医疗器械管理入门

1 医疗器械风险管理标准
2 医疗器械风险管理
3 软件风险管理控制

1 医疗器械风险管理标准

20220428 医疗器械风险管理标准（YY∕T 0316/ISO 14971）学习分享广东省医疗器械学会

1.1 医疗器械风险管理的"风险'

风险是危险源暴露后（危险情况）的一种结果（伤害）

风险(risk)：伤害的发生概率和严重程度的结合
伤害(harm)：对人体的损伤或人体健康的损害，或对财产或环境的损害
危险（源）(hazard)：可能导致伤害的潜在根源
危险情况 hazardous situation：人员、财产或环境处于一个或多个危险（源）之中的境遇。

风险 Risk = 伤害可能性 P $\times$ 伤害严重度 S

1.2 风险管理要求做什么

在生命周期内建立、实施、形成文件并维护一个持续的过程来：

识别与医疗器械相关的危险源（源）
估计和评价相关的风险
控制这些风险并监视上述控制的有效性
过程应包括以下要素：风险分析；风险评价；风险控制；生产和生产后的信息。

其中风险分析主要包括：

医疗器械的预期用途和安全有关特征的识别
危险（源）的识别（重点）
每一危险情况下的一个或多个风险的估计（重点）

其中风险控制主要包括：

风险控制方案分析
一个或多个风险控制措施的实施（重点）
剩余风险评价（重点）
风险/收益分析
由风险控制措施引起的风险
风险控制的完整性

1.3 医疗器械常见风险识别及示例

器械预期用途定义：操作方式／使用场所/人群/会影响的身体部位

识别合理可预见误用：可参考IEC62366-1

医疗设备被放置在不适合的环境中例如MRI（强磁场）产品丧失基本性能
设备经过多次清洁、消毒后，外壳被腐蚀、变形、开裂可能触碰到危险部件
设备安装没有固定，在正常使用工程中设备或部件移动或跌落

危险源需要基于产品的安全特性进行识别：

YY/T 0316-2016附录C（部分举例）
C.2.16 医疗器械是否影响环境？
应当考虑的因素包括：对能源和制冷供应的影响，毒性物质的散发：电磁干扰的产生。
C.2.17 医疗器械是否有基本的消耗品或附件？
应当考虑的因素包括：消耗品或附件的规范以及对使用者选择它们的任何限制。
C.2.18 是否需要维护和校准？
应当考虑的因素包括：维护或校准是否由操作者或使用者或专门人员来进行？是否需要专门的物质或设备来进行适当的维护或校准？

ISO 14971国际标准中考虑的风险因素：

能量领域：声能、电能、机械能、势能、辐射、热能
生物化学领域：生物制剂、化学制剂、免疫制剂
产品本身功能：功能、诊断信息、数据

其他风险识别途径：

法规要求（技术评审指导原则）
产品标准（新标GB 9706.1）
不良事件（国家药监局官网）

危险情况的分类及其示例

故障下的危险情况：1.有源医疗器械应用部分隔离失效或基本绝缘失效，患者电流增加。2.血压计泄放阀不能正常开启，血压袖带压力过大。3.电气设备受到外界电磁场的干扰，不能正常运行。
随机故障下的危险情况（和上一条相比的区别在于，无法估计事件发生的概率，这种情况默认事件一定会发生）：1.操作设备时，设备运行异常，如死机、复位、计算数据异常等产品丧失基本性能。2.使用中提手断裂、松脱，设备坠落。3.电子元器件故障，引起燃烧，火势蔓延到设备外。
系统性故障下的危险情况：1.输液泵的输液量控制系统失效。2.婴儿培养箱的温度监测系统失效
网络安全引起的危险情况：1.采用WIFI或者有线网络连接中央站时，病毒入侵监护仪或者恶意用户篡改监护仪患者数据，患者数据不完整或被篡改。2.SD卡，IJ盘随带病毒，入侵设备，患者数据不完整或被改。3.最新研究结果表明，某个现成商业软件中存在漏洞，此商业软件被用在设备中，设备已上市多年，此漏洞会窃取或者篡改用户数据。
后续事件或组合事件：制造商不准确的校准品赋值导致不正确（假高）的血糖检测结果，临床医生得到不正确的血糖结果，给患者错误治疗方案（降血糖药），患者发生低血糖。

风险的划分（根据严重程度和发生频率）：

1.4 风险控制措施及示例

风险控制主要从以下四个方面考虑：设计开发、生产/安装、使用/维护、存储/运输

风险控制：

减少危险源、避免危险源下的暴露
控制降低危险的严重程度和发生频率

风险控制的三步走：

优先在固有设计进行风险控制：减少不必要的能量；最低电压/最低转速；减少外部锋利边缘；尽可能少的接触
其次是防护措施：报警（声/光）；急停开关；自动切断装置；保护盖/加锁
最后是安全信息：标签最小信息要求（法规）；说明书最小信息要求（法规）；警告信息；培训

在编写安全性信息时，应当考虑：

适用于措施分级的优先级别（危险、警告、小心、注意等）；
所需信息的分级或细节，
安全性信息的位置（如警告标签）；
为确保清晰和易懂所使用的措词或图示
信息的直接接受者（如使用者、服务人员、安装者、患者）；
提供信息的适当媒介（如使用说明书、标签、报警和用户界面上的警告）

危险：提示紧急的危险如不免将可能死亡严还的人身伤害或财产损失警告：提示潜在的危险或不安全的操作如不避兔，将可能导致死亡或严过的人身伤害或财产损失。小心：提示潜在的危陰或不安全作如不避免，将可能轻微的人身伤害、产品故障、损坏或财产损失注意：强调重要的注意事项、提供说明或解释以更好地用本产品。

验证措施：确定措施的落实；确定措施的风险控制效果

1.5 风险管理常见误区

管理承诺：管理层需要理解并落实风险管理的相关工作

人员能力（知识/经验）：确保多样性与专业性，具备临床背景

忽略法规及标准中明确的风险（注册/标准/指导原则）

科学方法（如何获取有依据的判定/可被证实的结果）

结果导向（以一份风险管理报告为目标，未实质改善产品）

不及时更新，永远1.0（产品变化，上市后监督，法规更新）

一致性（风险管理文档 - 实际产品 - 设计历史文档）

1.6 问题讨论

风险评估过程（可能性与严重度）需要在风险报告中体现

不能自定义可接受准则用于综合剩余风险评价（需要优先满足法律、法规的严格要求，而不能仅从经济的角度考虑。反例：削成本导致事故风险增加，增长的利润能覆盖赔偿费用）

矩阵图的可接受水平是如何制定：对标过往的同类产品

医疗器械法规要求器械安全，有效；但大部分情况下，安全和有效是一对矛盾体

2 医疗器械风险管理

20220512 医疗器械风险管理广东食药监协会

2.1 法规对风险管理的要求

《医疗器械生产质量管理规范》

第四条：企业应当将风险管理贯穿于设计开发、生产、销售和售后服务等全过程，所采取的措施应当与产品存在的风险相适应（比如B超就不需要考虑无菌环境）。
第十三条：质量风险管理是在整个产品生命周期中采用前瞻或回顾（不用过于杞人忧天，回顾对确定下一步优化方向很重要）的方式，对质量风险进行评估、控制、沟通、审核的系统过程。
第十四条：应当根据科学知识及经验对质量风险进行评估，以保证产品质量。
第十五条：质量风险管理过程所采用的方法、措施、形式及形成的文件应当与存在风险的级别相适应（既不能没做到，也不能做过了）。
第二百五十二条：企业应当建立纠正措施和预防措施系统，对投诉、召回、偏差、自检或外部检查结果、工艺性能和质量监测趋势等进行调查并采取纠正和预防措施。调查的深度和形式应当与风险的级别相适应。纠正措施和预防措施系统应当能够增进对产品和工艺的理解，改进产品和工艺。

《计算机化系统风险管理》

第三条：风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。
第六条：计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。
第十二条：软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果，对所采用软件进行分级管理（用户分级与权限管理，如针对软件供应商的审计），评估供应商质量保证系统，保证软件符合企业需求。
第十六条：计算机化系统应当记录输入或确认关键数据人员的身份（归属性）。只有经授权人员，方可修改已输入的数据（修改权限）。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。（修改记录）应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。（审计跟踪系统）

《确认与验证的风险管理》

第二条：企业应当确定需要进行的确认或验证工作，以证明有关操作的关键要素能够得到有效控制。确认和验证的范围和程度应根据风险评估的结果确认。确认与验证应当贯穿于产品生命周期的全过程（原则）。
第五十二条：应当采用质量风险管理方法评估变更对产品质量、质量管理体系、文件、验证、法规符合性、校准、维护和其他系统的潜在影响，必要时，进行再确认或再验证。（再确认和再验证）

风险管理的范围：文件、设计开发、制造、销售、安装、使用、服务维护、报废处理

风险因素的识别：

产品用途举例：血袋的采血针和输液针存在区别，工人可能不了解，需要通过培训让工人了解其用途（采血针会插到静脉里的），提醒工人避免将带倒刺或拐角的低劣品混入产品
生产状态：原料需要在加工厂进行二次确认；生产过程最容易出现质量问题
组织系统：容易被检查发现问题；机构设定，职能分配要清晰；重视人员稳定性

Principles of QuaIity Risk Management 质量风险管理的原则（欧盟GMP)

质量风险管理的两个基本原则（Two primary principles of quality risk managementare）：
质量的风险评价应当以科学知识为基础，并最终与保护患者相联系（The evaluation of the risk to quality should be based on scientific knowledge and ultimately link to the protection of thepatient）
质量风险管理程序的力度、正式程度和文件化程度应当与风险等级相匹配（The level of effort, formality and documentation of the quality risk management process should be commensurate with the level of risk）

企业风险管理出发点和关注点：

患者，使用者的安全
产品质量
法规符合性

2.2 如何感知风险

针对每一个程序和步骤，都去主动的思考潜在的风险点

比如某医疗导管有装反的风险，那就在使用前规范摆放位置与方向

2.3 如何估计和控制风险

风险估计：损害发生的概率与该损害的严重程度

控制风险：提前针对潜在的风险制定相应的应对措施

2.4 剩余风险的识别与控制

风险是无法完全避免的，即使采取了风险控制措施后，仍会存在剩余的风险；而针对这些剩余的风险，仍需要对应的控制措施（二次兜底）

2.5 风险管理术语及基本过程

风险管理术语及其定义

风险分析 Risk Analysis（找到危险源）：系统的运用现有信息，确定危险（源）和估计风险的过程。
风险估计 Risk Estimation（查找赋值表）：用于对伤害发生概率和该伤害严重度赋值的过程。
风险控制 Risk Control（找出控制风险的措施）：做出决策并实施措施，以便降低风险或把风险维持在规定水平的过程。
风险评价 Risk Evaluation（评价措施前后分值）：将估计的风险和给定的风险准则进行比较，以决定风险可接受性的过程。
风险评定 Risk Assessment：包括风险分析和风险评价的全部过程。
剩余风险 Residual risk：实施风险控制措施后余下的风险。

风险管理是一个系统过程，是由许多子过程组成。

风险分析过程；
风险评价过程；
风险控制过程；
综合剩余风险的可接受评价；
生产和生产后信息。

前三个过程是基本过程，后两个过程是一种监视和反馈过程，使得整个风险管理过程形成了闭合。

风险管理的核心：风险分析

风险分折的要求：

组织专业人员进行、要有职责分工；
需要依靠大量的信息作为分析输入；
利用已有的类似的分折过程，并注意其重大差异，
针对性地运用各种分折工具和附加指南，
充分描述和识别特定的产品的预期用途，
充分描述和识别产品的使用特点和安全要求，
记录风险分忻的全过程。

设计，制造，应用的风险管理

设计风险管理：评估与产品相关的原辅料，材料的所有风险。
设计风险管理关注：哪些设计对病人，使用者构成危害？哪些设计会对制造带来风险？
制造风险管理：评估与制造过程（关键工序）相关的所有风险。
制造风险管理关注：制造过程哪些风险会导致产品不符合标准要求？
应用风险管理：评估与产品使用相关的所有风险。
应用风险管理关注：产品在正常使用或误操作时，会对病人，使用者造成那些危害？（说明书一定要全面细致，规避潜在的风险）

2.6 风险分析常用工具与风险管理报告书写

欧盟GMP关于风险管理的要求（第3篇与《药品生产质量管理规范》相关的文件 - Quality Risk Management 质量风险管理 ICH Q9）

使用一个正式的风险管理程序（使用公认的工具或内部规程，例如标准操作

规程）既不总是合适的，也不总是必要的。

使用非正式的风险管理过程（使用经验的工具或内部规程）也是可接受的。
质量风险管理的恰当运用可以促进，但并不能免除制药行业遵守法规要求的责任，也不能取代制药行业和监管机构之间适当的沟通。

风险分析常用的工具：

风险分折工具	英文简写	用途
初步危害分析	PHA	开发过程中，对设计细节所知甚少时，变更管理
故障树分析	FTA	开发阶段，偏差，投诉，不良事件
失效模式和效应分析	FMEA	评价设计，制造，应用中故障模式的后果（关键部件分析）
危害和可运行性研究	HAZOP	类似FMEA，多用于医疗器械功能评价
危害分析和关键控制点	HACCP	用于制造过程中产生的产品危害的初始原因

故障树分析：

故障严重程度分级：

分类	描述
灾难的5	病人/使用者生命受到威胁/不符合注册工艺
危险的4	病人/使用者生命质量明显受损；产品功能的应用全部不可实现；导致整批产品报废的，或项目失败，或设备设施损坏
严重的3	病人/使用者生命质量明显受影响；产品功能的应用明显受损；对产品质量有直接的影响，可能导致批量部分报废的；或影响项目进展
次要的2	病人/使用者轻微的不适反应；产品功能的应用轻微受损；导致产品质量受影响但可通过重新检查出的；或对项目影响轻微
可忽略的1	病人/使用者不受影响，产品功能的应用只是非可感知的轻微受损；未对产品质量产生任何影响；未对项目设备设施产生影响

故障发生概率分类：

分类	频次（下列定义二选一）
时常发生的5	>10^4ppm（1/100）或在1周发生1次
很可能的4	10^3-10^4ppm（1/100一1/1000）或在3个月发生1次
偶然的3	10^2一10^3ppm （1/1000．1/10000）或在6个月中发生1次
罕见的2	10-10^2ppm（1/10000一1/100000）或近1年来发生过1次
不大可能的1	<10ppm（1/1000000）或近1年来未发生过的

FMEA风险评定图表：

红色表示不可接受风险：不可接受区域Nacc，必须采取预防措施，使风险降低到合理区间；如果不能降低风险，则产品的设计、材料、结构或产品特性应该被摒弃
黄色表示剩余风险：最低合理可行区间ALAP，积极采取行动降低风险（综合风险与收益）；对不能被可行降低的风险，在风险分析报告中进行说明，并加以监控
绿色表示可接受风险：不需要行动或降低风险

风险管理相关的活动主要包括生产和生产后活动

生产活动-质量管理体系

新的或修订的标准
设计更改
采购变更或新的材料
生产过程控制的树
产品检验结果的趋势分析
产品储存或留样的分析

生产后活动-上市后信息

操作者或使用者的抱怨
安装维修人员的抱怨
同类产品的警告信息
不良事件报告
定期的使用情况跟踪报告

风险沟通

会议沟通：风险涉及的部门和人员，通过共同参加会议对风险进行识别评价，并制定降低风险的措施，以达成对风险的认识和控制。
文件沟通：将降低风险的控制措施转化为相关的管理规程文件和操作规程文件，通过对文件的培训及执行，确保降低风险的控制措施得以执行。

风险管理报告（模板）：一、封面（起草人，审核人，批准人）二、综述

产品、设备或生产过程简介
风险管理计划，实施阶段
此次风险管理评审目的
风险管理小组成员及其职责

三、评审依据：风险可接受准则、法规、标准四、评审内容

产品风险评定表
剩余风险评价表

五、风险管理评审及沟通方式六、风险管理评审结论及需要修订的文件

2.7 不被接受的风险管理观念

企业不应当采用“风险评估"作为企业不遵守或不执行某条法规的理由和借口。
风险分析时，没有把各种“相关的因素"考虑进去。
忽略了产品（半成品）的用途和属性。
我们一直这样做，也没出现过什么风险？
一般情况，不会出现风险！（重视特殊情况下的风险）
验证时出现偏差，没有进行分类和风险评估。
风险评估缺少沟通（一个人写出来，而不是大家讨论出来）。
风险分析报告中，没有对剩余风险由谁来跟踪，没有落实到具体人。
风险评估后没有对相关人员进行培训（员工不了解风险）。
风险评估后没有对相关标准操作规程（SOP）进行更新。

3 软件风险管理控制

中关村水木医疗副总经理冯健-软件风险管理控制 20230215直播

3.1 风险概述

什么是风险？- 伤害发生的概率和该伤害严重度的组合

风险管理：识别风险源、进行风险分析评估、制定风险管理措施、形成方案

为何进行风险管理？

法律法规的需要：《医疗器械监督管理条例》
提高价值的需要：产品价值与个人价值

风险管理的产品价值：

医疗器械的运行情况复杂，掌握与理解困难
使用者可能对软件过分依赖，不了解其局限性
医疗器械是可配置的，而使用者不一定注意到
医疗器械可能需要与其他医疗器械或非医疗器械进行通信

风险管理中软件的重要性

绝大多数有源医疗器械不可或缺的部分
软件可能引发危险情况，需要具备安全性和有效性
系统找回与软件失效密切相关

数据来源：论文《医疗器械的软件相关召回分析》，彭亮，于一

风险管理对于软件的重要性：（此处缺失约半页PPT的内容）

3.2 风险管理要求

风险分级（YY/T 0664标准）

C级：可能导致严重损伤或死亡
B级：可能导致非严重损伤或死亡
A级：不会导致损伤或仅导致轻微损伤

随机性失效：看似随机，但是失效事件服从分布系统性失效：由于失效原因（数据溢出、程序除0）导致的失效

对于软件来说，只有系统性失效，没有随机性失效。因此软件失效的概率很难确定

一个软件可能包含多个风险项，最高的风险项将作为软件的最终风险评估

软件的安全性级别判定：

预期用途：用途类型、重要程度、紧迫程度
使用场景：使用场所、疾病特征、适用人群、目标用户
核心功能：功能类型、核心算法、接口

强烈建议：按照YY/T 0664所定义的ABC进行风险等级对应

不同标准下的风险等级的判定准则

软件审查原则（2022版）：在采取风险控制措施之前进行判定
YY/T 0664：在考虑外部风险控制措施之后
FDA：减轻相关危害之前确定关注级别

3.2.1 软件审查原则（2022版）

通用指导原则：医疗器械软件注册审查指导原则（2022年修订版）

不良事件与召回：

已上市同类医疗器械软件若发生严重不良事件或一级召回属于严重级别
发生不良事件或二级召回属于中等级别
未发生不良事件且仅发生三级召回或无召回属于轻微级别。
美国不良事件查询数据库地址
召回查询数据库

现成软件

外部软件环境，虽非监管对象，但需从风险管理角度考虑其对医疗器械软件的影响。
综合考虑现成软件的使用广泛度、技术成熟度等，采用基于风险的全生命周期管理方法进行质控，特别是在采购、设计开发、上市后监测等方面
现成软件组件的软件更新、软件版本相关要求与自研软件基本相同，同样遵循风险从高原则。
其安全性级别与医疗器械软件的安全性级别相同，注册申报资料详尽程度亦取决于其安全性级别。

风险管理

提供软件风险管理流程图，依据流程图详述软件风险管理过程的具体活动
提供软件的风险分析报告、风险管理报告，涵盖功能、性能、接口、运行环境、必备

软件、云计算等情况

提供采取风险控制措施前后的风险矩阵汇总表
另附软件开发所形成的原始文件

软件组件

软件组件需与所属医疔器械整体开展风险管理工作
生存周期过程质控原则和要求均相同
提供所属医疗器械的风险管理文档，并注明软件组件所在位置

3.2.2 YY/T 1406.1-2016标准

适用范围

不增加或改变YY/T 0316-2016(GB/T 42062一2022）或YY/T 0664-2008(-2020）的要求
预期不作为法规检查或认证评定的依据

风险管理过程

风险管理通用要求
风险分析
风险评价
风险控制
剩余风险的可接受性评价
风险管理报告
生产和生产后信息

3.2.3 GB 9706.1-2020标准

PEMS VS PESS

PEMS：可编程医用电气系统 programmable electrical medical system。包含一个或多个可编程电子子系统(PESS)的ME设备或ME系统
PESS：可编程电子子系統 programmable electronic subsystem。基于一个或多个中央处理单元的系统，包括它们的软件和接口

软件与PEMS要求

安装后的软件一定是PESS
含软件不一定适用PEMS要求（第14章14.2~14.12的要求）
是否适用取决于基本安全和基本性能：可编程电子子系统（PESS）不提供基本安全或基本性能所必需的功能：或应用本部分4.2描述的风险管理，表明任何PESS的失效不会导致不可接受的风险。
不论14.2~14.12的要求是否适用，14.13的要求适用于预期接入IT网络的任何PEMS

补充：什么情况下不需要提供可编程医用电气系统（PEMS）相关文档？

如果可编程医用电气系统（PEMS）预期不接入IT-网络，且可编程电子子系统(PESS)不提供基本安全或基本性能所必需的功能或风险管理表明任何PESS的失效不会导致不可接受的风险，那么GB9706.1-2020中14章的要求不适用，这种情况下，检测时制造商不需要提供可编程医用电气系统（PEMS）相关文档。

功能 VS 性能：

功能是产品具备的特性
性能需要量化评估，提供一种上限

基本性能 essential performance：与基本安全不相关的临床功能的性能，其丧失或降低到超过制造商规定的限值会导致不可接受的风险

基本性能特点

基本性能为临床功能的性能；
基本性能不同于基本安全（如超温、漏电流、机械防护等）；
并不是所有性能（功能）都是基本性能，只有在缺失或超限值后引起不可接受的风险才能是；
不可接受的风险是制造商按照风险控制程序进行评估的；
某一类型的医疗器械可以没有基本性能

不是基本性能例子

非重要的生理功能；
记录的格式，显示，通信协议等；
頻率响应、电气噪声水平，数据处理能力的性能；
不能自动发起病人治疗的报告

基本性能的条款格式

基本性能需要进行明确定义，例如：201.10的要求为基本性能要求
如果标准没有定义，则需要进行风险分析并具体说明

附录：PEMS要求（部分）

条款号	标题	风险管理文档内容
14.1	可编程医用电气系统（PEMS）——概述	若14.2-14.12不适用，风险管理应证明任何PESS的失效不会导致不可接受的风险。
14.6.1	已知和可预见危险的识别	在编制已知或可预见的危险（源）列表时,制造商应考虑那些与PEMS软件和硬件方面相关的危险（源），包括PEMS接入IT-网络、第三方来源组件和遗留子系统的危险（源）。
14.6.2	风险控制	已确认的工具和程序应适用于确保每个风险控制措施能有效地降低已识别的风险。
14.7	需求规格说明	系统或者子系统的需求规格说明，应包含并区分由该系统或者子系统实现的任何基本性能和任何风险控制措施。
14.8	体系结构	对于PEMS及其各子系统,应明确规定符合需求规格说明的体系结构。
14.10	验证	验证所有实现基本安全、基本性能或风险控制措施的功能的验证计划和验证活动记录。
14.11	PEMS确认	与“PEMS确认”相关的风险管理文档。
14.13	预期接入IT-网络的PEMS	PEMS连接的IT-网络失效时的危险情况清单。

3.2.4 药监综械管〔2020〕57号

GMP：医疗器械生产质量管理规范独立软件现场检查指导原则

主要内容

设计开发：5.1.1 应当结合软件生存周期模型特点建立软件生存周期过程控制程序并形成文件，确定软件开发策划、......、风险管理
软件安全性级别：5.2.2 软件安全性级别应当在采取控制措施之前，结合软件的预期用途、使用场景和核心功能进行综合判定
软件风险管理依据：5.3.1 应当依据风险管理控制程序实施软件风险管理活动，结合产品识别、分析、评价．控制和监测软件功能、接口、用户界面、现成软件、网络安全等风险，并穿于软件生存周期全过程。
现成软件：5.7.1 现成软件使用应当形成文件，确定风险管理、验证与确认、......、等活动要求
贯穿始终：需求、设计、验证与确认、软件更新、缺陷管理

提交风险管理：CH3.5.5 含有软件组件的产品和独立软件，是否提供了......风险管理；用移动计算、云计算、虚拟现实等信息通信技术实现预期功能与用途，是否提供了......风险管理；
网络安全：CH3.5.5.11 具备电子数据交换、远程控制或用户访问功能的独立软件和含有软件组件的产品，是否提供......风险管理
互操作性：CH3.5.5.12 通过电子接口与其他医疗器械或非医疗器械交换并使用信息，是否提供......风险管理

3.3 风险管理资料编制

指导原则：软件审查原则（2022版）标准要求：YY/T 1406.1、YY/T 0664、GB 9706.1 注册要求：医疗器械产品注册项目立卷审查要求 GMP：药监综械管〔2020〕57号

注：本小节不讲解管理职责、人员资格、风管计划、风管文档、风管报告、生产和生产后信息，只讲风险分析方法和降低风险措施

基本原则：

头脑风暴是驱动风险管理的不可缺少的一环
思考角度：预期用途、使用场景、核心功能
人员规避：“王婆卖瓜“型或完全不相关人员
人员建议：临床专家、软件工程师、系统设计师、可用性/人因工程专家

风险管理是在整个软件生命周期过程中的，而不应只着眼于最终成品

风险的管理应该是基于需求规格的闭环

风险分析：需求规格
风险控制：设计规格（体系设计、详细设计）
剩余风险：4个测试（单元、集成、系统、用户）

3.3.1 风险分析方法

分析重点：

预期用途：使用场景、核心功能
用户界面：过于复杂？不同单位？可配置？
接口：限制连接
重点查询：不良事件和召回
防扩散原则：单一故障法
最不利原则

单一故障法：尽量针对每个模块进行风险分析，避免组合导致的分析量膨胀

危险（源）

软件本身不是危险（源）（一种潜在的伤害源）；与软件接触不会造成伤害。然而，软件可能导致人体暴露在危险（源）下。软件失效（任何形式）常常促进危险（源）转化为危险情况
许多医疔器械利用软件来生成、存储、处理或使用数据，这使得危险（源）部分地成为制造商的责任
最重要的是避兔危险情况的责任可由用户转移到制造商

风险的定级：

需要明确可能事件的严重程度与发生概率
事件的严重程度最好向YY/T 0664中的分类看齐
发生概率没有一致认可的估计方法
危险情况的发生概率宜设为1
通常需要临床知识估计概率，以区别相关严重度的危险(源)

FMEA和FTA本质上是可靠性方法，着眼于故障，关注提高产品质量

风险管理则着眼于安全，关注降低风险

3.3.2 风险控制措施

基本原则

用设计方法取得固有安全
没必要对每个事件应用风险控制指施，把总伤害概率降至可接受水平就足够了

如何用设计方法取得固有安全

除去不必要的特性
更改软件体系结构以避免导致危险情况的事件序列
简化用户界面以降低使用中人为错误的可能性
规定软件设计规则以避免软件异常：仅使用静态内存分配、规定使用编程语言的版本

风险控制措施的四种方法

软件隔离

为不同的软件项分配不同的软件安全级别，区分关键软件项和一般项。例如：为患者提供治疗的软件在一个处理器上运行，而其他软件在另一个
区别医疔器械相关的软件项和非相关项

固有安全设计

足够的资源以便需要时能执行任务：安全软件项需要时能否访问处理器；在不安全状况发展成事故前，安全相关软件项能否确保足够的处理器占用时间以完成其任务；保证其他软件项不会破坏或干扰安全项
在单一处理器上提供适当的隔离：防止数据流崩渍（非安全相关软件项不能修改安全相关数据）；防止控制流崩溃（非安全项不能影响安全项）

容错体系结构

确保安全相关的功能在组件故障（包括软件异常）发生时仍然继续运行
不能同一软件多重拷贝的简单冗余，需要使用多样性
两个或多个软件项完成同样的功能，但他们从一个通用的规范开始独立设计和执行

防护性措施

无法通过固有安全设计方法避免风险，次优方法：防护性措施
通过检出潜在危险悄况来运行，既可自动干预以减轻后果，又可产生报警使用户干预。例如：放疗联锁（放疗机器与门锁联动，避免有人误入）；以未完成任务为代价确保安全（血液分析仪：提供错误结果是危险，所以出错时应该直接中断任务）

开发过程风险控制

人员能力——技能、资质、经验和培训（谁开发软件？）
方法——规范、设计、编码和测试方法的适用性（开发过程是什么？）
严格的、正式的及评审和桧查的范围（进行了多少静态分析？）
工具——工具（诸如编译器、要求的可迫溯性和配置管理工具等）的质量（软件开发过

程中使用什么工具？）

风控的重点关注（总结）

预期用途
界面：输入限制；警示信息；操作步骤；用户设置
接口：传导错误；数据安全
分类管理：医疗器械功能；安全相关功能

王半仙的学习分享

Digital Garden | 王半仙