软件的安全性级别.doc

*软件的安全性级别 制造商应按照软件系统引起的危害对于患者、操作者或其他人员的可能影响，赋予每个软件系统一个软件安全性级别（A、B或C）。 基于如下的严重度，应初步赋予软件相应安全性级别： A级：不可能对健康有伤害或损坏。 B级：可能有不严重的伤害。 C级：可能死亡或严重伤害。 如果危害可能由软件系统未能象规定的那样想作用引起，则此项失效的概率应假定为100%。 如果软件失效引起死亡或严重伤害的风险，随后由硬件风险控制措施降低到可接受水平（如YY/T 0316所规定），或者降低失效后果或者降低由失效引起的死亡或严重伤害的概率，软件安全性级别可从C降低到B；如果软件失效引起的非严重伤害风险同样通过硬件风险控制措施降低到可接收水平，软件安全性级别可从B降低到A。 制造商应依据风险控制措施所控制的危害的可能影响，对实施风险控制措施起作用的每个软件系统赋于一个软件安全性级别。 制造商应在风险管理文档中将赋于每个软件系统的软件安全性级别形成文档。 当一个软件系统分解为软件项，及当一个软件项又进一步分解为几个软件项时，此类软件项应继承原软件项（或软件系统）的软件安全性级别， 除非制造商以文件形式证明分类为不同的安全性级别的理由。此类理由说明应解释新的软件项是如何被分开的，以便可对其另行分级。 如果以分解方式产生的软件项的安全级别和其源软件项不同，制造商应对每个软件项的软件安全级别形成文档。 为符合本标准，无论特定级别的软件项是否需要一个过程，此过程是否有必要应用于一组软件项，制造商应使用此组中最高级别的软件项所要求的诸过程和任务，除非制造商在风险管理文档中有使用较低级别的理由的说明文件。 对每个软件系统，在赋于软件安全性级别以前，均应应用C级要求。 注：在随后的要求中，对该项要求必须实施的软件安全性级别，以[……级]形式标示于该要求之后。 7 *软件风险管理过程 *促成危害处境的软件分析 判定可能促成危害处境的软件项 制造商应确定在YY/T 0316的医疗器械风险分析活动（见4.2）中判定的可能危害处境的软件项。 [B、C级] 注：危害处境可能是软件失效的直接结果，或在软件中实施风险控制措施失效的效果。 判定促成危害处境的可能原因 制造商应判定上面确定的软件项和促成危害处境可能原因。 制造商应考虑的可能原因，适当时包括： 不正确的或不完整的功能性说明； 在已识别的软件项功能性中的软件缺陷； 来自未知来源软件（SOUP）的失效或非预期结果； 可能导致不可预知的软件运行的硬件失效或其他软件缺陷，和； 合理可预见的误用。 [B、C级] 7.1.3 评价公布的未知来源软件异常清单 如果来自未知来源软件的失效或意外结果是促成危害处境的软件项要可能原因，制造商至少应评价未知来源软件项供应商公布的任何异常清单，此未知来源软件项与用于医疗器械的未知来源软件项的版本有关，以确定是否有任何导致事件序列的异常，此事件序列会促成危害处境。 [B、C级] 7.1.4 将可能原因形成文档 制造商应在风险管理文件中将软件项促成危害处境的可能原因形成文档。（见YY/T 0316）。 7.1.5 将事件序列形成文档 制造商应在风险管理文件中将可能导致在7.1.2中所判定的危害处境的事件序列形成文档。 [B、C级] 7.2 风险控制措施 7.2.1 规定风险控制措施 对于在管理文件中形成文档的每个促成软件项危害处境的可能原因，制造商应规定风险控制措施并形成文档。 [B、C级] 注：风险控制措施可以在硬件、软件、工作环境或用户说明书中实施。 在软件中实施的风险控制措施 如果风险控制措施作为软件项功能的一部分来实施，制造商应： 在软件需求中包括风险控制措施； 基于风险控制措施所控制危害的可能影响，赋予软件项一个软件安全性级别；和 按照第5章开发软件项。 [B、C级] 注：本要求为YY/T 0316的风险控制要求提供补充的详细资料。 风险控制措施的验证 验证风险控制措施 对于7.2中形成文档的每个风险控制措施的实施应进行验证，并将此验证形成文档。 [B、C级] 7.3.2 将任何新事件序列形成文档 如果风险控制措施作为软件项实施，制造商应评价该风险控制措施，以判定可能导致危害处境的任何新的事件序列，并在风险管理文件中形成文档。 [B、C级] 7.3.3 将可追溯性形成文档 制造商应将软件危害的可追溯性形成文档，适当时有： 从危害处境到软件项； 从软件项到特定软件原因； 从软件原因到风险控制措施，和； 从风险控制措施到风险控制措施的验证。 [B、C级] 注：见YY/T 0316风险管理报告。 7.4 软件更改的风险管理 7.4.1 分析医疗器械软件(包括未知来源软件) 更改以确定是否： a) 引