原文:Regulatory requirement for design & process validation

译者:骆靓鉴、吴佳能、李勇,上海微创医疗器械(集团)有限公司

感谢上述志愿者为翻译本文所付出的辛勤努力!

前言

医疗法规事务学会(RAPS)出版的《医疗器械设计确认和过程确认的法规要求》一文涵盖医疗器械确认的各个重要方面,如软件确认、设计确认、过程确认及风险管理等,内容详实,观点鲜明,极具参考价值,笔者将该文翻译整理,以期对国内医疗器械企业提供借鉴和帮助。

设计确认的质量体系检查指南(QSIT)审核

美国食品药品监督管理局(FDA)的质量体系检查指南(QSIT)手册中,“确认”一词出现78次。它超过“验证”、“生产”或“纠正”、“纠正和预防措施(CAPA)”出现的频次,“确认”一词出现的频次几乎与“管理”一样,“管理”一词在QSIT手册中共出现80次。QSIT手册上专门针对设计确认的章节在第35页至40页。

美国FDA在检查设计控制时,通常只选择一个产品或一个产品家族。因此,如果一个公司保持记录哪些产品已经工厂检查过了,该公司通常可以预估下一次工厂检查期间最有可能被审核员选择的产品。医疗器械报告(MDRs)和召回的数量将左右审核员对产品选择,但是一类医疗器械不会被抽选。

若被抽中的产品包含软件,审核员将按照手册要求考虑是否检查软件确认。由于不充分的软件确认会导致众多器械质量问题,如果一个器械含有软件而审核员没有检查它,这个公司应当感到震惊。包含软件的器械也是惟一一种器械要求其制造商在提交上市前通告(即510K)时提交风险分析报告。

QSIT手册指导审核员检查接受准则在实施设计确认活动之前被明确,并且核实设计确认满足用户需求和预期用途。不应存在与设计确认的偏差。审核员必须检查所有的设计确认活动的实施都使用初始生产的器械或生产等同性器械。最后一个检查项目是设计变更控制,包括对设计变更的确认。

软件确认

确认是验证器械满足要求的过程。软件确认也不例外。就软件确认来说,“器械”指的是在其预期使用环境下(即操作系统和硬件)的最终完成的软件程序,而“要求”则在“软件设计需求”的文档中。

为简化软件确认过程,确认方案开发时通常使用跟踪矩阵。跟踪矩阵左列将会列明每项需求,右列应当包括以下内容:

1.    危害识别

2.    潜在损害严重度

3.    P1 — 事件发的概率

4.    P2 — 导致损害的事件发生的概率

5.    风险控制措施

6.    设计输出或者每项需求产生所涉及的代码模块

7.    每个风险控制措施涉及验证和确认的测试

8.    剩余风险的估计

9.    单个风险和综合剩余风险的风险/受益分析

10.向用户和患者公开信息的可追溯性或剩余风险的可追溯性

考虑到每个单元的失效很容易就可能导致多个失效模式,上述用来记录设计需求及风险分析的方法通常比采用失效模式与效应分析(FMEA)来的更为有效。当器械有新的投诉、服务及其它上市后监管信息时,该方法还有一个好处在于提供对上述每一个信息的风险评估。

跟踪矩阵的使用适用于软件模块调试和单元测试的初期。通常,一个软件设计需求都会有一个和它相关联的代码段(即软件模块)。模块一开始会作为单独功能进行验证以确认满足预期功能要求。除了验证正确的功能,软件确认方案应当验证错误的输入可以被模块内嵌的风险控制程序所捕获。生成纠正错误代码,并触发适用的警报措施。

最后,每项独立需求经验证后,整体的软件程序也必须进行确认。当产生变更时,模块和整个程序都必须进行再确认。审核员会特别检查最近几个版本的变更来验证整个程序都做了再确认而不仅仅是单元测试。公司也必须符合《IEC62304医疗设备软件软件生存周期过程》(Medical devicesoftware-software life cycle processes)。这是获得CE标志的一个协调标准并得到FDA的认可。应用IEC62304的一个启示是公司必须考虑使用未知谱系软件所带来的风险。•

软件风险分析

如果软件未能满足特定目的,软件需求文档中的每一项需求通常都会存在与之相关的风险。这些风险可以基于损害的严重度和该损害的发生概率进行量化。损害的发生概率有两个组成因子,P1和P2,这在ISO14971:2007附录E中有定义。P1是事件发生的概率,对于软件来说,包含两个因子。其一,触发软件失效的处境的发生;其二,软件应当包含一个设计风险控制措施用于预防损害的发生或提供潜在损害的警告。P2是导致损害的事件发生的概率。P2包含一个因子。如果风险控制措施并非100%有效时,P2是通过评估会导致损害的可能的失效所决定的。

审核员查看风险评价时会检查每一个软件设计需求均进行了风险估计。设计需求应当关联损害,或采用跟踪矩阵来阐明当设计需求未被满足时不会产生损害。风险评估应当明确每一个识别的可能导致潜在损害的设计需求采用了怎么样的风险控制措施。根据ISO14971的要求,每一个风险均应采取风险控制措施。应当优先采取设计风险控制措施以消除损害发生概率。完全消除损害发生概率是不可能的,此时,应当采用保护措施(即警示)。

风险控制措施有效性的验证是软件确认的一个组成部分。此外,按照欧盟ISO14971:2012附录ZA偏差4#的要求,需要对每一个潜在损害的剩余风险进行风险/受益分析。公司也要对综合剩余风险进行风险/受益分析。在进行风险/受益分析时,不应考虑单个风险的可接受性,此种要求比ISO14971:2007更为严格。

风险分析

除了软件风险分析,风险分析很少会被详细地检查。然而,当不合格产品返工时,返工造成的不利影响将会被检查。QSIT的审核员期望该公司以文件形式记录下这个风险评估。审核员也期望根据抱怨,服务报告和不合格趋势分析进行风险回顾的更新。最后,当公司在评估是否需要上报召回时,FDA期望看到一个健康危害评估表。QSIT的审核通常不会对风险分析进行详尽检查,而CE审核时会重点强调风险分析。

预定的接受准则

审核员检查设计确认方案时会特别关注测试项目的接受准则。两个方面会重点关注,其一,是否无偏差地满足接受准则?其二,方案是否在得出结论前被批准?(即,这是预期使用的设计确定的方案吗?)。在某些情况下,审核员会关注与产品相关的已知风险。比如,灭菌过程确认,审核员会检查灭菌确认是否按照最新的标准执行,关注到了灭菌确认中最常见的困难。比如:是否识别了最具挑战性的器械?最大灭菌剂量下的性能是否被确认?

用户需求和预期用途被满足

器械上市的初期阶段伴随有几个与预期用途有关的问题。这些问题通常是由于制造商扩大了原有器械的预期用途以及扩大了预期使用的人群。此时需要对新的用户需求及风险进行评估。因此,FDA会定期检查公司在市场上做出的声明,以确保这些声明没有超出明确的器械预期用途。此种情形通常会被开具483的审核发现项,若公司屡次提供不明确的器械声明,FDA会据此开具警告信(Warning Letter)。

初始生产器械或者生产等同性器械

当审核员检查确认方案和报告时,文件必须包括器械生产批的追溯信息。审核人员可能要求一份执行确认的生产批的批记录(DHR)的复印件。如果一个生产批没有被使用,设计确认的文件必须说明确认产品如何不同于生产批和为什么接受这个结果。很多公司可以很容易对最初使用的生产批给出证明,如根据最终测试要求对这些产品进行检验。如果最终测试要求还没有被建立,样品应当被保留,它们可以在之后进行检验。如果缺少追溯,公司可能不得不重复对一个生产批进行设计确认。

设计更改确认

提供没有进行再确认的理由通常会花费很多的时间。作者推荐当设计变更不满足以下三个条件时,制造商需要进行再确认。

可以提供参考文献来说明一个科学合理的理由

逻辑关系不需要靠特定领域的专家来理解

风险影响可以进行定量分析

许多设计确认会要求医生来进行模拟使用。公司应当在器械上市前尽可能多地获得用户反馈信息。因此,任何要求模拟使用和用户反馈的再确认项目需要优先考虑执行,而不是为了解释不进行再确认寻找理由。

生产和过程控制的QSIT审核关注点

一名经过培训的FDA审核员可以完成对辖区内许多制造商从简单到复杂的审核(医疗器械、药品、食品、激光、射线、紫外线及其他射频发射装置,比如电视和微波)尽管审核员根据已发布的法规接受过专业培训来对医疗器械生产商进行审核,过程确认审核按照FDA的《行业指南—过程确认原则和规范》(1987版和2011版草案)(Guidance for industry-processvalidation principles and practices)。

药品和器械的审核员接受相同的培训课程。1987版由器械和辐射健康中心(CDRH)起草并颁布,而在2011版中却少了CDRH的相关引用。FDA审核员会采用这些文件来检查公司确认的原则和已建立的程序。大部分FDA审核员也熟悉全球医疗器械协调组织①(GHTF)颁布的指南文件,另一个有价值的资源是参考GHTF的过程确认指南(GHTF/SG3/N99-10:2005(Edition 2) Process validation Guidance for medical devicemanufacturers), 2014年1月人用药品注册技术要求国际协调会(ICH)采纳了该文件。

美国联邦法规21章820.75过程确认(21CFR.820.75)要求所有的医疗器械制造商对不能由后续的监视或测量进行验证的过程进行确认,但其并没有提供确认方法的专门指南。类似地,在《医疗器械制造商审核的审核策略》(Compliance Program, CP7382.845, Inspections of Medical DeviceManufactures in Inspection strategy, Part III)中陈述道:“当选择一个特定的生产过程来代表所属器械类别的时候, 审核员应当优先考虑:过程问题的CAPA指标;生产高风险产品的过程;造成产品失效的高风险过程;需确认的过程;对制造商而言是全新的过程;覆盖大量的过程技术和器械类别的过程;多种产品共用的工艺和没有被审核过的过程。”

因此,一个公司应当准备一个自前次审核以来的所有确认活动的回顾,特别是如果它有一个新的被批准的或者许可的器械或对现有型号或对器械家族做了重大设计变更。

FDA483意见表中一个最通常的发现是公司没有根据方案进行需确认过程的确认或软件确认。确认方案有必要经过准备、并由负责这些活动的管理者批准及根据其要求执行。对于所有与方案不同的偏差,应当逐条识别和记录偏差的理由和超出接受标准但仍被接受的偏差。应对审核的一个主要原则是确保公司对任何过程的相关细节,特别是那些过程中产生的不符合执行了合适的文件。一个常见的说法是,没有记录意味着没有执行。在一个未通过的审核中不只一个发现会是这种类型。

规范的开发者和/或在录制造商对过程确认有直接的责任,确保它的产品经过确认。由于外协制造商在过程确认时没有在规范的开发者和/或在录制造商监督下完成,FDA 483s声明这家公司没有充分地确认一个计划的过程。一些制造商没有专业的知识来实施这些确认活动。然而,在录制造商必须对需要确认的活动有深入了解并记录这些被批准的确认活动。推荐按照那些被监管机构或公告机构认可的标准来准备确认。FDA发布了一个广泛认可的执行标准清单http://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfStandards/search.cfm.

审核员常常会将这个标准清单和确认方案中所列标准进行比较,以确定这个标准是否可接受。

风险管理

FDA将ISO14971作为协调标准后风险管理在确认中扮演非常重要的角色。参考上文提及的GHTF文件,FMEA和失效树分析(FTA)应当表明风险最严重的阶段和过程。确认文档中若未包含一个“高度保证”,FDA或公告机构的审核员将会要求额外的详细检查,这可能导致得出一个确认活动不充分的结论。

设备确认

正如上文提到的那样,FDA 21CFR 820.75,要求所有不能由后续的监视或测量进行验证的过程进行确认,以确保设备及过程可以始终如一地生产满足规范的器械或组件,这些规范包含在器械主记录中。因此,要求回顾所有当前批准的图纸,物料清单(BOMs)以及软件需求以确保确认满足所有的需求。当过程中使用的清洗溶剂和化学物质用于确保器械或组件的清洁时,设备确认必须包括清洗确认。对于植入器械而言,这是一个基本要求。使用溶剂前需确保其满足生物相容性测试的要求。

安装确认

所有设备确认都始于安装确认(IQ),安装确认保证加工组件或器械的设备被正确安装,并符合工厂电气和环境控制的要求。当设备已使用很多年,在准备新工艺的过程确认时,安装确认(IQ)应当包括设备变更或维修。

运行确认

设备确认的下一步是运行确认,审核员肯定会检查和评估这个过程。当一个过程包括时间、温度、压力及其它因素时,最终确定的过程在运行确认时必须包括挑战性测试,对低风险和高风险的失效模式应设置充足的样本量用于确定参数。按照设备制造商建议设定的参数,将过程运行一次对于FDA来说是不充分的,这会导致审核员要求额外的检查。

性能确认

性能确认(PQ)通常要求运行三个批次。性能确认应采用运行确认(OQ)所确定的参数,这些参数经过100%验证或用统计方法记录与DMR和未满足规范之间产生的偏差。性能确认(PQ)必须建立高度保证,该过程可以始终如一地生产出满足要求的产品。

过程一旦交付生产,需要在公司指定的时间间隔内持续进行生产监控,通过持续的监控活动来确保器械的生产在公差范围内并可以销售。监管机构和公告机构会要求检查监测结果的趋势分析。FDA和GHTF指南均提到公司应当对其计划中的过程有高度的了解和保证。

软件确认

FDA颁布了《软件确认的一般原则》(Software Principles of software validation),其推荐采用的软件开发生命周期(SDLC)将风险管理策略与软件确认原则结合在一起。FDA软件确认原则可以应用于医疗器械生产软件或在医疗器械成品或组件设计开发过程中使用的软件。二类和三类器械,以及一些有设计控制要求的一类器械,必须包括软件确认。

软件确认要建立一个程序,用于评估和测试以提供无缺陷或故障软件的高度保证并确保过程得到适当执行。设备制造商已经将现成商用程序使用并安装在设备制造过程中。此类软件必须经过充分确认以确定其无错误工作的能力。许多FDA483的发现包括制造商不能正确地对自动化过程中使用的软件进行确认。在录制造商往往只做一次确认就确定输出,而没有采用挑战性测试以确定错误的输入不会导致软件功能起作用。软件确认需要对所有参数进行挑战性测试以确保器械合适的功能输出。医疗器械制造商编写特定程序用于器械运行,应确保软件使用过程中反复运行不发生错误,任何缺陷应被探测,纠错程序应写入软件以防止软件故障时医疗器械功能的运行。

然而,生命维持及关键手术器械在手术和运行过程中不能停止工作,这揭示了另外一个风险,要求软件功能无错误并且在运行过程中不能受到影响…………