2026 年 3 月 17 日，国家药监局正式发布 26 项医疗器械行业标准，其中YY/T 1406—2026《医疗器械软件 GB/T 42062 应用于医疗器械软件的指南》 作为核心修订标准备受关注。该标准将于 2027 年 3 月 1 日正式实施，届时将全面替代旧版 YY/T 1406.1—2016。

医疗器械软件风险管理新标YY/T 1406-2026 解读

本文结合标准核心要求与行业实操经验，为企业拆解新规核心变化、不同主体受影响重点，以及落地合规的实操路径，助力企业提前布局，规避后续注册、体系检查风险！

一、新规核心定位：不是新增义务，而是落地风险管理的实操指南

YY/T 1406—2026 的定位十分明确，其核心并非为企业新增合规义务，而是指导企业将 GB/T 42062—2022 的风险管理要求，精准落地到 YY/T 0664—2020 界定的各类医疗器械软件中，让抽象的风险管理要求变成可落地、可验证的实操流程。

适用范围大幅拓展，边界清晰无模糊

覆盖对象：不仅包含医疗器械独立软件、设备中的软件组件，还适用于医疗保健环境中，所有需要实施安全风险管理的软件（即便该软件未被归类为医疗器械）；

排除对象：生产或质量管理体系类软件、软件开发工具，不在本标准监管范围内。

简单来说，新规的核心逻辑是：医疗器械软件的风险管理，不能再是事后补充的 “附加文档”，而是要深度嵌入软件需求、架构设计、开发测试、变更管控、维护升级，乃至现场实际使用的全流程，形成 “风险识别 - 风险控制 - 效果验证 - 持续监测” 的完整闭环，让风险管理贯穿软件全生命周期。

二、新规三大核心影响：打通三条合规主线，彻底重构软件合规框架

旧版标准下，多数企业存在一个普遍问题：将 “风险管理”“软件开发”“安全管控” 拆分成三个独立模块推进，各环节缺乏联动，合规流于形式。而此次新规通过三大核心逻辑，强行打通这三条主线，彻底重构了医疗器械软件的合规框架。


医疗器械软件风险管理新标YY/T 1406-2026 解读


1. 打通「风险管理」与「软件生命周期」：全流程每一步都要体现风险控制

YY/T 0664—2020 明确了软件生命周期的实操要求，GB/T 42062—2022 界定了全生命周期风险管理规范，新规直接将二者深度绑定，要求软件生命周期的每个阶段，都必须有对应的风险控制动作，而非单纯完成功能开发：

需求阶段：不能只罗列软件功能，需明确标注 “风险控制意图”，比如高风险功能需设置双重校验、异常报警等控制手段；

架构设计阶段：不能仅做模块划分，要说明 “高风险功能如何实现隔离、降级、防失效扩散”，比如数据传输模块需具备异常中断保护、核心计算模块需有冗余设计；

测试阶段：不能只验证 “功能跑通即可”，核心要聚焦 “高风险场景全覆盖验证”，比如异常输入、权限绕过、软件升级回滚、断网断联等极端情况；
变更阶段：不能只走流程签批，变更前必须重新评估 “风险是否迁移、是否扩大”，比如第三方组件升级、开源库更新是否引入新的安全漏洞。
这意味着，今后医疗器械软件合规的核心，不再是 “文档齐全”，而是 “文档、设计、测试、上市后反馈的逻辑一致性”— 任何一个环节断裂，都可能在注册审评或体系飞检中被直接判定为不合规。

2. 打通产品安全与软件安全：网络安全不再是单纯的 “IT 问题”

过去很多企业将 “功能安全（如剂量计算准确、诊断结果可靠）” 和 “网络安全（如防数据泄露、防未授权访问）” 分开管理，前者归研发部，后者推给 IT 部，二者毫无联动。但新规明确要求：所有软件相关风险，最终都要纳入医疗风险闭环管理，统一管控。

软件安全漏洞不再是 “技术问题”，而是直接关系患者安全的医疗风险：

软件漏洞导致未授权访问，篡改患者检测数据→引发临床诊断错误；

设备接口错误，导致与医院系统数据错配→影响医生治疗方案制定；

软件远程升级失败，导致核心功能退化→设备无法满足临床诊疗需求。

今后在注册审评和体系检查中，企业再也不能将 “网络安全问题” 推给 IT 部门，将 “软件缺陷” 归为研发问题 —— 二者必须统一纳入企业整体风险管理体系，明确对应的控制措施、验证证据和持续监测机制，做到风险管控无死角。

3. 打通「制造商边界」与「医疗环境边界」：不能再以 “非本体” 为由割裂责任

新规特别强调 “系统级风险视角”，要求企业跳出 “医疗器械本体” 的局限看待软件风险。如今的医疗器械早已不是单一设备，多是 “设备端 + 工作站 + 服务器 + 医院系统对接” 的复杂体系，任何一个环节的软件问题，都可能引发患者安全风险：

医学图像在医院 PACS 系统传输过程中出现错配；

设备与 EMR 电子病历系统接口异常，导致患者信息关联错误；

医院内网部署补丁，触发医疗器械软件功能故障；

医院权限配置不当，导致设备关键诊疗参数被非授权修改。

这意味着，企业不能再以 “这部分不属于医疗器械本体” 为由切割责任，必须对软件在整个医疗使用环境中的全链条风险进行管控，从设备出厂到医院部署、系统对接、日常使用，全场景识别风险、落实控制。

三、不同类型企业受影响重点：精准对标，避开专属合规坑

新规对不同类型医疗器械企业的影响差异显著，不存在 “一套方案通吃” 的可能，企业需结合自身业务特性，针对性布局合规工作，避开专属坑点。
1. 传统设备厂商：软件从 “配套附属” 变 “监管核心”

以影像设备、治疗设备为代表的硬件起家企业，过去软件多是 “辅助硬件驱动” 的配套角色，而新规下，软件将成为风险控制的核心载体—— 毕竟设备的数采采集、参数计算、临床报警、结果输出等关键功能，均由软件直接承担。

改变组织协作习惯：

研发、测试、注册、质量、售后、网络安全部门，需建立 “同一套风险语言”，打破部门壁垒，避免各自为战；

补全风险管控视角：

不能再只关注硬件安全，需新增软件全生命周期风险识别，比如嵌入式软件的兼容性风险、设备联网功能的网络安全风险、远程升级的失效风险等。

2. 独立软件（SaMD）企业：注册核心强调 “风险证据链完整性”

医疗器械软件风险管理新标YY/T 1406-2026 解读

影像辅助诊断、AI 判读、远程患者监测等 SaMD 企业，是此次新规的重点监管对象，过去行业常见的 “需求与风险脱节”“高风险场景测试覆盖不足”“上市后反馈不回流” 等问题，将成为注册审评和体系检查的重点核查项。

需求阶段：需将风险控制要求转化为 “可验证的软件指标”，比如 AI 诊断软件需明确 “漏诊率、误诊率控制标准”，并纳入需求文档；

测试阶段：需提供充分证据，证明 “软件高风险场景已全覆盖验证”，比如不同病灶类型、低质量图像、极端临床场景的判读准确性；

上市后阶段：客户投诉、软件缺陷、异常工单等信息，需系统回流至企业风险管理文件，触发风险再评估，形成闭环。

3. AI 医疗器械企业：模型风险被正式纳入风险管理闭环，再也无法回避

AI 医疗器械软件的 “数据偏差、模型漂移、可解释性不足” 等行业痛点，在此次新规下被正式纳入全生命周期风险管理闭环，不能再分散到 “算法性能”“临床评价” 等独立模块中，需统一管控。

明确模型高风险场景：重点识别特定人群（儿童、老年人、罕见病患者）的模型性能下降风险、边界样本的误判风险、数据分布突变后的失效风险；
建立模型动态管控机制：当训练数据分布漂移、模型版本更新后，需重新评估风险控制措施的有效性，必要时及时优化；

强化上市后模型监测：通过真实世界使用数据，持续跟踪模型性能变化，及时迭代风险控制方案，确保模型在全生命周期内的安全性和有效性。

四、新规对注册申报与体系运行的直接影响：告别 “形式合规”，走向 “实质合规”

此次新规的落地，将从注册申报和体系运行两大核心维度，对企业提出全新要求，过去的 “拼装式合规”“文档式合规” 将彻底失效。

1. 注册申报：“三份材料独立准备” 的模式行不通了

过去很多企业准备软件注册资料时，常将风险分析表、软件文档、测试报告分开制作，三者毫无关联，属于典型的 “拼装式合规”。新规下，这种模式将被审评机构直接否决，审评核心将聚焦风险证据链的可追溯性：

风险项是否能直接追溯到软件需求（如 “数据传输泄露风险” 是否对应 “加密传输需求”）；

软件验证是否围绕风险展开（如高风险功能的测试用例，是否覆盖所有潜在风险场景）；

软件版本变更，是否触发风险重评估并留存记录（如云端软件迭代后，是否重新验证安全控制措施）；

上市后数据是否回流至风险管理（如软件相关不良事件，是否用于风险文件的更新完善）。

核心结论：医疗器械软件注册资料，不再是 “证明你完成了软件开发”，而是 “证明你懂风险、控得住风险、能持续监测风险”。

2. 体系运行：软件风险管理不再是研发部的 “独角戏”

新规落地后，软件风险管理将成为企业全部门的共同责任，而非研发部一人 “背锅”，体系检查的重点将转向跨部门协同的有效性：

部门协同成为核查核心：注册部（识别法规风险边界）、研发部（落地风险控制设计）、测试部（验证风险控制效果）、质量部（管控变更与风险追溯）、售后部（收集现场风险信号）、网络安全部（防控软件安全漏洞），需建立明确的协同机制，确保风险管控全流程衔接；

设计评审新增 “风险视角”：软件设计评审时，必须回答三大问题 ——“这个功能失效会造成什么医疗危害？风险控制措施是预防型还是缓解型？是否存在单点失效风险？”；

上市后活动成为 “风险输入源头”：软件现场部署差异、设备与医院系统的兼容性问题、软件漏洞通报、升级失败案例、用户误操作高发场景等，都要作为重要风险信号，及时触发企业 CAPA 措施与风险文件更新。

本文由广州佳誉医疗器械有限公司/佛山浩扬医疗器械有限公司联合编辑