医疗器械软件生命周期管理

1、医疗器械软件生命周期管理Medical Software Lifecycle项目背景Project background带软件有源产品成为主流，独立软件具有巨大的市场潜力和发展空间软件失效引起的召回比例居高不下CE、FDA、SFDA对医疗器械软件的监管力度越来越大注。培训背景Background项目设计Project design概述标准解读SFDA要求管理实施术语，行业背景，软件工程介绍IEC62304，YY/T0664标准对软件生存周期的要求国内监管的要求，体系和注册如何结合公司现状的实际推行软件生存周期管理培训内容Content概述标准解读国内要求管理实施术语背景软件工程术语软件Soft

2、ware程序、数据和文档的合集程序=算法+结构配置项Configuration Item能在给定的基准点上单独标识的实体配置管理旨在记录软件产品演化过程未知来源软件SOUP已经开发且通常可得到的，并且不是为用以包含在医疗器械内而开发的软件项（也通称为成品软件），或以前开发的、不能得到其开发过程足够记录的软件。19992005 年期间软件导致的医疗器械产品故障统计年份1999200020012002200320042005总计医疗器械召回总数4984605936745254685533771含软件器械的召回数1181231791851612222731261软件故障导致召回51275760696

3、893425占总数比例10.2%5.9%9.6%8.9%13.1%14.5%16.8%11.3%占含软件器械召回数比例43.2%22.0%31.8%32.4%42.9%30.6%34.1%33.7%FDA召回数据统计软件的特点硬件软件物理实体逻辑关系变更周期长变更容易、快速磨损退化质量取决于设计开发和生产取决于设计开发，与生产基本无关失效先有征兆无征兆失效，失效率远比硬件高组件可以标准化组件标准化较复杂细微变更对硬件影响有限微小变更可能有严重影响可以依靠检验来控制质量软件测试不足以保证质量医疗器械软件概念基本类型安装形式医疗器械硬件关系核心功能产品举例独立软件处理型处理PACS数据型通信处理H

4、olter软件组件嵌入式操控操控（处理）ECG、EEG控制型操控操控（处理）MRI、CT 根源认知能力，169行以上代码不能确保正确开发、维护、使用中人为因素时间、成本限制使测试不可穷尽基本概念质量属性软件的缺陷与生俱来，不可避免，无法根除目前已知方法不能保证软件100%质量软件错误防不胜防IVD病人ID码错误导致发错报告和错误治疗血糖仪单位显示错误导致召回放射治疗机过量辐射5名患者死亡风 险 过程质控与产品质控结合尽早质控与重点质控结合变更管理与缺陷管理结合Quality基本概念质控原则软件设计BECDA法规指令质量管理风险分析容错设计软件工程概述标准解读国内要求管理实施IEC62304YY

5、/T0664WHAT？从产品策划、实现到产品推出市场的时间组织和定义的生命周期阶段序列，包括输入、输出、任务与职责等功能/职责生命周期模型方法&工具项目管理风险管理设计管理验证确认分配定义/计划的活动，结果及时间支持V-Model 文档的生命周期有助于保证产品的安全问题在整个开发过程中考虑到STEP 07STEP 06STEP 05设计STEP 04软件编码/硬件实现STEP 03验证/确认STEP 02运行STEP 01定义问题需求分析策划软件生命周期模型典型阶段STEP 08维护 里程碑追溯性TitleAB其他D管理过程C需求管理，追溯矩阵等等所有活动事先定义风险管理，配置，问题解决等过程

6、需求什么样的生命周期过程？受控过程分解软件系统软件单元软件系统软件系统编制以完成特定功能或一组功能的软件项组合体软件项计算机程序中任一可识别部分软件单元不可再分的软件项活动任务输入输出过程制造商应赋予每个软件系统一个软件安全级别（A、B或C）软件安全性级别应基于严重度 A级：不可能对健康有伤害和损坏； B级：可能有不严重的伤害； C级：可能死亡或严重伤害。安全性级别（CI.4.3）CBA通过硬件风险控制措施降低安全性级别（CI.4.3）软件系统用于实现风险控制措施必须定义软件安全级别在风险管理文件中记录软件安全级别软件系统可以分解成软件项或软件项可以进一步分解成几个软件项时，软件项继承原软件项

7、安全级别（若不同应有合理的解释）CCCBA检查合理性5.1软件开发策划要求ABC软件开发计划更新软件开发计划引用系统设计和开发软件开发标准、方法和工具的策划软件集成和集成测试计划软件验证策划软件风险管理策划文档策划软件配置管理策划受控的支持项（工具、项目或设置）验证前的软件配置项的控制5.2软件需求分析要求ABC由系统需求确定软件需求并形成文档软件需求内容在软件需求中包括风险控制措施医疗器械风险分析的再评价更新系统需求验证软件需求需求分析是软件开发要求最高的环节!A功能和性能需求B软件系统的输入和输出C软件系统和其他系统之间的接口D软件控制的报警、警告和操作者信息E信息安全需求F对人为错误敏感

8、的可用性工程（人机工程学）要求和培训G数据定义和数据库需求H安装和验收要求I与操作和维护方法有关的要求J要编制的用户文档K用户维护要求l法规要求软件需求的内容A实施包括有关风险控制在内的系统需求B需求不相互矛盾C避免使用含糊不清的术语表示D用表述的术语来制定测试准则和实施测试，以确定是否满足测试准则E唯一性标识F对于系统要求或其他来源是可追溯的软件需求验证实质就是需求评审！5.3软件体系结构设计要求ABC软件需求体系结构为软件项接口开发体系结构规定SOUP项目的功能和性能需求规定SOUP项目所要求的系统硬件和软件判定风险控制所需的隔离验证软件体系结构5.4软件结构详细设计要求ABC体系结构软件

9、单元为每个软件单元开发详细设计为接口开发详细设计验证详细设计5.5软件单元的实现与验证要求ABC实现每个软件单元制定每个软件单元的验收过程软件单元的验收准则补充的软件单元验收准则软件单元的验证5.6软件集成和集成测试要求ABC软件单元集成验证软件集成测试集成的软件对于软件集成测试，制造商应说明集成的软件项是否按预期运行验证集成测试规程进行回归测试集成测试记录的内容软件问题解决过程的使用集成测试记录的内容【B、C】将测试结果形成文档（通过/未通过和异常）保留充分的记录，使测试能重复进行标明测试者记录的通用要求5.7软件系统测试要求ABC为软件需求制定测试项使用软件问题解决过程更改后再测试验证软件

10、系统测试软件系统测试记录内容验证策略和测试规程是适当的软件系统测试规程可追溯到软件需求所有软件需求都已测试过或其他方式验证过测试结果满足要求的通过/未通过准则5.8软件发行要求ABC确保软件验证完成将已知的剩余异常形成文档评价已知剩余异常将发行版本形成文档将已发行软件的创建过程形成文档确保活动和任务的完成（包括文件）软件归档保证软件发行的可重复性（讹误、未授权更改，生产、处理媒介） 文档是为记录 3. 2. 4. 5. 6. 1. 安全相关的功能基本性能公司重要知识复杂细节需要说明的功能系统的文档过程7.1促成危害处境的软件分析要求ABC识别可能促成危害处境的软件项判断促成危害处境的可能原因评

11、价公布的未知来源软件异常清单将可能原因形成文档将事件序列形成文档不正确或不完整的功能说明在已识别的软件项功能中的软件缺陷来自SOUP的失效或非预期结果可导致不可预知的软件运行的硬件失效或其他软件缺陷可合理预见的误用7.2风险控制措施要求ABC规定风险控制措施在软件中实施风险控制措施7.3风险控制措施的验证要求ABC验证风险控制措施将任何新事件序列形成文档将可追溯性形成文档将软件危害的可追溯性形成文档 3. 2. 4. 1. 从危害处境到软件项从软件原因到风险控制措施从风险控制措施到其验证从软件项到特定软件原因7.4软件变更的风险管理要求ABC分析医疗器械软件有关安全性的更改分析软件更改对现有风

12、险控制措施的影响基于分析完成风险管理措施确定更改是否引入了造成危害处境的附加可能原因要求的附加软件风险控制措施62304体系结构软件单元患者编程FMEAFTASOUP【ABC】策划软件风险管理内容包括SOUPs分析SOUPs改变【BC】在风险分析时考虑由SOUPs导致失效或未期望结果评估已知SOUP异常列表分析SOUP改变对已知风险控制措施的影响要求ABC风险管理中包含SOUPs策划软件集成时考虑SOUPs规定SOUP项目的功能和性能需求规定SOUP项目所要求的系统硬件和软件医疗器械体系结构支持SOUP项目的正常运行对SOUPs实行更新流程识别SOUPs对SOUP的要求配置管理要求ABC设计开

13、发策划中加入软件配置管理验证前的软件配置项控制软件产品、配置项和相应文档，存档应用软件配置管理过程管理对现有软件系统的更改配置标识变更控制配置状态记录问题解决过程要求ABC问题报告研究问题通知相关方应用更改控制过程保持记录分析问题趋势验证软件问题的解决测试文档内容问题解决过程适用于要求ABC软件开发策划软件系统集成与验证在已发现异常中应用问题解决过程在软件放行后维护要求ABC软件维护计划问题和修改，形成文档并评估应用软件问题解决过程分析变更请求更改请求的批准联系用户和管理者修改的实施要求ABC用制定的过程实施更改修改软件系统的再发行软件变更必须受控概述标准解读国内要求管理实施CFDA要求体系注

14、册分类编码序号名称品名举例管理类别6870软件1功能程序化软件X-射线立体定向放射外科治疗系统局部网络放射治疗系统、放射治疗计划系统、2诊断图象处理软件数字影像接收系统、X射线影像处理系统、病理图像分析系统数字化超声工作站、超声三维成像系统、3诊断数据处理软件24小时全信息动态心电分析系统24小时全信息动态脑电记录分析系统睡眠监护系统、血流变数据处理软件激光(血液分析仪、激光全息检测仪)数据分析软件4影象档案传输、处理系统软件PACS、远程诊断5人体解剖学测量软件通过已注册产品和分类界定通知确定产品类别2T与其用途相似，为II类通过已注册产品和分类界定通知确定产品类别产品名称作用原理/用途管理

15、类别出处超声造影分析软件配合超声诊断仪使用，适用于超声造影动态文件读取和分析，给出超声造影分析的参数II2008251听力分析软件用于听力评估及耳部疾病诊断的医用软件II2008587口腔CT影响分析软件用于分析由口腔CT机采集的影像数据，进行口腔三维成像重建，可以在手术前准确估计牙槽骨骨量及确定种植体植入的最佳位置等II2008587产前染色体非整倍体和基因缺失数据处理软件用于为BACs-on-Beads化学产品提供数据处理，用于取代手工计算，不具备分析功能o2012271DICOM数据格式转换软件用于将DICOM数据格式文件转换成标准的PostScript图像格式，以方便打印。不用于诊断、

16、治疗、手术规划及其他相关医疗目的。o2012271相关标准YY/T0664-2008/IEC62304:2006规定了软件生存周期的要求，规定过程，活动和任务，适用于开发和维护GB/T25000.51-2010/ISO25051:2006仅向用户提供产品置信度，即COTS软件产品能按所提供和交付的说明运行，不涉及生产过程和供方质量体系过程标准产品标准关于医疗器械软件注册申报基本要求的说明2012-04-28北京市医疗器械软件产品监督管理规定（暂行）2006-03-07医疗软件产品技术审评规范（2012版）2012-12-05说明解析适用范围本文件适用的医疗器械产品注册类型包括境外产品首次注册与

17、重新注册、境内III类产品首次注册与重新注册，适用的开发方式包括自主开发、部分采用现成软件和全部采用现成软件。具体包括：1、独立软件：本身是医疗器械或附件的软件，如处理型软件、数据型软件；2、软件组件：作为医疗器械、部件或附件组成部分的软件，如嵌入式软件、控制型软件；3、专用软件：其他有特定用途的软件，如个体化定制型软件。事实上II类产品的注册已经参照说明执行！说明解析申报要求制造商应提供一份单独的医疗器械软件描述文档，包括基本信息、实现过程和核心算法三部分内容，详尽程度取决于医疗器械软件的安全性级别和复杂程度。软件安全性级别（YY/T 0664-2008）基于医疗器械软件损害严重度分为：A级

18、：不可能对健康有伤害和损坏；B级：可能有不严重的伤害；C级：可能死亡或严重伤害。对B级和C级产品，描述文档的部分内容应提供原始文件软件描述文档申报要求基本信息描述文档A级（轻微）B级（中等）C级（严重）产品标识描述软件名称、型号、版本号、制造商和生产地址安全性级别描述软件安全性级别，并详述安全性级别确定理由结构功能依据体系结构图，描述软件的组成模块、模块功能、模块关系、外部接口和用户界面硬件关系依据物理拓扑图，描述软件、通用计算机和医疗器械硬件的物理连接关系运行环境描述软件运行所需的硬件配置、软件环境和网络条件适应范围描述软件的适用范围和适用人群禁忌症描述软件的禁忌症和不适用人群上市历史描述软

19、件在中国、原产国等主要国家地区的上市时间、版本号和管理类别软件描述文档申报要求实现过程描述文档A级（轻微）B级（中等）C级（严重）开发综述描述开发语言、工具、方法、模型、人员、时间、工作量、代码行数和控制文档数风险管理提供风险管理资料需求规格需求规格的功能、性能要求需求规格全文，包含硬件、功能、性能、输入输出、接口界面、警示信息、保密安全、数据与数据库、文档和法规的要求生存周期开发生存周期计划摘要开发生存周期计划、配置管理计划和维护计划的摘要开发生存周期计划、配置管理计划和维护计划的摘要，列明各阶段输入输出文档验证与确认系统测试和用户测试的计划与报告摘要概述开发各阶段的验证活动，提供系统测试和

20、用户测试的计划与报告摘要概述开发各阶段的验证活动，提供系统测试和用户测试的计划与报告缺陷管理描述缺陷总数和剩余缺陷数描述缺陷总数和剩余缺陷数，列明剩余缺陷的严重度、处理措施和处理时间修订历史描述版本号命名规则，列明本次修订的版本号、类型和日期描述版本号命名规则，列明本次修订的版本号、类型和日期，详述本版与前版的变更内容描述版本号命名规则，列明本次和以往修订的版本号、类型和日期，详述本版与前版的变更内容临床评价提供临床评价资料描述文档A级（轻微）B级（中等）C级（严重）核心算法公认成熟算法列明名称，全新算法列明名称、原理和用途公认成熟算法列明名称、原理和用途，全新算法除列明名称、原理和用途外，还

21、应提供安全性与有效性的验证资料附：部分现成软件在结构功能、风险管理、验证与确认中有相应要求在结构功能、需求规格、风险管理、生存周期、验证与确认和缺陷管理中有相应要求软件描述文档申报要求核心算法和COTS的要求1.1产品标识描述医疗器械软件的名称、型号、版本号、制造商和生产地址，软件组件为内部标识。描述文档A级（轻微）B级（中等）C级（严重）修订历史描述软件版本号的命名规则，列明本版本所有修订活动的版本号、类型（完善型、适应型、纠正型）和日期A级的基础上，详述本版本与原产国前次批准上市版本的变更内容在B级基础上，列明在原产国首次上市后历次修订且批准上市的版本号、类型和日期1.02.03.03.1

22、3.24.04.14.1.14.1.25.01.2安全性级别依据软件的功能、预期用途和使用环境说明医疗器械软件的安全性级别，并详细说明安全性级别的确定理由。安全性级别 A级：不可能对健康有伤害和损坏； B级：可能有不严重的伤害； C级：可能死亡或严重伤害。运用定义及风险管理的知识来支持判断安全性级别详述说明安全性级别的确定理由软件安全性级别应在采取风险控制措施之前进行判定1.3结构功能注释(支持理解相互间的关系)组成模块如为选装应注明,如有版本号也应注明外部接口 软件:必备软件、选配软件；硬件：通用计算机、医疗器械硬件现成软件：模块如为现成软件，列明名称、版本号、制造商和类型遗留软件：以前开发

23、的但不能得到足够开发记录的软件依据软件设计规格（SDS）给出体系结构图，图示医疗器械软件组成模块之间、组成模块与外部接口之间的关系。依据体系结构图描述组成模块的功能、模块关系、模块与外部接口关系以及用户界面。组成模块应注明选装、版本号及现成软件的名称、版本号、制造商和类型（外包、成品、遗留）。PACS结构图1.4硬件关系依据软件设计规格（SDS）给出物理拓扑图，图示医疗器械软件、通用计算机、医疗器械硬件相互之间的物理连接关系。依据物理拓扑图描述医疗器械软件（或组成模块）与通用计算机、医疗器械硬件的物理连接关系。独立软件：说明通用计算机的类型和功能，如需与医疗器械硬件联合使用（数据型）应说明医疗

24、器械硬件的名称、型号、规格和制造商软件组件：说明医疗器械硬件的名称、型号和规格，如需与通用计算机联合使用（控制型）应说明通用计算机的类型和功能自动输液泵的结构图CT扫描仪的结构图1.6适用范围 独立软件应描述软件的适用范围和适用人群，软件组件应描述 其整体的功能用途以及医疗器械产品的适用范围和适用人群。1.7禁忌症 独立软件应描述软件的禁忌症和不适用人群，软件组件应描述 其整体的禁用功能以及医疗器械产品的禁忌症和不适用人群。1.8上市历史 医疗器械软件在中国实质首次注册应依据医疗器械分类目录及后续分类界定通知说明软件的管理类别，实质重新注册应列明在中国所有已上市产品的版本号和产品注册证号。同时

25、应列明医疗器械软件在原产国、美国、日本和欧盟等主要国家与地区首次上市的时间、版本号和管理类别。软件组件应描述医疗器械产品（包含本软件组件）的上市历史。2.1开发综述描述医疗器械软件开发过程所用的语言、工具、方法和生存周期模型，其中工具应描述支持软件（含开源软件）和应用软件（第三方软件）的名称、版本号和制造商。同时应说明开发人员数量、开发时间、工作量（人月数）、代码行总数和控制文档总数。应提供风险管理报告，包括名称、严重度、原因、解决措施和结果。风险管理实施情况应另附原始文件，软件组件应提供医疗器械的风险管理报告。当组成模块采用现成软件时，所有级别医疗器械软件均应对现成软件进行风险管理。2.2风

26、险管理2.3需求规格A级医疗器械软件应描述软件需求规格（SRS）关于功能和性能的要求。B级和C级医疗器械软件应提供软件需求规格全文。需求规格应另附原始文件，软件组件可提供医疗器械产品的需求规格。当组成模块采用现成软件时，B级和C级医疗器械软件应说明相应要求。2.4生存周期A级医疗器械软件应提供软件开发生存周期计划摘要，描述各阶段的任务、内容和结果。B级医疗器械软件在A级基础上应提供软件配置管理计划摘要和维护计划摘要，描述相应的工具、流程和要求。C级医疗器械软件在B级基础上应列明各阶段的输入输出控制文档。生存周期实施情况应另附原始文件，YY/T 0664-2008或YY/T 0708-2009核

27、查表可提供作为参考。当组成模块采用现成软件时，B级和C级医疗器械软件应在开发生存周期计划、配置管理计划和维护计划中说明相应要求。2.5验证与确认A级医疗器械软件应提供系统测试、用户测试的测试计划和报告摘要，描述测试的条件、工具、方法、通过准则和结果。B级医疗器械软件在A级基础上应概要介绍开发各阶段的验证活动，描述相应的工具、方法、内容和结果，其中单元测试应描述覆盖率要求，集成测试应描述集成策略。C级医疗器械软件应概要介绍开发各个阶段的验证活动，并提供系统测试、用户测试的测试计划和报告。系统测试和用户测试应另附原始文件，可追溯性分析报告可提供作为参考。当组成模块采用现成软件时，所有级别软件均应进行验证与确认。2.6缺陷管理A级医疗器械软件应描述缺陷管理的工具、流程和要求，列明开发阶段所发现的缺陷总数和剩余缺陷数。B级和C级医疗器械软件在A级的基础上应列明剩余缺陷的严重度、处理措施和处理时间。当组成模块采用现成软件时，B级和C级医疗器械软件应列明全部剩余缺陷情况。2.7修订历史A级医疗器械软件应描述软件版本号的命名规则，列明软件在原产国本版本所有修订活动的版本号、类型（完善型、适应型、纠正型）和日期。B级医疗器械软件在A级基础上应详述本版本与原产国前次批准上市版本的变更内容。C级医疗器械软件在B级基础上应