PEMS（9706.1-2020）-day1

新版9706.1-2020明年就要开始实施了，重新对9706.1的相关章节进行学，本系列为学习记录，我们从 PEMS（可编程医用电气系统）开始学习，欢迎大家一起探讨.

名词定义：

3.9.0

可编程医用电气系统 programmableelectricalmedicalsystem;PEMS

包含一个或多个可编程电子子系统(PESS)的 ME设备或 ME系统。

3.9.1

可编程电子子系统 programmable electronic subsystem;PESS

基于一个或多个中央处理单元的系统,包括它们的软件和接口。

3.8.2

PEMS开发生命周期 PEMS development life-cycle

从项目概念设计阶段开始至PEMS确认完成期间进行的必要的活动。

3.8.3

PEMS确认 PEMS validation

在开发过程期间或结束时,对PEMS或PEMS****组件进行评价的过程,以确定是否满足****预期用途的用途

涉及章节：

7.2.2 * 标识

软件作为PEMS的一部分应确定唯一的标识符,诸如:修订版本或发布/颁布日期,该识别应能被

指定人员获取,例如维护人员。该识别不需要标记在 ME设备外部。

主章节

14 * 可编程医用电气系统(PEMS)

14.1 * 概述

14.2-14.12的适用性识别

a)可编程电子子系统(PESS)是否提供基本安全或基本性能所必需的功能

b)应用4.2进行风险分析，评估PESS失效是否会导致不可接受的风险

注：从风险的危害程度、发生概率、可探测性来进行评估，大部分设备应该都是适用的。

关注未知来源软件（SOUP的评估）

14.3适用于预期接入IT-网络的任何PEMS

14.2 * 文档

需要建立相应的文档控制程序，进行评审、批准、发布和更改。

14.3 * 风险管理计划

按4.2.2形成的风险管理****计划应包括对**PEMS确认计划(见14.11)**的引用。

14.4 * PEMS开发生命周期

PEMS开发生命周期应当包含一组已定义的里程碑。

在每个里程碑,应确定将要完成的活动和验证这些活动的方法。（风险检查表，已整理）

应确定每个活动,包括其输入和输出。

**每个里程碑应识别在此里程碑结束前一定有完成的风险管理活动。 **

应通过制定详细的活动、里程碑和进度表计划,来为特定的开发定制PEMS开发生命周期。

**PEMS开发生命周期应包括对文档的要求。 **

参照附录H2

14.5 * 问题解决

根据产品类型,问题解决体系可以:

———作为PEMS开发生命周期的一部分形成文档;

———允许报告影响基本安全或基本性能的潜在的或现存的问题;

———包括对每个涉及风险问题的评估;

———确定将问题解决一定要满足的准则;

———确定解决每个问题所采取的措施。

注：以上为风险分析的基本要素 可考YY0316，思路一致

14.6 风险管理过程

14.6.1 * 已知和可预见危险的识别

YY0316以外识别了 PEMS关联的危险源，详细参考 附录 H.7.2 可在风险分析时列表进行每项确认。

14.6.2 * 风险控制

 工具and程序应是适合的而且是已确认的。


 注：工具and程序需要确认文档(方法  and  标注  and 记录)

14.7 * 需求规格说明

对于PEMS及其各子系统(例如:PESS),应有文档化的需求规格说明。

系统或者子系统的需求规格说明,应包含并区分由其自身实施的任何基本性能和任何风险控制

措施。

GB9706.1—2020注:PEMS的结构示例参见附录 H 中 H.1。

注：是否可考虑与系统需求合并？？

14.8 * 体系结构

对于PEMS及其各子系统,应明确规定符合需求规格说明的体系结构。

适当时,为把风险降低到可接受的水平,体系结构规格说明应采用:

a) 高完善性元器件;

元器件需求规格书，认证，寿命验证

b) 失效安全功能;

MBTF、单一故障，失效分析

c) 冗余设计;

可靠性

d) 多样性

？？？

e) * 功能划分;

功能模块进行划分

f) 防护性设计,例如通过限制可得到的输出能量或采用限制执行机构的行程的方法来限制潜在

危险的影响。

体系结构规格说明应考虑:

g) 对PEMS子系统及其组件的风险控制措施的配置;

**注:子系统和组件包括传感器、驱动装置、PESS和接口。 **

h) 组件失效模式及其效应;

i) 共同原因的失效;

j) 系统性失效;

k) 测试的间隔持续时间和诊断覆盖范围;

l) 可维护性;

m) 合理可预见误用的防护;

n) 如适用,IT-网络规格说明。

14.10 * 验证

所有实现基本安全、基本性能或风险控制措施的功能都需要得到验证。

应制定验证计划以表明这些功能是如何被验证的。计划应包括:

———在每个里程碑,对各个功能进行验证;

———验证策略、活动、技术及执行验证人员的适当独立程度的选择和形成文档;

———验证工具的选择和运用;

———验证的覆盖准则。

注文档条目应涵盖以上的内容

注:方法和技术的示例如下:

———走查;

代码审核（人）

———检查;

———静态分析;

  程序静态分析_百度百科 (baidu.com)
 

———动态分析;

  程序动态分析 - 链滴 (ld246.com)
 

———白盒测试;

  白盒测试_百度百科 (baidu.com)
 

———黑盒测试;

  程序静态分析_百度百科 (baidu.com)
 

——统计学测试。

验证应根据验证计划执行。验证活动的结果应形成文档。

14.11 *PEMS确认

PEMS确认计划应当包含基本安全和基本性能的确认。

PEMS确认采用的方法应形成文档。

应根据PEMS确认计划实施PEMS确认。PEMS确认活动的结果应形成文档。

全面负责PEMS确认的人员应独立于设计组。制造商应将独立性程度的解释说明形成文档。

设计组成员不应承担其自己设计部分的确认工作。

风险管理文档中应记录PEMS确认组成员和设计组成员之间的所有专业关系。

注：人员职责划分，专职测试人员or 交叉测试

PEMS确认可包含针对高容量数据、高负载或压力、人为因素、数据安全、性能、配置兼容性、故障检 测、文档和安全性的测试。

14.12 * 修改

如果任何部分或者全部设计是对早期设计的修改,则作为全新设计适用本章所有条款,或任何早期

设计文档的持续有效性应在文档化修改/更改程序下进行评估。

当软件被修改时,YY/T0664—2008中的4.3,第5章、第7章~第9章的要求也应适用于修改。 、

注：设计变更 进行风险分析更新

14.13 * 预期接入IT-网络的PEMS

如果PEMS预期接入未经PEMS制造商确认过的IT-网络,制造商为实现这样的连接应提供有效

的说明,包括以下内容:

a) PEMS连接到IT-网络的目的;

b) 与PEMS相连的IT-网络所要求的特性;

c) 与PEMS相连的IT-网络所需的配置;

d) PEMS网络连接的技术规格说明,包括数据安全规格说明;

e) 在PEMS,IT-网络和IT-网络上的其他设备间的预期信息流,以及预期通过IT-网络的路由;和

注 1:这可以包括 与 基 本 安 全 和 基 本 性 能 有 关 的 有 效 性、数 据 和 系 统 安 全 的 各 方 面 (参 见 附 录 H 中 H.6 和 IEC80001-1:2010)。

f) 为达到PEMS与IT-网络连接目的所需特性的IT-网络失效时的危险情况清单。

注2:为传输数据,连接PEMS到另一设备会创建一个2节点的IT-网络。例如,将一个PEMS连接到打印机会创建 一个IT-网络。如果制造商已对 PEMS及打印机进行确认,那么可认为创建的网络在制造商的控制内。

通过检查说明书来检验是否符合要求。

**在随附文件中,制造商应告知责任方: **

**———PEMS与包含其他设备的IT-网络的连接可能导致对患者、操作者、第三方带来以往没有识别 **

**的风险; **

**———责任方宜识别、分析、评价和控制这些风险; **

免责声明

注 3:IEC80001-1:2010为责任方解决这些风险提供了指南。

———对IT-网络的后续修改可能引入新的风险,需要进行补充分析;

———IT-网络的更改包括:

● IT-网络配置的更改;

● 与IT-网络连接的新增项;

● 与IT-网络连接中断的项;

● 与IT-网络连接的设备的更新;

● 与IT-网络连接的设备的升级。

**通过检查随附文件来检验是否符合要求。 **

注详细越多附录H和条款章节