医疗器械软件开发管理

11©2009PerkinElmer©2009PerkinElmer©2009PerkinElmerMedicalSoftwareLifecycle22项目背景Projectbackground带软件有源产品成为主流，独立软件具有巨大的市场潜力和发展空间软件失效引起的召回比例居高不下CE、FDA、SFDA对医疗器械软件的监管力度越来越大注。培训背景Background33项目设计Projectdesign概述标准解读SFDA要求管理实施术语，行业背景，软件工程介绍IEC62304，YY/T0664标准对软件生存周期的要求国内监管的要求，体系和注册如何结合公司现状的实际推行软件生存周期管理培训内容Content44概述标准解读国内要求管理实施术语背景软件工程55术语Software软件•程序、数据和文档的合集•程序=算法+结构ConfigurationItem配置项•能在给定的基准点上单独标识的实体•配置管理旨在记录软件产品演化过程SOUP未知来源软件•已经开发且通常可得到的，并且不是为用以包含在医疗器械内而开发的软件项（也通称为成品软件），或以前开发的、不能得到其开发过程足够记录的软件。661999~2005年期间软件导致的医疗器械产品故障统计年份1999200020012002200320042005总计医疗器械召回总数4984605936745254685533771含软件器械的召回数1181231791851612222731261软件故障导致召回51275760696893425占总数比例10.2%5.9%9.6%8.9%13.1%14.5%16.8%11.3%占含软件器械召回数比例43.2%22.0%31.8%32.4%42.9%30.6%34.1%33.7%FDA召回数据统计770501001502002503001999200020012002200320042005召回数年份含软件产品召回趋势880.0%5.0%10.0%15.0%20.0%25.0%30.0%35.0%40.0%45.0%50.0%1999200020012002200320042005总计软件失效召回占含软件产品召回的比例软件失效召回占含软件产品召回的比例991999200020012002200320042005IVD占软件失效的比例31.4%37.0%21.1%43.3%39.1%38.2%34.2%0.0%5.0%10.0%15.0%20.0%25.0%30.0%35.0%40.0%45.0%50.0%IVD产品占软件失效召回的比例1010软件的特点硬件软件物理实体逻辑关系变更周期长变更容易、快速磨损退化质量取决于设计开发和生产取决于设计开发，与生产基本无关失效先有征兆无征兆失效，失效率远比硬件高组件可以标准化组件标准化较复杂细微变更对硬件影响有限微小变更可能有严重影响可以依靠检验来控制质量软件测试不足以保证质量1111医疗器械软件概念基本类型安装形式医疗器械硬件关系核心功能产品举例独立软件处理型—处理PACS数据型通信处理Holter软件组件嵌入式操控操控（处理）ECG、EEG控制型操控操控（处理）MRI、CT1212根源认知能力，169行以上代码不能确保正确开发、维护、使用中人为因素时间、成本限制使测试不可穷尽基本概念—质量属性软件的缺陷与生俱来，不可避免，无法根除目前已知方法不能保证软件100%质量1313软件错误防不胜防IVD•病人ID码错误•导致发错报告和错误治疗血糖仪•单位显示错误•导致召回放射治疗机•过量辐射•5名患者死亡1414过程质控与产品质控结合尽早质控与重点质控结合变更管理与缺陷管理结合Quality基本概念—质控原则1515软件设计BECDA法规指令质量管理风险分析容错设计软件工程1616概述标准解读国内要求管理实施IEC62304YY/T06641717WHAT？从产品策划、实现到产品推出市场的时间组织和定义的生命周期阶段序列，包括输入、输出、任务与职责等功能/职责生命周期模型方法&工具项目管理风险管理设计管理验证确认分配定义/计划的活动，结果及时间…支持1818V-Model1919文档的生命周期有助于保证产品的安全问题在整个开发过程中考虑到STEP07STEP06STEP05设计STEP04软件编码/硬件实现STEP03验证/确认STEP02运行STEP01定义问题需求分析策划软件生命周期模型典型阶段STEP08维护2020里程碑追溯性TitleAB其他D管理过程C需求管理，追溯矩阵等等所有活动事先定义风险管理，配置，问题解决等过程需求什么样的生命周期过程？受控过程2121分解软件系统软件单元软件系统软件系统编制以完成特定功能或一组功能的软件项组合体软件项计算机程序中任一可识别部分软件单元不可再分的软件项2222活动任务输入输出过程2323制造商应赋予每个软件系统一个软件安全级别（A、B或C）软件安全性级别应基于严重度A级：不可能对健康有伤害和损坏；B级：可能有不严重的伤害；C级：可能死亡或严重伤害。安全性级别（CI.4.3）CBA通过硬件风险控制措施降低2424安全性级别（CI.4.3）软件系统用于实现风险控制措施必须定义软件安全级别在风险管理文件中记录软件安全级别软件系统可以分解成软件项或软件项可以进一步分解成几个软件项时，软件项继承原软件项安全级别（若不同应有合理的解释）CCCBA检查合理性25255.1软件开发策划要求ABC软件开发计划●●●更新软件开发计划●●●引用系统设计和开发●●●软件开发标准、方法和工具的策划●软件集成和集成测试计划●●软件验证策划●●●软件风险管理策划●●●文档策划●●●软件配置管理策划●●●受控的支持项（工具、项目或设置）●●验证前的软件配置项的控制●●26265.2软件需求分析要求ABC由系统需求确定软件需求并形成文档●●●软件需求内容●●●在软件需求中包括风险控制措施●●医疗器械风险分析的再评价●●●更新系统需求●●●验证软件需求●●●27272828A功能和性能需求B软件系统的输入和输出C软件系统和其他系统之间的接口D软件控制的报警、警告和操作者信息E信息安全需求F对人为错误敏感的可用性工程（人机工程学）要求和培训G数据定义和数据库需求H安装和验收要求I与操作和维护方法有关的要求J要编制的用户文档K用户维护要求l法规要求软件需求的内容2929A实施包括有关风险控制在内的系统需求B需求不相互矛盾C避免使用含糊不清的术语表示D用表述的术语来制定测试准则和实施测试，以确定是否满足测试准则E唯一性标识F对于系统要求或其他来源是可追溯的软件需求验证30305.3软件体系结构设计要求ABC软件需求体系结构●●为软件项接口开发体系结构●●规定SOUP项目的功能和性能需求●●规定SOUP项目所要求的系统硬件和软件●●判定风险控制所需的隔离●验证软件体系结构●●31315.4软件结构详细设计要求ABC体系结构软件单元●●为每个软件单元开发详细设计●为接口开发详细设计●验证详细设计●32325.5软件单元的实现与验证要求ABC实现每个软件单元●●●制定每个软件单元的验收过程●●软件单元的验收准则●●补充的软件单元验收准则●软件单元的验证●●33335.6软件集成和集成测试要求ABC软件单元集成●●验证软件集成●●测试集成的软件●●对于软件集成测试，制造商应说明集成的软件项是否按预期运行●●验证集成测试规程●●进行回归测试●●集成测试记录的内容●●软件问题解决过程的使用●●3434集成测试记录的内容【B、C】将测试结果形成文档（通过/未通过和异常）保留充分的记录，使测试能重复进行标明测试者35355.7软件系统测试要求ABC为软件需求制定测试项●●使用软件问题解决过程●●更改后再测试●●验证软件系统测试●●软件系统测试记录内容●●验证策略和测试规程是适当的软件系统测试规程可追溯到软件需求所有软件需求都已测试过或其他方式验证过测试结果满足要求的通过/未通过准则36365.8软件发行要求ABC确保软件验证完成●●将已知的剩余异常形成文档●●评价已知剩余异常●●将发行版本形成文档●●●将已发行软件的创建过程形成文档●●确保活动和任务的完成（包括文件）●●软件归档●●保证软件发行的可重复性（讹误、未授权更改，生产、处理媒介）●●3737文档是为记录3.2.4.5.6.1.安全相关的功能基本性能公司重要知识复杂细节需要说明的功能系统的文档过程38387.1促成危害处境的软件分析要求ABC识别可能促成危害处境的软件项●●判断促成危害处境的可能原因●●评价公布的未知来源软件异常清单●●将可能原因形成文档●●将事件序列形成文档●●•不正确或不完整的功能说明•在已识别的软件项功能中的软件缺陷•来自SOUP的失效或非预期结果•可导致不可预知的软件运行的硬件失效或其他软件缺陷•可合理预见的误用39397.2风险控制措施要求ABC规定风险控制措施●●在软件中实施风险控制措施●●7.3风险控制措施的验证要求ABC验证风险控制措施●●将任何新事件序列形成文档●●将可追溯性形成文档●●4040将软件危害的可追溯性形成文档3.2.4.1.从危害处境到软件项从软件原因到风险控制措施从风险控制措施到其验证从软件项到特定软件原因41417.4软件变更的风险管理要求ABC分析医疗器械软件有关安全性的更改●●●分析软件更改对现有风险控制措施的影响●●基于分析完成风险管理措施●●确定更改是否•引入了造成危害处境的附加可能原因•要求的附加软件风险控制措施424262304体系结构软件单元患者编程FMEAFTA4343SOUP【ABC】•策划软件风险管理内容包括SOUPs•分析SOUPs改变【BC】•在风险分析时考虑由SOUPs导致失效或未期望结果•评估已知SOUP异常列表•分析SOUP改变对已知风险控制措施的影响4444要求ABC风险管理中包含SOUPs●●●策划软件集成时考虑SOUPs●●规定SOUP项目的功能和性能需求●●规定SOUP项目所要求的系统硬件和软件●●医疗器械体系结构支持SOUP项目的正常运行●●对SOUPs实行更新流程●●●识别SOUPs●●●对SOUP的要求4545配置管理要求ABC设计开发策划中加入软件配置管理●●●验证前的软件配置项控制●●软件产品、配置项和相应文档，存档●●应用软件配置管理过程管理对现有软件系统的更改●●●配置标识●●●变更控制●●●配置状态记录●●●4646问题解决过程要求ABC问题报告●●●研究问题●●●通知相关方●●●应用更改控制过程●●●保持记录●●●分析问题趋势●●●验证软件问题的解决●●●测试文档内容●●●4747问题解决过程适用于要求ABC软件开发策划●●●软件系统集成与验证●●●在已发现异常中应用问题解决过程●●在软件放行后●●●4848维护要求ABC软件维护计划●●●问题和修改，形成文档并评估●●●应用软件问题解决过程●●分析变更请求●●更改请求的批准●●●联系用户和管理者●●●4949修改的实施要求ABC用制定的过程实施更改●●●修改软件系统的再发行●●●5050概述标准解读国内要求管理实施CFDA要求体系注册5151分类编码序号名称品名举例管理类别6870软件1功能程序化软件X-射线立体定向放射外科治疗系统Ⅲ局部网络放射治疗系统、放射治疗计划系统、2诊断图象处理软件数字影像接收系统、ⅢX射线影像处理系统、病理图像分析系统Ⅱ数字化超声工作站、超声三维成像系统、3诊断数据处理软件24小时全信息动态心电分析系统Ⅱ24小时全信息动态脑电记录分析系统睡眠监护系统、血流变数据处理软件激光(血液分析仪、激光全息检测仪)数据分析软件4影象档案传输、处理系统软件PACS、远程诊断Ⅱ5人体解剖学测量软件Ⅱ5252通过已注册产品和分类界定通知确定产品类别2T与其用途相似，为II类5353通过已注册产品和分类界定通知确定产品类别产品名称作用原理/用途管理类别出处超声造影分析软件配合超声诊断仪使用，适用于超声造影动态文件读取和分析，给出超声造影分析