2026年2月3日,美国食品药品监督管理局(FDA)在其官方网站上正式发布了编号为 FDA-2022-D-0795 的行业指导文件,即 《Computer Software Assurance for Production and Quality Management System Software》,旨在为医疗器械企业处理生产和质量系统中使用的软件提供统一、结构化的风险导向保证方法。
该文件是关于《生产及质量管理体系软件的计算机软件保证》的指导文件。该文件已从草案发展为最终版,其核心是推动医疗器械行业从传统、文档繁重的“计算机系统验证” (CSV) 向现代、基于风险的“计算机软件保证” (CSA) 进行范式转变。
一、指南适用范围(Scope)
本指南适用于用于医疗器械生产和质量管理体系(PQMS)的计算机软件。FDA 明确指出,本文件并不适用于作为医疗器械本身的软件(SaMD),而是用于支持生产、检验、放行、CAPA、变更控制等质量体系活动的软件。
审计关注点:企业是否已识别所有用于 PQMS 的软件系统,并明确其是否纳入 CSA 管理范围。
二、监管背景与法规依据(Regulatory Background)
FDA 强调本指南是对 21 CFR Part 820(质量体系法规)的补充说明,CSA 方法并未降低法规要求,而是改变实现合规的方式。
审计关注点:是否能够证明 CSA 方法满足既有法规要求,而非以“指南未强制”为由减少必要控制。
三、Computer Software Assurance 定义
CSA 被定义为:通过基于风险的活动,建立对软件在预期用途下始终能正常运行的信心。
审计关注点:企业是否理解“Assurance”并不等同于“减少验证”,而是风险合理化验证。
四、软件用途与风险识别(Intended Use & Risk Determination)
FDA 要求企业首先明确软件在生产或质量体系中的预期用途,并基于其对产品质量和患者安全的潜在影响进行风险判断。
审计关注点:是否存在书面的用途定义和风险评估记录,而非口头或经验判断。
五、保证活动选择(Assurance Activities)
FDA 明确指出,保证活动可以是脚本测试、探测性测试、供应商文档评估、运行数据分析等,形式不局限于传统 IQ/OQ/PQ。
审计关注点:所选活动是否与风险等级匹配,是否存在过度或不足验证。
六、记录与证据(Documentation & Records)
指南强调应保留足够的客观证据证明软件适合其预期用途,但不要求形式化或冗余文档。
审计关注点:是否能快速调取风险评估、测试结果和结论性证据以支持审计。
七、生命周期与变更管理(Lifecycle & Change Management)
FDA 指出 CSA 适用于软件整个生命周期,包括更新、配置变更和供应商升级。
审计关注点:是否对变更进行了重新风险评估,并据此调整保证活动。
八、FDA 审计预期(Inspection Expectations)
FDA 表明检查重点将放在企业是否理解其系统风险、是否采取合理控制,而非是否完成固定模板文件。
审计关注点:是否能够逻辑清晰地向检查员解释CSA 决策过程。
九、总结性合规解读
FDA-2022-D-0795 并非降低软件合规门槛,而是要求企业具备更成熟的风险管理与质量思维。
对企业而言,CSA 的核心不是“少做验证”,而是“做对验证”。
