查看“︁风险评估”︁的源代码

{{DISPLAYTITLE:风险评估 (Risk Assessment)|ignoreerrors=true}}
{| class="wikitable" style="float: right; width: 340px; margin-left: 1em; font-size: 90%; border: 1px solid #a2a9b1;"
|+ style="font-weight: bold; font-size: 1.2em; padding: 5px;" | 风险评估核心矩阵 (<math>R = P \times S</math>)
|-
! style="background-color: #f2f2f2; width: 35%;" | 风险值 (<math>R</math>)
| 风险严重程度的量化指标
|-
! style="background-color: #f2f2f2;" | 发生概率 (<math>P</math>)
| 危害发生的频率或可能性
|-
! style="background-color: #f2f2f2;" | 严重程度 (<math>S</math>)
| 危害发生后对人员或财产造成的伤害程度
|-
! style="background-color: #f2f2f2;" | 核心标准
| ISO 14971 (医疗) / ISO 12100 (机械)
|}

'''风险评估'''（Risk Assessment）是指系统地识别潜在的危险源（Hazards）、估计和评价在设计、制造及使用全生命周期中可能引发的风险，并采取必要控制措施的技术过程。它是产品签署 [[符合性声明|DoC 法律文件]] 时必不可少的支撑证据，也是满足 [[基本健康与安全要求|EHSRs]] 的核心步骤。

== 1. 风险评估的数学量化模型 ==

在工程实践中，风险（Risk）通常被定义为危害发生的概率与该危害严重程度的函数。其经典量化公式为：

:<math>R = P \times S</math>

* '''<math>P</math> (Probability of Occurrence) - 发生概率'''：通常划分为 1 至 5 级（从“极罕见”到“频繁发生”）。
* '''<math>S</math> (Severity of Harm) - 严重程度'''：通常划分为 1 至 5 级（从“轻微皮外伤/无感知骚扰”到“致命电击/起火导致重大财产损失”）。
* '''风险接受准则（Risk Acceptance Criteria）'''：
** '''可接受区（Acceptable）'''：<math>R</math> 值较低，无需额外控制措施。
** '''合理可行尽量降低区（ALARP - As Low As Reasonably Practicable）'''：需要权衡成本与安全，引入适当经济的防护。
** '''不可接受区（Unacceptable）'''：必须立刻更改设计或加入强制硬件保护，否则产品绝对不予准入上市。

== 2. 核心评估流程：HBSE 六步法 ==

根据 [[IEC 62368-1]] 等现代标准的指导，研发团队应遵循以下结构化的评估闭环：

# '''识别能量源（Identify Energy Sources）'''：检查产品中包含的所有能量，如电能（高压供电轨）、热能（大功率 MOS 管、[[TVS瞬态抑制二极管选型|TVS 二极管]]大通流瞬态发热）、机械能（风扇转动、外壳跌落）、化学能（锂电池过充）等。
# '''划分能量等级'''：根据标准将其划分为：
#* '''1 级能量（安全）'''：人体可感知但无痛苦，不可引燃。
#* '''2 级能量（疼痛）'''：会有明显的疼痛或不适，但不会引发身体组织损伤，可能导致轻微引燃风险。
#* '''3 级能量（危险）'''：会导致电击致死、严重烧伤或引发剧烈火灾。
# '''识别伤害路径'''：评估该能量如何穿过产品的绝缘屏障、外壳缝隙，最终传递给操作者或周围的易燃物。
# '''实施风险减缓控制（Risk Control）'''：采用“安全三部曲”进行干预：
#* '''第一级：本质安全设计（Inherently Safe Design）'''：直接优化电路（例如降低主板工作电压，使其不超出安全电压阈值）。
#* '''第二级：保护措施（Protective Measures）'''：加入硬件防护组件（如使用[[过流熔断器]]、隔离变压器、加装高频金属屏蔽罩等）。
#* '''第三级：使用信息（Information for Safety）'''：在铭牌、说明书或外观上张贴“高压危险”、“高温表面”等警告标识。
# '''残留风险评估（Residual Risk）'''：在加入防护措施（如增加 TVS、MOV 保护）后，重新核算 <math>R = P \times S</math>，确保残余风险降至可接受区域。
# '''综合效益评价'''：确认新加入的保护器件没有引入新的隐患（例如增加 [[Y安规电容]] 以通过 [[静电放电 (ESD)]] 测试时，必须重新核算整机的泄漏电流风险，防止人体触电）。

== 3. 实战案例：EFT 脉冲群导致系统死机的风险分析 ==

工程师在为工业或医疗器械编写 [[技术文件|技术文件（TCF）]] 时，针对典型的电磁兼容抗扰度（如 [[IEC 61000-4-4]]）失败风险，常采用如下失效模式与效应分析（FMEA）式的记录结构：

{| class="wikitable" style="width: 100%; font-size: 90%;"
! 危险源 !! 潜在失效场景 !! 初始风险 (<math>P \times S</math>) !! 采取的控制技术手段 !! 残留风险 (<math>P \times S</math>)
|-
| '''电快速瞬变脉冲群 (EFT)''' || 高频共模电流通过电源线串入主控板，导致单片机复位，医疗/工业设备运行中断。 || <math>4 \times 4 = 16</math><br />（不可接受） || 1. 电源入口增加高性能[[共模电感选型指南|共模电感]]与 [[X安规电容]]；<br />2. 敏感走线加串[[磁珠选型指南|高频磁珠]]与退耦电容；<br />3. 优化 PCB 阻抗，保持地平面完整连续。 || <math>1 \times 4 = 4</math><br />（完全可接受，产品表现达 Performance Criteria A 级）
|}

== 4. 工程师在建立技术文件时的避坑指南 ==

* '''动态更新（非静态交差）'''：风险评估不是产品注册时临时拼凑的文件。如果在整改期间修改了硬件拓扑（例如为了压制辐射超标而在主供电轨上增加了大容量电容），必须同步在风险评估报告中审查其 '''过流保护与上电冲击''' 的潜在影响。
* '''单点故障（Single Fault）验证'''：现代安全标准不仅要求产品在正常状态下安全，还强制审查“单一故障状态下的安全性”。在评估时，必须模拟某颗保护器件（如 TVS 短路失效、稳压管开路失效）时，产品是否仍具备次级熔断、限流或物理阻燃的兜底防线。

== 参见 ==
* [[技术文件 (TCF)]]
* [[符合性声明]]
* [[电路保护]]
* [[元器件降额规范 (Derating Standards)]]
* [[IEC 60601-1]]

[[Category:认证百科]]
[[Category:质量管理]]