软件生存周期过程控制程序.docx

1.目的

对医疗器械软件产品的设计和开发过程进行控制，确保产品满足用户的需求和期望以及有关标准、

法令、法规的要求。

2.适用范围

适用于本公司产品软件部分的开发与测试过程活动的控制和管理。

本文件适用于作为医疗器械用途的独立软件，软件组件参照执行。本文件所述“软件”均是指医疗器

械软件。

医疗器械软件的设计开发过程除需要按《设计和开发控制程序》执行外，还需要遵守本

文件的要求。

本公司软件过程活动范围为：确定开发者和组织、定义并开发软件的活动。其活动划分为：软件开发策划、软件需求分析、软件设计、软件编码、验证与确认、软件更新、风险管理、缺陷管理、可追溯性分析、配置管理、文件与记录控制、现成软件、网络安全、软件发布、软件部署、软件停运等活动的

要求等阶段。

3.引用

YY∕T0664-2020《医疗器械软件软件生存周期过程》

4.职责

1）研发部负责软件部分的开发过程及其结果的质量控制，标准化管理。

2）质管部负责软件过程和成果的质量监控；负责软件生存周期文档质量管理。

5.定义

医疗器械软件：旨在包括在被开发的医疗器械内的已开发的软件系统，或者预期本身用作医疗器械

而开发的软件系统。

软件系统：编制以完成特定功能或一组功能的软件项的整合体。

软件项：计算机程序中任一可识别的部分，包括顶级的软件系统、底级的不能进一步分解的软件单

元。

软件单元：不可再分的软件项。可用于软件配置管理或测试的目的。

独立软件：具有一个或多个医疗目的或用途，无需医疗器械硬件即可完成自身预期目的，运行于通

用计算平台的软件。

软件组件：具有一个或多个医疗目的或用途，控制、驱动医疗器械硬件或运行于医用计算平台的软

件。

软件安全性级别：基于软件风险程度分为轻微、中等和严重，其中轻微即软件不可能产生伤害，中

等即软件可能直接或间接产生轻微伤害，严重即软件可能直接或间接产生严重伤害或导致死亡。

软件验证：通过提供客观证据认定软件开发、软件更新某一阶段的输出满足输入要求。

软件确认：通过提供客观证据认定软件满足用户需求和预期目的。

版本：某一配置项的已标识了的实例。

配置项：能在给定的基准点上单独标识的实体。

回归测试：要求用于确定系统组件的更改没有对功能性、可靠性或性能产生不良影响，并且没有引

入另外的缺陷的测试。

软件可追溯性分析：追踪软件需求、软件设计、源代码、软件测试、软件风险管理之间的关系，分

析已识别关系的正确性、一致性、完整性和准确性。

软件更新：生产企业在软件生存周期全过程对软件所做的任一修改，亦称软件变更或软件维护。

软件停运：生产企业在软件生存周期过程末期终止对软件的售后服务和销售，亦称软件退市。

现成软件：生产企业未进行完整生存周期控制的软件，包括遗留软件、成品软件、外包软件。

遗留软件：生产企业以前开发但现在不能得到足够开发记录的软件。

成品软件：已开发且通常可得到的，但生产企业未进行完整生存周期控制的软件。

外包软件：生产企业委托第三方开发的软件。

网络安全：保持医疗器械相关数据的保密性、完整性和可得性。

生存周期模型：一个包含过程、活动和任务的框架，这些过程、活动和任务涉及软件产品的开发、

运行和维护，跨越从需求定义到终止使用的系统生存周期。

6.软件安全性级别

6.1安全性级别分类

由软件开发负责人在采取风险控制措施之前，结合软件的预期用途、使用场景和核心功能进行综合

判定软件的安全级别。

A级：不可能对健康有伤害或损坏。

B级：可能有不严重的伤害。

C级：可能死亡或严重伤害。严重伤害的范围包括：危及生命；造成人体功能的永久损害或人体结

构的永久性损坏；或需要内科或外科介入以防止人体功能的永久损害或人体结构的永久性损伤。

6.2管理要求

如果软件失效引起的死亡或者严重伤害的风险，随后由硬件风险控制措施降低到可接受水平，或者降低失效后果或者降低由失效引起的死亡或者严重伤害的概率，软件的安全性级别可从C降低到B（不能直接由C降低到A）；如果软件失效引起的非严重伤害风险同样通过硬件风险控制措施降低到可接受

水平，软件的安全性级别可从B降低到A。

应依据风险控制措施所控制的危害的可能影响，对实施风险控制措施起作用的每个软件系统赋予一

个软件安全性级别。

当一个软件系统分解为软件项，以及当一个软件项又进一步分解为几个软件项时，此类软件的软件

项应继承原软件项（或软件系统）最高的安全性级别（注：以C级为最高，B级次之，A级最低）。

7.生存周期模型

7.1一般要求

软件开发负责人根据产品的安全等级、复杂程度、预期用途、开发方式等方面综合考虑，选择合适

的软件生存周期模型。软件生存周期过程质量保证活动的要求应当与