1、國家藥監局器審中心 彭亮2019.8 北京內容摘要 軟件監管背景 軟件工程基礎 獨立軟件附錄軟件與醫療器械獨立軟件軟件組件設備軟件體系軟件有源器械體外診斷無源器械醫療器械軟件軟件質量相關軟件美國軟件相關召回時間范圍召回 軟件軟件召回 軟件召回總數 召回數量 召回比重 同比增長 同比增長1983-1991 27921992-1998 31401999-2005* 37711652424255.9%7.7%12.5% 46.7%11.3% 20.1% 75.6%2005-2011 5792 112219.4% 53.6%164%注：*含有軟件醫療器械的召回33.7%與軟件有關美國軟件相關召回198

2、3-1991 1992-1998 1999-2005 2005-2011類別19%18%23%10%11%14%5%34%24%19%5%33%35%8%49%19%13%8%放射類IVD 類心臟類其它類通用類呼麻類手術類9%10%8%13%1%7%3%0%1%1%軟件監管背景 軟件應用廣泛，作用日趨重要，但質量問題突出 軟件具有特殊性 軟件沒有物理實體，人為因素影響無處不在，測試不能窮盡所有情形 軟件更新迅速頻繁，輕微更新可能導致嚴重后果，而且存在退化問題 現有已知方法不能保證全部軟件100%的安全性 軟件質控原則 盡早質控、重點質控、全程質控 風險管理、質量管理和軟件工程相結合軟件生存周期

3、 定義 軟件產品從概念定義至停止使用的時間周期 典型階段 包括：軟件開發策劃、軟件需求分析、軟件設計、軟件編碼、軟件測試、軟件發布、軟件部署、軟件維護、軟件停運軟件生存周期模型瀑布模型增量模型軟件生存周期模型螺旋模型V模型軟件生存周期過程 過程活動任務 基本過程 軟件開發：開發策劃、需求分析、設計、編碼、測試 軟件維護：軟件更新/軟件變更 風險管理：基于損害嚴重度分析，保證軟件已知剩余缺陷風險均可接受 配置管理：識別配置項，控制變更 缺陷管理：軟件缺陷修復屬于設計變更軟件風險管理 概述 軟件本身不是危害，但會引發危害處境 軟件風險管理通常基于損害嚴重度實施 軟件失效表現為隨機性，但實為系統性

4、軟件組件孤立進行風險管理是不合適的 風險管理應貫穿于軟件生存周期全過程 軟件確認應保證軟件已知剩余缺陷風險均可接受 常用方法 故障樹分析（FTA） 失效模式和效應分析（FMEA）軟件可追溯性分析 定義 追蹤軟件需求、軟件設計、源代碼、軟件測試、軟件風險管理之間的關系，分析已識別關系的正確性、一致性、完整性和準確性 活動 需求分析：軟件需求風險管理、軟件需求產品需求 設計：軟件設計軟件需求 編碼：源代碼軟件設計、源代碼測試用例 驗證測試：各級測試用例軟件設計、系統測試軟件需求、系統測試風險管理 確認測試：用戶測試用戶需求、用戶測試風險管理軟件可追溯性分析可追溯性分析報告示例需求IDRS1RS2R

5、S3RS4RS5.設計IDDS1測試IDST1風險管理IDRM1DS2ST2RM2RM3DS3.ST3.RM4RM5.軟件測試靜態分析動態分析白盒測試黑盒測試單元測試集成測試系統測試內部測試用戶測試第三方測試回歸測試：用于確定軟件變更沒有產生不良影響的測試軟件測試軟件驗證 定義 通過提供客觀證據認定軟件開發、軟件維護某一階段的輸出滿足輸入要求 軟件驗證活動 源代碼審核 靜態分析、動態分析 白盒測試、黑盒測試 單元測試、集成測試、系統測試 評審軟件確認 定義 通過提供客觀證據認定軟件滿足用戶需求和預期目的 軟件確認活動 軟件驗證活動 軟件可追溯性分析 用戶測試 臨床評價 評審軟件確認原則 文檔化

6、的軟件需求規范是軟件確認基線 軟件測試的能力是有限的，卻是必須的 軟件確認需要時間和精力，應盡早準備 軟件確認應在軟件生存周期過程中進行 軟件確認需要通過計劃來定義和控制 軟件確認通過一系列工作程序實現 軟件變更均應進行確認分析并回歸測試 確認范圍取決于軟件復雜度和風險水平 確認應堅持“評審獨立性”原則 制造商可選擇確認活動，但付最終責任獨立軟件附錄簡介 適用范圍 適用于獨立軟件，軟件組件參照執行 涵蓋網絡安全、現成軟件 核心文獻 IMDRF/SaMD/N23、FDA軟件確認指南 IEC 62304/82304-1、ISO 90003 實施要求 GMP規范 + 獨立軟件附錄，2020.7.1正

7、式實施 配套現場檢查指導原則正在制定目錄 范圍和原則（2） 特殊要求（32） 人員（3）、設備（2）、設計開發（17）、采購（3）生產管理（2）、質量控制（1）、銷售和售后服務（2）不良事件監測、分析和改進（2） 術語（13） 附則（2）人員 軟件開發、測試、維護人員應當具備與崗位職責要求相適宜的專業知識、實踐經驗和工作能力 黑盒測試應當保證同一軟件項的開發人員和測試人員不得互相兼任 用戶測試人員應當具備適宜的軟件產品使用經驗，或經過培訓具備適宜的軟件產品使用技能設備 應當在軟件生存周期過程持續提供充分、適宜、有效的軟件開發和測試環境，包括軟硬件設備、開發測試工具、網絡等資源以及病毒防護、數據

8、備份與恢復等保證措施 軟件開發和測試環境維護應當形成文件，確定軟件開發和測試環境定期驗證、更新升級、病毒防護等活動要求，保持相關記錄設計開發設計開發 應當結合軟件生存周期模型特點建立軟件生存周期過程控制程序并形成文件，確定軟件開發策劃、軟件需求分析、軟件設計、軟件編碼、驗證與確認、軟件更新、風險管理、缺陷管理、可追溯性分析、配置管理、文件與記錄控制、現成軟件使用、網絡安全保證、軟件發布、軟件部署、軟件停運等活動要求 軟件生存周期過程質量保證活動要求應當與軟件安全性級別相適宜 軟件安全性級別僅可通過外部風險控制措施降低級別 軟件版本變更應當符合軟件版本命名規則的要求，軟件版本變更應當與軟件更新情

9、況相匹配采購 現成軟件采購應當形成文件，根據現成軟件的類型、使用方式、對產品質量影響程度，確定分類管理、質量控制、供應商審核等活動要求 應當與供應商簽訂外包軟件質量協議，明確外包軟件需求分析、交付形式、驗收方式與準則、設計開發文件交付、知識產權歸屬、維護等要求以及雙方質量責任承擔要求 云計算服務協議應當明確網絡安全保證、患者數據與隱私保護等責任承擔要求生產管理 軟件發布應當形成文件，確定軟件產品文件創建、軟件產品與文件歸檔備份、軟件版本識別與標記、交付形式評估與驗證、病毒防護等活動要求，保證軟件發布的可重復性 物理交付方式應當確定軟件產品復制、許可授權以及存儲媒介包裝、標記、防護等要求，網絡交付方式應當確定軟件產品標記、許可授權、網絡安全保證等要求質量控制 軟件產品放行應當形成文件，確定軟件版本識別、安裝卸載測試、產品完整性檢查、放行批準等活動要求，保持相關記錄銷售與售后服務 軟件部署應當形成文件，確定交付、安裝、設置、配置、用戶培訓等活動要求，保持相關記錄 軟件停運