GB/TXXXXXXXXX 19 附录 A(资料性)在质量管理体系中实施风险管理 A.1 总则 如果实验室已有文件化的质量管理体系,ISO 22367的4.1要求将风险管理纳入相应的条款,如GB/T 22576.1-2018/ISO 15189:2012 中的 4.2风险是质量管理体系固有的所有检验系统、过程和功能都存在风险基于风险的理念可确保在整个质量管理体系的设计和使用过程中识别、考量和控制这些风险基于风险理念进行的风险考量是必要通过早期识别和采取措施能够主动而不是被动预防或减少不良事件影响管理体系基于风险时,预防措施是内在要求基于风险的理念是实验室在日常工作中自发的行为并非质量管理体系的所有过程对用户或患者产生的潜在危害都具有相同的风险水平有些风险需要更仔细和正式的策划和控制通过考虑整个体系和所有过程的风险,提高了用户和患者的安全性,输出更一致,医务人员可对预期的产品或服务更有信心(见图A.1)GB/TXXXXXXXXX 20 图A.1风险评估流程图 本附录为已实施ISO15189的医学实验室提供指导,该标准要求将风险管理纳入质量管理体系ISO15189中条款引用时,如此表述(例如,ISO15189:2012,4.6);如果条款单独列出(如4.4.5),则指本文件中的条款。
A.2 文件和记录控制 见22576.1-2018/ISO15189:2012,4.3和4.13.22576.1-2018/ISO15189:2012,4.3的文件和记录控制要求适用于所有实验室政策、程序、操作说明书和风险管理过程建立的其他文件,并作为风险管理文件的组成(见4.4.5)A.3 供应商管理 见22576.1-2018/ISO15189:2012,4.6A.3.1 总则 对供应商控制的程度因检验或服务以及对患者或实验室员工产生的相关风险而不同确保购买的产品或服务,包括受委托实验室服务满足性能要求的购买信息的详细程度取决于购买的产品或服务特性以及识别出的风险(见第5章)评估由供应商引入的风险时,宜明确实验室和供应商的责任例如,合同内容可包括:控制性能要求和变更的所有权;确保传达新的可用信息;明确实验室及供应商实施风险管理的范围供应商管理和接受活动产生的信息和数据宜纳入整个检验周期的风险监控风险管理活动的输出可能导致需要采取风险控制措施,如采购控制和接受活动A.3.2 采购 外部服务、设备、试剂和耗材的选择和购买程序宜能识别和评价供应商可能引入的风险,并宜包括基于风险作出的选择和批准供应商的决策。
适当时,宜将实验室风险管理过程规定的风险控制措施(第7章)纳入购买要求中,作为购买信息的一部分产品(包括IVD医疗器械)和服务(如委托和参考实验室以及室间质量评估计划)供应商的选择、评价和再评价准则,宜基于已识别的与采购产品和服务相关的风险制定A.3.3 验收 在制定购买产品和服务的接受准则时,宜考虑风险管理活动的结果制定验证和接受的准则时,宜特别考虑已识别的危险及其相关风险控制措施A.3.4 服务 实验室设备和IVD医疗器械可能需要内部或外部供应商提供的安装、维护和维修服务当服务是特定要求时,宜考虑来自风险管理活动的信息定期维护和保养是确保设备正常运行的一种有效的风险控制方法如果检验过程需要某种风险控制措施,也可能需要对服务过程应用相同(或类似)的风险控制措施当对服务人员有危险时,服务手册或文件中宜包含明确的说明并应提供适当的培训GB/TXXXXXXXXX 21 A.4 设计和开发活动 A.4.1 总则 本条款仅适用于开发自己使用的检验程序,或修改先前已确认的检验程序或IVD医疗器械的医学实验室风险管理活动(例如,风险评估和风险控制)宜作为实验室检验设计和开发过程的一个组成部分注:为实验室自用而开发的检验程序通常被称为“实验室开发的测试”、“LDT”或“内部测试”。
以下指南基于YY/T 0287-2017/ISO 13485:2016(8)7.3中描述的迭代设计和开发过程,其中设计和开发在以下阶段进行大多数IVD制造商都遵循这种方法,实验室在开发自用检验时宜考虑这种方法设计和开发策划;设计和开发输入;设计和开发输出;设计和开发评审;设计和开发验证;设计和开发确认;设计和开发转换;设计和开发变更的控制在设计中纳入安全特性可行时,风险管理活动宜在设计和开发过程中尽早开始对于每个已识别的危险,估计其正常和故障条件下的风险(第5章)实验室决定是否需要降低风险(第6章)这种风险评价的结果,例如需要风险控制措施,则成为设计和开发的一项输入风险控制措施(第7章)是设计和开发的一项输出,其有效性在设计和开发验证期间得到验证这个设计和开发输入/输出/验证周期在整个设计控制过程中反复进行,直到剩余风险降低到可接受的水平,并能保持在可接受的水平风险控制措施的总体有效性在设计和开发确认中得到认定A.4.2 设计和开发策划 设计和开发策划确保在设计和开发中协调风险管理活动,并在整个生命周期内持续进行设计和开发策划宜识别:适当的风险管理活动与设计和开发活动之间的相互关系;所需的设计和开发资源,包括解决潜在安全问题的专业知识。
A.4.3 设计和开发输入 将设计和开发输入形成文件,作为后续设计和开发活动的基础设计和开发输入包括对预期用途和功能、性能、安全和法规要求的充分考虑风险控制措施是风险管理活动的输出,设计和开发过程的输入危险识别从考虑预期用途、与安全和使用环境相关的特性开始,形成已知和可预见危险的初步清单每项已识别的危险可能导致几种不同的危害,而几种不同的危险可能导致相同的危害确定每种危害发生的概率及其严重性,以估计其风险(见第5章)每项风险均根据先前建立的可接受性准则进行评价,以确定是否需要风险控制在开发过程中,来自当前风险分析对已识别的设计特征、要求和/或风险控制措施及其相关危险的任何变更计划,在批准前,宜根据持续安全性和检验程序的特定性能进行仔细评估如果检验程序预期与任何设备或IVD医疗器械结合使用,则宜对每个组件以及系统或组合的危险和风险控制措施进行单独评价当建立设计和开发输入时,宜考虑风险控制措施的需要当确定风险控制措施有必要并初步明确时,这些措施即成为一项输出参加迭代循环GB/TXXXXXXXXX 22 A.4.4 设计和开发输出 在设计和开发阶段对输入阶段确定的风险控制措施进行评价,如果可行,将按照7.1中给出的优先顺序纳入设计。
如果内在安全或保护措施设计不是合理可行,则可能需要标示或培训等效果欠佳的风险控制措施设计和开发输出包括风险控制措施的设计规范设计和开发输出通常分为三类:检验程序的性能要求,特别是对其安全和正确使用必要的特性;采购、生产、处理、分发和服务的要求;接受准则所有类别都可包含对安全和正确使用必要的信息风险控制措施可归入任何类别A.4.5 设计和开发评审 设计和开发评审宜在适当的时间点进行,以确保检验程序满足确定的医疗需求评审宜确定任何单项剩余风险以及任何总剩余风险是可接受的,并已充分披露这些评审宜确定与接受剩余风险相关的风险/受益决策的有效性评审人员宜有评估风险可接受性的设计决策的必要能力设计评审程序宜规定在设计和开发的适当阶段宜执行的风险评审任务设计和开发评审宜评估,例如:是否已识别出所有的危险,是否已正确评估风险,是否已识别出潜在的风险控制措施;针对单项风险的风险控制措施的有效性;设计确认活动是否有效评估了与预期用户检验程序性能相关的总剩余风险;设计转换过程中发现的任何新的风险相关问题是否得到控制和验证A.4.6 设计和开发验证 验证得出满足设计要求的客观证据,包括应对已识别风险的要求、必要时实施了风险控制措施且措施有效,从而最终结果满足规定的可接受性准则。
程序宜规定适当的验证方法,并宜确保识别的危险、风险控制措施、设计和开发要求、测试计划和测试结果之间的可追溯性附录F给出了表格形式的风险管理摘要示例及其可追溯性A.4.7 设计和开发确认 确认认定检验或服务满足客户需求、预期用途,以及总剩余风险满足批准的可接受性准则为确保风险控制措施充分,确认计划宜包括所有预期用途,以确信总剩余风险决定与预期一致任何模拟使用测试的设计均宜提供相似的置信水平确认中出现的任何未预见的危险均宜进行评估(第5章和第6章),必要时进行控制(第7章)A.4.8 设计和开发转换 将检验程序从研究和开发转换到实验室操作的过程中,实验室宜确保实施了所需的风险控制措施,并且在实际使用环境中有效实验室还宜确保在实验室运行检验程序之前,已解决任何新发现的风险相关事项A.5 不符合的识别和控制 参见GB/T 22576.12018/ISO 15189:2012,4.9与实验室检验相关的每一项不符合,包括检验前和检验后方面,均宜以受控的方式进行调查和处理(即使用文件化的不符合项处理过程)控制水平宜与不符合相关的风险相适应GB/TXXXXXXXXX 23 已识别的不符合项,包括使用错误和偶发事件,宜分类进行分析、评审和报告。
风险评估(第5章和第6章)宜使实验室能够根据不符合的重要性对其进行分类和优先排序,主要是在患者和用户安全方面分类还可包括但不限于:事件的阶段;事件地点;事件特征;事件的可预测性和预防A.6 投诉评价和调查 见GB/T 22576.12018/ISO 15189:2012,4.8从临床医生、患者、实验室员工或其他方收到的投诉或其他反馈的管理程序宜要求对每项投诉进行评价,以确定其是否涉及不良事件、已知危险、先前未知的风险或风险水平的变化基于风险评估,投诉调查的优先级和范围宜与事件所代表的风险水平相适应(第5章和第6章)如此可能需要评审现有的风险分析,以确定是否需要更新投诉评价和调查活动产生的信息和数据宜纳入风险监控,并在整个检验过程中持续进行A.7 纠正措施 参见GB/T 22576.12018/ISO 15189:2012,4.10根本原因调查宜包括确定5.8中估计的风险水平是否仍然可以接受,以及最初的风险评估是否仍然有效失效调查的全面性和深度宜与被调查的不符合、事件或偶发事件的程度及其给患者或用户带来的风险相适应程序宜包括或参考用于确定与失效相关的风险水平的方法(第5章),以及基于该风险水平确定调查深度的决策过程。
宜评审纠正措施活动的结果,以识别任何以前未识别的风险,并监控风险控制措施的有效性还宜利用这些信息来确定风险管理活动的有效性,并确定为纠正识别出的问题和防止再发生而需要采取的措施A.8 预防措施 参见GB/T 22576.12018/ISO 15189:2012,4.11宜持续监控、分析实验室检验过程的相关信息,并用于评审当前风险评估的修订,以及在适当时,进行新的风险评估需考虑的其他信息来源包括:室间质量评价计划中关于实验室检验或IVD医疗器械的信息;相似实验室检验或IVD医疗器械的信息;召回、警戒报告等的公开信息;科学文献、共识指南和专家的医学观点;新的或修订的标准和法规数据分析宜证明在风险管理过程中确定的决策和风险控制措施适当如果发现可能导致不符合并增加风险水平的情况或条件,实验室管理层宜采取措施防止不符合的发生预防措施计划宜包括:计划的范围;对特定失效模式影响、不符合、错误或偶发事件的描述;与潜在错误或不符合相关的潜在危险的识别;GB/TXXXXXXXXX 24 分配责任以应对所需的变化;评审要求;可接受决议的准则A.9 持续改进 参见GB/T 22576.12018/ISO 15189:2012,4.12。
实验室管理层宜评审获得的关于实验室不符合、错误和偶发事件的信息宜评价该信息是否可能与患者和实验室安全相关,尤其是以下方面:是否存在以前未识别的危险;实验室不符合、错误和偶发事件的最初评估是否因此而无效如果上述任何一项适用,评价结果宜被用于评价纠正措施过程的充分性,适当时,宜修改纠正措施计划此外,宜立即对任何高风险实验室不符合、错误和偶发事件的。