【医药行业标准(YY)】 医用电气设备 第1-4部分：安全通用要求：可编程医用电气系统

ICS11.040.01
中华人民共和国医药行业标准
YY/T0708—2009/IEC60601-1-42000医用电气设备
第1-4部分：安全通用要求
并列标准：可编程医用电气系统Medical electrical equipment--Part 1-4:General requirements for safety-collateral standard:programmableelectricalmedical systems（IEC60601-1-4:2000,IDT）
2009-11-15发布
国家食品药品监督管理局
2010-12-01实施
YY/T0708—2009/IEC60601-1-4:2000本并列标准等同采用IEC60601-1-4：2000《医用电气设备第1-4部分：安全通用要求并列标准：可编程医用电气系统》。
本并列标准是GB9706.1-2007《医用电气设备第1部分：安全通用要求》（IEC60601-1：1988，IDT)通用标准的并列标准。
本并列标准的附录AAA为规范性附录，附录BBB、附录CCC、附录DDD、附录EEE、附录FFF均为资料性附录。
本并列标准由全国医用电器设备标准化技术委员会（SAC/TC10)归口。本并列标准起草单位：国家食品药品监督管理局杭州医疗器械质量监督检验中心、国家武汉医用超声波仪器质量监督检测中心。
本并列标准主要起草人：杜垫、马莉、忙安石、郑建。I
YY/T0708-2009/IEC60601-1-4:2000引言
计算机在医用电气设备中的使用日益增多，常常起着与安全密切相关的作用。计算机应片技术在医用电气设备的运用使系统的复杂程度仅次于医疗设备的诊断和（或）治疗的对象：-患者的生理系统。这种复杂性意味着系统性失效可能超出通过实际可以接受的测试限来判定的能力。相应.也，本安全标准超出了对已有医用电气设备的传统测试和评定；本安全标准包括对医疗器械开发过程的要求成品测试本身不能充分说明复杂医用电气设备的安全性。本文件是通用标准的并列标准。它要求遵循某一过程，并产生该过程的记录来支持带有可编程电子子系统的医用电气设备的安全。风险管理和开发生存周期的概念是标准的基础，而这些概念对于开发那些不带有可编程电子子系统的医用电气设备同样是具有价值的。针对要处理的任务，本标准的有效应用要求如下的能力：特定的医用电气设备应用中应着重考虑的安全因素；医用电气设备的开发过程；
安全性保证方法；
风险分析和风险控制的技能。
YY/T0708-2009/IEC60601-1-4:2000医用电气设备第1-4部分：安全通用要求并列标准：可编程医用电气系统第一篇概述
1适用范围、目的及与其他标准的关系1.201范围
本并列标准适用于带有可编程电子子系统（PESS)的医用电气设备和医用电气系统[以下简称为可编程医用电气系统(PEMS)的安全要求。注：某些带有软件并用于医用目的的系统超出了本并列标准的范围，例如：许多医用信息系统。识别要素（准则）为：该系统是否满足GB9706.1—2007中2.2.15关于医用电气设备的定义或GB9706.15—2008中2.201中关于医用电气系统的定义。
1.202目的
本并列标准规定了可编程医用电气系统设计过程中的要求。本并列标准也作为专用标准要求的基础，包括作为降低和管理风险目的的安全要求指南。本并列标准面向：a）认证机构；
b）制造商；
c）专用标准编制人员。
本标准涵盖：
d）需求规格说明；
c）体系结构；
f）详细设计与实现，包括软件开发；g）修改；
验证和确认；
i）标记和随机文件。
本标准没有涵盖部分：
j）硬件制造；
软件复制；
1）安
安装与交付使用；
操作和维护；
n）退出使用。
1.203与其他标准的关系
1.203.1GB9706.1
对于医用电气设备而言，本并列标准是对GB9706.1的补充。当单独或联合引用GB9706.1标准或本并列标准时，明确如下说法：“本通用标准”仅指GB9706.1；--“本并列标准”仅指YY/T0708—2009；“本标准”合指通用标准和本并列标准。1
YY/T07082009/1EC60601-1-4:20001.203.2专用标准
专用标准中的要求优先于本并列标准中的对应要求。1.203.3规范性引用文件
下列文件中的条款通过本并列标准的引用而成为本并列标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本并列标准，然而，鼓励根据本并列标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本用于本并列标准。
GB9706.12007医用电气设备第1部分：安全通用要求（IEC60601-1：1988，IDT）GB9706.152008医用电气设备第1-1部分：安全通用要求并列标准：医用电气系统的安全要求（IEC60601-1-1:2000IDT)
GB/T19001--2000
质量管理体系要求（idtISO9001：2000）IEC60788:1984E
医用放射学术语
2.201术语和定义
下列术语和定义适用于本并列标准。在本并列标准中，采用五号黑体字表示的术语与通.用标准、GB9706.15及本并列标准或IEC60788：1984中的定义一致。本并列标准在附录AAA(规范性附录)中给出了术语索引。2.201.1
开发生存周期developmentlife-cycle从项目概念设计阶段开始至可编程医用电气系统(PEMS)的确认完成期间进行的必要的活动。2.201.2
危害分析haardanalysis
危害及发生原因的识别。
注：危害的量化不是危害分析的一部分。2.201.3
最大可容许风险maximumtolerablerisk规定可以接受的最大风险量。
注：该风险量既可以是对可编程医用电气系统整个危害的规定，也可以是对特定危害作规定。2.201.4
可编程医用电气系统（PEMS）programmableelectricalmedicalsystem包含有一个或多个可编程电子子系统的医用电气设备或医用电气系统。2.201.5
可编程电子子系统（PESS）programmableelectronicsubsystem基于一个或多个中央处理单元的系统，包括它们的软件和接口。2.201.6
剩余风险residualrisk
实施风险管理后，由危害分析得出还剩余的风险。2.201.7
风险risk
危害导致损害发生的概率和损害的严重度程度。2.201.8
当riskmanagementfile
风险管理文档
本标准要求的那部分质量记录。2
riskmanagementsummary
风险管理概要
YY/T0708—2009/IEC60601-1-4:2000为危害和风险分析中每个危害的原因以及风险已经受控的验证提供追溯的文件。注：文件可保存在纸质或电子媒介中。2.201.10
安全性safety
免除于不可接受的风险。
安全危害（以下简称为危害）saf'etyhazard直接由医用电气设备引起的，对患者、其他人员、动物或环境产生的潜在有害影响。2.201.12
不采用。
严重度severity
危害可能产生后果的定性度量。2.201.14
确认validation
在开发过程期间或结束时，对可编程医用电气系统或其组件进行评价的过程，以确定是否满足预期用途的要求。
验证verification
对可编程医用电气系统或其组件进行评价的过程，以确定在开发阶段的产品是否满足在该阶段开始时所提出的特定要求。
2.202要求的程度和其他术语
在本并列标准中，某些词汇有如下特别的含义：“应（shall)”表示必须达到的强制性要求。“宜（should)”表示强烈建议但不是必须达到的。“可（may）”表示为了符合要求或可避免需要符合的内容而采用的容许的方式。“特定（specific)”用于表明在本并列标准或其他标准中引用的确定的信息，通常是有关特定的操作条件、测试安排，或与符合性相关的准则。“规定（specified）”由制造商随机文件或正在考虑的与PEMS相关的其他文件中陈述的限定性信息，通常涉及它的预期目的或参数，或其使用相关的条件或用于确定符合性的测试。6识别、标记和文件
6.8随机文件
6.8.201所有涉及与重要的剩余风险相关的信息，包括对危害的描述以及操作者或用户为避免（减低）危害而应采取的措施，都应在使用说明书和风险管理文档中记载6.8.202可编程医用电气系统的随机文件至少应标识制造商及唯一的识别符，如文件的版本号、发布（出版）日期。
注：适用于某些预期与软件一起使用的特定设备的信息，以及制造商的联系方式，应位于外包装或者用户说明书中，以便于用户独立于软件操作。3
YY/T0708—2009/IEC60601-1-4:2000不正常的运行和故障状态；环境试验第九篇
52不正常的运行和故障状态
52.201文件
52.201.1应维护应用本标准形成的文件并应使其成为质量记录的一部分；见图201。宜依照GB/T19001—2000中4.2的要求实施。52.201.2这些文件（以下简称为风险管理文档），应根据规定的配置管理机制进行批准、发布和更改。宜依照GB/T19001--2000中4.2.3的要求实施52.201.3在整个开发生存周期中，应形成风险管理概要，并将其作为风险管理文档的一部分。其内容应包括：
已识别的危害以及其起因；
风险估计；
用于消除或控制危害的风险所采取的安全性措施的证明；d)
风险控制的有效性的评价；
验证证明：
通过检查风险管理文档核查其符合性。风险管理计划
制造商应制定风险管理计划。
52.202.2计划应包括下列内容：计划的范留，确定项目或产品以及该计划适用的开发生存周期的各阶段；a）
b）适用的开发生存周期（见52.203)，包括验证计划和确认计划；依照GB/T19001—2000中5.1的管理职责；c）
风险管理过程；
e）审核要求。
如果在开发过程中计划改变，应保留更改的记录。52.202.3
通过检查风险管理文档核查其符合性。52.203开发生存周期
52.203.1应为可编程医用电气系统的设计和开发定义开发生存周期。52.203.2
及活动。
开发生存周期应分解为各个阶段和任务，对每一个阶段和任务都应明确定义输入们输出以开发生存周期应包括风险管理的整个过程。开发生存周期应包括对文档的要求。52.203.4
5风险管理活动应合适地贯穿于开发生存周期中，见52.204。注：在附录DDD(资料性附录)给出了--个开发生存周期的示例。通过检查风险管理文档核查其符合性。52.203.6应在开发生存周期的所有阶段和任务之内或之间的适用处，建立和维护.-套明确内问题解决体系，并作为风险管理文档的一部分。根据问题，该体系可具有如下特征：定义作为开发生存周期的一部分；允许报告潜在的或现存安全性和（或）性能方面的问题；包括对每个问题的相关风险的评估；确定问题分析结策的准则安全性和（或)性能方面)：4
YY/T0708—2009/IEC60601-1-4:200060
的2的
[+#最
YY/T0708—2009/IEC60601-1-4:2000一一确定解决各种问题所采取的措施；-·确定每一种措施的确认方法；---确定验证持续符合性的步骤。52.204风险管理过程
52.204.1要素
应采用包括如下要素的风险管理过程：风险分析；
风险控制。
52.204.2要求
风险管理过程应贯穿于整个开发生存周期。52.204.3风险分析
52.204.3.1危害分析
52.204.3.1.1应按风险管理计划进行危害的识别，见52.202。52.204.3.1.2应对所有合理可预见的情况进行危害识别，包括：正常使用情况下；
“·不正确使用情况下。
52.204.3.1.3应考虑合适的危害状况，包括：—-—对患者的危害；
对操作者的危害；
.-对维护人员的危害；此内容来自标准下载网
--对附近人员的危害；
-对环境的危害。
52.204.3.1.4应考虑可能导致危害的合理可预见的事件序列。52.204.3.1.5应考虑导致危害的合适的原因，包括：人的因素，包括人体工程学方面的限制；-一硬件故障；
一软件故障；
.-集成错误；
一环境条件。
52.204.3.1.6应考虑合适的事项，包括：系统组件的兼容性，包括硬件和软件；用户界面，包括命令语言、警告以及出错信息；用户界面和使用说明书中使用的文本的翻译准确性；针对有意或无意的人为因素影响的数据保护；风险(受益)准则；
一第三方软件。
52.204.3.1.7应采用与开发生存周期阶段相适应的危害识别方法。52.204.3.1.8所采用的方法（例：故障树分析法，失效模式和效应分析)应归档到风险管理文档中1。52.204.3.1.9方法应用的结果应归档到风险管理文档中。52.204.3.1.10
每个被识别的危害和引发的原因应记录在风险管理概要中。通过检查风险管理文档核查符合性。6
52.204.3.2风险估计
52.204.3.2.1对每一个被识别的危害，应估计其风险。YY/T0708—2009/IEC60601-1-4:200052.204.3.2.2风险估计应基于对每个危害发生的可能性和（或）每个危害发生后果的严重度进行估计。
52.204.3.2.3
严重度级别分类方法应记录在风险管理文档中52.204.3.2.4危害发生的可能性的估计方法既可以是定量的也可以是定性的，并应记录在风险管理文档中。
5对每个危害，其估计的风险应记录在风险管理概要中。52.204.3.2.5
通过检查风险管理文档核查符合性。52.204.4风险控制
52.204.4.1应控制风险以使每个已识别的危害的经估计的风险降至可接受的程度52.204.4.2如果风险低于或等于最大可容许风险，并且该风险已经尽可能合理可行地降低了，那么认为是可接受的。
52.204.4.3风险控制方法应降低危害发生的可能性或危害的严重度，或两者均降低。正确实施降低风险手段的可能性，应以定性或定量的方式说明；见附录CCC（资料性附录）。52.204.4.4风险控制的方法应面向危害起因（例如，通过降低其可能性）或在危害的起因出现时采取保护措施，或者两者均采用，优先级如下：固有安全设计；
保护措施包括警报；
。关于剩余风险的充分的用户信息。52.204.4.5控制风险的各种要求应直接在风险管理概要中文件化或引用。52.204.4.6风险控制有效性的评价应记录在风险管理概要中。通过检查风险管理文档核查其符合性。52.205人员资格
根据GB/T190012000中6.2.2的要求，可编程医用电气系统的设计和修改应视为-个指定的任务。
通过检查相关文件核查其符合性。52.206需求规格说明
52.206.1对可编程医用电气系统和其对应的子系统（如可编程电子子系统）都应有需求规格说明。注：附录EEE(资料性附录)中给出了可编程医用电气系统体系结构的例子。52.206.2需求规格说明应详述与风险有关的功能。包括控制由下列原因产生的风险的功能：a）环境条件引起的原因；
b）可编程医用电气系统其他方面引起的原因；c）可能的故障。
52.206.3需求规格说明中应包括确保风险控制措施圆满地降低了已识别风险的必要信息。52.207体系结构
52.207.1体系结构应满足需求规格说明。52.207.2应规定可编程医用电气系统以及其子系统的体系结构52.207.3有关编程医用电气系统及其子系统体系结构规格说明应在合适处通过降低相应的危害的可能性或危害发生的严重度，或二者均降低来实现风险控制要求。52.207.4为了降低危害发生的可能性，应在体系结构规格说明的合适处利用：7
YY/T0708-2009/IEC60601-1-4:2000a）
高可靠性组件；
失效防护功能；
允余；
d）多样性；
防护设计；
潜在危害影响的限制，例如限制可获得输出能量和（或）通过采用限制执行机构行程的方法。f)
体系结构规格说明应考虑如下因素：52.207.5
风险控制措施在可编程医用电气系统组件和子系统上的配置；a
注：子系统和部件包括：传感器、执行机构、可编程电子子系统和接口。组件的失效模式及效应；
一般原因的失效；
系统性失效：
测试时间间隔、测试持续时间和测试诊断范围；可维护性；
有意或无意的人为因素的防护。g)
设计和实现
设计应在合适处适当分解成子系统，每个子系统都应有设计和测试规格说明。52.208.2有关设计环境的描述性数据应包括在风险管理文档中。注：有关设计环境要素的示例见附录DDD(资料性附录)。52.209验证
52.209.1安全要求的实现应进行验证。应制订验证计划，说明在开发生存周期的每个阶段的安全性要求如何验证。该计划立包括：52.209.2
验证的策略、活动和技术的选择和归档；a
验证工具的选择和运用；
验证的覆盖准则。
注；关于方法和技术的实例是：走查和检查；
—静态(动态)分析；
白盒（黑盒）测试。
应根据验证计划进行验证。验证活动的结果应归档、分析和评定。52.209.3
风险管理概要中应包含验证的方法、技术和结果的证明。确认
应进行可编程医用电气系统在预期使用条件下安全性的确认。52.210.2
应制订确认计划，以表明实现了正确的安全性要求。应根据确认计划实施确认。确认活动的结果应归档、分析和评定。52.210.4
实施确认的小组负责人应独立于开发小组。52.210.5
确认小组成员和设计小组成员的专业关联性应记录在风险管理文档中。设计小组成员不能承担其设计的确认职责。52.210.7
风险管理文档中应包括确认的方法和结果的证明。通过检查风险管理文档核查其符合性。52.211修改
52.211.1如果任何部分或全部设计是由对先前设计的修改产生，则该设计要么视为一个全新设计，则本标准的所有条款适用；要么任何先前设计文档的持续有效性应按照修改/更改程序进行评价。8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。