軟件功能使用,一個軟件功能可含一個或多個軟件算法。同理,軟件功能和軟件用途的關(guān)系亦是如此。
從用戶角度出發(fā),軟件算法是內(nèi)在不可見的,軟件功能和軟件用途是外在可見的,考慮到軟件功能是軟件算法、軟件用途的聯(lián)系紐帶,故以軟件功能作為軟件安全有效性評價主線。例如,區(qū)域生長算法可實現(xiàn)圖像分割功能,圖像分割功能可用于病變輪廓標識。
軟件功能從不同角度出發(fā)有不同分類方法。從重要性角度可分為核心功能和非核心功能,其中核心功能是指軟件在預期使用場景完成預期用途所必需的功能,反之即為非核心功能。
從技術(shù)特征角度大體上可分為處理功能、控制功能、安全功能,其中處理功能是指加工醫(yī)療器械數(shù)據(jù)(即醫(yī)療器械產(chǎn)生的用于醫(yī)療用途的客觀數(shù)據(jù))或基于模型計算(如輻射劑量模型、藥代模型)的功能,控制功能是指控制/驅(qū)動醫(yī)療器械硬件運行的功能,安全功能是指保證醫(yī)療器械安全性的功能。
處理功能從數(shù)據(jù)流角度又可分為前處理功能和后處理功能,前者是指采集人體解剖、生理信息生成醫(yī)療器械數(shù)據(jù)過程的處理功能,如濾波、降噪、校正、重建等功能;后者是指利用醫(yī)療器械數(shù)據(jù)生成診療信息或進行醫(yī)療干預過程的處理功能,如平移、縮放、旋轉(zhuǎn)、濾波、測量、分割、融合、三維重建、治療計劃制定、藥代模型計算、基因測序、分析等功能。后處理功能從復雜性角度又可分為簡單功能和復雜功能,前者是指對現(xiàn)有醫(yī)療信息進行操作而非生成新醫(yī)療信息的功能,如平移、縮放、旋轉(zhuǎn)等功能;后者是指生成新醫(yī)療信息的功能,如濾波、測量、分割、融合、三維重建、治療計劃制定、藥代模型計算、基因測序、分析等功能。
獨立軟件的功能均為后處理功能,軟件組件的功能以控制功能、前處理功能為主,兼具后處理功能。考慮到控制功能和前處理功能通常與醫(yī)療器械硬件產(chǎn)品共同評價,故處理功能若無明示均指后處理功能;同時,考慮到測量、模型計算、分析等功能具有特殊性,通常情況下與處理功能并列表述。
從監(jiān)管范圍角度可分為醫(yī)療器械功能和非醫(yī)療器械功能,其中醫(yī)療器械功能是指可用作醫(yī)療器械界定依據(jù)的軟件功能,如醫(yī)學圖像、生理參數(shù)、體外診斷等數(shù)據(jù)的測量、處理、模型計算、分析等功能;反之即為非醫(yī)療器械功能,如收費計價、行政辦公等功能,不屬于監(jiān)管對象;實現(xiàn)醫(yī)療器械功能所必需的患者信息管理功能屬于醫(yī)療器械功能。二者盡量通過模塊化設(shè)計予以拆分,若在技術(shù)上無法拆分需將非醫(yī)療器械功能作為醫(yī)療器械軟件的組成部分予以整體考慮。
軟件算法從重要性角度可分為核心算法和非核心算法,其中核心算法是指實現(xiàn)軟件核心功能所必需的算法,反之即為非核心算法。從復雜性角度可分為簡單算法和復雜算法,前者原理簡單明確或基于成熟公式,后者通?;谀P脱芯浚嬖谥T多假設(shè)條件且影響因素較多,同時二者在算法規(guī)模、參數(shù)數(shù)量、運算速度等方面亦存在差異。從可解釋性角度可分為白盒算法和黑盒算法,前者可與現(xiàn)有知識建立關(guān)聯(lián),后者難與現(xiàn)有知識建立關(guān)聯(lián),前者可解釋性優(yōu)于后者。
軟件用途通??煞譃檩o助決策和非輔助決策,其中輔助決策是指通過提供診療活動建議輔助用戶(如醫(yī)務人員、患者)進行醫(yī)療決策,如病灶特征識別、病灶性質(zhì)判定、用藥指導、制定治療計劃等,相當于用戶的“助手”;反之,僅提供醫(yī)療參考信息而不進行醫(yī)療決策即為非輔助決策,包括流程優(yōu)化、診療驅(qū)動,前者如診療流程簡化等,后者如測量、分割、三維重建等,相當于用戶的“工具”。同時,輔助決策和非輔助決策從實時性角度均可細分為實時和非實時,前者風險通常高于后者。故軟件功能從軟件用途角度又可分為輔助決策類功能和非輔助決策類功能、實時功能和非實時功能。
軟件算法、軟件功能、軟件用途從成熟度角度均可分為成熟和全新兩種類型,其中成熟是指安全有效性已在醫(yī)療實踐中得到充分證實的情形,全新是指未上市或安全有效性尚未在醫(yī)療實踐中得到充分證實的情形[5]。同理,軟件亦可分為全新軟件和成熟軟件,軟件的算法、功能、用途若有一項為全新類型則屬于全新軟件,反之屬于成熟軟件。因全新軟件的潛在未知風險多于成熟軟件,故本指導原則以核心功能、核心算法為基礎(chǔ),重點關(guān)注全新軟件的安全有效性。
三、基本原則
(一)基于軟件特性
隨著信息通訊技術(shù)的迅猛發(fā)展,軟件在醫(yī)療器械中的應用日益普遍,作用日趨重要,開發(fā)形式靈活多變,新技術(shù)層出不窮。但隨之而來的質(zhì)量問題也日益增多,醫(yī)療器械召回數(shù)據(jù)表明軟件相關(guān)召回數(shù)量持續(xù)增加,明顯高于同期醫(yī)療器械整體水平,同時軟件失效導致患者死亡或嚴重傷害的召回事件也屢見不鮮,因此軟件質(zhì)量問題的嚴重性不容忽視,需要基于軟件特性加強軟件質(zhì)量保證工作。
軟件沒有物理實體,在開發(fā)和使用過程中人為因素影響無處不在,軟件測試由于時間和成本的限制不能窮盡所有情況,所以軟件缺陷無法避免。同時,軟件更新頻繁且迅速,細微更新可能導致嚴重后果,并存在累積效應和退化問題(即每修復若干個缺陷就會產(chǎn)生一個新缺陷),所以軟件缺陷無法根除。因此,軟件缺陷可視為軟件的固有屬性之一,這也是軟件質(zhì)量問題較為突出的根源所在。
軟件與硬件存在諸多差異:硬件是物理實體,軟件是邏輯關(guān)系;硬件變更周期較長,軟件更新容易、快速且頻繁;硬件有磨損問題,軟件雖無磨損但有累積效應和退化問題;硬件質(zhì)量取決于設(shè)計開發(fā)和生產(chǎn),軟件質(zhì)量取決于設(shè)計開發(fā),與生產(chǎn)基本無關(guān);硬件失效先有征兆再發(fā)生,軟件失效往往沒有征兆突然發(fā)生,軟件失效率遠高于硬件;硬件部件可以標準化,軟件模塊的標準化較為復雜;細微變更對硬件影響有限,但對軟件影響可能嚴重;硬件檢驗可基本保證質(zhì)量,軟件測試不足以保證質(zhì)量。這些差異使得傳統(tǒng)硬件質(zhì)量控制方法對于軟件質(zhì)量保證往往達不到預期效果。
鑒于軟件特性,只有綜合考慮風險管理、質(zhì)量管理和軟件工程的要求才能保證軟件的安全有效性。注冊申請人需基于軟件風險程度,采用良好軟件工程實踐完善質(zhì)量管理體系,針對算法、接口、更新、異常處理等軟件召回主要原因,盡早、重點、全面開展軟件質(zhì)量保證工作。
(二)風險導向
綜合考慮軟件使用的普遍性、監(jiān)管資源的有限性和風險分級管理導向,軟件風險程度不同,其生存周期質(zhì)控要求和注冊申報資料要求亦不同。
軟件風險程度采用軟件安全性級別進行表述,軟件安全性級別越高,生存周期質(zhì)控要求越嚴格,注冊申報資料也越詳盡。軟件安全性級別基于軟件風險程度分為輕微、中等、嚴重三個級別[6],其中輕微級別即軟件不可能產(chǎn)生傷害,中等級別即軟件可能直接或間接產(chǎn)生輕微(不嚴重)傷害,嚴重級別即軟件可能直接或間接產(chǎn)生嚴重傷害或?qū)е滤劳觥?/span>
軟件安全性級別可結(jié)合軟件的預期用途、使用場景、核心功能進行綜合判定[7]。其中,預期用途主要考慮軟件的用途類型(如治療、診斷、監(jiān)護、篩查)、重要程度(如重要作用、參考作用、補充作用)、緊迫程度(如危重情形、嚴重情形、普通情形)、成熟程度(成熟、全新)等因素,使用場景主要考慮軟件的使用場所(如門診、手術(shù)、住院、急救、家庭、轉(zhuǎn)運、公共場所)、疾病特征(如嚴重性、緊迫性、傳染性)、適用人群(如成人、兒童、老人、孕婦)、目標用戶(如醫(yī)務人員、患者)等因素,核心功能主要考慮軟件的功能類型(如重要程度、技術(shù)特征、復雜程度、成熟程度)、核心算法(如重要程度、復雜程度、可解釋性、成熟程度)、輸入輸出(輸入數(shù)據(jù)如醫(yī)學圖像、生理參數(shù)、體外診斷等數(shù)據(jù),輸出結(jié)果如處理、測量、分析等結(jié)果)、接口(如應用程序接口(API)、數(shù)據(jù)接口、產(chǎn)品接口)等因素。
軟件安全性級別也可根據(jù)風險管理所確定的風險等級進行判定,軟件安全性級別與風險等級的分級可以不同,但二者存在對應關(guān)系,因此可根據(jù)風險等級來判定軟件安全性級別,但應在采取風險控制措施之前進行判定,后續(xù)可通過外部風險控制措施(含軟件措施、硬件措施)降低初始軟件安全性級別。
軟件風險管理需要注意:軟件本身不是危險,但可能會引發(fā)危險情況;軟件失效雖表現(xiàn)為隨機性失效但實為系統(tǒng)性失效,同時軟件失效所致危險的發(fā)生概率難以統(tǒng)計,故軟件風險程度基于傷害嚴重度并可結(jié)合危險情況所致傷害的概率進行判定;軟件組件需與所屬醫(yī)療器械整體開展風險管理工作。
軟件安全性級別亦可參考已上市同類醫(yī)療器械軟件的不良事件和召回情況進行判定,即已上市同類醫(yī)療器械軟件若發(fā)生嚴重不良事件或一級召回屬于嚴重級別,發(fā)生不良事件或二級召回屬于中等級別,未發(fā)生不良事件且僅發(fā)生三級召回或無召回屬于輕微級別。
注冊申請人應結(jié)合質(zhì)量管理體系要求建立相應軟件生存周期過程,并開展與軟件安全性級別相匹配的軟件質(zhì)量保證工作。同時,基于軟件安全性級別提交相應注冊申報資料,注冊申報資料均來源于軟件生存周期過程所形成的文檔。
獨立軟件和軟件組件雖然存在技術(shù)差異,但生存周期過程質(zhì)控原則和要求均相同,故二者注冊申報資料要求基本一致,具體內(nèi)容略有差異,詳見第八章。
(三)全生命周期質(zhì)控
由于軟件本身的復雜性和軟件測試的局限性,軟件開發(fā)過程的質(zhì)量保證活動不足以保證軟件的安全有效性,因此應在醫(yī)療器械全生命周期中考慮軟件質(zhì)控要求,并將軟件風險管理、軟件配置管理、軟件缺陷管理、軟件可追溯性分析貫穿于醫(yī)療器械生命周期全程。
上市前開展充分有效的軟件驗證與確認活動,識別軟件可預見的風險并將其降至可接受水平。上市后繼續(xù)開展軟件質(zhì)量保證工作,結(jié)合用戶投訴、不良事件和召回等情況識別前期未預見的風險,并采取必要措施保證軟件質(zhì)量;同時,基于軟件更新需求的評估,實施軟件更新活動以滿足用戶新需求,并開展與之相適宜的軟件驗證與確認活動,以保證軟件更新質(zhì)量;此外,軟件停運考慮用戶告知與后續(xù)服務、數(shù)據(jù)遷移、患者數(shù)據(jù)與隱私保護等要求。
總之,數(shù)字醫(yī)療技術(shù)處于快速發(fā)展階段,新技術(shù)層出不窮,對醫(yī)療器械行業(yè)的影響日益深遠,其監(jiān)管問題亟需加強研究。無論何種數(shù)字醫(yī)療新技術(shù),軟件作為其技術(shù)基礎(chǔ),仍可遵循上述三條基本原則,開展相應安全有效性評價工作。
四、現(xiàn)成軟件
(一)主要概念
注冊申請人進行完整生存周期控制的軟件稱為自研軟件(若無明示簡稱為軟件),反之注冊申請人未進行(含無法證明)完整生存周期控制的軟件稱為現(xiàn)成軟件,包括遺留軟件、成品軟件、外包軟件。其中,遺留軟件是指注冊申請人以前開發(fā)但現(xiàn)在不能得到足夠開發(fā)記錄的軟件,即注冊申請人無法證明其進行完整生存周期控制的軟件,涉及應用軟件、中間件。成品軟件是指第三方開發(fā)的且通常可得到的軟件,即注冊申請人未進行完整生存周期控制的軟件,涉及系統(tǒng)軟件、應用軟件、中間件、支持軟件,如開源/閉源軟件、免費/付費軟件等。外包軟件是指注冊申請人委托第三方開發(fā)的軟件,即注冊申請人僅進行部分生存周期控制的軟件,涉及應用軟件、中間件。
現(xiàn)成軟件與醫(yī)療器械軟件的關(guān)系可分為兩類。一類是現(xiàn)成軟件作為醫(yī)療器械軟件的組成部分,即現(xiàn)成軟件組件,包括遺留軟件、成品軟件、外包軟件,涉及醫(yī)用應用軟件、醫(yī)用中間件,屬于監(jiān)管對象;無論是否設(shè)計用于醫(yī)療用途,現(xiàn)成軟件組件作為醫(yī)療器械軟件的組成部分,其功能均屬于醫(yī)療器械功能,原因在于若為非醫(yī)療器械功能則應從醫(yī)療器械軟件中直接刪除。另一類是現(xiàn)成軟件作為醫(yī)療器械軟件運行環(huán)境的組成部分,即外部軟件環(huán)境,主要為成品軟件,涉及系統(tǒng)軟件、通用應用軟件、通用中間件、支持軟件,雖非監(jiān)管對象,但需從風險管理角度考慮其對醫(yī)療器械軟件的影響。
綜上,現(xiàn)成軟件類型詳見圖4。
醫(yī)療器械軟件除部分內(nèi)嵌型軟件組件外,均需外部軟件環(huán)境的支持方能正常運行。同時,醫(yī)療器械軟件既可自研軟件和現(xiàn)成軟件組件相結(jié)合,部分使用現(xiàn)成軟件組件,即部分使用方式;又可全部使用現(xiàn)成軟件組件,即全部使用方式。因此,現(xiàn)成軟件的使用具有普遍性、靈活性、復雜性等特點。
由于現(xiàn)成軟件通常并非設(shè)計用于醫(yī)療,特別是外部軟件環(huán)境,未必能夠滿足醫(yī)療器械相關(guān)要求,未用功能可能通過耦合關(guān)系對醫(yī)療器械軟件產(chǎn)生不利影響,而且注冊申請人未對現(xiàn)成軟件進行完整生存周期控制,因此使用現(xiàn)成軟件的風險相對較高。此外,現(xiàn)成軟件組件直接實現(xiàn)醫(yī)療用途,風險相對更高。
注冊申請人使用現(xiàn)成軟件應保證醫(yī)療器械軟件的安全有效性,成品軟件和外部軟件環(huán)境的開發(fā)商作為醫(yī)療器械供應商并不承擔注冊申請人相關(guān)責任。因此,注冊申請人需結(jié)合現(xiàn)成軟件的類型、特點以及業(yè)界使用情況,區(qū)分現(xiàn)成軟件組件和外部軟件環(huán)境,綜合考慮現(xiàn)成軟件的使用廣泛度、技術(shù)成熟度、售后支持程度以及功能、性能、兼容性、易用性、可靠性、維護性、可移植性、網(wǎng)絡(luò)安全等要求,采用基于風險的全生命周期管理方法進行質(zhì)控,特別是在采購、設(shè)計開發(fā)、上市后監(jiān)測等方面,同時開展差距分析,必要時采取補救措施以保證安全有效性。
由于自研軟件與現(xiàn)成軟件、現(xiàn)成軟件組件與外部軟件環(huán)境、部分使用方式與全部使用方式的質(zhì)控要求均存在差異,故相應注冊申報資料均有所不同,具體要求詳見第八章。此外,醫(yī)療器械軟件可同時使用多個版本、多個、多種的現(xiàn)成軟件,需進行整體考量并提供相應注冊申報資料。
(二)現(xiàn)成軟件通用考量
1. 現(xiàn)成軟件組件
現(xiàn)成軟件組件的軟件更新、軟件版本相關(guān)要求與自研軟件基本相同,同樣遵循風險從高原則。
現(xiàn)成軟件組件若發(fā)生重大軟件更新亦應申請變更注冊,若發(fā)生輕微軟件更新通過質(zhì)量管理體系進行控制,無需申請變更注冊。
注冊申請人應根據(jù)質(zhì)量管理體系要求,制定現(xiàn)成軟件組件的版本命名規(guī)則,亦需考慮合規(guī)性要求。若現(xiàn)成軟件組件開發(fā)商的軟件版本命名規(guī)則滿足合規(guī)性要求,可直接采用。
2. 外部軟件環(huán)境
醫(yī)療器械軟件與外部軟件環(huán)境存在耦合關(guān)系,需整體考量。
從醫(yī)療器械軟件角度,軟件安全性級別判定需考慮外部軟件環(huán)境失效的影響,軟件需求規(guī)范文檔、軟件測試計劃列明外部軟件環(huán)境的基本情況,軟件測試報告列明外部軟件環(huán)境所含各現(xiàn)成軟件的名稱、完整版本、補丁版本。軟件驗證與確認基于外部軟件環(huán)境所含全部現(xiàn)成軟件予以實施,若使用同一現(xiàn)成軟件的多個版本,則每個版本均需進行軟件驗證與確認。根據(jù)風險控制要求,醫(yī)療器械軟件必要時需具備外部軟件環(huán)境自檢功能,以確保自身能夠正常運行。同理,說明書必要時需明確外部軟件環(huán)境所含全部現(xiàn)成軟件的交付、安裝、設(shè)置、配置、更新以及使用限制、警示提示等內(nèi)容。
從外部軟件環(huán)境角度,自身風險相對較低,由于與醫(yī)療器械軟件相互耦合,故其安全性級別與醫(yī)療器械軟件的安全性級別相同,注冊申報資料詳盡程度亦取決于其安全性級別。
外部軟件環(huán)境更新對于醫(yī)療器械軟件而言屬于適應型軟件更新,包括產(chǎn)品更新(即更換外部軟件環(huán)境所含現(xiàn)成軟件)、版本更新、補丁更新等情況。外部軟件環(huán)境更新情況不同,對于醫(yī)療器械軟件的影響亦不同,通常補丁更新、與醫(yī)療器械軟件兼容的版本更新屬于輕微軟件更新,而產(chǎn)品更新、為解決與醫(yī)療器械軟件不兼容問題的版本更新屬于重大軟件更新,同樣遵循風險從高原則。因此,注冊申請人需依據(jù)相應流程開展外部軟件環(huán)境更新的影響評估工作。
五、質(zhì)量管理軟件
(一)主要概念
質(zhì)量管理軟件是指醫(yī)療器械質(zhì)量管理所用的應用軟件,非醫(yī)療器械軟件,無需申報注冊。質(zhì)量管理軟件與醫(yī)療器械軟件在技術(shù)層面具有相同之處,故可參照醫(yī)療器械軟件相關(guān)要求考慮質(zhì)量管理軟件的確認要求。
質(zhì)量管理軟件參照醫(yī)療器械軟件可分為類獨立軟件和類軟件組件,前者包括設(shè)計開發(fā)所用軟件、流程管理所用軟件等,后者包括生產(chǎn)設(shè)備所含軟件、檢驗設(shè)備所含軟件等。
質(zhì)量管理軟件多數(shù)通過采購獲得,特別是類軟件組件,可視為成品軟件,主要采用全部使用方式,若二次開發(fā)則屬于部分使用方式;少數(shù)自行研發(fā),主要是類獨立軟件,可視為自研軟件。因此,質(zhì)量管理軟件確認通常可參照成品軟件、自研軟件的確認要求。
質(zhì)量管理軟件亦需外部軟件環(huán)境(含系統(tǒng)軟件、通用應用軟件、通用中間件、支持軟件)的支持方能正常運行,故其確認亦需考慮外部軟件環(huán)境的評估要求。
(二)質(zhì)量管理軟件確認考量
質(zhì)量管理軟件確認以軟件功能為基礎(chǔ),綜合考慮需求分析、驗收測試、維護計劃等要求。其中,需求分析考慮軟件的功能、性能、接口等要求,評估候選軟件以確定目標對象。驗收測試基于外部軟件環(huán)境予以實施,確保軟件能夠滿足使用需求,而且軟件已知剩余缺陷、未用軟件功能對于醫(yī)療器械質(zhì)量的影響均可接受。維護計劃考慮軟件更新相關(guān)要求,特別是糾正類軟件更新(即軟件缺陷修復)的維護方案。
質(zhì)量管理軟件外部軟件環(huán)境的評估要求可參照自研軟件相應要求。質(zhì)量管理軟件更新應重新進行軟件確認,其外部軟件環(huán)境更新亦需開展影響評估工作。
六、醫(yī)療器械軟件生存周期過程
軟件生存周期過程主要包括軟件開發(fā)過程、軟件維護過程、軟件風險管理過程、軟件配置管理過程、軟件缺陷管理過程。
軟件開發(fā)過程包括軟件開發(fā)策劃、軟件需求分析、軟件設(shè)計、軟件編碼、軟件驗證、軟件確認、軟件發(fā)布等活動。
軟件維護過程適用于發(fā)布后增強類軟件更新,包括軟件更新需求評估、軟件更新策劃、軟件更新實施、軟件驗證、軟件確認、軟件發(fā)布、用戶告知等活動。
軟件風險管理過程包括風險分析、風險評價、風險控制、綜合剩余風險評價等活動,基于醫(yī)療器械風險管理過程予以實施,可采用醫(yī)療器械常用風險管理方法。
軟件配置管理過程包括配置項識別、更改控制、配置狀態(tài)記錄等活動,基于軟件版本命名規(guī)則進行軟件版本控制,可使用配置管理工具或常用辦公軟件予以實施。軟件版本命名規(guī)則明確字段的位數(shù)、范圍、含義,字段含義明確且無歧義無矛盾,涵蓋自研軟件、現(xiàn)成軟件、網(wǎng)絡(luò)安全的全部軟件更新類型,能夠區(qū)分重大軟件更新和輕微軟件更新,保證軟件更新的版本變更符合軟件版本命名規(guī)則要求[8]。
軟件缺陷管理過程適用于發(fā)布前和發(fā)布后糾正類軟件更新,包括軟件缺陷評估、軟件缺陷修復、回歸測試等活動,可使用缺陷管理工具或常用辦公軟件予以實施。
軟件開發(fā)過程、軟件維護過程是前后關(guān)系,軟件風險管理過程、軟件配置管理過程、軟件缺陷管理過程貫穿于軟件開發(fā)過程、軟件維護過程。
同時,軟件可追溯性分析也是軟件生存周期過程的重要過程之一,同樣貫穿于軟件開發(fā)過程、軟件維護過程,可使用可追溯性分析工具或常用辦公軟件予以實施。
此外,軟件生存周期過程亦需考慮現(xiàn)成軟件、網(wǎng)絡(luò)安全相關(guān)要求?,F(xiàn)成軟件考慮采購控制、設(shè)計開發(fā)控制等要求,使用外包軟件需與供應商簽訂質(zhì)量協(xié)議,使用遺留軟件需評估現(xiàn)有文件、上市后使用問題(含不良事件、召回)等情況,使用開源軟件需遵循相應開源許可協(xié)議。網(wǎng)絡(luò)安全設(shè)計開發(fā)與軟件設(shè)計開發(fā)相融合,可基于網(wǎng)絡(luò)安全能力建設(shè)要求予以實施,并考慮網(wǎng)絡(luò)安全事件應急響應要求。
軟件生存周期過程質(zhì)量保證活動要求應與軟件安全性級別相匹配,軟件風險程度越高,其質(zhì)控要求越嚴格。
敏捷開發(fā)具有特殊性,還需加強軟件更新、文件與記錄等控制要求。
軟件生存周期過程(包括現(xiàn)成軟件、網(wǎng)絡(luò)安全)的具體要求詳見醫(yī)療器械獨立軟件生產(chǎn)質(zhì)量管理規(guī)范及其現(xiàn)場檢查指導原則[9]。
七、技術(shù)考量
(一)注冊單元與檢測單元
1. 注冊單元劃分原則
(1)獨立軟件
獨立軟件注冊單元以管理類別、預期用途、功能模塊作為劃分原則。
不同管理類別的獨立軟件作為不同注冊單元,若在技術(shù)上無法拆分可作為一個注冊單元并按照較高管理類別申報注冊。
不同預期用途的獨立軟件作為不同注冊單元,按照預期用途可分為輔助決策類和非輔助決策類,每類又可細分為治療、診斷、監(jiān)護、篩查等情形。
對于功能龐大復雜的獨立軟件,依據(jù)功能模塊的類型和數(shù)量劃分注冊單元,每個注冊單元所含功能模塊數(shù)量需適中。按照功能模塊類型可分為平臺功能軟件和特定功能軟件[10],其中平臺功能軟件作為軟件平臺提供基本功能和共用功能,支持多模態(tài)數(shù)據(jù)(如醫(yī)學圖像、生理參數(shù)、體外診斷等數(shù)據(jù));特定功能軟件運行于平臺功能軟件并提供特定功能,支持單模態(tài)數(shù)據(jù)或者使用多模態(tài)數(shù)據(jù)實現(xiàn)某一特定預期用途。
例如,某PACS包含數(shù)十個單獨的功能模塊,并含有輔助決策類功能模塊,需拆分為一個平臺功能軟件和多個特定功能軟件,其中輔助決策類功能模塊單獨作為一個注冊單元。
(2)軟件組件
軟件組件注冊單元與所屬醫(yī)療器械相同,有軟件組件和無軟件組件的醫(yī)療器械作為不同注冊單元。專用型獨立軟件視為軟件組件的注冊單元與軟件組件相同。
2. 檢測單元劃分原則
檢測單元是指同一注冊單元內(nèi)用于檢測的代表產(chǎn)品。
(1)獨立軟件
獨立軟件檢測單元原則上與注冊單元相同,但若有多個運行環(huán)境或多個發(fā)布版本,則每個互不兼容的運行環(huán)境(含云計算)或每個互不涵蓋的發(fā)布版本均需作為一個檢測單元。
若軟件核心功能相同但核心算法類型不同,則每類核心算法所對應的核心功能均需檢測(檢測對象為核心功能而非核心算法)。例如,圖像分割功能所用核心算法含常規(guī)圖像處理算法和人工智能算法,基于這兩類算法的圖像分割功能均需檢測。
(2)軟件組件
軟件組件檢測單元原則上與所屬醫(yī)療器械相同,但醫(yī)療器械若包含多個軟件組件或多個發(fā)布版本的軟件組件,則每個軟件組件或每個發(fā)布版本的軟件組件均需作為一個檢測單元,除非檢測單元能夠完整覆蓋注冊單元全部情況。同理,若軟件核心功能相同但核心算法類型不同,則每類核心算法所對應的核心功能均需檢測。
專用型獨立軟件視為軟件組件的檢測單元原則上與軟件組件相同,但若有多個運行環(huán)境,則每個互不兼容的運行環(huán)境(含云計算)均需作為一個檢測單元。
(二)臨床評價基本原則
本指導原則僅明確醫(yī)療器械軟件臨床評價的基本原則[11],具體要求詳見醫(yī)療器械臨床評價相關(guān)指導原則。
1. 獨立軟件
獨立軟件通?;谲浖δ苓M行臨床評價,必要時可基于軟件算法進行臨床評價。臨床評價需結(jié)合獨立軟件的預期用途和成熟度予以綜合考慮,可選擇已上市醫(yī)療器械所含同類軟件功能進行同品種醫(yī)療器械比對。
非輔助決策類軟件功能基于核心功能進行同品種醫(yī)療器械比對。全新的核心算法、核心功能、預期用途原則上均需開展臨床評價。簡單操作類、單純流程優(yōu)化類軟件功能可通過非臨床證據(jù)予以評價。
輔助決策類軟件功能基于核心算法進行同品種醫(yī)療器械比對,所選同品種醫(yī)療器械的臨床證據(jù)原則上需基于臨床試驗(含回顧性研究,下同)。全新的核心算法、核心功能、預期用途原則上均需開展臨床試驗。臨床試驗若采用陽性對照設(shè)計,可選擇預期用途相同且核心算法或核心功能等同的獨立軟件進行對照。
2. 軟件組件
軟件組件控制功能、前處理功能的臨床評價通常與所屬醫(yī)療器械進行整體評價。后處理功能的臨床評價可參照獨立軟件要求,亦可隨所屬醫(yī)療器械進行整體評價。
專用型獨立軟件視為軟件組件的臨床評價與軟件組件后處理功能要求相同。
(三)網(wǎng)絡(luò)安全
醫(yī)療器械網(wǎng)絡(luò)安全需從網(wǎng)絡(luò)安全角度綜合考慮信息安全和數(shù)據(jù)安全。醫(yī)療器械軟件若具備電子數(shù)據(jù)交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能,均需考慮網(wǎng)絡(luò)安全問題,具體要求詳見醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)指導原則。
(四)云計算[12]
云計算在醫(yī)療器械行業(yè)的應用日益增多,雖然其具有降低信息化成本、減少重復建設(shè)、提高資源利用率、增加業(yè)務靈活性、提升服務專業(yè)性等優(yōu)勢,但是也存在著用戶對數(shù)據(jù)控制能力減弱、服務可持續(xù)性降低、數(shù)據(jù)所有權(quán)面臨挑戰(zhàn)、數(shù)據(jù)保護困難、數(shù)據(jù)殘留難以處理、用戶與云服務商責任不清、產(chǎn)生司法管轄權(quán)問題、面臨網(wǎng)絡(luò)安全威脅等風險,因此注冊申請人需權(quán)衡使用云計算的受益和風險。
云計算視為現(xiàn)成軟件,云服務商視為醫(yī)療器械供應商,因此,注冊申請人可參照現(xiàn)成軟件和醫(yī)療器械供應商相關(guān)要求,考慮云計算的需求分析、風險管理、驗證與確認、維護計劃等活動要求。
需求分析需考慮云計算的技術(shù)特征、云服務商的選擇問題。云計算技術(shù)特征包括服務模式、部署模式、配置情況、核心功能、數(shù)據(jù)接口、網(wǎng)絡(luò)安全保證等方面,其中服務模式分為軟件即服務(SaaS)、平臺即服務(PaaS)、基礎(chǔ)設(shè)施即服務(IaaS),部署模式分為私有云、公有云、混合云,配置情況包括計算資源、配套軟件功能等要求,核心功能包括數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)分析等功能,數(shù)據(jù)接口考慮傳輸協(xié)議、存儲格式等要求,網(wǎng)絡(luò)安全保證考慮數(shù)據(jù)匿名、數(shù)據(jù)加密、數(shù)據(jù)傳輸校驗、安全配置等技術(shù)措施。同時,基于云計算的服務資質(zhì)、服務協(xié)議等因素考慮云服務商選擇問題,云計算服務協(xié)議需明確網(wǎng)絡(luò)安全保證、患者數(shù)據(jù)與隱私保護等責任承擔要求。
風險管理基于云計算的核心功能、數(shù)據(jù)接口、網(wǎng)絡(luò)安全保證予以實施。驗證與確認基于云計算環(huán)境開展醫(yī)療器械軟件的驗證與確認工作,確保云計算滿足使用要求,且已知剩余缺陷的風險均可接受。維護計劃考慮云計算更新的維護方案,重新開展醫(yī)療器械軟件的驗證與確認工作,明確云計算服務終止的無損數(shù)據(jù)遷移方案。
若使用云計算,注冊申請人需在自研軟件研究報告、外部軟件環(huán)境評估報告相關(guān)條款中予以體現(xiàn),具體要求詳見第八章。若自建云計算平臺,注冊申請人應遵循云服務商相關(guān)規(guī)定,參照自研軟件要求提交相應研究資料。
(五)移動計算
醫(yī)療器械軟件若運行于供個人使用的移動計算終端(含醫(yī)用終端、通用終端),則屬于移動醫(yī)療器械。此時需綜合考慮移動計算終端的技術(shù)特征及其風險,具體要求詳見移動醫(yī)療器械相關(guān)指導原則。
(六)人工智能
醫(yī)療器械軟件若使用人工智能技術(shù)實現(xiàn)其預期用途(即醫(yī)療用途),則屬于人工智能醫(yī)療器械。此時需綜合考慮人工智能算法的技術(shù)特征及其風險,具體要求詳見人工智能醫(yī)療器械相關(guān)指導原則。
(七)人因與可用性
建議加強醫(yī)療器械軟件用戶界面的人因設(shè)計以提升可用性,將用戶錯誤使用的風險降至可接受水平,具體要求詳見醫(yī)療器械人因設(shè)計相關(guān)指導原則。
(八)互操作性
互操作性(又稱互用性)是指醫(yī)療器械與其他醫(yī)療器械或通用設(shè)備通過電子接口交換并使用信息的能力。其中電子接口包含硬件接口和軟件接口,信息包括但不限于醫(yī)學圖像、生理參數(shù)、體外診斷等數(shù)據(jù)和控制指令。
互操作性重點關(guān)注醫(yī)療器械軟件的接口設(shè)計及其風險,接口包括內(nèi)部接口和外部接口,前者是指軟件模塊之間的接口,后者是指供用戶調(diào)用的接口,分體式醫(yī)療器械各獨立部分的內(nèi)部接口視為外部接口,如服務器與客戶端、主機與從機的內(nèi)部接口。從用戶角度出發(fā)軟件接口若無明示均指外部接口。
注冊申請人需考慮軟件接口的需求分析、風險管理、驗證與確認、維護計劃等活動要求,以及說明書與標簽的設(shè)計要求。
需求分析基于軟件接口的預期用戶(如醫(yī)務人員、患者、維護人員)、使用場景、預期用途明確其技術(shù)特征、使用限制。其中,軟件接口包括供用戶調(diào)用的應用程序接口、數(shù)據(jù)接口(含傳輸協(xié)議、存儲格式,如DICOM、HL7、JPG、PNG、私有協(xié)議與格式)、產(chǎn)品接口(可聯(lián)合使用的其他醫(yī)療器械獨立軟件、醫(yī)療器械硬件產(chǎn)品)。技術(shù)特征包括但不限于連接對象、信息內(nèi)容、通信協(xié)議、性能指標、網(wǎng)絡(luò)安全保證等要求。使用限制需考慮每個軟件接口的預期用戶范圍、連接要求。
風險管理基于軟件接口的預期用戶、使用場景、預期用途及技術(shù)特征、使用限制予以實施,明確故障應對措施。驗證與確認應保證軟件接口滿足設(shè)計要求,且已知剩余缺陷的風險均可接受。維護計劃考慮軟件接口的更新要求,軟件接口更新亦需重新進行驗證與確認。
說明書逐項說明每個軟件接口的預期用戶、使用場景、預期用途、技術(shù)特征、使用限制、故障應對措施。根據(jù)風險控制要求,標簽明確關(guān)鍵軟件接口的技術(shù)特征、使用限制。
注冊申請人可單獨提交一份互操作性研究資料,內(nèi)容包括基本信息、需求規(guī)范、風險管理、驗證與確認、維護計劃;亦可在自研軟件研究報告相關(guān)條款中體現(xiàn)軟件接口要求,具體要求詳見第八章。
(九)測量功能
測量功能(又稱量化、定量功能)可分為圖形學測量功能、客觀物理測量功能,前者基于圖形學間接反映客觀事物的測量結(jié)果,后者直接反映客觀事物的測量結(jié)果。無論何種測量功能均需結(jié)合測量的誤差、不確定度等因素,明確測量準確性指標,如線性度、精度、重復性、再現(xiàn)性、范圍限值、顯示誤差等。
注冊申請人需提供測量準確性的研究資料,并在說明書中向用戶告知。此外,客觀物理測量還需在產(chǎn)品技術(shù)要求中明確準確性指標,圖形學測量還需在說明書中提供關(guān)于測量準確性的警示信息。
(十)遠程訪問與控制
對于遠程訪問與控制(含遠程維護與升級)功能,需明確相關(guān)功能的性能指標要求和網(wǎng)絡(luò)安全要求,具體要求詳見醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)指導原則。
注冊申請人需在軟件研究資料、網(wǎng)絡(luò)安全研究資料中提供相應研究資料,在產(chǎn)品技術(shù)要求中明確性能指標要求,并在說明書中向用戶告知相應功能的使用要求(含網(wǎng)絡(luò)安全)。
(十一)通用計算平臺
通用計算平臺本身不屬于監(jiān)管對象,需從風險管理角度考慮其對醫(yī)療器械的影響,具體要求取決于其是否作為醫(yī)療器械的產(chǎn)品結(jié)構(gòu)組成。
對于獨立軟件、專用型獨立軟件視為軟件組件,醫(yī)療器械的產(chǎn)品結(jié)構(gòu)組成不含通用計算平臺,在說明書中向用戶告知通用計算平臺需滿足信息技術(shù)設(shè)備安全要求(含電磁兼容),并列明需符合的標準清單。
對于外控型軟件組件,醫(yī)療器械的產(chǎn)品結(jié)構(gòu)組成含有通用計算平臺,在“其他研究資料”中提供通用計算平臺滿足信息技術(shù)設(shè)備安全要求(含電磁兼容)的證明性資料,如相關(guān)標準的自檢報告、檢測報告或相關(guān)認證文件。
(十二)非醫(yī)療器械功能
醫(yī)療器械軟件若在技術(shù)上能夠拆分非醫(yī)療器械功能,即采用模塊化設(shè)計區(qū)分醫(yī)療器械功能和非醫(yī)療器械功能,則產(chǎn)品結(jié)構(gòu)組成不應包含非醫(yī)療器械功能模塊,說明書若含有非醫(yī)療器械功能應予以刪除或注明為非醫(yī)療器械功能,產(chǎn)品技術(shù)要求不應含有非醫(yī)療器械功能。
醫(yī)療器械軟件若在技術(shù)上無法拆分非醫(yī)療器械功能,需將非醫(yī)療器械功能作為自身組成部分予以整體考慮,重點關(guān)注非醫(yī)療器械功能對于醫(yī)療器械軟件的影響及其風險。注冊申請人需在醫(yī)療器械軟件設(shè)計開發(fā)整體框架下考慮非醫(yī)療器械功能的軟件生存周期過程質(zhì)控要求,原則上可按軟件安全性級別為輕微級別的要求予以處理。醫(yī)療器械軟件的研究資料涵蓋非醫(yī)療器械功能,說明書對非醫(yī)療器械功能予以注明,產(chǎn)品技術(shù)要求性能指標所述“功能”條款簡述非醫(yī)療器械功能即可。
(十三)植入物產(chǎn)品設(shè)計軟件
有些植入式醫(yī)療器械本身不含有醫(yī)療器械軟件,但其安全有效性顯著受限于產(chǎn)品設(shè)計軟件的輸出結(jié)果,如有源植入物設(shè)計軟件(如可編程邏輯控件編程軟件、集成電路設(shè)計軟件)、個性化無源植入物(如骨科、齒科增材制造假體)設(shè)計軟件等。
同時,有些植入式醫(yī)療器械需采用建模仿真軟件進行安全有效性驗證,如磁共振環(huán)境安全仿真軟件、計算流體力學仿真軟件、有限元計算仿真軟件等。
因此,從醫(yī)療器械安全有效性評價角度出發(fā),此兩類植入物產(chǎn)品設(shè)計軟件在植入式醫(yī)療器械注冊申報時亦需提交軟件研究資料。由于植入式醫(yī)療器械風險較高,植入物產(chǎn)品設(shè)計軟件屬于質(zhì)量管理軟件,故可參照嚴重級別的成品軟件、自研軟件要求提交軟件研究資料,具體要求詳見第八章。
(十四)使用期限
獨立軟件的使用期限即軟件生存周期時限,通過商業(yè)因素予以確定,無需提供驗證資料。
軟件組件的使用期限與所屬醫(yī)療器械相同,無需單獨體現(xiàn)。專用型獨立軟件視為軟件組件的使用期限要求與獨立軟件相同,在所屬醫(yī)療器械使用期限研究資料中體現(xiàn)。
(十五)異常處理
異常處理(Exception handling)用于處理軟件出現(xiàn)的異常狀況,及時將軟件異常信息告知用戶,以采取風險控制措施保證安全有效性。注冊申請人需在醫(yī)療器械軟件設(shè)計開發(fā)過程中加強異常處理的設(shè)計工作,特別是在手術(shù)、急救等使用場景下。
(十六)功能安全與軟件可靠性
考慮到行業(yè)實際情況,功能安全、軟件可靠性暫不要求,待時機成熟時納入考量。建議注冊申請人參考相關(guān)標準要求加強功能安全、軟件可靠性的設(shè)計工作,若已開展相應工作可在軟件研究資料中予以提供。
(十七)GB/T 25000.51實施要求
GB/T 25000.51適用于醫(yī)療器械軟件,其中“產(chǎn)品說明要求”、“用戶文檔集要求”適用于說明書,“軟件質(zhì)量要求”適用于軟件本身,同時“使用質(zhì)量”不適用。
注冊申請人需在軟件研究資料中提交GB/T 25000.51自測報告,亦可提交自檢報告或檢驗報告代替自測報告,下同。
(十八)進口醫(yī)療器械軟件
對于進口醫(yī)療器械軟件,應提供本次申報軟件在原產(chǎn)國(即注冊地或生產(chǎn)地址所在國家/地區(qū))獲準上市的證明文件或證明性材料,注明軟件完整版本。
進口醫(yī)療器械軟件若存在中外差異,如語言差異、軟件功能刪減、適用范圍縮減等,需在軟件研究資料中提交本次申報軟件與原產(chǎn)國獲準上市版本軟件的中外差異說明材料。
考慮到進口醫(yī)療器械軟件不一定在中國同步注冊,即該軟件在原產(chǎn)國已多次變更注冊但在中國為一次注冊(含產(chǎn)品注冊、變更注冊)。對于產(chǎn)品注冊,注冊申報資料需涵蓋本次申報軟件的全部內(nèi)容;對于變更注冊,注冊申報資料需涵蓋軟件自中國前次注冊至本次申報的全部變更內(nèi)容。
(未完待續(xù))