近日，上海市器審中心發(fā)布《醫(yī)療器械獨立軟件現(xiàn)場核查指南》（以下簡稱《指南》），以供檢查員及注冊申請人參考使用。我們將其中第七部分內(nèi)容“獨立軟件現(xiàn)場檢查要點”轉(zhuǎn)載如下：

軟件是一種容易改變且難以測試的復雜產(chǎn)品，因而需通過較為全面的質(zhì)量管理體系來保證其質(zhì)量。通常，質(zhì)量管理體系系統(tǒng)至少包括以下幾個方面：詳細的計劃的驗證和確認方案、完善的可追溯系統(tǒng)、軟件配置管理以及變更控制系統(tǒng)。

根據(jù)獨立軟件產(chǎn)品的結(jié)構(gòu)組成、技術(shù)特點、預期用途，在執(zhí)行《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范》《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范附錄獨立軟件》等文件時，建議重點關注以下內(nèi)容：

（1）（總體要求）企業(yè)應配備與產(chǎn)品相適宜的軟件技術(shù)管理、軟件開發(fā)、測試和維護人員，上述人員應具備與崗位職責要求相適宜的專業(yè)知識、實踐經(jīng)驗和工作能力。企業(yè)應制定適宜的人員考核與評價制度，并保存相關考核及評價記錄。技術(shù)研發(fā)、生產(chǎn)、質(zhì)量的部門負責人等主要管理人員應熟悉軟件產(chǎn)品開發(fā)及質(zhì)量控制基本要求。企業(yè)執(zhí)行軟件黑盒測試的人員，不應承擔同一軟件項的開發(fā)。用戶測試人員的專業(yè)知識水平、工作技能、工作經(jīng)驗應與被測軟件產(chǎn)品相適宜。

（2）（培訓要求）軟件開發(fā)人員的培訓內(nèi)容應包含軟件需求規(guī)范、軟件設計規(guī)范、軟件編碼規(guī)范、軟件開發(fā)工具使用、相關國家標準等內(nèi)容。軟件測試人員的培訓內(nèi)容應包含軟件需求規(guī)范、軟件測試用例、軟件操作使用、軟件測試工具使用、軟件測試數(shù)據(jù)、相關國家標準等內(nèi)容。軟件維護人員的培訓內(nèi)容應包含軟件安裝、設置、配置、使用、維護、軟件工具使用等內(nèi)容。用戶測試人員的培訓內(nèi)容應包含測試產(chǎn)品的軟件需求規(guī)格書、軟件使用說明書、相關軟件工具使用等內(nèi)容。應保存相關培訓記錄，記錄應真實、完整、清晰、可追溯。

（1）（設備）企業(yè)應配備與檢查軟件產(chǎn)品相適應的軟件開發(fā)和測試環(huán)境，包括硬件配置、軟件環(huán)境、開發(fā)測試工具、網(wǎng)絡條件等環(huán)境資源，以及病毒防護、數(shù)據(jù)備份與恢復等保證措施。應保存對軟件開發(fā)和測試環(huán)境定期驗證、更新升級、病毒防護等活動的記錄，確保記錄與相關制度要求相一致。

（2）（設施）應確保檢查產(chǎn)品開發(fā)所涉及的機房應有適宜的空間，應滿足與計算機機房相適宜的照明、溫度、濕度和通風等條件的控制要求，配備防塵、防潮、防靜電等必要措施。

（1）（軟件生存周期控制）企業(yè)應在軟件生存周期過程控制程序文件中明確與軟件產(chǎn)品相適宜的開發(fā)要求。程序文件應至少包含軟件開發(fā)、軟件風險管理、軟件配置管理、軟件維護、軟件問題解決等過程相關內(nèi)容。

軟件開發(fā)過程應至少涵蓋軟件開發(fā)策劃、軟件需求分析、軟件設計、軟件單元實現(xiàn)、軟件集成及測試、軟件系統(tǒng)測試、軟件發(fā)布等內(nèi)容。軟件維護過程應至少包括軟件維護計劃及實施方案等內(nèi)容。軟件風險管理應至少包含軟件風險分析、風險控制措施、措施驗證及評價、軟件變更的風險管理等內(nèi)容。軟件配置管理過程應至少包括配置標識、變更控制、配置狀態(tài)報告等相關內(nèi)容。軟件問題解決過程應至少包括缺陷原因分析、解決方案制定、解決方案實施后的驗證、缺陷管理報告及回歸測試報告等相關內(nèi)容。企業(yè)可結(jié)合軟件產(chǎn)品的自身特點，選用不同軟件開發(fā)模型來明確生存周期活動，應確保其相關活動可追溯。如采用敏捷方法，應明確文件與記錄控制要求、敏捷開發(fā)控制要求。

（2）（軟件安全性級別）軟件生存周期過程質(zhì)量保證活動要求應與軟件安全性級別相適宜，應按照軟件的預期用途、使用環(huán)境、核心功能，結(jié)合風險管理的方式，判定該產(chǎn)品對患者、操作者或者其他人員可能引起的危害，賦予軟件安全性級別，包括輕微、中等、嚴重三個級別。對于最初分類為中等或嚴重級別的軟件，可以實施軟件系統(tǒng)外部附加風險控制措施，并在隨后為軟件系統(tǒng)賦予新的軟件安全級別。

（3）（軟件風險管理）軟件風險管理活動應包含識別與軟件相關的危險情況、估計及評價相關風險、控制風險、監(jiān)測風險控制措施的有效性，并貫穿于軟件生存周期全過程。應制定剩余風險的可接受性準則，并將醫(yī)療器械產(chǎn)品風險控制在可接受的水平。應識別可能促成危險情況的軟件項，識別該軟件項促成危險情況的以下可能原因：（a）不正確的或不完整的功能性規(guī)范；（b）該軟件項功能性方面的軟件缺陷；（c）來自未知來源軟件的失效或非預期結(jié)果；（d）可能導致不可預知的軟件運行的硬件失效或其他軟件缺陷；（e）可合理預見的誤使用。

（4）（軟件配置管理）軟件配置管理要求至少應規(guī)定軟件版本、確定配置標識（包括源代碼、技術(shù)文件、工具、現(xiàn)成軟件、數(shù)據(jù)等）、變更控制、配置狀態(tài)記錄等活動要求。企業(yè)應使用適宜的配置管理工具保證軟件質(zhì)量，并貫穿于軟件生存周期全過程。保留上述活動記錄，并滿足追溯要求。

（5）（軟件版本控制）軟件版本變更控制應涵蓋現(xiàn)成軟件、網(wǎng)絡安全的全部軟件更新類型。軟件版本命名規(guī)則應明確字段的位數(shù)、范圍、含義，各字段含義應明確且無歧義無矛盾，能夠區(qū)分重大增強類變更、輕微增強類變更和糾正類變更，保證軟件更新的版本變更符合軟件版本命名規(guī)則要求。應保留軟件版本的變更記錄。

（6）（軟件可追溯性）軟件可追溯性分析應建立控制程序。可使用可追溯性分析工具保證軟件開發(fā)、軟件更新過程滿足可追溯性要求。可追溯性分析報告及相關記錄應覆蓋包括軟件需求、軟件設計、軟件測試、源代碼、風險管理在內(nèi)的軟件生存周期全過程。并確認其一致性、完整性和準確性。源代碼中包含追溯信息的注釋應符合軟件編碼規(guī)范中相關要求。

（7）（現(xiàn)成軟件）現(xiàn)成軟件使用或更新之前應對其進行評估和確認，并保存相關記錄?，F(xiàn)成軟件使用文件應明確包括 現(xiàn)成軟件基本信息、風險管理、驗證與確認、缺陷管理、可追溯性分析、軟件更新、配置管理、網(wǎng)絡安全保證等活動要求。遺留軟件還應確定現(xiàn)有文件、上市后使用情況、用戶投訴、不良事件、召回情況等評估活動要求。使用現(xiàn)成軟件應形成記錄。若使用開源軟件，需遵循相應開源許可協(xié)議。

（8）（軟件開發(fā)過程）軟件需求應包括法規(guī)、標準、用戶、 產(chǎn)品、功能、性能、接口、用戶界面、網(wǎng)絡安全、風險、警告與提示等需求。軟件需求應明確、充分，與預期用途相適宜，與軟件實際實現(xiàn)功能相一致。軟件設計應依據(jù)軟件需求規(guī)范實施軟件體系架構(gòu)、功能、性能、算法、接口、用戶界面、單元、網(wǎng)絡安全、風險等相關內(nèi)容。軟件設計應充分、清晰、可追溯，描述必要的核心算法，與軟件實際實現(xiàn)功能相一致。軟件編碼應依據(jù)軟件設計規(guī)范實施，源代碼編寫與注釋應符合軟件編碼規(guī)則文件的要求。軟件編碼規(guī)則文件應涵蓋源代碼所涉及的編程語言。軟件驗證應確定源代碼審核、靜態(tài)分析、動態(tài)分析、單元測試、集成測試、系統(tǒng)測試、評審等活動要求，涵蓋功能測試、性能測試、接口測試、現(xiàn)成軟件、網(wǎng)絡安全等部分的驗證要求，并保存相關記錄。

白盒測試應確定語句、判定、條件、路徑等測試覆蓋率要求，并與軟件安全性級別相適宜。單元測試、集成測試、系統(tǒng)測試應依據(jù)相應測試計劃實施測試范圍和活動，涵蓋現(xiàn)成軟件、網(wǎng)絡安全的測試要求，確定缺陷管理、風險管理、可追溯性分析、評審等活動要求，并形成相應軟件測試記錄、缺陷管理記錄、測試報告以及評審記錄，應適時更新。

軟件測試用例的描述應充分具體、具有可操作性，覆蓋主要功能和已識別的軟件風險項；標準測試數(shù)據(jù)或工具應經(jīng)過有效驗證。軟件確認應確定用戶測試、臨床評價、風險管理、標識、評審等活動要求，并保存相關記錄。應保證軟件滿足用戶需求和預期目的，且確保軟件已知剩余缺陷的風險均可接受。用戶測試應依據(jù)用戶測試計劃在真實使用或模擬使用環(huán)境下實施確認的范圍和活動，應確定缺陷管理、風險管理、可追溯性分析、評審等活動要求，并形成用戶測試記錄、測試報告以及評審記錄并經(jīng)批準，應適時更新。

（9）（軟件更新）軟件更新文件應涵蓋現(xiàn)成軟件、網(wǎng)絡安全的變更控制要求，確定軟件更新請求評估、更新策劃、更新實施、風險管理、驗證與確認、缺陷管理、可追溯性分析、配置管理、文件與記錄控制、評審、用戶告知等活動要求，形成相關文件和記錄并經(jīng)批準，應適時更新。軟件版本變更應與軟件更新內(nèi)容相匹配。驗證與確認應根據(jù)軟件更新的類型、內(nèi)容和程度實施相適宜的回歸測試、用戶測試等活動。軟件缺陷管理應形成文件，確定軟件缺陷的輸入、分析評估、修復、回歸測試、風險管理、配置管理、評審及關閉等活動要求，形成軟件缺陷管理報告并評審。使用適宜的缺陷管理工具以保證軟件質(zhì)量，并貫穿于軟件生存周期全過程。 回歸測試、缺陷管理及評審記錄內(nèi)容應充分。

現(xiàn)成軟件是指生產(chǎn)企業(yè)未進行或無法證明進行了完整生存周期控制的軟件?，F(xiàn)成軟件采購應形成文件，根據(jù)現(xiàn)成軟件的類型、使用方式、對產(chǎn)品質(zhì)量影響程度，確定分類管理、質(zhì)量控制、供應商審核等活動要求。

外包軟件是指生產(chǎn)企業(yè)委托第三方開發(fā)、僅進行部分生存周期控制的軟件。若使用外包軟件，應與供應商簽訂外包軟件質(zhì)量協(xié)議，明確外包軟件需求分析、設計開發(fā)文件交付交付形式、知識產(chǎn)權(quán)歸屬、驗收方式與準則、更新維護等要求及雙方質(zhì)量責任承擔要求。若使用云計算服務，應基于云計算的服務資質(zhì)、服務協(xié)議、技術(shù)需求等因素選擇服務商，云服務商作為醫(yī)療器械服務供應商，企業(yè)應與云服務商簽訂云計算服務協(xié)議，明確網(wǎng)絡安全保證、患者數(shù)據(jù)與隱私保護等責任承擔要求。

軟件發(fā)布文件應確定軟件的發(fā)布功能、發(fā)布流程、軟件產(chǎn)品文件創(chuàng)建、軟件產(chǎn)品與文件歸檔備份、軟件版本識別與標記、交付形式評估與驗證、病毒防護等活動要求，確保軟件發(fā)布的可重復性。

企業(yè)應建立軟件交付物的生產(chǎn)作業(yè)指導書。軟件交付內(nèi)容一般包括軟件安裝程序、授權(quán)文件、外部軟件環(huán)境安裝程序、用戶使用說明等文件。交付手段可分為通過物理存儲媒介(以下簡稱物理交付)以及通過網(wǎng)絡下載(以下簡稱網(wǎng)絡交付)兩種方式。物理交付方式應明確交付用物理存儲媒介種類、物理交付物制作流程、交付物校驗、軟件制作工具使用、軟件版本標識與標記等內(nèi)容，確定軟件產(chǎn)品復制、許可授權(quán)以及存儲媒介包裝、標記、防護等要求。網(wǎng)絡交付方式，應明確網(wǎng)絡交付方式種類、網(wǎng)絡交付物的制作流程、校驗、軟件上傳工具使用、網(wǎng)絡上傳路徑、操作人員權(quán)限、網(wǎng)絡安全等內(nèi)容，確定軟件產(chǎn)品標記、許可授權(quán)、網(wǎng)絡安全保證等要求，網(wǎng)絡交付頁面的產(chǎn)品信息應符合相應規(guī)定。生產(chǎn)過程中采用的計算機軟件對產(chǎn)品質(zhì)量有影響的，應進行驗證或者確認。

軟件產(chǎn)品均應保留交付物生產(chǎn)記錄，并滿足可追溯的要求。企業(yè)應制定交付物的生產(chǎn)作業(yè)指導書。交付物的生產(chǎn)記 錄應與相應的生產(chǎn)作業(yè)指導書保持一致。生產(chǎn)記錄應包含生 產(chǎn)編號、光盤或U盤等物理存儲媒介的批號/序列號（僅適用物理交付）、軟件產(chǎn)品名稱及型號、完整版本號、校驗信息、生產(chǎn)日期、數(shù)量、主要設備、操作人員等內(nèi)容。

應確保軟件產(chǎn)品檢驗規(guī)程符合產(chǎn)品技術(shù)要求，若適用，軟件產(chǎn)品檢驗規(guī)程應明確強制性標準檢驗要求。交付軟件均應有檢驗記錄，并滿足可追溯的要求。檢驗記錄至少應包括進貨檢驗和成品檢驗的檢驗記錄、檢驗報告或者證書、交付軟件的系統(tǒng)測試報告等。

軟件產(chǎn)品放行文件應明確產(chǎn)品放行條件及審核、批準要求。確定軟件版本識別、安裝卸載測試、產(chǎn)品完整性檢查、 放行批準等活動要求，并保存相關記錄。

軟件部署文件應確定交付、安裝、設置、配置、用戶培訓等活動要求，并保存相關記錄。

軟件停運文件應確定停運后續(xù)用戶服務、數(shù)據(jù)遷移、患  者數(shù)據(jù)與隱私保護、用戶告知等活動要求，并保存相關記錄。