CMMI 对软件风险管理过程的要求

CMMI中的风险管理本质上解决的是商业风险，即保证商业成功，风险管理模型见下图1。CMMI的风险与机会管理（Risk and opportunity management ，RSK）实践域描述粗略理解见下图2。

YY/T 0664 软件风险管理过程要求
商业风险管理与医疗器械软件风险管理理念相通，但目的不同，意义不可等同。医疗器械风险管理强化的是安全有效，医疗器械风险管理模型见下图。而yyt 0664属于医疗器械软件行业标准，所以遵循医疗器械风险管理模型。

7.1 促成危险情况的软件分析

促成危险情况的软件分析可理解为图3的风险评估过程，共3步2方面的内容，3步分别为“7.1.1 识别可能促成危险情况的软件项” 和“7.1.2 识别促成危险情况的潜在原因” “7.1.4 将潜在原因形成文件”；而“7.1.3 评价已公开的未知来源软件反常清单”可以理解为7.1.1内容的强化说明，不要遗漏。

7.2 风险控制措施

本章节的风险控制措施理解为图3风险控制的前2条，“7.2.1 确定风险控制措施”对应的图3风险控制的“风险控制方案分析”，“7.2.2 在软件中实施风险控制措施” 对应的图3风险控制的“风险控制措施的实施”

7.3 风险控制措施的验证

本章节的风险控制措施理解为图3风险控制的剩余条款，“7.3.2 将可追溯性形成文件”对应的图3风险控制的“风险控制的完整性”，而“7.3.1 验证风险控制措施”对应的是其余内容。

7.4 软件变更的风险管理

7.4 是对如上章节的补充说明，“7.4.1 分析与医疗器械软件安全相关的变更”是对7.1识别内容范围的补充， “7.4.2 分析软件变更对现有风险控制的影响”是对7.1分析范围的补充，“7.4.3 基于分析实施风险管理活动” 是对7.2-7.3的补充说明。