FDA Consultant Specialist
FDA监管顾问为医疗器械公司提供服务。提供510(k)/PMA/De Novo路径指导,QSR(21 CFR 820)合规性,HIPAA评估和设备网络安全。当用户提及FDA提交,510(k),PMA,De Novo,QSR,预市场,前例设备,实质等价,HIPAA医疗器械或FDA网络安全时使用。
FDA Consultant Specialist
为医疗器械制造商提供FDA监管咨询服务,涵盖提交路径,质量系统法规(QSR),HIPAA合规性和设备网络安全要求。
目录
FDA路径选择
根据设备分类和前例可用性确定适当的FDA监管路径。
决策框架
前例设备存在?
├── 是 → 实质等价?
│ ├── 是 → 510(k)路径
│ │ ├── 无设计变更 → 简化510(k)
│ │ ├── 仅限制造 → 特殊510(k)
│ │ └── 设计/性能 → 传统510(k)
│ └── 否 → PMA或De Novo
└── 否 → 新设备?
├── 低至中等风险 → De Novo
└── 高风险(III类) → PMA
路径比较
| 路径 | 使用时机 | 时间线 | 成本 |
|---|---|---|---|
| 510(k)传统 | 前例存在,设计变更 | 90天 | $21,760 |
| 510(k)特殊 | 仅限制造变更 | 30天 | $21,760 |
| 510(k)简化 | 指导/标准一致性 | 30天 | $21,760 |
| De Novo | 新设备,低中等风险 | 150天 | $134,676 |
| PMA | III类,无前例 | 180+天 | $425,000+ |
提交前策略
- 确定产品代码和分类
- 在510(k)数据库中搜索前例
- 评估实质等价的可行性
- 为FDA准备Q-Sub问题
- 如有需要,安排提交前会议
参考: 见fda_submission_guide.md了解路径决策矩阵和提交要求。
510(k)提交流程
工作流程
阶段1:计划
├── 步骤1:确定前例设备
├── 步骤2:比较预期用途和技术
├── 步骤3:确定测试要求
└── 检查点:SE论证可行?
阶段2:准备
├── 步骤4:完成性能测试
├── 步骤5:准备设备描述
├── 步骤6:记录SE比较
├── 步骤7:最终确定标签
└── 检查点:所有必需部分完成?
阶段3:提交
├── 步骤8:组装提交包
├── 步骤9:通过eSTAR提交
├── 步骤10:跟踪确认
└── 检查点:提交被接受?
阶段4:审查
├── 步骤11:监控审查状态
├── 步骤12:回应AI请求
├── 步骤13:接收决定
└── 验证:收到SE信函?
必需部分(21 CFR 807.87)
| 部分 | 内容 |
|---|---|
| 封面信 | 提交类型,设备ID,联系信息 |
| 表格3514 | CDRH预市场审查封面表 |
| 设备描述 | 物理描述,工作原理 |
| 适应症 | 表格3881,患者群体,使用环境 |
| SE比较 | 与前例的逐项比较 |
| 性能测试 | 台架,生物相容性,电气安全 |
| 软件文档 | 关注级别,危害分析(IEC 62304) |
| 标签 | IFU,包装标签,警告 |
| 510(k)摘要 | 提交的公共摘要 |
常见RTA问题
| 问题 | 预防 |
|---|---|
| 缺少用户费用 | 提交前验证付款 |
| 表格3514不完整 | 审核所有字段,确保签名 |
| 未识别前例 | 确认FDA数据库中的K编号 |
| 不充分的SE比较 | 涉及所有技术特性 |
QSR合规性
医疗器械制造商的质量系统法规(21 CFR第820部分)要求。
关键子系统
| 部分 | 标题 | 重点 |
|---|---|---|
| 820.20 | 管理责任 | 质量政策,组织结构,管理审查 |
| 820.30 | 设计控制 | 输入,输出,审查,验证,确认 |
| 820.40 | 文件控制 | 批准,分发,变更控制 |
| 820.50 | 采购控制 | 供应商资格,采购数据 |
| 820.70 | 生产控制 | 过程验证,环境控制 |
| 820.100 | CAPA | 根本原因分析,纠正措施 |
| 820.181 | 设备主记录 | 规格,程序,验收标准 |
设计控制工作流程(820.30)
步骤1:设计输入
└── 捕获用户需求,预期用途,监管要求
验证:输入是否经过审查和批准?
步骤2:设计输出
└── 创建规格,图纸,软件架构
验证:输出是否可追溯到输入?
步骤3:设计审查
└── 在每个阶段里程碑进行审查
验证:审查记录是否有签名?
步骤4:设计验证
└── 根据规格进行测试
验证:所有测试是否通过验收标准?
步骤5:设计确认
└── 确认设备在实际使用条件下满足用户需求
验证:确认报告是否经过批准?
步骤6:设计转移
└── 带有完整DMR的生产发布
验证:转移检查表是否完成?
CAPA流程(820.100)
- 识别:记录不符合性或潜在问题
- 调查:执行根本原因分析(5次为什么,鱼骨图)
- 计划:定义纠正/预防措施
- 实施:执行措施,更新文件
- 验证:确认实施完成
- 有效性:监控复发(30-90天)
- 关闭:管理批准和关闭
参考: 见qsr_compliance_requirements.md了解详细的QSR实施指导。
HIPAA与医疗器械
适用于创建,存储,传输或访问受保护健康信息(PHI)的设备的HIPAA要求。
适用性
| 设备类型 | HIPAA适用 |
|---|---|
| 独立诊断(无数据传输) | 否 |
| 传输患者数据的连接设备 | 是 |
| 设备与EHR集成 | 是 |
| 存储患者信息的SaMD | 是 |
| 健康应用(无诊断) | 仅如果存储PHI |
必需的保障措施
行政(§164.308)
├── 安全官员指定
├── 风险分析和管理
├── 员工培训
├── 事件响应程序
└── 业务伙伴协议
物理(§164.310)
├── 设施访问控制
├── 工作站安全
└── 设备处置程序
技术(§164.312)
├── 访问控制(唯一ID,自动注销)
├── 审计控制(日志记录)
├── 完整性控制(校验和,哈希)
├── 认证(推荐MFA)
└── 传输安全(TLS 1.2+)
风险评估步骤
- 清点所有处理ePHI的系统
- 记录数据流(收集,存储,传输)
- 识别威胁和漏洞
- 评估可能性和影响
- 确定风险等级
- 实施控制措施
- 记录残余风险
参考: 见hipaa_compliance_framework.md了解实施检查表和BAA模板。
设备网络安全
FDA对连接医疗设备的网络安全要求。
市场前要求
| 元素 | 描述 |
|---|---|
| 威胁模型 | STRIDE分析,攻击树,信任边界 |
| 安全控制 | 认证,加密,访问控制 |
| SBOM | 软件物料清单(CycloneDX或SPDX) |
| 安全测试 | 渗透测试,漏洞扫描 |
| 漏洞计划 | 披露流程,补丁管理 |
设备等级分类
等级1(高风险):
- 连接到网络/互联网
- 网络安全事件可能导致患者伤害
等级2(标准风险):
- 所有其他连接设备
市场后义务
- 监控NVD和ICS-CERT的漏洞
- 评估适用性到设备组件
- 开发和测试补丁
- 与客户沟通
- 根据指导向FDA报告
协调漏洞披露
研究员报告
↓
确认(48小时)
↓
初步评估(5天)
↓
修复开发
↓
协调公开披露
参考: 见device_cybersecurity_guidance.md了解SBOM格式示例和威胁建模模板。
资源
scripts/
| 脚本 | 目的 |
|---|---|
fda_submission_tracker.py |
跟踪510(k)/PMA/De Novo提交里程碑和时间表 |
qsr_compliance_checker.py |
根据项目文件评估21 CFR 820合规性 |
hipaa_risk_assessment.py |
评估医疗设备软件中的HIPAA保障措施 |
references/
| 文件 | 内容 |
|---|---|
fda_submission_guide.md |
510(k),De Novo,PMA提交要求和检查表 |
qsr_compliance_requirements.md |
21 CFR 820实施指南及模板 |
hipaa_compliance_framework.md |
HIPAA安全规则保障措施和BAA要求 |
device_cybersecurity_guidance.md |
FDA网络安全要求,SBOM,威胁建模 |
fda_capa_requirements.md |
CAPA流程,根本原因分析,有效性验证 |
使用示例
# 跟踪FDA提交状态
python scripts/fda_submission_tracker.py /path/to/project --type 510k
# 评估QSR合规性
python scripts/qsr_compliance_checker.py /path/to/project --section 820.30
# 运行HIPAA风险评估
python scripts/hipaa_risk_assessment.py /path/to/project --category technical