HTV-100A_软件设计开发计划_SDP_A0(完整版(5000￥)配套DHF-院内转运患者使用呼吸机开发计划)

HTV-100A 院内转运用呼吸机

软件设计开发计划

Software Design and Development Plan

文件编号	DHF-HTV100A-SDP-001	版本	A/0
文件名称	HTV-100A 软件设计开发计划	文件层级	技术文件 / DHF软件文件
产品名称	HTV-100A 院内转运用呼吸机	型号规格	HTV-100A
软件名称	HTV-100A 嵌入式控制软件	软件版本策略	Vx.y.z
归口部门	研究开发中心 / 软件组	适用阶段	设计输入至设计转换/项目关闭
项目负责人	研发项目经理	软件负责人	软件项目负责人
受控状态	受控文件	保密级别	内部使用
生效日期	2026年06月19日	保存期限	产品生命周期 + 2年
关联文件	DDP、SRS、SAD、SDS、SVVP、SCMP	文件状态	拟制

职责	部门/岗位	签名	日期
编制	软件项目负责人 / 软件质量工程师
审核	研发负责人 / QA / 注册法规部 / 系统工程 / IT
批准	管理者代表 / 研发总监

文件修订记录

版本	修订内容	修订日期	编制	审核	批准
A/0	首次制定。建立HTV-100A软件从计划、需求、架构、详细设计、实现、集成、验证、发布、注册检验样机/体考样机软件配置控制、设计确认支持、设计转换至软件DHF归档的详细计划。	2026年06月19日

目录

1. 目的

2. 适用范围

3. 项目概述与软件范围

4. 参考文件、法规标准和体系文件

5. 术语、缩略语和定义

6. 软件生命周期模型和总体策略

7. 软件安全级别和风险管理策略

8. 项目组织、职责和接口

9. 软件开发阶段、关口和通过准则

10. 软件设计开发里程碑计划

11. 软件设计输入计划

12. 软件设计输出计划

13. 软件需求开发与需求管理计划

14. 软件架构设计计划

15. 软件详细设计和实现计划

16. 软件集成计划

17. 软件验证与确认支持计划

18. 软件配置管理计划

19. 软件问题、缺陷和变更控制计划

20. 软件版本构建、发布和交付计划

21. SOUP、开发工具和测试工具控制计划

22. 网络安全和数据完整性开发计划

23. 样机阶段软件配置和DHR支持计划

24. 软件设计转换和生产导入计划

25. 软件维护和上市后支持计划

26. 软件开发文档结构和交付物清单

27. 资源、培训和外部服务计划

28. 项目验收和关闭准则

29. 附录

1. 目的

本计划用于规定HTV-100A院内转运用呼吸机嵌入式软件的设计开发活动，包括软件计划、需求、架构、详细设计、编码实现、单元测试、集成测试、系统测试、软件发布、注册检验样机/体考样机软件配置控制、设计确认支持、设计转换、维护和软件DHF归档。

本计划作为HTV-100A整机设计开发计划的专项计划，要求软件开发活动与系统工程、风险管理、可用性工程、网络安全、注册检验样机生产、设计验证、设计确认和设计转换活动保持一致。

本计划的执行目标是确保软件满足设计输入、风险控制措施、可追溯性、配置完整性、版本可复现性和注册申报证据要求；确保用于研发样机、设计冻结样机、注册检验样机和体考样机的软件配置受控、可识别、可追溯。

2. 适用范围

本计划适用于HTV-100A院内转运用呼吸机的软件设计开发、验证、确认支持、软件发布和生产转换。适用软件范围包括但不限于主控嵌入式软件、显示与人机交互软件、报警与安全状态软件、传感器采集与校准软件、通气控制算法软件、日志与数据导出软件、维护/服务功能、软件升级/引导程序、生产烧录与测试支持软件，以及与软件开发、构建、测试、发布相关的工具链和配置项。

适用于院内转运、检查转运、急诊处置、手术室与ICU/病区之间短期转运使用场景下的软件安全和基本性能实现。

适用于研发样机（工程样机）、设计冻结样机、注册检验样机/体考样机、设计验证样机、设计确认样机和试生产样机的软件配置控制。

不适用于与HTV-100A无关的独立企业信息系统；若后续开发独立PC软件、云平台或移动应用，应补充专项软件开发计划。

3. 项目概述与软件范围

HTV-100A为专业医疗机构内患者转运过程使用的机械通气支持设备，软件承担通气控制、监测显示、报警、安全状态、数据记录、接口通信、维护校准和生产测试支持等功能。软件设计开发应围绕“安全通气、及时报警、可追溯记录、受控发布、可生产转化”的目标开展。

项目	内容
产品名称/型号	HTV-100A 院内转运用呼吸机
软件名称	HTV-100A嵌入式控制软件
软件形态	嵌入式软件，运行于主控板/显示控制硬件，必要时包含启动加载程序、生产烧录/测试支持程序和维护接口程序。
核心软件功能	通气模式控制、参数设置、传感器采集、通气监测、报警管理、事件/趋势/日志记录、电源与电池状态管理、数据导出、维护校准、故障诊断和安全状态处理。
关键接口	压力/流量/氧浓度/温度/电源等传感器接口，涡轮/阀/蜂鸣器/灯/屏幕等执行与显示接口，USB/维护接口，生产烧录与测试接口。
关键风险	软件异常导致通气不足或过度通气、报警失效或报警不可感知、参数误设、传感器数据错误、电源状态误判、日志/版本不可追溯、网络/接口安全风险。
开发策略	采用风险驱动的软件生命周期过程，以阶段关口、配置管理、需求追溯、独立评审、分级测试、发布批准和DHF归档作为基本控制。

4. 参考文件、法规标准和体系文件

类别	文件/标准	适用性和转化要求
法规/注册	医疗器械监督管理法规、NMPA医疗器械软件注册审查和网络安全注册审查相关指导原则	用于确定软件研究资料、软件版本、网络安全、变更影响评估和注册申报证据要求。
质量体系	GB/T 42061-2022 / ISO 13485:2016	用于软件设计开发策划、输入、输出、评审、验证、确认、转换、变更和记录控制。
软件生命周期	YY/T 0664-2020 / IEC 62304:2006+A1:2015	用于建立软件开发计划、软件需求、架构、详细设计、实现、集成、测试、发布、维护、风险控制、配置管理和问题解决过程。
风险管理	GB/T 42062-2022 / ISO 14971:2019	用于识别软件相关危害、软件风险控制措施、风险控制验证、剩余风险评价和生产后信息反馈。
基本安全和基本性能	GB 9706.1-2020、YY 9706.284-2023、适用并列/专用标准	用于确定报警、基本性能、电气安全、EMC、环境、转运场景对软件功能与验证的要求。
可用性工程	YY/T 1474 / IEC 62366-1及企业可用性工程程序	用于确认界面、报警、参数设置、错误防护、培训和说明书相关软件要求。
企业程序	设计开发控制、软件开发、配置管理、风险管理、验证确认、变更控制、生产过程控制、产品放行、文件记录控制程序	作为本计划执行、记录、评审、批准和归档的直接依据。
项目输入	HTV-100A设计开发计划、产品需求规格书、软件需求规格书、软件架构设计说明书、风险管理文件、网络安全文件、可用性工程文件	作为软件开发输入、追溯基线和阶段评审依据。

5. 术语、缩略语和定义

术语/缩略语	定义
SOUP	Software of Unknown Provenance，未知来源软件/现成软件组件，包括第三方库、开源组件、编译器运行库、协议栈或供应商提供的软件模块。
SCI	Software Configuration Item，软件配置项，包括源代码、需求、设计、测试用例、工具配置、构建脚本、发布包、校验值和记录。
SRS	Software Requirements Specification，软件需求规格说明书。
SAD	Software Architecture Design，软件架构设计说明书。
SDS	Software Detailed Design，软件详细设计说明书。
SVVP	Software Verification and Validation Plan，软件验证与确认计划。
DHF	Design History File，设计开发文档。
DHR	Device History Record，生产/制造批记录或样机制造记录；本计划中用于指样机制造、软件烧录、检验、放行和配置追溯记录。
安全相关软件需求	与风险控制、基本性能、报警、安全状态、故障检测、故障响应、关键监测或关键参数控制直接相关的软件需求。
设计冻结	经评审批准后，设计输出、软件版本、BOM、检验方法、工艺和样机配置进入受控状态，作为注册样机生产、验证确认和设计转换的基线。

6. 软件生命周期模型和总体策略

HTV-100A软件开发采用阶段关口与V模型结合的生命周期模型。计划、需求、架构、详细设计和实现活动形成设计输出基线；单元测试、集成测试、软件系统测试、系统设计验证和设计确认支持活动逐级证明软件输出满足软件需求、系统需求、风险控制和用户需求。

生命周期原则	控制要求
风险驱动	安全相关软件需求、风险控制措施和基本性能相关功能优先定义、优先评审、优先测试，并要求完整追溯。
阶段关口	每一阶段均设定输入、输出、评审、问题关闭和批准条件，未满足条件不得进入下一受控阶段。
配置受控	软件源代码、需求、设计、测试、工具、构建环境、发布包和校验值均纳入配置管理。
版本可复现	任何用于样机、验证、确认和注册申报的软件版本均应可由受控源代码、工具链和构建脚本复现。
独立性	安全相关需求评审、测试结果评审、发布批准和缺陷关闭应包含QA或独立于开发者的评审人员。
闭环追溯	软件需求、架构项、详细设计、代码模块、测试用例、测试结果、缺陷和风险控制措施应建立双向追溯。

软件生命周期与样机关联流程如下：

阶段顺序	软件活动	样机/整机关联	主要受控输出
1	软件计划、软件输入识别	整机立项/设计输入	软件开发计划、软件需求输入清单、法规标准输入、风险输入
2	软件需求开发与评审	系统需求冻结	SRS、软件需求追溯矩阵、风险控制需求映射
3	架构设计与详细设计	方案设计/详细设计	SAD、SDS、接口控制文件、测试策略
4	实现、单元测试、集成测试	研发样机（工程样机）制作与评估	工程样机软件版本、缺陷清单、调试评估记录
5	设计冻结版本候选、设计输出冻结	设计冻结	软件版本冻结记录、SCI清单、构建记录、发布评审
6	注册样机软件烧录与DHR支持	注册检验样机/体考样机生产、初步设计转换	软件烧录记录、版本/校验值、样机配置清单、DHR
7	软件验证、系统验证和回归测试	设计验证	单元/集成/系统测试报告、回归报告、缺陷关闭证据
8	设计确认支持、可用性和临床/非临床评价支持	设计确认	可用性确认支持记录、设计确认报告软件章节
9	生产软件包、烧录工艺和维护策略交付	最终设计转换/项目关闭	生产发布包、烧录SOP、工装确认、培训记录、软件DHF目录

7. 软件安全级别和风险管理策略

HTV-100A软件安全级别初步按YY/T 0664-2020 / IEC 62304判定为B级；若后续风险分析确认某软件故障可直接导致严重伤害且无充分外部风险控制措施，应按程序重新判定并将相关软件项或整个软件系统升级至C级控制。

软件项/功能域	初步安全级别	判定依据和控制重点
通气控制、传感器采集、触发检测、压力/流量闭环控制	B/C评估项	失效可能导致通气不足、过度通气或压力伤害；需进行严格需求、架构、代码、单元、集成和系统测试，必要时按C级要求强化。
报警检测、报警优先级、声光报警、报警暂停/取消、安全状态	B/C评估项	失效可能导致报警不可感知或风险延迟处置；需覆盖故障注入、边界、优先级、互锁和异常流程测试。
电源/电池状态、断电处理、低电量报警	B	失效可能影响转运连续通气；需覆盖AC/DC/电池切换、低电量、异常电池和掉电恢复测试。
人机界面、参数设置、模式切换、键锁/二次确认	B	失效可能导致误操作或参数误设；需结合可用性工程和安全相关UI需求测试。
事件、趋势、详细监测、日志、USB导出	A/B	主要影响可追溯性和临床/服务分析；若与报警/诊断直接相关则按B控制。
维护校准、生产测试、软件升级/引导程序	B	失效可能影响出厂配置或维护后的安全性能；需纳入权限、校验、工艺验证和发布控制。

软件风险管理与系统风险管理同步进行。软件组负责识别软件导致的危害处境、软件风险控制措施和软件验证证据；系统工程和QA负责确认风险控制措施是否充分并纳入风险管理文件。

风险管理活动	软件组输出	接口/审批
软件安全特性识别	软件安全功能清单、故障模式清单、异常场景清单	系统工程、风险管理负责人评审
软件风险分析	软件相关危害、导致原因、风险控制措施、剩余风险输入	纳入整机风险分析和风险控制矩阵
风险控制需求转化	安全相关SRS需求、架构安全机制、故障检测和安全状态设计	SRS/SAD/SDS评审确认
风险控制实施	代码、配置、诊断、报警、互锁、默认安全参数和降级策略	代码评审、集成评审
风险控制验证	测试用例、故障注入、异常处理、回归测试和系统验证证据	风险控制验证记录、测试报告
生产后信息反馈	软件缺陷趋势、投诉、服务日志、网络安全漏洞和变更评估	CAPA、设计变更、维护版本计划

8. 项目组织、职责和接口

角色/部门	主要职责	关键输出/记录
软件项目负责人	组织软件计划、进度、资源、接口协调、风险和问题跟踪；主持软件阶段评审。	软件开发计划、阶段报告、问题跟踪表、评审记录
系统工程	提供系统需求、架构约束、接口、风险控制输入和验证需求；评审软件需求与架构。	系统需求、接口规格、需求追溯矩阵、系统验证输入
软件需求工程师	开发和维护SRS，确保需求明确、可验证、可追溯。	SRS、需求评审记录、需求变更影响分析
软件架构/设计工程师	完成软件架构、详细设计、接口设计、状态机、任务分配和安全机制设计。	SAD、SDS、接口控制文件、架构设计决策记录
软件开发工程师	按详细设计和编码规范实现代码、开展代码自查和单元测试。	源代码、代码评审记录、单元测试记录
软件测试工程师	制定测试方案、测试用例、执行集成/系统/回归测试和报告。	测试计划、测试用例、测试报告、缺陷记录
QA/软件质量	监督软件生命周期执行、配置管理、评审、缺陷、发布、DHF完整性和样机软件配置控制。	质量审核记录、发布批准、DHF审查记录
注册法规部	确认法规标准、软件研究资料、网络安全资料和注册申报证据要求。	法规标准清单、注册资料审核意见
生产/技术部	建立软件烧录工艺、生产测试、样机DHR和试生产导入。	烧录SOP、工艺验证、样机DHR、培训记录
IT/网络安全	支持开发环境权限、代码库、漏洞管理、网络安全测试和数据完整性控制。	权限记录、漏洞扫描/渗透测试报告、网络安全文件
售后/临床用户代表	反馈维护、报警理解、转运场景、可用性和上市后问题。	用户反馈、形成性/总结性评价输入、服务需求

9. 软件开发阶段、关口和通过准则

软件关口	触发时机	通过准则	主要记录
SWR0 软件策划评审	整机DR0/DR1前后	软件范围、软件安全级别、资源、工具链、生命周期、输出清单和接口职责明确。	软件开发计划评审记录
SWR1 软件需求评审	系统需求和风险输入完成后	SRS完整、可验证、无重大歧义；安全相关需求和风险控制需求已标识并追溯。	SRS评审记录、需求追溯矩阵
SWR2 软件架构评审	方案设计完成后	软件项/单元划分、任务、接口、数据流、安全状态、网络安全和配置策略可行。	SAD评审记录、架构决策记录
SWR3 详细设计评审	编码实现基线前	模块详细设计、接口、状态机、算法、异常处理、测试点和安全机制完整。	SDS评审记录
SWR4 工程样机软件评估	研发样机调试完成后	工程样机软件功能可运行，关键控制链路初步闭环，遗留缺陷受控，不用于注册检验替代。	工程样机软件评估报告
SWR5 设计冻结/候选发布评审	设计输出冻结前	SRS/SAD/SDS/代码/测试基线受控，候选版本可复现，重大缺陷关闭，注册样机配置明确。	软件发布评审、SCI清单、构建记录
SWR6 软件验证评审	软件验证完成后	安全相关需求100%验证；未关闭缺陷经风险评估且有行动项；回归测试通过。	软件验证报告、缺陷关闭报告
SWR7 设计确认支持评审	设计确认完成前	软件支持预期用途、关键任务、说明书和培训要求；可用性和确认相关问题关闭。	确认支持记录、可用性问题关闭表
SWR8 软件设计转换评审	试生产/项目关闭前	生产烧录、测试、版本放行、维护和变更流程可执行；DHF完整。	设计转换评审、软件DHF目录

10. 软件设计开发里程碑计划

以下里程碑为项目基线计划，实际执行中应按项目管理程序进行滚动更新。关键里程碑延迟超过10个工作日、软件安全级别升级、关键缺陷未关闭、注册样机软件配置变更或验证失败时，应启动计划变更评审。

阶段	计划时间	关键活动	主要交付物	责任部门
软件策划	2026-06	软件范围确认、安全级别初判、工具链和资源计划、软件开发计划批准。	软件开发计划、软件配置管理计划、软件质量保证计划	软件/QA
软件需求	2026-06~2026-07	系统需求分解、风险控制需求转化、报警/UI/数据/接口/网络安全需求定义。	SRS、软件需求追溯矩阵、需求评审记录	软件/系统/注册/QA
软件架构	2026-07~2026-08	软件项划分、任务和状态机、接口、数据流、安全状态、网络安全和发布策略设计。	SAD、接口控制文件、架构评审记录	软件/系统/IT
详细设计与实现	2026-08~2026-10	模块详细设计、编码实现、代码评审、静态分析和单元测试。	SDS、源代码、代码评审、单元测试报告	软件
研发样机软件评估	2026-10~2026-11	形成工程样机软件版本，支持工程样机制作、调试、算法验证和缺陷收敛。	工程样机软件发布记录、调试记录、评估报告	软件/研发/QA
设计冻结候选版本	2026-11~2026-12	形成冻结候选版本，完成基本回归、构建复现、发布评审和SCI基线。	V0.9/V1.0 RC发布记录、SCI清单、设计冻结记录	软件/QA
注册样机软件配置	2026-12~2027-01	软件烧录至注册检验样机/体考样机，形成完整DHR和配置追溯。	烧录记录、样机软件配置清单、DHR审核记录	生产/软件/QA
软件验证与系统验证支持	2026-12~2027-02	软件集成/系统/回归/异常/边界/故障注入/网络安全测试，支持整机验证。	软件验证报告、缺陷报告、风险控制验证证据	软件测试/研发/QC/IT
设计确认支持	2027-01~2027-03	支持可用性总结性评价、临床/非临床确认、说明书和培训确认。	确认支持记录、问题关闭记录	软件/可用性/注册
设计转换和项目关闭	2027-03~2027-05	生产软件包、烧录工艺、工装确认、培训、维护流程和DHF归档。	生产发布包、设计转换记录、软件DHF目录、项目关闭记录	生产/软件/QA

11. 软件设计输入计划

软件设计输入应来自产品需求、系统需求、法规标准、风险管理、可用性工程、网络安全、硬件接口、生产检验和售后服务需求。所有输入应具备唯一编号、版本状态和评审记录，并纳入软件追溯矩阵。

输入类别	主要内容	输出/记录	完成节点
系统和产品需求输入	通气模式、参数范围、监测显示、报警、电源管理、数据导出、维护校准、转运环境要求。	软件输入清单、SRS需求条目	SWR1前
风险控制输入	通气不足/过度通气、压力伤害、报警失效、电池失效、传感器故障、误操作、软件异常和数据完整性风险控制。	风险控制需求映射表	SWR1前并持续更新
可用性输入	关键任务、用户界面、报警识别、参数设置、二次确认、转运场景下的可视/可听/可操作要求。	UI/报警/交互需求、可用性问题清单	SWR1/SWR2
硬件接口输入	CPU、传感器、阀、涡轮、屏幕、蜂鸣器、LED、按键/触摸、电源板、USB/维护接口、看门狗等。	接口控制文件、硬件抽象层需求	SWR2前
网络安全输入	资产、数据流、接口、权限、日志、升级、漏洞管理、异常输入和维护模式访问控制。	网络安全需求、资产清单、数据流图	SWR1/SWR2
生产和检验输入	软件烧录、序列号/配置写入、版本校验、生产测试、校准、成品检验和放行要求。	生产测试需求、烧录工艺输入	设计冻结前
售后和维护输入	故障日志、服务模式、版本查询、配置备份、维护校准和软件更新策略。	维护需求、服务手册输入	SWR2/SWR5

12. 软件设计输出计划

软件设计输出应满足软件设计输入，并提供实现、测试、发布、生产转换、维护和注册申报所需的信息。设计输出冻结后方可用于注册检验样机/体考样机生产。

输出类别	交付物	最低内容要求	批准节点
计划类	软件开发计划、配置管理计划、验证计划、质量保证计划	生命周期、职责、资源、阶段、交付物、评审和变更控制。	SWR0
需求类	SRS、软件需求追溯矩阵	功能、性能、接口、安全、报警、数据、网络安全、生产和维护需求均可验证。	SWR1
架构类	SAD、软件项划分、接口控制文件、数据流和状态机	模块边界、任务调度、接口、数据完整性、安全状态、网络安全和故障隔离策略。	SWR2
详细设计类	SDS、模块设计、算法说明、数据结构、异常处理、伪代码/状态表	足以指导编码、单元测试和代码评审，覆盖安全相关功能。	SWR3
实现类	源代码、构建脚本、编译配置、代码评审记录、静态分析报告	代码与详细设计一致，安全相关代码有评审证据，构建可复现。	SWR4/SWR5
测试类	单元、集成、系统、回归、异常、边界、故障注入、网络安全测试计划和报告	测试覆盖所有软件需求和风险控制措施，结果可追溯。	SWR6
发布类	SCI清单、发布说明、构建记录、二进制包、校验值、版本标签、发布批准	用于样机和生产的软件包可唯一识别和复现。	SWR5/SWR8
转换类	烧录SOP、生产测试软件/脚本、工装确认、培训记录、DHR模板	支持注册样机、试生产和量产软件导入。	SWR8
维护类	软件维护计划、缺陷分级、变更影响评估、补丁/升级策略、上市后网络安全维护	支持上市后问题闭环和版本变更合规。	项目关闭前

13. 软件需求开发与需求管理计划

软件需求应采用唯一编号管理，建议编号规则为SRS-HTV100A-XXX。安全相关需求应以“SR-SAFE”或等效属性标识；网络安全需求、生产测试需求、维护需求应设置专门属性，以支持审查和追溯。

需求属性	填写要求
需求编号	唯一、稳定，不因文字修改而随意变更；删除需求应保留历史状态。
需求来源	系统需求、PRS、风险控制、法规标准、可用性、网络安全、生产检验或售后反馈。
安全相关性	标识A/B/C级相关性、是否风险控制需求、是否基本性能相关。
验证方法	检查、分析、演示、测试、审查或组合方法。
验收准则	给出定量或明确判定条件；避免“适当”“尽量”等不可验证表述。
追溯关系	上游需求/风险控制措施、架构项、详细设计、测试用例、缺陷和验证结果。
变更状态	草案、评审中、批准、冻结、变更中、废止。

需求评审至少覆盖完整性、一致性、可行性、可测试性、风险控制充分性、网络安全和可用性输入转化、接口匹配以及生产/维护可实现性。

14. 软件架构设计计划

软件架构设计应定义软件系统的主要软件项、软件单元、任务/调度、接口、数据流、状态机、报警与安全状态、网络安全边界、错误处理和配置管理结构。软件架构应能够支持安全相关功能隔离、异常检测、故障响应和可测试性。

架构主题	最低设计内容	验证/评审关注点
软件项划分	通气控制、传感器采集、报警与安全、HMI、数据记录、通信/USB、维护校准、电源接口、启动/升级、HAL/驱动等。	模块边界清晰，安全相关模块优先隔离，接口可追溯。
任务和时序	周期任务、事件任务、中断处理、通信任务、日志任务、报警扫描和看门狗喂狗策略。	满足实时性，关键任务有超时和资源占用约束。
状态机	开机自检、待机、通气、报警、安全状态、维护模式、关机/掉电恢复。	状态转换明确，异常状态有安全响应。
接口设计	硬件接口、软件内部接口、外部接口、维护接口、生产烧录接口。	接口数据类型、范围、单位、异常返回和错误处理明确。
数据架构	参数、监测值、报警事件、趋势、日志、版本、校准数据、配置和审计记录。	关键数据有校验、边界检查、默认值和掉电保护。
安全机制	POST、看门狗、故障检测、默认安全参数、报警升级、故障安全状态、参数互锁。	安全机制可验证，不依赖单一无检测路径。
网络安全	权限、接口限制、升级包校验、日志审计、异常输入处理和漏洞处置。	资产和数据流完整，攻击面最小化。

15. 软件详细设计和实现计划

软件详细设计应将架构项分解为可编码的软件单元，并定义每个单元的职责、输入输出、数据结构、控制流程、状态转换、边界条件、异常处理、错误码、资源使用和单元测试要点。详细设计评审通过后方可进入受控编码。

实现控制项	要求
编码语言和规范	嵌入式C/C++或经批准语言；安全相关代码应遵循企业编码规范、MISRA C/C++或等效安全编码规则。
代码结构	源文件、头文件、模块目录、接口声明、配置文件、生成文件和第三方组件边界清晰。
注释要求	安全相关函数、算法、状态机、异常处理、接口和单位换算应有必要注释；禁止注释与代码不一致。
边界和异常	对传感器范围、参数设置范围、时间、计数、存储、通信帧、除零、溢出和无效状态进行防护。
静态分析	每个发布候选版本应执行静态分析；严重/高风险问题应关闭或经批准豁免。
代码评审	安全相关代码、接口、算法、报警逻辑、状态机和生产/维护功能必须评审；评审问题需记录和关闭。
单元测试	每个安全相关软件单元应有单元测试或等效验证；无法单元测试的应说明理由并采用替代验证。

16. 软件集成计划

软件集成应按从低层驱动到服务层、控制层、HMI层、报警安全层和系统级功能的顺序分阶段实施。每次集成应明确集成项、版本、配置、测试范围、通过准则和缺陷处理规则。

集成层级	集成内容	通过准则
驱动/HAL集成	传感器、执行器、显示、按键/触摸、蜂鸣器、LED、存储、USB、看门狗、电源板接口。	基本读写、边界、异常返回、故障注入和接口时序满足设计要求。
服务层集成	参数管理、事件日志、趋势记录、校准、配置存储、通信协议、时间管理。	数据完整性、掉电保护、校验和容量边界通过。
控制层集成	通气状态机、压力/流量控制、触发检测、泄漏补偿、模式切换、参数互锁。	关键控制流程在仿真/HIL/样机上满足需求和安全限制。
报警安全层集成	报警检测、优先级、声音/灯/消息、暂停/取消、报警记录、安全状态。	报警触发、保持、恢复、优先级和声光响应符合要求。
系统级集成	通气控制、HMI、报警、电源、日志、USB、维护、生产配置协同运行。	关键场景、异常流程和回归测试通过；资源占用和实时性满足限值。

17. 软件验证与确认支持计划

软件验证应证明软件输出满足软件需求和设计输入；设计确认支持活动应证明软件作为整机组成部分支持产品满足预期用途和用户需求。软件验证包括静态验证、单元测试、集成测试、软件系统测试、回归测试、异常/边界测试、故障注入测试、性能/时序测试、网络安全测试和发布验证。

测试类型	主要内容	样品/环境	接收准则
静态验证	需求评审、设计评审、代码评审、静态分析、SOUP评估。	受控文档、源代码、工具报告	重大问题关闭；安全相关评审项无未接受缺陷。
单元测试	算法、边界、错误处理、状态转换、数据结构、接口函数。	开发环境/单元测试框架	安全相关单元覆盖预定用例；结果可追溯。
集成测试	模块间接口、任务调度、数据流、异常返回、资源占用。	集成环境/HIL/工程样机	接口和时序满足设计；无阻断缺陷。
软件系统测试	通气模式、参数、报警、监测、HMI、电源、日志、USB、维护校准。	设计冻结样机/仿真环境	SRS需求按计划验证；安全相关需求100%通过或经批准处置。
故障注入/异常测试	传感器断开、数据异常、存储错误、通信异常、看门狗、低电量、软件重启。	HIL/样机/测试工装	进入预期报警或安全状态，不发生不可接受风险。
性能和时序测试	任务周期、控制周期、报警响应、UI响应、日志写入、启动时间和资源占用。	设计冻结样机/仪器	满足SRS/SAD/SDS限值，余量经评估可接受。
网络安全测试	权限、接口滥用、异常输入、升级包校验、日志审计、漏洞扫描。	候选版本/接口环境	无未关闭高危漏洞，关键安全控制有效。
回归测试	针对变更、缺陷修复、版本发布和注册样机配置变更进行回归。	受控测试环境	影响范围覆盖充分，回归通过。

软件测试记录应包括测试版本、构建编号、校验值、测试环境、样品编号、测试人员、日期、步骤、原始数据、结果、偏差、缺陷编号和结论。

18. 软件配置管理计划

软件配置管理应覆盖软件开发全过程和样机/生产全过程。任何用于测试、样机、注册检验、体考、设计确认、试生产和产品放行的软件版本均应具有唯一标识、构建记录、校验值和批准状态。

配置项类别	配置项示例	控制要求
文档配置项	SWP、SCMP、SRS、SAD、SDS、SVVP、测试报告、发布说明、追溯矩阵。	文件编号、版本、审批、变更记录和归档路径受控。
代码配置项	源代码、头文件、配置文件、生成代码、启动程序、协议栈、测试脚本。	代码库权限控制、分支策略、标签、评审、合并记录和备份。
工具配置项	编译器、IDE、静态分析工具、单元测试工具、烧录工具、脚本、仿真/HIL工具。	工具版本、安装包、配置、确认/验证记录和使用权限受控。
构建配置项	构建脚本、链接脚本、编译选项、宏定义、目标硬件配置、依赖库。	发布构建应可复现，构建日志和校验值归档。
发布配置项	二进制文件、hex/bin、升级包、校验和、发布说明、版本标签、安装/烧录说明。	发布评审批准后只读归档；不得手工修改。
样机配置项	样机编号、主板编号、软件版本、校验值、配置参数、校准数据和烧录记录。	与DHR绑定，任何更改按偏差/变更记录处理。

版本类别	命名规则	用途	控制要求
开发版本	V0.x.y-dev / 分支构建号	开发调试和单元验证	不得用于注册检验或正式验证结论，需在测试记录中标识。
工程样机版本	V0.x.y-ENG	研发样机制作和工程评估	需发布记录和已知问题清单；不得替代注册检验样机版本。
候选发布版本	V0.9.z-RC / V1.0.0-RC	设计冻结、验证准备和注册样机生产准备	需完整SCI清单、构建记录、回归测试和发布评审。
注册样机版本	V1.0.0-RC或经批准编号	注册检验样机/体考样机软件配置	必须与样机DHR绑定；变更需评估注册检验和验证确认影响。
生产发布版本	V1.0.0	试生产/量产和最终设计转换	需发布批准、生产烧录文件、校验值、设计转换记录和DHF归档。
维护版本	V1.0.x / V1.x.y	缺陷修复、改进或网络安全补丁	按软件变更影响评估、回归测试和注册法规评估执行。

19. 软件问题、缺陷和变更控制计划

软件问题和缺陷应在统一的问题跟踪系统或受控表单中记录。缺陷分级应考虑患者风险、基本性能、报警、数据完整性、网络安全、可用性、生产影响和注册检验影响。

缺陷等级	定义	处理要求
阻断/严重	可能导致不可接受的患者风险、基本性能丧失、报警失效、安全状态失效、数据丢失或注册验证无法执行。	立即评估风险，暂停受影响验证/样机放行；关闭并回归后方可发布，特殊接受需管理者代表/QA批准。
高	影响安全相关功能或关键流程，但有临时控制或可检测措施。	根因分析、修复计划、回归测试和风险评估；发布前原则上关闭。
中	影响非关键功能、可用性或维护效率，不直接导致不可接受风险。	纳入版本计划，关闭或经批准延期。
低	文本、显示、轻微界面或非安全相关改善。	记录并按计划处理，可经评审延期。

变更类型	触发条件	最低影响评估
需求变更	新增/删除/修改软件需求、风险控制需求、接口或参数范围。	系统需求、风险管理、可用性、测试、注册资料、已制样机和DHR影响。
设计变更	架构、详细设计、状态机、算法、任务、数据结构或安全机制变化。	软件安全级别、风险控制、单元/集成/系统测试、回归范围影响。
代码变更	缺陷修复、功能实现、重构、性能优化。	受影响模块、测试用例、构建、版本、发布和样机配置影响。
工具/SOUP变更	编译器、库、脚本、测试工具、烧录工具或SOUP版本变化。	工具确认、功能影响、网络安全、许可证、回归测试影响。
注册样机后变更	注册样机/体考样机软件已烧录、放行或送检后发生的软件变更。	注册检验、体考、验证确认、样机DHR、通知检验机构和补充验证影响。

20. 软件版本构建、发布和交付计划

软件发布应由软件负责人发起，QA参与审核。发布前应完成构建复现、测试状态确认、缺陷状态确认、风险控制验证状态确认、版本校验和发布资料完整性确认。

发布包内容	要求
二进制文件/升级包	文件名包含产品、软件项、版本、日期或构建号；记录SHA-256或等效校验值。
源代码标签	对应代码库标签或提交号；包括所有依赖和子模块版本。
构建记录	构建人员、构建机器/容器、工具链版本、编译选项、日期时间、日志和输出校验值。
SCI清单	列明文档、代码、工具、库、脚本、配置、测试用例和发布包版本。
发布说明	新增/修改/修复内容、已知问题、兼容硬件、烧录方式、回退方式和限制。
验证摘要	已完成测试、未完成测试、缺陷状态、回归范围和发布结论。
批准记录	软件负责人、测试负责人、QA、系统工程和必要时注册法规批准。

发布状态分为草案、测试候选、工程样机、设计冻结候选、注册样机、生产发布和维护发布。未批准发布的软件不得烧录至注册检验样机/体考样机或用于正式设计验证结论。

21. SOUP、开发工具和测试工具控制计划

所有SOUP和工具应建立清单，评估其用途、版本、来源、许可证、网络安全、已知缺陷、对安全相关功能的影响和验证/确认方式。

对象	控制要求
SOUP/第三方库	建立SOUP清单；记录名称、版本、供应商/来源、许可证、用途、安全相关性、已知缺陷、漏洞信息和验证证据。
编译器/链接器	记录版本、补丁、配置、编译选项；发布版本使用固定工具链；工具变化需回归评估。
静态分析工具	明确规则集、版本和豁免策略；安全相关代码的严重问题不得未处理发布。
单元测试/自动化测试工具	确认工具能正确执行测试、记录结果和生成报告；测试脚本纳入配置管理。
烧录/生产测试工具	需进行工具确认或工艺验证，确保烧录文件、版本读取、校验和结果记录准确。
缺陷/需求/配置管理工具	权限受控，备份有效；导出的记录应可归档并满足审计要求。

22. 网络安全和数据完整性开发计划

网络安全和数据完整性活动应与软件生命周期同步。软件应限制非预期接口使用，保护维护模式、升级包、日志和数据导出，防止未授权访问、数据篡改、错误配置和异常输入导致安全风险。

主题	开发控制要求	验证证据
资产和数据流	识别软件、固件、配置、日志、趋势、事件、患者相关数据、维护数据、生产配置和升级包。	资产清单、数据流图、接口清单
身份和权限	维护模式、生产模式、服务功能和软件升级应有权限控制或物理/流程控制。	权限矩阵、维护模式测试
接口安全	USB、维护接口、调试接口、生产烧录接口应限制用途，异常输入不得影响通气安全。	接口异常测试、模糊/边界测试
升级和完整性	升级包或烧录文件应进行版本、目标硬件、校验值和完整性确认。	升级/烧录测试、校验记录
日志和审计	记录关键事件、报警、故障、维护、升级、配置变化和软件版本信息。	日志功能测试、数据导出测试
漏洞管理	建立SOUP和工具漏洞监视、影响评估、补丁策略和上市后维护流程。	漏洞评估报告、处置记录
数据完整性	关键参数、校准数据、日志、趋势和DHR记录应具备校验、边界、默认值、备份或恢复策略。	数据完整性测试、掉电测试

23. 样机阶段软件配置和DHR支持计划

根据注册检验与体考样机控制要求，用于注册检验、型式检验或体考的样机应在设计输出冻结后生产，并具备完整DHR。软件组应在详细设计后支持研发样机（工程样机）制作与评估；设计冻结后配合注册样机生产和初步设计转换；设计验证与设计确认完成后支持最终设计转换。

样机阶段	软件配置要求	记录要求	限制
研发样机/工程样机	可使用工程样机软件版本，需标识版本、构建号和已知问题；用于功能调试、算法评估和风险收敛。	工程样机软件发布记录、烧录记录、调试记录、缺陷清单、评估报告。	不得作为注册检验样机或体考样机替代；不得用于正式注册检验结论。
设计冻结样机	使用设计冻结候选版本；软件需求、架构、详细设计、代码、构建和测试状态受控。	设计冻结评审、SCI清单、构建记录、校验值、基本回归记录。	未经变更批准不得修改软件配置。
注册检验样机/体考样机	使用经批准的注册样机软件版本；烧录文件、版本、校验值、配置参数和样机编号一一对应。	完整DHR：样机编号、硬件配置、软件版本、校验值、烧录人/复核人、日期、检验记录、偏差和放行记录。	送检期间维修、更换部件、升级软件或调整参数必须评估并记录，必要时通知注册法规和QA。
设计验证/确认样机	原则上使用设计冻结或注册样机同等配置；若存在差异，需评估对验证确认结论的影响。	样品状态确认、软件版本确认、测试记录和差异评估。	样品差异未经批准不得用于关键验证/确认结论。
试生产样机	使用生产发布候选或正式生产版本，按生产烧录SOP和工装执行。	批记录、烧录记录、生产测试记录、放行记录、培训记录。	用于设计转换和工艺验证，不得混用工程调试流程。

样机DHR中的软件部分至少应包括：样机编号、主控板编号、显示板/电源板编号（如适用）、软件名称、软件版本、构建号、代码标签、二进制文件名、SHA-256或等效校验值、烧录工具版本、烧录工装编号、操作者、复核者、烧录日期、配置参数、校准状态、软件版本读取截图或记录、烧录后功能检查、偏差/返工记录和QA放行签字。

24. 软件设计转换和生产导入计划

软件设计转换应确保受控软件设计输出能够稳定转化为生产烧录、生产测试、成品检验、维护升级和上市后支持要求。软件设计转换不得仅以发布包交付作为完成标志，应通过工艺确认、试生产、培训和DHR记录验证生产可行性。

转换项目	主要内容	评价方式
生产软件包	正式二进制文件、校验值、发布说明、兼容硬件、烧录说明、回退/重烧规则。	发布评审、生产试烧、版本读取确认。
烧录工艺	烧录环境、工具、工装、权限、文件路径、校验、序列号/配置写入和失败处理。	烧录SOP评审、工艺验证、首件确认。
生产测试软件/脚本	自检、传感器、执行器、报警、屏幕、按键、USB、电源、电池和日志检查。	测试脚本确认、设备确认、结果一致性评价。
配置和校准	生产默认参数、区域/语言设置、校准数据、序列号和服务菜单限制。	配置写入确认、校准记录、成品检验记录。
人员培训	生产、QC、QA、售后和维修人员的软件烧录、检验、异常处理和版本识别培训。	培训记录、上岗授权、能力评价。
DHR和放行	软件版本、校验值、烧录、复核、检验、偏差和放行信息纳入生产记录。	DHR审核、放行记录、偏差/CAPA闭环。
售后维护	版本查询、故障日志导出、升级/回退、补丁发布和网络安全漏洞处置流程。	服务流程验证、维护资料评审。

25. 软件维护和上市后支持计划

软件维护应覆盖上市后投诉、服务反馈、生产后信息、网络安全漏洞、供应链变化、法规标准变化和软件缺陷趋势。维护变更应按软件变更控制、风险管理和注册法规要求进行影响评估。

维护输入	处理要求	输出
投诉和不良事件	评估是否与软件需求、设计、实现、验证不足或使用错误相关。	调查报告、风险评估、CAPA/变更
服务日志和故障记录	分析故障码、报警、复位、看门狗、校准失败、存储异常和升级失败。	趋势分析、缺陷单、维护版本计划
网络安全漏洞	监控SOUP、工具、接口和协议相关漏洞，评估可利用性和风险。	漏洞评估、补丁或缓解措施、用户通告输入
法规标准变化	评估对软件生命周期、网络安全、报警、可用性和注册资料的影响。	法规影响评估、需求/验证更新
生产问题	分析烧录失败、版本不一致、测试脚本错误和DHR记录问题。	工艺变更、培训、纠正措施

26. 软件开发文档结构和交付物清单

软件DHF应真实、准确、完整、可追溯。软件文件应按项目DHF目录进行归档，并能支持注册申报、体系核查、注册样机追溯、设计转换和上市后变更管理。

软件DHF模块	主要文件/记录	状态要求
00 软件项目管理	软件开发计划、会议纪要、阶段报告、问题跟踪表、资源计划。	阶段性更新，SWR0批准。
01 软件输入和需求	软件输入清单、SRS、需求评审、需求追溯矩阵。	SWR1批准，变更受控。
02 软件风险管理	软件安全级别判定、软件风险分析、风险控制需求、风险控制验证证据。	与整机风险管理同步更新。
03 软件架构和详细设计	SAD、SDS、接口控制文件、数据流、状态机、设计决策记录。	SWR2/SWR3批准。
04 实现和代码质量	源代码标签、代码评审、静态分析、单元测试、构建脚本。	发布前完成并归档。
05 集成和验证	集成计划/报告、系统测试、回归测试、故障注入、性能/时序、网络安全测试。	SWR6完成。
06 配置和发布	SCI清单、版本标签、构建记录、校验值、发布说明、发布批准。	每个样机/验证/生产版本均归档。
07 样机和DHR支持	样机软件配置清单、烧录记录、注册样机DHR软件部分、偏差/返工记录。	注册样机放行前批准。
08 设计转换	烧录SOP、生产测试软件确认、工装确认、培训记录、试生产软件问题闭环。	SWR8完成。
09 维护和项目关闭	维护计划、上市后软件反馈接口、软件DHF目录、项目关闭记录。	项目关闭前完成。

27. 资源、培训和外部服务计划

资源类别	计划资源	控制要求
人员	软件项目负责人、需求、架构、开发、测试、配置管理、QA、系统工程、IT/网络安全、生产技术和注册人员。	人员具备嵌入式软件、呼吸机控制、风险管理、软件验证和医疗器械法规基础能力。
开发工具	代码库、需求/缺陷工具、IDE、编译器、静态分析、单元测试、构建脚本和制品库。	工具版本和权限受控；关键工具进行确认或等效评价。
测试资源	呼吸机测试仪、模拟肺、传感器模拟器、电源模拟器、HIL平台、逻辑分析/示波器、网络安全测试工具。	设备校准或确认有效；测试环境与记录可追溯。
样机和硬件	研发样机、设计冻结样机、注册检验样机/体考样机、验证样机、试生产样机和备件。	样机编号、硬件配置和软件配置受控，样机状态清晰。
外部服务	第三方网络安全测试、软件静态分析支持、可用性评价支持、注册检验机构技术沟通。	供应商评价、保密和数据归属明确，交付物受控归档。
培训	软件生命周期、IEC 62304/YY/T 0664、风险管理、网络安全、配置管理、编码规范、测试规范和生产烧录。	培训记录、考核或授权记录归档。

28. 项目验收和关闭准则

软件项目关闭前应由软件项目负责人组织软件关闭评审，QA、系统工程、注册法规、生产技术、测试和IT/网络安全参加。软件关闭结论应作为整机项目关闭评审输入。

关闭准则	最低要求
软件输入输出	所有软件输入均有对应软件输出，输出已批准或形成受控后续行动。
软件安全级别和风险	软件安全级别判定完成；软件风险控制措施已验证，剩余风险经系统风险管理接受。
需求追溯	软件需求、设计、代码、测试、缺陷和风险控制措施双向追溯完整。
软件验证	单元、集成、系统、回归、异常、边界、故障注入、网络安全测试按计划完成。
缺陷状态	阻断/严重/高风险缺陷关闭；未关闭缺陷经风险评估并获批准，不影响安全有效性和注册申报。
注册样机软件DHR	注册检验样机/体考样机软件烧录、配置、检验、放行和变更记录完整。
设计转换	生产软件包、烧录SOP、生产测试、工装确认、培训和DHR模板完成并通过试生产评价。
发布和归档	最终生产发布版本受控，源代码、构建环境、发布包、校验值和DHF目录完整归档。
维护接口	软件维护、问题反馈、网络安全漏洞、补丁和变更流程已建立。

29. 附录

附录A 软件阶段交付物矩阵

阶段	必须交付物	批准/评审节点
SWR0	软件开发计划、软件配置管理计划、工具/SOUP初始清单、软件安全级别初判。	软件策划评审批准
SWR1	SRS、软件需求追溯矩阵、风险控制需求映射、需求评审记录。	软件需求评审批准
SWR2	SAD、软件项/单元划分、接口控制文件、数据流、状态机、网络安全架构。	软件架构评审批准
SWR3	SDS、模块设计、算法设计、异常处理、单元测试设计、代码评审计划。	详细设计评审批准
SWR4	工程样机软件版本、代码评审、静态分析、单元/集成初步测试、缺陷清单。	工程样机评估通过
SWR5	候选发布包、SCI清单、构建记录、校验值、回归测试摘要、发布评审记录。	设计冻结/发布评审批准
SWR6	软件验证计划/用例/报告、缺陷关闭、回归测试、风险控制验证证据。	软件验证评审通过
SWR7	设计确认支持、可用性问题关闭、说明书/培训软件输入、确认差异评估。	设计确认支持评审通过
SWR8	生产发布包、烧录SOP、生产测试确认、培训、试生产问题闭环、软件DHF目录。	软件设计转换评审通过

附录B 软件追溯矩阵字段建议

字段	说明
上游编号	PRS/URS/系统需求/风险控制/法规标准/可用性/网络安全输入编号。
软件需求编号	SRS唯一编号。
安全相关性	A/B/C级属性、基本性能、风险控制、网络安全、可用性属性。
架构项	对应SAD章节、软件项或关键设计决策。
详细设计项	对应SDS模块、函数、状态机、算法或数据结构。
代码/配置项	源文件、函数、配置项、构建宏或SOUP项。
测试用例	单元、集成、系统、回归、故障注入、网络安全测试用例编号。
测试结果	通过/失败/偏差/缺陷编号/验证报告引用。
风险控制验证	对应风险控制措施和验证证据编号。
变更历史	需求或设计变更编号、影响评估和回归证据。

附录C 软件发布检查表

检查项	是/否/NA	说明/证据
发布版本号、构建号、发布日期和发布用途已明确。
源代码标签/提交号与发布包对应，构建可复现。
构建工具链、编译选项、脚本和依赖库版本已记录。
二进制文件/升级包文件名、大小和校验值已记录。
SCI清单已更新并经配置管理员复核。
安全相关需求测试状态已确认，无未接受失败项。
阻断/严重/高等级缺陷已关闭或经批准接受。
回归测试范围与变更影响评估一致。
SOUP/网络安全漏洞状态已评估，无未接受高危问题。
发布说明、已知问题和限制已编制。
样机用途、适用硬件配置和烧录说明已明确。
软件负责人、测试负责人、QA和必要审批人已批准。

附录D 注册样机/体考样机软件DHR检查表

DHR项目	最低记录要求
样机识别	样机编号、用途、制造日期、制造批次、硬件配置、主控板/显示板/电源板编号。
软件识别	软件名称、版本、构建号、源代码标签、文件名、文件大小、校验值。
烧录信息	烧录工具名称和版本、烧录工装编号、操作人员、复核人员、日期、环境和结果。
配置参数	默认参数、语言/区域、序列号、校准数据、服务模式限制和特殊配置。
烧录后确认	版本读取、校验值核对、开机自检、基本功能、报警、日志、USB/维护接口和生产测试结果。
偏差和返工	任何烧录失败、重烧、软件更换、配置修改、维修或样机差异均有偏差/变更记录。
放行	QC检验、QA审核、注册法规确认（如适用）和放行签字。
送检期间变更	送检后如需维修、部件更换、软件升级或参数调整，应有影响评估、批准、通知和补充验证。

附录E 主要软件风险控制-验证追溯示例

危害/危害处境	软件风险控制	验证方式	证据
通气不足/过度通气	传感器采集校验、控制限值、模式状态机、故障报警和安全状态。	单元、集成、HIL、系统测试、故障注入。	通气控制测试、报警测试、风险控制验证记录。
高气道压力/压力伤害	高压限值、快速切换呼气、安全阀/阀控制、报警和日志。	边界测试、故障注入、系统验证。	高压报警和安全状态测试报告。
报警不可感知	报警优先级、声光输出、暂停/取消限制、报警记录和自检。	报警系统测试、可用性确认支持。	报警验证报告、可用性评价记录。
电池失效/断电	电源状态监测、低电量/空电量报警、掉电记录和恢复策略。	电源切换、低电量、掉电恢复测试。	电源管理测试报告。
误操作/参数误设	参数范围限制、互锁、二次确认、键锁、默认安全参数和界面提示。	HMI测试、可用性测试、边界测试。	UI测试报告、可用性问题关闭记录。
数据/版本不可追溯	版本显示、日志记录、校验值、烧录DHR和配置管理。	发布审核、生产烧录验证、DHR审核。	SCI清单、DHR记录、发布评审。
接口/网络安全风险	接口限制、升级包校验、异常输入处理、权限控制和漏洞管理。	网络安全测试、异常输入测试、漏洞扫描。	网络安全测试报告、漏洞评估记录。