虽然美国和欧盟的医疗器械管理法规差别很细微,但是我们有必要去弄清楚它。本文主要探讨两者之间的差异,并尝试解释如何借助数字化满足这两个地区的医疗器械监管要求。
美国质量体系法规(QSR)
2022 年 2 月 23 日,美国 FDA 发布了一份拟议规则,拟修订 QSR 的现行良好生产规范(CGMP)要求,以确保全球监管机构使用的医疗器械质量管理体系(QMS)国际通用标准保持一致,特别是 ISO 13485:2016。此次调整将减轻重复性的医疗器械监管合规工作、以及器械生产商目前较为繁重的文档记录工作。更新后的 QSR 将纳入 ISO13485:2016 要求,作为医疗器械质量管理体系的基本要求;并制定了其他特定要求,与《联邦食品、药品和化妆品法案》的当前要求保持一致。此举旨在促进法规的一致性,尽早为患者带来安全、有效、优质器械。此外,FDA 还修改了 21CFR 第 4 部分,就组合产品的器械 CGMP 要求进行了解释说明。FDA 还将复核现行的《质量体系检验技术( QSIT )》文件,必要时会进行修订,纳入最终规则中的相关要求。
ISO13485 合规要求与当前的 820 部分基本相同,其中风险管理要求是两者之间最明显的区别。在 21 CFR 820 中,唯一的特定风险要求出现在第 820.30(g) 条款中,因为它与作为设计验证一部分的风险分析有关。关于将基于风险的方法应用于质量管理体系过程控制,ISO13485 详细说明了它的风险要求,具体包括软件验证、产品实现、设计控制、采购、过程验证、设备和反馈。
欧盟医疗器械法规(MDR)
欧盟 MDR QMS 的合规过渡期是 2022 年 5 月 21 日。欧盟将用新的《医疗器械法规(MDR)》替代之前的《医疗器械指令(MDD)》和《可移植医疗器械指令(AIMDD)》。要求医疗器械产品按 MDR 法规要求提交 CE 认证申请,除非产品上贴有的 MDD 指令 CE 认证标识有效期到 2024 年 5 月 25 日。生产商的医疗器械质量管理体系务必符合 MDR 第 120 条规定的要求。
MDR 对于医疗器械上市后的监督和警戒要求做出了重大调整。
要想按照 MDR 法规要求顺利申请 CE 认证,就得先了解它的临床和性能评估要求,准备规范的、可信度高的报告文件,因为 MDR 法规中对临床性能评估提出了更严格的要求。
欧盟 MDR 与美国 QSR 对比
美国 FDA 规定医疗器械进入市场的途径包括:上市前通告(510(k))、分类申请(De Novo)、豁免、上市前审批(PMA)、产品开发策划(PDP)、人道主义器械豁免(HDE)和生物制品上市许可申请(BLA)。
提交 510(k) 首先要,根据 FDA 医疗器械数据库确定应该提交的文件类型。
I类器械:低风险,需要一般监管控制 – 510(k)
II类器械:中风险,需要一般和专门监管控制 – 510(k)
III类器械:有引起疾病或损害的较高潜在风险(比如,用于维持生命的或避免生命健康受到损害的植入器械和非植入器械)- PMA
欧盟 MDR 的医疗器械分为四类:非侵入性器械、侵入性医疗器械、有源医疗器械和特殊类,是基于风险进行的分类,不同的类别有不同的数据要求和评估规模:
I类:非无菌或不具有测量功能的产品(低风险)。
I类:无菌和/或具有测量功能的产品(中/低风险);MDR 将可循环使用的手术器械归为此类。
IIa类:中风险。
IIb类:中/高风险。
III类:高风险。
不同类型的医疗器械有不同的检测要求,MDR 中不同章节和附件中有相关说明。对于软件可能有额外要求。
欧盟 MDR 临床测试过程不同
准备 510(k) 申请文件时应完成以下评估:
初步安全测试
风险估测
危害识别
危害管理规划
风险缓解策略规划
风险控制分析
风险控制有效性验证
整体剩余风险分析
风险与效益分析
风险管理评审
I 类医疗器械根据附件 IV 和 V 进行评估,免于公告机构(NB)的 CE 标识合格评定。一些中风险的 I 类和 IIa 类器械可能需要根据附件 XI( A 部分)进行合格评定。IIb 类和 III 类器械需要根据附件 II,X 和 XI( A 和 B 部分)规定,在合格评估过程中对器械类型测试、合格验证、产品验证和广泛风险评估做好技术文档记录。
医疗器械生产数字化
生产数字化有助于企业更轻松地遵守医疗器械现行法规要求,帮助企业提高数据访问便利性,提升利益相关者的时间效率和有效性,优化资产生命周期,提高顾客服务水平,增强安全性,改进产品质量。提高利益相关者的技术水平,能促进企业提高生产力和竞争力。高级管理层应明确定义需要保护的信息并进行风险评估,评估数据丢失或泄露可能出现的风险等级。
生产过程控制数字化必须明确定义基础设施需求,安全要求,数据流,系统之间的数据共享,以及过程控制。在记录身份信息的数据收集过程中,应始终做好隐私评估,包括从应用程序、互联网、摄像头、安保系统(电脑版和移动版)收集的数据。过程控制评估包括网络安全(企业版和移动版)和网站控制评估。具体应该进行以下评估:
物理安全
运营安全
个人安全
应急和灾难恢复计划
企业可以在外部专家的专业帮助下提高实施、培训和执行能力(比如 AI 、自动化、无线基础设施等方面)。过程控制应包括计划内的产品报废管理,确保技术和兼容性要求即使达不到先进水平,也至少始终保持高效和有效。系统升级可以同步进行,也可以分阶段进行,或者进行局部试点。使用标准应用程序编程接口(API),可以减少日后落实创新方案可能遇到的一些细微差异。
美国质量体系法规(QSR)
2022 年 2 月 23 日,美国 FDA 发布了一份拟议规则,拟修订 QSR 的现行良好生产规范(CGMP)要求,以确保全球监管机构使用的医疗器械质量管理体系(QMS)国际通用标准保持一致,特别是 ISO 13485:2016。此次调整将减轻重复性的医疗器械监管合规工作、以及器械生产商目前较为繁重的文档记录工作。更新后的 QSR 将纳入 ISO13485:2016 要求,作为医疗器械质量管理体系的基本要求;并制定了其他特定要求,与《联邦食品、药品和化妆品法案》的当前要求保持一致。此举旨在促进法规的一致性,尽早为患者带来安全、有效、优质器械。此外,FDA 还修改了 21CFR 第 4 部分,就组合产品的器械 CGMP 要求进行了解释说明。FDA 还将复核现行的《质量体系检验技术( QSIT )》文件,必要时会进行修订,纳入最终规则中的相关要求。
ISO13485 合规要求与当前的 820 部分基本相同,其中风险管理要求是两者之间最明显的区别。在 21 CFR 820 中,唯一的特定风险要求出现在第 820.30(g) 条款中,因为它与作为设计验证一部分的风险分析有关。关于将基于风险的方法应用于质量管理体系过程控制,ISO13485 详细说明了它的风险要求,具体包括软件验证、产品实现、设计控制、采购、过程验证、设备和反馈。
欧盟医疗器械法规(MDR)
欧盟 MDR QMS 的合规过渡期是 2022 年 5 月 21 日。欧盟将用新的《医疗器械法规(MDR)》替代之前的《医疗器械指令(MDD)》和《可移植医疗器械指令(AIMDD)》。要求医疗器械产品按 MDR 法规要求提交 CE 认证申请,除非产品上贴有的 MDD 指令 CE 认证标识有效期到 2024 年 5 月 25 日。生产商的医疗器械质量管理体系务必符合 MDR 第 120 条规定的要求。
MDR 对于医疗器械上市后的监督和警戒要求做出了重大调整。
要想按照 MDR 法规要求顺利申请 CE 认证,就得先了解它的临床和性能评估要求,准备规范的、可信度高的报告文件,因为 MDR 法规中对临床性能评估提出了更严格的要求。
欧盟 MDR 与美国 QSR 对比
美国 FDA 规定医疗器械进入市场的途径包括:上市前通告(510(k))、分类申请(De Novo)、豁免、上市前审批(PMA)、产品开发策划(PDP)、人道主义器械豁免(HDE)和生物制品上市许可申请(BLA)。
提交 510(k) 首先要,根据 FDA 医疗器械数据库确定应该提交的文件类型。
I类器械:低风险,需要一般监管控制 – 510(k)
II类器械:中风险,需要一般和专门监管控制 – 510(k)
III类器械:有引起疾病或损害的较高潜在风险(比如,用于维持生命的或避免生命健康受到损害的植入器械和非植入器械)- PMA
欧盟 MDR 的医疗器械分为四类:非侵入性器械、侵入性医疗器械、有源医疗器械和特殊类,是基于风险进行的分类,不同的类别有不同的数据要求和评估规模:
I类:非无菌或不具有测量功能的产品(低风险)。
I类:无菌和/或具有测量功能的产品(中/低风险);MDR 将可循环使用的手术器械归为此类。
IIa类:中风险。
IIb类:中/高风险。
III类:高风险。
不同类型的医疗器械有不同的检测要求,MDR 中不同章节和附件中有相关说明。对于软件可能有额外要求。
欧盟 MDR 临床测试过程不同
准备 510(k) 申请文件时应完成以下评估:
初步安全测试
风险估测
危害识别
危害管理规划
风险缓解策略规划
风险控制分析
风险控制有效性验证
整体剩余风险分析
风险与效益分析
风险管理评审
I 类医疗器械根据附件 IV 和 V 进行评估,免于公告机构(NB)的 CE 标识合格评定。一些中风险的 I 类和 IIa 类器械可能需要根据附件 XI( A 部分)进行合格评定。IIb 类和 III 类器械需要根据附件 II,X 和 XI( A 和 B 部分)规定,在合格评估过程中对器械类型测试、合格验证、产品验证和广泛风险评估做好技术文档记录。
医疗器械生产数字化
生产数字化有助于企业更轻松地遵守医疗器械现行法规要求,帮助企业提高数据访问便利性,提升利益相关者的时间效率和有效性,优化资产生命周期,提高顾客服务水平,增强安全性,改进产品质量。提高利益相关者的技术水平,能促进企业提高生产力和竞争力。高级管理层应明确定义需要保护的信息并进行风险评估,评估数据丢失或泄露可能出现的风险等级。
生产过程控制数字化必须明确定义基础设施需求,安全要求,数据流,系统之间的数据共享,以及过程控制。在记录身份信息的数据收集过程中,应始终做好隐私评估,包括从应用程序、互联网、摄像头、安保系统(电脑版和移动版)收集的数据。过程控制评估包括网络安全(企业版和移动版)和网站控制评估。具体应该进行以下评估:
物理安全
运营安全
个人安全
应急和灾难恢复计划
企业可以在外部专家的专业帮助下提高实施、培训和执行能力(比如 AI 、自动化、无线基础设施等方面)。过程控制应包括计划内的产品报废管理,确保技术和兼容性要求即使达不到先进水平,也至少始终保持高效和有效。系统升级可以同步进行,也可以分阶段进行,或者进行局部试点。使用标准应用程序编程接口(API),可以减少日后落实创新方案可能遇到的一些细微差异。