リスクマネジメントプロセス

14.6.1 *既知及び予見可能なハザードの特定

既知又は予測可能なハザードを特定してリストを作成する場合，製造業者は，IT ネットワークへの PEMSの組込み，第三者製造のコンポーネント及び継承したサブシステムに関係するものを含んだPEMS のソフトウェア，並びにハードウェアの側面に関連したこれらのハザードを考慮する。

注記 JIS T 14971:2012の附属書Eの資料に加えて，PEMSに関連したハザードとなる可能性がある

リストには，次のものが含まれる。

－ 好ましくない（物理的及びデータの）フィードバック（考えられるものとしては，想定外 入力，範囲外又は相反する入力，及び電磁障害から生じた入力がある。）

－ 利用できないデータ

－ 不完全なデータ

－ 誤ったデータ

－ 誤ったタイミングのデータ

－ PESS内及びそれらの間の意図しない相互作用

－ 第三者が製造した未知な側面又は品質をもったソフトウェア

－ 第三者が製造した未知な側面又は品質をもったPESS

－ データの機密性に関わる影響及び特に不正変更に対するデータのぜい（脆）弱性も含めた セキュリティ（安全性）が不十分なデータ，他のプログラムとの意図しない相互作用，及

びウイルス

－ PEMS が，その基礎安全又は基本性能を達成するのに必要な特性を提供するための IT ネ ットワークの故障。H.7.2に例を示している。

14.6.2 *リスクコントロール

次のPEMSに対する要求事項は，4.2.2を補足するものである。

各リスクコントロール手段を実行するために，適切に検証された手法及び手順を選択し，特定する。こ れらの手法及び手順は，各リスクコントロール手段が，特定したリスクを十分に低減するのを保証する適 切なものとする。

14.7 *要求仕様

PEMS及びそのサブシステム（例えば，PESSに対する）については，要求仕様を文書化する。

注記 PEMSの構造例は，H.1に記載してある。

システム又はサブシステムに対する要求仕様は，そのシステム又はサブシステムによって実施されるい かなる基本性能及びいかなるリスクコントロール手段をも含める。

14.8 *アーキテクチャ

アーキテクチャは，PEMS及びそのサブシステムのそれぞれについて，要求仕様を満足させるように指 定する。

該当する場合，アーキテクチャの仕様は，リスクを受容可能なレベルに低減するため，次の一つ以上を 使用する。

a) 高信頼性部品 b) フェールセーフ機能 c) 冗長性

d) 多様性

e) *機能の分割

f) 防御設計 例えば，利用可能な出力を制限にすることよって，又はアクチュエータの動きを制限する 手段の導入によって，潜在的に危険な影響を抑制する。

アーキテクチャの仕様には，次のg)～n)を考慮する。

g) *PEMSのサブシステム及びコンポーネントに対するリスクコントロール手段の配分

注記 サブシステム及びコンポーネントには，センサ，アクチュエータ，PESS 及びインタフェース を含む。

h) コンポーネントの故障モード及びそれらへの影響 i) 共通原因による故障

j) 系統的な故障

k) 試験間隔及び診断範囲 l) 保守性

m) 合理的に予見できる誤使用に対する保護 n) 該当する場合は，ITネットワークの仕様

14.9 *設計及び実装

該当する場合，設計をサブシステムに分割し，それぞれは，設計仕様及び試験仕様をもつ。

設計環境に対する説明データは，文書化する。

注記 設計環境要素の例は，H.4 a)を参照する。

14.10 *検証

検証は，基礎安全，基本性能又はリスクコントロール手段を実施する全ての機能に対して要求する。

検証計画は，どのようにこれらの機能の検証するかを示すために作成する。計画には，次の事項を含め る。

－ 各機能に対してどのマイルストーンで検証の実施が必要か。

－ 検証方針，アクティビティ，技法，並びに検証を実行する要員の適切な独立性のレベルの選択及び文 書化

－ 検証手段の選択及び活用

－ 検証に対する適用範囲の基準 注記 方法及び手法の例

－ ウォークスルー

－ 検査（インスペクション）

－ 静的解析

－ 動的解析

－ ホワイトボックステスト

－ ブラックボックステスト

－ 統計的解析

検証は，検証計画に従って実施する。検証活動の結果は，文書化する。

14.11 *PEMS妥当性確認

PEMS妥当性確認計画は，基礎安全及び基本性能の妥当性確認を含む。

PEMS妥当性確認で用いた方法は，文書化する。

PEMS妥当性確認は，PEMS妥当性確認計画に従って実施する。

PEMS妥当性確認アクティビティの結果は，文書化する。

PEMS妥当性確認に対して全体的な責任をもつ者は，設計チームから独立したものとする。製造業者は，

独立性のレベルに対する根拠を文書化する。

設計チームのいかなる要員も，自らの設計した結果に対してPEMS妥当性確認の最終判定責任を負って はならない。

PEMS妥当性確認チームの要員と設計チームの要員との全ての職務上の関係を，リスクマネジメントフ ァイルに文書化する。

14.12 *変更管理

以前の設計を一部又は全て設計変更した場合は，新規設計と同じものとしてこの箇条の全てを適用する か，又は変更前の設計が，変更後も引き続き有効であることを，文書化した修正又は変更手順に従って評 価する。

ソフトウェアを変更管理する場合は，JIS T 2304の4.3，箇条5及び箇条7～箇条9の要求事項も適用す る。

14.13 *ITネットワークに組み込むことを意図するPEMS

PEMSをPEMS製造業者による妥当性確認がされていないITネットワークに組む込むことを意図した 場合は，製造業者は，そのような接続を実行するための，次の事項を含む取扱い指示を提供する。

a) ITネットワークへのPEMS接続の目的。

b) PEMSを組み込むITネットワークに必要な特性。

c) PEMSを組み込むITネットワークに必要な構成。

d) セキュリティ仕様を含む，PEMSのネットワーク接続の技術仕様。

e) PEMS，ITネットワーク，及び ITネットワークに接続されている他の装置との間の意図する情報の

流れ，及びITネットワークを通じる意図する経路。

注記1 これには，基礎安全及び基本性能に関連する有効性並びにデータの側面及びシステムセキ ュリティの側面を含めてもよい。H.6及びIEC 80001-1:2010も参照する。

f) ITネットワークへのPEMS接続の目的に合わせるために必要な特性を提供するITネットワークが，

故障した場合に生じる危険状態のリスト。

注記2 データを転送する目的でPEMSを他の装置に接続すると，二つのノードのITネットワー クを形成する。例えば，PEMSをプリンタに接続すると，ITネットワークを形成する。製 造業者が，そのプリンタとともにPEMSの妥当性を確認していれば，製造業者が，その形 成されたネットワーク全体の妥当性を確認しているとみなしてもよい。

（試験）

適合性は，取扱説明書の調査によって確認する。

製造業者は，附属文書の中で，責任部門に次を指示する。

－ その他の機器を含むITネットワークへのPEMSの接続が，患者，操作者又は第三者に対して事前に 特定していなかった受容できないリスクを生じる可能性がある。

－ 責任部門は，これらのリスクを特定，分析，評価及び管理をすることが望ましい。

注記3 IEC 80001-1:2010は，これらのリスクを扱うためのガイダンスを，責任部門に提供してい

る。

－ ITネットワークを後から変更した場合は，新たなリスクを招き，追加の分析が必要となる。

－ ITネットワークの変更には，次を含める。

－ ITネットワーク構成における変更

－ ITネットワークへの追加アイテムの接続

－ ITネットワークからのアイテムの取外し

－ ITネットワークに接続された機器のアップデート

－ ITネットワークに接続された機器のアップグレード

（試験）

適合性は，附属文書の調査によって確認する。