FDA 最终确定设备生产和质量体系软件指南

美国食品药品监督管理局（FDA）发布的关于医疗器械生产中计算机和数据处理系统软件保证的最终指南，包括更多示例和一个新部分，用于澄清指南中使用的术语。然而，该机构并未实施利益相关者的建议，以使其更紧密地与类似指南对齐，或解决一些关于某些软件或工具验证的担忧。

FDA表示，该指南旨在帮助机构工作人员和赞助商使用“基于风险的方法，以建立对用于生产或质量系统的自动化的信心，识别可能需要额外严谨性的领域”，以及衡量适用于21 CFR第820部分质量体系规范的医疗器械计算机软件保证的方法。它取代了2002年1月发布的“软件验证的一般原则”最终指南的第6部分。

对草案指南的评论支持该机构对生产和质量系统计算机软件保证的基于风险的方法，但利益相关者要求FDA考虑更紧密地遵循ICH Q9（修订版）指南中描述的质量风险管理和原则的定义。根据一些评论者的说法，草案指南中也缺少关于网络安全的讨论。

利益相关者要求FDA更改指南标题，担心其可能与当前PIC/S指南下计算机化系统的定义相矛盾，并质疑系统生命周期工具在指南中的位置，这些工具并未出现在类似的国际指南文件中。

FDA表示，其根据提交的评论对最终指南进行了几项更改。该机构似乎保留了其对计算机软件保证和其他术语的定义，同时新增了一个包含术语定义的新部分。

FDA提供了更多关于手动和自动化测试的示例，以及如何将指南建议应用于不同类型的软件。该机构在附录中新增了基于软件即服务的产品生命周期管理系统作为第四个示例。

在定义部分，FDA定义了基础设施即服务、平台即服务和软件即服务作为云计算的三种服务模型。该机构指出，云计算模型可以成为生产或质量体系的一部分，必须根据21 CFR 820.70(i)进行验证。

“FDA建议制造商在考虑云计算模型时关注软件的预期用途，因为并非所有云计算模型都‘直接’用作生产或质量体系的一部分，”该机构解释道。

云存储解决方案的一个例子，被认为是生产或质量体系的一部分，是一个存储质量记录的基础设施即服务解决方案，具有相应的质量体系义务。相比之下，一个存储生产数据以支持基础设施的基础设施即服务解决方案，将不符合既定质量体系记录的资格，因此不会支持生产或质量系统。

“当数据在云中的存储独立于数据是否属于质量记录时，制造商有义务确定该应用程序的适当风险水平，”FDA表示。“制造商可以考虑采用一种最不繁琐的方法来确保基础设施即服务云存储解决方案适用于其业务。”

FDA新增了无脚本测试的示例，如场景测试和基于经验的测试，同时整合了对脚本测试的描述，选择让赞助商决定最相关的软件测试方法和原则，使用基于风险的方法。该机构还解释说，公司在选择软件供应商时应采用基于风险的方法，因为许多公司在评估过程中对供应商的信息有限。

“FDA认识到，除了指南中引用的软件测试方法和方法外，制造商还可以灵活地考虑和使用适当的软件测试方法和方法，”该机构写道。

FDA还引用了关于医疗器械网络安全的最终指南，指出该指南中概述的网络安全测试方法适用于设备生产和质量体系软件保证最终指南中概述的保证活动。

指南的其他更新包括适用于不同类型软件的新示例。例如，他们解释说，计算机软件保证风险框架可以应用于自动化工具、数据分析工具、人工智能和机器学习工具以及生产或质量体系中的云计算。