名称: fda-consultant-specialist
描述: 面向医疗器械公司的FDA法规顾问。提供510(k)/PMA/De Novo路径指导、质量体系法规(21 CFR 820)合规、HIPAA评估以及设备网络安全服务。当用户提及FDA提交、510(k)、PMA、De Novo、QSR、上市前、等同器械、实质性等同、HIPAA医疗器械或FDA网络安全时使用。
为医疗器械制造商提供FDA法规咨询服务,涵盖上市路径选择、质量体系法规(QSR)合规、HIPAA合规以及设备网络安全要求。
根据器械分类和等同器械的可获得性,确定合适的FDA法规路径。
是否存在等同器械?
├── 是 → 是否具有实质性等同?
│ ├── 是 → 510(k) 路径
│ │ ├── 无设计变更 → 简化510(k)
│ │ ├── 仅制造变更 → 特殊510(k)
│ │ └── 设计/性能变更 → 传统510(k)
│ └── 否 → PMA 或 De Novo
└── 否 → 是否为新型器械?
├── 低至中度风险 → De Novo
└── 高风险(III类) → PMA
| 路径 | 适用场景 | 时间线 | 费用 |
|---|---|---|---|
| 510(k) 传统型 | 存在等同器械,有设计变更 | 90天 | $21,760 |
| 510(k) 特殊型 | 仅制造变更 | 30天 | $21,760 |
| 510(k) 简化型 | 符合指南/标准 | 30天 | $21,760 |
| De Novo | 新型,低至中度风险 | 150天 | $134,676 |
| PMA | III类器械,无等同器械 | 180天以上 | $425,000以上 |
参考: 关于路径决策矩阵和提交要求,请参阅 fda_submission_guide.md。
阶段 1: 规划
├── 步骤 1: 识别等同器械
├── 步骤 2: 对比预期用途和技术
├── 步骤 3: 确定测试要求
└── 检查点: 实质性等同论证是否可行?
阶段 2: 准备
├── 步骤 4: 完成性能测试
├── 步骤 5: 准备器械描述
├── 步骤 6: 记录实质性等同对比
├── 步骤 7: 最终确定标签
└── 检查点: 所有必需章节是否完成?
阶段 3: 提交
├── 步骤 8: 汇编提交包
├── 步骤 9: 通过eSTAR提交
├── 步骤 10: 跟踪确认函
└── 检查点: 提交是否被受理?
阶段 4: 审评
├── 步骤 11: 监控审评状态
├── 步骤 12: 回应AI(附加信息)请求
├── 步骤 13: 接收决定
└── 验证: 是否收到实质性等同信函?
| 章节 | 内容 |
|---|---|
| 封面信 | 提交类型、器械标识、联系信息 |
| 表格 3514 | CDRH上市前审评封面页 |
| 器械描述 | 物理描述、工作原理 |
| 预期用途 | 表格 3881、患者人群、使用环境 |
| 实质性等同对比 | 与等同器械的并列对比 |
| 性能测试 | 台架测试、生物相容性、电气安全 |
| 软件文档 | 关注等级、危害分析 (IEC 62304) |
| 标签 | 使用说明书、包装标签、警告 |
| 510(k) 摘要 | 提交的公开摘要 |
| 问题 | 预防措施 |
|---|---|
| 缺少用户费 | 提交前核实付款 |
| 表格 3514 不完整 | 检查所有字段,确保签名 |
| 未识别等同器械 | 确认FDA数据库中的K号 |
| 实质性等同对比不充分 | 涵盖所有技术特性 |
医疗器械制造商的质量体系法规 (21 CFR Part 820) 要求。
| 章节 | 标题 | 重点 |
|---|---|---|
| 820.20 | 管理职责 | 质量方针、组织结构、管理评审 |
| 820.30 | 设计控制 | 输入、输出、评审、验证、确认 |
| 820.40 | 文件控制 | 批准、分发、变更控制 |
| 820.50 | 采购控制 | 供应商资质、采购数据 |
| 820.70 | 生产控制 | 过程验证、环境控制 |
| 820.100 | 纠正和预防措施 | 根本原因分析、纠正措施 |
| 820.181 | 器械主记录 | 规格、程序、验收标准 |
步骤 1: 设计输入
└── 捕获用户需求、预期用途、法规要求
验证: 输入是否经过评审和批准?
步骤 2: 设计输出
└── 创建规格、图纸、软件架构
验证: 输出是否可追溯到输入?
步骤 3: 设计评审
└── 在每个阶段里程碑进行评审
验证: 评审记录是否有签名?
步骤 4: 设计验证
└── 根据规格执行测试
验证: 所有测试是否通过验收标准?
步骤 5: 设计确认
└── 确认器械在实际使用条件下满足用户需求
验证: 确认报告是否批准?
步骤 6: 设计转移
└── 完成DMR后发布至生产
验证: 转移清单是否完成?
参考: 关于详细的QSR实施指南,请参阅 qsr_compliance_requirements.md。
针对创建、存储、传输或访问受保护健康信息(PHI)的器械的HIPAA要求。
| 器械类型 | 是否适用HIPAA |
|---|---|
| 独立诊断设备(无数据传输) | 否 |
| 传输患者数据的联网设备 | 是 |
| 集成电子健康记录的设备 | 是 |
| 存储患者信息的医疗器械软件 | 是 |
| 健康应用(无诊断功能) | 仅当存储PHI时适用 |
管理性保障 (§164.308)
├── 指定安全官
├── 风险分析和风险管理
├── 员工培训
├── 事件响应程序
└── 业务伙伴协议
物理性保障 (§164.310)
├── 设施访问控制
├── 工作站安全
└── 设备处置程序
技术性保障 (§164.312)
├── 访问控制(唯一ID、自动注销)
├── 审计控制(日志记录)
├── 完整性控制(校验和、哈希)
├── 身份验证(推荐多因素认证)
└── 传输安全(TLS 1.2+)
参考: 关于实施清单和BAA模板,请参阅 hipaa_compliance_framework.md。
联网医疗器械的FDA网络安全要求。
| 要素 | 描述 |
|---|---|
| 威胁模型 | STRIDE分析、攻击树、信任边界 |
| 安全控制 | 身份验证、加密、访问控制 |
| SBOM | 软件物料清单 (CycloneDX 或 SPDX) |
| 安全测试 | 渗透测试、漏洞扫描 |
| 漏洞计划 | 披露流程、补丁管理 |
第1级(较高风险):
- 连接到网络/互联网
- 网络安全事件可能导致患者伤害
第2级(标准风险):
- 所有其他联网设备
研究人员报告
↓
确认 (48小时内)
↓
初步评估 (5天内)
↓
修复开发
↓
协调公开披露
参考: 关于SBOM格式示例和威胁建模模板,请参阅 device_cybersecurity_guidance.md。
| 脚本 | 用途 |
|---|---|
fda_submission_tracker.py |
跟踪510(k)/PMA/De Novo提交里程碑和时间线 |
qsr_compliance_checker.py |
根据项目文档评估21 CFR 820合规性 |
hipaa_risk_assessment.py |
评估医疗器械软件中的HIPAA安全保障措施 |
| 文件 | 内容 |
|---|---|
fda_submission_guide.md |
510(k)、De Novo、PMA提交要求和清单 |
qsr_compliance_requirements.md |
21 CFR 820实施指南及模板 |
hipaa_compliance_framework.md |
HIPAA安全规则保障措施和BAA要求 |
device_cybersecurity_guidance.md |
FDA网络安全要求、SBOM、威胁建模 |
fda_capa_requirements.md |
CAPA流程、根本原因分析、有效性验证 |
# 跟踪FDA提交状态
python scripts/fda_submission_tracker.py /path/to/project --type 510k
# 评估QSR合规性
python scripts/qsr_compliance_checker.py /path/to/project --section 820.30
# 运行HIPAA风险评估
python scripts/hipaa_risk_assessment.py /path/to/project --category technical