4.3

*

软件的安全性级别

a)

制造商应按照软件系统引起的危害对于患者、操作者或其他人员的可能影响，赋

予每个软件系统一个软件安全性级别（

A

、

B

或

C

）

。

基于如下的严重度，应初步赋予软件相应安全性级别：

A

级：不可能对健康有伤害或损坏。

B

级：可能有不严重的伤害。

C

级：可能死亡或严重伤害。

如果危害可能由软件系统未能象规定的那样想作用引起，则此项失效的概率应假定为

100%

。

如果软件失效引起死亡或严重伤害的风险，

随后由硬件风险控制措施降低到可接受水平

（如

YY/T 

0316

所规定）

，

或者降低失效后果或者降低由失效引起的死亡或严重伤害的概率，

软件安全性级别可从

C

降低到

B

；

如果软件失效引起的非严重伤害风险同样通过硬件风险控

制措施降低到可接收水平，软件安全性级别可从

B

降低到

A

。

b)

制造商应依据风险控制措施所控制的危害的可能影响，对实施风险控制措施起作

用的每个软件系统赋于一个软件安全性级别。

c)

制造商应在风险管理文档中将赋于每个软件系统的软件安全性级别形成文档。

d)

当一个软件系统分解为软件项，及当一个软件项又进一步分解为几个软件项时，

此类软件项应继承原软件项（或软件系统）的软件安全性级别，

除非制造商以文

件形式证明分类为不同的安全性级别的理由。此类理由说明应解释新的软件项是

如何被分开的，以便可对其另行分级。

e)

如果以分解方式产生的软件项的安全级别和其源软件项不同，制造商应对每个软

件项的软件安全级别形成文档。

f)

为符合本标准，无论特定级别的软件项是否需要一个过程，此过程是否有必要应

用于一组软件项，制造商应使用此组中最高级别的软件项所要求的诸过程和任务，

除非制造商在风险管理文档中有使用较低级别的理由的说明文件。

g)

对每个软件系统，在赋于软件安全性级别以前，均应应用

C

级要求。

注：在随后的要求中，对该项要求必须实施的软件安全性级别，以

[

……级

]

形式标示

于该要求之后。

7 

*

软件风险管理过程

7.1

*

促成危害处境的软件分析

7.1.1

判定可能促成危害处境的软件项

制造商应确定在

YY/T 0316

的医疗器械风险分析活动（见

4.2

）中判定的可能危害处境

的软件项。

[B

、

C

级

] 

注：危害处境可能是软件失效的直接结果，或在软件中实施风险控制措施失效的效果。

7.1.2

判定促成危害处境的可能原因

制造商应判定上面确定的软件项和促成危害处境可能原因。

制造商应考虑的可能原因，适当时包括：

a)

不正确的或不完整的功能性说明；

b)

在已识别的软件项功能性中的软件缺陷；

c)

来自未知来源软件（

SOUP

）的失效或非预期结果；

d)

可能导致不可预知的软件运行的硬件失效或其他软件缺陷，和；

e)

合理可预见的误用。

[B

、

C

级

]