name: 风险管理专家
description: 医疗器械风险管理专家,在整个产品生命周期中实施 ISO 14971。提供风险分析、风险评估、风险控制及生产后信息分析。
triggers:
- 风险管理
- ISO 14971
- 风险分析
- FMEA
- 故障树分析
- 危险识别
- 风险控制
- 风险矩阵
- 获益-风险分析
- 剩余风险
- 风险可接受性
- 上市后风险
风险管理专家
在整个医疗器械生命周期中实施 ISO 14971:2019 风险管理。
目录
风险管理计划工作流
根据 ISO 14971 建立风险管理流程。
工作流:制定风险管理计划
- 定义风险管理活动范围:
- 医疗器械标识
- 覆盖的生命周期阶段
- 适用的标准和法规
- 建立风险可接受性准则:
- 定义概率等级 (P1-P5)
- 定义严重度等级 (S1-S5)
- 创建包含可接受阈值的风险矩阵
- 分配职责:
- 定义验证活动:
- 规划生产及生产后活动:
- 获取计划批准
- 建立风险管理文档
- 验证点: 计划已批准;可接受性准则已定义;职责已分配;文档已建立
风险管理计划内容
| 章节 |
内容 |
证据 |
| 范围 |
器械及生命周期覆盖范围 |
范围声明 |
| 准则 |
风险可接受性矩阵 |
风险矩阵文件 |
| 职责 |
角色与权限 |
RACI 图表 |
| 验证 |
方法与接受准则 |
验证计划 |
| 生产/生产后 |
监测活动 |
监测计划 |
风险可接受性矩阵 (5x5)
| 概率 \ 严重度 |
可忽略 |
轻微 |
严重 |
危重 |
灾难性 |
| 频繁 (P5) |
中等 |
高 |
高 |
不可接受 |
不可接受 |
| 可能 (P4) |
中等 |
中等 |
高 |
高 |
不可接受 |
| 偶尔 (P3) |
低 |
中等 |
中等 |
高 |
高 |
| 极少 (P2) |
低 |
低 |
中等 |
中等 |
高 |
| 几乎不可能 (P1) |
低 |
低 |
低 |
中等 |
中等 |
风险等级应对措施
| 等级 |
可接受? |
所需措施 |
| 低 |
是 |
记录并接受 |
| 中等 |
ALARP |
可行时降低;记录理由 |
| 高 |
ALARP |
必须降低;证明 ALARP |
| 不可接受 |
否 |
必须进行设计变更 |
风险分析工作流
系统性地识别危险并估计风险。
工作流:执行风险分析
- 定义预期用途和合理可预见的误用:
- 选择分析方法:
- FMEA 用于部件/功能分析
- FTA 用于系统级分析
- HAZOP 用于过程偏差
- 使用错误分析用于用户交互
- 按类别识别危险:
- 能量危险(电气、机械、热)
- 生物危险(生物负载、生物相容性)
- 化学危险(残留物、可浸出物)
- 操作危险(软件、使用错误)
- 确定危险情况:
- 估计伤害概率 (P1-P5)
- 估计伤害严重度 (S1-S5)
- 记录在危险分析工作表中
- 验证点: 所有危险类别已覆盖;所有危险已记录;概率和严重度已分配
危险类别检查清单
| 类别 |
示例 |
已分析? |
| 电气 |
电击、灼伤、干扰 |
☐ |
| 机械 |
挤压、切割、卡住 |
☐ |
| 热 |
灼伤、组织损伤 |
☐ |
| 辐射 |
电离、非电离 |
☐ |
| 生物 |
感染、生物相容性 |
☐ |
| 化学 |
毒性、刺激 |
☐ |
| 软件 |
错误输出、时序错误 |
☐ |
| 使用错误 |
误用、感知、认知 |
☐ |
| 环境 |
EMC、机械应力 |
☐ |
分析方法选择
| 场景 |
推荐方法 |
| 部件故障 |
FMEA |
| 系统级故障 |
FTA |
| 过程偏差 |
HAZOP |
| 用户交互 |
使用错误分析 |
| 软件行为 |
软件 FMEA |
| 早期设计阶段 |
PHA |
概率准则
| 等级 |
名称 |
描述 |
频率 |
| P5 |
频繁 |
预期会发生 |
>10⁻³ |
| P4 |
可能 |
很可能发生 |
10⁻³ 至 10⁻⁴ |
| P3 |
偶尔 |
可能发生 |
10⁻⁴ 至 10⁻⁵ |
| P2 |
极少 |
不太可能 |
10⁻⁵ 至 10⁻⁶ |
| P1 |
几乎不可能 |
极不可能 |
<10⁻⁶ |
严重度准则
| 等级 |
名称 |
描述 |
伤害 |
| S5 |
灾难性 |
死亡 |
死亡 |
| S4 |
危重 |
永久性损伤 |
不可逆伤害 |
| S3 |
严重 |
需要干预的伤害 |
可逆伤害 |
| S2 |
轻微 |
暂时不适 |
无需治疗 |
| S1 |
可忽略 |
不便 |
无伤害 |
参见:references/risk-analysis-methods.md
风险评价工作流
根据可接受性准则评价风险。
工作流:评价已识别的风险
- 根据概率 × 严重度计算初始风险等级
- 与风险可接受性准则比较
- 对每个风险,确定:
- 可接受: 记录并接受
- ALARP: 进入风险控制
- 不可接受: 必须进行风险控制
- 记录评价理由
- 识别需要进行获益-风险分析的风险
- 如适用,完成获益-风险分析
- 汇编风险评价摘要
- 验证点: 所有风险已评价;可接受性已确定;理由已记录
风险评价决策树
风险估计
│
▼
应用可接受性准则
│
├── 低风险 ──────────► 接受并记录
│
├── 中等风险 ───────► 考虑风险降低
│ │ 如未降低,记录 ALARP
│ ▼
│ 是否可行降低?
│ │
│ 是──► 实施控制
│ 否───► 记录 ALARP 理由
│
├── 高风险 ─────────► 必须降低风险
│ │ 必须证明 ALARP
│ ▼
│ 实施控制
│ 验证剩余风险
│
└── 不可接受 ──────► 必须进行设计变更
无控制措施不能继续
ALARP 证明要求
| 标准 |
所需证据 |
| 技术可行性 |
替代控制措施分析 |
| 相称性 |
进一步降低的成本效益 |
| 技术水平 |
与类似器械比较 |
| 利益相关方意见 |
临床/用户观点 |
获益-风险分析触发条件
| 情况 |
是否需要获益-风险分析? |
| 剩余风险仍为高 |
是 |
| 无可行的风险降低措施 |
是 |
| 新型器械 |
是 |
| 具有临床获益但风险不可接受 |
是 |
| 所有风险均为低 |
否 |
风险控制工作流
实施并验证风险控制措施。
工作流:实施风险控制
- 识别风险控制选项:
- 设计固有安全性(优先级 1)
- 器械中的防护措施(优先级 2)
- 安全信息(优先级 3)
- 遵循控制层级选择最优控制
- 分析控制措施是否引入新危险
- 在设计要求中记录控制措施
- 在设计中实施控制
- 制定验证方案
- 执行验证并记录结果
- 评估实施控制后的剩余风险
- 验证点: 控制已实施;验证通过;剩余风险可接受;无未处理的新危险
风险控制层级
| 优先级 |
控制类型 |
示例 |
有效性 |
| 1 |
固有安全 |
消除危险、故障安全设计 |
最高 |
| 2 |
防护措施 |
防护罩、警报、自动关机 |
高 |
| 3 |
信息 |
警告、培训、使用说明书 |
较低 |
风险控制选项分析模板
风险控制选项分析
危险 ID: H-[XXX]
危险: [描述]
初始风险: P[X] × S[X] = [等级]
考虑的选项:
| 选项 | 控制类型 | 新危险? | 可行性 | 是否选中 |
| :--- | :--- | :--- | :--- | :--- |
| 1 | [类型] | [是/否] | [高/中/低] | [是/否] |
| 2 | [类型] | [是/否] | [高/中/低] | [是/否] |
选中的控制: 选项 [X]
理由: [选择理由]
实施:
- 要求: [REQ-XXX]
- 设计文档: [参考]
验证:
- 方法: [测试/分析/评审]
- 方案: [参考]
- 接受准则: [准则]
风险控制验证方法
| 方法 |
何时使用 |
证据 |
| 测试 |
可量化的性能 |
测试报告 |
| 检查 |
物理存在 |
检查记录 |
| 分析 |
设计计算 |
分析报告 |
| 评审 |
文档检查 |
评审记录 |
剩余风险评价
| 控制后情况 |
措施 |
| 可接受 |
记录,继续 |
| ALARP 达成 |
记录理由,继续 |
| 仍不可接受 |
附加控制或设计变更 |
| 引入新危险 |
分析并控制新危险 |
生产后风险管理
在整个产品生命周期中监测和更新风险管理。
工作流:生产后风险监测
- 识别信息来源:
- 客户投诉
- 服务报告
- 警戒/不良事件
- 文献监测
- 临床研究
- 建立收集程序
- 定义评审触发条件:
- 识别出新危险
- 已知危险发生频率增加
- 严重事件
- 监管反馈
- 分析输入信息的风险相关性
- 根据需要更新风险管理文档
- 沟通重要发现
- 进行定期风险管理评审
- 验证点: 信息来源已监测;文档保持最新;评审按计划完成
信息来源
| 来源 |
信息类型 |
评审频率 |
| 投诉 |
使用问题、故障 |
持续 |
| 服务 |
现场故障、维修 |
月度 |
| 警戒 |
严重事件 |
立即 |
| 文献 |
类似器械问题 |
季度 |
| 监管 |
监管机构反馈 |
收到时 |
| 临床 |
PMCF 数据 |
按计划 |
风险管理文档更新触发条件
| 触发条件 |
响应时间 |
措施 |
| 严重事件 |
立即 |
全面风险评审 |
| 识别出新危险 |
30 天 |
更新风险分析 |
| 趋势增长 |
60 天 |
趋势分析 |
| 设计变更 |
实施前 |
影响评估 |
| 标准更新 |
按过渡期 |
差距分析 |
定期评审要求
| 评审要素 |
频率 |
| 风险管理文档完整性 |
年度 |
| 风险控制有效性 |
年度 |
| 上市后信息分析 |
季度 |
| 获益-风险结论 |
年度或有新数据时 |
风险评估模板
危险分析工作表
危险分析工作表
产品: [器械名称]
文档: HA-[产品]-[版本]
分析员: [姓名]
日期: [日期]
| ID | 危险 | 危险情况 | 伤害 | P | S | 初始风险 | 控制措施 | 剩余 P | 剩余 S | 最终风险 |
| :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- |
| H-001 | [危险] | [情况] | [伤害] | [1-5] | [1-5] | [等级] | [控制参考] | [1-5] | [1-5] | [等级] |
FMEA 工作表
FMEA 工作表
产品: [器械名称]
子系统: [子系统]
分析员: [姓名]
日期: [日期]
| ID | 项目 | 功能 | 失效模式 | 影响 | S | 原因 | O | 控制 | D | RPN | 措施 |
| :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- | :--- |
| FM-001 | [项目] | [功能] | [模式] | [影响] | [1-10] | [原因] | [1-10] | [探测] | [1-10] | [S×O×D] | [措施] |
RPN 措施阈值:
>200: 关键 - 立即采取措施
100-200: 高 - 需要制定行动计划
50-100: 中等 - 考虑采取措施
<50: 低 - 监测
风险管理报告摘要
风险管理报告
产品: [器械名称]
日期: [日期]
版本: [X.X]
摘要:
- 识别的危险总数: [N]
- 实施的风险控制措施: [N]
- 剩余风险: [N] 低, [N] 中等, [N] 高
- 总体结论: [可接受 / 不可接受]
风险分布:
| 风险等级 | 控制前 | 控制后 |
| :--- | :--- | :--- |
| 不可接受 | [N] | 0 |
| 高 | [N] | [N] |
| 中等 | [N] | [N] |
| 低 | [N] | [N] |
实施的控制:
- 固有安全: [N]
- 防护措施: [N]
- 安全信息: [N]
总体剩余风险: [可接受 / 已证明 ALARP]
获益-风险结论: [如适用]
批准:
风险管理负责人: _____________ 日期: _______
质量保证: _____________ 日期: _______
决策框架
风险控制措施选择
风险等级是什么?
│
├── 不可接受 ──► 危险能否消除?
│ │
│ 是─┴─否
│ │ │
│ ▼ ▼
│ 消除危险 防护措施能否降低?
│ │
│ 是─┴─否
│ │ │
│ ▼ ▼
│ 增加防护 增加警告
│ + 培训
│
└── 高/中等 ──► 应用控制层级
从第 1 级开始
新危险分析
| 问题 |
如果是 |
如果否 |
| 控制措施是否引入新危险? |
分析新危险 |
继续 |
| 新风险是否高于原风险? |
拒绝该控制选项 |
可接受的权衡 |
| 新危险能否被控制? |
增加控制 |
拒绝该控制选项 |
风险可接受性决策
| 条件 |
决策 |
| 所有风险为低 |
可接受 |
| 中等风险且 ALARP |
可接受 |
| 高风险且 ALARP 已证明 |
如获益大于风险则可接受 |
| 有任何不可接受的剩余风险 |
不可接受 - 重新设计 |
工具与参考资料
脚本
| 工具 |
目的 |
用法 |
| [risk_matrix_calculator.py](scripts/risk_matrix_calcul |
|
|