PACS風險管理報告

1、 版本：V1醫(yī)學影像存儲與傳輸系統(tǒng)（PACS）風險管理報告編制： 年 月 日審核： 年 月 日批準： 年 月 日修改記錄版本修改內(nèi)容編制審核批準實施日期目 錄1綜述- 1 -1.1.1系統(tǒng)模塊組件- 1 -1.1.2性能特征和典型環(huán)境- 1 -1.2風險管理計劃及實施情況簡述- 2 -1.3此次風險管理評審目的- 3 -1.4風險管理評審小組成員及其職責- 3 -2風險管理評審輸入- 4 -2.1風險可接受性準則- 4 -2.1.1風險的嚴重度水平- 4 -2.1.2風險發(fā)生的概率等級- 5 -2.1.3風險評價準則- 5 -2.2風險管理文檔- 5 -2.3相關(guān)文件和記錄- 6 -3風險管理

2、評審- 6 -3.1風險管理計劃完成情況- 6 -3.2綜合剩余風險可接受評審- 7 -3.3關(guān)于生產(chǎn)和生產(chǎn)后信息- 7 -3.4評審通過的風險管理文檔- 7 -4風險管理評審結(jié)論- 7 -5附錄1：風險分析記錄- 9 -6安全特征問題清單- 9 -6.1危害判定- 13 -7附錄2：風險評價記錄- 18 -7.1概述- 18 -7.2評價步驟- 18 -7.2.1損害發(fā)生嚴重度的分析- 18 -7.2.2風險可接受性判斷- 19 -8附錄3：風險控制措施記錄表- 20 -8.1概述- 20 -8.2步驟- 20 -8.2.1風險控制方案分析- 20 -8.2.2初步風險控制措施和驗證記錄-

3、21 -8.2.3制造與驗證結(jié)果記錄- 24 -8.2.4風險控制措施實施效果的驗證- 28 - 14 -1 綜述醫(yī)學影像存儲與傳輸系統(tǒng)（PACS），針對醫(yī)院或其他醫(yī)療機構(gòu)的實際使用需求而設(shè)計，其用戶界面為個人用戶所熟悉的中文視窗用戶操作界面。1.1.1 系統(tǒng)模塊組件Vicor-PACS系統(tǒng)（簡稱本系統(tǒng)）的組成部分如下：n 服務(wù)器組件（簡稱VP-Server），用于接收和存儲基于DICOM3.0標準發(fā)送的圖像數(shù)據(jù)，并對用戶圖像數(shù)據(jù)進行管理的系統(tǒng)模塊n 工作站組件（簡稱VP-Station），用于調(diào)閱、顯示并處理基于DICOM3.0存儲的醫(yī)學圖像數(shù)據(jù)，以及提供用戶對患者病歷報告進行編輯管理等功能

4、的系統(tǒng)模塊1.1.2 性能特征和典型環(huán)境系統(tǒng)包括下列關(guān)鍵臨床功能：n 圖像數(shù)據(jù)接收：自動接收醫(yī)院設(shè)備通過DICOM3.0標準接口發(fā)送到服務(wù)器端的所有患者數(shù)據(jù)，并分類創(chuàng)建患者數(shù)據(jù)保存路徑，建立患者數(shù)據(jù)索引。n 圖像數(shù)據(jù)回放：根據(jù)用戶預設(shè)的查詢條件，顯示符合條件的患者數(shù)據(jù)索引，并根據(jù)用戶的操作加載并顯示對應的用戶數(shù)據(jù)。n 報告和存檔：在醫(yī)生的診斷記錄保存在報告數(shù)據(jù)中，并將該報告和相關(guān)的影像材料建立關(guān)系索引，合并歸檔到用戶數(shù)據(jù)庫中。下圖為典型的程序工作流程：根據(jù)系統(tǒng)的關(guān)鍵功能，本系統(tǒng)的軟件安全性級別定義為A級下圖為典型醫(yī)療環(huán)境：1.2 風險管理計劃及實施情況簡述系統(tǒng)于2012年開始策劃立項。立項同時

5、，我們就針對該產(chǎn)品進行了風險管理活動的策劃，制定了風險管理計劃，并在后續(xù)改進中逐步完善。該風險管理計劃確定了系統(tǒng)的風險可接受性準則，對產(chǎn)品設(shè)計開發(fā)階段（包括試生產(chǎn)階段）的風險管理活動以及生產(chǎn)和生產(chǎn)后信息的獲得方法的評審要求進行了安排。公司組成了風險管理小組，確定了該項目的風險管理負責人。確保該項目的風險管理活動按照風險管理計劃有效的執(zhí)行。在產(chǎn)品的設(shè)計開發(fā)階段和生產(chǎn)階段，風險管理小組共進行了三次風險管理評審，形成了相關(guān)的風險管理文檔。成立了風險管理小組，確定了該項目的風險管理負責人。確保該項目的風險管理活動按照風險管理計劃有效的執(zhí)行。1.3 此次風險管理評審目的本次風險管理的評審目的是對系統(tǒng)從研

6、發(fā)過程的角度進行評價，對過程中的風險是否得以控制，并有效的控制在可接受范圍內(nèi)，確保風險管理計劃已經(jīng)圓滿完成，并且通過對該產(chǎn)品的風險分析、風險評價和風險控制，以及綜合剩余風險的可接受性評價，證實對產(chǎn)品的風險已進行了管理，并且控制在可接受范圍內(nèi)。1.4 風險管理評審小組成員及其職責姓名職位或頭銜責任總經(jīng)理/風險管理組長風險管理提供適當?shù)馁Y源，對風險管理工作負領(lǐng)導責任質(zhì)量部經(jīng)理/風險管理組員從產(chǎn)品實現(xiàn)的角度分析所有已知的和可預見的危害以及生產(chǎn)和生產(chǎn)后信息的收集并及時反饋給技術(shù)部進行風險評價研發(fā)部經(jīng)理/風險管理組員產(chǎn)品設(shè)計和開發(fā)過程中的風險管理活動技術(shù)支持部經(jīng)理/風險管理組員從產(chǎn)品實現(xiàn)的角度分析所有已

7、知的和可預見的危害以及生產(chǎn)和生產(chǎn)后信息的收集并及時反饋給技術(shù)部進行風險評價生產(chǎn)部經(jīng)理/風險管理組員從產(chǎn)品實現(xiàn)的角度分析所有已知的和可預見的危害以及生產(chǎn)和生產(chǎn)后信息的收集并及時反饋給技術(shù)部進行風險評價售后服務(wù)/風險管理組員從產(chǎn)品實現(xiàn)的角度分析所有已知的和可預見的危害以及生產(chǎn)和生產(chǎn)后信息的收集并及時反饋給技術(shù)部進行風險評價醫(yī)院信息科主任/風險管理組員外聘（風險審核臨床專家）2 風險管理評審輸入2.1 風險可接受性準則按照風險管理計劃，制定的風險管理風險可接受性準則，進行評價。2.1.1 風險的嚴重度水平符號等級名稱風險嚴重度判斷舉例A嚴重錯誤由于程序所引起的死機,非法退出死循環(huán)導致發(fā)生死鎖數(shù)據(jù)通訊

8、錯誤嚴重的數(shù)值計算錯誤需求未實現(xiàn)文檔與軟件不符文檔嚴重不足系統(tǒng)文檔關(guān)鍵錯誤B較嚴重錯誤功能不符數(shù)據(jù)流錯誤程序接口錯誤輕微的數(shù)值計算錯誤C中等錯誤程序非正常終止但可通過輸入來避免 系統(tǒng)邊界錯誤顯示報表錯誤數(shù)據(jù)處理、需求理解錯誤系統(tǒng)文檔一般錯誤D一般性錯誤界面錯誤(詳細文檔)打印內(nèi)容、格式錯誤簡單的輸入限制未放在前臺進行控制刪除操作未給出提示系統(tǒng)操作不方便E較小錯誤輔助說明描述不清楚顯示格式不規(guī)范、查詢報告格式錯誤長時間操作未給用戶進度提示提示窗口文字未采用行業(yè)術(shù)語可輸入?yún)^(qū)域和只讀區(qū)域沒有明顯的區(qū)分標志系統(tǒng)處理未優(yōu)化F無錯誤/建議用戶個性化配置2.1.2 風險發(fā)生的概率等級由于本系統(tǒng)為軟件系統(tǒng)，所

9、以對于本系統(tǒng)的風險，只要存在其發(fā)生概率即為100%。2.1.3 風險評價準則嚴重程度ABCDEF風險評價UURRRA說明：A：可接受的風險；R：合理可行降低(ALARP)的風險；U：不經(jīng)過風險收益分析即判定為不可接受的風險2.2 風險管理文檔1) 風險管理計劃（VPACS-DE05-01）2) 安全性特征問題清單3) 初始危害判斷及初始風險控制方案分析4) 風險評價表5) 風險控制措施記錄表2.3 相關(guān)文件和記錄1) 風險管理控制程序（QP-7-09）2) 產(chǎn)品設(shè)計開發(fā)文檔3) 相關(guān)法規(guī)4) 相關(guān)標準n GB/T 16260.1-2006軟件工程 產(chǎn)品質(zhì)量 第1部分：質(zhì)量模型 n GB/T 1

10、6260.2-2006軟件工程 產(chǎn)品質(zhì)量 第2部分：外部度量 n GB/T 16260.3-2006軟件工程 產(chǎn)品質(zhì)量 第3部分：內(nèi)部度量 n GB/T 16260.4-2006軟件工程 產(chǎn)品質(zhì)量 第4部分：使用質(zhì)量的度量 n GB/T 25000.1-2010軟件工程 軟件產(chǎn)品質(zhì)量要求與評價（SQuaRE）SQuaRE 指南n GB/T 25000.51-2010軟件工程 軟件產(chǎn)品質(zhì)量要求與評價（SQuaRE）商業(yè)現(xiàn)貨（COTS）軟件產(chǎn)品的質(zhì)量要求和測試細則 n YY/T 0664-2008醫(yī)療器械軟件 軟件生存周期過程 n 醫(yī)療器械說明書和標簽管理規(guī)定（國家食品藥品監(jiān)督管理總局令第6號）3

11、 風險管理評審3.1 風險管理計劃完成情況評審小組對系統(tǒng)的完成情況逐一進行了檢查，通過對相關(guān)風險管理文檔的檢查，認為風險管理計劃已基本落實實施。3.2 綜合剩余風險可接受評審評審小組對所有剩余風險進行了綜合分析，考慮所有剩余風險共同影響下的作用，評審結(jié)果認為：產(chǎn)品綜合剩余風險可接受。具體評價方面：n 單個風險的風險控制是否有相互矛盾的要求？結(jié)論：尚未發(fā)現(xiàn)現(xiàn)有風險控制有相互矛盾的情況。n 警告的評審（包括警告是否過多？）結(jié)論：警告的提示清晰，符合規(guī)范。n 操作手冊的評審（包括是否有矛盾的地方，是否難以遵守）結(jié)論：產(chǎn)品操作手冊符合醫(yī)療器械說明書和標簽管理規(guī)定（6號令）及產(chǎn)品專用安全標準要求，相關(guān)產(chǎn)

12、品安全方面的描述清晰易懂，易于使用者閱讀。n 和類似產(chǎn)品進行比較結(jié)論：通過與藍韻公司的醫(yī)學影像檔案傳輸、處理軟件系統(tǒng)（PACS）進行的臨床、性能、功能比較分析，認為產(chǎn)品與目前市場上反映較好的系統(tǒng)從性能指標到功能及臨床使用上是基本一致的。n 專家結(jié)論結(jié)論：風險管理評審小組在分析了以上方面，并與臨床應用專家進行了充分的溝通后，一致評價，本產(chǎn)品的綜合剩余風險可接受。3.3 關(guān)于生產(chǎn)和生產(chǎn)后信息無3.4 評審通過的風險管理文檔n 安全特征問題清單（見附件1）n 初始危害判定和初始風險控制方案分析（見附件2）n 風險評價、風險控制措施評價表（見附件3）4 風險管理評審結(jié)論風險管理評審小組經(jīng)過對系統(tǒng)評審，

13、認為：風險管理計劃已被適當?shù)貙嵤痪C合剩余風險是可接受的。系統(tǒng)全部剩余風險處于風險可接受準則的可接受范圍內(nèi)，且受益超過風險。同意批準系統(tǒng)注冊申報。簽名此頁為簽字頁，無正文5 附錄1：風險分析記錄6 安全特征問題清單該清單依據(jù) YY/T0316-2008 標準的附錄C的問題清單，并對產(chǎn)品上市前風險降低措施的效果和上市后暴露出來的新增風險進行總體全面評價標識。見表1：表1：安全特征問題清單問題內(nèi)容特征判定可能的危害危害標識C.2.1 醫(yī)療器械的預期用途是什么和怎樣使用醫(yī)療器械？ 是，醫(yī)院影像科日常產(chǎn)生的各種醫(yī)學影像（包括MRI、CT、DR、US、XA等設(shè)備產(chǎn)生的圖像）通過DICOM3.0國際標準接

14、口以數(shù)字化的方式海量保存起來，當需要的時候在一定的授權(quán)下能夠很快的調(diào)回使用，同時增加強大的輔助診斷管理功能。詳細見操作手冊操作危害A5C.2.2 醫(yī)療器械是否預期植入？ 否C.2.3 醫(yī)療器械是否預期和患者或其他人員接觸？ 否C.2.4 在醫(yī)療器械中利用何種材料或組分，或與醫(yī)療器械共同使用或與其接觸？ 否C.2.5 是否有能量給予患者或從患者身上獲取？ 否C.2.6 是否有物質(zhì)提供給患者或從患者身上提??？ 否C.2.7 醫(yī)療器械是否處理生物材料用于隨后的再次使用、輸液/血或移植？ 否C.2.8 醫(yī)療器械是否以無菌形式提供或預期由使用者滅菌，或用其它微生物學控制方法滅菌？ 否 C.2.9 醫(yī)療器

15、械是否預期由用戶進行常規(guī)清潔和消毒？ 否C.2.10 醫(yī)療器械是否預期改善患者的環(huán)境？ 否C.2.11 是否進行測量？ 否C.2.12 醫(yī)療器械是否進行分析處理？ 否C.2.13 醫(yī)療器械是否預期和其它醫(yī)療器械、醫(yī)藥或其它醫(yī)療技術(shù)聯(lián)合使用？ 否C.2.14 是否有不希望的能量或物質(zhì)輸出？ 否C.2.15 醫(yī)療器械是否對環(huán)境影響敏感？ 否C.2.16 醫(yī)療器械是否影響環(huán)境？ 否C.2.17 醫(yī)療器械是否有基本的消耗品或附件？ 否C.2.18 是否需要維護和校準？ 是，經(jīng)過培訓的生產(chǎn)廠家認可的專業(yè)維修人員運行危害C1C.2.19 醫(yī)療器械是否有軟件？ 有，由生產(chǎn)廠家在現(xiàn)場安裝，并提供升級服務(wù)運行危

16、害軟件設(shè)計缺陷帶來的C2.1、C2.2、C2.3、C2.4C.2.20 醫(yī)療器械是否有儲存壽命限制？ 否C.2.21 是否有延時或長期使用效應？ 否C.2.22 醫(yī)療器械承受何種機械力？ 否C.2.23 什么決定醫(yī)療器械的壽命？ 是，運行系統(tǒng)的硬件決定系統(tǒng)壽命運行危害繼續(xù)使用超過壽命期的儀器帶來的使用危害C3C.2.24 醫(yī)療器械是否預期一次性使用？ 否C.2.25 醫(yī)療器械是否需要安全地退出運行或處置？ 是，系統(tǒng)需要安全退出操作危害非安全退出可能導致軟件系統(tǒng)丟失A1C.2.26 醫(yī)療器械的安裝或使用是否要求專門的培訓或?qū)ｉT的技能？ 是，經(jīng)生產(chǎn)廠家專門的培訓人員安裝、調(diào)試運行危害C4C.2.2

17、7 如何提供安全使用信息？ 操作手冊等隨機文件以及用戶操作界面的安全提示信息危害B1.1、B1.2C.2.28 是否需要建立或引入新的制造過程？ 否C.2.29 醫(yī)療器械的成功使用，是否關(guān)鍵取決于人為因素，例如用戶界面？ C.2.29.1 用戶界面設(shè)計特性是否可能促成使用錯誤？是，用戶操作界面和信息提示信息危害B2.1C.2.29.2醫(yī)療器械是否在因分散注意力而導致使用錯誤的環(huán)境中使用？否C.2.29.3醫(yī)療器械是否有連接部分或附件？是，接收其他設(shè)備發(fā)送過來的DICOM數(shù)據(jù)操作危害A4C.2.29.4醫(yī)療器械是否有控制接口？否C.2.29.5醫(yī)療器械是否顯示信息？是，通過顯示器、標簽標識信息危

18、害信息不精確清晰B3.1、B3.2、B3.3C.2.29.6醫(yī)療器械是否由菜單控制？是，采用菜單和空間對圖像進行操作和存儲、打印信息危害信息提供不符合要求B4.1、B4.2、B4.3、B4.4C.2.29.7醫(yī)療器械是否由具有特殊需要的人使用？是，應經(jīng)過培訓的有資格的醫(yī)生使用操作危害A2C.2.29.8用戶界面能否用于啟動使用者動作? 否C.2.30 醫(yī)療器械是否使用報警系統(tǒng)？否C.2.31 醫(yī)療器械可能以什么方式被故意地誤用？否C.2.32 醫(yī)療器械是否持有患者護理的關(guān)鍵數(shù)據(jù)？是，患者病歷檔案可能數(shù)據(jù)丟失操作危害A3C.2.33 醫(yī)療器械是否預期為移動式或便攜式？否C.2.34 醫(yī)療器械的使

19、用是否依賴于基本性能？是運行危害C56.1 危害判定風險分析人員依據(jù)表1中的提示，正常和故障狀態(tài)下已知和可預見的危害事件序列參考YY/T0316-2008附錄E.1危害示例進行了分類，同時對可能發(fā)生的損害和初步控制措施進行了分析，記錄如表2： VPACS-DE44-01 V1.0表2：危害判定以及初步控制措施危害類型編號可預見的事件及事件序列危害處境產(chǎn)生的后果或損害控制措施操作危害A1系統(tǒng)未能安全退出用戶數(shù)據(jù)未能保存用戶數(shù)據(jù)丟失設(shè)計時重啟自檢恢復。設(shè)計時用戶數(shù)據(jù)實時保存進入硬件用戶手冊中明示操作方法并進行使用培訓A2未經(jīng)培訓的人員使用操作系統(tǒng)沒有按使用要求操作系統(tǒng)使用無法正常進行系統(tǒng)對用戶權(quán)限

20、進行限制用戶手冊中明示操作方法，并進行使用培訓A3系統(tǒng)中存儲患者病歷檔案，可能導致誤操作用戶誤刪除導致患者病歷檔案信息丟失系統(tǒng)定期自動備份系統(tǒng)限制不同用戶的操作權(quán)限操作手冊中明示操作方法并進行使用培訓A4參數(shù)配置錯誤未能正確接收圖像數(shù)據(jù)用戶查找不到相關(guān)的圖像數(shù)據(jù)系統(tǒng)記錄參數(shù)配置的錯誤日志用戶手冊中提供連接配置信息，并提供培訓A5用戶發(fā)送非預期用途的圖像用戶數(shù)據(jù)信息錯誤用戶數(shù)據(jù)信息錯誤根據(jù)DICOM標準進行圖像接收控制用戶手冊中明示操作方法信息危害B1.1安全使用信息向最終用戶傳遞不明確 用戶沒有掌握系統(tǒng)安全使用方法導致系統(tǒng)數(shù)據(jù)丟失、損壞或不能正常工作系統(tǒng)對用戶權(quán)限進行限制用戶手冊中明示；對用戶

21、進行培訓，直至用戶掌握為止；信息危害B1.2系統(tǒng)文檔與軟件不符系統(tǒng)文檔出現(xiàn)關(guān)鍵錯誤造成誤判、誤操作影像用戶使用嚴格執(zhí)行各個流程的測試B2.1用戶界面條理性差造成誤判、誤操作影響用戶使用設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B2.2用戶界面內(nèi)容錯誤設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B3.1由于用戶視力因素導致漏過關(guān)鍵信息造成誤判、誤操作影響用戶使用突出顯示關(guān)鍵信息；關(guān)鍵操作提供確認步驟；提供圖像放大顯示功能B3.2系統(tǒng)顯示信息描述錯誤系統(tǒng)數(shù)據(jù)處理/數(shù)值計算錯誤嚴格執(zhí)行各個流程的測試B3.3系統(tǒng)提示未采用行業(yè)術(shù)語造成用戶理解錯誤影響用戶使用設(shè)計時注重人機界面的符合性

22、設(shè)計嚴格執(zhí)行各個流程的測試B4.1顯示格式顯示不規(guī)范造成用戶觀察困難影響用戶使用設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試信息危害B4.2輔助說明描述不清楚造成用戶理解困難影響用戶使用設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B4.3操作的復雜性造成使用困難造成反應緩慢影響用戶使用設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B4.4可輸入?yún)^(qū)域和只讀區(qū)域沒有明顯區(qū)分造成用戶操作困難影響用戶使用設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試運行危害C1設(shè)備維護、校準不符合要求影響圖像數(shù)據(jù)的保存和讀取不能正常進行圖像數(shù)據(jù)瀏覽操作用戶手冊中明確要求經(jīng)過廠家培訓的專業(yè)人

23、員進行維護、校準， 用戶數(shù)據(jù)丟失C2.1軟件與硬件環(huán)境的兼容性問題軟件系統(tǒng)崩潰系統(tǒng)無法正常工作指導用戶實現(xiàn)冗余硬件安裝以及使用嚴格執(zhí)行軟件測試計劃C2.2病毒侵入軟件系統(tǒng)故障系統(tǒng)無法正常工作指導用戶安裝殺毒軟件和防火墻加強用戶安全使用培訓用戶手冊明確指示C2.3設(shè)計原因引起系統(tǒng)崩潰軟件系統(tǒng)功能無效系統(tǒng)無法正常工作嚴格執(zhí)行軟件測試計劃運行危害C2.4現(xiàn)成軟件引起系統(tǒng)故障軟件系統(tǒng)功能無效不能正常進行圖像數(shù)據(jù)瀏覽操作選擇具備自恢復功能的現(xiàn)成軟件選擇行業(yè)內(nèi)認可的現(xiàn)成軟件嚴格執(zhí)行軟件測試計劃用戶數(shù)據(jù)丟失C3用戶用于運行系統(tǒng)的部件、元器件老化影響圖像數(shù)據(jù)的保存和讀取不能正常進行圖像數(shù)據(jù)瀏覽操作用戶手冊明確

24、檢修頻率與維護方案指導用戶實現(xiàn)冗余硬件安裝以及使用用戶數(shù)據(jù)丟失C4安裝、調(diào)試人員技能不滿足要求系統(tǒng)不能正常安裝，故障造成系統(tǒng)無法正常工作、故障率高規(guī)定采用經(jīng)過廠家培訓的專業(yè)人員進行安裝調(diào)試C5當系統(tǒng)出現(xiàn)故障時,無法滿足最基本的系統(tǒng)使用要求影響圖像數(shù)據(jù)的保存和讀取不能正常進行圖像數(shù)據(jù)瀏覽操作系統(tǒng)日志記錄錯誤信息系統(tǒng)提示故障代碼用戶手冊中明示操作方法并進行維護培訓用戶數(shù)據(jù)丟失- 18 - VPACS-DE44-01 V1.07 附錄2：風險評價記錄7.1 概述按照風險管理過程，對經(jīng)風險分析確定的危害和危害處境發(fā)生的概率及其所引起的損害概率與損害的嚴重程度進行分析并賦值，此過程稱為風險估計。風險評價

25、過程就是對經(jīng)估計的風險與風險管理計劃中給定的風險可接受準則進行比較，以決定該風險的可接受性。7.2 評價步驟7.2.1 損害發(fā)生嚴重度的分析收集類似產(chǎn)品有關(guān)的臨床資料和最新不良時間報告等信息，然后依據(jù)風險管理計劃3.2的損害嚴重度等級的準則，對估計的每一項損害嚴重度劃分等級。見下表：編號可預見的事件及事件序列嚴重度等級A1系統(tǒng)未能安全退出AA2未經(jīng)培訓的人員使用操作系統(tǒng)AA3系統(tǒng)中存儲患者病歷檔案，可能導致誤操作AA4參數(shù)配置錯誤BA5用戶發(fā)送非預期用途的圖像BB1.1安全使用信息向最終用戶傳遞不明確 AB1.2系統(tǒng)文檔與軟件不符/系統(tǒng)文檔出現(xiàn)關(guān)鍵錯誤AB2.1用戶界面條理性差DB2.2用戶界

26、面內(nèi)容錯誤DB3.1由于用戶視力因素導致漏過關(guān)鍵信息AB3.2系統(tǒng)顯示信息描述錯誤系統(tǒng)數(shù)據(jù)處理/數(shù)值計算錯誤AB3.3系統(tǒng)提示未采用行業(yè)術(shù)語EB4.1顯示格式顯示不規(guī)范EB4.2輔助說明描述不清楚EB4.3操作的復雜性造成使用困難DB4.4可輸入?yún)^(qū)域和只讀區(qū)域沒有明顯區(qū)分EC1設(shè)備維護、校準不符合要求AC2.1軟件與硬件環(huán)境的兼容性問題AC2.2病毒侵入AC2.3設(shè)計原因引起系統(tǒng)崩潰AC2.4現(xiàn)成軟件引起系統(tǒng)故障BC3用戶用于運行系統(tǒng)的部件、元器件老化AC4安裝、調(diào)試人員技能不滿足要求AC5當系統(tǒng)出現(xiàn)故障時,無法滿足最基本的系統(tǒng)使用要求A7.2.2 風險可接受性判斷按照風險管理計劃確定的風險可

27、接受性準則，對估計的每一個風險進行可接受性判斷，記錄如下：風險評價記錄表編號可預見的事件及事件序列嚴重度等級風險評價A1系統(tǒng)未能安全退出AUA2未經(jīng)培訓的人員使用操作系統(tǒng)AUA3系統(tǒng)中存儲患者病歷檔案，可能導致誤操作AUA4參數(shù)配置錯誤BUA5用戶發(fā)送非預期用途的圖像BUB1.1安全使用信息向最終用戶傳遞不明確 AUB1.2系統(tǒng)文檔與軟件不符/系統(tǒng)文檔出現(xiàn)關(guān)鍵錯誤AUB2.1用戶界面條理性差DRB2.2用戶界面內(nèi)容錯誤DRB3.1由于用戶視力因素導致漏過關(guān)鍵信息AUB3.2系統(tǒng)顯示信息描述錯誤系統(tǒng)數(shù)據(jù)處理/數(shù)值計算錯誤AUB3.3系統(tǒng)提示未采用行業(yè)術(shù)語ERB4.1顯示格式顯示不規(guī)范ERB4.2

28、輔助說明描述不清楚ERB4.3操作的復雜性造成使用困難DRB4.4可輸入?yún)^(qū)域和只讀區(qū)域沒有明顯區(qū)分ERC1設(shè)備維護、校準不符合要求AUC2.1軟件與硬件環(huán)境的兼容性問題AUC2.2病毒侵入AUC2.3設(shè)計原因引起系統(tǒng)崩潰AUC2.4現(xiàn)成軟件引起系統(tǒng)故障BUC3用戶用于運行系統(tǒng)的部件、元器件老化AUC4安裝、調(diào)試人員技能不滿足要求AUC5當系統(tǒng)出現(xiàn)故障時,無法滿足最基本的系統(tǒng)使用要求AU8 附錄3：風險控制措施記錄表8.1 概述風險控制是對經(jīng)過風險評價判斷為不可接受的采取措施以降至可為接受風險的過程。8.2 步驟8.2.1 風險控制方案分析按照風險管理計劃的的要求從以下三方面識別風險控制措施：n

29、 用設(shè)計方法取得固有安全性；n 在醫(yī)療器械本身或在制造過程中的防護措施；n 安全信息。8.2.2 初步風險控制措施和驗證記錄經(jīng)分析，對上一步判斷的不可接受風險和合理可降低風險采取的初步風險控制措施和驗證記錄如下：編號可預見的事件及事件序列控制措施A1系統(tǒng)未能安全退出設(shè)計時重啟自檢恢復。設(shè)計時用戶數(shù)據(jù)實時保存進入硬件用戶手冊中明示操作方法并進行使用培訓A2未經(jīng)培訓的人員使用操作系統(tǒng)系統(tǒng)對用戶權(quán)限進行限制用戶手冊中明示操作方法，并進行使用培訓A3系統(tǒng)中存儲患者病歷檔案，可能導致誤操作系統(tǒng)定期自動備份系統(tǒng)限制不同用戶的操作權(quán)限操作手冊中明示操作方法并進行使用培訓A4參數(shù)配置錯誤系統(tǒng)記錄參數(shù)配置的錯誤

30、日志用戶手冊中提供連接配置信息，并提供培訓A5用戶發(fā)送非預期用途的圖像根據(jù)DICOM標準進行圖像接收控制用戶手冊中明示操作方法B1.1安全使用信息向最終用戶傳遞不明確 系統(tǒng)對用戶權(quán)限進行限制用戶手冊中明示；對用戶進行培訓，直至用戶掌握為止；B1.2系統(tǒng)文檔與軟件不符/系統(tǒng)文檔出現(xiàn)關(guān)鍵錯誤嚴格執(zhí)行各個流程的測試B2.1用戶界面條理性差設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B2.2用戶界面內(nèi)容錯誤設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B3.1由于用戶視力因素導致漏過關(guān)鍵信息突出顯示關(guān)鍵信息；關(guān)鍵操作提供確認步驟；提供圖像放大顯示功能B3.2系統(tǒng)顯示信息描述錯誤系統(tǒng)數(shù)據(jù)處

31、理/數(shù)值計算錯誤嚴格執(zhí)行各個流程的測試B3.3系統(tǒng)提示未采用行業(yè)術(shù)語設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B4.1顯示格式顯示不規(guī)范設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B4.2輔助說明描述不清楚設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B4.3操作的復雜性造成使用困難設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試B4.4可輸入?yún)^(qū)域和只讀區(qū)域沒有明顯區(qū)分設(shè)計時注重人機界面的符合性設(shè)計嚴格執(zhí)行各個流程的測試C1設(shè)備維護、校準不符合要求用戶手冊中明確要求經(jīng)過廠家培訓的專業(yè)人員進行維護、校準， C2.1軟件與硬件環(huán)境的兼容性問題指導用戶實現(xiàn)冗余硬件安裝以及

32、使用嚴格執(zhí)行軟件測試計劃C2.2病毒侵入指導用戶安裝殺毒軟件和防火墻加強用戶安全使用培訓用戶手冊明確指示C2.3設(shè)計原因引起系統(tǒng)崩潰嚴格執(zhí)行軟件測試計劃C2.4現(xiàn)成軟件引起系統(tǒng)故障選擇具備自恢復功能的現(xiàn)成軟件選擇行業(yè)內(nèi)認可的現(xiàn)成軟件嚴格執(zhí)行軟件測試計劃C3用戶用于運行系統(tǒng)的部件、元器件老化用戶手冊明確檢修頻率與維護方案指導用戶實現(xiàn)冗余硬件安裝以及使用C4安裝、調(diào)試人員技能不滿足要求規(guī)定采用經(jīng)過廠家培訓的專業(yè)人員進行安裝調(diào)試C5當系統(tǒng)出現(xiàn)故障時,無法滿足最基本的系統(tǒng)使用要求系統(tǒng)日志記錄錯誤信息系統(tǒng)提示故障代碼用戶手冊中明示操作方法并進行維護培訓- 24 - VPACS-DE44-01 V1.08

33、.2.3 制造與驗證結(jié)果記錄設(shè)計開發(fā)過程中，運用FMEA、FMECA，對于與產(chǎn)品安全性相關(guān)的失效模式，按風險管理流程，進行風險分析、風險評價和風險控制，以下是FMEA、FMECA技術(shù)用與產(chǎn)品制造過程的記錄，以及驗證結(jié)果記錄。危害編號危害類型風險估計采取控制措施采取新措施后風險估計嚴重度風險水平（初始）措施計劃實施驗證嚴重度風險水平A1操作危害AU設(shè)計時重啟自檢恢復。設(shè)計時用戶數(shù)據(jù)實時保存進入硬件用戶手冊中明示操作方法并進行使用培訓用戶手冊詳細設(shè)計FAA2操作危害AU系統(tǒng)對用戶權(quán)限進行限制用戶手冊中明示操作方法，并進行使用培訓用戶手冊詳細設(shè)計FAA3操作危害AU系統(tǒng)定期自動備份系統(tǒng)限制不同用戶的操作權(quán)限操作手冊中明示操作方法并進行使用培訓用戶手冊詳細設(shè)計FAA4操作危害BU系統(tǒng)記錄參數(shù)配置的錯誤日志用戶手冊中提供連接配置信息，并提供培訓用戶手冊詳細設(shè)計FAA5操作危害BU根據(jù)DICOM標準進行圖像接收控制用戶手冊中明示操作方法用戶手冊詳細設(shè)計FAB1.1信息危害AU系統(tǒng)對用戶權(quán)限進行限制用戶手冊中明示；對用戶進行培訓，直至用戶掌握為止；用戶手冊詳細設(shè)計FAB