医疗器械软件描述文档

视为一个指定的任务。 52.206 52.206.1 通过检查相关文件核查其符合性。 需求规格说明 对可编程医用电气系统和其对应的子系统(如可编程电子子系统)都应有需求规格说明。 注:附录EEE（资料性附录）中给出了可编程医用电气系统体系结构的例子。 52.206. 2 需求规格说明应详述与风险有关的功能。包括控制由下列原因产生的风险的功能: a) b) c) 52.206.3 环境条件引起的原因; 可编程医用电气系统其他方面引起的原因; 可能的故障。 需求规格说明中应包括确保风险控制措施圆满地降低了已识别风险的必要信息。 52.207 52.207.1 52.207.2 52.207.3 体系结构 体系结构应满足需求规格说明。 应规定可编程医用电气系统以及其子系统的体系结构。 有关编程医用电气系统及其子系统体系结构规格说明应在合适处通过降低相应的危害的可能性或危害发生的严重度，或二者均降低来实现风险控制要求。 52.207.4 a) b) c) d) e) f) 为了降低危害发生的可能性，应在体系结构规格说明的合适处利用: 高可靠性组件; 失效防护功能; 冗余; 多样性; 防护设计; 潜在危害影响的限制，例如限制可获得输出能量和（或）通过采用限制执行机构行程的方法。

52.207.5 a) 体系结构规格说明应考虑如下因素: 风险控制措施在可编程医用电气系统25

组件和子系统上的配置; b) c) d) e) f) g) 52.208 52.208.1 注:子系统和部件包括:传感器、执行机构、可编程电子子系统和接口。 组件的失效模式及效应; 一般原因的失效; 系统性失效; 测试时间间隔、溅试持续时间和测试诊断范围; 可维护性; 有意或无意的人为因素的防护。 设计和实现 设计应在合适处适当分解成子系统，每个子系统都应有设计和测试规格说明。 52.208.2 52.209 52.209.1 52.209.2 有关设计环境的描述性数据应包括在风险管理文档中。 注:有关设计环境要素的示例见附录DDD(资料性附录)。 验证 安全要求的实现应进行验证。 应制订验证计划，说明在开发生存周期的每个阶段的安全性要求如何验证。该计划应包括: a) b) c) 52.209.3 52.209.4 52.210 52.210.1 52.210.2 验证的策略、活动和技术的选择和归档; 验证工具的选择和运用; 验证的覆盖准则。 注:关于方法和技术的实例是: —走查和检查; —静态(动态)分析; —白盒(黑盒)侧试。 应根据验证计划进行验证。验证活动的结果应归档、分析和评定。 风险管理概要中应包含验证的方法、技术和结果的证明。 确认 应进行可编程医用电气系统在预期使用条件下安全性的确认。 应制订确认计划，以表明实现了正确的安全性要求。 26

52.210.3 52.210.4 52.210.5 52.210.6 52.210.7 52.211 52.211.1 应根据确认计划实施确认。确认活动的结果应归档、分析和评定。 实施确认的小组负责人应独立于开发小组。 确认小组成员和设计小组成员的专业关联性应记录在风险管理文档中。 设计小组成员不能承担其设计的确认职责。 风险管理文档中应包括确认的方法和结果的证明。 通过检查风险管理文档核查其符合性。 修改 如果任何部分或全部设计是由对先前设计的修改产生，则该设计要么视为一个全新设计，则本标准的所有条款适用;要么任何先前设计文档的持续有效性应按照修改/更改程序进行评价。 5.2.11.2 在开发生存周期中所有的相关文件，应依照GB/T 19001一2000中4.2.3规定或等同规定的文件控制计划，进行校订、修正、复核和批准。 52.2 1 通过检查风险管理文档核对其符合性。 评定 为确保可编程医用电气系统按照本标准的要求开发完成并记录在风险管理文档中，应进行评定它可由内部审核方式进行。

通过检查风险管理文档核查符合性。 27

附件7

XXX软件验证与确认计划（SVVP）

1. 目的

2. 引用文件

3. 术语和定义

4. V&V综述 4.1 组织

4.2 主进度

4.3 资源摘要

4.4 职责

4.5 工具、技术和方法

5. V&V过程

5.1 活动：概念V&V

（标识要执行的V&V的任务，描述每个V&V任务要求的输入、输出、进度、进度、资源等）

5.2 活动：需求V&V

5.3 活动：设计V&V

5.4 活动：实现V&V

5.5 活动：测试V&V

5.6 活动：安装和检验V&V

5.7 活动：运行V&V

6. V&V报告

28