2026年2月新规生效:验证不是少了,是更"毒"了——不懂风险分级,检查现场直接崩盘
FDA终于对软件验证"动手"了。2月3日发布的《计算机软件保证》最终版,表面上在说"减负",实际上在逼企业从"堆文档"转向"拼脑子"。外贸械企们注意:这套新规和QMSR(21 CFR 820)深度绑定,不懂游戏规则,迎检时就是送命题。
核心变化:验证从"一刀切"变"看菜下饭"
旧时代:不管软件干嘛用的,验证文档堆成山就对了。
新时代:按风险分级,该重的重,该轻的轻,但轻不代表没有。
FDA把软件分成三类命运:
表格
| 类型 | 场景 | 验证要求 |
|---|
| 直接使用 | 自动化生产、质量控制、数据收集 | 必须验证,高风险功能脚本化测试 |
| 支持使用 | 开发工具、一般记录保存 | 可减量,探索性测试够用 |
| 非适用 | 邮件、会计、网络基础设施 | 不用验证,别浪费钱 |
关键陷阱:看的是功能级别,不是软件整体。同一个ERP系统,生产控制模块可能是高风险(详细测试脚本),人事管理模块可能是非高风险(无脚本测试)。一刀切=烧钱,分不清楚=违规。
"高过程风险"判定:一句话定生死
FDA定义很直白:软件故障→质量问题→损害患者/用户安全=高过程风险。
必须重锤验证:
维持关键工艺参数
自动判定产品合格性
生成使用说明书
跟踪安全相关数据
可以轻量验证:
纯记录监控(无直接过程影响)
CAPA流程自动化
投诉跟踪、变更控制
省钱秘籍:利用现有控制减负——供应商评估、下线检验、系统日志、供应商文档,都能抵扣验证工作量。但前提是你得证明它们有效。
电子记录≠免死良好
Part 11的执法裁量权不适用于ISO 13485要求的软件验证。换句话说:就算你用电子记录,软件验证依然要做,且必须按风险框架来。
FDA鼓励数字记录替代纸质,但审计追踪、系统日志、版本控制必须到位。没有这些,探索性测试做得再漂亮也是空中楼阁。
实战案例:FDA手把手教你怎么省(也教你怎么栽)
不合格管理系统:产品控制功能(触发已放行产品移除)=高风险,脚本化测试;电子签名=非高风险,探索性测试即可。分不清楚?整体验证,成本翻倍。
学习管理系统:访问控制、权限管理=非高风险,试试"错误猜测法"(尝试规避流程、破坏权限),比写100页测试用例管用。但得留下测试记录,口说无凭。
商业智能工具:连接功能(识别安全趋势)=高风险;报表功能(仅监控不决策)=信赖供应商,*重复测试。判断失误?检查员现场让你补验证,停产整改。
SaaS PLM系统:自动更新怎么办?评估变更影响,按风险补测,留记录——不用每次更新都全量验证。但变更评估本身就得有SOP、有记录、有人签字。
最狠的一刀:记录要求没减
你以为验证减负=文档减负?FDA明确记录必须包含:
软件功能的预期用途
基于风险的分析结果
保证活动描述
测试结果(包括发现的问题)
结论声明(可接受性+问题解决或风险理由)
测试人员及日期
适当时的审查与批准签名
无脚本测试≠无记录测试。探索性测试、错误猜测、场景测试,样样得留痕。
写在最后
FDA这次改革的核心就一个字:准。高风险功能别侥幸,低风险功能别过度,但判断准不准,全凭你的风险管理能力。
2026年,生产软件的合规不再是"有没有",而是"对不对"。懂风险框架的企业省钱又合规,不懂的企业要么烧钱堆文档,要么现场崩盘被开483。
SPICA角宿团队深耕FDA QMSR与软件验证领域,提供基于风险的CSA框架落地服务:软件分类评估、风险等级判定、验证策略优化、供应商审计、数字化记录体系建设。别让验证成本吃掉利润,更别让错误判断导致合规灾难。现在咨询,获取定制化CSA实施方案!
http://bys0613.b2b168.com
