资源分享-FDA#Computer Software Assurance for Production and Quality System Software生产和质量体系软件的计算机软件保障20250924-药研库

这份文件于2025年9月24日正式发布（草案于2022年9月13日发布），由FDA的CDRH（设备和放射健康中心）和CBER（生物制品评价和研究中心）联合制定，旨在帮助医疗器械制造商采用风险为基础的方法，确保生产和质量系统中使用的软件可靠、安全，并符合21 CFR Part 820等法规要求。

这份指导文件特别强调了“计算机软件保障”（Computer Software Assurance，简称CSA），这是一种比传统软件验证更灵活、更高效的风险导向方法。它鼓励制造商利用自动化、云技术等创新工具，同时减少不必要的验证负担，促进产品质量和患者安全。

在医疗器械制造领域，软件越来越广泛地应用于生产过程（如自动化设备控制）和质量系统（如数据分析、记录管理）。传统软件验证往往依赖于每个开发阶段的严格测试，这虽然有效，但可能导致资源浪费和创新滞后。FDA通过这份指导，推广CSA框架，帮助制造商：

风险导向：根据软件故障可能导致的患者安全或产品质量风险，调整保障活动的强度，实现“最小负担”原则。
促进创新：支持敏捷开发、云计算、AI/ML等技术应用，同时确保软件处于“验证状态”。
补充现有指导：这份文件补充了FDA的《General Principles of Software Validation》（软件验证通用原则），并取代其第6节内容。

FDA强调，这不是强制性要求，而是推荐方法，制造商可以选择替代方案，只要满足法规需求。文件还提到，随着2026年2月Part 820修订生效（融入ISO 13485标准），这份指导也将相应更新。

文件主要内容概述

FDA希望构建一个注重产品质量和患者安全的医疗器械生态。制造商反馈希望在软件验证上更灵活，尤其是面对快速变化的技术（如机器人、模拟、数字化）。传统验证依赖测试，但往往不足以防止缺陷。CSA强调预防缺陷、风险为基础的保障，帮助制造商高效验证软件，同时促进高品质输出。

背景中提到，FDA通过MDIC（医疗器械创新联盟）和行业基准，了解到制造商的挑战，并鼓励采用自动化以减少错误、优化资源。

适用：用于医疗器械生产或质量系统的计算机和自动化数据处理系统（如BOTS、数据分析工具、AI/ML、云计算）。
不适用：医疗器械软件功能（即符合FD&C Act 201(h)定义的设备软件），这些应参考软件验证指导。文件强调CSA适用于软件整个生命周期，确保其“适合预期用途”。

文件定义了几个关键术语，特别是云相关：

这些定义帮助制造商理解云在生产/质量系统中的应用。

这是文件核心，分为A部分（风险框架）和B部分（电子记录考虑）。

框架包括六个步骤：

框架强调“最小负担”：低风险只需基本记录，高风险需详细协议和签名。

讨论如何符合21 CFR Part 11（电子记录和签名），包括访问控制、审计追踪、数据完整性。

文件提供了四个实际例子，使用表格形式展示CSA应用。每例包括供应商评估，然后分析特征/预期用途/风险/保障活动/记录。以下简要总结：

示例	描述	关键点
示例1: 不合格管理系统（Nonconformance Management System）	使用COTS软件自动化不合格流程。	低风险功能（如启动不合格）用探索测试；高风险（如产品召回提示）用详细脚本测试。记录包括测试协议、问题解决。
示例2: 学习管理系统（LMS）	管理培训记录和报告。	访问控制用无脚本测试“破坏”系统；记录保持用总结描述。所有低风险，无直接安全影响。
示例3: 商业智能应用	数据挖掘和报告，用于识别改进机会。	连接功能高风险，用脚本测试；报告功能低风险，仅供应商验证。
示例4: SaaS产品生命周期管理系统（PLM）	项目管理，无定制。	自动更新由供应商文档支持，制造商风险评估；电子签名用场景测试。包括服务协议覆盖安全/完整性。