风险评估

风险评估核心矩阵 (${\displaystyle R=P\times S}$)

风险值 (${\displaystyle R}$)	风险严重程度的量化指标
发生概率 (${\displaystyle P}$)	危害发生的频率或可能性
严重程度 (${\displaystyle S}$)	危害发生后对人员或财产造成的伤害程度
核心标准	ISO 14971 (医疗) / ISO 12100 (机械)

风险评估（Risk Assessment）是指系统地识别潜在的危险源（Hazards）、估计和评价在设计、制造及使用全生命周期中可能引发的风险，并采取必要控制措施的技术过程。它是产品签署 DoC 法律文件 时必不可少的支撑证据，也是满足 EHSRs 的核心步骤。

在工程实践中，风险（Risk）通常被定义为危害发生的概率与该危害严重程度的函数。其经典量化公式为：

${\displaystyle R=P\times S}$

• ${\displaystyle P}$ (Probability of Occurrence) - 发生概率：通常划分为 1 至 5 级（从“极罕见”到“频繁发生”）。
• ${\displaystyle S}$ (Severity of Harm) - 严重程度：通常划分为 1 至 5 级（从“轻微皮外伤/无感知骚扰”到“致命电击/起火导致重大财产损失”）。
• 风险接受准则（Risk Acceptance Criteria）：
  • 可接受区（Acceptable）：${\displaystyle R}$ 值较低，无需额外控制措施。
  • 合理可行尽量降低区（ALARP - As Low As Reasonably Practicable）：需要权衡成本与安全，引入适当经济的防护。
  • 不可接受区（Unacceptable）：必须立刻更改设计或加入强制硬件保护，否则产品绝对不予准入上市。

根据 IEC 62368-1 等现代标准的指导，研发团队应遵循以下结构化的评估闭环：

1. 识别能量源（Identify Energy Sources）：检查产品中包含的所有能量，如电能（高压供电轨）、热能（大功率 MOS 管、TVS 二极管大通流瞬态发热）、机械能（风扇转动、外壳跌落）、化学能（锂电池过充）等。
2. 划分能量等级：根据标准将其划分为：
   • 1 级能量（安全）：人体可感知但无痛苦，不可引燃。
   • 2 级能量（疼痛）：会有明显的疼痛或不适，但不会引发身体组织损伤，可能导致轻微引燃风险。
   • 3 级能量（危险）：会导致电击致死、严重烧伤或引发剧烈火灾。
3. 识别伤害路径：评估该能量如何穿过产品的绝缘屏障、外壳缝隙，最终传递给操作者或周围的易燃物。
4. 实施风险减缓控制（Risk Control）：采用“安全三部曲”进行干预：
   • 第一级：本质安全设计（Inherently Safe Design）：直接优化电路（例如降低主板工作电压，使其不超出安全电压阈值）。
   • 第二级：保护措施（Protective Measures）：加入硬件防护组件（如使用过流熔断器、隔离变压器、加装高频金属屏蔽罩等）。
   • 第三级：使用信息（Information for Safety）：在铭牌、说明书或外观上张贴“高压危险”、“高温表面”等警告标识。
5. 残留风险评估（Residual Risk）：在加入防护措施（如增加 TVS、MOV 保护）后，重新核算 ${\displaystyle R=P\times S}$，确保残余风险降至可接受区域。
6. 综合效益评价：确认新加入的保护器件没有引入新的隐患（例如增加 Y安规电容 以通过 静电放电 (ESD) 测试时，必须重新核算整机的泄漏电流风险，防止人体触电）。

工程师在为工业或医疗器械编写 技术文件（TCF） 时，针对典型的电磁兼容抗扰度（如 IEC 61000-4-4）失败风险，常采用如下失效模式与效应分析（FMEA）式的记录结构：

危险源	潜在失效场景	初始风险 (${\displaystyle P\times S}$)	采取的控制技术手段	残留风险 (${\displaystyle P\times S}$)
电快速瞬变脉冲群 (EFT)	高频共模电流通过电源线串入主控板，导致单片机复位，医疗/工业设备运行中断。	${\displaystyle 4\times 4=16}$ （不可接受）	1. 电源入口增加高性能共模电感与 X安规电容； 2. 敏感走线加串高频磁珠与退耦电容； 3. 优化 PCB 阻抗，保持地平面完整连续。	${\displaystyle 1\times 4=4}$ （完全可接受，产品表现达 Performance Criteria A 级）

• 动态更新（非静态交差）：风险评估不是产品注册时临时拼凑的文件。如果在整改期间修改了硬件拓扑（例如为了压制辐射超标而在主供电轨上增加了大容量电容），必须同步在风险评估报告中审查其 过流保护与上电冲击 的潜在影响。
• 单点故障（Single Fault）验证：现代安全标准不仅要求产品在正常状态下安全，还强制审查“单一故障状态下的安全性”。在评估时，必须模拟某颗保护器件（如 TVS 短路失效、稳压管开路失效）时，产品是否仍具备次级熔断、限流或物理阻燃的兜底防线。

• 技术文件 (TCF)
• 符合性声明
• 电路保护
• 元器件降额规范 (Derating Standards)
• IEC 60601-1