风险管理专员
ISO 14971:2019风险管理在医疗器械全生命周期的实施
目录
风险管理计划工作流程
依据ISO 14971建立风险管理流程。
工作流程:创建风险管理计划
- 界定风险管理活动的范围:
- 医疗器械识别
- 覆盖的生命周期阶段
- 适用的标准与法规
- 确立风险可接受性准则:
- 定义概率等级(P1-P5)
- 定义严重程度类别(S1-S5)
- 创建包含可接受阈值的风险矩阵
- 分配职责:
- 定义验证活动:
- 规划生产及生产后活动:
- 获取计划批准
- 建立风险管理文件
- 验证:计划已批准;已定义可接受性标准;已分配职责;文件已建立
风险管理计划内容
| 章节 | 内容 | 证据 |
|---|
| 范围 | 设备与生命周期覆盖范围 | 范围声明 |
| 标准 | 风险可接受性矩阵 | 风险矩阵文件 |
| 职责 | 角色与权限 | RACI矩阵 |
| 验证 | 方法与验收 | 验证计划 |
| 生产/生产后 | 监控活动 | 监督计划 |
风险可接受性矩阵(5x5)
| 概率 \ 严重程度 | 可忽略的 | 轻微的 | 严重的 | 危急的 | 灾难性的 |
|---|
| 频繁的(P5) | 中等 | 高 | 高 | 不可接受 | 不可接受 |
| 很可能 (P4) | 中等 | 中等 | 高 | 高 | 不可接受 |
| 偶尔 (P3) | 低 | 中等 | 中等 | 高 | 高 |
| 极少 (P2) | 低 | 低 | 中等 | 中等 | 高 |
| 几乎不可能 (P1) | 低 | 低 | 低 | 中等 | 中等 |
风险等级应对措施
| 等级 | 可接受的 | 需要采取措施 |
|---|
| 低 | 是 | 记录并接受 |
| 中等 | ALARP(合理可行原则) | 可行时降低;记录理由 |
| 高 | ALARP(合理可行原则) | 需要降低风险;证明符合ALARP原则 |
| 不可接受 | 否 | 必须进行设计变更 |
风险分析工作流程
系统地识别危险并评估风险。
工作流程:进行风险分析
- 定义预期用途和合理可预见的误用:
- 选择分析方法:
- FMEA(失效模式与影响分析)用于组件/功能分析
- 用于系统级分析的故障树分析
- 用于过程偏差的危险与可操作性分析
- 用于用户交互的使用错误分析
- 按类别识别危害:
- 能量危害(电气、机械、热)
- 生物危害(生物负载、生物相容性)
- 化学危害(残留物、可浸出物)
- 操作危害(软件、使用错误)
- 确定危险情况:
- 估计伤害概率(P1-P5)
- 估计伤害严重程度(S1-S5)
- 记录在危害分析工作表中
- 验证:所有危害类别均已处理;所有危害均已记录;已分配概率和严重程度
危害类别清单
| 类别 | 示例 | 已分析 |
|---|
| 电气 | 电击、烧伤、干扰 | ☐ |
| 机械 | 挤压、切割、卡陷 | ☐ |
| 热力 | 烧伤、组织损伤 | ☐ |
| 辐射 | 电离、非电离 | ☐ |
| 生物 | 感染、生物相容性 | ☐ |
| 化学 | 毒性、刺激 | ☐ |
| 软件 | 输出错误、时序错误 | ☐ |
| 使用错误 | 误用、感知、认知 | ☐ |
| 环境 | 电磁兼容性、机械应力 | ☐ |
分析方法选择
| 情境 | 推荐方法 |
|---|
| 组件故障 | 故障模式与影响分析 |
| 系统级故障 | 故障树分析 |
| 过程偏差 | 危险与可操作性分析 |
| 用户交互 | 使用错误分析 |
| 软件行为 | 软件故障模式与影响分析 |
| 早期设计阶段 | 初步危害分析 |
概率标准
| 等级 | 名称 | 描述 | 频率 |
|---|
| P5 | 频繁 | 预期会发生 | >10⁻³ |
| P4 | 很可能 | 很可能发生 | 10⁻³ 至 10⁻⁴ |
| P3 | 偶尔 | 可能发生 | 10⁻⁴ 至 10⁻⁵ |
| P2 | 极少 | 不太可能 | 10⁻⁵ 至 10⁻⁶ |
| P1 | 几乎不可能 | 极不可能 | <10⁻⁶ |
严重性标准
| 等级 | 名称 | 描述 | 伤害 |
|---|
| S5 | 灾难性 | 死亡 | 死亡 |
| S4 | 严重 | 永久性损伤 | 不可逆伤害 |
| S3 | 严重 | 需要干预的伤害 | 可逆伤害 |
| S2 | 轻微 | 暂时不适 | 无需治疗 |
| S1 | 可忽略 | 不便 | 无伤害 |
参见:references/risk-analysis-methods.md
风险评估工作流程
根据可接受标准评估风险。
工作流程:评估已识别的风险
- 根据概率 × 严重程度计算初始风险等级
- 与风险可接受标准进行比较
- 针对每个风险,确定:
- 可接受:记录并接受
- ALARP(最低合理可行):进入风险控制阶段
- 不可接受:强制性风险控制
- 文件评估理由
- 识别需要效益-风险分析的风险
- 如适用,完成效益-风险分析
- 编制风险评估总结
- 验证:所有风险已评估;可接受性已确定;理由已记录
风险评估决策树
Risk Estimated
│
▼
Apply Acceptability Criteria
│
├── Low Risk ──────────► Accept and document
│
├── Medium Risk ───────► Consider risk reduction
│ │ Document ALARP if not reduced
│ ▼
│ Practicable to reduce?
│ │
│ Yes──► Implement control
│ No───► Document ALARP rationale
│
├── High Risk ─────────► Risk reduction required
│ │ Must demonstrate ALARP
│ ▼
│ Implement control
│ Verify residual risk
│
└── Unacceptable ──────► Design change mandatory
Cannot proceed without control
ALARP(合理可行最低)论证要求
| 标准 | 所需证据 |
|---|
| 技术可行性 | 替代控制措施分析 |
| 相称性 | 进一步降低风险的成本效益 |
| 技术现状 | 与类似设备比较 |
| 利益相关方意见 | 临床/用户视角 |
效益-风险分析触发条件
| 情境 | 需要效益-风险分析 |
|---|
| 残留风险仍然很高 | 是 |
| 无可行的风险降低措施 | 是 |
| 新型器械 | 是 |
| 具有临床获益的不可接受风险 | 是 |
| 所有风险均较低 | 否 |
风险控制工作流程
实施并验证风险控制措施。
工作流程:实施风险控制
- 识别风险控制方案:
- 通过设计实现固有安全(优先级1)
- 器械中的防护措施(优先级2)
- 安全相关信息(优先级3)
- 根据层级选择最优控制方案
- 分析控制措施是否引入新的危害
- 在设计要求中记录控制措施
- 在设计中实施控制措施
- 制定验证方案
- 执行验证并记录结果
- 评估实施控制后的剩余风险
- 验证结论:控制措施已实施;验证通过;剩余风险可接受;无未处理的新增危害
风险控制层级
| 优先级 | 控制类型 | 示例 | 有效性 |
|---|
| 1 | 本质安全 | 消除危害、故障安全设计 | 最高 |
| 2 | 防护措施 | 防护装置、报警、自动停机 | 高 |
| 3 | 信息性措施 | 警告、培训、使用说明书 | 较低 |
风险控制方案分析模板
RISK CONTROL OPTION ANALYSIS
Hazard ID: H-[XXX]
Hazard: [Description]
Initial Risk: P[X] × S[X] = [Level]
OPTIONS CONSIDERED:
| Option | Control Type | New Hazards | Feasibility | Selected |
|--------|--------------|-------------|-------------|----------|
| 1 | [Type] | [Yes/No] | [H/M/L] | [Yes/No] |
| 2 | [Type] | [Yes/No] | [H/M/L] | [Yes/No] |
SELECTED CONTROL: Option [X]
Rationale: [Justification for selection]
IMPLEMENTATION:
- Requirement: [REQ-XXX]
- Design Document: [Reference]
VERIFICATION:
- Method: [Test/Analysis/Review]
- Protocol: [Reference]
- Acceptance Criteria: [Criteria]
风险控制验证方法
| 方法 | 使用时机 | 证据 |
|---|
| 测试 | 可量化性能 | 测试报告 |
| 检验 | 实体存在 | 检验记录 |
| 分析 | 设计计算 | 分析报告 |
| 评审 | 文件检查 | 评审记录 |
残余风险评估
| 控制措施之后 | 行动 |
|---|
| 可接受 | 记录文件,继续执行 |
| 已达到ALARP(最低合理可行) | 记录理由,继续执行 |
| 仍不可接受 | 增加控制措施或设计变更 |
| 引入了新的危害 | 分析并控制新的危害 |
上市后风险管理
在产品全生命周期内监测并更新风险管理。
工作流程:上市后风险监测
- 识别信息来源:
- 客户投诉
- 服务报告
- 警戒/不良事件
- 文献监测
- 临床研究
- 建立收集程序
- 定义评审触发条件:
- 识别到新的危害
- 已知危害发生频率增加
- 严重事件
- 监管反馈
- 分析接收到的信息与风险的相关性
- 根据需要更新风险管理文件
- 沟通重要发现
- 进行定期风险管理评审
- 验证:信息源已监控;文件已更新;按计划完成审查
信息源
| 来源 | 信息类型 | 审查频率 |
|---|
| 投诉 | 使用问题、故障 | 持续 |
| 服务 | 现场故障、维修 | 每月 |
| 警戒 | 严重事件 | 立即 |
| 文献 | 类似设备问题 | 每季度 |
| 监管 | 监管机构反馈 | 收到即处理 |
| 临床 | 上市后临床随访数据 | 按计划 |
风险管理文件更新触发条件
| 触发条件 | 响应时间 | 行动 |
|---|
| 严重事件 | 立即 | 全面风险审查 |
| 识别出新风险 | 30天内 | 风险分析更新 |
| 趋势增长 | 60天内 | 趋势分析 |
| 设计变更 | 实施前 | 影响评估 |
| 标准更新 | 按过渡期 | 差距分析 |
定期审查要求
| 审查要素 | 频率 |
|---|
| 风险管理文件完整性 | 年度 |
| 风险控制有效性 | 年度 |
| 上市后信息分析 | 季度 |
| 风险-收益结论 | 年度或基于新数据 |
风险评估模板
→ 详情请见 references/risk-assessment-templates.md
决策框架
风险控制措施选择
What is the risk level?
│
├── Unacceptable ──► Can hazard be eliminated?
│ │
│ Yes─┴─No
│ │ │
│ ▼ ▼
│ Eliminate Can protective
│ hazard measure reduce?
│ │
│ Yes─┴─No
│ │ │
│ ▼ ▼
│ Add Add warning
│ protection + training
│
└── High/Medium ──► Apply hierarchy
starting at Level 1
新危害分析
| 问题 | 如果是 | 如果否 |
|---|
| 控制措施是否引入新危害? | 分析新危害 | 继续 |
| 新风险是否高于原始风险? | 拒绝该控制方案 | 可接受的权衡 |
| 新危害能否被控制? | 添加控制措施 | 拒绝该控制方案 |
风险可接受性决策
| 条件 | 决策 |
|---|
| 所有风险均为低风险 | 可接受 |
| 中等风险,需遵循ALARP原则 | 可接受 |
| 高风险,需记录ALARP分析 | 若收益大于风险则可接受 |
| 任何不可接受的残余风险 | 不可接受 - 需重新设计 |
工具与参考
脚本
风险矩阵计算器功能:
- ISO 14971 5x5风险矩阵计算
- FMEA RPN(风险优先级数)计算
- 交互式引导评估模式
- 显示风险标准定义
- JSON输出便于集成
参考文献
快速参考:ISO 14971 流程
| 阶段 | 关键活动 | 输出 |
|---|
| 计划 | 定义范围、标准、职责 | 风险管理计划 |
| 分析 | 识别危险、评估风险 | 危险分析 |
| 评估 | 对照标准比较、ALARP评估 | 风险评价 |
| 控制 | 实施控制层级、验证 | 风险控制记录 |
| 剩余 | 总体评估、获益-风险 | 风险管理报告 |
| 生产 | 监控、评审、更新 | 更新的风险管理文档 |
相关技能
免责申明
部分文章来自各大搜索引擎,如有侵权,请与我联系删除。
打赏
微信扫一扫,打赏作者吧~
