By name: "fda-consultant-specialist" description: 面向医疗器械公司的 FDA 合规顾问。提供 510(k)/PMA/De Novo 路径指导、QSR (21 CFR 820) 合规、HIPAA 评估以及设备网络安全建议。当用户提到 FDA 申报、510(k)、PMA、De Novo、QSR、上市前 (premarket)、对比器械 (predicate device)、实质等同性 (substantial equivalence)、HIPAA 医疗器械或 FDA 网络安全时使用。
FDA 咨询专家
针对医疗器械制造商的 FDA 合规咨询,涵盖申报路径、质量管理体系法规 (QSR)、HIPAA 合规以及设备网络安全要求。
目录
FDA 路径选择
根据设备分类和对比器械的可用性确定合适的 FDA 监管路径。
决策框架
是否存在对比器械 (Predicate device)?
├── 是 → 是否实质等同 (Substantially equivalent)?
│ ├── 是 → 510(k) 路径
│ │ ├── 无设计变更 → 简略 510(k) (Abbreviated 510(k))
│ │ ├── 仅制造变更 → 特殊 510(k) (Special 510(k))
│ │ └── 设计/性能变更 → 传统 510(k) (Traditional 510(k))
│ └── 否 → PMA 或 De Novo
└── 否 → 是否为创新器械?
├── 低至中度风险 → De Novo
└── 高风险 (III 类) → PMA
路径对比
| 路径 | 适用场景 | 时间周期 | 费用 |
|---|---|---|---|
| 510(k) 传统型 | 存在对比器械,有设计变更 | 90 天 | $21,760 |
| 510(k) 特殊型 | 仅制造工艺变更 | 30 天 | $21,760 |
| 510(k) 简略型 | 符合指南/标准要求 | 30 天 | $21,760 |
| De Novo | 创新器械,低至中度风险 | 150 天 | $134,676 |
| PMA | III 类器械,无对比器械 | 180+ 天 | $425,000+ |
申报前策略
- 确定产品代码和分类
- 在 510(k) 数据库中搜索对比器械
- 评估实质等同性 (Substantial Equivalence) 的可行性
- 为 FDA 准备 Q-Sub 问题
- 如果需要,安排申报前 (Pre-Sub) 会议
参考资料: 参见 fda_submission_guide.md 获取路径决策矩阵和申报要求。
510(k) 申报流程
工作流
阶段 1:规划
├── 步骤 1:确定对比器械 (Predicate device)
├── 步骤 2:比较预期用途和技术特征
├── 步骤 3:确定测试要求
└── 检查点:实质等同性 (SE) 论证是否可行?
阶段 2:准备
├── 步骤 4:完成性能测试
├── 步骤 5:准备设备描述
├── 步骤 6:记录实质等同性 (SE) 比较
├── 步骤 7:定稿标签说明
└── 检查点:所有必需章节是否完整?
阶段 3:提交
├── 步骤 8:组装申报包
├── 步骤 9:通过 eSTAR 提交
├── 步骤 10:跟踪确认函
└── 检查点:申报是否被接收?
阶段 4:审核
├── 步骤 11:监控审核状态
├── 步骤 12:响应补充资料 (AI) 请求
├── 步骤 13:接收决定
└── 验证:是否收到实质等同 (SE) 确认函?
必需章节 (21 CFR 807.87)
| 章节 | 内容 |
|---|---|
| 附信 (Cover Letter) | 申报类型、设备 ID、联系信息 |
| 表格 3514 | CDRH 上市前审核封面页 |
| 设备描述 | 物理描述、运行原理 |
| 预期用途 (Indications for Use) | 表格 3881、患者群体、使用环境 |
| 实质等同性 (SE) 比较 | 与对比器械的逐项对比 |
| 性能测试 | 台面测试、生物相容性、电气安全 |
| 软件文档 | 关注级别、风险分析 (IEC 62304) |
| 标签 | 使用说明 (IFU)、包装标签、警告语 |
| 510(k) 摘要 | 申报内容的公开摘要 |
常见拒绝受理 (RTA) 问题
| 问题 | 预防措施 |
|---|---|
| 缺少用户付费 | 提交前核实付款状态 |
| 表格 3514 不完整 | 检查所有字段,确保已签名 |
| 未确定对比器械 | 在 FDA 数据库中确认 K 编号 |
| 实质等同性 (SE) 比较不足 | 涵盖所有技术特征 |
QSR 合规
针对医疗器械制造商的质量管理体系法规 (21 CFR Part 820) 要求。
关键子系统
| 章节 | 标题 | 核心关注点 |
|---|---|---|
| 820.20 | 管理责任 | 质量方针、组织架构、管理评审 |
| 820.30 | 设计控制 | 输入、输出、评审、验证、确认 |
| 820.40 | 文件控制 | 批准、发布、变更控制 |
| 820.50 | 采购控制 | 供应商资质、采购数据 |
| 820.70 | 生产控制 | 过程确认、环境控制 |
| 820.100 | 纠正和预防措施 (CAPA) | 根本原因分析、纠正措施 |
| 820.181 | 设备主记录 (DMR) | 规格、程序、验收标准 |
设计控制工作流 (820.30)
步骤 1:设计输入
└── 捕获用户需求、预期用途、法规要求
验证:输入是否经过评审和批准?
步骤 2:设计输出
└── 创建规格书、图纸、软件架构
验证:输出是否可追溯到输入?
步骤 3:设计评审
└── 在每个阶段里程碑进行评审
验证:是否有带签名的评审记录?
步骤 4:设计验证
└── 根据规格书执行测试
验证:所有测试是否通过验收标准?
步骤 5:设计确认
└── 确认设备在实际使用条件下满足用户需求
验证:确认报告是否获得批准?
步骤 6:设计转换
└── DMR 完成后发布至生产
验证:转换检查表是否完成?
CAPA 流程 (820.100)
- 识别:记录不符合项或潜在问题
- 调查:执行根本原因分析(5 Whys,鱼骨图)
- 计划:定义纠正/预防措施
- 实施:执行操作,更新文档
- 验证:确认实施完成
- 有效性:监控是否再次发生(30-90 天)
- 关闭:管理层批准并关闭
参考: 参阅 qsr_compliance_requirements.md 获取详细的 QSR 实施指南。
医疗设备的 HIPAA
针对创建、存储、传输或访问受保护健康信息 (PHI) 的设备的 HIPAA 要求。
适用性
| 设备类型 | 是否适用 HIPAA |
|---|---|
| 独立诊断设备(无数据传输) | 否 |
| 传输患者数据的联网设备 | 是 |
| 与 EHR 集成的设备 | 是 |
| 存储患者信息的 SaMD | 是 |
| 健身应用(无诊断) | 仅当存储 PHI 时 |
要求的安全措施
行政管理 (§164.308)
├── 安全官员任命
├── 风险分析与管理
├── 员工培训
├── 事件响应程序
└── 商业伙伴协议
物理安全 (§164.310)
├── 设施访问控制
├── 工作站安全
└── 设备处置程序
技术安全 (§164.312)
├── 访问控制(唯一 ID、自动注销)
├── 审计控制(日志记录)
├── 完整性控制(校验和、哈希)
├── 身份验证(建议使用 MFA)
└── 传输安全 (TLS 1.2+)
风险评估步骤
- 盘点所有处理 ePHI 的系统
- 记录数据流(收集、存储、传输)
- 识别威胁和漏洞
- 评估可能性和影响
- 确定风险级别
- 实施控制措施
- 记录残留风险
参考: 参阅 hipaa_compliance_framework.md 获取实施检查表和 BAA 模板。
设备网络安全
FDA 对联网医疗设备的网络安全要求。
上市前要求
| 元素 | 描述 |
|---|---|
| 威胁模型 | STRIDE 分析、攻击树、信任边界 |
| 安全控制 | 身份验证、加密、访问控制 |
| SBOM | 软件物料清单 (CycloneDX 或 SPDX) |
| 安全测试 | 渗透测试、漏洞扫描 |
| 漏洞计划 | 披露流程、补丁管理 |
设备层级分类
第 1 级(高风险):
- 连接至网络/互联网
- 网络安全事件可能导致患者伤害
第 2 级(标准风险):
- 所有其他联网设备
上市后义务
- 监控 NVD 和 ICS-CERT 以获取漏洞信息
- 评估对设备组件的适用性
- 开发并测试补丁
- 与客户沟通
- 按指南向 FDA 报告
协调漏洞披露
研究人员报告
↓
确认 (48 小时)
↓
初步评估 (5 天)
↓
修复开发
↓
协调公开披露
参考: 参阅 device_cybersecurity_guidance.md 获取 SBOM 格式示例和威胁建模模板。
资源
scripts/
| 脚本 | 用途 |
|---|---|
fda_submission_tracker.py |
跟踪 510(k)/PMA/De Novo 提交里程碑和时间表 |
qsr_compliance_checker.py |
根据项目文档评估 21 CFR 820 合规性 |
hipaa_risk_assessment.py |
评估医疗设备软件中的 HIPAA 安全措施 |
references/
| 文件 | 内容 |
|---|---|
fda_submission_guide.md |
510(k), De Novo, PMA 提交要求和检查表 |
qsr_compliance_requirements.md |
21 CFR 820 实施指南及模板 |
hipaa_compliance_framework.md |
HIPAA 安全规则安全措施和 BAA 要求 |
device_cybersecurity_guidance.md |
FDA 网络安全要求、SBOM、威胁建模 |
fda_capa_requirements.md |
CAPA 流程、根本原因分析、有效性验证 |
使用示例
# 追踪 FDA 提交状态
python scripts/fda_submission_tracker.py /path/to/project --type 510k
# 评估 QSR 合规性
python scripts/qsr_compliance_checker.py /path/to/project --section 820.30
# 运行 HIPAA 风险评估
python scripts/hipaa_risk_assessment.py /path/to/project --category technical