多個嵌入式軟件竟被發補了這個問題

最近我們接觸到多個三類有源醫療器械企業的咨詢，這些器械同時具有上位機軟件（獨立軟件作為軟件組件）和下位機軟件（控制功能的嵌入式軟件），被國家局醫療器械審評中心發補了相同的問題。實際上這些問題都是一些最基礎的問題，只是企業沒有對嵌入式軟件投入足夠的重視。

發補問題如下：

（一）軟件管理文檔：請嚴格按照《醫療器械軟件注冊審查指導原則（2022 年修訂版）》 八（一）的要求重新提交各項內容，提交的文檔應包含有效信息 。

（二）網絡安全：請按照《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》六（一）的要求重新提交各項內容，提交的文檔應包含有效信息。

針對國家局發補的問題：

企業要明確上位機軟件（獨立軟件作為軟件組件）和下位機軟件（控制功能的嵌入式軟件）是按照兩個軟件進行設計開發控制的，還是說按照一個軟件的兩個模塊進行設計開發控制的。管理方式決定了如何準備軟件描述文檔和網絡安全描述文檔。

作為有源醫療器械軟件組件的軟件，應該像獨立軟件一樣，在體系中形成軟件的設計開發文件。在準備注冊資料時，嚴格按照《醫療器械軟件注冊審查指導原則（2022 年修訂版）》去判斷軟件的安全級別，并準備相應級別的軟件描述文檔，提交必要的軟件設計開發原始文件。注意，嵌入式軟件也需要提交按照GB/T 25000.1進行檢測的檢驗報告，這個很容易被忽略。

軟件是否需要識別網絡安全能力，這個要根據《醫療器械網絡安全注冊審查指導原則（2022年修訂版）》去判斷，網絡安全能力適用于具備電子數據交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫療器械（包括體外診斷醫療器械），而不是根據產品是否聯網進行判定。根據這個原則，判斷需要識別網絡安全能力的軟件，需要嚴格按照網絡注冊指導原則去準備網絡安全描述文檔，并提交網絡安全相關的設計開發原始文件。注意，需要進行漏洞評估，中等和嚴重級別需要提交網絡安全漏洞評估報告。