风险管理专家
ISO 14971:2019 风险管理在医疗器械生命周期中的实施。
目录
风险管理规划工作流程
根据 ISO 14971 建立风险管理流程。
工作流程:创建风险管理计划
- 定义风险管理活动的范围:
- 医疗器械识别
- 覆盖的生命周期阶段
- 适用的标准和法规
- 建立风险可接受标准:
- 定义概率类别 (P1-P5)
- 定义严重性类别 (S1-S5)
- 创建带有接受阈值的风险矩阵
- 分配责任:
- 定义验证活动:
- 计划生产和生产后活动:
- 获得计划批准
- 建立风险管理文件
- 验证: 计划获批;可接受标准定义;责任分配;文件建立
风险管理计划内容
| 部分 |
内容 |
证据 |
| 范围 |
设备和生命周期覆盖 |
范围声明 |
| 标准 |
风险可接受矩阵 |
风险矩阵文件 |
| 责任 |
角色和权限 |
RACI 图 |
| 验证 |
方法和接受 |
验证计划 |
| 生产/生产后 |
监控活动 |
监控计划 |
风险可接受矩阵 (5x5)
| 概率 \ 严重性 |
可忽略 |
轻微 |
严重 |
危急 |
灾难性 |
| 频繁 (P5) |
中等 |
高 |
高 |
不可接受 |
不可接受 |
| 可能 (P4) |
中等 |
中等 |
高 |
高 |
不可接受 |
| 偶尔 (P3) |
低 |
中等 |
中等 |
高 |
高 |
| 远程 (P2) |
低 |
低 |
中等 |
中等 |
高 |
| 不太可能 (P1) |
低 |
低 |
低 |
中等 |
中等 |
风险等级行动
| 等级 |
可接受 |
需要的行动 |
| 低 |
是 |
文件记录并接受 |
| 中等 |
ALARP |
如果可行则减少;文件记录理由 |
| 高 |
ALARP |
需要减少;证明 ALARP |
| 不可接受 |
否 |
必须进行设计更改 |
风险分析工作流程
系统地识别危害并估计风险。
工作流程:进行风险分析
- 定义预期用途和合理可预见的误用:
- 选择分析方法:
- FMEA 用于组件/功能分析
- FTA 用于系统级分析
- HAZOP 用于过程偏差
- 使用错误分析用于用户交互
- 按类别识别危害:
- 能源危害(电气、机械、热能)
- 生物危害(生物负荷、生物相容性)
- 化学危害(残留物、可沥滤物)
- 操作危害(软件、使用错误)
- 确定危险情况:
- 估计伤害概率 (P1-P5)
- 估计伤害严重性 (S1-S5)
- 在危害分析工作表中记录
- 验证: 所有危害类别都已解决;所有危害都已记录;分配了概率和严重性
危害类别清单
| 类别 |
示例 |
分析 |
| 电气 |
电击、烧伤、干扰 |
☐ |
| 机械 |
挤压、切割、困人 |
☐ |
| 热能 |
烧伤、组织损伤 |
☐ |
| 辐射 |
电离辐射、非电离辐射 |
☐ |
| 生物 |
感染、生物相容性 |
☐ |
| 化学 |
毒性、刺激 |
☐ |
| 软件 |
错误输出、定时 |
☐ |
| 使用错误 |
误用、感知、认知 |
☐ |
| 环境 |
EMC、机械应力 |
☐ |
分析方法选择
| 情况 |
推荐方法 |
| 组件故障 |
FMEA |
| 系统级故障 |
FTA |
| 过程偏差 |
HAZOP |
| 用户交互 |
使用错误分析 |
| 软件行为 |
软件 FMEA |
| 早期设计阶段 |
PHA |
概率标准
| 等级 |
名称 |
描述 |
频率 |
| P5 |
频繁 |
预期会发生 |
>10⁻³ |
| P4 |
可能 |
可能发生 |
10⁻³ 到 10⁻⁴ |
| P3 |
偶尔 |
可能发生 |
10⁻⁴ 到 10⁻⁵ |
| P2 |
远程 |
不太可能 |
10⁻⁵ 到 10⁻⁶ |
| P1 |
不太可能 |
非常不可能 |
<10⁻⁶ |
严重性标准
| 等级 |
名称 |
描述 |
伤害 |
| S5 |
灾难性 |
死亡 |
死亡 |
| S4 |
危急 |
永久性伤害 |
不可逆伤害 |
| S3 |
严重 |
需要干预的伤害 |
可逆伤害 |
| S2 |
轻微 |
临时不适 |
不需要治疗 |
| S1 |
可忽略 |
不便 |
无伤害 |
见:references/risk-analysis-methods.md
风险评估工作流程
根据可接受标准评估风险。
工作流程:评估已识别的风险
- 从概率 × 严重性计算初始风险水平
- 与风险可接受标准比较
- 对于每个风险,确定:
- 可接受:文件记录并接受
- ALARP:进行风险控制
- 不可接受:强制风险控制
- 文件记录评估理由
- 确定需要进行风险效益分析的风险
- 如适用,完成风险效益分析
- 编制风险评估摘要
- 验证: 所有风险已评估;确定可接受性;文件记录理由
风险评估决策树
风险估计
│
▼
应用可接受性标准
│
├── 低风险 ──────────► 接受并文件记录
│
├── 中等风险 ───────► 考虑风险降低
│ │ 文件记录 ALARP 如果没有降低
│ ▼
│ 实际可行降低?
│ │
│ Yes──► 实施控制
│ No───► 文件记录 ALARP 理由
│
├── 高风险 ─────────► 需要降低风险
│ │ 必须证明 ALARP
│ ▼
│ 实施控制
│ 验证剩余风险
│
└── 不可接受 ──────► 设计变更强制
不能在没有控制的情况下进行
ALARP 证明要求
| 标准 |
需要的证据 |
| 技术可行性 |
分析替代控制 |
| 成本效益 |
进一步降低的成本效益 |
| 技术现状 |
与类似设备比较 |
| 利益相关者输入 |
临床/用户观点 |
风险效益分析触发器
| 情况 |
风险效益要求 |
| 剩余风险仍然很高 |
是 |
| 没有可行的风险降低 |
是 |
| 新设备 |
是 |
| 不可接受的风险与临床效益 |
是 |
| 所有风险低 |
否 |
风险控制工作流程
实施和验证风险控制措施。
工作流程:实施风险控制
- 识别风险控制选项:
- 通过设计实现固有安全(优先级 1)
- 设备中的保护措施(优先级 2)
- 安全信息(优先级 3)
- 根据层级选择最佳控制
- 分析控制引入的新危害
- 在设计要求中文件记录控制
- 在设计中实施控制
- 开发验证协议
- 执行验证并文件记录结果
- 在控制到位的情况下评估剩余风险
- 验证: 控制实施;验证通过;剩余风险可接受;没有未解决的新危害
风险控制层级
| 优先级 |
控制类型 |
示例 |
效果 |
| 1 |
固有安全 |
消除危害,故障安全设计 |
最高 |
| 2 |
保护措施 |
护罩、警报、自动关机 |
高 |
| 3 |
信息 |
警告、培训、IFU |
低 |
风险控制选项分析模板
风险控制选项分析
危害 ID: H-[XXX]
危害: [描述]
初始风险: P[X] × S[X] = [等级]
考虑的选项:
| 选项 | 控制类型 | 新危害 | 可行性 | 选择 |
|--------|--------------|-------------|-------------|----------|
| 1 | [类型] | [是/否] | [高/中/低] | [是/否] |
| 2 | [类型] | [是/否] | [高/中/低] | [是/否] |
选择的控制:选项 [X]
理由:[选择的理由]
实施:
- 要求:[REQ-XXX]
- 设计文件:[参考]
验证:
- 方法:[测试/分析/审查]
- 协议:[参考]
- 接受标准:[标准]
风险控制验证方法
| 方法 |
何时使用 |
证据 |
| 测试 |
可量化性能 |
测试报告 |
| 检查 |
物理存在 |
检查记录 |
| 分析 |
设计计算 |
分析报告 |
| 审查 |
文件检查 |
审查记录 |
剩余风险评估
| 控制后 |
行动 |
| 可接受 |
文件记录,继续 |
| ALARP 实现 |
文件记录理由,继续 |
| 仍然不可接受 |
额外控制或设计变更 |
| 引入新危害 |
分析并控制新危害 |
生产后风险管理
在产品生命周期中监控和更新风险管理。
工作流程:生产后风险监控
- 确定信息来源:
- 客户投诉
- 服务报告
- 警戒/不良事件
- 文献监控
- 临床研究
- 建立收集程序
- 定义审查触发器:
- 分析传入信息的风险相关性
- 根据需要更新风险管理文件
- 传达重要发现
- 定期进行风险管理审查
- 验证: 监控信息来源;文件最新;按计划完成审查
信息来源
| 来源 |
信息类型 |
审查频率 |
| 投诉 |
使用问题、故障 |
持续 |
| 服务 |
现场故障、维修 |
每月 |
| 警戒 |
严重事件 |
立即 |
| 文献 |
类似设备问题 |
每季度 |
| 监管 |
权威反馈 |
收到时 |
| 临床 |
PMCF 数据 |
按计划 |
风险管理文件更新触发器
| 触发器 |
响应时间 |
行动 |
| 严重事件 |
立即 |
全面风险审查 |
| 识别新危害 |
30 天 |
风险分析更新 |
| 趋势增加 |
60 天 |
趋势分析 |
| 设计变更 |
实施前 |
影响评估 |
| 标准更新 |
根据过渡期 |
差距分析 |
定期审查要求
| 审查元素 |
频率 |
| 风险管理文件完整性 |
每年 |
| 风险控制效果 |
每年 |
| 市场后信息分析 |
每季度 |
| 风险效益结论 |
每年或新数据时 |
风险评估模板
危害分析工作表
危害分析工作表
产品:[设备名称]
文件:HA-[产品]-[修订]
分析师:[姓名]
日期:[日期]
| ID | 危害 | 危险情况 | 伤害 | P | S | 初始风险 | 控制 | 剩余 P | 剩余 S | 最终风险 |
|----|--------|---------------------|------|---|---|--------------|---------|------------|------------|------------|
| H-001 | [危害] | [情况] | [伤害] | [1-5] | [1-5] | [等级] | [控制参考] | [1-5] | [1-5] | [等级] |
FMEA 工作表
FMEA 工作表
产品:[设备名称]
子系统:[子系统]
分析师:[姓名]
日期:[日期]
| ID | 项目 | 功能 | 故障模式 | 效果 | S | 原因 | O | 控制 | D | RPN | 行动 |
|----|------|----------|--------------|--------|---|-------|---|---------|---|-----|--------|
| FM-001 | [项目] | [功能] | [模式] | [效果] | [1-10] | [原因] | [1-10] | [检测] | [1-10] | [S×O×D] | [行动] |
RPN 行动阈值:
>200: 严重 - 立即行动
100-200: 高 - 需要行动计划
50-100: 中等 - 考虑行动
<50: 低 - 监控
风险管理报告摘要
风险管理报告
产品:[设备名称]
日期:[日期]
修订:[X.X]
摘要:
- 总危害识别:[N]
- 风险控制实施:[N]
- 剩余风险:[N] 低,[N] 中等,[N] 高
- 总体结论:[可接受 / 不可接受]
风险分布:
| 风险等级 | 控制前 | 控制后 |
|------------|----------------|---------------|
| 不可接受 | [N] | 0 |
| 高 | [N] | [N] |
| 中等 | [N] | [N] |
| 低 | [N] | [N] |
控制实施:
- 固有安全:[N]
- 保护措施:[N]
- 安全信息:[N]
总体剩余风险:[可接受 / ALARP 证明]
风险效益结论:[如适用]
批准:
风险管理负责人: _____________ 日期: _______
质量保证: _____________ 日期: _______
决策框架
风险控制选择
风险等级是什么?
│
├── 不可接受 ──► 危害可以消除吗?
│ │
│ Yes─┴─No
│ │ │
│ ▼ ▼
│ 消除 可以保护
│ 危害 措施降低?
│ │
│ Yes─┴─No
│ │ │
│ ▼ ▼
│ 添加 添加警告
│ 保护 + 培训
│
└── 高/中等 ──► 应用层级
从第 1 级开始
新危害分析
| 问题 |
如果是 |
如果不是 |
| 控制引入新危害了吗? |
分析新危害 |
继续 |
| 新风险比原始的高吗? |
拒绝控制选项 |
可接受的权衡 |
| 新危害可以控制吗? |
添加控制 |
拒绝控制选项 |
风险可接受性决策
| 条件 |
决策 |
| 所有风险低 |
可接受 |
| 中等风险与 ALARP |
可接受 |
| 高风险与 ALARP 文件记录 |
如果益处大于风险则可接受 |
| 任何不可接受的剩余 |
不可接受 - 重新设计 |
工具和参考
脚本
风险矩阵计算器功能:
- ISO 14971 5x5 风险矩阵计算
- FMEA RPN(风险优先级数字)计算
- 交互模式以指导评估
- 显示风险标准定义
- JSON 输出以集成
参考
快速参考:ISO 14971 流程
| 阶段 |
关键活动 |
输出 |
| 规划 |
定义范围、标准、责任 |
风险管理计划 |
| 分析 |
识别危害、估计风险 |
危害分析 |
| 评估 |
与标准比较、ALARP 评估 |
风险评估 |
| 控制 |
实施层级、验证 |
风险控制记录 |
| 剩余 |
总体评估、风险效益 |
风险管理报告 |
| 生产 |
监控、审查、更新 |
更新的风险管理文件 |
相关技能