风险管理报告模板-htw-201111

.风险管理报告产品名称：型 号： Document No.文件编号Version版本号Drafted by编制Reviewed by审核Approved by批准Date日期目 录第一章 综 述31.风险管理范围32.参考标准列表33.产品简介44.产品预期使用寿命45.风险管理实施情况简述4第二章 风险管理计划51 风险管理活动的范围52风险管理控制过程53风险管理小组成员及其职责及资质54 风险管理评估方法及风险可接受性准则65 风险管理活动的安排7第三章 风险分析8安全性特征分析表8第四章 风险评估和控制15风险控制总表15第五章 剩余风险评价和风险/收益分析291. 剩余风险292. 风险/收益分析29第六章 关于生产和生产后的信息30第七章 风险管理评审311.风险管理评审输入312.风险管理计划完成情况313.综合剩余风险可接受评审314.评审通过的风险管理文档325.风险管理评审结论32附录A 潜在危害的分析方法33第一章 综 述1. 目的和范围此风险管理的目的：适用的风险管理对象（产品）： 产品名称+ 型号本文档是产品 XXX的风险管理过程输出的风险管理文档的汇总产品的详细描述 见第二章风险管理计划。2. 风险管理实施情况简述3.1 风险管理过程 参考管理程序文件： 文件编号# 风险管理控制程序3.2 风险管理的实施*产品于20*年开始策划立项。立项的同时。我们针对该产品进行了风险管理活动的策划，制定了风险管理计划。该风险管理计划确定了的风险可接受准则，对产品设计开发阶段（包括试生产阶段）的风险管理活动、风险管理活动有关人员的职责和权限以及生产和生产后信息的获得方法的评审要求进行了安排。公司组成了风险管理小组，确定了该项目的风险管理负责人。确保该项目的风险管理活动按照风险管理计划有效的执行。在产品的设计和项目开发阶段，风险管理小组共进行了一次风险管理评审，形成了相关的风险管理文档。第二章 风险管理计划1 风险管理活动的范围及适用产品产品名称：型号：主要是对产品XXXX 在其整个生命周期内（包括设计开发、产品实现、最终停用和处置阶段）进行风险管理活动的策划。2 参考标准列表EN 60601-1:2006/AC:2010 Medical electrical equipment - Part 1: General requirements for basic safety and essential performanceEN 60601-1-2:2007/AC:2010 Medical electrical equipment - Part 1-2: General requirements for basic safety and essential performance - Collateral standard: Electromagnetic compatibility - Requirements and testsEN ISO 14971:2009 Medical devices - Application of risk management to medical devices (ISO 14971:2007, Corrected version 2007-10-01)EN 62304:2006/AC:2008 Medical device software - Software life-cycle processesEN 60601-1-6:2010 Medical electrical equipment - Part 1-6: General requirements for basic safety and essential performance - Collateral standard: UsabilityEN 62366:2008 Medical devices - Application of usability engineering to medical devicesEN 980:2008 Symbols for use in the labelling of medical devicesEN 1041:2008 Information supplied by the manufacturer of medical devicesEN ISO 10993-1:2009 Biological evaluation of medical devices - Part 1: Evaluation and testing within a risk management process (ISO 10993-1:2009)EN ISO 10993-5:2009 Biological evaluation of medical devices - Part 5: Tests for in vitro cytotoxicity (ISO 10993-5:2009)ISO 10993-10:2010 Biological evaluation of medical devices Part 10: Tests for irritation and skin sensitization其他专标注: 请根据实际情况进行相应的增减; 标准引用顺序欧盟协调标准欧盟标准ISO/IEC 国际标准某一成员国标准第三国标准制造商规范符合医疗器械核心指令的医疗器械，其欧洲协调标准均可以从委员会的网站下载：http:/ec.europa.eu/enterprise/newapproach/standardization/harmstds/reflist.html3 风险管理对象 产品描述产品名称. 预期用途. 原理. 主要功能. 技术参数. 使用环境等、产品预期使用寿命（产品预期使用多少年）4 风险管理控制过程风险管理控制过程参考:-程序文件：文件编号# 风险管理控制程序 及-标准: ISO 149715 风险管理小组成员及其职责及资质风险管理职责和权限分配 总经理为风险管理提供适当的资源，对风险管理工作负领导责任。保证给风险管理、实施和评定工作分配的人员是经过培训合格的，保证风险管理工作执行者具有相适应的知识和经验。 技术部负责产品设计和开发过程中的风险管理活动，形成风险分析、风险评价、风险控制、综合剩余风险分析评价的有关记录，并编制风险管理报告。 质管部、外贸部、销售部、生产部等相关部门负责从产品实现的角度分析所有已知的和可预见的危害以及生产和生产后信息的收集并及时反馈给技术部进行风险评价，必要时进行新一轮风险管理活动。 技术部和评审组成员定期对风险管理活动的结果进行评审，并对其正确性和有效性负责。 办公室负责对所有风险管理文档的整理工作。风险管理评审人员和职责评审人员部门职务职责研发部项目经理评审组组长负责风险管理过程的全面指导研发部软件工程师从软件方面进行风险评估研发部硬件工程师从硬件方面进行风险评估研发部结构工程师从结构方面进行风险评估质量部质量工程师从产品生产、检验、质量控制方面进行风险评估临床专家临床工程师从临床应用角度进行风险评估法规组法规工程师从安规及EMC检测等方面进行风险评估法规人员法规工程师从标准、国家政策、法规方面进行风险评估市场部市场专员收集客户需求、及时反馈市场信息采购部采购专员配合其他部分选择优质供方注: 请根据实际情况进行相应的增减或修改6 风险管理评估方法及风险可接受性准则1）损害的严重度水平等级名称代 号严重度的定性描述轻 度S1轻度伤害或无伤中 度S2中等伤害致 命S3一人死亡或重伤灾难性S4多人死亡或重伤2） 损害发生的概率等级等级名称代 号频次（每年）极 少P113） 风险评价准则概 率严 重 程 度4321灾难性致 命中 度轻 度经 常6UUUR有 时5UURR偶 然4URRR很 少3RRRA非常少2RRAA极 少1AAAA说明：A：可接受的风险； R：合理可行降低(ALARP)的风险；U：不经过风险收益分析即判定为不可接受的风险。7 风险管理活动的安排 风险分析评价、评审、控制措施的实施及验证 验证计划（硬件验证、结构验证、软件风险管理计划及验证计划） 设计输出文件评审、风险管理文件的评审 生产和生产后风险跟踪和控制计划 风险管理计划实施效果的评审.第三章 安全性特征表及危害识别安全性特征分析表注*：在安全特征判定时，请分别一一从以下的危害类型来考察其潜在的危害源：1.能量危害 2.生物学危害 3.与医疗器械使用有关的危害 4.软件危害 5.环境危害 6.信息危害7.不适当或过于复杂的用户接口（人机工程）的危害8.功能性失效、维修或老化引起的危害 序号可能影响安全性的特征是/否安全特征判定*1C.2.1 医疗器械的预期用途是什么和怎样使用医疗器械？ADD预期用途及临床应用环境：ADD如何使用：ADD。与此相关的危害类型及潜在危害源：如：2C.2.2 医疗器械是否预期植入？与此相关的危害类型及潜在危害源：如是植入设备，则需评估 如 生物性不相容、灭菌残余量超标 方面 导致的危害3C.2.3 医疗器械是否预期和患者或其他人员接触？没有 或 XXX 与患者接触（短期接触 / 长期接触）与此相关的危害类型及潜在危害源：如 生物学危害- 生物相容性 或清洁消毒方式不适合，导致损伤患者的皮肤或组织4C.2.4 在医疗器械中利用何种材料或组分，或与医疗器械共同使用或与其接触？ 材料：如 金属和塑料，与医疗器械共同使用或与其接触的部件：如超声探头、超声耦合剂、腔内探头保护套 等附件 或配套使用的其他医疗器械、除颤防护不够（若与除颤仪一起使用时）与此相关的危害类型及潜在危害源：如 环境危害-器械的材料有环境污染、或与其他医疗设备不兼容 等方面导致的危害5C.2.5 是否有能量给予患者或从患者身上获取？如：热能、声能传递到患者、电磁辐射、或 X射线 等 或从患者身上获取的生物电信号（如心电信号）过弱与此相关的危害类型及潜在危害源：如：能量危害 - 声能过高导致损害人体组织；热能过高导致灼伤患者（B超适用） 等 或 从患者身上获取的生物电信号（如：心电监护设备 获取的心电信号）过弱6C.2.6 是否有物质提供给患者或从患者身上提取？如：药水（注射泵适用）与此相关的危害类型及潜在危害源：如：与医疗器械使用有关的危害-注射速度过快，或过慢7C.2.7医疗器械是否处理生物材料用于随后的再次使用、输液/血或移植？ 与此相关的危害类型及潜在危害源：如：8C.2.8 医疗器械是否以无菌形式提供或预期由使用者灭菌，或用其它微生物学控制方法灭菌？ 是无菌设备 或 无菌部件：XXX与此相关的危害类型及潜在危害源：如：生物学危害 - 灭菌残留量超标损害人体 9C.2.9 医疗器械是否预期由用户进行常规清洁和消毒？与此相关的危害类型及潜在危害源：如： 清洁和消毒方法不适合，没有达到清洁和消毒的要求 或 这些方法可能会损坏医疗器械；10C.2.10 医疗器械是否预期改善患者的环境？与此相关的危害类型及潜在危害源：如： 制氧机的产生氧气浓度或流量过低所导致患者供氧不足11C.2.11是否进行测量？ 如：血压测量、心电测量超声图像中的距离测量与此相关的危害类型及潜在危害源：如：与医疗器械使用有关的危害 - 硬件问题 或 周围的某些环境因素 或 操作者测量方法不合适 导致测量不准确12C.2.12 医疗器械是否进行分析处理？如：心电自动分析与此相关的危害类型及潜在危害源：如：软件危害 - 分析软件算法不合适导致分析结果错误13C.2.13 医疗器械是否预期和其它医疗器械、医药或其它医疗技术联合使用？如：血液透析机与此相关的危害类型及潜在危害源：如： 14C.2.14 是否有不希望的能量或物质输出？与此相关的危害类型及潜在危害源：如：能量危害 - 漏电流、剩余电压15C.2.15 医疗器械是否对环境影响敏感？设备受到外界的电磁干扰与此相关的危害类型及潜在危害源：如：环境危害 - 电磁干扰导致器械不能正常工作 或 影响到测量准确度 等等16C.2.16 医疗器械是否影响环境？ 设备对外界的电磁辐射干扰与此相关的危害类型及潜在危害源：如：环境危害 -对环境产生电磁辐射干扰、噪声、废旧电池、寿命末期器械的丢弃污染环境17C.2.17 医疗器械是否有基本的消耗品或附件？ *仪器耦合剂腔体探头用一次性无菌防护套 与此相关的危害类型及潜在危害源：如：环境危害 -对环境产生电磁辐射干扰、噪声、废旧电池、寿命末期器械的丢弃污染环境18C.2.18 是否需要维护和校准？ 必须经过培训的生产厂家认可的专业维护人员进行维护和校准与此相关的危害类型及潜在危害源：如：维护和校准不当，导致测量不准，或损害了器械19C.2.19 医疗器械是否有软件危害？与此相关的危害类型及潜在危害源：如：20C.2.20 医疗器械是否有储存寿命限制？ 与此相关的危害类型及潜在危害源：如： 21C.2.21 是否有延时或长期使用效应？探头性能下降，标贴开脱等。与此相关的危害类型及潜在危害源：如：功能性失效、维修或老化引起的危害22C.2.22 医疗器械承受何种机械力？ 仪器有可能承受意外的机械力，如在储存和运输过程中会受到撞击和挤压等与此相关的危害类型及潜在危害源：如：考察器械在搬运过程或运输中被损害，或正常使用中放置不平稳导致的危害23C.2.23 什么决定医疗器械的寿命？ 探头材料老化，仪器电子元器件老化与此相关的危害类型及潜在危害源：如：老化引起的危害24C.2.24 医疗器械是否预期一次性使用？可重复使用的器械与此相关的危害类型及潜在危害源：如： 25C.2.25 医疗器械是否需要安全地退出运行或处置？仪器报废后，有毒有害元件的处置与此相关的危害类型及潜在危害源：如：考察意外中断电源是否会损坏器械，非中正常关机导致系统设置信息丢失，消耗品的处置26C.2.26 医疗器械的安装或使用是否要求专门的培训或专门的技能？ 仪器的安装和使用要经过专门的培训。与此相关的危害类型及潜在危害源：如：不适当或过于复杂的用户接口（人机工程）方面的危害，考察人机界面的设计27C.2.27 如何提供安全使用信息？ 会在设备上标记或在随机文件中（使用说明书）会提供相关安全信息及警告信息，并对最终使用人员进行培训，使用者必须是具有*仪器诊断医学专业知识的医生。28C.2.28 是否需要建立或引入新的制造过程？ 与此相关的危害类型及潜在危害源：29C.2.29医疗器械的成功使用，是否关键取决于人为因素，例如用户界面？与此相关的危害类型及潜在危害源：C.2.29.1 用户界面设计特性是否可能促成使用错误？ 与此相关的危害类型及潜在危害源：30C.2.29.2 医疗器械是否因分散注意力而导致在错误的环境中使用？ 设备预期使用环境是:与此相关的危害类型及潜在危害源：31C.2.29.3 医疗器械是否有连接部分或附件？附件： 外部连接口：与此相关的危害类型及潜在危害源：32C.2.29.4医疗器械是否有控制接口？如：脚踏开关、键盘、触摸屏与此相关的危害类型及潜在危害源：33C.2.29.5 医疗器械是否显示信息？如：液晶屏显示测量信息和图像信息与此相关的危害类型及潜在危害源：34C.2.29.6 医疗器械是否由菜单控制？设备的使用需要软件控制。与此相关的危害类型及潜在危害源：35C.2.29.7 医疗器械是否由具有特殊需要的人使用？本器械只能由具有专业知识的专业人员使用，预期不会被特殊需求的人士使用。与此相关的危害类型及潜在危害源：36C.2.29.8 用户界面能否用于启动使用者动作? 探头在配套的*仪器设备上可以操作。与此相关的危害类型及潜在危害源：37C.2.30 医疗器械是否使用报警系统？当探头温度超过43时，系统会报警提示操作者停止检查。电池电量低报警与此相关的危害类型及潜在危害源：38C.2.31 医疗器械可能以什么方式被故意地误用？操作者不具备操作资格和能力而误用设备，或者是由于粗心或疏忽出错。与此相关的危害类型及潜在危害源：39C.2.32 医疗器械是否持有患者护理的关键数据？ 与此相关的危害类型及潜在危害源：40C.2.33 医疗器械是否预期为移动式或便携式？推车式。与此相关的危害类型及潜在危害源：41C.2.34 医疗器械的使用是否依赖于基本性能？涉及设备基本安全性和基本性能的通用要求与此相关的危害类型及潜在危害源：42如何涉及在单一故障状态下安全地使用设备涉及在单一故障状态下使用设备与此相关的危害类型及潜在危害源：注:该表仅供参考,请根据实际情况进行增减第四章 风险评估和控制风险控制总表-供参考模板11. 能量危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险2生物学和化学危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险3操作危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险3.1不正确的测量3.2不适用人群的测试3.3 年龄不适当的人体血压测试3.4 不适当的使用环境3.5 不适当的储存环境4软件危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险5环境危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险5.1寿命末期器械的随意丢弃6信息危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险6.1缺乏适用人群6.3 缺乏或不适当的测试姿势测试姿势不正确测试结果不正确人体血压健康状况的误判说明书增加正确测量姿势，腕带/袖带绑定位置和方法的描述。检查说明书3/33/19/3无6.5缺乏依据测量结果判定健康状况的警告6.6 缺乏或不适当的工作储存环境6.7 操作描述不充分6.8符号信息描述不充分6.9用户没有认真阅读说明书用户操作错误测试结果不正确人体血压健康状况的误判1.说明书起始页显要位置体型用阅读并充分理解说明书。2.简化操作设计。检查说明书3/33/19/3无7不适当或过于复杂的用户接口（人机工程）危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险8服务和维护危害危害可预见的事件危害处境损害风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后产生新的风险8.1不适当的清洁维护风险控制总表-供参考模板260601-1标准涉及相关风险的条款（不适用时）备注或（适用时）潜在风险及其可能导致的后果风险控制措施风险措施的实施和验证严重度前/后概率前/后风险水平前/后是否产生新的风险4 - General requirements4 通用要求4.2Risk Management Process for ME Equipment or ME Systems医疗器械或医疗器械系统 风险管理过程 风险管理控制不够充分文件审核1. 风险管理程序 （检查是否符合 14971的要求）2. 风险管理计划3. 风险管理过程中产生的文档4.3Essential performance基本性能风险管理报告中应包含由 基本性能方面缺陷 而引起的风险分析如：应用部件缺陷或失效（举例：B超探头损坏、血氧探头脱落、血压计压力传感器损坏、 超出规定范围的压力测量）、 或 功能性失效、维修或老化引起的危害4.4Expected service life预期寿命如：考虑在预期寿命内设备或其内部元器件的有效性、考虑寿命末期设备的处理情况4.5Equivalent safety for ME Equipment of ME System医疗器械的安全如：绝缘强度不够、电气间歇、爬电距离未达到标准要求、电源突然断电4.6ME equipment or ME system parts that contact the patient医疗器械或医疗器械系统 与患者接触部件如：电能危害-患者漏电流过大；温度过高；4.7Single Fault Condition for ME Equipment医疗器械 单一故障状态如：变压器短路 或 过载导致漏电流或耐压不通过 4.8Components of ME Equipment器械的元器件应包含 关键元器件失效的评估 （如所用的传感器失效，导致测量不准确）4.9Use of components with high-integrity characteristics in ME器械的高可靠性源器件是否有使用高可靠性的元件？ 如有， 则应 评估 其使用环境 和 可预见性误用 方面的危害提供 高可靠性元器件的认证方面的资料5 - General requirements for testing MEE电气医疗器械 试验通用要求5.1Type Tests 型式试验如：不同批次产品的可靠性不一致如：应定期抽样试验5.4 a)Other conditions 其他状态5.7Humidity preconditioning treatment 潮湿预处理如：防潮不够，导致漏电，或元件失效如：结构设计 或物料选型应考察物料适用环境条件Actuating mechanisms 活动机械装置7 MEE Identification, markings and documents7 标识、标志和文件7.1.1Usability of the identification, marking and documents标识、标志和文件的可用性7.9.1General accompanying documents format. (see also Table C.4)通用的随机文件格式8 - Protection against electrical hazards from MEE 8 对电气危害的防护8.1 bFundamental rule of protection against electric shock电击防护基本规则8.3 dClassification of applied parts应用部件类型8.4.2 cAccessible parts including applied parts包含应用部件的可触及部件如： 生物学危害考虑生物兼容性，接触的温度过高Type B applied partsB型应用部件PATIENT Leads患者导联8.6.3Protective earthing of moving parts运动部件与地接触的保护Mechanical strength and resistance to heat机械强度 和 耐热性8.10.1Fixing of components元器件的固定8.10.2Fixing of wiring电线的固定8.10.5Mechanical protection of wiring电线的机械防护8.11.5Mains fuses and over-current releases网电保险丝和过电流释放9 - Protection against mechanical hazards of MEE and MES9 对机械危害的防护9.2.1HAZARDs associated with moving parts General运动部件的危害.3Movable guards运动防护装置.4Protective measures防护措施 cContinuous activation持续驱动Speed of movement(s)运动速度Over travel 超程9.2.4Emergency stopping devices紧急停止装置9.2.5Release of patient释放患者（机械危害的）装置9.3Hazards associated with surfaces, corners and edges与表面、边、角有关的危害.3Movement over a threshold超出阀值的运动9.5.1Protective means保护装置9.6.1Acoustic energy General声能Infrasound and ultrasound energy超低音波和超声能量9.7.2Pneumatic and hydraulic parts气动和水压部件9.7.4Pressure rating of ME equipment parts压力定额部件9.7.6Pressure-control device压力控制装置9.7.7Pressure-relief device压力释放装置9.8.1Hazards associated with support systems General与支撑系统有关的危害9.8.2Tensile safety factor拉伸安全系数Strength of patient or operator support or suspension systems General支撑患者或操作者 和 悬挂 系统 的机械强度 a&bStatic forces due to loading from persons装载患者导致的静态压力Systems with mechanical protective devices- General有机械保护装置的系统Mechanical protective device intended for single activation预期启动仅一次的机械保护装置9.8.5Systems without mechanical protective devices无机械保护装置的系统10 - Protection against unwanted and excessive radiation hazards对不需要的或过量的辐射危害 的防护10.1.2ME equipment intended to produce diagnostic or therapeutic X-radiation预期产生诊断或治疗目的X辐射10.2Alpha, beta, gamma, neutron and other particle radiation、中子辐射和其他粒子辐射10.3Microwave radiation微波辐射10.5Other visible electromagnetic radiation其他可见电磁辐射10.6Infrared radiation红外线辐射10.7Ultraviolet radiation紫外线辐射11 - Protection against excessive temperatures and other hazards11 对超温和其他安全方面危害的防护11.1.1Maximum temperature during normal use 在正常使用下的最高温度Table 23 容许的最高温度Table 24 容许的最高温度Applied parts intended to supply heat to a patient向患者提供预期热量的应用部件Applied parts not intended to supply heat to a patient不向患者提供预期热量的应用部件11.1.3Measurements（温度）测量11.1.3 eMeasurements（温度）测量 a&bRisk of fire in an oxygen rich environment富氧环境的火灾风险11.3Constructional requirements for fire enclosures of ME equipment防火外壳的结构要求11.5ME equipment and ME systems intended for use in conjunction with flammable agents预期与可燃剂一起使用的器械11.6.3Spillage on ME equipment and ME system溢流、泼洒11.6.6Cleaning and disinfection of ME equipment and ME systems清洁与消毒11.6.7Sterilization of ME equipment and ME systems 灭菌11.6.8Compatibility with substances used with the ME equipment与器械配套使用物质的兼容性如： 生物兼容性12 - Accuracy of controls and instruments and protection against hazardous outputs12 控制器件和仪表的准确度，以及对危险输出的防护12.1Accuracy of controls and instruments控制器件和仪表准确度12.3Alarm systems报警系统12.4.1Intentional exceeding of safety limits有意超出安全的极限12.4.2Indication of parameters relevant to safety有关安全参数的指示12.4.3Accidental selection of excessive output values意外选择导致过量的输出12.4.4Incorrect output不正确的输出Diagnostic X-ray equipment诊断X射线器械Radiotherapy equipment射频治疗器械Other ME equipment producing diagnostic or therapeutic radiation器械产生其他用于诊断或治疗的辐射12.4.6Diagnostic or therapeutic acoustic pressure诊断或治疗目的的声压13 - Hazardous situations and fault conditions13 危险处境和故障状态13.2.6Leakage of liquid 液体的泄漏14 Programmable electrical medical systems (PEMS)14 可编程电气医疗器械14.1Programmable electrical medical systems General可编程医疗器械系统 - 一般风险14.2Programmable electrical medical systems Documentation可编程医疗器械系统 文件14.3Programmable electrical medical systems - Risk management plan可编程医疗器械系统 风险管理计划如： 风险管理计划中没包含软件风险管理计划14.4PEMS Development Life Cycle可编程医疗器械系统 开发生命周期14.6.1Identification of known and foreseeable hazards已知和可预见危害的识别有关危害的可能因素列表应包括： 网络数据偶合的故障，导致PEMS不能获取与基本安全或基本性能相关的特性。 非预期的反馈物理的和数据的(包括可能的：非请求输入，超出范围的或不一致的输入，和电磁干扰产生的输入）；无效的数据；缺少完整的数据；错误的数据；数据不正确的时序；内部或PESS之间的非预期干扰第三方软件的未知因素或质量第三方子模块的未知因素或质量数据安全性差，尤其对来自其他程序或病毒的干扰与篡改的防护性能差。14.6.2Risk control 风险控制14.7Requirement specification 软件设计需求14.8Architecture （软件）架构为将风险降低到可接受水平，硬件/软件架构（适用时）应使用或考虑： a）有高可靠特性的元件；b）故障安全功能；c）冗余度d）分集e）*功能分割f）保护设计，例如通过限制可用的输出功率或通过制动器的行程限制等手段，抑制潜在危害的影响。g）将风险控制措施分配