软件的安全性级别.doc

*软件的安全性级别 制造商应按照软件系统引起的危害对于患者、操作者或其他人员的可能影响，赋予每个软件系统一个软件安全性级别（A、B或C）……级]形式标示于该要求之后。 7 *软件风险管理过程 *促成危害处境的软件分析 判定可能促成危害处境的软件项 制造商应确定在YY/T 0316的医疗器械风险分析活动（见4.2）中判定的可能危害处境的软件项。 [B、C级] 注：危害处境可能是软件失效的直接结果，或在软件中实施风险控制措施失效的效果。 判定促成危害处境的可能原因 制造商应判定上面确定的软件项和促成危害处境可能原因。 制造商应考虑的可能原因，适当时包括： 不正确的或不完整的功能性说明； 在已识别的软件项功能性中的软件缺陷； 来自未知来源软件（SOUP）的失效或非预期结果； 可能导致不可预知的软件运行的硬件失效或其他软件缺陷，和； 合理可预见的误用。 [B、C级] 7.1.3 评价公布的未知来源软件异常清单 如果来自未知来源软件的失效或意外结果是促成危害处境的软件项要可能原因，制造商至少应评价未知来源软件项供应商公布的任何异常清单，此未知来源软件项与用于医疗器械的未知来源软件项的版本有关，以确定是否有任何导致事件序列的异常，此事件序列会促成危害处境。 [B、C级] 7.1.4 将可能原因形成文档 制造商应在风险管理文件中将软件项促成危害处境的可能原因形成文档。（见YY/T 0316）。 7.1.5 将事件序列形成文档 制造商应在风险管理文件中将可能导致在7.1.2中所判定的危害处境的事件序列形成文档。 [B、C级] 7.2 风险控制措施 7.2.1 规定风险控制措施 对于在管理文件中形成文档的每个促成软件项危害处境的可能原因，制造商应规定风险控制措施并形成文档。 [B、C级] 注：风险控制措施可以在硬件、软件、工作环境或用户说明书中实施。 在软件中实施的风险控制措施 如果风险控制措施作为软件项功能的一部分来实施，制造商应： 在软件需求中包括风险控制措施； 基于风险控制措施所控制危害的可能影响，赋予软件项一个软件安全性级别；和 按照第5章开发软件项。 [B、C级] 注：本要求为YY/T 0316的风险控制要求提供补充的详细资料。 风险控制措施的验证 验证风险控制措施 对于7.2中形成文档的每个风险控制措施的实施应进行验证，并将此验证形成文档。 [B、C级] 7.3.2 将任何新事件序列形成文档 如果风险控制措施作为软件项实施，制造商应评价该风险控制措施，以判定可能导致危害处境的任何新的事件序列，并在风险管理文件中形成文档。 [B、C级] 7.3.3 将可追溯性形成文档 制造商应将软件危害的可追溯性形成文档，适当时有： 从危害处境到软件项； 从软件项到特定软件原因； 从软件原因到风险控制措施，和； 从风险控制措施到风险控制措施的验证。 [B、C级] 注：见YY/T 0316风险管理报告。 7.4 软件更改的风险管理 7.4.1 分析医疗器械软件(包括未知来源软件) 更改以确定是否： a) 引入了促成危害处境的附加的可能原因，和； b) 要求的附加软件风险控制措施。 [A、B、C级] 7.4.2 分析软件更改对现有风险控制措施的影响 制造商应分析软件的更改，包括对未知来源软件的更改，以确定软件是否会干扰现有风险控制措施。 [B、C级] 7.4.3 基于分析完成风险管理活动 制造商应在这些分析的基础上完成7.1、7.2和7.3中所确定的有关风险管理活动。 [B、C级] B.4.2 风险管理 软件开发充分地参与风险管理活动，以确保所有和医疗器械软件相关的合理可预见的风险得到考虑。 要求制造商应用一个符合YY/T 0316的风险管理过程，明确进进行医疗器械风险管理，而不要在本软件工程标准中规定一个合适的风险管理过程。由软件 促成的危害引发的特定软件风险管理活动在第7章描述的支持过程中确定。 B.7 软件风险管理过程 软件风险管理是整个医疗器械风险管理的一部分，孤立阐述是不充分的。本标准要求应用符合YY/T 0316的风险管理过程。如YY/T 0316所规定的那样，风险管理特别涉及到有关医疗器械使用的风险的有效管理的框架。YY/T 0316的一部分属于控制与在风险分析中已识别的每个危害有关的已识别的风险。本标准中的软件风险管理过程预期提供对软件(包括在风险分析期间识别的可能促成危害处境的软件，或用于控制医疗器械风险的软件)风险控制的附加要求。由于以下两个原因，软件风险管理过程包括在本标准中： 本标准的预期读者需要理解他们在软件职责范围内对风险控制措施的最低要求： 通用风险管理标准YY/T 0316，在本标准中作为规范性引用文件而提供，不特别阐述