PEMS(9706.1-2020)-day1
新版9706.1-2020明年就要开始实施了,重新对9706.1的相关章节进行学,本系列为学习记录,我们从 PEMS( 可编程医用电气系统)开始学习,欢迎大家一起探讨.
名词定义:
3.9.0
可编程医用电气系统 programmableelectricalmedicalsystem ; PEMS
包含一个或多个可 编程电子子系统 ( PESS ) 的 ME 设备 或 ME 系统 。
3.9.1
可编程电子子系统 programmable electronic subsystem ; PESS
基于一个或多个 中央处理单元的系统 , 包括它们的 软件和接口。
3.8.2
PEMS开发生命周期 PEMS development life-cycle
从项目概念设计阶段开始至PEMS确认完成期间进行的必要的活动。
3.8.3
PEMS 确认 PEMS validation
在开发 过程 期间或结束时 , 对 PEMS或PEMS 组件进行评价的 过程 , 以确定是否满足 预期用途的用途
涉及章节:
7 . 2 . 2 * 标识
软件作为PEMS的一部分应确定唯一的标识符 , 诸如 : 修订版本或发布 / 颁布日期 , 该识别应能被
指定人员获取 , 例如 维护人员 。 该识别不需要标记在 ME设备外部 。
主章节
14 * 可编程医用电气系统 ( PEMS )
14 . 1 * 概述
14.2-14.12的适用性识别
a)可编程电子子系统( PESS )是否 提供 基本安全 或 基本性能 所必需的功能
b)应用4.2进行风险分析,评估PESS失效是否会导致不可接受的风险
注:从风险的危害程度、发生概率、可探测性来进行评估,大部分设备应该都是适用的。
关注未知来源软件(SOUP的评估)
14.3适用于预期接入IT-网络的任何PEMS
14.2 * 文档
需要建立相应的文档控制程序,进行评审、批准、发布和更改。
14 . 3 * 风险管理计划
按 4.2.2形成的风险管理 计划应包括对 PEMS确认计划(见14.11) 的引用 。
14 . 4 * PEMS 开发生命周期
PEMS 开发生命周期 应当包含一组已定义的里程碑 。
在每个里程碑,应确定将要完成的活动和验证这些活动的方法。(风险检查表,已整理)
应确定每个活动 , 包括其输入和输出 。
每个里程碑应识别在此里程碑结束前一定有完成的风险管理活动。
应通过制定详细的活动 、 里程碑和进度表计划 , 来为特定的开发定制 PEMS 开发生命周期 。
PEMS开发生命周期应包括对文档的要求。
参照附录H2
14 . 5 * 问题解决
根据产品类型 , 问题解决体系可以 :
——— 作为 PEMS 开发生命周期 的一部分形成文档 ;
——— 允许报告影响 基本安全 或 基本性能 的潜在的或现存的问题 ;
——— 包括对每个涉及 风险 问题的评估 ;
——— 确定将问题解决一定要满足的准则 ;
——— 确定解决每个问题所采取的措施 。
注:以上为风险分析的基本要素 可考YY0316,思路一致
14 . 6 风险管理过程
14 . 6 . 1 * 已知和可预见危险的识别
YY0316以外识别了 PEMS关联的危险源,详细参考 附录 H.7.2 可在风险分析时列表进行每项确认。
14 . 6 . 2 * 风险控制
工具and程序应是适合的而且是已确认的。
注:工具and程序需要确认文档(方法 and 标注 and 记录)
14.7 * 需求规格说明
对于 PEMS 及其各子系统 ( 例如 : PESS ), 应有文档化的需求规格说明 。
系统或者子系统的需求规格说明 , 应包含并区分由其自身实施的任何 基本性能 和任何 风险控制
措施 。
GB9706.1—2020注:PEMS的结构示例参见附录 H 中 H.1。
注:是否可考虑与系统需求合并??
14 . 8 * 体系结构
对于 PEMS 及其各子系统 , 应明确规定符合需求规格说明的体系结构 。
适当时 , 为把 风险 降低到可接受的水平 , 体系结构规格说明应采用 :
a) 高完善性元器件 ;
元器件需求规格书,认证,寿命验证
b) 失效安全功能 ;
MBTF、单一故障,失效分析
c) 冗余设计 ;
可靠性
d) 多样性
???
e) * 功能划分;
功能模块进行划分
f) 防护性设计 , 例如通过限制可得到的输出能量或采用限制执行机构的行程的方法来限制潜在
危险的影响 。
体系结构规格说明应考虑 :
g) 对PEMS子系统及其组件的风险控制措施的配置;
注:子系统和组件包括传感器、驱动装置、PESS和接口。
h) 组件失效模式及其效应 ;
i) 共同原因的失效 ;
j) 系统性失效;
k) 测试的间隔持续时间和诊断覆盖范围;
l) 可维护性 ;
m) 合理可预见误用的防护 ;
n) 如适用 , IT- 网络 规格说明 。
14 . 10 * 验证
所有实现 基本安全 、 基本性能 或 风险控制 措施的功能都需要得到验证 。
应制定 验证 计划以表明这些功能是如何被验证的 。 计划应包括 :
——— 在每个里程碑 , 对各个功能进行 验证 ;
——— 验证 策略 、 活动 、 技术及执行 验证 人员的适当独立程度的选择和形成文档 ;
——— 验证 工具的选择和运用 ;
——— 验证 的覆盖准则 。
注文档条目应涵盖以上的内容
注 : 方法和技术的示例如下 :
——— 走查 ;
代码审核(人)
——— 检查 ;
——— 静态分析 ;
程序静态分析_百度百科 (baidu.com)
———动态分析 ;
程序动态分析 - 链滴 (ld246.com)
——— 白盒测试 ;
白盒测试_百度百科 (baidu.com)
——— 黑盒测试 ;
程序静态分析_百度百科 (baidu.com)
—— 统计学测试 。
验证 应根据 验证 计划执行 。 验证活动的结果应形成文档 。
14 . 11 * PEMS 确认
PEMS 确认 计划应当包含 基本安全 和 基本性能 的确认 。
PEMS 确认 采用的方法应形成文档 。
应根据 PEMS 确认 计划实施 PEMS 确认 。 PEMS 确认 活动的结果应形成文档 。
全面负责 PEMS 确认 的人员应独立于设计组 。 制造商 应将独立性程度的解释说明形成文档 。
设计组成员不应承担其自己设计部分的确认工作。
风险管理文档 中应记录 PEMS 确认 组成员和设计组成员之间的所有专业关系 。
注:人员职责划分,专职测试人员or 交叉测试
PEMS确认可包含针对高容量数据、高负载或压力、人为因素、数据安全、性能、配置兼容性、故障检 测、文档和安全性的测试。
14 . 12 * 修改
如果任何部分或者全部设计是对早期设计的修改 , 则作为全新设计适用本章所有条款 , 或任何早期
设计文档的持续有效性应在文档化修改 / 更改 程序 下进行评估 。
当软件被修改时 ,YY/T0664—2008 中的 4.3, 第 5 章 、 第 7 章 ~ 第 9 章的要求也应适用于修改 。 、
注:设计变更 进行风险分析更新
14 . 13 * 预期接入 IT- 网络的 PEMS
如果 PEMS 预期接入未经 PEMS 制造商确认过的 IT- 网络 , 制造商 为实现这样的连接应提供有效
的说明 , 包括以下内容 :
a) PEMS 连接到 IT-网络的目的;
b) 与PEMS相连的 IT-网络所要求的特性;
c) 与PEMS相连的 IT- 网络 所需的配置 ;
d) PEMS网络连接的技术规格说明,包括数据安全规格说明;
e) 在PEMS,IT-网络和IT-网络上的其他设备间的预期信息流,以及预期通过 IT- 网络 的路由 ; 和
注 1 : 这可以包括 与 基 本 安 全 和 基 本 性 能 有 关 的 有 效 性 、 数 据 和 系 统 安 全 的 各 方 面 ( 参 见 附 录 H 中 H.6 和 IEC80001-1:2010)。
f) 为达到 PEMS 与 IT- 网络 连接目的所需特性的 IT- 网络 失效时的 危险情况 清单 。
注 2 : 为传输数据 , 连接 PEMS 到另一设备会创建一个 2 节点的 IT- 网络 。 例如 , 将一个 PEMS 连接到打印机会创建 一个IT- 网络 。 如果制造商已对 PEMS 及打印机进行确认 , 那么可认为创建的网络在制造商的控制内 。
通过检查说明书来检验是否符合要求 。
在随附文件中,制造商应告知责任方:
———PEMS与包含其他设备的IT-网络的连接可能导致对患者、操作者、第三方带来以往没有识别
的风险;
———责任方宜识别、分析、评价和控制这些风险;
免责声明
注 3 :IEC80001-1:2010 为 责任方 解决这些风险提供了指南 。
——— 对 IT- 网络 的后续修改可能引入新的风险 , 需要进行补充分析 ;
——— IT- 网络 的更改包括 :
● IT- 网络 配置的更改 ;
● 与IT-网络 连接的新增项 ;
● 与IT-网络 连接中断的项 ;
● 与IT-网络 连接的设备的更新 ;
● 与IT-网络 连接的设备的升级 。
通过检查随附文件来检验是否符合要求。
注详细越多附录H和条款章节