要点

简析

黑盒测试应当保证同一软件项的开发人员和测试人员不得互相兼任。

• 一方面，软件开发人员熟悉软件内部程序，参与黑盒测试，易受主观经验的干扰，影响测试的效果；另一方面，软件开发人员和测试人员在质量职责与权限上存在一定的制约关系，人员分离可避免因利益冲突导致测试不够独立和客观（此项要求需在质量管理体系文件中体现）。

用户测试人员应当具备适宜的软件产品使用经验，或经过培训具备适宜的软件产品使用技能。

• 用户测试是设计开发确认的一部分，应当依据用户测试计划在真实使用环境或模拟使用环境下实施，目的是为了确认产品是否满足预期用途的要求，因此用户测试人员通常为预期使用产品的人员，如临床医生、医学专家等。用户测试人员应具有同类软件产品的使用经验，若无同类产品使用经验，则需对其进行产品使用的培训，使其具有产品使用技能。

要点

简析

软件开发和测试环境维护应当形成文件，确定软件开发和测试环境定期验证、更新升级、病毒防护等活动要求，保持相关记录。

• 软件开发环境通常指在基本硬件和宿主软件的基础上，为支持系统软件和应用软件的工程化开发和维护而使用的一组软件。它由软件工具和环境集成机制构成，前者用以支持软件开发的相关过程、活动和任务，后者为工具集成和软件的开发、维护及管理提供统一的支持。

• 软件测试环境是为了完成软件测试工作所必需的计算机硬件、软件、网络设备、历史数据的总称。

• 软件企业需建立软件开发与测试环境管理文件，如《软件开发与测试环境管理规程》。文件中须明确数据备份与恢复、漏洞和病毒防护、定期验证、更新升级等活动的要求，需留存上述活动的记录，包括《数据备份和恢复记录》、《软件开发和测试环境病毒及漏洞防护记录》等。
  

要点

简析

应当建立健全质量管理体系文件，包括质量方针和质量目标、质量手册、程序文件、技术文件和记录，以及法规要求的其他文件。

• 有别于传统医疗器械，医疗器械软件生产程序文件通常包括《软件生存周期过程控制程序》、《软件配置管理控制程序》、《软件可追溯性分析控制程序》、《软件风险管理控制程序》等。

• 医疗器械软件的制度文件还包括《配置管理库管理制度》、《软件版本命名规则》、《软件编码规则》、《现成软件管理制度》、《网络安全事件应急响应管理制度》、《软件开发策划管理制度》、《软件需求管理制度》、《软件开发与测试环境管理制度》、《软件缺陷管理制度》、《软件更新管理制度》、《软件停运管理制度》等。

要点

简析

软件生存周期过程质量保证活动要求应当与软件安全性级别相适宜。

• 不同安全性级别的软件应采取对应级别的质量控制措施，因此，软件企业应当先判定软件安全性级别。

• 医疗器械软件的安全性级别判定依据和方法、各级别产品的质量控制措施均需在质量管理体系文件中体现。

软件安全性级别应当在采取风险控制措施之前，结合软件的预期用途、使用场景和核心功能进行综合判定，并仅可通过外部风险控制措施降低级别。

• 软件的安全性级别判定应在风险控制措施实施前进行，识别出风险后进行分析和评价，得出安全性级别。待采取风险控制措施后，应再次进行风险分析和评价。

• 软件的安全性级别判定依据可参照《医疗器械软件注册审查指导原则（2022年修订版）》和YY/T 0664-2020《医疗器械软件软件生存周期过程》。

• 需要提示的是上述“风险控制措施”须为外部风险控制措施（如通过与软件产品联合使用的医疗设备进行风险的控制），而非软件产品本身的改进等措施。

软件配置管理应当建立控制程序并形成文件，规范软件版本、源代码、文件、工具、现成软件等控制要求，确定配置标识、变更控制、配置状态记录等活动要求。

• 软件企业应当建立软件配置管理文件，如《配置管理规程》。在文件中明确医疗器械软件的配置要求。

• 需确认文件中是否明确规定了软件生存周期全过程中软件配置的管理要求，是否明确了配置工具、配置项、配置标识、配置管理库、基线管理、配置变更流程等内容。

软件版本控制应当基于合规性要求确定软件版本命名规则，涵盖软件、现成软件、网络安全的全部软件更新类型，各字段含义应当明确且无歧义无矛盾。

• 软件企业应综合考虑软件特点、质量管理体系要求、合规性等因素制定软件版本命名规则，明确字段的位数、范围、含义，具体可参照《医疗器械软件注册审查指导原则（2022年修订版）》。软件版本命名规则需在质量管理体系文件中予以体现。

软件需求分析应当综合分析法规、标准、用户、产品、功能、性能、接口、用户界面、网络安全、警示提示等软件需求，确定风险管理、可追溯性分析、现成软件使用评估、软件确认测试计划创建、评审等活动要求，形成软件需求规范和评审记录并经批准，适时更新并经批准。可追溯性分析此时应当分析软件需求与风险管理、软件需求与产品需求的关系。

• 需求分析阶段属于ISO13485:2016《医疗器械质量管理体系-用于法规的要求》中的“设计和开发输入”阶段。

• 软件的设计开发通常可分为软件主体模块、数据模块和算法模块三个模块。软件主体模块需进行软件需求分析，一般会形成《软件需求规范》；数据模块也需进行需求分析，一般会形成《数据采集需求规范》；数据模块同样也需进行需求分析，一般会形成《算法需求规范》。输出的需求规范需进行评审。

• 对于涉及人工智能的软件，数据来源的合规性也是检查人员的关注点，软件企业需提供数据采集操作规范文档、伦理批件或相关协议等文件。
  

软件设计应当依据软件需求规范实施软件体系架构、功能、性能、算法、接口、用户界面、单元、网络安全等设计，确定风险管理、可追溯性分析、现成软件使用评估、软件验证测试计划创建、评审等活动要求，形成软件设计规范和评审记录并经批准，适时更新并经批准。可追溯性分析此时应当分析软件设计与软件需求之间的关系。

• 软件设计通常包括软件主体模块的软件架构设计、软件详细设计及算法设计。设计完成后输出《软件设计规范》或《软件设计规格说明》以及《软法设计规范》。评审通过的设计规范或设计规格说明将作为软件编码阶段的输入。

• 软件的每项设计均应能追溯到对应的软件需求。软件企业可通过建立追溯矩阵来实现“产品需求—软件需求—软件设计—软件编码—软件测试”环节的可追溯性。

要点

简析

应当建立供应商审核制度，对供应商进行审核评价。必要时，应当进行现场审核。应当保留供方评价的结果和评价过程的记录。

• 供应商的分级管理是现场检查的要点之一。一般来说，供应商的管理等级与物料的管理等级是对应的，例如A类物料的供应商为A类供应商。对软件企业而言，还需关注服务类供应商的分级管理，例如，提供外包软件服务的供应商通常为管理级别较高的供应商，而提供软件物理载体运输服务的供应商通常为管理等级较低的供应商。