Characterization Considerations for Medical Device Software and Software-Specific Risk
文件编号: IMDRF/SaMD WG/N81 FINAL:2025
INFO
This content has been machine-translated from the English original.
全文
医疗器械软件的特征化考量及软件特定风险
Document Number: IMDRF/SaMD WG/N81 FINAL:2025
最终文档
IMDRF/SaMD WG/N81 最终版:2025 医疗器械软件的特征化考量及软件特定风险 编写组 IMDRF 医疗器械软件工作组
前言
© 2024 年 国际医疗器械监管论坛 版权所有。
本作品受版权保护。在遵守本条款和条件的前提下,您可以下载、显示、打印、翻译、修改和复制本作品的全部或部分内容,用于您个人的使用、研究、教育目的,或如果贵组织是组织,则用于贵组织的内部使用,但前提是您或贵组织不得将复制用于任何商业目的,并且保留所有版权声明。如果您使用本作品的任何部分,必须包含以下声明(删除不适用的内容):
“[翻译或改编]自[插入出版物名称],[出版年份],国际医疗器械监管论坛,经国际医疗器械监管论坛授权使用。国际医疗器械监管论坛不对本[改编/翻译]的内容或准确性负责。”
除上述内容外,所有其他权利均保留,未经IMDRF事先书面许可,您不得以任何方式(包括电子方式)复制本作品的全部或任何部分。有关复制和版权的请求和咨询应发送给IMDRF秘书处。
将本文件(部分或全部)纳入其他文档,或将其翻译成其他语言,并不代表IMDRF的认可。
Naoyuki YASUDA,IMDRF主席
内容
1. 简介 4
2. 目的和范围 7
2.1. 文档的目的 7
2.2. 文档的范围 7
3. 参考文献 9
4. 医疗器械软件的特征化考量 10
4.1. 预期用途/预期目的声明 11
4.2. 医疗器械软件描述 11
5. 医疗器械软件风险特征化 20
5.1. 识别和分析 22
5.2. 估算 22
5.3. 风险分类方法 23
6. 实施考量 25
附录 A: 示例预期用途/预期目的声明 26
附录 B: 特征总结表 27
附录 C: 示例:理解与设备设计和预期用途相关的软件危害的考量 31
附录 D: 将特征与风险联系的示例 36
附录 E: 比较特定风险考量的示例 44
简介
软件在医疗领域的角色日益重要,各种产品在临床和私人环境中,用于各种医疗和行政功能。全球监管机构对医疗领域使用的软件进行监管,将其视为医疗器械。
2013年,国际医疗器械监管论坛(IMDRF)引入了“软件作为医疗器械”(SaMD)的概念,并随后提出了可能的风险分类框架(IMDRF/SaMD WG/N12 FINAL:2014)。 凭借其成员的集体经验,IMDRF SaMD 工作组(WG)现在有机会通过提供与医疗器械的特征化和风险特征化的相关指导,来补充这些初步的概念,从而扩大医疗器械软件的范围。 在本文的背景下,“风险特征化”旨在帮助识别与医疗器械软件相关的潜在危害,并基于对医疗器械特征化的仔细审查。 风险特征化可以帮助全面了解该医疗器械的整体风险,并且可以作为风险评估和管理活动或作为风险分类和器械分类的输入。 本文旨在侧重于特征化,并可以通过提供关于医疗器械软件和相关风险特征化的额外考虑,来补充分类/分类框架(例如,N12和其他在不同司法管辖区中明确定义的分类方案)。 尽管本文主要侧重于特征化,以作为分类的输入,但应将其作为预上市授权的一部分来考虑。
术语“SaMD”已经演变,涵盖了更广泛的软件范围,并且在不同司法管辖区存在不同的解释。本文件中提出的概念并非仅限于对“SaMD”术语的特定解释。相反,这些概念可以更广泛地应用于任何符合医疗器械定义或作为医疗器械一部分的软件。
在本文档中,我们将这一相关的软件集合称为“医疗器械软件”,以便简化使用。 这一复杂的医疗器械软件集合包括各种相互关联和不同的子集,例如:
旨在生成用于实现一个或多个医疗目的的信息;
是硬件医疗器械的一部分;
不是硬件医疗器械的一部分,并且独立于其他医疗器械;
是硬件医疗器械实现其预期用途/预期目的所必需的;
由另一个医疗器械驱动或影响;
具有为人类用户、医疗器械和/或非医疗器械设计的输出;以及
使用来自人类、医疗器械和/或非医疗器械的产品作为输入。
医疗器械软件可以在由以下组成,并具有复杂和动态交互的社会技术环境中运行:
软件,
硬件,
信息技术网络,以及
人
这些构成了软件功能、其输入和输出、预期用户以及软件使用的独特医疗环境之间的复杂和动态交互。 这种复杂性与:
系统之间的相互关联性,
网络安全的需求,
软件开发周期的速度和频率,
解决方案能够快速扩展的速度,以及
变更实施的各个方面
有助于准确地描述设备及其/或风险状况。医疗设备软件可能存在独特的风险,例如与设备产生和输出的信息以及不同程度的自主性相关。这些设备可能独立使用或作为平台的组成部分,并且根据其预期用途和相关的潜在危害,其风险状况范围广泛。
对医疗设备软件的清晰准确的描述至关重要,并支持设备质量、风险管理、监管决策以及设备在整个产品生命周期内的使用。利益相关者(包括制造商、监管机构、医疗保健提供者、最终用户和患者)在不同程度上需要了解医疗设备软件是什么、其用途、使用背景、工作原理以及如何因更新而改变。这些信息对于正确使用、识别和评估相关的危害、直接和间接损害、风险和益处以及确定设备风险分类至关重要。由于医疗设备软件可能会随着其使用寿命而变化,因此在更新软件或其范围或文档发生变化时,重新审视与医疗设备软件和风险特征相关的活动非常重要。
风险评估分类,按照每个管辖区的法规进行应用,为每个管辖区指定适当的监管义务。由于各种技术和特征可能影响风险,以及用于描述和评估这些设备的各种术语和解释,以及全球监管管辖区中的各种分类系统,因此对这些设备进行风险分类可能具有挑战性。本文件识别了与设备特征和风险特征相关的常见考虑因素。其目的是提供统一的视角和标准化的语言,从而增强和促进利益相关者之间的透明度和一致性。本文件可帮助全面描述医疗设备软件,以及对这些设备的彻底风险评估。
重要的是,本文件中提出的考虑因素不应被利益相关者用作医疗设备软件的特征或确定特定软件风险的清单或强制性手段,也不应被用作对任何管辖区法律和法规的解释。 承认,本文件中的并非所有元素都适用于所有医疗设备软件。
目的和范围
文档目的
本文件的目的是促进和提供关于医疗设备软件的清晰准确描述,包括制定使用/目的声明。此外,它还旨在介绍一种用于确定特定软件风险的一般策略,并利用全面描述医疗设备软件的必要组成部分。
本文旨在:
强调全面描述对医疗器械软件的重要性,以便为包括风险评估和设备分类/分类在内的其他生命周期活动提供信息;
确定医疗器械软件的描述的关键特征和常用术语;
确定医疗器械软件的预期用途/预期目的声明的基本要素;
建立描述特征与风险之间的联系,用于医疗器械软件;以及
提供关于识别和评估医疗器械软件特定风险的信息,供在进行时。
本文档的范围
本文件适用于符合医疗器械定义(在全文中称为“医疗器械软件”)的软件,包括符合《IMDRF SaMD WG N10 软件作为医疗器械:关键定义》中定义的软件作为医疗器械(SaMD)的软件。
本文件不应取代《IMDRF SaMD WG N12 "软件作为医疗器械": 风险分类的可能框架及其相关考虑》。相反,本文件补充和扩展了 N12 中阐述的通用 SaMD 描述框架[1]。重要的是,本文件的范围比 N12 更广,因为本文件适用于医疗器械软件,而 N12 的范围适用于被称为 SaMD 的软件的子集。在 N12 中,SaMD 被定义为“旨在用于一个或多个医疗目的的软件,这些软件在不作为硬件医疗器械的情况下执行这些目的”。本文件侧重于医疗器械软件,无论软件技术和/或平台(例如移动应用程序、云、服务器、硬件医疗器械)如何。
本文件旨在提供设备分类的指导,因此,本文件不提供产品监管状态的指导。本文件不应被视为对任何司法管辖区的法律和法规的解释。
本文件侧重于软件相关的风险考虑,不应被视为对所有相关风险考虑的全面指南,这些风险可能还包括与互操作或相关硬件相关的风险,或数据隐私方面的违规。在适用情况下,风险评估应在考虑整个设备的基础上进行,而不仅仅是软件相关的风险。
本文件不应取代或与现有的风险管理实践或与软件风险管理活动相关的技术或流程标准的发展相冲突。本文件不是风险管理文件,而是依赖于已建立的风险管理原则,例如《医疗器械风险管理——ISO 14971》,在医疗器械软件的背景下。
本文件不应取代或与现有的 IMDRF 发布的出版物(例如由人工智能 (AI) 或网络安全工作组发布的出版物)相冲突;然而,承认这些出版物之间存在直接关系和重叠,本文件旨在作为补充。
本文件中的内容不属于法规或指导,也不意味着在不同司法管辖区范围内法规或分类规则的统一。然而,本文件旨在建立医疗器械软件风险特征的一致概念、考虑和常用术语。可能需要进一步的工作来在特定司法管辖区应用和协调这些概念。
参考文献
IMDRF/SaMD WG/N12 FINAL:2014 "软件为医疗器械": 风险分类的可能框架及相关考虑
IMDRF SaMD WG N10 FINAL:2013 软件为医疗器械: 关键定义
IMDRF/GRRP WG/N52:2019 医疗器械和体外诊断医疗器械的标签原则
GHTF/SG1/N77:2012 医疗器械分类原则
ISO 14971:2019 医疗器械 - 将风险管理应用于医疗器械
AAMI TIR57: 2016/(R)2023 医疗器械安全原则——风险管理
ANSI/AAMI SW96:2023; 医疗器械安全标准——设备制造商的安全风险管理
IEC 80001-1:2021 将风险管理应用于包含医疗器械的IT网络
IEC 80002-1:2009 医疗器械软件——第一部分:指导如何将ISO 14971应用于医疗器械软件
IEC 81001-5-1:2021 健康软件和健康IT系统安全、有效性和安全性——第五部分-1:安全性——产品生命周期的活动
IEC 82304-1:2016 - 健康软件——第一部分:产品安全通用要求
IEC 62304:2006+AMD1:2015 医疗器械软件——软件生命周期流程
AAMI TIR34971:2023 将ISO 14971应用于人工智能中的机器学习——指南
医疗器械软件特征化考虑
对全面医疗器械特征的沟通(包括预期用途/预期目的和器械描述),有助于利益相关者理解器械,并识别和评估相关的风险和益处。这将为决策提供依据,并确保器械的安全、有效性和正确使用。
在某些情况下,医疗器械软件的特征是器械描述的一部分(例如,对于硬件医疗器械中所需的实现预期用途/预期目的的软件),而在其他情况下,医疗器械软件的特征涵盖整个器械的描述。全面的医疗器械软件特征由多种因素塑造,例如医疗目的、预期用户、预期使用环境和预期目标人群,以及软件在临床或医疗工作流程中的角色和使用/输出的时间。该特征明确描述器械是什么以及它被预期如何使用和修改/更改。
这些特征信息对于:
识别和验证相关的用户和临床要求,
评估支持性证据的充分性,
识别和控制风险,
评估益处,
确定标签和透明度要求,
管理医疗器械变更
确保正确使用,同时降低误用风险。
对医疗器械软件的准确描述也很有用,因为它支持对与该设备相关的风险的全面视图和清晰理解。
第 4.1 节和第 4.2 节讨论了制造商在描述医疗器械软件时,在“预期用途/预期目的”声明和设备描述中应考虑的问题。 这些考虑可以支持确定在医疗器械软件文档、监管提交、设备标签和用户界面中应包含的相关且有意义的信息。 虽然列出的所有功能和属性可能不适用于每个设备,但它们是为了供参考。 沟通的内容将取决于利益相关者、监管辖区、法规以及确定对特定设备产生影响的特性。
预期用途/预期目的声明
“预期用途/预期目的”在《GHTF/SG1/N77 医疗器械分类原则》文件中定义为“制造商对产品、工艺或服务的使用目的,如制造商在规格、说明和提供的信息中所体现”。
[术语表 - 在这些术语出现时,请使用这些精确的翻译:] 差距分析 -> Gap Analysis test_zh -> test_en
该“预期用途/预期目的”声明的概念在许多司法管辖区中都很熟悉,旨在捕捉预期设备的功能和医疗目的,包括预期用于的疾病、状况或/以及情况。 这样的声明通常在它们足够具体,并且避免使用过于宽泛和/或开放性的语言时最有用。 承认在某些司法管辖区,预期设备的功能和所指示的疾病可能被认为是分开的。 但是,为了本文件的目的,两者都相关,并且建议明确描述。
为了促进和鼓励医疗设备软件的清晰和全面的“预期用途/预期目的”声明,关键要素已在第 4.1.1 节中捕获。 示例声明指南可以在附录 A 中找到。 重要的是要注意,并非所有要素都适用于每种医疗设备软件,并且本节提供的信息仅供制造商在开发医疗设备软件标签、文档和适宜的监管提交时进行考虑。 示例声明可能不适用于所有医疗设备软件,具体取决于技术和预期用途。
预期用途/预期目的声明的关键要素
医疗目的
预期疾病或状况
预期患者群体
预期用户
预期使用环境
禁忌
医疗设备软件的功能,包括:
医疗设备软件的输入
医疗设备软件的输出
解释医疗器械软件的输入和输出如何融入临床或医疗工作流程
医疗器械软件描述
一份详细的医疗器械软件描述,通常应与预期用途/预期目的声明一起提供,以确保全面和充分地传达与医疗器械软件相关的所有必要特征和信息。
以下四个子部分讨论了可以与描述医疗器械软件相关的详细且相互关联的信息。这些信息按以下四种类型或类别组织:
医疗问题和/或目标
使用环境
功能和/或用途
变更管理
每个类别中的信息以特征和属性的形式呈现。制造商应考虑的这些非详尽的注意事项,旨在突出和阐明在描述医疗器械软件时的一些重要方面。每个子部分中的特征和属性在讨论之前进行了汇总;完整的特征和属性在附录 B 中提供。这些医疗器械软件的描述性考虑也如图 1 所示。
This is a string of seemingly random characters. It's likely a result of encoding or a corrupted file. There's no immediately obvious meaning or pattern.
图 1 医疗器械软件特征化考虑因素
医疗问题和/或目标
一个给定的医疗器械软件所解决的医疗问题和/或目标,是整体医疗器械特征化的重要组成部分。 这一功能可以进一步分解为具体的医疗目的、预期使用条件和预期患者人群。
医疗器械可能在护理流程的不同阶段使用,例如:诊断(例如:初步诊断、筛查、分诊、分期等);治疗(例如:缓解症状或恢复功能);预防(例如:避免疾病或状况的发生);预测(例如:疾病预后)或监测(例如:持续评估患者参数)。 了解该软件所执行或用于实现的具体医疗目的,是特征化医疗器械软件的关键部分。
医疗器械软件所针对的疾病或状况,以及该疾病或状况的总体状态(例如:危重、严重或非严重),是特征化医疗器械软件和确定相关疾病的严重程度以及输出的重要性的重要信息。
最后,目标患者群体为医疗设备软件的预期使用范围,也是医疗设备软件特征的重要界限。在本文件中,术语“患者”指那些使用医疗设备软件获得或等待医疗保健的个人。目标患者可能属于特定的人群亚组(例如,特定年龄、性别、种族、残疾、诊断;或脆弱/易受影响的群体等),或者特定的人群亚组的交叉(例如,特定年龄组 + 特定性别 + 患有特定疾病的风险人群)。
下表总结了有助于描述医疗问题和/或目标的已识别特征和属性。请注意,本表的内容也总结在附录 B 中。
表 1:用于描述医疗问题和/或目标的特征和属性
| 特征 | 潜在特征属性 |
|---|---|
| 医疗目的 | 诊断(例如,主要诊断、筛查、分诊等),预防,监测,缓解,预测,治疗等 |
| 预期疾病或状况 | 严重,危及生命,非严重的疾病或状况,包括对该状况的状态的考虑(例如,慢性疾病或慢性疾病的状态变化) |
| 预期患者群体 | 一般人群,特定人群亚组(例如,脆弱/易受影响的亚组;特定年龄组、性别、种族、残疾、诊断等),特定人群亚组的交叉(例如,特定年龄组 + 特定性别 + 患有特定疾病的风险人群) |
医疗设备软件使用背景
对医疗器械软件的描述,不仅限于该设备本身,还包括医疗器械软件的预期使用环境和情境。即使是完全相同的两个产品,如果它们具有不同的预期使用情境,则它们将被视为不同的医疗器械软件,并具有不同的医疗器械软件描述。这些情境包括:预期使用医疗器械软件的用户、预期使用环境、在医疗任务/干预中的时间,以及软件和输出在医疗任务/干预中的作用。
预期用户可以是非临床用户、非医生医疗专业人员、普通医生(MD)、专科医生,或这些用户的组合,这些用户在医疗决策中具有不同的责任。非临床用户或非医疗专业人员包括未接受过或具备提供医疗护理资格的用户,例如护理人员或患者,以及没有医疗资质的其他人员,如社区工作者和健康志愿者。具有非医生资质的执业医疗专业人员包括护士、牙医、心理学家、放射治疗师、物理治疗师等。普通医生(GP)包括初级保健医生或家庭医生,而专科医生包括放射科医生、肿瘤科医生、皮肤科医生、精神科医生、病理科医生、外科医生等。
“使用环境描述”是指医疗设备软件与患者护理所适用的环境。这可能是一个非临床环境、一般的医疗环境或专业的医疗环境。非临床环境包括家庭使用或在临床环境之外的其他场所。一般的医疗环境包括初级保健诊所、牙科诊所等。专业的医疗环境包括,例如,急诊室、重症监护室、皮肤科诊所、手术室和医院内的肿瘤科。如果适用,指定使用环境的远近(例如,农村或偏远环境)也很重要。
另一个重要的方面是软件输出的最终性以及/或它与医疗任务/干预结果的关系。在医疗任务/干预过程中,时间是一个特征,有助于将输出置于早期、中期或晚期的位置。同样,软件和输出在医疗任务/干预中的作用,说明了输出与医疗任务/干预步骤之间的关系,包括相对时间顺序以及软件对其他步骤的依赖或输入。总而言之,这两个特征有助于描述医疗设备软件可能对患者护理的整体轨迹和结果产生的影响。理解这些特征对于了解软件的预期用途以及识别软件使用可能如何改变患者医疗体验的途径至关重要。
以下表格总结了可以帮助描述使用环境的已识别的功能和属性。请注意,本表格中的内容也已总结在附录 B 中。
表 2:用于描述医疗器械软件使用环境的功能和属性
| 特征描述 | 潜在特征属性 |
|---|---|
| 预期用户 | 非临床用户/非临床使用者 (例如:照护者、患者、无医疗资质的用户) 有执照的医疗专业人员,非医生 (例如:注册护士、牙医、心理学家、放射治疗师、物理治疗师等) 普通医生 (例如:初级保健医生、家庭医生、注册护士) 专科医疗医生 (例如:放射科医生、肿瘤科医生、皮肤科医生、病理科医生、外科医生等) |
| 预期使用环境 | 非临床环境 (例如:家庭使用) 一般医疗环境 (例如:初级保健诊所、虚拟初级医疗) 专科医疗环境 (例如:医院、专科诊所、虚拟专科医疗) |
| 在医疗任务/干预中的时间 | 早期 (例如:分诊、预测未来诊断、在出现可疑症状或信息时进行早期检查、用于诊断或治疗计划的生理信号或医学图像采集) 中期 (例如:用于诊断或治疗计划的信号或图像分割) 后期 (例如:考虑的最佳图像引导治疗方案或剂量;辅助诊断建议或二次检查;自动驱动基础胰岛素剂量,连续血糖监测输出分析;在机器人手术中,图像引导的仪器控制) *注意: 以上 3 个阶段 (早期、中期和后期) 既可作为参考点,也不必说明应采用哪个阶段。更重要的是,需要对输出的时间与最终干预、决策或行动之间的关系,以及产品在与其他步骤(例如:先前步骤、同时步骤、条件步骤、后续步骤)中的引入顺序,以及与当前标准医疗实践的关系进行描述。 |
| 软件和输出在医疗任务/干预中的作用 | 软件和软件输出与医疗任务/干预步骤的关系,例如输出对相关医疗决策或行动的贡献(例如,作为一种辅助手段,与当前实践相结合);改变标准/当前实践(例如,旨在替代或替换全部或部分当前实践,提供新的方案等);依赖于其他步骤(例如,使用先前步骤、同时步骤、条件步骤的输出值或临床决策);以及/或影响其他步骤(例如,为同时步骤、后续步骤、条件步骤或最终干预/决策提供输入)。 |
医疗器械软件的功能和/或用途
医疗器械软件的功能和用途可以从多个方面描述,例如其输入、输出的生成、输出本身以及该输出如何融入护理流程。数据流程图和架构图也可以帮助沟通这些元素。
医疗器械软件提供的输出类型可以是临床解释或干预、工作流程建议或用于医疗目的的数据或信息。临床解释或干预可能包括,例如,疾病或状况的概率、预测、检测、诊断、严重程度、预后、等级或阶段;或针对疾病或状况的处方、治疗、疗法、推荐剂量或治疗计划。与此相反,工作流程建议不是对临床决策或行动的解释,而是在工作流程中的一个中间步骤,例如推荐的对比剂剂量;成像技术、模态或参数;手术工具选择;辅助医疗测试等。用于医疗目的的数据是医疗器械软件为了医疗目的而产生的,通常更客观,例如解剖测量或体积、分割或轮廓的器官、组织;处理、重建或去噪的图像;来自心电图或脑电图等处理后的信号或波形。
医疗器械软件的输入会影响该设备的运行,并且对于理解医疗器械软件、输出以及相关的风险和注意事项至关重要。这些输入可能来自人类用户(例如,患者输入的症状或对话)、医疗器械(例如,医学影像)、非医疗器械(例如,患者病历、医疗记录或电子健康记录)或消费品(例如,智能手机照片、健身追踪器数据)。值得注意的是,医疗器械软件的输入并不一定需要是医疗信息,也不一定来自医疗器械。监管机构可能会考虑非医疗数据或数据来源对医疗器械软件的安全性及有效性的影响。然而,在医疗器械软件中使用非医疗数据来源不会改变非医疗数据来源的监管状态。
自主程度是一个由用户独立操作、干预和监督的能力或自由的范围。一个自主的医疗设备或医疗设备软件,会产生影响后续临床行动或决策的输出,而无需任何用户干预。在特定条件下,自主输出可以满足这一条件(例如,对于某些结果、输入特征或情况)。受监督的输出可以影响后续的临床行动或决策,而无需用户批准,但需要在用户的监督下进行。非自主输出通常旨在帮助用户在做出决策或采取行动时。可以通过明确描述这一方面,特别是针对临床用户的,来阐明临床自主程度。
软件的底层逻辑的可解释性也是一个重要的医疗器械软件特征。这可能包括关于所使用的软件算法或技术的(例如,确定性公式;机器学习方法;数学模拟等)信息,以及用于开发过程中所使用的数据集的相关特征,以及关于如何得出输出或结果,或决策或行动的依据的信息。这一方面可以被描述为:(i)逻辑和输出是解释和可评估的(例如,显示基于输入特征的决策树流程图结构);(ii)逻辑和输出部分解释或部分可评估(例如,提供具有显著性图的输出);或(iii)逻辑和输出未解释或不可评估(例如,黑盒,逻辑被认为是过于复杂,无法被预期用户理解)。提供的信息水平可能取决于目标受众及其预期的理解水平。医疗器械软件的可解释性水平有助于评估风险和不确定性,以及支持证据的期望。
目标或用途可以是人类用户,也可以是医疗设备(无论是否包含人类用户的使用)。
下表总结了可以帮助描述设备功能和/或用途的已识别特征和属性。请注意,本表的内容也已总结在附录 B 中。
表 3:医疗设备软件功能和/或用途的特征和属性
| 特征描述 | 潜在特征属性 |
|---|---|
| 输出类型 | 临床解释或干预(例如:诊断、怀疑、概率、预测、检测、严重程度、预后、等级、阶段、诊断的直接标记、处方、治疗/疗法、推荐的治疗方案、推荐剂量、放射治疗计划) 工作流程建议(例如:**对比染料剂量;推荐的成像技术/模态/参数;推荐的手术工具选择;基于既定指南的推荐附加测试) 用于医疗目的的数据 (例如:解剖测量、体积或分割;处理后的图像/图像重建/去噪图像;处理后的信号/波形 (例如:处理后的ECG)) |
| 输入来源 | 来自人类用户、医疗设备、非医疗设备或消费品 |
| 自主程度 | 独立/自主(即:输出影响后续的临床行动或决策,无需用户干预) 条件独立/自主(输出选择性地影响后续的临床行动或决策,无需用户参与。例如:独立过滤正常结果的软件,但会触发临床医生的异常结果审查) 有监督(即:输出影响后续的临床行动或决策,无需用户批准,但有用户进行干预或停止设备) 非自主(输出由用户在决定/行动中考虑)*注意:自主程度可以用这些术语描述,也可以通过利用标准或其他来源中的术语,并在必要时提供自主程度和临床自主性的相关信息。 |
| 软件和输出的可解释性 (包括使用的算法/技术、相关开发数据特征以及如何得出输出) | 逻辑和输出未解释或无法评估(例如:黑盒,逻辑过于复杂,无法被目标受众理解) 逻辑和输出部分解释或可以部分评估(例如:提供带有突出图的输出) 逻辑和输出解释并可以评估(例如:展示基于输入特征的决策树流程图结构,并附带训练数据集的特征) |
| 输出的目标/对象 | 输入给 人类用户;输入给 医疗设备 |
医疗器械软件变更管理
设备变更的方式也是设备特征的一部分。这可能包括变更实施自主程度、变更适用的领域以及支持的基础设施,如安装地点和分销渠道。
“学习或变更管理自主程度”描述了在实施和控制医疗器械软件的培训、学习和更新方面的人工监督程度。该功能可能包含以下属性:自主学习(在医疗器械软件内部自动收集、重新培训和/或更新)和由外部控制的学习(由制造商和/或用户实施和控制的非自主更新)。
“学习或变更实施的领域”是指变更的范围或适用范围。这可能被描述为适用于国际、国家、区域、特定诊所或特定患者的范围。例如,一个医疗器械软件的更新可能是一个基于特定患者数据的模型,仅供该患者使用,而另一个医疗器械软件的更新可能是一个适用于给定国家/地区所有安装或软件实例的全球模型更新。
软件变更管理的一个方面是安装、更新和错误纠正的基础设施。 软件更新和变更可以响应软件故障、网络安全漏洞、错误、改进机会、关键性能更新和召回等情况。 软件特定的风险和风险控制可能取决于软件分发渠道(如应用商店、制造商主页、Web应用程序等)和软件安装位置(用户的移动电话和平板电脑、可穿戴设备、硬件医疗设备、云或用户的个人计算机(PC)、全球任何服务器或制造商网站上的单个服务器)。
例如,提供医疗设备软件的应用商店,可能在所有司法管辖区中不受监管,并且制造商对其具有不同的控制水平。 在召回、现场安全纠正措施和信息分发等情况下,可能会出现监督挑战和责任不明的情况。 此外,软件安装位置会影响更新、禁用错误或召回的软件以及跟踪受影响的安装和用户的速度和有效性。
下表总结了可以帮助描述医疗设备软件变更管理,包括变更自主程度、变更领域和安装、更新和错误纠正的基础设施。 请注意,本表中的内容也已总结在附录 B 中。
表 4 医疗设备软件变更管理特征和属性
| 特征 | 潜在特征属性 |
|---|---|
| 学习/变更管理的自主程度 | 自主学习/变更 (由医疗设备软件内部执行和控制的自主更新) |
| 由用户驱动的外部控制的学习/变更 (由用户执行和控制的非自主更新) | |
| 由制造商驱动的外部控制的学习/变更 (由制造商执行和控制的非自主更新) | |
| 变更实施的领域 | 国际、国家、区域、特定诊所/站点、特定患者 |
| 安装、更新和错误纠正基础设施 | 分销渠道 (例如,应用商店、制造商主页、Web应用程序) |
| 安装地点 (移动电话和平板电脑、可穿戴设备、硬件医疗设备、云、或用户的PC、任何地方的服务器或制造商的单个服务器) |
医疗设备软件风险特征
识别和评估医疗设备软件的特定风险,可能与其它医疗设备产生独特的疑问。 风险管理方法,如ISO 14971中提出的方法,通常将风险描述为危害发生的概率与危害的严重程度的结合。 然而,危害可以是直接的和间接的,全面识别软件对可能危害的贡献可能具有挑战性,因为软件本身可能不会产生“物理”危害,从而可以很容易地归因于危害。 此外,还应考虑软件何时可能导致物理危害,例如,当自主设备产生输出,从而影响后续的临床行动或决策,而无需任何用户的干预;例如,自动控制患者药物输送的软件。
评估软件对潜在危害的贡献可能需要对主要与性能相关的危害[2]进行解释,或者更具体地说,对与信息相关的危害进行解释,并理解相关的风险与医疗器械的预期用途/预期目的以及特定实施的完整理解密切相关。换句话说,在评估医疗器械软件的风险时,重要的是理解与信息相关的危险情况,这些情况与软件功能在实现预期医疗目的方面的作用密切相关。这些危险情况通常可以通过“与性能相关的危害”的视角来理解,如 ISO 14971 描述的,例如与数据访问、可用性、完整性、交付和诊断信息相关的危害,而不是例如与能量、生物或化学相关的危害。
对医疗器械软件的准确描述,包括其特性,如预期用途、输出类型、使用环境、自主性等,可以更全面地识别这些直接和间接危害,并清楚地了解软件相关的危害如何导致特定预期用途/预期目的的独特风险。
虽然与软件相关的性能相关的危害和风险并不总是涵盖医疗器械所带来的全部风险(例如,某些软件可能提供数据或为具有相关物理危害的硬件执行器生成输入),但充分描述特定软件实施或解决方案对器械风险的影响仍然非常重要,因为它可以通过直接或间接方式对患者安全或器械有效性产生可证明的影响。
此外,重要的是要考虑,软件相关的危害通常位于安全和网络安全风险的交汇点。因此,将软件相关的危害考虑为安全和网络安全风险的结合,可能是有益的。换句话说,医疗设备软件相关的危害考虑可以被视为与人体的伤害或损害[3]以及降低有效性[4]相关,其中“降低有效性”可能源于在不恰当的时间、速率或使用不当方法的情况下,向人或产品提供不充分、不正确或缺失的数据。例如,将不希望或意外的偏差引入决策系统,无论是否直接导致患者受到伤害,都可以被理解为有害的有效性降低。换句话说,特定软件解决方案对决策系统产生了负面影响。通常,这也可以被视为考虑“间接危害”——即软件可能对患者产生直接影响,如上所述。
与软件相关的,与信息相关的危害——即,与性能相关的危害——可以影响其他产品或系统的功能,以及工作流程或流程的信息,并可以直接影响用户决策(例如,输出错误诊断信息的软件,其速率不可接受)。因此,就这些主题进行协调讨论,可以帮助促进对这些设备及其可能对不同监管辖区的风险分类的全面和详细理解。
要点:
在评估软件(包括信息和/或基于物理的风险)带来的风险时,应同时考虑直接和间接的危害。
当软件相关的危害是基于信息(例如,延迟、不当或错误的信息),时,在考虑间接危害时,应将潜在的损害(包括身体伤害或损害)以及有效性降低都纳入考量。
实施软件可能造成的危害和相关风险取决于设备的特定用途。
以下是识别和分析与软件相关的危险情况的一般考虑因素,以及在将这些危险情况纳入风险评估中的考虑因素。这些方法旨在提供一种共同的方式来讨论医疗器械软件所带来的独特风险,以及这种理解如何驱动在各种风险分类系统中对医疗器械进行风险分类。识别和分析这些风险的过程应被视为迭代进行,并在整个医疗器械的生命周期内进行。
识别和分析
风险评估和管理活动的成功取决于风险评估人员对医疗器械软件的功能和预期用途的理解,以及医疗器械软件的预期使用方式、地点、时间以及使用人员。根据本文件第 4 节中提供的信息对医疗器械软件进行全面描述,为软件特定风险评估提供了必要的依据。以下提供了一些识别和考虑在第 4 节中各个信息组内风险的方法,旨在说明许多变量如何共同作用,从而更全面地理解可能影响特定医疗器械软件的独特风险。
为了识别和描述软件风险,包括与网络安全相关的相关风险,有助首先识别设备特征,然后询问“为什么该特征对软件的预期用途/目的很重要”,以及随后识别可能基于软件的有意设计决策和无意软件故障而产生的危险情况。然而,重要的是确保以这种方式探索设备特征,并且要仔细考虑软件之间的相互依赖关系,以便全面描述医疗设备的“风险特征”。
附录 C 提供用于配合先前在第 4 节中识别的每个特征的考虑问题的答案。这些问题旨在帮助理解“为什么该特征对软件的预期用途/目的很重要”,作为一种手段,以帮助识别可能与软件的设计和预期用途/目的相关的特定危险情况。虽然这些问题并非全面,但它们旨在突出,设备的独特特征提供的上下文如何影响对特定软件可能引入的潜在危害的理解,从而影响整个医疗设备的风险。这些问题旨在帮助在引入风险控制/缓解措施之前,对医疗设备软件可能引入的潜在危害进行全面考虑,但并非所有问题都适用于或与每种医疗设备软件相关。
附录 D 包含示例,说明如何回答附录 C 中的问题,可以帮助识别不同特征及其相互作用如何影响特定医疗设备软件所引入的风险。 重要的是,识别这些“特定于软件”的对设备风险的贡献,旨在阐明为什么特定医疗用途/目的下的软件,可能或可能不会改变在各种框架下的设备风险分类。 这一概念将在本文件的第 5.3 节中进一步讨论。
估算
如上所述,风险管理方法,例如 ISO 14971 中提出的方法,通常将风险描述为伤害发生的概率和伤害的严重程度的结合。 结合本文件中第 4 节中概述的医疗设备软件特征,以及风险评估特征,对于评估和管理风险至关重要。
对于医疗器械软件,风险管理需要识别与危险情况相关的潜在的_直接和间接_危害,例如软件的错误输出,然后评估这些危害的严重程度,例如延长寿命、心理损伤或不当或不必要的侵入性治疗和/或测试。虽然在估计风险时,危害发生的概率通常可以作为参考,但对于如何定量估计软件故障发生的概率,目前尚无广泛共识。此外,网络安全风险管理通常更关注漏洞的可利用性,而不是危害发生的概率;并且通常认为,与软件相关的危害的概率会受到可用性等因素的影响,这使得进一步的估计更加困难。[5] 因此,在估计特定软件的风险时,可以将软件故障发生的概率设置为1,并在可能的情况下,根据其他因素来估计概率,从而进行风险评估。
附录C中的指导问题可以为隔离特定软件的危害_以及_评估其潜在危害的严重程度提供依据,通过理解如何应用特定的软件解决方案会影响医疗器械的预期用途/预期目的。
这些概念可以随后用于风险特征化(例如,通过根据 ISO 14971 进行风险评估),以及确定因特定软件相关的危险情况(例如,灾难性、严重、严重、轻微、可以忽略的)所造成的直接或间接损害的严重程度。一旦危害被识别,对“软件贡献”的风险估计的方法并不独特。然而,当软件需要在更广泛的设备上下进行考虑,以实现预期的使用/目的时,也可能有助于考虑软件是否成为特定危害的单一故障点,如果是,这种状况如何影响风险估计和相关的缓解措施。
风险分类方法
在产品生命周期的早期进行软件风险特征化非常重要。正如本文档中讨论的风险特征化一样,对于医疗设备软件,应在实施风险控制(而不是剩余风险)之前进行风险分类。对于任何一种功能、疾病、干预、人群或用户的特定类型,可能并不总是可以或有益于创建完全严格和不同的风险类别。对于任何特定的医疗设备软件,可能会存在相互依赖以及在特征化组别之间存在不均衡,这些最终会影响对设备风险的理解,从而可能影响后续的分类。此外,在处理由软件对设备风险所做的特定贡献时,例如,如何将提供的信息输入到特定用户群体中,作为仅一个例子,在不同司法管辖区,可能不会有统一或普遍的答案。
不同的管辖区域可能具有不同的理念和法律义务,这些因素塑造了它们不同的基于风险的分类。因此,第 5 节中讨论的内容,并在附录 B 中进一步说明,旨在作为一种共同的基础,用于考虑和阐述,如何对符合医疗器械定义的软件的特征影响风险,特别是通过对相互关联的因素进行分析,从而理解特定用途/目的的软件的风险。换句话说,本文件旨在提供关于如何确定特定软件风险分类的见解,而无需对任何特定设备指定一个“正确”且普遍的类别。如前所述,除了其他复杂因素外,软件特定的风险可能对特定设备的适用风险分类产生重大影响,但并非唯一影响因素。在此,本文件可以作为讨论特定医疗器械软件风险的基础,并在更广泛的设备系统或监管结构中进行理解。
实施考虑
为医疗器械软件提供一个共同的描述基础,并考虑不同特征如何影响风险,有助于促进安全性和有效性,以及在不同管辖区域中的一致性和协调性。
4.0和5.0部分中提出的考虑可以用于理解医疗器械软件及其风险,并促进不同管辖范围内不同设备风险分类系统的解释和应用。虽然本文件中描述的医疗器械软件特征化与评估设备风险相关,但重要的是,任何监管评估也应考虑设备的使用对健康的益处,并权衡设备本身的风险。
在特定管辖范围内,设备分类最终将由管辖当局、法律和法规决定。在可能的情况下,管辖范围可以考虑将本文件中整合的语言和概念纳入其本地指导或流程,例如,将设备和风险特征化语言与文档中的标签和风险管理期望或分类法规联系起来。
管辖范围可能能够利用一部分特征和属性,以及对医疗器械软件风险及其严重程度的评估,来描述其在将风险分类应用于医疗器械软件方面的做法。
这些概念旨在供利益相关者与现有的框架一起使用,以提供额外的细节和解释,从而促进和指导清晰、一致和准确的医疗器械软件特征化。
附录 A:示例的预期用途/预期目的声明
为了促进和鼓励清晰、全面的医疗器械软件的预期用途声明,关键的预期用途/预期目的声明要素在第 4.1.1 节中进行总结。以下是一个示例声明指南。需要注意的是,并非所有要素都适用于每种医疗器械软件,并且第 4.1.1 节及以下提供的信息仅供制造商在开发医疗器械软件标签、文档和适用的监管提交时进行考虑。根据技术和预期用途,该示例声明可能不适用于所有医疗器械软件。尽管通常包含在预期用途/预期目的声明中,但对于某些设备,例如,由于信息量较大,可能需要在医疗器械软件标签的其他地方包含与禁忌症等信息。
[医疗器械软件名称] 是一种预期用于_[医疗用途]、[疾病/病症/疾病]在[预期患者群体]中的软件。该软件预期由[预期用户群体]在_[预期使用环境]中使用。该医疗器械软件的禁忌症包括_[禁忌症]。该医疗器械软件使用_[输入]来产生_[输出描述]。这些输出是_[描述输出的使用方式、它在临床或医疗工作流程中的作用以及它对最终医疗决策/行动的贡献]。
附录 B:特征总结表
下表代表了第 4 节“医疗器械软件描述”中四个单独呈现的表格的汇总版本。
| 信息分组 | 特征描述 | 潜在特征属性 |
|---|---|---|
| 医疗问题及/或目标 | 医疗目的 | 诊断(例如,主要诊断、筛查、分诊等),预防,监测,缓解,预测,治疗等 |
| 预期疾病或状况 | 关键,严重,非严重的疾病或状况,包括对该状况状态的考虑(例如,慢性疾病或慢性疾病的急性变化) | |
| 预期患者群体 | 一般人群,特定人群子群(例如,易受影响且/或易受伤害的子群;特定年龄组、性别、性别、肤色、种族、残疾、诊断等)特定人群子群的交叉(例如,特定年龄组 + 特定性别 + 易患特定疾病的人群) | |
| 医疗设备软件使用情境 | 预期用户 | 非临床用户/非临床用途(例如,照护者、患者用户、无医疗资质的用户)有执照的医疗专业人员、非医生(例如,注册护士、牙医、心理学家、放射治疗师、物理治疗师等)普通医生(例如,初级保健医生、家庭医生、注册护士)专科医疗医生(例如,放射科医生、肿瘤医生、皮肤科医生、病理医生、外科医生等) |
| 预期使用环境 | 非临床环境(例如,家庭使用)一般医疗环境(例如,初级保健诊所、虚拟初级医疗)专科医疗环境(例如,医院、专科诊所、虚拟专科医疗) | |
| 在医疗任务/干预中的时间 | 早期(例如,分诊、预测未来诊断、在可疑症状或信息出现时进行早期检查、用于诊断或治疗计划的生理信号或医学图像采集)中期(例如,用于诊断或治疗计划的信号或图像分割)后期(例如,考虑的最佳图像引导治疗方案或剂量;建议的辅助诊断或二次检查****连续血糖监测输出自动驱动基础胰岛素剂量;在机器人手术中的图像引导的仪器控制)***注意:**上述 3 个阶段(早期、中期和后期)作为参考点,并不需要说明应采用哪个阶段。重要的是对输出的时间与最终干预、决策或行动以及产品如何与其它 |
附录 C:示例考虑,用于理解与设备设计和预期用途相关的软件危害
下表中的问题旨在帮助全面考虑医疗设备软件可能引入的潜在危害。并非所有问题都适用于每种医疗设备软件。这不是一份详尽或强制性的考虑清单,而是针对医疗设备软件的预期用途或预期用户,提供可选示例,这些示例在评估软件风险时可能有所帮助。
| 信息分组 | 特征描述 | 医疗器械软件风险特征化考虑 |
|---|---|---|
| 医疗问题/或目标 | 医疗目的 | • 医疗器械软件是否旨在作为其他工具或治疗的辅助或同时使用? 医疗器械软件是否旨在替代或增强一个系统或流程? 如果是,在何种方式下,医疗器械软件具有增强性(例如,软件输出是否是附加或确认性的,用于另一个流程或结果)?• 软件输出本身是否旨在作为治疗或治疗? 软件输出是否用于基于诊断或治疗目的的决策? 软件是否用于监测生理过程或重要的生理参数? 软件是否具有警报功能,用于立即或短期干预? |
| 预期疾病/状况 | • 医疗器械软件预期用于的疾病/状况(例如,急性或慢性)如何影响软件输出的数据的关键性?• 疾病/状况是否会改变信息何时需要或提供,或者必须使用的时间?• 疾病/状况是否定义了信息对软件的输入或输出的敏感性或准确性**? 监测参数的变化是否可能导致患者立即或短期内出现危险?• 软件输出的决策或诊断是否可能对患者造成影响,导致死亡、不可逆的状况恶化或严重的状况恶化,或者需要进行手术干预? | |
| 预期患者群体 | • 预期患者群体是否包括特定的易受影响的亚群?• 预期患者群体的多样性如何? 信息的通用性需要达到什么程度,以在预期患者群体中充分发挥作用? 信息的具体性如何?• 软件输出提供的决策或诊断是否反映了预期用户的人口统计学特征? | |
| 医疗器械软件的使用环境 | 预期用户 | • 医疗器械软件是否使新的/不同的用户能够完成与软件不使用时所完成的任务的临床任务?• 用户是否需要具备专业知识,或者需要访问专业知识(例如,为了使用软件而进行特定的培训),才能理解软件的输入和/或输出? |
| 预期使用环境 | • 使用医疗器械软件是否提供在通常情况下没有此类任务或服务的临床任务或服务(例如,是否需要专家在场)?• 医疗器械是否旨在在不受控制或非传统环境下使用 |
附录 D:关联特征的风险特征示例
本部分包含根据第 4 和第 5 节所述考虑事项的示例。 以下示例旨在帮助说明,如何通过稳健地描述软件并系统地评估特征因素对软件风险的贡献,从而提供一种共享且更细化的讨论风险的方式,该方式可以在潜在的多样风险分类结构之间进行转移。
以下,我们提供了一个软件功能的完整示例,该功能应用了上述部分中讨论的考虑事项,以及具体的示例,说明特定特征组的变化如何影响风险。 虽然以下评估与医疗器械的风险特征相关,但重要的是,任何监管评估也应考虑医疗器械的使用对健康的益处,并权衡医疗器械的风险。
在评估特征因素对软件风险的贡献时,需要注意的是,软件产品可能具有多个功能,包括医疗器械功能和非医疗器械功能。 如果医疗器械具有多个功能,则每个功能应根据其各自的监管状态进行单独评估。 如果软件产品具有非医疗器械功能,则对该非医疗器械功能的评估应仅与非医疗器械功能对医疗器械功能的影响相关。
示例 A:作为主要诊断功能的软件功能,用于识别患有糖尿病前期的人
场景:该软件旨在分析与健康相关的包括电子病历、实验室测试和其他诊断测试的数据,以识别患有糖尿病前期(即糖尿病的早期指标)的个体,并生成一份由医疗专业人员审查的输出。
A.1 预期用途/目的陈述
产品 X 是一款软件,旨在用于**诊断****糖尿病前期,适用于有糖尿病风险的成年人。该软件 intended to be used by 医疗专业人员在一般的医疗环境中。该医疗设备软件使用机器学习模型。该医疗设备软件用于没有现有糖尿病诊断的患者。该医疗设备软件使用电子病历(EHR)中的特定数据,以生成一个条件自动__算法** __输出,以提供患糖尿病的可能性。这些输出是**条件独立/自主(即,输出以高于阈值的百分比呈现给医疗保健提供者进行审查),并 intended to be used as a临床 工作流程建议,用于根据既定的指南进行额外的测试或随访**。
如附录 C 讨论所述,通过对应的问题来解决每个特征有助于评估风险。以下问题按信息分组列出,以支持全面的风险考虑讨论。
A.2 软件风险考量:
A.2.1 医疗问题和/或目标
| 特征描述 | 医疗器械软件风险特征化考虑 | 讨论 |
|---|---|---|
| 医疗用途 | • 医疗器械软件是否旨在作为其他工具或治疗的辅助或同时使用? 医疗器械软件是否旨在替代或增强一个系统或流程? 如果是,该医疗器械软件以何种方式增强(例如,软件输出是附加的或确认性的,与另一个流程或结果相关吗)?• 软件的输出本身是否旨在作为治疗或治疗? 软件输出是否用于基于诊断或治疗目的的决策? 软件是否用于监测生理过程或重要的生理参数? 软件是否具有警报功能,用于提示即时或短期干预? | 在考虑医疗用途时,本医疗器械软件旨在与其它工具或治疗同时使用,即与额外的诊断测试结果、治疗和电子健康记录中的数据一起使用。 本医疗器械软件旨在增强一个系统或流程,即软件输出用作辅助诊断糖尿病的工具。 在这种情况下,有助考虑软件旨在增强和辅助,这表明输出可能不是与相关临床决策点的唯一影响因素。 如果软件输出不是导致患者伤害的单一故障点,这将影响我们对软件风险的理解。 |
| 预期疾病或状况 | • 医疗器械软件旨在用于的疾病/状况(例如,急性或慢性)如何影响软件输出数据的关键性?• 疾病/状况是否改变了信息需要、提供或使用的时间?• 疾病/状况是否定义了软件输入或输出所需信息的敏感性或准确性? 监测参数的变化是否可能导致对患者的即时或短期危险?• 软件输出的决策或诊断是否可能对患者造成死亡、不可逆转的病情恶化或严重病情恶化的影响? | 在考虑患者的疾病或状况时,有助考虑,作为疾病前的状态(即,在成为疾病之前的状态),该疾病状况本身并不影响软件输出的关键性。 疾病状况作为疾病前的状态,确定在诊断糖尿病之前,需要或必须使用信息,以预测随后发展为糖尿病(高概率)的可能性。 此外,疾病状况作为疾病前的状态以及在糖尿病(即,预测试概率)存在的情况,确定了软件输出所需信息的敏感性和/或准确性。 鉴于这些因素,软件输出不太可能对患者造成死亡或 |
A.2.2 医疗器械使用环境
| **功能特征 | 医疗器械软件风险特征考量 | 讨论** |
|---|---|---|
| 预期用户 | • 软件是否使新的/不同的用户能够完成与不使用软件时相同或不同的临床任务? • 用户是否具备专业知识,或者能够获得专业知识(例如,专门用于使用软件的培训),以理解软件的输入和/或输出? | 在考虑预期用户时,该医疗器械软件使新的和不同的用户(即不同的医疗保健提供者)能够完成(即识别患有糖尿病前期的人)否则不会完成的临床任务。该医疗器械软件可供不同的预期用户(即不同的初级保健和/或专科医疗保健提供者)使用。该软件分析电子健康记录中的健康相关数据,而无需用户(即医疗保健提供者)具备专门的培训。该医疗器械软件要求用户(即医疗保健提供者)具备必要的专业知识,以理解软件的输入(即电子健康记录中分析的数据类型)和由软件产生的输出(即糖尿病前期)。 |
| 预期使用环境 | • 使用医疗器械软件是否在没有其他此类任务或服务的环境中提供临床任务或服务(例如,是否需要专家在场)? • 预期该设备在不受控制或非传统环境中使用吗? • 外部因素(包括物理因素,如噪声和照明,以及数字因素,如网络连接)是否会影响设备的输入、输出或使用? • 预期的虚拟条件和计算环境是否需要额外的软件兼容性验证或身份验证,并且/或影响用户访问软件? | 针对该医疗器械软件的预期使用环境包括在医疗保健(即临床)环境中提供服务,并且不打算在医疗保健环境或使用纸质记录的医疗保健环境中(即使用纸质记录的设置)之外或在这些环境中使用。外部因素(即可能影响医疗器械软件功能的因素),如物理因素(例如,与物理相关的因素)和数字因素(例如,宽带、互联网连接和不同医疗数据库的访问问题),可能对设备的输入、输出或使用产生轻微或可忽略的影响。此外,受限的预期使用环境减少了软件必须充分执行的运行条件的变化。 |
| 在医疗任务/干预中的时间 | • 用户是否有足够的时间来审查软件输出的基础,或者审查和整理作为软件输入的用于审查的信息? • 软件输出是否可以** |
在考虑与医疗器械使用情境相关的问题时,所提供的医疗器械软件的预期用户仅限于医疗机构的预期使用环境中的医疗保健专业人员。 结合“在医疗环境中任务/干预的时间”和“软件在医疗任务/干预中的角色和输出”的考虑,表明这些特征对整体风险特征的影响较低。
A.2.3 医疗器械功能/使用
| **特征描述 | 医疗设备软件的风险特征化 | 讨论** |
|---|---|---|
| 输出类型 | •该输出是否为补充信息,以帮助进行临床解释或工作流程建议?它是否是用于确定临床解释、工作流程建议或作为医疗用途数据的替代或替换?•该输出是否在临床实践中被广泛接受,或者基于可靠的科学原则?该输出是否是专有的?•用户或其它资质是否对该输出具有分级或限制?•该输出是否为布尔值,例如,要么为真,要么为假? | 在考虑输出类型时,此医疗设备软件提供补充信息(即,对预先糖尿病状态的诊断),以与临床建议(例如,后续诊断测试)结合使用,并提供用于医疗用途的数据(例如,生活方式调整和/或治疗的建议)。此医疗设备软件的输出在临床实践中被广泛接受(即,对预先糖尿病的诊断),并且,如果已充分验证并具有适当的使用指示,则基于可靠的科学原则。由于公司自行设计了用于将输出呈现给医疗专业人员进行审查的阈值,因此此医疗设备软件的输出被认为是专有的,并且并不简单地采用已知的、被广泛接受的阈值或计算。此医疗设备软件的输出可供医疗专业人员使用,前提是该软件已用于特定个体,并且该个体未患有预先糖尿病。在此之后,医疗专业人员可以访问此医疗设备软件的输出,并且不会因特定产品访问级别而对医疗专业人员隐瞒信息。此外,该信息不会被广泛分享给各种用户,从而实现不同级别的访问,例如,如果产品的输出是供患者和他们的提供者审查的。 |
| 输入来源 | •输入来源是人类用户、医疗设备、非医疗设备或消费品吗?•输入来源是独特的,还是可以通过其他方法或来源获得数据?•是否有足够的输入来源,并且该来源符合特定的参数,例如,速率、灵敏度或精度(包括和排除标准)?输入是否相关?•输入数据是直接的还是通过其他工具、产品或中间体进行告知或转换的?转换后的数据是否合适?•是否有多个输入来源或数据类型?它们是否相互依赖? | 这一医疗设备软件的输入 |
在考虑与设备功能/使用相关的问题后,可能会认为,这种输出类型,即补充提供信息以帮助进行临床解释或工作流程建议(在这种情况下,是指在临床实践中或基于良好科学原则的预测或诊断),可能不会对设备本身的风险产生重大影响。然而,具体的阈值计算是专有的,该软件取代了对患者病历的手动审查,并可能导致错误地筛选患者进行由医疗专业人员审查。
A.2.4 医疗器械变更管理
| 特征描述 | 医疗器械软件风险特征化考虑 | 讨论 |
|---|---|---|
| 学习/变更管理自主程度 | • 医疗器械软件是否独立地改变其底层算法?• 医疗器械软件的性能多久进行验证?• 算法性能的更新是由非临床或临床用户、制造商,还是这两种用户的组合驱动的? | 在考虑__学习/变更管理自主程度时,该医疗器械软件不独立地改变其底层算法。该医疗器械软件的性能,由产品开发人员每年进行验证,并在特定医疗机构内由临床用户进行验证。算法性能的更新由临床用户和制造商进行监控。 |
| 学习/变更实施领域 | • 是否需要特定领域实施才能实现充分的软件性能?• 变更计划实施在哪些领域,以及这些领域有多么不同? | 在学习/变更实施领域,请注意,学习和/或变更管理可能导致在不同临床机构或区域(即,基于使用该软件的个体的人口特征)中使用该软件时,出现不同的准确性和精度。 |
| 安装、更新和错误纠正基础设施 | • 医疗器械软件的具体渠道是什么,用于分发?• 医疗器械软件是否有多个安装位置? 纠正由谁发起? | 针对安装、更新和错误纠正基础设施,请注意,该医疗器械软件的分发渠道是基于Web的应用,并且软件的安装由临床用户在特定临床机构的服务器上进行。 |
总而言之,对于此类产品,软件可能对风险的影响或引入,需要考虑跨不同信息组的多个特征,并且与特定设备软件相关的最相关特征可能因设备的预期用途/预期目的而异。因此,对于软件,需要提供清晰的描述,以帮助理解医疗设备软件的角色及其独特的实施方式。对于此示例设备,特定的软件解决方案可能引入与自动化先前手动步骤和新工作流程故障点相关的风险。然而,由于设备的医疗用途和使用背景,这些风险可能不会对整体风险产生显著影响。在考虑如何设计此软件解决方案可能影响设备的整体风险或产生不同的危害时,可以综合考虑这些因素。
附录 E:特定风险考量的比较示例
与上述示例 A 类似,通过针对每个特征提出相应的问题,有助于评估风险。以下问题按信息组排列,以支持对风险考量的全面讨论。如上所述,虽然以下问题与评估医疗设备风险相关,但任何监管评估也应考虑医疗设备的使用对健康的益处,并权衡医疗设备的益处与风险。
以下提供的比较示例进一步说明,在风险分析中可提取的危害可能因特定医疗设备软件的独特特征而异。
**示例 1:旨在为患者提供治疗体验,以减轻和缓解疼痛的软件。__****场景 1.1:**该软件旨在与处方止痛药一起使用,以减轻和缓解化疗患者的疼痛。**场景 1.2:**该软件旨在用于减轻和缓解患有骨关节炎的患者的疼痛,这些患者无法服用其他止痛药。
在示例 1 中的两个场景中,医疗设备软件的预期用途是提供治疗,以减轻和缓解疼痛,而导致这种疼痛(即预期疾病或状况)本身并不是主要特征,从而有助于理解医疗设备软件的风险。在这种情况下,了解医疗设备软件是否旨在作为辅助手段(即医疗目的)对软件的风险分析中考虑的潜在危害具有重要意义。
在场景 1.2 中,该软件旨在为无法使用其他止痛疗法的患者提供治疗。由于该软件本身被设计为一种治疗方法,并且不能与或作为其他治疗的辅助手段使用,因此,在场景 1.2 中,该软件的风险可能高于场景 1.1。该软件输出未能提供有效治疗,可能被视为实现患者止痛或缓解疼痛的单一故障点;因此,该软件的预期医疗目的,可能在风险分析中,比与其他治疗一起使用的软件(如场景 1.1 中描述的)所涉及的危害,产生更大的影响。
对于类似的医疗设备软件,在两个场景中,在“医疗问题和/或目标”分组中,特征对软件的风险产生不同的影响。对于这种产品,预期疾病或状况本身并不完全决定软件的风险,而更深入地了解医疗目的,有助于更全面地理解医疗设备软件的风险。
示例 2:用于汇总数据并突出可穿戴监测设备趋势的软件,用于患有心力衰竭的患者****场景 2.1: 该软件旨在汇总可穿戴监测设备的数据并突出显示趋势,帮助患有心力衰竭的患者监测其住院风险。 该软件提供简单的数据可视化,以更好地理解患者的纵向数据,例如跟踪个人的健康状况、护理使用情况和随时间推移的结果。场景 2.2: 该软件旨在汇总可穿戴监测设备的数据并突出显示趋势,用于患有心力衰竭的患者,帮助患者及其医疗服务提供者获取患者的心脏健康相关纵向数据。 该软件提供简单的数据可视化,包括突出显示趋势,以帮助医疗服务提供者在定期就诊期间监测患者的住院风险,并且可以用于指导与治疗相关的决策。
在上述示例 2 中,医疗设备软件的预期用户仅限于寻求获取有关自身病情信息的患者。在示例 2.2 中,医疗服务提供者也包括在预期用户群体中,并且除了患者之外,他们还可以访问数据。在这种情况下,医疗专业人员具有专门的培训,这使他们能够理解并分析医疗设备软件所强调的数据和趋势,而患者可能无法做到。因此,在示例 2.2 中,预期用户 __ 可能比示例 2.1 降低某些与风险分析相关的风险发生的可能性,因为至少在示例 2.2 中,至少有一个预期用户具有专业知识和培训,能够正确理解并响应他们所接收的数据。医疗专业人员可以访问数据,从而无需患者独立判断何时以及如何将数据传达给他们的医生。
然而,也应考虑,在场景 2.2 中,医疗设备软件的预期用户比场景 2.1 具有更大的差异,这是因为引入了临床医生用户。这种差异也影响了对软件可能带来的风险的理解,这意味着信息必须充分且适当地传达给不同的用户群体。重要的是要考虑,多个因素可能会影响任何特定特征相关的风险——即使是临床医生或经过培训的用户,也并不总是独立地表明在设备风险分析中,适用危害的减少或增加。
示例 3:使用可穿戴消费产品上采集的生理数据,以确定帕金森病患者症状严重程度的软件功能。
场景 3.1: 软件旨在聚合来自经过监管的医疗设备的测量数据,并分析以监测帕金森病患者,例如震颤等症状的严重程度。
场景 3.2: 软件旨在聚合来自可穿戴消费产品的测量数据,并分析以监测帕金森病患者,例如震颤等症状的严重程度。
[术语表 - 在这些术语出现时,请使用这些精确的翻译:] 差距分析 -> Gap Analysis test_zh -> test_en
在上述示例 3 中,在 3.1 场景中,输入来源仅限于受监管的医疗设备获取的测量值。在 3.2 场景中,测量值来自不受监管的消费性产品,该产品不被视为医疗设备。在这种情况下,可穿戴消费性产品可能为收集患者数据提供了更大的机会。然而,可穿戴消费性产品的性能方面可能不在开发商的控制范围内。因此,可以认为,在 3.2 场景中的输入来源,对于风险分析来说,可能比 3.1 场景中的风险更大,因为开发软件的制造商可能无法对分析的数据来源进行整个生命周期控制,以监测症状的严重程度。在这种情况下,制造商可能需要采取额外的步骤来监测可穿戴消费性产品的性能,并向用户沟通任何性能变化。与 3.1 场景不同,该场景从受监管的医疗设备获取测量值,可以受益于获得授权所需的验证和验证(在预期用途适合特定用途的情况下),这可能会由于产品在预期用途方面的更高准确性和精度,从而降低适用风险。使用消费性产品执行受监管设备功能的软件的适用法规因管辖范围而异。
免责声明
© 2024 年 国际医疗器械监管论坛 版权所有。
本作品受版权保护。在遵守本条款和条件的前提下,您可以下载、显示、打印、翻译、修改和复制本作品的全部或部分内容,用于您个人的使用、研究、教育目的,或如果贵组织是组织,则用于贵组织的内部使用,但前提是您或贵组织不得将复制用于任何商业目的,并且保留所有版权声明。如果您使用本作品的任何部分,必须包含以下声明(删除不适用的内容):
“[翻译或改编]自[插入出版物名称],[出版年份],国际医疗器械监管论坛,经国际医疗器械监管论坛授权使用。国际医疗器械监管论坛不对本[改编/翻译]的内容或准确性负责。”
除上述内容外,所有权利均保留,未经国际医疗器械监管论坛(IMDRF)事先书面许可,不得以任何方式(包括电子方式)复制或使用本材料的全部或任何部分。有关复制和权利的请求和咨询应发送给 IMDRF 秘书处。
将本文件(部分或全部)纳入其他文档,或将其翻译成其他语言,并不代表IMDRF的认可。
请访问我们的网站以获取更多详细信息。
尤其,本文补充和阐述了 N12 第 5 节 (“第 5 节 – SaMD 特征化的重要因素”) 中的概念。 ↑
ISO 14971:2019 医疗设备 – 将风险管理应用于医疗设备 ↑
虽然 ISO 14971:2019 将“伤害”定义为“对人的健康造成伤害或损害,或对财产或环境造成损害”,但在本文件中讨论医疗器械安全时,更具体地考虑“对人的健康造成伤害或损害”这一概念,可能会更有帮助。 这种更窄的“患者伤害”的定义,实际上是为了优先审查那些必要的变更,以保护公众健康。 ↑
根据 IEC 80001-1:2021,TIR57: 2016/(R)2023 将“伤害”定义为“对人的身体伤害或健康损害,或对财产或环境的损害,或有效性降低,或数据和系统安全方面的违规”。 ↑
参考文献:IEC 62304、AAMI TIR57、AAMI TIR34971