做AI辅助诊断软件的李总最近很焦虑。他的产品同时瞄准美国和欧盟市场,却发现两边的合规要求像两条平行线:FDA要他提交PCCP(Predetermined Change Control Plan,预定变更控制计划)和SBOM(软件物料清单);欧盟则要求他证明算法符合AI Act高风险AI标准,并准备偏见评估报告。
"能不能做一套文档,两边通用?"李总问。答案是:底层数据可以复用,但文档结构和合规逻辑完全不同。SaMD出海,正在进入"双轨并行"的高成本时代。
2026年,**主要市场对SaMD的监管呈现"各唱各调"的特征:
美国FDA:走软件预认证(Pre-Cert)路径,强调"持续性能监测"和"透明性",PCCP允许企业在预设参数内快速迭代算法,但SBOM要求披露所有开源组件和第三方库。
欧盟:SaMD先按MDR分类(通常IIa及以上),再叠加AI Act Annex I要求。AI Act的协调标准尚未发布,企业只能按"最佳实践"自我评估。
英国MHRA:2026年正在推进"国际信赖路径",可能接受FDA或TGA的审评结论,但软件类产品的"国际互认"细则仍不清晰。
沙特SFDA:要求软件作为医疗器械单独注册,且必须有本地服务器或数据合规方案。
企业如果按"一个CE证走天下"的思路做SaMD,会在任何一个非欧盟市场碰壁。
FDA轨道:PCCP+SBOM是核心增量2026年,FDA对SaMD的审评重点从"算法准确性"转向"算法可解释性+供应链安全"。
PCCP:企业需要预先定义算法更新的边界条件(如训练数据分布变化范围、模型架构调整幅度、性能指标漂移阈值)。在边界内的更新,*重新提交510(k);**出边界,则触发新的审评。这要求企业在设计阶段就建立算法版本控制矩阵。
SBOM:软件物料清单必须覆盖所有开源组件、商用库、API接口,并标注已知漏洞(CVE)。FDA正在与网络安全与基础设施安全局(CISA)联动,SBOM中的高危漏洞可能成为上市前否决理由。
欧盟轨道:MDR+AI Act双文档
MDR层面:技术文档需符合Annex II/III,重点关注临床评估(Clinical Evaluation)和上市后监测(PMS)。SaMD的临床评估通常基于文献和等效性论证,但AI Act要求额外的算法性能验证。
AI Act层面:高风险AI系统需准备:数据治理文档、偏见评估报告、人工监督机制设计、透明度声明、网络安全措施。这些要求与MDR技术文档可以整合,但大多数公告机构尚未建立整合审评的能力,企业可能需要分别准备、合并提交。
【多国对比与成本周期】
| 市场 | 核心路径 | 技术文档新增项 | 预估周期 | 预估费用 |
|---|
| 美国FDA | 510(k)/De Novo | PCCP、SBOM、网络安全文档 | 6-12个月 | 中 |
| 欧盟CE | MDR Annex I + AI Act | 数据治理、偏见评估、AI Annex IV | 12-18个月 | 高 |
| 英国MHRA | UKCA/国际信赖 | 依赖FDA/CE基础文档 | 3-6个月 | 低 |
| 沙特SFDA | MDMA | 软件验证、本地数据合规 | 4-8个月 | 中 |
| 澳洲TGA | Class II/III注册 | 软件生命周期文档 | 6-10个月 | 中 |
【整合策略建议】
建立"**SaMD技术文档母版":以ISO 13485和IEC 62304为基础,将FDA、MDR、AI Act的交叉要求(如风险管理、软件生命周期)统一到一个母版中,再针对不同市场生成"子集"。
提前布局AI治理:无论是否去欧盟,建立数据治理、偏见评估、算法监控的流程,都是未来**监管的通用语言。
分阶段出海:建议先走FDA(路径相对清晰),再用FDA结论支持MHRA国际信赖路径,最后攻欧盟(周期最长但**最高)。
SaMD出海没有"**钥匙",但有"最优路径"。SPICA上海角宿企业管理咨询有限公司专注于医疗器械软件**合规,为客户提供FDA PCCP/SBOM编制、MDR+AI Act双轨技术文档整合、多国注册策略规划专业服务。从算法版本控制到开源组件审计,从临床评估到上市后监测,我们为每一行代码的合规出海保驾护航。
http://bys0613.b2b168.com
