远程监测设备FDA认证新政策,远程审核的风险分析与应对之策

远程监测设备FDA认证新政策

远程监测设备FDA认证新政策

美国负责医疗器械监管的机构食品药品监督管理局（FDA认证）发布了专门针对非侵入性远程监测设备的实施政策的指南，该设备用于在冠状病毒病2019（COVID-19）期间支持患者监测。

内容：

1.远程监控设备的范围和背景概述

2.远程监控设备的监管方法

3.容许对远程监控设备进行详细的修改

在美国宣布由于由SARS-CoV-2病毒或“新型冠状病毒”引起的冠状病毒病（COVID-19）爆发而引发的公共卫生紧急事件中，FDA认证专注于采取旨在提供医疗器械的有效步骤业界代表和参与应对大流行的其他各方提供了所有必要的信息和法规支持。

还必须提到的是，由于公共卫生紧急情况，应立即执行该文件。同时，行业代表仍能够发表评论。

该机构强调能够使用远程患者监视设备收集的数据的重要性，这提供了收集所有必要数据的可能性，而无需安排患者在医疗机构中的实际存在，从而大大减少了前往医疗机构的患者数量。因此，这些设备对于减少因访问医疗机构而引起的风险以及由于感染爆发而使这些机构所面临的负担均是有用的。

该指南的范围涵盖了用于测量常见生理参数以及用于维持患者监护的设备。特别是，此类设备的列表包含：

1.心脏监护仪

2.心电图仪（ECG）

3.用于非处方用途的心电图仪软件，

4.电子听诊器

5.临床电子体温计

6.脉搏血氧饱和度（SpO2），

7.呼吸频率/呼吸频率

8.无创血压。

前述设备的设计容许它们使用无线连接（例如，蓝牙，Wi-Fi或蜂窝连接）连接到网络。这样的连接能够用于将从患者收集的数据传输到医疗机构。

取决于特定的设备，能够处理设备本身收集的初始数据，以便将该数据转换为医疗专业人员能够直接用于诊断目的的信息。

远程监控设备FDA认证的监管方法：

该机构指出，使用远程监视设备可使医疗保健机构建立有效的监视系统，以保持连续的监视而无需直接与患者接触，由于这种接触使医护人员和其他患者面临感染引起的其他风险。由于对此类设备的需求不断增加，为了向医疗设备制造商提供所需的支持，FDA认证声明实际上容许对已由该机构批准的设备的适应症，要求，功能，硬件或软件进行有限的修改。在公共卫生紧急情况的整个阶段内，仍将保持这种特定制度。

根据此排除条件， 特别是，此排除能够在以下情况下应用：

1..包含与冠状病毒疾病有关的监测声明，

2.制造商提供的使用说明或初始要求的变更，容许设备在家中使用（仅用于最初用于医院的设备），

3.旨在改善设备监视能力的硬件或软件更改。

4.容许对远程监控设备进行详细的修改

该文档提供了所有变更的详细说明，这些变更可能要遵守新的排除规则，使医疗设备制造商无需事先向监管机构提交就能够对远程患者监护设备实施此类更改。

如前所述，FDA认证不会反对对FDA认证先前批准的远程监控设备功能的适应症，权利要求进行修改，除非此类修改会带来额外的风险。

根据指南，当满足以下条件时，能够采用此方法：

1.由制造商明确的设备的最初预期目的是显示，打印或分析设备收集的数据（由设备打算测量的1个或几个生理参数标明）。

2.由制造商明确的设备的最初预期目的是为使用它的医疗保健专业人员提供与预防，诊断或治疗冠状病毒疾病有关的其他支持或建议。

3.该设备用于生成任何诊断或治疗建议的信息可由患者本人或医疗保健专业人员访问。

4.该文件还提供了根据监管机构的位置对远程监控设备进行修改可能导致产生其他风险的情况示例。

原子能机构建议的清单尤其包含以下情况：

1.该设备的预期目的是明确是否必须立即进行临床干预，

2.该设备的预期目的是向医疗保健专业人员和患者提供在做出有关冠状病毒疾病的诊断或治疗决策时仅依靠的信息，

3.制造商打算对该设备进行的修改将容许从另1个系统获得或处理信号，而该系统以前并未在FDA认证正式批准的类似设备中使用。

4.原子能机构还明确指出，应修改设备的标签，以包含某些其他信息，而不是根据适用要求通常必须的信息。该机构建议添加此类信息，以协助医疗保健专业人员和使用该设备的患者更好地了解这些修改。

原子能机构建议在标签中包含的信息应涵盖以下方面：

1.所有新适应症，与冠状病毒疾病有关的设备功能要求以及相关条件的详细说明（有关设备性能的数据，用于明确设备提供建议的方法以及相关潜在风险的说明与设备）；

2.通知告知应将设备提供的信息和建议用作支持信息，并且与诊断和治疗有关的任何决定均不应仅基于设备提供的建议，而是针对医疗专业人员和使用设备的患者，

3.有关应使用设备的特定方式的详细信息（例如，连续监控或抽查或趋势监控）。

4.所有未经FDA认证批准的适应症和主张应与FDA认证正式批准的适应症和主张明确区分开。还建议添加一条声明，说明未经授权机构对设备所做的更改。

5.假如该设备先前已获准在医疗机构使用，则制造商在容许其在家中使用时所作的指示应附有适当的说明，详细说明了该设备在医疗机构中的使用方式。安全高效的方式。

6.总结以上提供的信息，FDA认证容许医疗设备制造商对远程监控设备进行某些修改，从患者那里收集和处理生理数据，而无需事先向FDA认证提交上市前通知。该决定旨在协助医疗设备制造商满足他们所面对的设备的高需求。

相关产品出口美国FDA认证可咨询！

远程审核的风险分析与应对之策

新冠肺炎疫情很大程度上影响了认证行业的审核工作，无法出行、不能到达顾客现场，使远程审核成为许多机构的选择。同时，识别、评估和分析认证审核的各类风险，进而提出对认证(审核)风险的防范措施和处理对策，规避审核风险，保证信息安全，已成为远程审核不可缺少的重要内容。

风险以及特点

在ISO 19011：2018《管理体系审核指南》中，风险的定义为：不明确性的影响。

认证(审核)风险：认证行业在认证(审核)活动中的风险，就是认证公司通过控制自身认证审核活动所产生的认证审核结果的差异性，或者说认证审核的不明确性对认证审核目标所产生的影响。

认证(审核)风险通常具有以下特点：

不明确性——认证(审核)风险的发生以及后果具有不明确性。表现在：发生的可能性、发生的时间、发生的地点、发生的频次、发生的后果等，均是不明确的。

客观性——任何行业都会存在或面临一定的风险，这是一种客观存在，认证(审核)行业也不例外，只是面临的风险程度(如高中低)不同而已。

可控性——认证(审核)风险多数是能够识别的，通常情况下大部分认证公司是能够控制的，风险控制主要是在原始审核风险的基础上，通过较为有效的认证(审核)活动使其降低到认证公司可接受的水平。

可变性——在一定条件下任何事物总是会发展转变的，风险也不例外，当引起风险的因素发生转变时，必然会导致风险的转变。认证(审核)风险随客观环境而转变，也依赖于获证组织管理系统的转变。假如认证公司对获证组织不进行有效监督，认证(审核)风险反而会增大，因此必须实施多层次动态控制。

相对性——风险总是相对于事件的主体而言的。同样的不明确事件对不同的主体有不同的影响。对于不同的认证公司，由于认证(审核)风险控制能力不同，使得同类认证(审核)风险的表现程度也有所不同，因此不同管理水平下的认证(审核)风险结果是不同的。

潜在性——认证(审核)过程中存在或多或少的不明确因素，受其影响，以及人员能力、技术条件所限、当前无法认知的知识领域，人们不能轻易领会、察觉或感知。

远程审核

何谓“远程?英语释义为：long-range、long-distanCE、remote，汉语释义为：路程远。

远程审核，就是审核人员利用计算机和网络传输技术，从受审核组织以外的地方对受审核方进行的体系审核。

当“面对面的方法不可能或不必须时，使用技术来收集信息，借助交互式的通信手段进行交谈。

远程审核活动在受审核方(企业)现场以外的任何地方进行，无论距离远近。

远程所需的设备、软件等，包含但不限于PC、手机、钉钉、微信、QQ、ZOOM、语音、视频、邮件等方式。

远程审核的风险分析

远程审核在节省食宿交通成本、降低开支、取消旅途劳累的利好下，也产生了一些令人无法回避、必须面对的认证(审核)风险，这就要求认证公司、审核人员无论何时何地都要保持清醒头脑、树立风险意识、规避认证(审核)风险，为顾客最大程度地降低经营风险、创造认证(审核)价值。

防范、规避认证(审核)风险是各家认证公司管理工作的重中之重，必须认真分析、冷静对待、持续关注：

认证公司管理层面——国家政策、政府监管、自身管理与执行力等，能影响到认证公司的自身发展及战略、经营目标。

审核人员工作层面——自身素质、审核能力、风险把控、身体状况等，能影响到审核人员的职业生涯及个人、家庭收入。

审核层面——审核是在规定的时间内取得足以证明受审核方(企业)管理体系符合性和有效性证据的过程，是一种对风险的把控。

笔者结合从2020年2月底开始、大半年多来的远程审核总结发现，对主要的风险分析如下：

远程审核不能访问或无法实现

企业地处僻远地区，或部分区域网络信号无法接入;

顾客重要安全、敏感区域;

顾客禁止摄像、拍照的产品生产场所;

数据传输不够安全与稳定;

大容量文件共享延时;

用户存有电子或扫描资料外泄的防范心理;

部分区域或全部过程无法使用远程审核手段加以审核;

高温、高压等特殊或异常环境等。

远程审核时间不充分

网络传输延迟，导致文件接收下载缓慢;

网速异常，导致共享操作显示画面静止或时间延长;

沟通(如文字、语音、视频)不够顺畅;

视频/拍照图像位置不当;

企业有/无意遮掩/挡;

涂划改资料扫描、再传输或共享展示等。

上述情况会导致不能及时、准确地获取体系运行资料信息，需额外增加现场审核时间。

远程审核证据获取不全面

视角/视野狭窄;

企业协助与配合不到位、临时凑拼补;

审核员不在现场，部分过程审核力/深度不足;

不能视频顾客无人值守、远距离智能化操作的工作地点，视线不够;

抽样证据的有效性不充分;

顾客数据资料传输丢包、不准确等。

远程审核业务中断

意外停电;

设备故障;

网络链路异常;

通讯软件出现BUG;

自然灾害，如台风、暴雨、雪灾、地震、火灾等。

上述情况会导致审核组不能按计划如期进行审核，需后续补充或加以调整。

其他可能存在的相关风险

实施审核的设备(如PC、平板)和/或培训不足;

审核组选择不当，导致有效实施审核的整体能力不足;

审核任务较多，找没有专业能力或能力不足的人员;

无效的外/内部沟通过程/渠道;

未考虑信息安全与保密，如顾客重要资料传输时被别人获取或截图;

专业体系条款策划不合理;

使用公共场所Wi-Fi;

受目前技术条件所限，未知的，等等。

远程审核的风险应对

目前，远程审核的风险控制主要以国家政策、行业监管、认证公司管理规范以及审核组成员自身素质、审核能力、有效运作为前提，审核组全体人员必须认真进行远程审核的风险识别与评估，严加控制，从而防范和规避远程审核风险。

在审核七项原则中，已明确了保密性(信息安全)和基于风险的方法(考虑风险和机遇的审核方法)。

审核组/人员作为直接联络顾客和认证公司的“纽带，应从规避和把控远程审核风险的实际出发，找出顾客必须整改或应当注意的问题，让顾客自身认识和评价存在的不符合或问题的危害性及进行整改的必要性。

审核组/人员应从获取顾客文档、方案策划、文件审查、审核计划、合理抽样、提高质量、界定范围、提高对法律/产品风险的认知水平、远程沟通和应对能力，以及专业素质、道德水准、健康状况、工作忠诚度等方面入手，规避远程审核风险，这是审核人员所必需的基本能力。

方案的策划

顾客环境相关的风险和机遇的存在，能够关联到审核方案，并且能够影响其目标的实现。

审核方案应考虑顾客的组织目标、相关的外部和内部问题、有关利益相关方的必须和期望、信息安全和保密要求。

审核方案的策划应特别关注适宜利用远程审核的内容，以及通过后期的现场验证或补充审核降低使用远程审核带来的风险。

远程审核策划，包含但不限于如下内容：

受审核方所在区域疫情控制风险度，如高、中、低;

公司产品特点和复杂度，体系范围，涉密内容，以及了解和熟悉程度;

软、硬件网络资源，以及顾客远程接受程度;

审核人日的明确，如远程/现场审核内容;

界定远程、现场审核内容;

基于顾客信息安全保密，考虑签订保密协议;

提前搭建、预演、测试远程审核环境;

音频、视频、访谈与交流的证据保存;

远程突发事件，以及补救措施;

其他。

在明确审核人日时，对初审企业应采取现场与远程相结合的方式。根据公司产品种类和复杂度、内外环境、体系范围、人数、运营地址、临时现场或生产场所等，明确审核人日，现场以1~2人日为宜。必要时根据受审核方关键人员的可用性调整审核日期，如审核人日间隔开、非连续。

现场审核内容应考虑体系范围涉及的产品设计、生产、制造等过程，并核实资质原件、总人数、体系人数、覆盖区域与场所、有无遗漏或瞒报等。

远程审核内容，应不存在保密、无法远程访问等特殊环境的体系过程。

监督、再认证企业如体系范围、产品种类未发生转变或转变不大、产品增加但生产工艺流程相同/相似/相近时。

文件的审查

采用ICT提前沟通、获取企业体系文件化信息与运行资料，提出文审意见;

了解企业体系概况和自愿性体系证书获取情况，如ISO 9001、ISO 20000-1、ISO 22301、ISO 27001、ISO 45001、GB/T 23001等;

根据体系范围明确相应资质许可及有效期，如安全生产许可证资质、产品生产许可证资质、CCC、QS、电信资质、建筑业企业资质、建筑智能化系统设计专项、安防工程企业设计施工维护资质、测绘资质等;

国家信用信息严重失信主体相关名录等。

计划的编制

编制计划时应基于风险的方法，应考虑：

采用的ICT方法;

远程、现场的审核人日;

适当的抽样、分层技术;

由于审核计划的无力造成的实现审核目标的风险;

由审核计划造成的受审核方的风险;

与保密和信息安全有关的事项等。

审核的实施

召开首次会议宜采用视频会议的方式进行;

审核过程中，审核组宜建立及时、顺畅的组内沟通渠道;

应加强与受审核方的沟通;

充分发挥 ICT 的优势，尽可能多地从系统中获取证据、验证信息;

召开末次会议宜采用视频会议的方式进行，审核结论、不符合项的确认宜通过电子文档的形式予以保存;

审核报告通过公司邮箱发送给受审核方;

不符合项的整改通过电子文档的形式予以沟通、确认;

整个过程保留必要的远程审核证据，包含但不限于音频、视频、语音通话、拍照、截图、访谈与交流的证据等。

审核的关注点

审核人员在远程审核过程中应重点关注以下内容：

生产/制造过程各项活动和监控结果符合规定要求;

产品过程特别是关键、特殊过程控制得到有效控制;

不合格(品)得到有效控制、纠正措施的有效性;

内外环境分析、风评、内审、管评、改进措施;

人员能力及意识;

设备管理与维护，尤其是特种设备、监视和测量设备的定期检验;

采购和供应商管理、文件及记录管理、持续改进机制等;

主要相关方、外包活动得到有效控制、过程监控到位;

组织适用法律法规，特别是与企业生产、安全、管理等密切相关法规(包含区域性法规)的收集、更新与应用、遵守情况及合规性评价，如密码法、食品安全法、环境保护法等;

应急准备及响应：预案的适宜性、应急设备、应急演练，如触电、火灾、食物中毒、起重伤害等;

外部主管部门监测结果及处罚情况等。

审核的安全性

安全手段和内容：

接入顾客远程用户的审核人员的访问必须经过认证;

登录访问时必须使用复杂密码;

必须安装防病毒软件，并且病毒库升级到最新;

访问控制列表;

主机或设备的系统加固服务;

在顾客网络与其他外部网络的接入口，根据网络具体情况，配置防火墙系统，实现网络访问控制;

审核人员的操作必须要经过顾客接入设备的审计，审计的典型技术包含Log 日志(服务器自动产生)、用户行为监控(采用上网行为监控软件或监控设备);

在访问系统期间，未经许可，不容许使用任何方法(如摄像、拍照、拷贝、截图、打印、手工记录等)带走任何数据和程序。

审核结束

当远程审核工作活动结束时，顾客应尽快撤销或锁定审核人员的ICT远程登录授权和访问权限，确保信息安全。

远程审核的发展趋势

转变和发展是永恒的，远程审核的风险总是处在持续演进中。在SDN、区块链技术、人工智能技术、大数据技术与应用、云计算技术、虚拟化技术日益发展的今日，远程审核、远程工作会逐渐成为一种常态模式，审核员需不断提高风险意识和自身审核能力，规避审核过程风险，协助企业降低经营风险，为认证行业可持续发展添砖加瓦。