医疗器械软件GMP之现场检查要点简析
-
-
0 人点赞了该文章 · 533 浏览
| |
黑盒测试应当保证同一软件项的开发人员和测试人员不得互相兼任。 | |
用户测试人员应当具备适宜的软件产品使用经验,或经过培训具备适宜的软件产品使用技能。 | |
| |
软件开发和测试环境维护应当形成文件,确定软件开发和测试环境定期验证、更新升级、病毒防护等活动要求,保持相关记录。 | 软件开发环境通常指在基本硬件和宿主软件的基础上,为支持系统软件和应用软件的工程化开发和维护而使用的一组软件。它由软件工具和环境集成机制构成,前者用以支持软件开发的相关过程、活动和任务,后者为工具集成和软件的开发、维护及管理提供统一的支持。 软件测试环境是为了完成软件测试工作所必需的计算机硬件、软件、网络设备、历史数据的总称。 软件企业需建立软件开发与测试环境管理文件,如《软件开发与测试环境管理规程》。文件中须明确数据备份与恢复、漏洞和病毒防护、定期验证、更新升级等活动的要求,需留存上述活动的记录,包括《数据备份和恢复记录》、《软件开发和测试环境病毒及漏洞防护记录》等。
|
| |
应当建立健全质量管理体系文件,包括质量方针和质量目标、质量手册、程序文件、技术文件和记录,以及法规要求的其他文件。 | 有别于传统医疗器械,医疗器械软件生产程序文件通常包括《软件生存周期过程控制程序》、《软件配置管理控制程序》、《软件可追溯性分析控制程序》、《软件风险管理控制程序》等。 医疗器械软件的制度文件还包括《配置管理库管理制度》、《软件版本命名规则》、《软件编码规则》、《现成软件管理制度》、《网络安全事件应急响应管理制度》、《软件开发策划管理制度》、《软件需求管理制度》、《软件开发与测试环境管理制度》、《软件缺陷管理制度》、《软件更新管理制度》、《软件停运管理制度》等。
|
| |
软件生存周期过程质量保证活动要求应当与软件安全性级别相适宜。 | |
软件安全性级别应当在采取风险控制措施之前,结合软件的预期用途、使用场景和核心功能进行综合判定,并仅可通过外部风险控制措施降低级别。 | 软件的安全性级别判定应在风险控制措施实施前进行,识别出风险后进行分析和评价,得出安全性级别。待采取风险控制措施后,应再次进行风险分析和评价。 软件的安全性级别判定依据可参照《医疗器械软件注册审查指导原则(2022年修订版)》和YY/T 0664-2020《医疗器械软件软件生存周期过程》。 需要提示的是上述“风险控制措施”须为外部风险控制措施(如通过与软件产品联合使用的医疗设备进行风险的控制),而非软件产品本身的改进等措施。
|
软件配置管理应当建立控制程序并形成文件,规范软件版本、源代码、文件、工具、现成软件等控制要求,确定配置标识、变更控制、配置状态记录等活动要求。 | |
软件版本控制应当基于合规性要求确定软件版本命名规则,涵盖软件、现成软件、网络安全的全部软件更新类型,各字段含义应当明确且无歧义无矛盾。 | |
软件需求分析应当综合分析法规、标准、用户、产品、功能、性能、接口、用户界面、网络安全、警示提示等软件需求,确定风险管理、可追溯性分析、现成软件使用评估、软件确认测试计划创建、评审等活动要求,形成软件需求规范和评审记录并经批准,适时更新并经批准。可追溯性分析此时应当分析软件需求与风险管理、软件需求与产品需求的关系。 | 需求分析阶段属于ISO13485:2016《医疗器械质量管理体系-用于法规的要求》中的“设计和开发输入”阶段。 软件的设计开发通常可分为软件主体模块、数据模块和算法模块三个模块。软件主体模块需进行软件需求分析,一般会形成《软件需求规范》;数据模块也需进行需求分析,一般会形成《数据采集需求规范》;数据模块同样也需进行需求分析,一般会形成《算法需求规范》。输出的需求规范需进行评审。 对于涉及人工智能的软件,数据来源的合规性也是检查人员的关注点,软件企业需提供数据采集操作规范文档、伦理批件或相关协议等文件。
|
软件设计应当依据软件需求规范实施软件体系架构、功能、性能、算法、接口、用户界面、单元、网络安全等设计,确定风险管理、可追溯性分析、现成软件使用评估、软件验证测试计划创建、评审等活动要求,形成软件设计规范和评审记录并经批准,适时更新并经批准。可追溯性分析此时应当分析软件设计与软件需求之间的关系。 | |
| |
应当建立供应商审核制度,对供应商进行审核评价。必要时,应当进行现场审核。应当保留供方评价的结果和评价过程的记录。 | |
暂无评论