9月24日��,F(xiàn)DA正式發(fā)布了《產(chǎn)品和質(zhì)量系統(tǒng)軟件CSA指南》���,從2018年CSA概念提出,到2022年CSA草案二十幾頁���,再到最終版四十頁�,業(yè)內(nèi)人士評論這是醫(yī)藥行業(yè)的一大步����,讓人亢奮~
該文件補充了 FDA 此前《軟件驗證通則》指南的內(nèi)容,同時取代了其中 “第 6 節(jié):自動化過程設(shè)備與質(zhì)量體系軟件的驗證” 部分��,同時將適配 2026 年2月生效的 21 CFR Part 820(設(shè)備質(zhì)量體系法規(guī))修訂終稿(整合 ISO 13485:2016 標準)��。文件包含計算機軟件保證的風(fēng)險框架和電子記錄要求的考量�����,圍繞預(yù)期用途�����、確定基于風(fēng)險的方法、生產(chǎn)或質(zhì)量體系軟件變更��、確定適當?shù)谋WC活動���、建立適當?shù)挠涗浀葍?nèi)容闡述了詳細要求文件還包含大量示例以幫助理解CSA要求��。
翻譯如下:
Guidance for Industry and Food and Drug Administration Staff
行業(yè)和食品藥品監(jiān)管人員指南
Computer Software Assurance for Production and Quality System Software
引言
FDA 發(fā)布本指南�,旨在為作為醫(yī)療器械生產(chǎn)或質(zhì)量體系一部分的計算機和自動化數(shù)據(jù)處理系統(tǒng)的計算機軟件保證提供建議��。本指南:
將“計算機軟件保證” 描述為一種基于風(fēng)險的方法�,用于建立對生產(chǎn)或質(zhì)量體系所用自動化的信心,并指出在哪些情況下可能需要更嚴格的要求����;并且
描述可用于建立計算機軟件保證并提供客觀證據(jù)以滿足監(jiān)管要求的計算機軟件保證活動,例如質(zhì)量體系義務(wù)中的計算機軟件驗證要求��,包括21CFR 第820 部分(以下簡稱 “第820 部分”)中的要求���。
本指南是對 FDA《軟件驗證通則》指南(以下簡稱《軟件驗證指南》)的補充����,但本指南取代《軟件驗證指南》中“第6 部分:自動化工藝設(shè)備和質(zhì)量體系軟件的驗證” 章節(jié)��。
有關(guān)本文件中引用的��、FDA 認可的共識標準的當前版本�,請參見 FDA 認可的共識標準數(shù)據(jù)庫��。³
一般而言��,F(xiàn)DA 的指南文件不設(shè)立具有法律強制力的責(zé)任��。相反�����,指南闡述了本機構(gòu)在某一主題上的當前思路�,且除非引用了具體的監(jiān)管或法定要求,否則應(yīng)僅被視為建議��。在本機構(gòu)指南中使用 “should(應(yīng)該)” 一詞��,意味著是提出建議或推薦�,但并非強制要求。
二���、背景
FDA 展望未來�����,醫(yī)療器械生態(tài)系統(tǒng)會從本質(zhì)上聚焦于能提升產(chǎn)品質(zhì)量和患者安全的器械特征與生產(chǎn)實踐��。FDA 一直致力于識別并推廣成功的生產(chǎn)實踐����,以幫助器械制造商提高其生產(chǎn)質(zhì)量水平。在此過程中�,一個目標是幫助制造商生產(chǎn)出符合 FDA 所實施的法律和法規(guī)的高質(zhì)量醫(yī)療器械。對于成品醫(yī)療器械制造商而言�,只要其開展的業(yè)務(wù)涉及質(zhì)量體系義務(wù)的適用范圍,就需要遵守包括21 CFR Part 820在內(nèi)的質(zhì)量體系義務(wù)�����。質(zhì)量體系義務(wù)包括要求醫(yī)療器械制造商開發(fā)��、實施��、控制和監(jiān)測生產(chǎn)工藝���,以確保器械符合其規(guī)格要求?�����,其中也包括要求制造商對作為生產(chǎn)或質(zhì)量體系一部分��、用于預(yù)期用途的計算機軟件進行驗證? ?�����。本指南中關(guān)于計算機軟件保證的建議�����,旨在提升產(chǎn)品質(zhì)量和患者安全���,并與更高質(zhì)量的成果相關(guān)聯(lián)。本指南闡述了與作為生產(chǎn)或質(zhì)量體系一部分的計算機及自動化數(shù)據(jù)處理系統(tǒng)相關(guān)的實踐�。
近年來,制造技術(shù)的進步(包括自動化�、機器人技術(shù)、仿真技術(shù)和其他數(shù)字能力的采用)使制造商能夠減少誤差來源��、優(yōu)化資源并降低患者風(fēng)險�����。FDA 認識到這些技術(shù)在提升醫(yī)療器械的質(zhì)量、可及性和安全性方面具有顯著益處的潛力����,并已采取多項舉措來助力促進此類技術(shù)的采用和使用。
具體而言��,F(xiàn)DA 通過醫(yī)療器械創(chuàng)新聯(lián)盟(MDIC)���、對醫(yī)療器械制造商的現(xiàn)場訪問��,以及與其他行業(yè)(如汽車���、消費電子)的標桿對比工作,與利益相關(guān)者保持互動�,以了解最新技術(shù),并更好地理解利益相關(guān)者在進一步發(fā)展方面面臨的挑戰(zhàn)和機遇�����。作為這些持續(xù)努力的一部分�����,醫(yī)療器械制造商表達了希望更清晰了解本機構(gòu)對作為生產(chǎn)或質(zhì)量體系一部分的計算機及自動化數(shù)據(jù)處理系統(tǒng)的軟件驗證期望的訴求�。鑒于軟件的快速變化特性��,制造商也表達了希望采用更具迭代性�����、敏捷性的方法來驗證作為生產(chǎn)或質(zhì)量體系一部分的計算機軟件的訴求���。
傳統(tǒng)上��,軟件驗證通常是通過在軟件開發(fā)生命周期的每個階段進行的軟件測試和其他驗證活動來完成的����。然而,正如 FDA《軟件驗證指南》中所闡述的���,僅靠軟件測試往往不足以建立對軟件適用于其預(yù)期用途的信心�。相反�,《軟件驗證指南》建議 “軟件質(zhì)量保證” 應(yīng)聚焦于防止在軟件開發(fā)過程中引入缺陷,并鼓勵采用基于風(fēng)險的方法來建立對軟件適用于其預(yù)期用途的信心�。
FDA 認為,將基于風(fēng)險的方法應(yīng)用于作為生產(chǎn)或質(zhì)量體系一部分的計算機軟件保證�����,能更好地使制造商的質(zhì)量保證活動聚焦于幫助確保產(chǎn)品質(zhì)量,同時助力滿足驗證要求�����?��;谶@些原因��,F(xiàn)DA 針對作為醫(yī)療器械生產(chǎn)或質(zhì)量體系一部分的計算機及自動化數(shù)據(jù)處理系統(tǒng)��,提供有關(guān)計算機軟件保證的建議����。FDA 認為����,這些建議將有助于促進創(chuàng)新技術(shù)的采用和使用(這些技術(shù)能讓患者獲得高質(zhì)量的醫(yī)療器械),并幫助制造商跟上動態(tài)且快速變化的技術(shù)形勢�,同時促進對 FDA 所實施的法律和法規(guī)的遵守。
本指南是對 FDA《軟件驗證通則》指南(以下簡稱《軟件驗證指南》)的補充�,但本指南取代《軟件驗證指南》中 “第 6 部分:自動化工藝設(shè)備和質(zhì)量體系軟件的驗證” 章節(jié)。
有關(guān)本文件中引用的����、FDA 認可的共識標準的當前版本�,請參見 FDA 認可的共識標準數(shù)據(jù)庫�。³
一般而言,F(xiàn)DA 的指南文件不設(shè)立具有法律強制力的責(zé)任���。相反�����,指南闡述了本機構(gòu)在某一主題上的當前思路�����,且除非引用了具體的監(jiān)管或法定要求,否則應(yīng)僅被視為建議�����。在本機構(gòu)指南中使用 “should(應(yīng)該)” 一詞�����,意味著是提出建議或推薦����,但并非強制要求����。
三�、范圍
本指南針對作為醫(yī)療器械生產(chǎn)或質(zhì)量體系一部分的計算機或自動化數(shù)據(jù)處理系統(tǒng),提供有關(guān)計算機軟件保證的建議�����。
本指南并非旨在完整描述所有軟件驗證原則�。FDA 此前已在其《軟件驗證》指南中概述了軟件驗證原則,包括將變更管理作為軟件生命周期的一部分�����。本指南將《軟件驗證》指南中討論的基于風(fēng)險的軟件驗證方法應(yīng)用于生產(chǎn)或質(zhì)量體系軟件�����。此外��,本指南還討論了特定的風(fēng)險考量��、可接受的測試方法���,以及在醫(yī)療器械生命周期內(nèi)為生產(chǎn)或質(zhì)量體系軟件高效生成客觀證據(jù)的相關(guān)內(nèi)容��。
本指南不針對器械軟件功能的設(shè)計驗證或確認要求提供建議(器械軟件功能是符合FD&C 法案第201 (h) 節(jié)中器械定義的軟件功能)����。如需了解FDA 關(guān)于醫(yī)療器械軟件驗證建議的更多信息,請參見《軟件驗證》指南�。
四、定義
以下定義適用于本指南�。?
云計算(云):云計算是一種模型,可實現(xiàn)對共享的可配置計算資源池(如網(wǎng)絡(luò)����、服務(wù)器、存儲���、應(yīng)用程序和服務(wù))的泛在、便捷��、按需網(wǎng)絡(luò)訪問��,這些資源可通過最少的管理工作或與服務(wù)提供商的交互來快速供應(yīng)和釋放�����。此云模型包含五個基本特征:按需自助服務(wù)���、廣泛的網(wǎng)絡(luò)訪問�、資源池化、快速彈性和計量服務(wù)���。云包含三種服務(wù)模型:軟件即服務(wù)(SaaS)���、平臺即服務(wù)(PaaS)和基礎(chǔ)設(shè)施即服務(wù)(IaaS)。云模型還包含四種部署模型:私有云����、社區(qū)云、公有云和混合云��。?
基礎(chǔ)設(shè)施即服務(wù)(IaaS):向消費者提供的能力是供應(yīng)處理����、存儲、網(wǎng)絡(luò)和其他基本計算資源�����,消費者能夠在這些資源上部署和運行任意軟件(可包括操作系統(tǒng)和應(yīng)用程序)����。消費者不管理或控制底層云基礎(chǔ)設(shè)施��,但對操作系統(tǒng)���、存儲和已部署的應(yīng)用程序有控制權(quán);并且可能對部分網(wǎng)絡(luò)組件(如主機防火墻)有有限的控制權(quán)���。?
平臺即服務(wù)(PaaS):向消費者提供的能力是在云基礎(chǔ)設(shè)施上部署消費者創(chuàng)建或獲取的應(yīng)用程序(這些應(yīng)用程序使用提供商支持的編程語言���、庫、服務(wù)和工具創(chuàng)建)����。¹?消費者不管理或控制底層云基礎(chǔ)設(shè)施(包括網(wǎng)絡(luò)、服務(wù)器�����、操作系統(tǒng)或存儲)�,但對已部署的應(yīng)用程序以及可能對應(yīng)用程序托管環(huán)境的配置設(shè)置有控制權(quán)�。¹¹
軟件即服務(wù)(SaaS):向消費者提供的能力是使用提供商在云基礎(chǔ)設(shè)施上運行的應(yīng)用程序。這些應(yīng)用程序可通過瘦客戶端界面(如網(wǎng)頁瀏覽器���,例如電子郵件)或程序界面從各種客戶端設(shè)備訪問�����。消費者不管理或控制底層云基礎(chǔ)設(shè)施(包括網(wǎng)絡(luò)����、服務(wù)器、操作系統(tǒng)��、存儲�����,甚至單個應(yīng)用程序功能)���,可能僅對有限的特定于用戶的應(yīng)用程序配置設(shè)置有控制權(quán)��。¹²
五�、計算機軟件保證
計算機軟件保證是一種基于風(fēng)險的方法�,用于建立并保持對軟件適用于其預(yù)期用途的信心。該方法會考慮(若軟件未能按預(yù)期運行時)器械安全性和 / 或質(zhì)量受損的風(fēng)險�,以確定為在軟件中建立信心而應(yīng)采取的保證工作和活動的水平。由于計算機軟件保證是基于風(fēng)險的��,因此它遵循最小負擔(dān)的方法,即驗證工作的負擔(dān)不會超過應(yīng)對風(fēng)險所需的程度�����。這種方法支持資源的高效利用����,進而提升產(chǎn)品質(zhì)量。
此外�,計算機軟件保證能建立并保持生產(chǎn)或質(zhì)量體系中使用的軟件在其整個生命周期內(nèi)處于受控狀態(tài)(“已驗證狀態(tài)”)。這一點很重要�,因為制造商越來越依賴計算機和自動化處理系統(tǒng)來監(jiān)控和運行生產(chǎn)、向相關(guān)人員發(fā)出警報��,以及傳輸和分析生產(chǎn)數(shù)據(jù)等�。通過允許制造商利用其他實體(如開發(fā)商、供應(yīng)商和服務(wù)提供商)開展的基于風(fēng)險的驗證活動等原則�,計算機軟件保證方法在幫助確保軟件保持符合適用質(zhì)量體系義務(wù)的已驗證狀態(tài)方面,提供了靈活性和敏捷性����。
適用于其預(yù)期用途并保持已驗證狀態(tài)的軟件應(yīng)按預(yù)期運行,有助于確保成品器械的安全性和有效性��,并符合監(jiān)管要求(見 21 CFR 820.1 (a)(1))����。第五節(jié)概述了計算機軟件保證的基于風(fēng)險的框架。
(1)確定預(yù)期用途
法規(guī)要求制造商對作為生產(chǎn)或質(zhì)量體系一部分使用的軟件�,按其預(yù)期用途進行驗證(參見 21 CFR 820.70 (a))。這包括與計算機化系統(tǒng)相關(guān)的各種云計算模式���,如平臺即服務(wù)(PaaS)��、基礎(chǔ)設(shè)施即服務(wù)(IaaS)和軟件即服務(wù)(SaaS)�。
為了確定驗證要求是否適用����,制造商必須確定該軟件是否正在或?qū)⒁鳛樯a(chǎn)或質(zhì)量體系的一部分使用(無論是直接使用還是用于支持生產(chǎn)或質(zhì)量體系)。
具有以下預(yù)期用途的軟件被視為直接作為生產(chǎn)或質(zhì)量體系的一部分使用:
用于自動化生產(chǎn)過程�����、檢驗����、測試或生產(chǎn)數(shù)據(jù)收集與處理的軟件;以及用于自動化質(zhì)量體系過程����、質(zhì)量體系數(shù)據(jù)收集與處理或維護根據(jù)適用質(zhì)量體系要求建立的質(zhì)量記錄的軟件����。
具有以下預(yù)期用途的軟件被視為用于支持生產(chǎn)或質(zhì)量體系:
擬用作測試或監(jiān)控軟件系統(tǒng)的開發(fā)工具���,或為作為生產(chǎn)或質(zhì)量體系一部分使用的軟件自動化這些活動的開發(fā)工具�,例如用于開發(fā)和運行腳本或嵌入生產(chǎn)設(shè)備的軟件(如固件)的測試�;以及用于自動化生產(chǎn)或質(zhì)量體系的一般記錄保存(且不屬于質(zhì)量記錄范疇)的軟件。
這兩種軟件都作為生產(chǎn)或質(zhì)量體系的一部分使用�����,必須根據(jù) 21 CFR 820.70 (a) 進行驗證�����。然而���,如下文進一步討論的�,支持性軟件通常風(fēng)險較低�����,因此在基于風(fēng)險的計算機軟件保證方法下���,驗證工作可相應(yīng)減少����,同時不影響安全性����。
另一方面,具有以下預(yù)期用途的軟件通常不被視為生產(chǎn)或質(zhì)量體系的一部分�����,因此 21 CFR 820.70 (a) 中的驗證要求不適用:
用于管理不特定于生產(chǎn)或質(zhì)量體系的一般業(yè)務(wù)流程或運營的軟件�,如電子郵件或會計應(yīng)用程序;以及用于建立或支持不特定于生產(chǎn)或質(zhì)量體系的基礎(chǔ)設(shè)施的軟件�,如網(wǎng)絡(luò)、用戶認證或運營連續(xù)性(如備份和恢復(fù))�����。
FDA 建議制造商在考慮云計算模式時����,關(guān)注軟件的預(yù)期用途,因為并非所有云計算模式都 “直接” 作為生產(chǎn)或質(zhì)量體系的一部分使用����。
例如�����,基礎(chǔ)設(shè)施即服務(wù)(IaaS)云存儲解決方案屬于基礎(chǔ)設(shè)施類別����,但可能被用于存儲根據(jù)適用質(zhì)量體系要求建立的質(zhì)量記錄�,在這種情況下,該 IaaS 云存儲解決方案將被視為直接作為質(zhì)量體系的一部分使用��。在此示例中����,F(xiàn)DA 建議制造商將保證工作的重點放在與記錄完整性相關(guān)的特征或功能,以及適用于擬存儲記錄的 21 CFR 第 11 部分要求上�����。
相反�,IaaS 云存儲解決方案可能支持基礎(chǔ)設(shè)施來存儲生產(chǎn)和過程數(shù)據(jù);這不會被視為已建立的質(zhì)量體系記錄�。在此示例中,該 IaaS 云存儲解決方案不支持生產(chǎn)或質(zhì)量體系�,因此 21 CFR 820.70 (a) 中的驗證要求不適用��。當數(shù)據(jù)在云中的存儲與該數(shù)據(jù)是否屬于質(zhì)量記錄無關(guān)時����,制造商有義務(wù)確定該應(yīng)用的適當風(fēng)險等級�。制造商可以考慮采用負擔(dān)最小的方法來確保 IaaS 云存儲解決方案適合其業(yè)務(wù)。
FDA 認識到���,用于生產(chǎn)或質(zhì)量體系的軟件通常很復(fù)雜,由多個特征��、功能和操作組成����。? 軟件可能根據(jù)其各自的特征、功能和操作具有一個或多個預(yù)期用途����。在軟件的各個特征、功能和操作在生產(chǎn)或質(zhì)量體系中具有不同作用的情況下���,它們可能帶來不同的風(fēng)險�����,需要不同程度的驗證工作�����。FDA 建議制造商檢查軟件特征���、功能或操作的預(yù)期用途��,以促進基于風(fēng)險的保證策略的制定���。制造商可以決定針對與預(yù)期用途相關(guān)的各個特征、功能或操作開展不同的保證活動����。
例如,商用現(xiàn)成(COTS)電子表格軟件可能包含具有不同預(yù)期用途的各種功能�����。當利用COTS 電子表格軟件的基本輸入功能來記錄固化過程的時間和溫度讀數(shù)時���,制造商可能不需要進行超出COTS 軟件開發(fā)商所進行的以及安裝和配置之外的額外保證活動��。該軟件的預(yù)期用途是“記錄過程”���,僅用于支持維護過程信息的記錄��,且風(fēng)險較低����。因此��,諸如成功的供應(yīng)商評估以及軟件安裝和配置等初始活動可能足以確定該軟件適合其預(yù)期用途并保持驗證狀態(tài)���。然而,如果制造商還利用COTS 電子表格的內(nèi)置功能來創(chuàng)建直接用于生產(chǎn)或質(zhì)量體系的自定義公式��,那么可能會存在額外的風(fēng)險和數(shù)據(jù)完整性考慮�����。例如����,如果自定義公式自動計算時間和溫度統(tǒng)計數(shù)據(jù)以監(jiān)控固化過程的性能和必要性,那么制造商可能需要進行額外的驗證����。
(2)確定基于風(fēng)險的方法
一旦制造商確定某一軟件特征�、功能或操作當前或未來會被用作生產(chǎn)或質(zhì)量體系的一部分����,美國食品藥品監(jiān)督管理局(FDA)建議使用基于風(fēng)險的分析來確定適當?shù)谋WC活動。廣義而言���,這種基于風(fēng)險的方法需要系統(tǒng)地識別合理可預(yù)見的軟件故障���,確定此類故障是否構(gòu)成高過程風(fēng)險,并根據(jù)適用情況����,系統(tǒng)地選擇和執(zhí)行與醫(yī)療器械或過程風(fēng)險相匹配的保證活動。制造商應(yīng)根據(jù)其基于風(fēng)險的分析�,并考慮其流程和程序(適用于所涉及的軟件和正在執(zhí)行的保證活動),選擇執(zhí)行保證活動的適當頻率�。
需要注意的是,本指南中所述的針對生產(chǎn)或質(zhì)量體系軟件的計算機軟件保證開展基于風(fēng)險的分析�����,與國際標準化組織(ISO)
14971:2019《醫(yī)療器械-醫(yī)療器械風(fēng)險管理的應(yīng)用》中所述的針對醫(yī)療器械開展的風(fēng)險分析不同�。針對生產(chǎn)或質(zhì)量體系軟件的基于風(fēng)險的分析側(cè)重于那些可能影響或阻礙軟件按預(yù)期運行的因素,例如過程系統(tǒng)的配置和管理、系統(tǒng)安全性���、數(shù)據(jù)完整性�、數(shù)據(jù)存儲��、數(shù)據(jù)傳輸或操作錯誤�。針對生產(chǎn)或質(zhì)量體系軟件的基于風(fēng)險的分析應(yīng)考慮故障是否是合理可預(yù)見的(而非是否可能發(fā)生),以及每次此類故障所導(dǎo)致的風(fēng)險�����。例如��,在基于風(fēng)險的分析中�����,制造商可能會考慮電源循環(huán)中斷帶來的風(fēng)險��,這種情況可能不太可能發(fā)生���,但在生產(chǎn)或質(zhì)量體系的生命周期內(nèi)是合理可預(yù)見會發(fā)生的。本指南既討論過程風(fēng)險�,也討論醫(yī)療器械風(fēng)險。過程風(fēng)險是指生產(chǎn)或質(zhì)量體系受到損害的可能性。醫(yī)療器械風(fēng)險是指患者或使用者受到損害的可能性����。在討論醫(yī)療器械風(fēng)險時,本指南關(guān)注的是由損害安全性的質(zhì)量問題所導(dǎo)致的醫(yī)療器械風(fēng)險����。
具體而言,當某一軟件特征��、功能或操作未能按預(yù)期運行可能導(dǎo)致可預(yù)見地損害安全性的質(zhì)量問題(即醫(yī)療器械風(fēng)險)時���,F(xiàn)DA 認為該軟件特征��、功能或操作構(gòu)成高過程風(fēng)險��。這一過程風(fēng)險識別步驟僅關(guān)注過程��,而非對患者或使用者造成的醫(yī)療器械風(fēng)險����。通常屬于高過程風(fēng)險的軟件特征�、功能或操作包括:
維持對產(chǎn)品物理特性或被確定為對器械安全至關(guān)重要的制造過程有影響的過程參數(shù)(例如溫度、壓力或濕度)����;
在很少或沒有額外人員參與知曉或?qū)徍说那闆r下����,對產(chǎn)品或過程進行測量�、檢驗、分析和 / 或確定其可接受性��;
基于數(shù)據(jù)監(jiān)控或來自其他過程步驟的自動反饋�����,在沒有額外人員參與知曉或?qū)徍说那闆r下����,對過程進行修正或?qū)^程參數(shù)進行調(diào)整;
生成供患者和使用者使用的���、對醫(yī)療器械的安全操作而言必需的使用說明或其他標簽�;和 / 或
對制造商確定為對器械安全(例如網(wǎng)絡(luò)安全)和質(zhì)量至關(guān)重要的數(shù)據(jù)進行自動監(jiān)視�����、趨勢分析或跟蹤����。
相反,當某一軟件特征���、功能或操作未能按預(yù)期運行不會導(dǎo)致可預(yù)見地損害安全性的質(zhì)量問題時���,F(xiàn)DA 認為該軟件特征、功能或操作不構(gòu)成高過程風(fēng)險�。這包括未能按預(yù)期運行不會導(dǎo)致質(zhì)量問題的情況,以及未能按預(yù)期運行可能導(dǎo)致質(zhì)量問題但該質(zhì)量問題不會可預(yù)見地導(dǎo)致安全性受損害的情況��。通常不屬于高過程風(fēng)險的軟件特征����、功能或操作包括:
從過程中收集和記錄用于監(jiān)控和審核目的、且對生產(chǎn)或過程性能沒有直接影響的數(shù)據(jù)����;
作為質(zhì)量體系的一部分,用于糾正和預(yù)防措施(CAPA)的流轉(zhuǎn)��、投訴的自動記錄 / 跟蹤��、變更控制的自動管理或程序的自動管理�;
旨在管理數(shù)據(jù)(監(jiān)控�、存儲和 / 或組織數(shù)據(jù))����、自動執(zhí)行現(xiàn)有計算、增強過程追溯��,或在既定過程中出現(xiàn)異常時提供與數(shù)據(jù)管理相關(guān)的警報����;和/ 或
如上文第五節(jié) A.1 部分所述,用于支持生產(chǎn)或質(zhì)量體系��。
FDA 承認�,與用作生產(chǎn)或質(zhì)量體系一部分的軟件相關(guān)的過程風(fēng)險是一個連續(xù)范圍,從高過程風(fēng)險到低過程風(fēng)險不等�。制造商應(yīng)根據(jù)軟件的預(yù)期用途,確定每個軟件特征���、功能或操作的風(fēng)險在該范圍內(nèi)的位置����。FDA 主要關(guān)注那些高過程風(fēng)險的軟件特征��、功能和操作的審查和保證��,因為這些過程也會帶來醫(yī)療器械風(fēng)險����。就本指南而言,F(xiàn)DA 以二元方式呈現(xiàn)過程風(fēng)險:“高過程風(fēng)險” 和 “非高過程風(fēng)險”����。例如,制造商在確定保證活動時��,仍可將某一過程確定為 “中等”“中間” 甚至 “低” 風(fēng)險�;在這種情況下,本指南中涉及 “高過程風(fēng)險” 的部分同樣適用��。如下文第五節(jié) A.4 部分所述���,對于 “高過程風(fēng)險” 的軟件��,應(yīng)開展與醫(yī)療器械風(fēng)險相匹配的保證活動��;對于 “非高過程風(fēng)險” 的軟件����,應(yīng)開展與過程風(fēng)險相匹配的保證活動���。
示例:某企業(yè)資源規(guī)劃(ERP)管理系統(tǒng)包含一個自動補充物料的功能(該功能自動進行物料訂購并將其交付至相應(yīng)的生產(chǎn)工序)����。不過,經(jīng)授權(quán)人員會在物料用于生產(chǎn)前對其進行檢查�。該功能若未能按預(yù)期運行,可能會導(dǎo)致補充和交付物料時出現(xiàn)混淆��,這會是一個質(zhì)量問題���,因為若經(jīng)授權(quán)人員(參與檢查)��,會在物料用于生產(chǎn)前就完成交付�;因此����,該質(zhì)量問題不應(yīng)可預(yù)見地導(dǎo)致安全性受損害。制造商將其確定為中等(非高)過程風(fēng)險����,并確定與該過程風(fēng)險相匹配的保證活動。制造商已對 ERP 供應(yīng)商�����、ERP 系統(tǒng)信息進行了評估,并針對其運營和交付自動化配置了 ERP 系統(tǒng)��。制造商實施了與物料訂購和交付相關(guān)的所有剩余保證活動���。
示例:另一 ERP 管理系統(tǒng)中的類似功能執(zhí)行與前例相同的任務(wù),但它還能自動在物料用于生產(chǎn)前對其進行檢查����。經(jīng)授權(quán)人員會檢查物料清單。制造商將其確定為高過程風(fēng)險�,因為該功能若未能按預(yù)期運行,可能會導(dǎo)致可預(yù)見地損害安全性的質(zhì)量問題����。因此,制造商將確定與相關(guān)醫(yī)療器械風(fēng)險相匹配的保證活動�。制造商此前已對物料識別數(shù)據(jù)系統(tǒng)、自動物料掃描系統(tǒng)(條形碼掃描器)開展了保證活動���,對 ERP 供應(yīng)商 / 信息進行了評估��,并針對其運營配置了 ERP 系統(tǒng)�。制造商實施了與訂購和交付自動化相關(guān)的所有剩余保證活動。
示例:某 ERP 管理系統(tǒng)包含一個自動交付產(chǎn)品的功能���。醫(yī)療器械風(fēng)險取決于多個因素��,其中包括向器械使用者交付正確的結(jié)果����。該功能若未能按預(yù)期運行����,可能會導(dǎo)致交付混淆,這會是一個可預(yù)見地損害安全性的質(zhì)量問題����,因此,制造商將其確定為高過程風(fēng)險����。由于該故障會損害安全性,制造商接下來將確定相關(guān)的醫(yī)療器械風(fēng)險��,并識別與醫(yī)療器械風(fēng)險增加相匹配的保證活動��。在這種情況下�����,制造商尚未實施任何已識別的保證活動,因此制造商實施了分析中識別的所有保證活動���。
示例:生產(chǎn)軟件中的一個自動圖形用戶界面(GUI)功能用于根據(jù)用戶交互開發(fā)測試腳本����,并自動對生產(chǎn)中使用的系統(tǒng)的用戶界面進行未來測試修改�����。該 GUI 功能若未能按預(yù)期運行����,可能會導(dǎo)致實施中斷以及生產(chǎn)系統(tǒng)的軟件更新延遲�,但在這種情況下,這些錯誤不應(yīng)可預(yù)見地導(dǎo)致安全性受損害�,因為該 GUI 功能在單獨的測試環(huán)境中運行。制造商將其確定為低(非高)過程風(fēng)險��,并確定與該過程風(fēng)險相匹配的保證活動����。制造商已經(jīng)開展了部分已識別的保證活動,因此實施了剩余的已識別保證活動。
(3)生產(chǎn)或質(zhì)量體系軟件變更
對于擁有已批準的上市前批準申請(PMA)或人道主義器械豁免(HDE)的器械���,若制造程序或制造方法的變更不影響器械的安全性或有效性�,且通過定期報告(通常不稱為年度報告)向 FDA 報告����,則無需提交 PMA/HDE 補充申請。¹? 對于影響器械安全性和有效性的制造程序或生產(chǎn)制造方法的修改�,也無需提交 PMA/HDE 補充申請;此類修改需通過 30 天通知提交��。¹? 制造程序或制造方法的變更可能包括對生產(chǎn)中使用的軟件或質(zhì)量體系所用軟件的變更���。對于擁有已批準 PMA 或 HDE 的器械����,其質(zhì)量體系生產(chǎn)中使用的軟件的新增或變更�,F(xiàn)DA 建議制造商應(yīng)用上述第五節(jié) A.2 部分概述的原則,以確定該變更是否可能影響器械的安全性或有效性����。一般而言,若某一變更可能導(dǎo)致可預(yù)見損害安全性的質(zhì)量問題�����,則應(yīng)通過 30 天通知提交;若某一變更不會導(dǎo)致可預(yù)見損害安全性的質(zhì)量問題�����,則該變更可酌情在年度報告中報告����。¹?
例如,制造執(zhí)行系統(tǒng)(MES)可用于管理工作流程����、跟蹤進度��、記錄數(shù)據(jù)����,并基于經(jīng)驗證的參數(shù)設(shè)置警報或閾值(這些參數(shù)是維護質(zhì)量體系的一部分)。此類 MES 若未能按預(yù)期運行�,可能會擾亂運營,但不會影響為生產(chǎn)安全且有效的器械而建立的過程參數(shù)�。影響這些 MES 運行的變更通常在年度報告中提交。相反�,用于自動控制和調(diào)整既定關(guān)鍵生產(chǎn)參數(shù)(如溫度�����、壓力����、工藝時間)的 MES 可能屬于對制造程序的變更����,且會影響器械的安全性或有效性;若如此���,影響該特定運行的變更應(yīng)通過 30 天通知提交�����。
(4)確定適當?shù)谋WC活動
一旦制造商確定某一軟件特征����、功能或操作是否構(gòu)成高過程風(fēng)險(可能可預(yù)見損害安全性的質(zhì)量問題)��,制造商應(yīng)識別與醫(yī)療器械風(fēng)險(高過程風(fēng)險)相匹配的保證活動�����。在質(zhì)量問題可能可預(yù)見損害安全性的情況下(高過程風(fēng)險),保證級別應(yīng)與醫(yī)療器械風(fēng)險相匹配����;在質(zhì)量問題不可能可預(yù)見損害安全性的情況下(非高過程風(fēng)險),保證級別應(yīng)與過程風(fēng)險相匹配�。無論哪種情況,軟件故障�����、功能或操作的風(fēng)險越高��,通常意味著保證工作需要更嚴格(即需要更多客觀證據(jù))����;相反,安全性和 / 或質(zhì)量受損害的風(fēng)險相對較低(即非高過程風(fēng)險)���,通常意味著計算機軟件保證工作所需收集的客觀證據(jù)更少。
可能導(dǎo)致患者或使用者受到嚴重傷害的軟件特征����、功能或操作通常屬于高醫(yī)療器械風(fēng)險;相反����,不會可預(yù)見導(dǎo)致嚴重傷害的特征��、功能或操作可能不屬于高醫(yī)療器械風(fēng)險��。無論哪種情況�����,軟件未能按預(yù)期運行的風(fēng)險都與由此產(chǎn)生的醫(yī)療器械風(fēng)險相當���。
如果制造商反而確定該軟件特征、功能或操作不構(gòu)成高過程風(fēng)險(即不會導(dǎo)致可預(yù)見損害安全性的質(zhì)量問題)�,制造商應(yīng)考慮與過程(即生產(chǎn)或質(zhì)量體系)相關(guān)的風(fēng)險。這是因為(軟件的)故障不會損害安全性�����,因此故障不會引入額外的醫(yī)療器械風(fēng)險���。例如,用于收集和記錄過程數(shù)據(jù)以供審核的功能�,其過程風(fēng)險要低于在人工審核前確定產(chǎn)品可接受性的功能。
制造商通常開展的保證活動中可能考慮的手動或自動測試類型包括但不限于以下幾種:
非腳本測試:測試人員的操作不由書面指令規(guī)定的動態(tài)測試(也稱為即席測試);這是一種基于規(guī)范的測試用例設(shè)計技術(shù)����,其中用戶執(zhí)行測試項與其他系統(tǒng)之間的交互序列。¹?(在此語境下��,用戶被視為其他系統(tǒng)����。)
測試用例中的場景測試:一種基于測試人員的經(jīng)驗來生成測試用例的測試用例設(shè)計技術(shù)。¹? 基于經(jīng)驗的測試可包括針對潛在問題(如測試攻擊����、性能和其他質(zhì)量領(lǐng)域)的安全性、遍歷和錯誤分類等概念�,²? 且可包括:
錯誤推測:一種測試設(shè)計技術(shù),其中測試用例根據(jù)測試人員對過去故障的了解或?qū)收夏J降囊话懔私馔茖?dǎo)而來�����;相關(guān)知識可從個人經(jīng)驗中獲得��,或可被封裝在(例如)缺陷數(shù)據(jù)庫或“缺陷分類法” 中�����。²²
探索性測試:基于經(jīng)驗的測試����,其中測試人員根據(jù)自身現(xiàn)有的相關(guān)知識����、對測試項的先前探索(包括以往測試的結(jié)果)��,以及關(guān)于常見軟件行為和測試設(shè)計類型的啟發(fā)式“經(jīng)驗法則”,自發(fā)設(shè)計和執(zhí)行測試�����,以尋找隱藏屬性(包括隱藏的��、未預(yù)期的用戶行為�,或可能干擾正在測試的其他軟件屬性并可能造成軟件故障風(fēng)險的意外使用情況)�。²³
腳本測試:測試用例被記錄(例如,記錄在測試管理工具或電子表格中)�,隨后可手動執(zhí)行或使用自動化測試工具自動執(zhí)行的測試。每個測試用例所需的詳細程度以及證明軟件特征�、功能或操作按預(yù)期運行所需的證據(jù),取決于該軟件特征、功能或操作帶來的風(fēng)險��。例如��,根據(jù)預(yù)期用途����,更完善的腳本測試(其中測試用例和證據(jù)可能包括對可重復(fù)性���、可追溯性或可審計性的詳細要求)可能是適當?shù)摹?/span>
本指南描述了制造商在滿足監(jiān)管要求時可考慮的基于風(fēng)險的方法�;它并非軟件測試方法和原則的詳盡列表�����。FDA 承認����,除本指南中提及的方法外,還有其他軟件測試方法和途徑����,制造商可根據(jù)具體情況靈活考慮和使用。²?
例如��,《醫(yī)療器械網(wǎng)絡(luò)安全:質(zhì)量體系考量和上市前申報資料內(nèi)容》指南適用于涉及網(wǎng)絡(luò)安全考量的器械,描述了關(guān)于某些上市前申報類型下器械應(yīng)提交的網(wǎng)絡(luò)安全信息的建議�����,其中包括用于證明設(shè)計控制有效性的網(wǎng)絡(luò)安全測試建議��。制造商在開展本指南中描述的保證活動時�,可酌情考慮使用該指南中描述的網(wǎng)絡(luò)安全測試方法��。
一般而言���,F(xiàn)DA 建議制造商應(yīng)用基于風(fēng)險的測試原則�,即有意識地根據(jù)分析得出的相應(yīng)風(fēng)險類型和級別��,來管理�����、選擇���、確定測試活動和資源的優(yōu)先級并加以利用����,以確定適當?shù)幕顒印τ诟哌^程風(fēng)險的軟件特征���、功能和操作����,制造商在確定其保證活動時����,可選擇考慮更嚴格的要求(如使用腳本測試或腳本測試與非腳本測試相結(jié)合的混合方法,并酌情調(diào)整)���;相反���,對于非高過程風(fēng)險的軟件特征、功能和操作��,制造商可考慮使用非腳本測試方法(如場景測試�、錯誤推測、探索性測試�����,或適合該風(fēng)險的方法組合)�。針對高過程風(fēng)險和非高過程風(fēng)險討論的測試類別并非僅限于這些示例�;制造商應(yīng)應(yīng)用基于風(fēng)險的測試原則來確定要執(zhí)行的適當測試類型�。例如,即使對于高過程風(fēng)險的特征����、功能和操作���,非腳本測試可能更適合確保軟件按預(yù)期運行����;相反����,制造商可能會發(fā)現(xiàn),為非高過程風(fēng)險的特征���、功能和操作開發(fā)腳本測試并實現(xiàn)自動化���,會更有效且更高效。
(5)保證活動的其他考量因素
在確定適當?shù)谋WC活動時��,制造商應(yīng)考慮整個質(zhì)量體系中是否存在任何額外的控制措施或機制���,若軟件特征����、功能或操作發(fā)生故障,這些措施或機制可降低安全性和 / 或質(zhì)量受損的影響�����。例如��,作為全面保證方法的一部分����,制造商可利用以下方式來減少額外保證活動的工作量:
在已建立的流程中開展的、對生產(chǎn)進行控制或充分驗證進展且涉及相關(guān)軟件的活動��。此類活動可能包括確保生產(chǎn)支持數(shù)據(jù)完整性的程序��、后續(xù)檢驗或測試�,或由其他組織單位執(zhí)行的軟件質(zhì)量保證流程。
已建立的用于選擇和監(jiān)督軟件供應(yīng)商的采購控制流程���。例如�,醫(yī)療器械制造商可將軟件開發(fā)者已開展的軟件開發(fā)實踐�、驗證工作以及電子信息作為起點�����,并確定可能需要哪些額外活動�����。對于某些低風(fēng)險的軟件特征����、功能和操作��,這可能就是制造商所需的全部保證����。
已全面融入生產(chǎn)過程的額外過程控制�����,包括降低網(wǎng)絡(luò)安全風(fēng)險的活動²?���。例如��,若某個過程被充分理解����、所有關(guān)鍵過程參數(shù)都受到監(jiān)控,和 / 或過程的所有輸出都經(jīng)過驗證測試��,那么這些控制可作為額外機制�,用于檢測和糾正因軟件特征、功能或操作未能按預(yù)期運行而可能出現(xiàn)的質(zhì)量問題�。在此示例中,這些控制措施的存在可被利用�,以減少針對該軟件的適當保證活動的工作量。
軟件在實施后���,為監(jiān)控或檢測軟件中的問題或異常情況而定期或持續(xù)收集的數(shù)據(jù)和信息����。監(jiān)控和檢測性能問題���、偏差及系統(tǒng)錯誤的能力��,可能會降低與軟件未能按預(yù)期運行相關(guān)的風(fēng)險�,且在確定保證活動時可能會被考慮�����。
盡可能使用支持軟件開發(fā)和系統(tǒng)生命周期活動的工具(如缺陷、異常跟蹤工具��,需求可追溯性工具)��,以保證生產(chǎn)中使用的或作為質(zhì)量體系一部分的軟件����。
在生產(chǎn)中使用的或作為質(zhì)量體系一部分的軟件的整個生命周期內(nèi),在迭代周期中并持續(xù)使用測試和結(jié)果數(shù)據(jù)��。
FDA 認識到�����,作為評估的一部分�����,制造商可能難以從軟件供應(yīng)商處獲取信息�����,并建議制造商將對軟件供應(yīng)商的基于風(fēng)險的分析作為其保證方法的一部分來建立和應(yīng)用���。制造商在確定對軟件供應(yīng)商的適當控制級別(如采購控制)時���,其評估可考慮各類信息來源。為評估供應(yīng)商的能力(無論是基于云的�����、本地的還是混合模式的)���,制造商可考慮包括但不限于以下的活動:
對供應(yīng)商進行現(xiàn)場審計(如適用)����。FDA 承認�,器械制造商對軟件供應(yīng)商進行審計可能并不可行或不適當。制造商可在對軟件供應(yīng)商的控制措施和能力進行基于風(fēng)險的分析時����,考慮任何適用的替代信息組合;
審查供應(yīng)商的行業(yè)資質(zhì)和認證(如《服務(wù)組織控制》報告)以及認可認證(如 ISO 認證)���。
審查供應(yīng)商在軟件開發(fā)�、軟件質(zhì)量保證��、網(wǎng)絡(luò)安全(如安全風(fēng)險評估、威脅建模��、安全設(shè)計評審�����、軟件物料清單(SBOM)和測試)以及風(fēng)險緩解方面的實踐和文件����;以及
審查供應(yīng)商或軟件的數(shù)據(jù)完整性能力或控制措施,包括但不限于:
保留記錄����、歸檔數(shù)據(jù)以及生成準確且完整的記錄副本;
保護靜態(tài)和傳輸中的數(shù)據(jù)(即維護安全的��、計算機生成的��、帶有時間戳的用戶操作和數(shù)據(jù)變更的審計跟蹤�����,對數(shù)據(jù)進行加密)��;
建立和維護訪問控制�、電子簽名控制以及對用戶操作的授權(quán)檢查。
制造商應(yīng)根據(jù)供應(yīng)商滿足規(guī)定要求的能力����,在其程序中建立并維護對供應(yīng)商的要求,并界定對產(chǎn)品����、服務(wù)和供應(yīng)商實施控制的類型和范圍。制造商在評估決策中應(yīng)考慮關(guān)于供應(yīng)商的適當信息來源��。FDA 建議制造商建立一種基于風(fēng)險的方法����,用于評估軟件或服務(wù)的供應(yīng)商、評估活動以及應(yīng)保留的適當客觀證據(jù)�。
例如,如第五節(jié) A.1 中提及的支持軟件���,通常風(fēng)險較低���,與 “直接” 用于生產(chǎn)或質(zhì)量體系的軟件的性能相比,保證工作通?���?蓽p少�;通過利用供應(yīng)商的評估和驗證記錄��、軟件安裝或軟件配置��,往往可充分確定其按預(yù)期運行的固有屬性��,因此可能無需額外的保證活動(如腳本測試或非腳本測試)����。
示例:某糾正和預(yù)防措施(CAPA)自動化系統(tǒng)采用 JavaScript 編寫,且使用調(diào)試器工具來設(shè)置斷點并逐步調(diào)試代碼����。代碼調(diào)試完成后,在實施前會移除所有調(diào)試器內(nèi)容���。在此情況下�,調(diào)試器工具用于協(xié)助軟件開發(fā)者進行質(zhì)量體系代碼的編寫�����,但不受質(zhì)量體系要求的約束��,因為該工具未與生產(chǎn)或質(zhì)量體系集成�����,也不作為生產(chǎn)或質(zhì)量體系的一部分使用����。FDA 建議制造商采用一種負擔(dān)最小的方法來確保該工具按預(yù)期運行。
示例:某制造商采用云存儲解決方案來存儲生產(chǎn)數(shù)據(jù)���。該系統(tǒng)有網(wǎng)絡(luò)負載規(guī)范�,且使用參數(shù)化工具來模擬生產(chǎn)系統(tǒng)預(yù)期的峰值負載�����。負載測試結(jié)果表明該系統(tǒng)可承受所需的用戶負載�����,且該結(jié)果成為客觀證據(jù)的一部分���。參數(shù)化工具并非測試結(jié)果的記錄系統(tǒng)�,因為它不會更改生產(chǎn)系統(tǒng)內(nèi)的代碼�����,且測試不會向生產(chǎn)系統(tǒng)添加任何數(shù)據(jù)。FDA 建議制造商采用一種負擔(dān)最小的方法來確保該工具按預(yù)期運行����。
制造商有責(zé)任確定適當?shù)谋WC活動,以確保軟件特征�、功能或操作維持驗證狀態(tài)。上述保證活動和考量因素是提供保證的一些可能方式�,并非強制性要求或詳盡無遺的清單。制造商可利用任何與預(yù)期用途相關(guān)的風(fēng)險最匹配的活動�����,或這些活動的組合�。
(6)建立適當?shù)挠涗?/span>
在建立記錄時,制造商應(yīng)獲取充分的客觀證據(jù)����,以證明軟件特征、功能或操作已得到評估且按預(yù)期運行�����。一般而言���,F(xiàn)DA 建議記錄包含以下內(nèi)容:
軟件特征��、功能或操作的預(yù)期用途����;
對軟件特征��、功能或操作開展的基于風(fēng)險的分析結(jié)果�;
所開展的保證活動的文件記錄,包括:
對保證活動中所進行測試的描述����。
測試過程中發(fā)現(xiàn)的問題(如偏差、缺陷和 / 或故障)����。
聲明軟件是否可接受其預(yù)期用途的結(jié)論性陳述。如果發(fā)現(xiàn)了問題����,制造商可考慮納入為解決這些問題對預(yù)期用途的任何影響而實施的過程控制,或納入說明這些問題為何不會影響預(yù)期用途的適當風(fēng)險論證����。
執(zhí)行測試 / 評估人員的記錄以及測試 / 評估的執(zhí)行日期。
在適當情況下建立的評審和批準(例如���,必要時��,具有簽字權(quán)限人員的簽名和日期)�。
保證活動的文件記錄無需包含超出證明軟件特征、功能或操作針對已識別風(fēng)險按預(yù)期運行所需的更多證據(jù)�����。FDA 建議記錄保留保證活動的充分細節(jié)���,以便在需要改進時作為基準���,或在出現(xiàn)問題時作為參考點。²?
數(shù)字技術(shù)的進步可能使制造商能夠利用結(jié)果的數(shù)字化留存��、自動化可追溯性�����、自動化測試以及工作執(zhí)行情況的電子捕獲作為客觀證據(jù)�,從而減少對人工或紙質(zhì)文件的需求。作為一種負擔(dān)最小的方法�,F(xiàn)DA 建議在建立與保證活動相關(guān)的記錄時,采用數(shù)字記錄(如系統(tǒng)日志、審計追蹤以及由軟件生成和維護的其他數(shù)據(jù))��,而非紙質(zhì)文件�、電子表格,或重復(fù)軟件已以數(shù)字方式留存的結(jié)果����。在使用數(shù)字記錄時��,F(xiàn)DA 建議制造商在已建立的基于風(fēng)險的保證方法中��,考慮記錄的預(yù)期用途以及對記錄的準確性��、可靠性����、完整性、可用性和真實性的需求���。
表 1 提供了在使用基于風(fēng)險的測試方法(包括上述第五節(jié) A.4 中確定的測試方法)時,實施和編制記錄的一些示例����。只要制造商的方法符合適用的法律文件要求���,他們可以采用替代方法并提供不同的文件��。
以下是一個保證記錄的示例,場景為某制造商開發(fā)了一個電子表格��,其預(yù)期用途是收集和繪制存儲在受控系統(tǒng)中的不合格數(shù)據(jù)圖表�����,用于監(jiān)控目的�����。在本示例中�,制造商已建立額外的過程控制和檢查,以確保不合格產(chǎn)品不會被放行��。在這種情況下����,該電子表格無法按預(yù)期運行不會導(dǎo)致可預(yù)見的、會危及安全性的質(zhì)量問題����,因此該電子表格不會帶來高過程風(fēng)險�。制造商對特定功能進行了快速探索性測試
(這些特定功能)用于該電子表格����,以確保分析可以被創(chuàng)建、讀取���、更新和 / 或刪除。在探索性測試期間���,除了更新過程中出現(xiàn)的一個偏差外��,所有計算字段都正確更新�。在這種情況下��,記錄將按以下方式記錄:
- 預(yù)期用途:該電子表格旨在用于收集和繪制存儲在受控系統(tǒng)中的不合格數(shù)據(jù)圖表,以用于監(jiān)控目的�;因此,它被用作生產(chǎn)或質(zhì)量體系的一部分�。由于這種用途�����,該電子表格與用于業(yè)務(wù)運營(如會計)的類似軟件不同�����。
- 基于風(fēng)險的分析:在這種情況下��,該軟件僅用于收集和顯示用于監(jiān)控不合格情況的數(shù)據(jù),并且制造商已建立額外的過程控制和檢查����,以確保不合格產(chǎn)品不會被放行��。因此�����,該電子表格無法按預(yù)期運行不應(yīng)導(dǎo)致合理情況下會危及安全性的質(zhì)量問題���。因此����,該軟件不會帶來高過程風(fēng)險,保證活動應(yīng)與過程風(fēng)險相匹配�。
- 測試對象:電子表格 X�,版本 1.2
- 測試類型:無腳本測試 —— 探索性測試
- 目標:確保分析可以被正確創(chuàng)建�����、讀取、更新和刪除
測試目標和活動:
創(chuàng)建新分析:通過
從所需來源讀取數(shù)據(jù):通過
在分析中更新數(shù)據(jù):因輸入錯誤失敗,重新測試后通過
刪除數(shù)據(jù):通過
通過觀察驗證所有計算字段隨變更正確更新:通過�,但記錄了偏差
偏差:在更新測試期間��,當用戶無意中將文本輸入到需要數(shù)字數(shù)據(jù)的可更新字段中時�,相關(guān)行立即顯示錯誤���。
- 結(jié)論:該電子表格對于其預(yù)期用途是可接受的��。向該字段錯誤輸入文本導(dǎo)致該字段僅允許數(shù)字輸入。一條新的驗證規(guī)則立即可見����,且不影響預(yù)期用途。使用該驗證規(guī)則再次進行了測試�,更新通過了所有測試目標�����。在實施驗證規(guī)則后�,電子表格功能中未觀察到其他錯誤����。
- 時間 / 人員:2024 年 7 月 9 日�,由簡?史密斯(Jane Smith)執(zhí)行
B. 電子記錄要求的考量
制造商們對將《聯(lián)邦法規(guī)法典》第 21 篇第 11 部分(21 CFR Part 11����,電子記錄��;電子簽名)應(yīng)用于作為生產(chǎn)或質(zhì)量體系一部分的計算機或自動數(shù)據(jù)處理系統(tǒng)表示困惑和擔(dān)憂��。制造商在確定是否以及如何應(yīng)用 21 CFR Part 11(以下簡稱 “Part 11”)時�����,應(yīng)參考《Part 11,電子記錄����;電子簽名 —— 范圍和應(yīng)用》指南(以下簡稱 “《電子記錄指南》”)���。
Part 11 中的法規(guī)規(guī)定了 FDA 認為電子記錄、電子簽名以及針對電子記錄的手寫簽名值得信賴��、可靠且通常與紙質(zhì)記錄和在紙質(zhì)文件上執(zhí)行的手寫簽名等效的標準(見 21 CFR 11.1 (a))�。一般而言,Part 11 適用于根據(jù)機構(gòu)法規(guī)中規(guī)定的任何記錄要求以電子形式創(chuàng)建�、修改、維護����、存檔、檢索或傳輸?shù)挠涗洠ㄒ?21 CFR 11.1 (b))�。Part 11 也適用于根據(jù)《聯(lián)邦食品、藥品和化妝品法案》(FD&C Act)和《公共衛(wèi)生服務(wù)法案》(PHS Act)的要求提交給機構(gòu)的電子記錄����,即使此類記錄未在機構(gòu)法規(guī)中明確提及(見21 CFR 11.1 (b))?����!堵?lián)邦食品��、藥品和化妝品法案》�、《公共衛(wèi)生服務(wù)法案》和 FDA 法規(guī)(Part 11 除外)中規(guī)定的基本要求被稱為 “前提性規(guī)則”。此外���,當電子簽名及其相關(guān)電子記錄符合 Part 11 的要求時��,F(xiàn)DA 通常會認為這些電子簽名與機構(gòu)法規(guī)要求的完整手寫簽名、首字母縮寫和其他一般簽名等效(21 CFR 11.1 (c))���。
對于用作生產(chǎn)或質(zhì)量體系一部分的計算機軟件—— 包括但不限于 Part 820 項下的軟件�����。Part 820 要求的文件 —— 適用的前提性規(guī)則包括生產(chǎn)或質(zhì)量體系 Part 820 項下的規(guī)則 —— 包括但不限于 Part 820 要求帶有簽名并以電子形式保存的文件,通常屬于 Part 11 項下的 “電子記錄”(見 21 CFR 11.3 (b)(6))。為了確定 Part 820 何時要求記錄�,制造商應(yīng)考慮該記錄是否有必要作為證明所需驗證的證據(jù)等因素�����。如果制造商以電子形式保存 Part 820 要求的文件,那么 Part 11 通常適用�����。
示例:證明管理企業(yè)系統(tǒng)在生產(chǎn)使用前能正確且可靠地自動檢查材料的文件,通常對于制造商而言是支持已驗證狀態(tài)的必要證據(jù)�����。在此示例中�����,Part 11 通常適用于電子形式的文件。
示例:在應(yīng)用程序啟動時,商用現(xiàn)貨軟件(COTS)會自動保存日?;顒尤罩?���。然而�����,在這種情況下,這些活動日志對于制造商而言不是支持已驗證狀態(tài)的必要證據(jù)�����。在此示例中��,Part 11 不適用于這些活動日志��。
如《電子記錄指南》中所討論的���,F(xiàn)DA 打算對用于創(chuàng)建����、修改���、維護或傳輸電子記錄的計算機化系統(tǒng)的驗證的特定 Part 11 要求行使執(zhí)法自由裁量權(quán)(見 21 CFR 11.10 (a) 和 11.30)�。但《電子記錄指南》中描述的(關(guān)于驗證的)執(zhí)法自由裁量政策明確不適用于根據(jù) 21 CFR 820.70 (i) 產(chǎn)生的�、用作生產(chǎn)或質(zhì)量體系一部分的計算機軟件的驗證要求�����。
本指南建議制造商將其計算機軟件保證方法建立在合理且有記錄的風(fēng)險評估以及對系統(tǒng)影響產(chǎn)品質(zhì)量、患者安全和記錄完整性的潛力的判定基礎(chǔ)上�。制造商可以利用本指南中概述的負擔(dān)最小、基于風(fēng)險的方法來提供保證���,確保涉及 Part 11 的�、維護電子記錄的軟件按預(yù)期運行��。
本節(jié)中的示例概述了本指南中的原則在各種軟件保證場景中的可能應(yīng)用。
京公網(wǎng)安備11010802046783號
