医疗器械风险管理太难搞？risk-management-specialist帮你把ISO 14971全流程跑通🔥

这个Skill在解决什么问题

做过医疗器械的人都知道，ISO 14971合规有多折磨人。风险分析、风险评估、风险控制、上市后监测，每一步都要有文件、有记录、有追溯，稍微漏一个环节就可能在FDA或EU MDR审查时被打回来。risk-management-specialist这个Skill就是专门为这个场景设计的，覆盖医疗器械全生命周期的风险管理流程，从立项到上市后监测，一条线跑通。

核心功能

这个Skill的能力范围相当完整，不是那种只能帮你写写模板的玩具级工具。

• 风险管理计划制定：帮你定义风险可接受准则、组建风险管理团队、建立风险管理文件框架，把ISO 14971的要求落到具体文档里。
• 危害识别与风险分析：系统性地识别硬件、软件、组合产品、联网设备各自的潜在危害，包括IEC 62304软件失效模式分析和网络安全威胁建模。
• 风险估计与评价：基于概率评估、严重性分级、风险矩阵，给出可辩护的风险等级判定，并生成完整的评价决策记录。
• 风险控制措施实施与验证：按照ISO 14971的控制层级（固有安全设计→防护措施→安全信息）逐级落地，并输出验证协议和测试结果分析。
• 上市后风险监测：整合上市后监测数据，持续更新风险管理文件，支持风险收益分析复审。

除了主流程，它还深度集成了几个专项能力：软件风险管理（IEC 62304集成）、网络安全风险框架（对齐FDA指南）、人因工程与使用错误风险分析。这三块在实际项目里经常是最容易踩坑的地方。

适用平台

risk-management-specialist作为一个标准Skill，可以无缝接入主流AI编程和工作助手平台。无论你在用Cursor、GitHub Copilot、Claude Code、OpenAI Codex，还是国内的文心快码、腾讯云CodeBuddy、华为云CodeArts，都可以直接加载这个Skill，让AI在风险管理文档生成、合规审查、代码安全分析等任务中获得专业级的上下文支撑。对于医疗器械软件团队来说，这相当于给你的AI助手装了一个ISO 14971专家大脑。

实操代码示例

Skill内置了几个自动化脚本，直接拿来用就行：

# 风险矩阵自动计算示例（risk-matrix-calculator.py 核心逻辑）
risk_level = probability_score * severity_score
if risk_level > threshold:
    return 'UNACCEPTABLE - Risk control required'
elif risk_level > alarp_threshold:
    return 'ALARP - Risk benefit analysis needed'
else:
    return 'ACCEPTABLE - Document and monitor'

另外risk-assessment-automation.py可以自动化跑完风险分析工作流并输出文档，post-production-risk-monitor.py负责上市后风险信号的持续监测，这两个脚本在实际项目里能省掉大量重复劳动。

优势分析

市面上不缺风险管理模板，但大多数要么太通用、要么只覆盖某一个阶段。risk-management-specialist的差异化在于三点：

• 全生命周期覆盖：从风险管理计划到上市后监测，ISO 14971的五个主要阶段全部有对应的输出物支撑，不是只管前半段。
• 跨标准集成：同时对齐ISO 14971、IEC 62304、FDA网络安全指南、EU MDR技术文档要求，不用在多个标准之间手动对齐。
• QMS深度集成：风险管理与设计控制、CAPA、管理评审、文件控制的接口都有明确定义，能直接嵌入现有质量管理体系，而不是另起炉灶。

应用场景

几个典型的使用场景：

• 新产品立项阶段：用Skill快速生成风险管理计划初稿，定义风险可接受准则，比从零写节省60%以上的时间。
• 设计变更评估：产品做了设计变更，需要评估对现有风险分析的影响，Skill可以系统性地跑一遍变更影响分析，确保没有遗漏。
• FDA 510(k)/PMA准备：整理风险分析摘要和风险管理报告，对齐FDA提交格式要求。
• EU MDR技术文档：生成符合EU MDR附录I基本安全性能要求的风险管理文件，支持CE认证审查。
• 软件安全分类：对医疗器械软件做IEC 62304 Class A/B/C分类，并输出对应的软件风险管理文件。

最佳实践

用这个Skill做风险管理时，有几个工程化落地的关键点值得注意。

首先是风险ID命名规范。建议采用”产品代码-危害类别-序号”的格式（如DEV001-SW-003），这样在风险管理文件里做追溯时，能快速定位到具体的危害和控制措施，也方便后续的CAPA关联。

其次是风险管理文件的版本控制。风险管理文件是活文档，每次设计变更、上市后信号触发都需要更新。建议把风险管理文件纳入Git或文档管理系统，每次更新都记录变更原因和审批记录，避免审查时说不清楚某个风险评估是什么时候、为什么改的。

第三是残余风险的集体评估。单个风险控制后的残余风险可能都在可接受范围内，但所有残余风险加在一起的整体风险收益分析经常被忽略。ISO 14971明确要求做整体残余风险评价，这一步不能省。

第四是上市后数据的闭环机制。很多团队在产品上市后就把风险管理文件束之高阁，等到有投诉或不良事件才想起来更新。建议设置定期（如每季度）的风险管理文件复审节点，把上市后监测数据、客户投诉、文献综述的新发现系统性地纳入风险分析更新。

如果你的团队在同时维护多个医疗器械产品线的风险管理文件，管理这些Skill资源本身也会变成一个挑战。Skill优仓提供了一个集中管理和分发Skill的平台，团队成员可以直接从Skill优仓获取最新版本的risk-management-specialist，避免各自维护不同版本导致的合规风险。