医疗器械的安全性是任何监管机构最优先考虑的事项，也是产品分类和控制的基础。虽然确保医疗器械安全是期望达成的结果，但要明确构成安全的定义以及为确保安全所需的程序和措施，则需要对风险及其管理进行分析。因此，风险的识别与管理是满足法规要求的关键组成部分。欧洲理事会医疗器械指令 93.42.EEC的附件I基本要求将安全列为第一项要求，风险管理列为第二项要求，如表5.1所示。在产品生命周期各个阶段所产生的安全和风险不仅限于医疗器械法规，其他相关法规（如环境和电子设备）也可能对此提出要求。

适当的风险管理不仅涉及满足法规要求，还包括确保业务的可持续性。因产品召回和责任（如诉讼）导致的安全相关问题可能代价高昂，且通常是由于风险评估不足所致。风险评估有助于明确产品生命周期各阶段的要求以及相应的测试，以确保产品安全。即使医疗器械产品已获得监管机构的销售许可，制造商或产品所有者仍不能免除因其使用导致伤害或死亡所引发的责任。然而，如果危害已被识别、缓解，并符合相关的安全标准（如ISO 10993和IEC 60601），则风险评估可能使制造商或所有者免于承担责任。

风险评估旨在权衡产品的收益与风险。这种收益‐风险考量也可能影响医疗器械监管批准的路径选择。许多侵入性医疗器械属于高风险，一旦发生设备故障可能导致死亡。然而，如果不考虑其带来的益处，仅基于风险做出决策，患者的性命可能面临更大危险，或生活质量会显著降低。通过适当的风险评估，外围风险可大幅降低，使得主要风险仅来自少数几个组件，从而可以集中更多的努力和资源来缓解这些风险。为实现这一目标，需要制定风险管理计划。

风险管理是一个持续过程，且贯穿于产品上市后的整个阶段。因此，需要制定风险管理计划，以确保在产品生命周期内对风险进行有效管理。尽管大多数风险评估通常与产品设计和开发相关，但这仅涵盖了整个过程中的一部分阶段。

如图5.1所示的产品生命周期。医疗器械法规通常要求在产品设计之外进行风险评估和控制。欧洲理事会医疗器械指令93.42.EEC的附件I基本要求条款 7.2规定：“医疗器械必须以尽量减少污染物和残留物对运输、储存和使用设备的相关人员以及患者造成风险的方式进行设计、生产和包装。..。” 因此，在风险评估过程中，对材料选择、生产、运输、储存以及设备使用等方面进行考察同样重要。

制定风险管理计划后，应持续更新与风险评估和报告相关的文件，以反映产品生命周期的各个阶段。在产品开发初期，可根据产品的预期用途进行初步风险评估。这通常是一种高层次的风险评估，用于确定产品未能满足其预期用途时可能产生的可预见的风险。这也将有助于产品在各个监管机构下的分类。

在产品生命周期的各个阶段进行风险评估通常需要来自不同职能部门的利益相关方的参与。为实现这一点，需要建立风险管理体系，以指导规划和职责分配。参与产品生命周期各阶段的部门示例如 表5.2所示。该体系的建立可基于公认的风险管理国际标准和指南。

国家监管机构通常采用公认的国际标准或发布风险管理合规性指南。美国食品药品监督管理局、欧洲委员会（CE标志）以及主要国家监管机构普遍认可的通用指南是ISO 14971。美国食品药品监督管理局还发布了补充指南，例如将人为因素纳入产品所有者和制造商的风险管理中。由于大多数制造商通常使用ISO 14971来建立正式的风险管理系统，本章将以此作为讨论风险管理的框架。

在整个产品生命周期中，从开发阶段直至产品报废，都需要识别和监控相关的危害和风险，以防止其再次发生。当出现失效时，分析与纠正必须反馈到风险管理过程中。这需要多个部门的承诺和参与，以及对角色和职责的合理分配。高层管理人员对风险管理过程的承诺对于提供充足的资源和明确职责分配至关重要。高层管理人员还需定义风险可接受性，并持续评审风险管理过程的充分性，以应对流程变更、新流程引入以及国家法规和国际标准的变化。通常会指定一名管理者代表，以确保合规性和管理决策的执行。文件通常由管理者代表签署，以表明对计划或结果的认可，从而确保高层管理人员的问责制和承诺。

需要制定风险管理计划以记录角色和职责的分配，概述在整个产品生命周期中与风险管理相关的预期活动以及风险可接受性的准则。一份适当的风险管理计划将使各个部门能够了解其在特定产品风险管理过程中的角色及相应职责。

根据ISO 14971，风险管理计划在产品开发初期无需完整，因为在初始阶段，由于最终产品设计、生产模式、分销渠道及其他会影响风险管理过程的因素尚不确定，无法预见与产品相关的下游风险。因此，有必要根据产品开发进展和业务决策对风险管理计划进行定期评审。

无论产品开发阶段和生命周期如何，风险管理过程都可以分解为几个关键阶段，如图5.2 所示，该过程的每个部分都基于前面的部分。与风险管理计划一样，风险分析预计将在产品开发过程中不断变化，并可能由于生产后反馈、法规要求的变化或与产品相关的危害和风险的新信息而进行更新。

风险分析通常从识别与产品相关的潜在危害开始。危害是一种高层次的分类，它有助于识别危险情况。危害的例子包括能量危害、生物危害、操作危害和信息危害。这些危害可进一步细分为更具体的低级别危害，例如电能危害、功能危害和标签危害。单一的危害本身可能不会对人员或财产造成伤害，只有在危害存在并伴随一系列事件发生时，才会导致造成伤害的危险情况。例如，尽管电能是一种危害，但只有在其绝缘暴露或绝缘不充分时，才会引发危险情况。

从风险分析的角度来看，需要通过各种风险分析技术来识别和处理的是危险情况。以下是几种用于识别危害和危险情况的方法或来源。

(a)问题清单[77][ISO 14971:2007 附录C]

(b)危害类别清单。见 表5.3

(c)与专家、部门/科室代表、用户交流

(d)头脑风暴

(e)特定标准、指导文件、法规要求（例如IEC60601）

(f)监管网站上报告的事件

对于常见的医疗设备，或对于在医疗器械方面有经验的项目团队，可能可以识别出用于分析的危害列表。另一种危害识别来源可能是参考标准、指导文件和报告的事件。一些文件，例如 IEC 6061 “医用电气设备”[152,153], ISO 10993 “医疗器械的生物学评价”[6],及其子部分，提供了与医疗器械相关的风险的全面信息。特别是 IEC 60601 的第一部分，包含了针对电气、机械、辐射、温度、结构、系统等方面相关危害的防护要求。另一个良好的危害识别来源是监管机构网站上公布的报告事件，例如美国食品药品监督管理局（ FDA）的制造商和用户设施器械体验（MAUDE）数据库。该数据库包含与所有向 FDA 提交的强制性报告和自愿报告相关的注册设备的报告事件列表。用户可以查找与其产品相似的产品类别，并检查是否存在任何相关的报告事件。

这些报告包括事件类型（危害）、事件描述，以及制造商调查结果，其中说明了可能的原因和后续措施。

有几种常用的风险分析技术，每种都有其优缺点。风险分析的示例包括初步危害分析(PHA)、故障树分析(FTA)、失效模式与影响分析(FMEA)以及危害与可操作性分析(HAZOP)。本文将讨论其中两种技术，以说明基于自上而下系统方法和自下而上方法的风险分析。

5.3.1 失效模式与影响分析

FMEA 是一种自下而上的风险分析技术，由于其相对简单，是使用最广泛的方法之一。顾名思义，它包括识别可能的故障模式、故障影响，然后分析故障原因。

FMEA表格通常包含以下基本部分的列，

– 潜在危害（故障模式）

– 故障的潜在危害（影响）

– 严重度

– 失效原因

– 发生概率

– 风险等级或风险优先数（RPN）

– 风险纠正措施

失效是指医疗器械及其组件未能按预期运行，或可能导致危险事件发生的情况。一些故障模式示例如下：操作故障、材料故障、机械故障、电气故障以及指示故障。必须包含并预测所有可能的故障模式，以便能够预估相应的后果和原因，从而采取预防措施。

失效的影响有助于确定失效的代价或严重度。通常会发现一个失效影响是由一种或多种失效模式引起的。失效影响的示例包括机器停机、无电源、响应延迟和输出错误。了解影响有助于确定其严重度等级。一般来说，最低等级为 “可忽略的”，表示无伤害或损坏；而最高等级为“灾难性的”，表示导致死亡或严重伤害。中间等级的数量由制造商或组织决定，但通常共有三到五个等级。

了解故障模式将有助于确定其潜在原因。失效的原因可能归因于机器或人为因素。由机器引起的失效原因可能包括强度不足、功率不足、绝缘不当以及软件代码错误。由人为引起的失效原因通常与培训不足或缺乏操作说明有关。

在项目初期，故障概率通常是基于有限的可用信息进行的预测。该预测可能来源于验证测试、类似产品的数据库或专家估计。当从生产或客户反馈中获得更多相关信息后，故障概率可随后进行调整。失效可能性通常分为四到五个等级，从不太可能到频繁。

风险等级和风险优先数由严重度等级和故障概率的组合生成。尽管目的相同，但在确定风险可接受性时，使用风险等级和风险优先数存在细微差异。风险等级通过将指定的严重度和概率等级放入矩阵中来实现，如下所示（表5.4）。每个概率和严重度等级组合对应的风险可接受性基于组织定义的矩阵。一些组织在矩阵中包含“不理想”类别，以表示需要采取风险纠正措施。

如果组合属于该类别，则为必需。风险优先数（RPN）通过可能性与严重度等级的数值相乘得出。可接受性由每个定义类别对应的RPN赋值来确定(表5.5)。

风险等级和风险优先数各有其优点和局限性。风险等级允许组织根据其对严重度和可能性的偏好权重来确定可接受性。风险优先数是一个数值，除非通过修改公式或赋值方式以反映偏好，否则会对严重度和可能性赋予相同的权重。然而，风险优先数可用于在风险分析中纳入其他考虑因素，例如将失效的可检测性值纳入分析。

可根据组织需求，在基本的失效模式与影响分析中加入其他类别，以获取更多信息。通常第一列会列出工序步骤、产品功能或组件，第二列则识别潜在危害。失效的影响还可进一步细分为局部级别和系统级别。例如，印制电路板中的故障电阻可能在局部级别导致灯泡熔断；在系统级别，其影响是电源信号灯无显示。在医疗器械的风险分析中，会增加一列用于记录实施风险控制措施后的可能性，以确定剩余风险等级。需要注意的是，任何风险控制措施只能降低失效的可能性，而不能降低其严重度。失效模式与影响分析的其他变体还包括增加探测度列。为了验证风险控制措施已实施且有效，可增加实施列和有效性列，并包含文件引用。文件涉及实施的文件包括作业指导书、质量控制程序、组件要求规格、工程变更文件、操作手册等。有效性文件可能包括检验文件、图纸、生产后监控、供应商评估表、组件合规证书等。

在考虑使用FMEA作为风险分析工具时，了解其局限性非常重要。尽管 FMEA在系统相对简单、组件较少的医疗器械中表现良好，且整个系统的失效可追溯至各个元件，但对于具有多种功能和模块化系统的复杂设备而言，该方法会变得非常繁琐。例如，牙科弓丝由单一材料构成，依靠其机械性能根据弓丝形态实现牙齿移动。然而，像机器人手术臂这样的复杂系统则包含多个子系统，如电子元件、机械部件、软件等。仅在FMEA中列出所有组件就可能占据大量篇幅。当系统中存在多重冗余时，由于组件之间的关系和相互依赖性在 FMEA中可能无法清晰定义，导致故障模式及其原因的界定变得困难，容易引发复杂情况和误解。对于此类规模较大且复杂的系统，采用FTA可能更为合适。

5.3.2 故障树分析

故障树分析（FTA）是一种系统化的自上而下方法，从假设的系统故障出发，识别导致该故障的系统或组件行为模式。这些系统或组件的行为模式不仅限于硬件或软件，还包括人为因素或交互等其他因素。当有关可能性的定量数据可用时，FTA特别有用，尽管也可进行定性分析。无论哪种情况，FTA都能 pinpoint 共因因素或系统失效最大贡献因素，而这一点使用其他风险分析技术（如失效模式与影响分析）较难识别。其对故障原因的可视化表示有助于轻松识别单一故障事件（即引发整个系统故障的单个失效）。当有定量数据可用时，可通过数学计算预测失效的可能性。

故障树分析由一个顶事件以及一系列用于构建树的符号、事件和逻辑门组成。表5.6中列出了 故障树分析中常用的一些符号。表5.6。有关故障树分析中使用的更多符号，请参见IEC 61025[154]。

对于复杂系统，当系统故障处于非常高的层级时，故障树图可能会变得非常庞大。例如，电气设备中“系统无响应”这一顶事件可能由多种原因引起。在没有软件来跟踪故障树分析的情况下，考虑诸如“输入电源切断”或“变压器故障”等中间不理想事件更为实用。这也允许不同的功能团队先在故障树分析的不同部分分别开展工作，再于后期进行整合。图5.3 展示了医疗系统中与报警相关的患者伤害的故障树图示例。[155]

风险分析的应用不仅限于设计和开发阶段。相同的技术可用于对产品的其他方面（如生产、运输、使用和处置）进行风险评估。虽然主要关注点是产品本身，但对标签等辅助项目也需进行风险评估。

包装和随附文件。对于失效模式与影响分析，通常将其细分为设计失效模式与影响分析（dFMEA）、过程失效模式与影响分析（pFMEA）和应用失效模式与影响分析（aFMEA），因为每一类的列类别可能有所不同。对于故障树分析，生产问题、系统问题和用户问题也可能被包含在事件失效的原因中。图5.3 是故障树分析中与报警相关的医疗系统问题的一个示例。此类伤害可能是由于用户未对报警做出响应，也可能是由于产品失效导致本应触发的报警未被触发。

在确定风险可接受性时，需要考虑多个因素。必须考虑每项风险所带来的责任。针对每种故障模式降低风险等级通常需要付出成本。为达到可接受的风险等级而采取的风险降低措施将意味着需要投入额外的时间和资源。表5.4 所示的风险等级矩阵可帮助管理层向项目团队传达其风险可接受性要求，以及针对每个风险等级应采取的措施。

根据ISO 14971的要求，当所有可行的风险降低措施实施后风险仍不可接受时，需要进行风险/受益分析。这是为了评估受益是否大于伤害。通常情况下，不可接受的设计将被放弃。要证明受益大于伤害，从而使剩余风险可接受，并非易事。为此需要获取充分的证据，并进行广泛的评审和咨询。证据可来自临床试验，或通过体外和体内性能获得。还应考虑与替代方案和预期受益相关的评审和咨询。

由于其在该应用领域的专业性、知识和/或权威性而具备资质的人员将需要评估总体剩余风险。

风险管理报告是对风险管理过程最终结果的总结。报告中需要包含风险管理计划实施的证据，这可能包括对风险分析文件的引用。如果在风险管理计划中指定了特定的风险分析方法，则可引用记录基于该方法进行风险分析的文件。任何偏离风险管理计划的情况都应在风险管理报告中予以说明。风险管理报告还应说明所有列出的风险是否均可接受。当总体剩余风险超过制造商可接受风险的准则时，风险管理报告应陈述其风险/受益评价，并确定该医疗器械是否应上市。

FAQs

（1）制造商为何要进行风险评估？

如果危害已被识别、缓解，并符合相关的安全标准（如ISO10993和IEC 60601），则风险评估可使制造商或所有者免于承担责任。

（2）国家监管机构如何确定用于风险管理合规性的指南？

国家监管机构通常采用公认的国际标准或发布风险管理合规性指南。美国食品药品监督管理局、欧洲委员会（CE标志）以及主要国家监管机构普遍认可的指南是ISO 14971。

（3）为什么需要根据产品开发和业务决策对风险管理计划进行定期评审？

根据ISO 14971，风险管理计划在产品开发初期不必完整。由于最终产品设计、生产模式、销售渠道和其他会影响风险管理过程的因素在初期阶段存在不确定性，因此无法预见与产品相关的下游风险。

（4）危害识别的来源有哪些？

危害识别的一些来源可能包括查阅标准、指导文件以及监管机构网站上报告的事件，例如IEC60601《医用电气设备》、ISO 10993《医疗器械的生物学评价》及其各部分，这些提供了与医疗设备相关风险的全面信息。另一个良好的危害识别来源是美国食品药品监督管理局（FDA）的制造商和用户设施器械体验（MAUDE）数据库中可获取的报告事件。

（5）常用的风险分析技术有哪些？

风险分析的示例包括初步危害分析(PHA)、故障树分析(FTA)、失效模式与影响分析(FMEA)以及危害与可操作性分析（HAZOP）。

（6）如何确定风险可接受性？

每个可能性和严重度等级组合的风险可接受性基于由相关组织定义的矩阵。

（7）何时应将失效模式与影响分析用作风险分析工具？对于具有多种功能和模块化系统的复杂机器，建议使用哪些风险分析技术？

失效模式与影响分析在系统相对简单、元件较少的医疗器械中效果良好，整个系统的失效可追溯至各个元件。

对于更大且更复杂的系统，故障树分析(FTA)可能更为合适。

（8）什么是风险管理报告？需要包含哪些内容？

风险管理报告是风险管理过程最终结果的总结。

风险管理报告中应包含的项目示例有，

- 所用风险评估方法的总结

- 风险评估标准

- 特别是当风险项因其相对于剩余风险的效益而可接受时，整体剩余风险的可接受性。

- 需要进一步采取措施的危害及其相应缓解措施的汇总清单；

- 产品设计变更的汇总（如有）。如果产品设计有任何变更，是否对其风险分析产生影响？

- 是否有针对我们产品的投诉或事件报告涉及其安全？

- 在我们的产品价值链中是否有涉及其安全的反馈？

- 是否存在关于竞争对手的产品或类似产品的公开报告、新闻或风险警示？如果有，是否会影响我们产品的安全？

- 是否有新的关于安全的法规指南？

- 关于安全的标准是否有任何更新？

- 对风险评估进行审查，并重点说明文件中的任何重要变更（如有）。