注册-医疗器械软件注册审查指导原则
■ 一:适用范围
本指导原则适用于医疗器械软件的注册申报。
第二、三类独立软件和含有软件组件的医疗器械(包括体外诊断医疗器械);适用于自研软件、现成软件的注册申报
本指导原则也可用作医疗器械软件、质量管理软件的体系核查参考。
■ 二:主要概念
■ 医疗器械软件
独立软件作为医疗器械或医疗器械附件,通常单独注册,特殊情况可随医疗器械进行注册,此时虽不控制/驱动医疗器械硬件但从产品角度运行于医用计算平台,故视为软件组件,如
专用型独立软件可作为附件随医疗器械进行注册。
软件组件作为医疗器械或医疗器械部件、附件的组成部分,不宜单独注册,需随医疗器械进行整体注册。
■ 独立软件
独立软件(SaMD)是指具有一个或多个医疗目的/用途,无需医疗器械硬件即可完成自身预期用途,运行于通用计算平台的软件 。
■ 通用型独立软件
通常基于通用数据接口与多个医疗器械联合使用,如医学图像处理软件、患者监护软件
■ 专用型独立软件
基于通用、专用数据接口与特定医疗器械联合使用,可视为医疗器械附件,如动态心电数据分析软件、眼科显微镜图像处理软件。
■ 软件组件
软件组件(SiMD)是指具有一个或多个医疗目的/用途,控制/驱动医疗器械硬件或运行于医用计算平台的软件
■ 内嵌型软件组件
内嵌型软件组件:运行于医用计算平台,控制/驱动医疗器械硬件,如心电图机、脑电图机所含嵌入式软件(即固件);
■ 外控型软件组件
外控型软件组件: 运行于通用计算平台,控制/驱动医疗器械硬件,如CT、MRI图像采集工作站软件 。
■ 系统软件、应用软件、中间件、支持软件
软件形态 | 描述 |
---|---|
系统软件 | 是指设计用于保障计算机系统正常运行的软件,如操作系统软件、虚拟机软件。 |
应用软件 | 是指设计用于实现计算机用户特定需求的软件,如浏览器软件、数据库软件、安全软件 |
中间件 | 介于系统软件和应用软件之间,依赖于系统软件的支持,同时又为应用软件提供支持,如分布式计算平台软件。 |
医疗器械软件属于应用软件,其正常运行通常需要基于系统软件,或同时需要应用软件(含其他医疗器械软件)、中间件、支持软件的支持。
软件形态 | 描述 |
---|---|
必备软件 | 本指导原则将医疗器械软件正常运行所必需的其他的医疗器械软件及医用中间件称为必备软件 必备软件作为医疗器械软件单独注册,明确相互接口关系及技术特征即可。 |
外部软件环境 | 将其正常运行所必需的系统软件、通用应用软件、通用中间件、支持软件统称为外部软件环境 外部软件环境不含必备软件,亦非医疗器械软件。 |
■ 软件生存周期
从软件需求分析到软件发布的时间周期称为软件开发生存周期。
软件形态 | 描述 |
---|---|
软件设计: | 是通过设计活动将软件需求规范转换为软件设计规范/软件设计规格说明(SDS)。 |
软件编码 | 是通过编写源代码将软件设计规范转换为软件系统 |
软件测试 | 是通过各类测试活动保证软件系统质量。 |
软件发布 | 是将软件系统予以产品定型。 |
软件部署 | 是指软件系统的交付、安装、设置和配置。 |
软件维护 | 是对软件系统发布后的更新需求予以实现。 |
软件停运 | (即软件退市) 是指终止软件系统的销售和售后服务, 售后服务停止时间通常晚于停售时间。 |
软件开发策划 | 主要确定软件开发的目标和可行性 |
软件需求分析 | 是将法规、标准、用户、产品等要求转换为软件需求规范/软件需求规格说明(SRS)。 |
■ 软件可追溯性分析
软件可追溯性分析作为软件验证、软件确认的重要活动之一,是指追踪软件需求、软件设计、源代码、软件测试、软件风险管理之间的关系,分析已识别关系的正确性、一致性、完整性、准确性。
软件形态 | 描述 |
---|---|
软件需求分析阶段 | 追溯分析软件需求与产品需求 、软件需求与风险分析的关系。 |
软件设计阶段 | 追溯分析软件设计与软件需求、软件设计与风险控制的关系。 |
软件编码阶段 | 追溯分析源代码与软件设计、源代码与测试用例的关系。 |
内部测试阶段 | 追溯分析单元测试、集成测试、系统测试各级测试用例与软件设计,系统测试与软件需求,系统测试与风险管理的关系。 |
用户测试阶段 | 追溯分析用户测试与产品需求、用户测试与风险管理的关系。 |
软件更新 | 亦需开展与之相适宜的软件可追溯性分析活动。 |
■ 软件更新
软件更新是指注册申请人在软件生存周期全过程对软件所做的任一修改,亦称软件变更、软件维护。软件维护通常与软件更新含义相同,但可特指发布后软件更新。
本指导原则关注医疗器械软件的安全性和有效性 (1)重大软件更新:(2)轻微软件更新
软件形态 | 描述 |
---|---|
重大更新 | 是指影响到医疗器械安全性或有效性的软件更新, 影响到医疗器械安全性或有效性的增强类更新,即重大增强类软件更新,应申请变更注册。 |
轻微更新 | 不影响医疗器械安全性与有效性的增强类更新、纠正类更新,包括轻微增强类软件更新、纠正类软件更新,通过质量管理体系进行控制,无需申请变更注册,待下次变更注册时提交相应注册申报资料。 |
完善型更新 | 完善型更新是指改变功能、性能、接口等软件属性的软件更新 |
适应型更新 | 适应型更新是指适应新运行环境的软件更新 |
修正型更新 | 修正型更新是指修复软件存在且已造成运行故障缺陷的软件更新 |
预防型更新 | 预防型更新是指修复软件存在但尚未造成运行故障缺陷的软件更新;其通常属于轻微更新,除非影响到医疗器械安全性或有效性。 |
■ 软件版本
软件版本可分为软件发布版本和软件完整版本。
软件版本 | 描述 |
---|---|
软件发布版本: | 软件发布版本发生改变表示软件发生重大更新,应申请变更注册. |
软件完整版本: | 软件完整版本发生改变但软件发布版本未变表示软件仅发生轻微更新, 此时通过质量管理体系进行控制,无需申请变更注册。 例如 软件版本命名规则为X.Y.Z.B, X表示重大增强类软件更新, Y表示轻微增强类软件更新, Z表示纠正类软件更新, B表示软件构建,则软件发布版本为X,软件完整版本为X.Y.Z.B, 此时X改变应申请变更注册 Y、Z、B改变但X未变则无需申请变更注册。 |
■ 软件算法、软件功能、软件用途
从重要性角度 | 描述 |
---|---|
核心功能 | 是指软件在预期使用场景完成预期用途所必需的功能。 |
非核心功能 | 反之 |
从技术特征角度 | 描述 |
---|---|
处理功能 | 是指加工医疗器械数据(即医疗器械产生的用于医疗用途的客观数据) 或基于模型计算(如辐射剂量模型、药代模型)的功能 处理功能从数据流角度又可分为前处理功能和后处理功能 前处理功能 : 是指采集人体解剖、生理信息生成医疗器械数据过程的处理功能,如滤波、降噪、校正、重建等功能 后处理功能: 是指利用医疗器械数据生成诊疗信息或进行医疗干预过程的处理功能 |
控制功能 | 是指控制/驱动医疗器械硬件运行的功能, |
安全功能 | 是指保证医疗器械安全性的功能, |
■ 三: 基本原则
■ 软件特性
鉴于软件特性,只有综合考虑风险管理、质量管理和软件工程的要求才能保证软件的安全有效性。
注册申请人需基于软件风险程度,采用良好软件工程实践完善质量管理体系
■ 风险导向
软件风险程度采用软件安全性级别进行表述,软件安全性级别越高,生存周期质控要求越严格,注册申报资料也越详尽。
软件安全性级别基于软件风险程度分为轻微、中等、严重三个级别
■ 全生命周期质控
由于软件本身的复杂性和软件测试的局限性,软件开发过程的质量保证活动不足以保证软件的安全有效性,因此应在医疗器械全生命周期中考虑软件质控要求,并将软件风险管理、软件配置管理、软件缺陷管理、软件可追溯性分析贯穿于医疗器械生命周期全程。
■ 四: 现成软件
软件 | 描述 |
---|---|
自研软件 : | 注册申请人进行完整生存周期控制的软件称为自研软件(若无明示简称为软件), |
现成软件 : | 注册申请人未进行(含无法证明)完整生存周期控制的软件称为现成软件, |
遗留软件 | 是指注册申请人以前开发但现在不能得到足够开发记录的软件,即注册申请人无法证明其进行完整生存周期控制的软件,涉及应用软件、中间件 |
成品软件 | 是指第三方开发的且通常可得到的软件,即注册申请人未进行完整生存周期控制的软件,涉及系统软件、应用软件、中间件、支持软件,如开源/闭源软件、免费/付费软件等 |
外包软件 | 是指注册申请人委托第三方开发的软件,即注册申请人仅进行部分生存周期控制的软件,涉及应用软件、中间件 |
■ 五:质量管理软件
质量管理软件是指医疗器械质量管理所用的应用软件,非医疗器械软件,无需申报注册
。
■ 六:医疗器械软件生存周期过程
■ 七:技术考量
■ 网络安全
从网络安全角度综合考虑信息安全和数据安全,医疗器械软件若具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能,均需考虑网络安全问题,具体要求详见医疗器械网络安全相关指导原则。
■ 云计算
但是也存在着用户对数据控制能力减弱、服务可持续性降低、数据所有权面临挑战、数据保护困难、数据残留难以处理、用户与云服务商责任不清、产生司法管辖权问题、面临网络安全威胁等风险,因此注册申请人需权衡使用云计算的受益和风险。
■ 互操作性
互操作性(又称互用性)是指医疗器械与其他医疗器械或通用设备通过电子接口交换并使用信息的能力。其中电子接口包含硬件接口和软件接口,信息包括但不限于医学图像、生理参数、体外诊断等数据和控制指令。
■ 测量功能
测量功能(又称量化、定量功能)可分为图形学测量功能、客观物理测量功能无论何种测量功能均需结合测量的误差、不确定度等因素,明确测量准确性指标,如线性度、精度、重复性、再现性、范围限值、显示误差等。
■ 远程访问与控制
对于远程访问与控制(含远程维护与升级)功能,需明确相关功能的性能指标要求和网络安全要求,
■ 异常处理
异常处理(Exception handling)用于处理软件出现的异常状况,及时将软件异常信息告知用户,以采取风险控制措施保证安全有效性。
■ 功能安全与软件可靠性
考虑到行业实际情况,功能安全、软件可靠性暂不要求,待时机成熟时纳入考量。建议注册申请人参考相关标准要求加强功能安全、软件可靠性的设计工作,若已开展相应工作可在软件研究资料中予以提供。
■ 进口医疗器械软件
对于进口医疗器械软件,应提供本次申报软件在原产国(即注册地或生产地址所在国家/地区)获准上市的证明文件或证明性材料,注明软件完整版本。
进口医疗器械软件若存在中外差异,如语言差异、软件功能删减、适用范围缩减等,需在软件研究资料中提交本次申报软件与原产国获准上市版本软件的中外差异说明材料。
■ 八:医疗器械软件研究资料
■ 自研软件研究报告
■ 基本信息
自研软件研究报告适用于自研软件的初次发布和再次发布,包括基本信息、实现过程、核心功能、结论,详尽程度取决于软件安全性级别,
(1)软件标识
明确软件的名称、型号规格、发布版本、HASH值(如MD5值)以及注册申请人、设计开发地址。
(2)安全性级别
明确软件的安全性级别,详述判定理由。
(3)结构功能
基于软件设计规范文档提供软件的体系结构图、用户界面关系图与主界面图示,其中体系结构图区分医疗器械软件、必备软件、外部软件环境,用户界面关系图明确主界面、一级和二级用户界面的相互关系。
据用户界面关系图(若适用)详述图示软件模块(即功能模块)的功能、用途、接口,依据主界面图示(若适用)详述主界面的布局、选项、功能。
(4)物理拓扑
依据物理拓扑图详述软件/组成模块、通用计算平台、医疗器械硬件产品/部件、必备软件之间的物理连接关系,包括全部外围设备。
(5)运行环境
明确软件(软件模块)正常运行所需的典型运行环境,包括硬件配置、外部软件环境、必备软件、网络条件。
网络架构(如BS架构、CS架构、混合架构)、
网络类型(如广域网、局域网、个域网)、
网络带宽等要求。
(6)注册历史
明确软件在中国、原产国的注册情况,列明历次注册的日期、发布版本、管理类别。软件组件明确所属医疗器械的注册情况。此外,亦可提供软件在其他主要国家和地区的注册情况。
■ 实现过程
(1)开发概况
(2)风险管理
软件组件提供所属医疗器械的风险管理文档,并注明软件组件所在位置。
(3)需求规范
(4)生存周期
(5)验证与确认
(6)可追溯性分析
(7)缺陷管理
(8)更新历史
■ 核心功能
轻微级别:基于说明书列明软件核心功能的名称、所用核心算法、预期用途,全新的核心功能、核心算法、预期用途均需注明。
中等、严重级别:基于说明书列明软件核心功能的名称、所用核心算法、预期用途,全新的核心功能、核心算法、预期用途均需注明,并提供相应安全有效性研究资料。
■ 结论
简述软件实现过程的规范性和核心功能的正确性,判定软件的安全有效性是否满足要求,受益是否大于风险
■ 自研软件更新研究报告
■ 现成软件研究资料
■ 九:注册申报资料补充说明
(一)产品注册
(1)独立软件
(2)软件组件
(二)变更注册
(1)软件研究资料
(2)产品技术要求
(3)说明书
(4)产品标签样稿(独立软件适用)
(三)延续注册
延续注册通常无需提交软件相关研究资料。
产品技术要求“产品型号/规格及其划分说明”明确软件的名称、型号规格、发布版本、版本命名规则,若原注册产品标准(或原产品技术要求)及其变更对比表未体现上述软件信息,需在符合性声明中予以明确。
■ 十:参考文献
■ 十一:产品技术要求
(一):产品型号/规格及其划分说明
类型 | 描述 |
---|---|
软件型号规格 | 明确软件的型号/规格,无需体现软件发布版本。 |
软件发布版本 | 明确软件发布版本,若软件模块(含医用中间件)单独进行版本控制亦需提供其发布版本。 |
软件版本命名规则 | 版本命名规则 |
(二):性能指标
类型 | 描述 |
---|---|
全部功能 | 依据说明书和用户界面明确软件供用户调用的全部功能(含安全功能)纲要,注明选装、自动功能 |
使用限制 | 依据说明书明确软件的用户使用限制和技术限制。 |
输入输出 | 明确软件的输入数据类型(如医学图像、生理参数、体外诊断等数据)、输出结果类型(如处理、测量、分析等结果) |
接口 | 明确软件供用户调用的应用程序接口(API)、数据接口(含传输协议、存储格式, 如DICOM、HL7、JPG、PNG、私有协议与格式)、产品接口(可联合使用的其他医疗器械独立软件、医疗器械硬件产品)。 |
必备软硬件 | 明确软件正常运行所必需的其他的医疗器械独立软件(名称、型号规格、发布版本) 及医用中间件(名称、型号规格、发布版本)、医疗器械硬件产品(名称、型号规格)。 |
运行环境 | 明确软件正常运行所需的典型运行环境,包括硬件配置(含处理器、存储器、外设器件) 外部软件环境(列明全部软件的名称、完整版本、补丁版本,使用“兼容版本”而非“以上版本”、“更高版本”)、 网络条件(含网络架构、网络类型、网络带宽),涵盖客户端、 服务器端(若适用)、云端(若适用)要求。 无需重复描述必备软硬件。 |
性能效率 | 明确软件在典型运行环境(含云计算)下完成典型核心功能的时间特性,若适用明确资源利用性、容量。 |
最大并发数 | 明确软件在典型运行环境(含云计算)下的实施典型并发操作的最大并发用户数和/或患者数,注明相应响应时间。 |
用户界面 | 明确软件的用户界面类型和用户输入类型。 |
消息 | 明确软件向用户提供的消息类型和形式。 |
用户差错防御 | 明确软件对导致严重后果的用户操作错误的防御能力。 |
访问控制 | 明确软件的用户身份鉴别方法、用户类型及用户访问权限。 |
版权保护 | 明确软件的版权保护技术及其对软件正常使用的影响。 |
可靠性 | 明确软件出错的数据保存、恢复及继续运行能力。 |
维护性 | 明确软件向用户提供的维护功能和维护信息类型。 |
(三):检验方法
3.0 依据检测单元分述软件测试环境(与典型运行环境等同)。
3.1 通用要求符合性检验
通过检查说明书、实际操作、软件测试等方法逐条说明2.1各条款的检验方法,并验证2.1各条款的符合性。
若核心功能相同但核心算法类型不同,则每类核心算法所对应的核心功能均需检测(检测对象为核心功能而非核心算法)。
3.2 专用要求检验方法(若适用)
3.2.1依据YY 0775-2010的方法进行检验(若适用)。
3.2.2依据YY/T 0887-2013的方法进行检验(若适用)。
3.2.3依据YY/T 0889-2013的方法进行检验(若适用)。
3.2.4依据YY/T 0973-2016的方法进行检验(若适用)。
……
3.3 安全要求检验方法(若适用)
3.3.1 依据YY 0709-2009的方法进行检验(若适用)。
3.3.2 依据YY 0637-2013的方法进行检验(若适用)。
3.3.3 依据YY 0721-2009的方法进行检验(若适用)。
……