中国做软件医疗器械(SaMD)的企业,出海规划大多盯着FDA、欧盟、NMPA这三个成熟市场。但沙特、巴西、尼日利亚、肯尼亚这几个新兴市场,软件监管在2022到2026年间密集出台——沙特有MDS-G23加2025年的数字健康产品指南MDS-G027,巴西有RDC 657/2022,尼日利亚在2024年发了独立的软件指南,肯尼亚在2026年4月发布了MDSW指南。这些原文几乎都以IMDRF的SaMD框架为蓝本,但分类口径、验证证据、网络安全、变更控制各有差异。
这篇不讲FDA/CE/NMPA成熟市场(本站另有专文),专门做新兴市场SaMD法规原文的横向对比:沙特、巴西、尼日利亚、肯尼亚,FDA与欧盟作为参照基准。重点是分类、验证证据、网络安全、更新变更控制这四条线。所有原文均在各国监管机构官网公开发布。
一、五套框架先认清
| 维度 | 沙特(SFDA) | 巴西(ANVISA) | 尼日利亚(NAFDAC) | 肯尼亚(PPB) | 参照:FDA/欧盟 |
|---|---|---|---|---|---|
| 核心原文 | MDS-G23(2018)+ MDS-G027(2025-08) | RDC 657/2022(2022-07生效) | SaMD注册指南(2024-07生效) | MDSW指南(2026-04) | 21 CFR 812/820;EU MDR Rule 11 |
| IMDRF对齐 | 显式(N10定义、N12风险) | 显式(成员) | 显式(附属,引N10、IEC 62304) | "对齐IMDRF/WHO" | IMDRF发源地 |
| 分类 | SaMD四级I-IV→映射A-D | 沿用RDC 751 Class I-IV | SaMD四级I-IV(独立于A-D) | 对齐IMDRF/WHO | FDA按风险走510(k)/De Novo/PMA;EU Rule 11 |
读这五套原文,要抓住一个核心:新兴市场的软件监管几乎都建立在IMDRF SaMD工作组框架之上,区别在于它把这个国际框架怎么本地化、强制到什么程度、给AI/ML留了多少位置。
二、IMDRF SaMD框架:所有原文的共同骨架
要读懂这四国原文,先得认IMDRF这套骨架。IMDRF SaMD工作组有两份奠基文件:N10(SaMD定义)和N12(风险分类)。N12把SaMD按"对临床决策的意义"和"病情严重程度"两个维度,划成四类(Category I低到IV极高)。Category IV意味着软件驱动的诊断/治疗决定用在危急情境。
这四国的软件原文,本质上都是在本地法里落地这套I-IV分类,再各自补充验证证据、网络安全、生命周期、变更控制的具体要求。理解了这一点,对比时就不会被各国不同的命名绕晕。
三、沙特:MDS-G23 + MDS-G027
两份原文的分工
MDS-G23(v1.0,2018年4月9日发布)是SFDA的《软件医疗器械指南》,整体采用IMDRF SaMD工作组的定义。它确立四类SaMD框架(I-IV),再把这四类映射到MDS-REQ 1的Class A-D注册路径。2025年8月,SFDA又发布了MDS-G027(v1.0)《数字健康产品指南》,覆盖SaMD、移动健康(mHealth)、数字疗法(DTx)、医疗信息技术(HIT)、远程医疗、可穿戴、VR/AR、AI/ML,把MDS-G23扩充成一个数字健康总纲。MDS-G53《基于AI/大数据医疗器械审评批准指南》则专门管AI,要求技术卷宗描述云环境、安全标准、加解密、匿名化策略。
分类与注册路径
SaMD的I-IV分类映射到MDS-REQ 1的Class A-D。Category IV(驱使危急情境下的治疗/诊断)对应最高风险档,注册路径最严。制造商的定义声明(definition statement)一旦变化,分类要重新评估。
验证与临床证据
MDS-G010《医疗器械临床评价要求》要求三层验证:临床关联(clinical association)、分析/技术验证、临床验证。风险等级越高,临床评价要求越严。
网络安全与生命周期
按MDS-G53(针对AI),技术卷宗要描述数据加解密、匿名化策略。网络安全对齐IMDRF/CYBER WG/N60(2020)。沙特是否正式采认IEC 81001-5-1这一具体标准,公开信息未明确,建议核对SFDA认可标准清单。
一个判断
沙特是把软件和数字健康管得最系统的新兴市场——2018年的MDS-G23打底,2025年的MDS-G027扩容到全数字健康,AI单独有MDS-G53。做数字疗法、远程医疗、AI影像的企业,沙特是中东首选的合规试验场。
四、巴西:RDC 657/2022
适用范围
RDC 657/2022是ANVISA第一份专门针对软件的决议,2022年7月1日生效。管的是符合医疗器械定义的独立软件,包括IVD软件、移动App和SaaS——前提是它不是某台器械硬件的一部分。巴西是IMDRF成员,明确采认N10、N12、N23、N41、CYBER WG/N60。
分类与注册路径
软件分类沿用RDC 751/2022的规则,通常落在规则11/12。Class I/II走备案(Notificação),III/IV走注册(Registro)。III/IV注册的技术卷宗要额外补充:软件架构、最低硬件要求、运行平台、兼容性与互操作性、网络安全架构与控制措施、验证与确认、风险管理、残留缺陷与缓解、临床评价、算法描述。
更新规则:这是软件企业最该记住的一条
软件迭代快,每次发版要不要重新报ANVISA?RDC 657给出明确答案:常规版本更新和轻微变更不需要通知ANVISA;只有三种情况要报——已有功能变化、新增功能、软件前端显著修改(改到认不出来)。这条解决了软件企业长期纠结的合规节奏问题。
网络安全与标签
网络安全定义为信息和系统在其全生命周期内受保护、免受未授权活动的状态,要纳入技术卷宗。标签和说明书可以放在软件前端界面里,纯线上分发的软件不强制印刷标签。
排除范围
健康类App(wellness)、纯行政/财务软件、院内自用软件(Class I/II,2024年前完成文档化)、已注册器械内嵌的软件,都不在RDC 657范围内。ANVISA的2026-2027监管议程已把"修订RDC 657以纳入AI/ML和可定制软件"列为议题,做AI医疗器械的企业要持续跟进。
五、尼日利亚:SaMD注册指南(2024)
一份全新的独立指南
《尼日利亚软件医疗器械(SaMD)注册指南》于2024年7月1日生效(文件号DR&R-GDL-036-00,复审2029年6月30日)。NAFDAC是IMDRF附属成员,指南明确要求与IMDRF相关文件"对照阅读"——引N10定义、IEC 62304软件生命周期、ISO/IEC/IEEE 14764维护。
分类:四级,独立于A-D
尼日利亚的SaMD分类用IMDRF四级框架(Category I-IV,低到极高影响),这和器械的A-D分类是两套,基于"定义声明"和对医疗决策的影响。做软件的企业要先把产品按SaMD类别定级,不能直接套器械A-D。
注册路径与时限
申报走NAPAMS门户。时限120个工作日(遇补正停钟,90个工作日内响应否则申请自动关闭)。需要的文件包括EULA、经公证的声明(需尼日利亚公证人及制造国公证)、品牌商标证据、ISO 13485。外国制造商必须指定持有授权书(在制造国公证)的尼日利亚申请人,文件仅限英文。
AI/ML缺口
需要指出一个已知缺口:学术分析(UNIZIK期刊2025)指出NAFDAC框架尚缺AI专用SaMD分类、上市前AI准确性强制验证、算法漂移的上市后监管。做AI医疗器械的企业,目前只能套用通用SaMD框架。网络安全在SaMD指南里没有单独成章,建议向NAFDAC确认是否在别处规定。
六、肯尼亚:MDSW指南(2026)
范围最广
肯尼亚PPB在2026年4月16日发布《肯尼亚医疗器械软件管制指南(MDSW)》,是四个新兴市场里范围最广的一份——同时覆盖SaMD(独立软件)和SiMD(器械内嵌软件),还纳入AI/ML考量。PPB是IMDRF附属成员,框架"对齐IMDRF与WHO"。
AI/ML条款:最明确
肯尼亚的AI/ML条款是新兴市场里最具体的:开发者须维护数据集、软件版本与临床输出之间的可追溯性(尤其在发现错误或偏差时);制造商须监控真实世界性能,并提交周期性(年度)上市后报告贯穿全生命周期。对做AI影像、AI辅助诊断的企业,这条直接落到产品设计里——可追溯性和年度性能报告是硬要求。
其他要素
框架还包括:对齐IMDRF/WHO的软件风险分类;网络安全与数据保护要求;从批准到上市后的全生命周期监管;与数字健康系统的互操作性。申报走PPB门户,费用按风险等级挂钩。
状态待确认
需要说明一个状态点:2026年4月的媒体报道把这份指南称为"草案/拟议规则",而PPB官网把它列为可下载的已发布指南,约束力是否等同于最终规则,建议在PPB官网直接确认。
七、参照:FDA与欧盟
新兴市场都把FDA和欧盟作为参照基准,简要列明:
- FDA:路径有510(k)(等同器械)、De Novo(新颖中低风险)、PMA(Class III高风险)。AI/ML的预定变更控制计划(PCCP),AI器械软件功能的最终指南2024年12月发布,更广的器械PCCP指南2025年8月发布。持已批准PCCP可做列明的AI/ML更新而无需新申报。截至2024年底,已有1,016个AI/ML器械获批,53个带PCCP。网络安全最终指南2025年6月发布(强制SBOM、SPDF、威胁建模)。QMSR(21 CFR 820并入ISO 13485)2026年2月2日生效。
- 欧盟:MDR第11条(附录八第三章)规定,软件若用于诊断/治疗决策,默认Class IIa;若影响可能致死或不可逆恶化则Class III。按MDCG 2019-11,几乎无软件能归Class I。欧盟委员会2025年12月的MDR修订提案试图恢复基于风险的软件分类。
这两套是新兴市场软件监管的"标尺"——理解了FDA的PCCP和欧盟的Rule 11,再看沙特、巴西、尼日利亚、肯尼亚的本地化,就有参照系。
八、四国SaMD原文对比表
| 维度 | 沙特 | 巴西 | 尼日利亚 | 肯尼亚 |
|---|---|---|---|---|
| 核心原文 | MDS-G23+G027+G53 | RDC 657/2022 | SaMD指南(2024-07) | MDSW(2026-04) |
| 分类 | I-IV→映射A-D | I-IV(规则11/12) | I-IV(独立于A-D) | 对齐IMDRF/WHO |
| 注册路径 | 走MDS-REQ 1的A-D | I/II备案、III/IV注册 | NAPAMS,120工作日 | PPB门户,按风险 |
| 验证证据 | 三层(MDS-G010) | III/IV要算法/验证/临床 | ISO 13485、IEC 62304 | 全生命周期 |
| 网络安全 | 加解密+匿名化(G53) | 架构+控制措施纳入卷宗 | 未单独成章(缺口) | 明确要求 |
| 更新/变更控制 | 定义声明变化重评分类 | 仅功能变化/新增/前端大改需报 | 停钟90工作日响应 | 年度性能报告 |
| AI/ML | G53专门管AI | 待2026-2027议程修订 | 缺AI专用分类 | 数据/版本/输出可追溯+年度报告 |
软件是四个新兴市场分化明显、又都在快速补课的领域。沙特最系统(G23+G027+G53),巴西的更新规则最实用(仅功能变化需报),尼日利亚的独立四级分类最清晰但有AI缺口,肯尼亚的AI/ML可追溯与年度报告最前沿。
九、IMDRF SaMD分类到各国本地映射
把IMDRF的Category I-IV对应到各国本地体系,是企业定级时最常查的对照。下表是按各国原文归纳的映射逻辑:
| IMDRF SaMD类别 | 沙特(映射MDS-REQ 1) | 巴西(RDC 751规则11/12) | 尼日利亚(独立I-IV) | 肯尼亚(MDSW风险) |
|---|---|---|---|---|
| Category I(低影响) | Class A | Class I | Category I | 低风险 |
| Category II | Class B | Class I/II | Category II | 低-中风险 |
| Category III | Class C | Class II/III | Category III | 中-高风险 |
| Category IV(极高,驱使危急决策) | Class D | Class III/IV | Category IV | 高风险 |
需要说明,这张表是按各国原文的分类逻辑归纳的对应关系,不等于各国的官方对照表。具体产品的类别要以各国监管机构的裁定为准——尤其在"软件是否构成医疗器械"(borderline)和"类别边界"上,各国口径会不同。FDA按风险走510(k)/De Novo/PMA、欧盟按MDR Rule 11,是另外两套不在此表内的体系。
十、中国企业按原文自查清单
- IMDRF分类先行:用N12框架把产品定到I-IV,再对应各国本地映射(沙特→A-D、巴西→规则11/12、尼日利亚→I-IV、肯尼亚→风险)。
- 选先发市场:要最快出证,看尼日利亚(120工作日)和沙特(走MDS-REQ 1);要AI/ML专门通道,看沙特G53和肯尼亚MDSW。
- 三层验证准备:沙特MDS-G010要临床关联+分析验证+临床验证,按这个口径准备证据,多国可复用。
- 网络安全档案:巴西要架构+控制措施,沙特要加解密+匿名化,肯尼亚明确要求,提前准备SBOM和威胁建模。
- 变更控制SOP:巴西的"仅功能变化需报"是利好,但要把"版本更新"与"功能变化"的边界写清,避免误判漏报或过度申报。
- AI/ML专项:做AI器械的,重点核对沙特G53、肯尼亚MDSW的可追溯与年度报告,尼日利亚只能套通用框架。
- 本地代表与公证:尼日利亚要授权书+双重公证(制造国和尼日利亚),沙特要AR许可,提前办。
- 参照FDA/CE布局:若有FDA的PCCP或CE的Rule 11分类,可作为新兴市场申报的强支撑证据。
十一、常见问题
问:新兴市场的SaMD分类和器械A-D一样吗? 答:不一样。沙特把SaMD的I-IV映射到A-D,尼日利亚的SaMD四级独立于器械A-D,巴西和肯尼亚对齐IMDRF。要按各国原文先定软件类别。
问:巴西软件每次版本更新都要报ANVISA吗? 答:不用。RDC 657/2022明确,常规版本更新和轻微变更无需通知;只有功能变化、新增功能、前端显著修改这三类才需报。
问:尼日利亚SaMD注册多久? 答:120个工作日(遇补正停钟,90个工作日内响应否则自动关闭),走NAPAMS门户,需ISO 13485、EULA、双重公证声明。
问:肯尼亚MDSW 2026管AI吗? 答:管。MDSW同时覆盖SaMD、SiMD和AI/ML,要求开发者维护数据集/版本/临床输出的可追溯性,并提交年度上市后性能报告。
问:沙特管AI医疗器械的是哪份原文? 答:MDS-G53《基于AI/大数据医疗器械审评批准指南》,要求技术卷宗描述云环境、安全标准、加解密、匿名化策略。
问:哪国新兴市场SaMD指南最系统? 答:沙特,从MDS-G23(2018)打底,到MDS-G027(2025)扩容到全数字健康,再到MDS-G53专管AI,体系最完整。
问:IMDRF SaMD框架有几级? 答:四级(Category I-IV),按"对临床决策的意义"和"病情严重程度"两个维度划分,IV为极高影响。
参考资源
- SFDA MDS-G23 — 软件医疗器械指南 — 沙特SaMD指南原文,采用IMDRF N10定义。
- SFDA MDS-G027 — 数字健康产品指南 — 2025年8月发布的数字健康总纲,覆盖SaMD/mHealth/DTx/AI。
- ANVISA RDC 657/2022(英文PDF) — 巴西软件医疗器械决议,含分类、网络安全与更新规则。
- NAFDAC 软件医疗器械(SaMD)注册指南 — 2024年7月生效的尼日利亚独立软件指南。
- 肯尼亚PPB 医疗器械软件(MDSW)指南 — 2026年4月发布的SaMD/SiMD/AI-ML软件指南。
- IMDRF SaMD WG/N10 — SaMD定义 — 新兴市场共同采用的SaMD定义框架。
- FDA — Significant Risk and Nonsignificant Risk Studies — FDA器械软件研究风险分档信息表。
- Regulation (EU) 2017/745(EUR-Lex) — 欧盟MDR,第11条软件分类规则。
- ANVISA医疗器械主题页 — 巴西软件及其他器械原文入口。
相关文章
FDA AI 医疗器械清单实战:如何用 1451+ 已授权产品做等同对比与 LLM 披露策略
详解FDA AI-Enabled Medical Device List的使用方法,涵盖等同器械检索、LLM/基础模型披露策略、训练数据集披露要求、PCCP边界管理,附中国企业实操建议。
可穿戴医疗器械出海全指南:智能手表、CGM、贴片式监测设备的全球注册与合规策略
系统解析可穿戴医疗器械(智能手表ECG/PPG、连续血糖监测CGM、贴片式心电监测、智能戒指)的FDA De Novo/510(k)、欧盟MDR、全球注册路径,涵盖华为/OPPO/乐普等企业出海案例与健康设备vs医疗器械的边界划分。
SaMD/AI医疗器械注册:FDA、CE、NMPA三地分类与申报对比
FDA De Novo与510(k)、欧盟MDR Rule 11、NMPA第三类——SaMD和AI/ML医疗器械三地分类规则、注册路径与并行申报策略完整对比。