1、微軟中國IEC 62304 醫(yī)療器械軟件 軟件生存周期中文翻譯版旭東2011-11-7 Monday國際標準IEC63240第一版2006年5月醫(yī)療設(shè)備軟件軟件生命周期程序刊物編號從1997年1月起，所有刊物都以60000系列命名發(fā)布。例如，IEC34-1現(xiàn)在是指IEC60034-1。統(tǒng)一版本現(xiàn)在，IEC的刊物以同一版本出版。例如，版本數(shù)字1.0, 1.1, 1.2 分別指的是基礎(chǔ)版，基礎(chǔ)版與第一次修改版的合并，基礎(chǔ)版與第一次、第二次修改版的合并。關(guān)于IEC刊物的更多信息IEC刊物的技術(shù)內(nèi)容是被控制在IEC不斷地檢查之下的，從而保證其中內(nèi)容反映了當(dāng)今科技。與此出版物相關(guān)的信息，包括它的有效期、

2、新版本、修改處以及勘誤處是可以出現(xiàn)在刊物目錄中的（見下文）。有關(guān)正在思考和正在研究中的主題信息（該工作是由技術(shù)委員會承擔(dān)的，他們準備了刊物）以及發(fā)布刊物的列表，也可以從如下渠道查詢：IEC網(wǎng)站：www.iec.chIEC刊物的目錄：IEC網(wǎng)站的在線搜索功能（www.iec.ch/searchpub）使得您可以通過各種各樣的標準來搜索，包括文本搜索、技術(shù)委員會搜索以及出版日期搜索。在線信息包括最近出版刊物，撤回信息，被替換的刊物以及勘誤之處。IEC新出版刊物最新出版物的摘要（www.iec.ch/online news/justpub）可以通過電子郵件來查詢。欲獲得更多信息，請與客戶服務(wù)中心（見

3、下文）聯(lián)系。客戶服務(wù)中心如果您有任何有關(guān)此刊物的疑問或者需要更多幫助，請與客戶服務(wù)中心聯(lián)系。電子郵件：國際標準IEC63240第一版2006年5月醫(yī)療設(shè)備軟件軟件生命周期程序版權(quán)-版權(quán)所有未經(jīng)出版商書面許可，本出版物的任何部分不可以以任何形式和方式被復(fù)制或使用，包括以電子或者機械的方式影印或者微縮拍攝。國際電工技術(shù)委員會郵政信箱：瑞士日內(nèi)瓦電話：+41 22 919 02 11電傳：+41 22 919 03 00電子郵件：inmailiec.ch網(wǎng)站：www.iec.ch 前言國際電工技術(shù)委員會是個為標準化而設(shè)立的世界性組織，包括所有國家的電工技術(shù)委員會。國際電

4、工技術(shù)委員會的目標是在電氣科學(xué)以及電子技術(shù)標準化的所有問題方面促進國際合作。為了這個目的以及其他活動，國際電工技術(shù)委員會出版國際標準，技術(shù)規(guī)格，技術(shù)報告，公開提供規(guī)范和指導(dǎo)（從此以后被稱為IEC出版物）。目錄1.范圍51.1目的51.2應(yīng)用領(lǐng)域51.3與其他標準的關(guān)系51.4標準的遵守52參考標準53術(shù)語與定義63.1 活動63.2 異常63.3 架構(gòu)63.4變更請求63.5配置條目63.6可交付成果63.7 評估63.8 損害63.9 危險73.10 生產(chǎn)商73.11 醫(yī)療設(shè)備73.12 醫(yī)療設(shè)備軟件73.13 問題報告73.14 程序83.15 回歸測試83.16 風(fēng)險83.17 風(fēng)險分析

5、83.18 風(fēng)險控制83.19 風(fēng)險管理83.20 風(fēng)險管理文件83.21 安全性83.22 保密性93.23 嚴重損傷93.24軟件發(fā)展生命周期模型93.25 軟件項目93.26 軟件產(chǎn)品93.27 軟件系統(tǒng)93.28 軟件單元103.29 SOUP未知出處的軟件（首字母縮略詞）103.30 系統(tǒng)103.31 任務(wù)103.32 可追溯性103.33 檢驗103.34 版本104 基本要求114.1 質(zhì)量管理系統(tǒng)114.2風(fēng)險管理114.3軟件安全級別分類115軟件開發(fā)程序125.1軟件開發(fā)計劃125.2軟件需求分析145.3 軟件體系設(shè)計155.4軟件詳細設(shè)計165.5 軟件單元的實施和檢驗

6、165.6軟件集成和集成測試175.7軟件系統(tǒng)測試185.8軟件發(fā)布186 軟件維護程序196.1 建立軟件維護計劃196.2 問題分析與修改分析206.3修改之處的實施207軟件風(fēng)險管理程序217.1對導(dǎo)致危險情形的軟件進行分析217.2風(fēng)險控制措施217.3 風(fēng)險控制措施的檢驗227.4 軟件更改的風(fēng)險管理228軟件配置管理措施228.1配置確認228.2變更控制238.3配置狀況說明239軟件疑難解答程序239.1準備問題報告239.2調(diào)查問題239.3 對相關(guān)部門提出建議249.4 運用變更控制程序249.5 保留記錄249.6分析發(fā)展趨勢的問題249.7檢驗軟件問題決議249.8檢測

7、文件材料內(nèi)容24附錄A26A.1 基本原理26A.2 等級要求總結(jié)27附錄B28B.1范圍28B.2正規(guī)參考文獻29B.3術(shù)語和定義29B.4基本要求29B.5 軟件開發(fā)程序31B.6軟件維護程序34B.7軟件風(fēng)險管理程序35B.8軟件配置管理程序36附錄C38C.1 總則38C.2 與ISO 13485之間的關(guān)系38C.3 與ISO 14971的關(guān)系39C.4 與IEC 60601-1:2005 可編程電子醫(yī)療系統(tǒng)的關(guān)系39C.5 與IEC61010-1的關(guān)系46C.6 與ISO/IEC 12207的關(guān)系46C.7 與IEC 61508之間的關(guān)系52附錄D54D.1 簡介54D.2 質(zhì)量管理

8、體系在54D.3 評估質(zhì)量管理程序54D.4 把本標準的要求合并入生產(chǎn)商質(zhì)量管理程序54D.5 對無備有證明文件的質(zhì)量管理體系的小生產(chǎn)商的備忘錄541.范圍1.1目的本標準為醫(yī)療設(shè)備軟件生命周期下了定義。在本標準中描述的程序、活動、任務(wù)為醫(yī)療設(shè)備軟件生命周期程序設(shè)定了一個普通的框架。1.2應(yīng)用領(lǐng)域本標準可應(yīng)用于醫(yī)療設(shè)備軟件開發(fā)與維護。當(dāng)軟件本身是個醫(yī)療設(shè)備時，或者當(dāng)軟件植入設(shè)備或成為最終設(shè)備的一個完整部分時，本標準可應(yīng)用于醫(yī)療設(shè)備軟件開發(fā)與維護。本標準不包括醫(yī)療設(shè)備的批準和最終版本發(fā)布，即使該醫(yī)療設(shè)備包括了整個軟件。1.3與其他標準的關(guān)系當(dāng)研發(fā)一種醫(yī)療設(shè)備時，該醫(yī)療設(shè)備軟件生命周期標準應(yīng)當(dāng)與其

9、他適當(dāng)?shù)臉藴室黄饝?yīng)用。附錄C說明了本標準與其他相關(guān)標準之間的關(guān)系。1.4標準的遵守本標準的遵守被定義為與軟件安全等級一致，本標準所確定的所有程序、活動以及任務(wù)的實施。注：軟件安全等級所指的要求是由按要求的標準文件所確定的。標準的遵守是由本標準所需要的所有文件的檢查來決定的，標準的內(nèi)容包括風(fēng)險管理文件，軟件安全等級所需要的程序、活動以及任務(wù)的評估。注1：該審計可以由內(nèi)部審計或者外部審計來實施；注2：盡管特定的程序、活動以及任務(wù)需要被實施，在實施這些程序、活動以及任務(wù)時，方法上是可以有彈性的。注3：當(dāng)遇到任何列入有“酌情考慮“并且未被實施的要求時，該評估需要提交必要的解釋性文件。注4：術(shù)語“一致性

10、”曾用于ISO/IEC12207， 在這個文件中的術(shù)語“標準的遵守”被應(yīng)用于此標準。2參考標準下面所參考的文件對于本文件的應(yīng)用來說是必不可少的。對于過時的參考文獻來說，只有被引用的版本可以應(yīng)用。對于更新的參考文獻來說，所參考文獻的最新版本（包括修改之處）可以應(yīng)用。3術(shù)語與定義對于本文件的目的來說，下文的術(shù)語與定義可以被應(yīng)用。3.1 活動一組或多組相互聯(lián)系相互作用的任務(wù)。3.2 異常任何背離預(yù)期所基于的要求規(guī)格的狀況、設(shè)計文件、標準等等，或者背離一些人的觀念和經(jīng)驗的狀況。異常狀況可能出現(xiàn)于檢查、測試、分析、編輯、使用軟件產(chǎn)品、或者可實施文件的程序中，但不僅僅局限于這些程序中。3.3 架構(gòu)一個系統(tǒng)

11、或組件的組織結(jié)構(gòu)。3.4變更請求對軟件產(chǎn)品所做的備有證明文件的規(guī)格更改。3.5配置條目在一個給定的參考點能夠唯一分辨的實體。注：基于ISO/IEC 12207:1995，定義3.6。3.6可交付成果活動或者任務(wù)所需要的結(jié)果或產(chǎn)出（包括文件）。3.7 評估一種范圍的系統(tǒng)決定。在這個范圍中，某種實體遇上它的具體標準。注：基于ISO/IEC 12207:1995，定義3.9。3.8 損害物理傷害、毀滅或者對人身體健康帶來的這兩種危害，或?qū)ω敭a(chǎn)環(huán)境帶來的危害。注：ISO/IEC 指南51：1999，定義3.3。3.9 危險危害的潛在源頭。注：ISO/IEC 指南51：1999，定義3.5。3.10 生

12、產(chǎn)商對醫(yī)療設(shè)備設(shè)計、生產(chǎn)、包裝、貼標簽有責(zé)任和義務(wù)的自然人或法人；組裝系統(tǒng)；在一種醫(yī)療設(shè)備上市或者投入使用之前改裝該設(shè)備，不管該操作是由這個人實施的或者由代表此人的第三方實施的。注：ISO14971:2000，定義2.6。3.11 醫(yī)療設(shè)備為人類一個或者多個具體目的，由制造商獨立使用或者結(jié)合使用的任何工具、裝置、器具、機器、器械、植入物、試管中的試劑或者校準器、軟件、材料或者其他相似或相關(guān)的物品： 疾病的診斷、阻止、監(jiān)控、治療或者緩； 傷口的診斷、監(jiān)控、治療、緩和或者啟動補償機能； 調(diào)查、更換、修正或者支持物理程序的剖析； 支持或者延續(xù)生命； 概念的控制 醫(yī)療設(shè)施的消毒 通過從人體獲得的樣本做

13、試管實驗，為醫(yī)療用途提供信息這些物品并沒有通過藥物學(xué)、免疫學(xué)或者新陳代謝的方法在人體上獲得起初的意向功能，但是通過這些方法可以促進其功能的實現(xiàn)。注1：這個定義是由全球協(xié)調(diào)工作組織定下的。詳情請看參考文獻【15】（在ISO13485:2003）【ISO 13485:2003， 定義3.7】注2：當(dāng)此定義應(yīng)用于不同國家規(guī)定時，可能會產(chǎn)生一些差異。3.12 醫(yī)療設(shè)備軟件開發(fā)目的是合并入醫(yī)療設(shè)備中的軟件系統(tǒng)，或者憑自身條件和用途可被用作醫(yī)療設(shè)備的軟件系統(tǒng)。3.13 問題報告用戶或其他對此感興趣的人所認為的對預(yù)期用途不安全、不合適的行為，或者與其規(guī)格相反的軟件產(chǎn)品所出現(xiàn)的實際記錄或者潛在行為。注1：本標

14、準不要求軟件產(chǎn)品對每一個問題報告都做出更改。生產(chǎn)商可以把問題報告當(dāng)做誤解、錯誤或者非重要事件而拒絕。注2：問題報告可以針對已發(fā)布的軟件也可針對尚在開發(fā)中的軟件。注3：本標準要求生產(chǎn)商問題報告相關(guān)的已發(fā)布產(chǎn)品實施額外的決策，制定步驟以確保管理行動被檢驗和實施。3.14 程序一系列相互聯(lián)系相互作用把輸入轉(zhuǎn)為輸出的活動?！綢SO9000:2000， 定義3.4.1】注：術(shù)語“活動”列入了財力的運用。3.15 回歸測試這個要求決定對一個系統(tǒng)組成做出改變的測試還沒有對軟件產(chǎn)品的功能性、可靠性或者性能產(chǎn)生不良影響，也尚未產(chǎn)生其他的缺陷?！綢SO/IEC90030:2004，定義3.11】3.16 風(fēng)險危害

15、產(chǎn)生的可能性與危害的嚴重性的結(jié)合。【ISO/IEC 指南51:1999 定義3.2】3.17 風(fēng)險分析有效信息的系統(tǒng)運用以檢驗故障，估計風(fēng)險?！綢SO/IEC 指南51:1999 定義3.10】3.18 風(fēng)險控制制定決策和降低風(fēng)險或者把風(fēng)險控制在特定標準的程序?！綢SO 14971:2000 定義2.16，修改版】3.19 風(fēng)險管理分析、評估任務(wù)和控制風(fēng)險的程序中對管理政策、程序和實踐的系統(tǒng)應(yīng)用?！綢SO 14971:2000 定義2.18】3.20 風(fēng)險管理文件記錄和其他文件的設(shè)置，不需要是連續(xù)的，是在風(fēng)險管理程序中產(chǎn)生的。【ISO 14971:2000 定義2.19】3.21 安全性沒有不

16、可接受的風(fēng)險【ISO/IEC 指南51:1999 定義3.1】3.22 保密性數(shù)據(jù)和信息的保護，非權(quán)威人士或系統(tǒng)不能夠讀取或修改數(shù)據(jù)和信息，也不會被拒絕接觸它們?！綢SO/IEC 12207:1995 定義3.25】3.23 嚴重損傷直接或間接的傷害或者疾病：（a） 威脅生命，（b） 對身體功能造成永久性損傷或?qū)ι眢w結(jié)構(gòu)造成永久性傷害，或（c） 需要藥物或外科手術(shù)介入去阻止對身體功能造成永久性損傷或?qū)ι眢w結(jié)構(gòu)造成永久性傷害。注：永久性損害指的是對身體結(jié)構(gòu)或功能造成的不可逆轉(zhuǎn)的損害或傷害，不包括無關(guān)緊要的損害或傷害。3.24軟件發(fā)展生命周期模型概念上的結(jié)構(gòu)使得軟件的生命跨度從它的要求定義到它的生

17、產(chǎn)發(fā)布，它; 識別軟件開發(fā)程序中的程序、活動和任務(wù)， 描述活動與任務(wù)之間的順序和依賴關(guān)系，以及 檢驗里程碑按規(guī)定可以交付使用的產(chǎn)品完成的檢驗。注：基于ISO/IEC12207：1995，定義3.113.25 軟件項目計算機項目的任何可識別部分【ISO/IEC90003:2004, 定義3.14，修改版】注：三個術(shù)語識別軟件的分解。最高等級是軟件系統(tǒng)。最低等級尚未深層次分解的是軟件單元。所有組成的等級包括最高等級和最低等級都可以被稱作軟件項目。那么軟件系統(tǒng)是由一個或者多個軟件項目組成的，并且每個軟件項目是由一個或者多個軟件單元組成的或由可分解軟件項目組成。責(zé)任留給生產(chǎn)商，為軟件項目和軟件單元提供

18、定義和間隔尺寸。3.26 軟件產(chǎn)品電腦項目、程序以及可能相關(guān)的文件和數(shù)據(jù)裝置【ISO/IEC 12207:1995 定義3.26】3.27 軟件系統(tǒng)軟件項目的有機結(jié)合以實現(xiàn)某個具體功能或者一系列功能。3.28 軟件單元不能再分成其它項目的軟件項目。注：軟件單元可以被用作來做軟件配置管理或測試。3.29 SOUP未知出處的軟件（首字母縮略詞）SOUP是一種軟件項目。它已經(jīng)被開發(fā)出來，是可行的，但并未為并入醫(yī)療設(shè)備的目的而研發(fā)（也被稱作是現(xiàn)成的軟件），或者是之前開發(fā)的軟件，為此，單有充足的開發(fā)程序的記錄是不夠的。3.30 系統(tǒng)復(fù)合組成，包括一個或者多個程序，硬件，軟件，設(shè)施和人，并提供性能來滿足規(guī)

19、定的要求和目標?！綢SO/IEC 12207:1995，定義3.31】3.31 任務(wù)單件需要完成的工作3.32 可追溯性開發(fā)程序的兩個或多個產(chǎn)品之間建立關(guān)系的程度?！綢EEE 610.12:1990】3.33 檢驗通過監(jiān)督具體要求被滿足時的目標證據(jù)來檢驗。注1：“檢驗”用于標出相應(yīng)的狀態(tài)【ISO9000:2000， 定義3.8.4】注2：在設(shè)計和開發(fā)的過程中，檢驗關(guān)系到檢查已給定活動的程序，以決定與該活動一致的規(guī)定要求。3.34 版本經(jīng)鑒定的配置項的實例注1：對一個軟件產(chǎn)品版本所做的修改，引發(fā)一個新的版本，需要軟件配置管理功能。注2：基于ISO/IEC 12207:1995，定義3.37。4

20、基本要求4.1 質(zhì)量管理系統(tǒng)醫(yī)療設(shè)備軟件的生產(chǎn)商應(yīng)當(dāng)證明其有能力提供一貫滿足顧客需求并且適用相關(guān)規(guī)定要求的醫(yī)療設(shè)備軟件。注1：可以用符合以下規(guī)定的質(zhì)量管理體系來證明此能力： ISO134857；或者 國家質(zhì)量管理體系標準；或者 國家法規(guī)所要求的質(zhì)量管理體系。注2應(yīng)用軟件質(zhì)量管理體系要求的指南可參閱 ISO/IEC9000311。4.2風(fēng)險管理生產(chǎn)商應(yīng)當(dāng)采用符合ISO14971的風(fēng)險管理程序。4.3軟件安全級別分類（a）根據(jù)軟件系統(tǒng)對病人、操作者或者其他人由于軟件系統(tǒng)故障所造成的傷害，生產(chǎn)商應(yīng)當(dāng)為軟件系統(tǒng)指定一個軟件安全等級（A,B或者C）。最初的軟件安全等級應(yīng)當(dāng)按照如下的嚴重程度來指定：A等級

21、:不會對健康造成損害或者傷害B等級：不會造成嚴重傷害C等級：可能造成嚴重損害甚至死亡如果按照說明操作軟件系統(tǒng)造成的故障會引起危害，那么這種故障出現(xiàn)的幾率應(yīng)該是百分之百。如果通過硬件控制方法，由軟件故障引起的死亡風(fēng)險或者嚴重損傷隨之降低到一個可接受的水平（正如ISO14971所定義的那樣），或者降低故障所造成的影響，或者降低由故障引起的死亡風(fēng)險或嚴重損害的幾率，那么軟件安全分類可以從C級到B級；如果通過硬件控制方法，由軟件故障引起的非嚴重損害可以同樣的降低到一個可以接受的水平，那么軟件安全分類可以從B級到A級。（b）生產(chǎn)商應(yīng)當(dāng)為對風(fēng)險控制措施的實施做出貢獻的軟件系統(tǒng)評級，基于風(fēng)險控制措施在掌控之

22、中的危險可能產(chǎn)生的影響，為軟件安全級別進行評定。（c）生產(chǎn)商應(yīng)當(dāng)在風(fēng)險管理文檔中用文件證明為各個軟件系統(tǒng)所進行的安全級別評定。（d）當(dāng)一個軟件系統(tǒng)被分解成軟件項目時，當(dāng)一個軟件項目被進一步分解成軟件單元時，這樣的軟件單元應(yīng)當(dāng)繼承了原軟件項目(或軟件系統(tǒng))的安全級別分類，除非生產(chǎn)商用文件證明把它劃分到其他軟件安全類別的基本原理。這樣的基本原理闡述應(yīng)當(dāng)解釋新的軟件項目是如何被隔離的，這樣他它們就可以被分別分類。（e）如果軟件項目的安全等級不同于分解之前軟件項目的安全類別時，生產(chǎn)商應(yīng)當(dāng)用文件證明各個軟件項目的安全級別分類。（f）為了符合本標準，在一個特定分類的軟件項目需要程序的地方以及一組軟件項目需

23、要應(yīng)用程序的地方，生產(chǎn)商應(yīng)當(dāng)運用該組中的最高等級的軟件項目分類需要程序和任務(wù)，除非生產(chǎn)商在風(fēng)險管理文件中用提供用一個較低等級分類的原理解釋。（g）至于每個軟件系統(tǒng)，應(yīng)當(dāng)實施C等級要求直到軟件安全等級被評定。注：在下文的要求中，要求必須被實施的軟件安全級別分類是按照其類別檢驗的。5軟件開發(fā)程序5.1軟件開發(fā)計劃5.1.1軟件開發(fā)計劃生產(chǎn)商應(yīng)當(dāng)為實施軟件開發(fā)程序的活動建立一個軟件開發(fā)計劃，這個計劃應(yīng)當(dāng)合乎即將要開發(fā)的軟件系統(tǒng)的范圍、量級和軟件安全級別分類。軟件開發(fā)生命周期應(yīng)當(dāng)被明確規(guī)定或者在計劃中被引用。計劃應(yīng)當(dāng)針對如下內(nèi)容而發(fā)：（a） 在軟件系統(tǒng)開發(fā)中將要用到的程序（見注4）；（b） 活動和任務(wù)

24、可以交付使用的部分（包括文件）；（c） 在系統(tǒng)需求，軟件需求，軟件系統(tǒng)測試以及在軟件中所實施的風(fēng)險控制措施之間的可追溯性；（d） 軟件配置和更改管理，包括SOUP(未知出處軟件)配置項目和為支持軟件開發(fā)而做的軟件；以及（e） 在軟件生命周期的各個階段，在軟件產(chǎn)品，可交付使用產(chǎn)品以及活動中發(fā)現(xiàn)處理問題的軟件問題分辨率。【A/B/C 等級】注1：按照軟件系統(tǒng)的各個軟件項目的軟件安全級別分類，軟件開發(fā)生命周期模型可以為不同的軟件系統(tǒng)辨別不同的組成部分（程序，活動，任務(wù)和可交付使用產(chǎn)品）。注2：這些活動和任務(wù)能夠重疊或者相互作用，也能夠反復(fù)遞回的運作。這并不意味著要用一個特定的生命周期模型。注3: 在

25、本標準中其他程序的描述從開發(fā)程序中分離出來。這并不意味著它們必須按照分離的活動和任務(wù)來實施。其他程序的活動和任務(wù)能夠與開發(fā)程序融為一體。注4：軟件開發(fā)計劃可以引用現(xiàn)存的程序也可定義一個新的程序。注5：軟件開發(fā)計劃可以并入整個系統(tǒng)開發(fā)計劃中。5.1.2保持軟件開發(fā)計劃的更新生產(chǎn)商應(yīng)當(dāng)按照開發(fā)收益酌情更新該計劃（A/B/C等級）5.1.3 軟件開發(fā)計劃所涉及的系統(tǒng)設(shè)計和開發(fā)(a) 由于軟件開發(fā)的投入，生產(chǎn)商應(yīng)當(dāng)在軟件開發(fā)計劃中參考系統(tǒng)需求。(b) 為滿足4.1的要求，協(xié)調(diào)軟件開發(fā)和設(shè)計開發(fā)的生效，在軟件開發(fā)計劃過程中生產(chǎn)商應(yīng)當(dāng)包括或參考軟件開發(fā)計劃過程。（A/B/C等級）注：如果軟件系統(tǒng)是一個單機

26、系統(tǒng)（單一軟件設(shè)備），在軟件系統(tǒng)需求與系統(tǒng)需求上可能并無差異。5.1.4 軟件開發(fā)標準、方法和工具計劃生產(chǎn)商應(yīng)當(dāng)列入或參考軟件開發(fā)計劃：（a） 標準（b） 方法，以及（c） 工具與C級軟件項目的開發(fā)結(jié)合起來【C級】5.1.5 軟件集成與集成測試計劃生產(chǎn)商應(yīng)當(dāng)包括或者參考軟件開發(fā)計劃。這個計劃可以使軟件項目（包括SOUP未知出處軟件）成為一體，并在融合的過程中實施檢測。【B/C級】注：把合并測試與軟件系統(tǒng)測試結(jié)合為一個獨立計劃和活動設(shè)置是可以接受的。5.1.6 軟件檢驗計劃生產(chǎn)商應(yīng)當(dāng)列入或者參考軟件開發(fā)計劃中的如下檢驗信息：（a） 需要檢驗的可交付成果；（b） 每個生命周期活動所需要的檢驗任務(wù)；

27、（c） 可交付物被檢驗的里程碑；和（d） 可交付物檢驗的驗收準則?！続/B/C等級】5.1.7 軟件風(fēng)險管理計劃生產(chǎn)商應(yīng)當(dāng)包括或者參考軟件開發(fā)計劃。這個計劃將實施軟件風(fēng)險管理程序的活動和任務(wù)，包括與SOUP(未知出處軟件)相關(guān)的風(fēng)險管理?！綛/C級】注：見條款7。5.1.8文件材料計劃生產(chǎn)商應(yīng)當(dāng)列入或者參考軟件開發(fā)計劃中的有關(guān)軟件開發(fā)生命周期過程中引起的文件的信息。對于每一條經(jīng)鑒定的文件或者文件類型，應(yīng)當(dāng)列入或者參考以下信息：（a） 標題，名字或者命名慣例；（b） 用途；（c） 文件閱讀對象；以及（d） 開發(fā)，復(fù)審，批準以及修改的過程與責(zé)任?！続/B/C等級】5.1.9 軟件配置與管理計劃生產(chǎn)

28、商應(yīng)當(dāng)列入或者參考軟件開發(fā)計劃中的軟件配置管理信息。軟件配置管理信息應(yīng)當(dāng)包括或者參考：（a） 等級，類型，分類或者需要控制的項目列表；（b） 軟件配置管理活動和任務(wù)；（c） 對實施軟件配置管理和活動負責(zé)的系統(tǒng)；（d） 它們與其他系統(tǒng)的關(guān)系，例如軟件開發(fā)或維護；（e） 當(dāng)項目需要處在配置控制之下時；以及（f） 當(dāng)問題處理程序被應(yīng)用?！続/B/C等級】5.1.10 將要被控制的輔助項目需要被控制的項目應(yīng)當(dāng)包括工具、項目或者設(shè)置，用來開發(fā)醫(yī)療設(shè)備軟件，這將對醫(yī)療設(shè)備軟件產(chǎn)生影響。【B/C級】注：這類項目的樣本包括編譯/匯編，制作文件，批處理文件和特定的環(huán)境設(shè)置。5.1.11 檢驗之前的軟件配置項目監(jiān)

29、控在檢驗之前，生產(chǎn)商應(yīng)當(dāng)計劃把配置項目放置于備有文件證明的配置管理監(jiān)控之下?！綛/C級】5.2軟件需求分析5.2.1從系統(tǒng)需求定義和用文件證明軟件需求對于醫(yī)療設(shè)備的每個軟件系統(tǒng)，生產(chǎn)商應(yīng)該從系統(tǒng)水平的需求定義和用文件證明軟件需求5.2.2 軟件需求內(nèi)容至于醫(yī)療設(shè)備軟件，視情況而定，在軟件需求中，生產(chǎn)商應(yīng)當(dāng)包括：（a） 功能要求和性能要求；注1 樣本包括： 性能（例如軟件的用途，時間要求）， 物理特性（例如代碼語言，平臺，操作系統(tǒng)）， 軟件運行的計算機環(huán)境（例如硬件，內(nèi)存大小嗎，處理單元，時區(qū)，網(wǎng)絡(luò)架構(gòu)），以及 對升級兼容性或多個SOUP（未命名軟件）或其他設(shè)備版本的需求。（b） 軟件系統(tǒng)輸入和

30、輸出注2：樣本包括： 數(shù)據(jù)特征（例如，用數(shù)字表示的，文字數(shù)字式的，格式） 級別， 范圍，以及 預(yù)設(shè)值（c） 軟件系統(tǒng)和其他系統(tǒng)之間的接口；（d） 軟件驅(qū)動警報，警告和操作者信息；（e） 安全要求；注3：樣本包括： 與敏感信息妥協(xié)相關(guān)的； 鑒定； 授權(quán)； 審查跟蹤，以及 通信完整。（f） 對人為誤差和訓(xùn)練敏感的使用性工程要求；注4：樣本包括與如下相關(guān)的： 人工操作支持， 手工設(shè)備干預(yù)； 對個人的限制，以及 需要人類關(guān)注的區(qū)域。注5：有關(guān)使用性工程要求的信息科參閱IEC60601-1-6。（g） 數(shù)據(jù)定義和數(shù)據(jù)庫要求；注6：樣本包括： 格式； 一致； 功能。（h） 在操作和維護點，已交付使用的醫(yī)療

31、設(shè)備軟件安裝和驗收要求；（i） 與操作和維護方法相關(guān)的要求；（j） 需要被開發(fā)的用戶文件資料；（k） 用戶的維護要求；以及（l） 法規(guī)要求。（m） 【A/B/C等級】注7：在軟件開發(fā)初期，可能非所有要求都是可行的。注8：ISI/IEC 9126-1【8】在質(zhì)量特征方面提供信息，這對給軟件需求下定義可能是有用的。5.2.3 軟件需求中列入的風(fēng)險控制措施制造商應(yīng)在軟件中列入風(fēng)險控制措施的實施，由于在要求中硬件故障和軟件潛在缺陷在醫(yī)療設(shè)備軟件中是酌情存在的?！綛/C級】注：在軟件開發(fā)初期，可能非所有要求都是可行的。并且，隨著軟件的設(shè)計和風(fēng)險控制措施的進一步定義，這些要求是可以更改的。5.2.4 再次

32、評估醫(yī)療設(shè)備風(fēng)險分析當(dāng)軟件需求確立和更新時，生產(chǎn)商應(yīng)當(dāng)酌情再次評估醫(yī)療設(shè)備風(fēng)險分析。5.2.5升級系統(tǒng)需求生產(chǎn)商應(yīng)當(dāng)確保現(xiàn)存的要求包括系統(tǒng)需求被酌情再次評估和升級，因此對軟件需求分析活動也是同樣?！続/B/C級】5.2.6檢驗軟件需求生產(chǎn)商應(yīng)當(dāng)檢驗并用文件證明軟件需求：（a） 實施系統(tǒng)需求，包括與風(fēng)險控制有關(guān)的；（b） 不要相互矛盾；（c） 用避免歧義的術(shù)語來表述；（d） 用術(shù)語陳述，該術(shù)語允許建立檢驗標準和實施測試來決定檢驗標準是否曾遇見過；（e） 能夠被唯一分辨；以及（f） 對系統(tǒng)需求或其它資源可追溯?！続/B/C級】注：本標準不需要用標準規(guī)格語言。5.3 軟件體系設(shè)計5.3.1把軟件需求

33、轉(zhuǎn)變?yōu)橐粋€體系生產(chǎn)商應(yīng)當(dāng)把醫(yī)療設(shè)備軟件需求轉(zhuǎn)變成為一個備有文件證明的體系，用來描繪軟件結(jié)構(gòu)，區(qū)分軟件項目。【B/C級】5.3.2 為軟件項目接口開發(fā)一個體系生產(chǎn)商應(yīng)當(dāng)為軟件項目和軟件項目之外的組件（軟件和硬件皆有）的接口，以及軟件項目之間，開發(fā)和用文件證明一個體系?！綛/C級】5.3.3 詳細說明SOUP（未知軟件項目）的功能和性能要求如果一個軟件項目被定義為SOUP（未知軟件項目），生產(chǎn)商應(yīng)當(dāng)詳細說明SOUP（未知軟件項目）的功能和性能要求，對于它的預(yù)期用途來說，這是很必要的。【B/C級】5.3.4 詳細說明SOUP（未知軟件項目）的系統(tǒng)硬件和系統(tǒng)軟件如果一個軟件項目被定義為SOUP（未知軟

34、件項目），生產(chǎn)商應(yīng)當(dāng)詳細說明必要的系統(tǒng)硬件和系統(tǒng)軟件來輔助SOUP（未知軟件項目）的適當(dāng)操作?！綛/C級】注：樣本包括處理器類型和速度，內(nèi)存類型和大小，系統(tǒng)軟件類型，通訊軟件和顯示軟件需求。5.3.5 分辨必要的風(fēng)險控制隔離生產(chǎn)商應(yīng)當(dāng)分辨出對風(fēng)險控制不可或缺的軟件項目及怎樣保證隔離狀態(tài)的有效?！綜級】注：隔離樣本是使得軟件項目在不同處理器上實施任務(wù)。隔離的有效性能夠通過處理期間無共享資源來保證。5.3.6 檢測軟件體系生產(chǎn)商應(yīng)當(dāng)檢測并用文件證明如下內(nèi)容：（a） 軟件體系實施系統(tǒng)和軟件需求，包括與風(fēng)險控制相關(guān)的要求；（b） 軟件體系能夠支持軟件項目之間、軟件項目與硬件項目之間的接口；以及（c）

35、醫(yī)療設(shè)備軟件支持任何SOUP（未知軟件項目）的正確操作。【B/C級】5.4軟件詳細設(shè)計5.4.1把軟件體系細化為軟件單元生產(chǎn)商應(yīng)當(dāng)細化軟件體系知道它以軟件單元的形式出現(xiàn)。【B/C級】5.4.2為每一個軟件單元開發(fā)詳細設(shè)計生產(chǎn)商應(yīng)當(dāng)為每一個軟件項目的軟件單元開發(fā)一個詳細設(shè)計并用文件證明?！綜級】5.4.3 為接口開發(fā)詳細設(shè)計生產(chǎn)商應(yīng)當(dāng)為所有軟件單元與軟件單元之外的組件（硬件或者軟件）的接口，以及軟件單元之間的接口開發(fā)一個詳細設(shè)計并用文件證明?！綜級】5.4.4 檢測詳細設(shè)計生產(chǎn)商應(yīng)當(dāng)檢測軟件詳細設(shè)計并用文件證明：（a） 實施軟件體系；以及（b） 不與軟件體系相互沖突?！綜級】5.5 軟件單元的實

36、施和檢驗5.5.1 實施各個軟件單元生產(chǎn)商應(yīng)當(dāng)實施各個軟件單元。【A/B/C級】5.5.2建立軟件單元檢驗程序生產(chǎn)商應(yīng)當(dāng)為檢驗檢測各個軟件單元建立策略方法和步驟。當(dāng)通過測試完成檢測時，應(yīng)當(dāng)為其正確性而評估測試過程。【B/C級】注：驗收標準樣本為： 軟件編碼實施要求包括風(fēng)險控制措施嗎？ 軟件編碼與軟件單元中所詳細設(shè)計并用文件證明的接口相互沖突嗎？ 軟件編碼符合項目過程或者編碼標準嗎？ 5.5.3 軟件單元驗收標準在軟件單元整合到較大的軟件項之前，生產(chǎn)商應(yīng)該適當(dāng)?shù)臑檐浖卧Ⅱ炇諟蕜t，保證軟件單元符合驗收標準。5.5.4 增加軟件單元驗收標準當(dāng)以下項目出現(xiàn)在設(shè)計之中時，生產(chǎn)商應(yīng)當(dāng)酌情列入增加的驗

37、收標準：（a） 正確的時間順序;（b） 數(shù)據(jù)流和控制流；（c） 有計劃的資源分配；（d） 故障處理（錯誤鑒定，隔離與修復(fù)）；（e） 變量初始化；（f） 自我診斷；（g） 記憶管理與記憶溢出；以及（h） 邊界狀態(tài)?！綜級】5.5.5 軟件單元檢驗生產(chǎn)商應(yīng)當(dāng)完成軟件單元檢測并用文件證明其結(jié)果?！綛/C級】5.6軟件集成和集成測試5.6.1 一體化軟件單元生產(chǎn)商應(yīng)當(dāng)使軟件單元一體化以與集成計劃（見5.1.5）一致【B/C級】5.6.2 檢測軟件集成生產(chǎn)商應(yīng)當(dāng)按照集成計劃，檢測并記錄軟件集成的以下方面（見5.1.5）：（a） 軟件單元應(yīng)當(dāng)整合集成為軟件項目和軟件系統(tǒng)；以及（b） 系統(tǒng)的硬件項目，軟件項

38、目以及人工操作輔助項目（例如人類特征接口，在線幫助菜單，聲音控制等）已被集成入該系統(tǒng)?！綛/C級】注：檢測僅指項目已經(jīng)按照計劃集成化，非他們按照意愿所作的。這個檢測很有可能是由某種形式的檢查實施的。5.6.3 測試組合軟件生產(chǎn)商應(yīng)當(dāng)按照集成計劃（見5.1.5）來測試組合軟件項目并用文件證明其結(jié)果。【B/C級】5.6.4集成測試內(nèi)容至于集成測試內(nèi)容，生產(chǎn)商應(yīng)當(dāng)注重組合軟件項目是否是按預(yù)期運轉(zhuǎn)?！綛/C級】注1 樣本應(yīng)當(dāng)被當(dāng)作： 軟件的功能性需要； 風(fēng)險控制措施的實施； 規(guī)定的時間和其它行為； 規(guī)定的內(nèi)外接口功能；以及 在非正常狀態(tài)下的測試，包括可預(yù)見的誤用。注2 把集成測試與軟件系統(tǒng)測試結(jié)合成一

39、個單獨計劃和活動是可行的。5.6.5 檢測集成測試步驟生產(chǎn)商應(yīng)當(dāng)評估集成測試步驟的正確性?！綛/C級】5.6.6 實行復(fù)原測試當(dāng)軟件項目已集成，生產(chǎn)商應(yīng)當(dāng)酌情實行復(fù)原測試以證明之前缺陷并未被引進入結(jié)合軟件中?！綛/C級】5.6.7 集成測試記錄內(nèi)容生產(chǎn)商應(yīng)當(dāng)（a） 用文件證明測試結(jié)果（合格/不合格以及異?，F(xiàn)象列表）（b） 保留足夠的記錄以能夠重復(fù)檢測；以及（c） 確定檢測者。【B/C級】注;要求(b)可以通過保持以下信息來實施，例如： 檢測案例規(guī)格所顯示的要求動作和所期望的結(jié)果； 裝備記錄； 測試環(huán)境記錄（包括軟件工具）。5.6.8 運用軟件疑難解答程序生產(chǎn)商應(yīng)當(dāng)從軟件集成和集成測試過程中發(fā)現(xiàn)

40、的異常情況進入軟件疑難解答程序?！綛/C級】注：見條款95.7軟件系統(tǒng)測試5.7.1為軟件需求設(shè)置測試生產(chǎn)商應(yīng)當(dāng)設(shè)置和實行一系列測試，以輸入刺激，預(yù)期結(jié)果，符合/不符合標準和過程來表示，用以實施軟件系統(tǒng)測試，這樣所有的軟件需求被覆蓋?！綛/C級】注1：把集成測試與軟件系統(tǒng)測試結(jié)合成一個單獨的計劃和活動是可接受的。在早期測試軟件需求也是可行的。注2：不僅對每個要求的分開測試是可實施的，而且所有要求聯(lián)合的測試也是可行的，特別是如果各個要求之間獨立性存在時。5.7.2運用軟件疑難解答程序生產(chǎn)商應(yīng)當(dāng)從軟件系統(tǒng)測試中發(fā)現(xiàn)的異?，F(xiàn)象進入軟件疑難解答程序?！綛/C級】5.7.3 更改之后的再次測試當(dāng)軟件系統(tǒng)

41、測試出現(xiàn)更改時，生產(chǎn)商應(yīng)當(dāng)：（a） 酌情展開重復(fù)測試，展開修改過的測試或展開新增測試，以修正問題所帶來的改變的有效性；（b） 酌情展開測試來證明沒有引來非預(yù)期負面影響；以及（c） 按照7.4所定義的，展開相關(guān)風(fēng)險管理活動。5.7.4檢測軟件系統(tǒng)測試生產(chǎn)商應(yīng)當(dāng)檢測以下內(nèi)容：（a） 所采用的檢測策略和測試過程是合適的；（b） 所有的軟件需求已經(jīng)被測試過或者被檢測過；以及（c） 測試結(jié)果符合所要求的合格/不合格標準。【B/C級】5.7.5 軟件測試記錄內(nèi)容生產(chǎn)商應(yīng)當(dāng)：（a） 用文件證明測試結(jié)果（合格/不合格以及異常情況列表）；（b） 保留足夠記錄以能夠重復(fù)檢測，以及（c） 檢驗測試者?！綛/C級】注

42、;要求(b)可以通過保持以下信息來實施，例如： 檢測案例規(guī)格所顯示的要求動作和所期望的結(jié)果； 裝備記錄； 測試環(huán)境記錄（包括軟件工具）。5.8軟件發(fā)布5.8.1保證軟件檢測是完整的在軟件發(fā)布之前，生產(chǎn)商應(yīng)當(dāng)確保軟件檢驗已完成、結(jié)果已被評估。【B/C級】5.8.2用文件證明已知的殘留異常情況生產(chǎn)商應(yīng)當(dāng)用文件證明所有已知的殘留異常情況。【B/C級】5.8.3評估已知的殘留異常情況生產(chǎn)商應(yīng)當(dāng)確保所有已知的殘留異常情況都已經(jīng)被評估，以確保它們不會引起不可接受的風(fēng)險。【B/C級】5.8.4用文件證明已發(fā)布的版本生產(chǎn)商應(yīng)當(dāng)用文件證明即將發(fā)布的軟件產(chǎn)品的版本，【A/B/C級】5.8.5用文件證明已發(fā)布軟件是

43、如何創(chuàng)作的生產(chǎn)商應(yīng)當(dāng)用文件證明用來創(chuàng)作此已發(fā)布軟件的過程和環(huán)境?！綛/C級】5.8.6 確?；顒雍腿蝿?wù)是完整的生產(chǎn)商應(yīng)當(dāng)確保所有的活動和任務(wù)以及所有相關(guān)的文件是完整的?！綛/C級】5.8.7把軟件存檔生產(chǎn)商應(yīng)當(dāng)把以下信息存檔：（a） 軟件產(chǎn)品和配置項目；以及（b） 文件材料最短保存期限由以下時間長度來決定：生產(chǎn)商所定義的設(shè)備壽命，或者由相關(guān)法規(guī)要求所規(guī)定的時間?！綛/C級】5.8.8 保證軟件發(fā)布的可重復(fù)性生產(chǎn)商應(yīng)當(dāng)設(shè)定步驟來確保已發(fā)布的軟件產(chǎn)品能夠不被損壞與非法更改，并確實被交付至使用處。這些步驟應(yīng)當(dāng)酌情強調(diào)列入軟件產(chǎn)品的媒體處理和產(chǎn)品： 反響， 媒體標簽， 包裝， 保護措施， 儲藏，以及，

44、 交付使用?！綛/C級】6 軟件維護程序6.1 建立軟件維護計劃生產(chǎn)商應(yīng)當(dāng)建立一個軟件維護計劃來實施維護程序的活動和任務(wù)。這個計劃應(yīng)當(dāng)表達出如下信息：（a）的步驟： 接收， 用文件證明， 評估， 解決， 追蹤在醫(yī)療設(shè)備軟件發(fā)布之后出現(xiàn)的反饋；（b）決定反饋是否被認作是一個問題的標準；（c）軟件風(fēng)險管理程序的應(yīng)用；（d）軟件疑難解答程序的運用，以分析和解決醫(yī)療設(shè)備軟件發(fā)布后出現(xiàn)的問題；（e）軟件配置管理程序（條款8）的運用，以管理對現(xiàn)存系統(tǒng)的修改；以及（f）評估和實施的步驟；SOUP（未知軟件項目）的 升級， 漏洞修補， 修補程序， 老化?！続/B/C級】6.2 問題分析與修改分析6.2.1 用

45、文件證明并評估反饋 監(jiān)控器反饋生產(chǎn)商應(yīng)當(dāng)監(jiān)控來自從其組織內(nèi)部和用戶處的關(guān)于已發(fā)布產(chǎn)品的反饋。 用文件證明并評估反饋反饋應(yīng)當(dāng)用文件證明并被評估以確定已發(fā)布的軟件產(chǎn)品中是否有問題存在。所有類似問題都應(yīng)當(dāng)被記錄成問題報告（見條款9）。問題報告應(yīng)當(dāng)包括實際存在和潛在的不良事件以及規(guī)格偏差?！続/B/C級】 評估問題報告對安全性產(chǎn)生的影響每個問題報告都應(yīng)當(dāng)被評估來確定它是怎樣影響到已發(fā)布軟件產(chǎn)品的安全性，以及為解決此問題對已發(fā)布軟件產(chǎn)品做出更改是否有必要?！続/B/C級】6.2.2運用軟件疑難解答程序生產(chǎn)商應(yīng)當(dāng)運用軟件疑難解答程序（見條款9）來解決問題報告。【A

46、/B/C級】注：當(dāng)活動完成，軟件系統(tǒng)或軟件項目安全級別的任何變更都需要被通報。6.2.3 分析變更需求除條款9所要求的分析外，生產(chǎn)商應(yīng)當(dāng)分析各個變更請求對組織，已發(fā)布軟件產(chǎn)品，相互作用的各系統(tǒng)所產(chǎn)生的影響?！綛/C級】6.2.4變更請求批準生產(chǎn)商應(yīng)當(dāng)評估并批準修改已發(fā)布產(chǎn)品的變更請求?！続/B/C級】6.2.5與用戶和調(diào)整者溝通生產(chǎn)商應(yīng)當(dāng)確定已批準的對已發(fā)布軟件產(chǎn)品產(chǎn)生影響的變更請求。按當(dāng)?shù)胤ㄒ?guī)要求，生產(chǎn)商應(yīng)當(dāng)通知用戶和協(xié)調(diào)者以下內(nèi)容：（a） 軟件產(chǎn)品中的所有問題以及持續(xù)無更改將帶來的后果；以及（b） 所有對已發(fā)布軟件產(chǎn)品的可行改變的性質(zhì)以及怎樣獲得和安裝更改之處?！続/B/C級】6.3修改之

47、處的實施6.3.1運用已制定的程序來實施修改之處生產(chǎn)商應(yīng)當(dāng)用軟件開發(fā)程序（見條款5）或一個已制定的維護程序來實施這些修改之處?！続/B/C級】注: 關(guān)于軟件更改的風(fēng)險管理要求請看7.4。6.3.2 再次發(fā)布已修改的軟件系統(tǒng)生產(chǎn)商應(yīng)當(dāng)按照5.8來發(fā)布已修改的軟件系統(tǒng)。條款修改可以作為重新發(fā)布的軟件系統(tǒng)的一個部分，或者作為列入已更改的軟件項目和必要工具的修改組件來安裝更改之處，并作為對現(xiàn)存軟件系統(tǒng)的修改條款?！続/B/C級】7軟件風(fēng)險管理程序7.1對導(dǎo)致危險情形的軟件進行分析7.1.1辨別能夠?qū)е挛ｋU情形的軟件項目生產(chǎn)商應(yīng)當(dāng)辨別在ISO14971（見4.2）醫(yī)療設(shè)備風(fēng)險分析活動所檢驗的能夠?qū)е挛ｋU

48、情形的軟件項目?！綛/C級】注：危險情形可能成為軟件失敗的直接結(jié)果，或者是在軟件中實施風(fēng)險控制程序失敗的直接結(jié)果。7.1.2辨別潛在的導(dǎo)致危險情形的原因生產(chǎn)商應(yīng)當(dāng)辨別上面所檢驗的軟件項目潛在的導(dǎo)致危險情形的原因。生產(chǎn)商應(yīng)當(dāng)酌情考慮包括以下內(nèi)容在內(nèi)的潛在原因：（a） 不正確或不完整的功能規(guī)格；（b） 在已檢驗軟件項目功能上的軟件缺陷；（c） 會導(dǎo)致不可預(yù)知的軟件操作的硬件故障或軟件缺陷；以及（d） 適度、可預(yù)見的誤用【B/C級】7.1.3 評估已發(fā)布的SOUP（未知軟件項目）的異常列表如果來自SOUP(未知軟件項目)的故障或者預(yù)料之外的結(jié)果是導(dǎo)致危險情形的軟件項目的潛在原因，生產(chǎn)商應(yīng)當(dāng)把由提供者

49、或者與未知軟件項目相關(guān)的應(yīng)用于醫(yī)療設(shè)備未知軟件項目的任何異常列表當(dāng)作最大化評估，來確定是否所有已知異常會引起導(dǎo)致危險情形一系列事件?！綛/C級】7.1.4用文件證明潛在原因生產(chǎn)商應(yīng)當(dāng)在風(fēng)險管理文件中用文件證明導(dǎo)致危險情形的軟件項目的潛在原因。7.1.5用文件證明事件結(jié)果生產(chǎn)商應(yīng)當(dāng)在風(fēng)險管理文件中用文件證明會導(dǎo)致危險情形的事件（7.1.2所定義的）結(jié)果。【B/C級】7.2風(fēng)險控制措施7.2.1明確風(fēng)險控制措施對于每一個在風(fēng)險管理文件中所記錄的導(dǎo)致危險情形的軟件項目的潛在原因，生產(chǎn)商應(yīng)當(dāng)明確并用文件證明風(fēng)險控制措施?！綛/C級】7.2軟件中實施的風(fēng)險控制措施如果一個風(fēng)險控制措施是作為一個軟件項目的

50、一個功能部分，生產(chǎn)商應(yīng)當(dāng)：（a） 在軟件需求中列入軟件控制措施；（b） 基于風(fēng)險控制措施正在控制的風(fēng)險可能會產(chǎn)生的影響，為軟件項目設(shè)定一個安全級別；以及（c） 開發(fā)一個與條款5一致的軟件項目?！綛/C級】注：這個要求為ISO14971風(fēng)險控制要求提供新增的細節(jié)7.3 風(fēng)險控制措施的檢驗7.3.1檢驗風(fēng)險控制措施在7.2中用文件證明的各個風(fēng)險控制措施的實施應(yīng)當(dāng)被檢驗，且批準核對案件應(yīng)當(dāng)用文件證明?！綛/C級】7.3.2用文件證明所有新的事件結(jié)果如果風(fēng)險控制措施是作為一個軟件項目運行，那么生產(chǎn)商應(yīng)當(dāng)評估風(fēng)險控制措施來檢驗所有新的能夠?qū)е挛ｋU情形的事件影響，并在風(fēng)險管理文件中用文件證明?！綛/C級】

51、7.3.3 用文件證明可追溯性生產(chǎn)商應(yīng)當(dāng)酌情用文件證明軟件危險障礙的可追溯性：（a） 從危險情形到軟件項目；（b） 從軟件項目到具體軟件原因；（c） 從軟件原因到軟件控制措施；以及（d） 從風(fēng)險控制措施到風(fēng)險控制措施的檢驗。【B/C級】注：見ISO 14971 風(fēng)險管理報告7.4 軟件更改的風(fēng)險管理7.4.1對醫(yī)療設(shè)備軟件安全性更改的分析生產(chǎn)商應(yīng)當(dāng)對醫(yī)療設(shè)備軟件（包括未知軟件項目）的更改進行分析以確定是否：（a） 新增潛在原因被引入是造成危險情形的部分原因；以及（b） 新增軟件風(fēng)險控制措施是被需要的?！続/B/C級】7.4.2 分析軟件更改對現(xiàn)存風(fēng)險控制措施產(chǎn)生的影響生產(chǎn)商應(yīng)當(dāng)分析軟件更改，包

52、括對未知軟件的更改，以確定軟件修改是否可能與風(fēng)險控制措施相抵觸。【B/C級】7.4.3 基于分析的風(fēng)險管理活動生產(chǎn)商應(yīng)當(dāng)基于分析的基礎(chǔ)上，執(zhí)行定義在7.1,7.2及7.3里相關(guān)的風(fēng)險管理活動。8軟件配置管理措施8.1配置確認8.1.1建立檢驗配置項目的方法生產(chǎn)商為唯一的配置項目以及為計劃將要被控制的版本建立一個計劃。計劃應(yīng)當(dāng)包括其他軟件產(chǎn)品或者實體例如未知軟件項目和文件材料【A/B/C級】8.1.2 檢驗未知軟件項目對每個正在使用中的軟件項目來說，包括標準函數(shù)庫，生產(chǎn)商都應(yīng)當(dāng)用文件證明:(a) 標題(b) 生產(chǎn)商；以及(c) 唯一的未知軟件項目指定者8.1.3檢驗系統(tǒng)配置文件材料生產(chǎn)商應(yīng)當(dāng)用文

53、件證明這套配置項目和它們列入軟件系統(tǒng)配置的版本?！続/B/C級】8.2變更控制8.2.1批準變更要求生產(chǎn)商應(yīng)當(dāng)只有在響應(yīng)已批準的變更請求的情況下更改配置項目?！続/B/C級】注1：批準一個變更請求的決定可以與控制程序的更改相結(jié)合或者作為另一程序的一部分。分條款只要求變更的批準先于它的實施。注2：在生命周期的不同階段，不同的驗收標準可以用于不同的變更請求，正如計劃中所陳述的那樣，見5.1.1（e）與6.1（e）.8.2.2 實施變更內(nèi)容生產(chǎn)商應(yīng)當(dāng)按照變更請求的規(guī)定實施變更內(nèi)容。生產(chǎn)商應(yīng)當(dāng)檢驗并實施由于更改需要重復(fù)的活動，包括軟件系統(tǒng)軟件安全級別的更改和軟件項目軟件安全級別的更改?！続/B/C級】

54、注：分條款規(guī)定更改應(yīng)當(dāng)如何被實施以獲得足夠的變更控制。這不僅意味著實施是變更控制程序的主要部分。實施該變更應(yīng)當(dāng)運用計劃的程序，見5.1.1（e）與6.1（e）。8.2.3驗證變更的內(nèi)容生產(chǎn)商應(yīng)該驗證任何變更，包括任何已被重復(fù)驗證失效的變化，并考慮到5.7.3和9.7為例。8.2.4為變更的可追溯性提供方法生產(chǎn)商應(yīng)當(dāng)通過以下各個方法創(chuàng)作審查跟蹤：（a） 變更請求；（b） 相關(guān)問題報告；以及（c） 變更要求的批準這些都能夠被追蹤到?！続/B/C級】8.3配置狀況說明生產(chǎn)商應(yīng)當(dāng)保留被控制配置項目包括系統(tǒng)配置的可檢索歷史記錄?！続/B/C級】9軟件疑難解答程序9.1準備問題報告生產(chǎn)商應(yīng)當(dāng)為在軟件產(chǎn)品中所發(fā)現(xiàn)的每一個問題準備問題報告。問題報告應(yīng)當(dāng)按照如下步驟進行分類：（a） 類型例1 對新環(huán)境矯正，預(yù)防或者適應(yīng)（b）