软件生存周期评估报告 1、评价对象 2、执行标准 YY/T 0664-2008 IDT IEC 62034:2006 3、评价过程 根据标准的第项评价，软件安全等级为 A，适用条款见下表 A 级序列。具体细节见下页： Claus e Requirements Result 标准要求 测试结果 章节 4 总要求 质量管理体系 医疗器械软件制造商应证实其有能力提供持 续满足顾客和适用的法规要求的医疗器械软 件。 Verdict 判定 Claus e Requirements Result 标准要求 测试结果 章节 风险管理 制造商应使用符合 YY/T 0316 (ISO a） 14971)的风险管理过程。 软件的安全性级别 制造商应按照软件系统引起的危害对于患 者、操作者或其他人员的可能影响，赋于每 个软件系统一个软件安全性级别(A、B 或 C) b) 。 制造商应依据风险控制措施所控制的危害的 可能影响。对实施风险控制措施起作用的每 c） 个软件系统赋予一个软件安全性级别。 制造商应在风险管理文档中将赋予每个软件 d) 系统的软件安全性级别形成文档。 当一个软件系统分解为软件项，及当一个软 件项又进一步分解为几个软件项时，此类软 件项应继承原软件项（或软件系统）的软件 安全性级别，除非制造商以文件形式证明分 类为不同的安全性级别的理由。此类理由说 明应解释新的软件项是如何被分开的，以便 e) 可对其另行分级。 如果以分解方式产生的软件项的安全级别和 其源软件项不同，制造商应对每个软件项的 f) 软件安全级别形成文档。 为符合本标准，无论特定级别的软件项是否 需要一个过程，此过程是否有必要应用于一 组软件项，制造商应使用此组中最高级别的 Verdict 判定 Claus e Requirements Result 标准要求 测试结果 章节 软件项所要求的诸过程和任务，除非制造商 在风险管理文档中有使用较低级别的理由的 g) 5 5.1.1 说明文件。 对每个软件系统，在赋予软件安全性级别以 前，均应应用 C 级要求。 软件开发过程 软件开发策划 软件开发计划 制造商应制定一项（或多项）软件开发计 划，以便实施适合于所开发软件系统的范 围、规模和软件安全级别的软件开发过程的 活动。在一个（或多个）计划中应完整地规 定或引用软件开发生存周期模型。计划应说 a) b) c) 明下列各项： 用于软件系统开发的过程。 各项活动和任务的交付物(包括文件)。 系统需求、软件需求、软件系统测试和软件 d) 中实施的风险控制措施之间的可追溯性 软件配置和更改管理，包括未知来源软件配 e) 置项和用于支持开发的软件；和 在生存周期每个阶段的软件产品、交付物和 活动中发现的用于处理问题的软件问题解决 5.1.2 5.1.3 a) 方案。 保持软件开发计划更新 在适当时，制造商应在开发进行的同时更新 计划。 引用系统设计和开发的软件开发计划 制造商应在软件开发计划中引用系统需求， Verdict 判定 Claus e Requirements Result 标准要求 测试结果 Verdict 判定 章节 b) 作为软件开发的输入 制造商应在软件开发计划中包括或引用用于 协调软件开发和为满足必需的设计开发确认 5.1.6 的规程。 软件验证策划 制造商应在软件开发计划中包括或引用下列 a) b) c) d) 5.1.7 验证信息 需要验证的交付物 每个生存周期活动所要求的验证任务 对交付物进行验证的里应碑，和 验证交付物的验收准则 软件风险管理策划 制造商应在软件开发计划中包括或引用实施 软件风险管理过程的活动和任务的计划， 包 5.1.8 括与未知来源软件有关的风险的管理. 文档策划 制造商应在软件开发计划中包括或引用有关 在软件开发生存周期中所形成文档的信息。 对每个已识别的文挡或文档类型，应包括或 a) b) c) d) 5.1.9 引用如下信息： 标题、名称或命名约定； 目的； 文件的预期阅读者；和 开发、评审、批准和修改的程序和职责。 软件配置管理策划 制造商应在软件开发计划中包括或引用软件 配置管理信息。软件配置管理信息应包括或 a) b) 引用： 受控项目的级别、型式、类别或清单； 软件配置管理活动和任务； P Claus e Requirements Result 标准要求 测试结果 章节 c) d) e) f) 5.2.1 5.2.2 a) b) c) d) e) f) g) h) 负责进行软件配置管理和活动的组织； 他们和其他组织的关系，诸如软件开发或维 护； 当将这些项目处于配置控制之下时；和 何时应用问题解决过程。 软件需求分析 由系统需求确定软件需求并形成文档。 对每个医疗器械软件系统，制造商应从系统 层面需求中确定软件系统需求并形成文档。 软件需求内容 在使用与医疗器械软件，制造商应在软件需 求中包括： 功能和能力需求； 软件系统的输入和输出； 软件系统和其他系统之间的接口； 软件控制的报警、警告和操作者信息； 保密安全需求； 对人为错误敏感的适用性工程要求和培训； 数据定义和数据库需求； 对已交付的医疗器械软件在操作和维护的一 i) j) k) l) 5.2.4 个或多个地点的安装和验收要求； 与操作和维护方法有关的要求； 要编制的用户文档； 用户维护要求；和； 法规要求。 医疗器械风险分析的再评价 制造商应在制定并适当更新软件需求时，对 5.2.5 医疗器械风险分析进行再评价。 更新系统需求 制造商应确保对现有的需求〈包括系统需求) 进行再评价和适当时更新，作为软件需求分 析活动的结果。 Verdict 判定 Claus e Requirements Result 标准要求 测试结果 章节 5.2.6 a) b) c) d) e) f) 5.5.1 5.8.4 6 验证软件需求 制造商应对软件需求进行验证并形成文档。 实施包括有关风险控制在内的系统需求； 需求不互相矛盾； 避免使用含糊不清的术语表示； 用表述的术语来制定测试准则和实施测试， 以确定是否满足测试准则； 可以进行唯一性标识；和； 对于系统要求或其他来源是可追溯的。 软件单元的实现和验证 制造商应实现每个软件单元。 软件发行 将发行的版本形成文档。 软件维护过程 制定软件维护计划 制造商应为进行维护过程的活动和任务，制 定一项（或多项）软件维护计划，计划应说 b) c) d) 明以下内容： 用于以下目的的规程： ——接收 ——形成文档 ——评价 ——解决过程，和： ——跟踪。 ——医疗器械软件发行后引起的反馈； 是否将反馈作为问题加以考虑的准则； 软件风险管理过程的应用； 应用软件问题解决过程以分析和解决在医疗 e) 器械软件发行后出现的问题； 应用软件配置管理过程（第 8 章）管理对现 f) 有系统的更改：和 评价并实施未知来源软件（SOUP）下列事 a） Verdict 判定 Claus e Requirements Result 标准要求 测试结果 章节 6.2.1 6.2.1.1 6.2.1.2 项的规程： ——升级 ——缺陷修复 ——补丁和； ——废弃 问题和修改分析 形成文档并评价反馈 监控反馈 制造商应从其组织内部和用户两方面监控对 对已发行的软件产品的反馈。 形成文档并评价反馈 反馈应形成文档并进行评价，以决定其对已 发行的软件产品安全性有何种影响，是否有 必要对已发行的软件产品进行更改以解决问 6.2.1.3 题。 评价问题报告对安全性的影响 应对每个问题报告进行评价，以确定已发行 的软件产品是否存在问题。任何这样的问题 应以问题报告的形式记录（见第 9 章）。问 题报告应包括实际的或潜在的不良事件和对 6.2.2 规范的偏离。 应用软件问题解决过程 制造商应利用软件问题解决过程（见第 9 6.2.4 章）阐明问题报告。 更改请求的批准 制造商应评价并批准修改已发行软件产品的 6.2.5 经批准的更改请求。 联系用户和管理者 制造商应判定识别影响已发行软件产品的经 Verdict 判定 Claus e Requirements Result 标准要求 测试结果 章节 批准的更改请求。 按照当地法规要求，制造商应告知用户和法 a) 规管理者如下信息： 已发行软件产品中的任何问题和不更改继续 b) 使用的后果；和 已发行软件产品的任何可获得的更改的性质 6.3.1 6.3.2 以及如何获得并安装更改内容。 修改的实施 用以制定的过程实施修改 制造商应利用软件开发过程（见第 5 章）或 已建立的维护过程实施修改。 修改的软件系统的再发行 制造商应按照发行已更改的软件系统。修改 可以作为软件系统完整再发行的一部分发 行；或作为包含经更改的软件项的修改包和 为安装此项更改的必要工具用作对现有的软 7 7.4.1 a） b) 8 8.1.1 件系统的更改发行。 软件风险管理过程 软件更改的风险管理 分析医疗器械软件有关安全性的更改 制造商应分析对医疗器械软件（包括未知来 源软件）的更改以确定是否： 引入了促成危害处境的附加的可能原因， 和： 要求的附加软件风险控制措施。 软件配置管理过程 配置标识 制定配置项标识的方法 制造商应为项目所控制的配置项及其版本的 Verdict 判定 Claus e Requirements Result 标准要求 测试结果 章节 唯一性标识制定一个方案。此方案应包括其 他的软件产品或实体，诸如未知来源软件和 8.1.2 形成的文档。 标识未知来源软件(SOUP) 对使用的每个未知来源软件的配置项，包括 标准程序库，制造商应将其下列内容形成文 a) b) c) 8.1.3 8.2.1 8.2.2 档： 标题 制造商，和 未知来源软件的唯一标识符 判定系统配置文档 制造商应将组成软件系统配置的一组配置项 及其版本形成文档。 更改控制 批准更改请求 制造商应只对经批准的更改请求做出配置项 更改。 实施更改 制造商应按更改请求中的规定实施更改。制 造商应识别并实施由更改产生的所需重复的 任何活动，包括对软件系统和软件项的软件 8.2.3 安全性分级的更改。 验证更改 制造商应验证更改，包括重复已因更改失效 8.2.4 的任何验证，并考虑 5.7.3 和。 规定更改的可追溯性方法 制造商应制定审核追踪，可借以追溯下列各 a) 项： 更改请求； Verdict 判定 Claus e Requirements Resu