name: "risk-management-specialist"
description: "医疗器械风险管理专家,在整个产品生命周期中实施 ISO 14971。提供风险分析、风险评估、风险控制和生产后信息分析。当用户提到风险管理、ISO 14971、风险分析、FMEA、故障树分析、危险源识别、风险控制、风险矩阵、受益-风险分析、剩余风险、风险可接受性或上市后风险时使用。"
风险管理专家
在医疗器械全生命周期中实施 ISO 14971:2019 风险管理。
目录
风险管理规划工作流
根据 ISO 14971 建立风险管理过程。
工作流:创建风险管理计划
- 定义风险管理活动的范围:
- 医疗器械识别
- 涵盖的生命周期阶段
- 适用的标准和法规
- 建立风险可接受性准则:
- 定义概率类别 (P1-P5)
- 定义严重性类别 (S1-S5)
- 创建带有接受阈值的风险矩阵
- 分配责任:
- 定义验证活动:
- 规划生产和生产后活动:
- 获得计划批准
- 建立风险管理文档 (File)
- 验证: 计划已批准;已定义可接受性准则;已分配责任;文档已建立
风险管理计划内容
| 章节 |
内容 |
证据 |
| 范围 |
器械和生命周期覆盖范围 |
范围声明 |
| 准则 |
风险可接受性矩阵 |
风险矩阵文件 |
| 责任 |
角色和权限 |
RACI 矩阵 |
| 验证 |
方法和接受标准 |
验证计划 |
| 生产/生产后 |
监控活动 |
监视计划 |
风险可接受性矩阵 (5x5)
| 概率 \ 严重性 |
可忽略 |
轻微 |
严重 |
关键 |
灾难性 |
| 频繁 (P5) |
中 |
高 |
高 |
不可接受 |
不可接受 |
| 可能 (P4) |
中 |
中 |
高 |
高 |
不可接受 |
| 偶然 (P3) |
低 |
中 |
中 |
高 |
高 |
| 极少 (P2) |
低 |
低 |
中 |
中 |
高 |
| 极不可能 (P1) |
低 |
低 |
低 |
中 |
中 |
风险级别行动
| 级别 |
是否可接受 |
要求的行动 |
| 低 |
是 |
记录并接受 |
| 中 |
ALARP |
在可行的情况下降低;记录理由 |
| 高 |
ALARP |
必须降低;证明符合 ALARP |
| 不可接受 |
否 |
强制进行设计变更 |
风险分析工作流
系统地识别危险源并估算风险。
工作流:执行风险分析
- 定义预期用途和合理可预见的误用:
- 选择分析方法:
- FMEA 用于组件/功能分析
- FTA 用于系统级分析
- HAZOP 用于过程偏差
- 使用错误分析 (Use Error Analysis) 用于用户交互
- 按类别识别危险源:
- 能量危险源(电、机械、热)
- 生物学危险源(生物负载、生物相容性)
- 化学危险源(残留物、析出物)
- 操作危险源(软件、使用错误)
- 确定危险状态:
- 估算伤害概率 (P1-P5)
- 估算伤害严重性 (S1-S5)
- 在危险分析工作表中记录
- 验证: 所有危险类别均已处理;所有危险源均已记录;已分配概率和严重性
危险类别核查表
| 类别 |
示例 |
已分析 |
| 电磁 |
电击、灼伤、干扰 |
☐ |
| 机械 |
挤压、切割、夹持 |
☐ |
| 热能 |
灼伤、组织损伤 |
☐ |
| 辐射 |
电离、非电离 |
☐ |
| 生物 |
感染、生物相容性 |
☐ |
| 化学 |
毒性、刺激 |
☐ |
| 软件 |
错误输出、时序 |
☐ |
| 使用错误 |
误用、感知、认知 |
☐ |
| 环境 |
EMC、机械应力 |
☐ |
分析方法选择
| 情境 |
推荐方法 |
| 组件故障 |
FMEA |
| 系统级故障 |
FTA |
| 过程偏差 |
HAZOP |
| 用户交互 |
使用错误分析 (Use Error Analysis) |
| 软件行为 |
软件 FMEA |
| 早期设计阶段 |
PHA |
概率准则
| 层级 |
名称 |
描述 |
频率 |
| P5 |
Frequent |
预计会发生 |
>10⁻³ |
| P4 |
Probable |
很可能发生 |
10⁻³ 至 10⁻⁴ |
| P3 |
Occasional |
可能会发生 |
10⁻⁴ 至 10⁻⁵ |
| P2 |
Remote |
不太可能 |
10⁻⁵ 至 10⁻⁶ |
| P1 |
Improbable |
极不可能 |
<10⁻⁶ |
严重性准则 (Severity Criteria)
| 层级 |
名称 |
描述 |
伤害 |
| S5 |
Catastrophic |
死亡 |
死亡 |
| S4 |
Critical |
永久性损害 |
不可逆损伤 |
| S3 |
Serious |
需要干预的损伤 |
可逆损伤 |
| S2 |
Minor |
暂时性不适 |
无需治疗 |
| S1 |
Negligible |
不便 |
无损伤 |
参见:references/risk-analysis-methods.md
风险评价工作流 (Risk Evaluation Workflow)
根据可接受性准则评价风险。
工作流:评价已识别风险
- 根据 可能性 × 严重性 计算初始风险等级
- 与风险可接受性准则进行比较
- 针对每项风险,确定:
- 可接受:记录并接受
- ALARP:继续进行风险控制
- 不可接受:强制风险控制
- 记录评价理由
- 识别需要进行受益-风险分析的风险
- 如果适用,完成受益-风险分析
- 汇总风险评价摘要
- 验证: 所有风险均已评价;可接受性已确定;理由已记录
风险评价决策树
风险已估算
│
▼
应用可接受性准则
│
├── 低风险 ────────────► 接受并记录
│
├── 中风险 ────────────► 考虑降低风险
│ │ 若未降低,记录 ALARP 理由
│ ▼
│ 降低风险是否可行?
│ │
│ 是──► 实施控制措施
│ 否───► 记录 ALARP 理由
│
├── 高风险 ────────────► 必须降低风险
│ │ 必须证明符合 ALARP
│ ▼
│ 实施控制措施
│ 验证剩余风险
│
└── 不可接受 ──────────► 必须更改设计
若无控制措施则无法继续
ALARP 证明要求
| 准则 |
所需证据 |
| 技术可行性 |
替代控制措施分析 |
| 比例性 |
进一步降低风险的成本效益 |
| 技术水平 (State of the art) |
与同类设备的比较 |
| 利益相关方输入 |
临床/用户观点 |
受益-风险分析触发条件
| 情景 |
是否需要受益-风险分析 |
| 剩余风险仍然较高 |
是 |
| 无可行的风险降低措施 |
是 |
| 新型设备 |
是 |
| 具有临床受益的不可接受风险 |
是 |
| 所有风险均为低 |
否 |
风险控制工作流 (Risk Control Workflow)
实施并验证风险控制措施。
工作流:实施风险控制
- 识别风险控制方案:
- 设计固有的安全性(优先级 1)
- 设备中的保护措施(优先级 2)
- 安全信息(优先级 3)
- 按照层级选择最佳控制措施
- 分析控制措施是否引入了新的危害
- 在设计要求中记录控制措施
- 在设计中实施控制措施
- 制定验证方案
- 执行验证并记录结果
- 在控制措施到位的情况下评价剩余风险
- 验证: 控制措施已实施;验证已通过;剩余风险可接受;没有未处理的新危害
风险控制层级
| 优先级 |
控制类型 |
示例 |
有效性 |
| 1 |
固有安全 |
消除危害、失效安全设计 |
最高 |
| 2 |
保护措施 |
防护装置、报警、自动停机 |
高 |
| 3 |
信息 |
警告、培训、使用说明 (IFU) |
较低 |
风险控制方案分析模板
风险控制方案分析
危害 ID:H-[XXX]
危害:[描述]
初始风险:P[X] × S[X] = [等级]
已考虑的方案:
| 方案 | 控制类型 | 新危害 | 可行性 | 是否选择 |
|--------|--------------|-------------|-------------|----------|
| 1 | [类型] | [是/否] | [高/中/低] | [是/否] |
| 2 | [类型] | [是/否] | [高/中/低] | [是/否] |
已选控制措施:方案 [X]
理由:[选择的理由]
实施:
- 要求:[REQ-XXX]
- 设计文档:[参考资料]
验证:
- 方法:[测试/分析/评审]
- 方案:[参考资料]
- 验收标准:[标准]
风险控制验证方法
| 方法 |
何时使用 |
证据 |
| 测试 (Test) |
可量化的性能 |
测试报告 |
| 检查 (Inspection) |
物理存在 |
检查记录 |
| 分析 (Analysis) |
设计计算 |
分析报告 |
| 评审 (Review) |
文档检查 |
评审记录 |
剩余风险评价
| 控制后状态 |
操作 |
| 可接受 |
归档,继续 |
| 已达到 ALARP |
记录理由,继续 |
| 仍不可接受 |
增加控制措施或变更设计 |
| 引入新危害 |
分析并控制新危害 |
生产后风险管理
在产品生命周期内监控并更新风险管理。
工作流:生产后风险监控
- 识别信息来源:
- 客户投诉
- 维修报告
- 警戒/不良事件
- 文献监控
- 临床研究
- 建立收集程序
- 定义评审触发条件:
- 识别出新危害
- 已知危害发生频率增加
- 严重事件
- 监管反馈
- 分析输入信息与风险的相关性
- 根据需要更新风险管理文件
- 沟通重大发现
- 进行定期风险管理评审
- 验证: 信息来源已受控;文件为最新版本;按计划完成评审
信息来源
| 来源 |
信息类型 |
评审频率 |
| 投诉 |
使用问题、故障 |
持续 |
| 维修 |
现场故障、修理 |
每月 |
| 警戒 |
严重事件 |
立即 |
| 文献 |
类似设备问题 |
每季度 |
| 监管 |
当局反馈 |
收到时 |
| 临床 |
PMCF 数据 |
按计划 |
风险管理文件更新触发条件
| 触发条件 |
响应时间 |
操作 |
| 严重事件 |
立即 |
全面风险评审 |
| 识别出新危害 |
30 天 |
风险分析更新 |
| 趋势上升 |
60 天 |
趋势分析 |
| 设计变更 |
实施前 |
影响评估 |
| 标准更新 |
按过渡期 |
差异分析 |
定期评审要求
| 评审要素 |
频率 |
| 风险管理文件完整性 |
每年 |
| 风险控制有效性 |
每年 |
| 上市后信息分析 |
每季度 |
| 风险受益结论 |
每年或出现新数据时 |
风险评估模板
→ 详情请参阅 references/risk-assessment-templates.md
决策框架
风险控制选择
风险等级是多少?
│
├── 不可接受 ──► 能否消除危害?
│ │
│ 是─┴─否
│ │ │
│ ▼ ▼
│ 消除危害 保护措施能否
│ 降低风险?
│ │
│ 是─┴─否
│ │ │
│ ▼ ▼
│ 增加保护 增加警告
│ + 培训
│
└── 高/中 ────► 从第 1 级开始
应用层级结构
新危害分析
| 问题 |
是 |
否 |
| 控制措施是否引入新危害? |
分析新危害 |
继续 |
| 新风险是否高于原风险? |
拒绝该控制方案 |
可接受的权衡 |
| 新危害是否受控? |
增加控制 |
拒绝该控制方案 |
风险可接受性决策
| 条件 |
决策 |
| 所有风险均为低级 |
可接受 |
| 中级风险已达到 ALARP |
可接受 |
| 高级风险已达到 ALARP 并有记录 |
若收益大于风险则可接受 |
| 存在任何不可接受的剩余风险 |
不可接受 - 重新设计 |
工具与参考资料
脚本
风险矩阵计算器功能:
- ISO 14971 5x5 风险矩阵计算
- FMEA RPN (风险优先数) 计算
- 引导式评估的交互模式
- 显示风险准则定义
- 用于集成的 JSON 输出
参考资料
快速参考:ISO 14971 流程
| 阶段 |
关键活动 |
输出 |
| 规划 |
定义范围、准则、职责 |
风险管理计划 |
| 分析 |
识别危害,估算风险 |
危害分析 |
| 评价 |
与准则比较,ALARP 评估 |
风险评价 |
| 控制 |
实施层级结构,验证 |
风险控制记录 |
| 剩余风险 |
综合评估,受益-风险 |
风险管理报告 |
| 生产 |
监控、评审、更新 |
更新后的风险管理文件 |
相关技能
By