ISO13485：2016软件确认控制程序

----完整版学习资料分享----

=====WORD完整版----可编辑----专业资料分享=====

1、目的

确保质量管理体系过程中和医疗器械产品的软件各功能满足预期用途，特编制本程序文件。 2、范围

适用于本公司所有医疗器械软件。 3、职责

3.1 工程部：按公司的程序要求进行软件的设计和开发，进行软件验证、集成和软件维护，软件的生产周期评估。

3.2 品管部：负责软件使用前的确认。 3.3 采购部：负责软件变更后的确认。 4、定义

4.1 医疗器械软件：旨在包括在被开发的医疗器械内的已开发的软件相同，或者预期本身用

作

医疗器械而开发的软件。

4.2 软件的安全性级别：制造商应按照软件系统引起的危害对于患者、操作者或其他人员的

可

能影响，赋于每个软件系统一个软件安全性级别(A、B 或C) 。 A级：不可能对健康有伤害或损坏。 B级：可能有不严重的伤害。 C级：可能死亡或严重伤害。

4.3 黑盒测试：将系统(软件和硬件)看作不能打开的黑盒，在不考虑系统内部结构和特性的情况下，测试者只依靠系统需求说明书，从可能的输入条件和输出条件中确定测试数据，也就是根据系统的功能或外部特性，设计测试用例(例如功能测试)。

4.4 白盒测试：即结构测试或逻辑驱动测试。这种测试允许测试者考虑系统的内部结构，并根据系统内部结构设计测试用例，而不考虑系统的功能。 4.5 版本：某一配置项的已标识了的实例。

注： 软件产品某版本的修改产生了一个新版本，但要求软件配置管理活动。 5、内容 5.1软件的分类

根据软件的作用方式不同，软件分类及定义见下表：

分类 1 2 操作系统，网络 描述 确认方法 已建立的商业可利用性网络和操作系确认名称及版本号 统 标准设备，微控制由非用户设计的软固件驱动的，此固认构造及配置 器，灵敏仪器 件可以插入在一个应用软件特定集成电路（ASIC)，只读存贮器(ROM)，短----完整版学习资料分享----

=====WORD完整版----可编辑----专业资料分享===== 暂存贮器或有时在可编程逻辑控制器(PLC)中，如条形码解读器，单循环控制器，填充器，检重仪，温度控制器等 3 4 标准软件包 可配置软件包 商定现成的软件包，如电子制表软件，确认应用过程 标准化学分析软件等 该系统允许用户通过配置预先确定的用户审核，确认应用软件模块及的软件应用模块来发展他过程和一些预定码 们自己的应用软件，如人机对话接口(HMI)，管理控制及数据获得系统(SCADA)，实验室自动控制系统(LAS)，实验室信息管理系统，物料需求计划系统，系统应用及产品数据处理系统(SAP)，部份可编程逻辑控制器等 根据用户的要求进行设计和开发 实施计算机系统确认的全过程 5

用户自设计系统 5.2 软件的生存周期

工程部负责软件的生存周期的评估，对软件进行确认。软件应在初次使用前进行确认，适当时，

在这类软件的变更后或应用时进行确认。

软件确认和再确认有关的特定方法和活动应与软件应用相关的风险相一致，包括对产品符合规范能力的影响。

5.3 软件测试

工程部制定软件的测试方法，规范软件测试的主要方式和方法。 5.3.1 测试的分类

a. 软件项各模块的单元测试； b. 软件组装测试； c. 软件确认测试；

5.3.2 测试方案的策划

测试方案的策划应包括以下内容：

a. 单元测试计划、软件组装测试计划； b. 软件验收确认测试计划； c. 测试用例设计； d. 测试环境和工具； e. 测试结果的判定准则； f. 测试的组织和人员安排； g. 用户文档

5.3.3 工程部按照软件测试方案的要求，在各软件模块、软件项和软件系统设计实现过程各阶

----完整版学习资料分享----

=====WORD完整版----可编辑----专业资料分享=====

段进行软件测试。测试结果报工程部经理审核，技术总监批准。

5.4 软件的确认

工程部组织在类似使用环境下，对组装完成的软件的确认，软件的确认填写《设计和开发确认记录》，由工程部经理负责审批。并给顾客进行确认。

软件确认包括以下几个方面：

a. 性能测试：列出要测试的项目并证明这些项目能满足要求。例如软件可以设定时间、

温度等，设置这些参数，测试能否满足预定的要求。

b. 功能测试：按说明书的相反要求进行设置，检查报错的可靠性，如果存在一种以上的

软件，检查软件间的影响。

c. 极限测试：根据软件的使用极限极限测试极限条件的工作可靠性，例如在电压的波动

范围内，检查最大波动情况。

d. 系统设置可恢复性：检查系统出了问题以后，恢复到正常设置的能力。

e. 安全性：界定安全措施，例如界定什么人可以修订参数、什么人可以更改程序等。

5.4.1 安装确认(IQ)

安装确认的目的是保证系统的安装符合设计标准，并保证所需技术资料俱全。具体确认内容由工程部进行评估，可包括如下：

a) 标准清单，包括使用者要求、功能性要求、物理要求、系统标准等。

b) 作业指导书，包括硬件和软件的操作、预防维修、备份和数据存档、灾难(断电、硬软

件损坏等)恢复及系统退役。 c) 配置图，配置图是控制系统的概图。

d) 硬件配置清单，包括已安装系统的所有组成部分，应记录其修订版号。 e) 软件清单和源代码的复制件

列出与系统有关的所有软件和软件版本，并保证所有软件的复制件都归入档案，安

全

存放。应存放以下几种软件。源代码产生器或编辑器、源代码(包括初级排序、功

能

和报告的产生)、操作系统、诊断程序、存档／备份程序。

f) 输入／输出(I／O)清单及连续性检查。连续性检查是保证信号可从控制系统发至装置并又可从装置返回至控制系统。

g) 环境和公用工程测试。确认并记录系统安装的环境，包括清洁度、射频／电磁干扰、振动、物理安全性、噪声、照明。

h) 结构测试(白盒法)，主要指源代码的结构测试。对以下各项进行确认。

5.4.2 运行确认(OQ)

系统运行确认的目的是保证系统和运作符合需求标准。系统运行确认应在一个与正常工作环境隔离的测试环境下实施，但应模拟生产环境。具体包括如下：

----完整版学习资料分享----

=====WORD完整版----可编辑----专业资料分享=====

a) 系统安全性测试：挑战所有逻辑系统，诸如各工作层的使用权限，证明各安全层面

的允许权限未经授权的操作得到禁止；确认系统外围的安全性，诸如I／O 总线卡， 操作人员接口终端等。

b) 操作人员接口测试，确认操作人员接口系统的功能。 c) 报警、互锁功能测试。

d) 数据的采集及存贮，确认系统的数据采集及存贮功能如下：准确的采集、贮存和检

索数据；确认数据的输出长度、进位及空值、零及负值的处理能力；自动将数据存

档并保存至指定时期。确认数据处理能力，包括算法、统计、查表数值及报告的产

生等。定时器和定序器测试。

e) 功能性测试(黑盒法)，根据系统定义中所提供的各种要求文件、标准(最好有一张

包括运作分支在内的功能图)对系统各功能和各决断通路进行测试。测试应在最高特

定条件下进行(如最高通讯负载，大型数据文件的处理等)。

f) 断电／修复测试：复查断电之前，期间和之后的数据采集状况证明数据没有破坏

或

丢失；测试后备供电、不间断供电和动力调节器、发电机功能恢复是否正常。 g) 灾难恢复测试，制造一起系统失效现象，按照灾难恢复程序一步步确认以下各

项：

现有的数据未被破坏；保证对系统的数据备份有效。

h) 制定系统标准操作程序运行确认结果合格后，证明系统具备了能够在正式生产

环

境下使用的条件。

i) 可以在正常生产环境下进行进一步确认。

5.4.3 性能确认 (PQ)

是为了确认系统运行过程的有效性和稳定性，应在正常生产环境下进行测试。测试项目依据对系统运行希望达到的整体效果而定(如对生产出的产品质量各项特性进行测试)，测试应在正常生产环境下(相同条件下)重复3 次以上。 注：当计算机系统取代人工系统时，可以进行平行的验证试验。

5.5 人员培训

人员培训系统在正式投入使用之前，应对所有相关人员，包括操作人员、维修人员等进行培训，确认其能够按要求正确操作。

5.6 确认标准

----完整版学习资料分享----

=====WORD完整版----可编辑----专业资料分享=====

当确认所有的验证结果符合预先设定的可接受标准，验证报告已得到相关人员审批并完成

人员培训后，软件可被投入正式使用。

5.7 再确认

设备移动位置、大修或运行一段周期后，进行再确认（IQ、OQ、PQ均进行确认）。

5.8 改进措施

在系统的测试、验收及确认过程中，由于理解能力及环境变化等限制，不可避免地会出现结果与预先所设定的可接受标准之间产生偏差的现象。这时必须查清偏差产生的根本原因，采取有效的纠正措施进行处理(有时可能会涉及到部分修订系统设计标准)。当每一偏差都得到有效处理后，验证方可进入下一阶段。偏差产生的原因、处理过程及结果均在相应文件中进行记录。

5.9 软件的来料检验

5.9.1 软件到仓后，由品管部IQC从批量抽取样品，交生产部按工艺指导书的规定与其它部件组装成成品。

5.9.2 确认时，品管部IQC按《软件检验标准》对软件功能和参数逐项确认，并将测试结果记录在《IQC检验报告》上。

5.9.3 检测结论合格，IQC加贴绿色“合格标签”后，通知仓库办理入库手续。

5.9.4 若检测结论不合格，IQC加贴红色“不合格标签”后，按《不合格品控制程序》处理。

5.10 变更后确认

5.10.1 若工艺发生变更，由工程部根据工艺调整情况，作出软件修改结论，若需修改，由工程部按不程序的规定，重新验证确认。

5.10.2 由此产生的相应文件和产品更改，执行《CE技术文件控制程序》和《与公告机构联络控制程序》规定。

5.11 记录控制

工程部、品管部、采购部等相关部门，对本程序引起的与本部门相关的记录进行保管。

6、 相关记录 无。

----完整版学习资料分享----