限束器控制软件风险分析报告20111115.docx

资源描述

《限束器控制软件风险分析报告20111115.docx》由会员分享，可在线阅读，更多相关《限束器控制软件风险分析报告20111115.docx（9页珍藏版）》请在第一文库网上搜索。

1、软件风险管理报告1 .概述产品的预期用途等。2 .软件功能概述及所需的运行平台3 .软件风险等级分类（可作为风险管理类别）根据软件功能失效可能引起的危害对患者、操作者或其他人员可能的影像，赋予每个软件系统一个软件安全性级别。根据下面流程图为每个功能的软件划分管理级别轻度关注：不可能对健康有伤害或损坏中度关注：可能有部严重的伤害严重关注：可能死亡或严重伤害Does the software4 .风险评价准则及分析方法4.1 按照YY/T0316-2008医疗器械风险管理对医疗器械的应用附录D中给出的指南，同时结合EagIe-DR2000系列数字X射线摄影系统自身特性，确定了EagIe-DR

2、2000系列数字X 射线摄影系统的风险评价准则和风险可接受程度。4.2 根据现有条件和需要，我们对损害发生的概率和损害的严重程度进行了定性描述,损害发生概率的分级和损害的严重程度的分级见下表。表2损害发生概率的分级概率分级代号发生概率（每个医疗器械的损害的概率）非常少Pl106很少P210-510-6偶然P310-4W105有时P4103l104经常P5103表3损害的严重程度的分级严重度分级代号可能的描述可忽略Sl不便或暂时不适轻度S2导致不需要专业医疗介入的暂时性的伤害或损伤严重S3导致需要专业医疗介入的伤害或损伤,危,重：S4导致永久性损伤或危及生命的伤害；灾难性的S5导致患者死亡4.3

3、将产品的风险用R表示，发生概率和严重度的正相关系数见表4。风险=发生概率X严重度，即R=PXSo表4 严重度和发生概率的正相关系数发生概率正相关系数严重度正相关系数PI非常少ISl可忽略IP2很少2S2轻度2P3偶然3S3严重3P4有时4S4危重4P5经常5S5灾难性的54. 4风险可接受准则上述的风险用矩阵方式如表5表示，可以划分为三个区域：广泛可接受区、合理可行区和不容许区：表5风险可接受性准则发生概率严重度1可忽略2轻度3严重4危重5灾难性的5 经常合理可行不容许不容许不容许不容许4 有时合理可行不容许不容许不容许不容许3 偶然广泛可接受合理可行不容许不容许:嵇许2 很少广泛可接受

4、广泛可接受合理可行不容许不容许1 非常少广泛可接受广泛可接受广泛可接受广泛可接受广泛可接受4.5风险分析方法软件风险管理是整个医疗器械风险管理的一部分，本分风险管理依据YY/T0316的风险管理规定，采用失效模式效应分析的方法（FMEA）5 .促成危害处境的软件分析B, C级需要分析注：危害处境可能是软件失效的直接结果，或在软件中实施风险控制措施失效的结果。判断所确定的软件项和促成危害处境可能原因：应考虑可能的原因，适当时包括：a）不正确的或不完整的功能性说明b）在易识别的软件项功能性中的软件缺陷c）来自未知来源软件（SOUP）的失效或非预期结果d）可能导致不可预知的软件运行的硬件失效或其

5、他软件缺陷，和；e）合理可预见的误用5.1危害清单表6危害清单序号危害可预见的事件序列危害处境损害1不正确的或不完整的功能性说明1. 1用户对设备的误操作因为软件的图标显示不清晰导致设备非预期的运行造成患者损伤或设备损坏1.2用户对设备的误操作软件的说明提示不够详细导致设备的非预期运行造成患者损伤或设备损坏1.3用户对设备的误操作软件提示错误的操作信息导致设备的非预期运行造成患者损伤或设备损坏2软件缺陷2. 1用户对设备的操作失效软件在运行中出现死循环导致设备处于失控的状态造成患者损伤或设备损坏2.2用户对设备的操作达不到预期的效果软件对外部按键的响应出现迟滞导致设备工作不

6、正常设备工作不正常或者造成患者损伤序号危害可预见的事件序列危害处境损害2.3程序运行不正常软件的RAM出现溢出错误程序运行异常，导致设备工作不正常设备工作不正常或者造成患者损伤2.4程序运行不正常程序的函数调用堆栈溢出程序运行异常，导致设备工作不正常设备工作不正常或者造成患者损伤2.5在程序运行中可能出现非预期的功能程序中没有关闭外部中断信号源导致设备工作不正常设备工作不正常或者是患者损伤2.6导致程序中的定时和运行出现错误程序中的计数和定时设置错误程序运行异常，导致设备工作不正常设备工作不正常或者患者损伤2.7设备对外部按键无反应，不能实现预期的功能程序出现

7、错误，运动按键失效程序运行异常，导致设备工作不正常设备工作不正常2.8该模块与系统其他模块程序通讯异常程序中通讯部分缓冲寄存器数值过低对其他设备的设置不起作用，或者设备工作不正常设备工作不正常或者造成患者损伤2.9对系统中其他的模块的参数设置错误程序中对设置的参数存储错误对其他设备的设置不起作用，或者设备工作不正常设备工作不正常2. 10显示的系统其他模块信息不正确程序中读取系统中其他模块的参数借误系统信息显示错误造成设备的误操作2. 11造成程序运行出现问题程序代码编译后字节数超出选择的单片机的代码存储空间设备工作不正常设备工作不正常或者患者损伤2. 12

8、可能存在一些潜在的问题软件测试不充分设备工作不正常设备工作不正常或者患者损伤2. 13在修改程序的时候可能出现错误程序的注释语句不够详细造成程序修改出现版本混乱，功能错误程序版本混乱或设备工作不正常2. 14液晶屏的控制命令缓冲溢出程序中发送给液晶屏的控制命令过快液晶屏显示信息混乱设备无法正常使用2. 15造成其他模块的返回值速度过快，串口的中断引用次数过多程序中的串口对其他模块的发送命令过快程序出现执行错误混乱设备无法正常使用2. 16造成返回的其他模块参数速度过慢程序中的串口对其他模块的发送命令过慢液晶屏显示的系统信息不实时影响设备操作3硬件失效或其他软件缺

9、陷3. 1程序读取的传感器信息错误立柱的电位器传感器损坏程序中对系统信息的计算出现错误设备工作不正常或造成患者损伤3.2程序读取的状态信息错误限位开关损坏系统的运动控制限位失效设备损坏或造成患者损伤4可预见的误操作序号危害可预见的事件序列危害处境损害4. 1开始非预期的一键到位运动误按下一键到位按键可能损坏设备和损伤患者设备损坏或患者损伤5.2风险控制方案表7风险评价结果危害（序号）风险措施实施前降低风险采取的相应措施措施验证措施实施后严重度水平概率水平风险水平评价结果严重度水平概率水平风险水了评价结果是否引入了新的风险1. 1造成患者损伤或设备损坏S3P

10、26合理可行图标参考通用标准制定，图标显示颜色与背景颜色区分测试报告S3Pl3广泛可接受否1.2造成患者损伤或设备损坏S3P26M i,J行在说明书中对操作说明做详细的描述测试报告S3Pl3广泛可接受否1.3造成患者损伤或设备损坏S3P39不容许在软件中填写正确的描述，加强测试，确定所有的提示信息都是正确的测试报告S3Pl3广泛可接受否2. 1造成患者损伤或设备损坏S3P39不容许使用看门狗电路，当出现死循环的时候程序可以定时复位从新运行测试报告S3Pl3广泛可接受否2.2设备工作不正常或者造成患者损伤S3P39不容许在软件设计中考虑延时，防止

11、程序对按键的相应过慢。在测试中对按键相应进行详细的测试测试报告S3Pl3广泛可接受否2.3设备工作不正常或者造成患者损伤S3P39不容许选择单片机型号具有超大数量RAM,完全可以满足使用测试报告S3Pl3广泛可接受否2.4设备工作不正常或者造成患者损伤S3P39不容许在程序的编写过程中注意函数的调用顺序。选择超大数量的RAM的芯片，足够保证堆栈的使用测试报告S3P26合理可行否2.5设备工作不正常或者是患者损伤S3P412不容许在程序中关闭外部中断源测试报告S3Pl3广泛可接受否2.6设备工作不正S3P412不容许在定时器的设置中保测试S3Pl3广泛

12、否常或者患者损伤证正确性。在程序测试过程中加强对计数器性能的测试。报告可接受2.7设备工作不正常或造成患者损伤S3P412不容许保证按键制作的质量，在测试程序中对按键部分进行仔细的测试。加入硬件急停开关，当程序控制运动失效后可以按下开关停止所有运动。测试报告S3Pl3广泛可接受否2.8设备工作不正常或者造成患者损伤S3P39不容许编写程序中要求缓存值设置的大一些，因为选用了超大数量的RAM 芯片，所以不会出现溢出测试报告S3Pl3广泛可接受否2.9设备工作不正,常S3P412不容许编写程序的过程中对参数的设置进行仔细的核对。在软件测试中对这部分功能进行详细的测试。测试报告S3Pl3广泛可接受否2. 10造成设备的误操作S3P412不容许程序中设置保护程序函数，当读取的外部设备参数不符合范围内时候停止读取。在程序的测试中仔细测试参数的读取功能。测试报告S3Pl3广泛可接受否2. 11设备工作不正常或者患者损伤S3P515不容许选择程序存储空间足够使用的芯片，不会出现代码存储空间不足的问题测试报告S3Pl3广泛可接受否2. 12设备工作不正常或者患者损伤S3P412不容许对软件测试做出严格的要求测试报告S3Pl3广泛可接受否2. 13程序版本混乱或设备工作不正常S3P515不容许规定在程序的

展开阅读全文