Gestion des risques: ISO 14971, IEC 31010, FMEA, FTA, HAZOP
Guide, gestion des risques
La gestion des risques est la colonne vertébrale d'un dossier de certification moderne. Que la cible soit un dispositif medical sous MDR UE et QMSR FDA, un système de controle industriel sous IEC 61508, un vehicule particulier sous ISO 26262, un aéronef civil sous ARP4761 ou une machine sous ISO 12100, le certificateur attend un dossier de risques structure: un processus documente (ISO 14971 pour le medical, normes sectorielles ailleurs), une boite a outils de techniques (IEC 31010), des analyses bottom-up et top-down (FMEA, FTA), des scenarios opérationnels (HAZOP, what-if, STPA), des preuves de maitrise du risque et une évaluation du risque résiduel étayée par les données post-commercialisation. Cette page cartographie le paysage, detaille les techniques effectivement utilisées au niveau électronique et logiciel embarque, et liste les pieges récurrents qui coûtent des re-depots en audit de certification.
Cartographie des normes
Section intitulée « Cartographie des normes »La gestion des risques pour la certification produit repose sur un petit nombre de normes, organisées sur trois axes: processus, techniques et déclinaisons sectorielles.
| Couche | Norme | Perimetre |
|---|---|---|
| Processus, medical | ISO 14971:2019 | Processus de gestion des risques pour dispositifs médicaux, cycle de vie complet |
| Processus, guidance medical | ISO/TR 24971:2020 | Guidance pour l'application d'ISO 14971, exemples, modeles |
| Processus, générique | ISO 31000:2018 | Cadre générique de gestion des risques, tous secteurs |
| Catalogue de techniques | IEC 31010:2019 | Une trentaine de techniques d'évaluation du risque, sélection par phase du cycle de vie |
| FMEA / FMECA | IEC 60812:2018 | Analyse des modes de défaillance et de leurs effets, méthodologie |
| FTA | IEC 61025:2006 | Analyse par arbre de défaillances, déductive top-down |
| ETA | IEC 62502:2010 | Analyse par arbre d'evenements, inductive bottom-up |
| HAZOP | IEC 61882:2016 | Etudes de risque et d'opérabilité, base sur mots-guides |
| Sectoriel, sécurité fonctionnelle auto | ISO 26262 | HARA, détermination ASIL, cycle de vie sécurité |
| Sectoriel, SOTIF autonomie | ISO 21448:2022 | Securite de la fonctionnalité voulue, autonomie |
| Sectoriel, aéronautique | ARP4761 (1996) | FHA, PSSA, SSA, CCA = PRA + ZSA + CMA |
| Sectoriel, machines | ISO 12100 + ISO 13849 | Analyse des dangers et niveau de performance des fonctions de sécurité |
| Sectoriel, cybersécurité OT | IEC 62443-3-2 | Evaluation du risque pour systèmes de controle industriel |
| Sectoriel, cyber automobile | ISO/SAE 21434 | Risque cybersécurité pour vehicules routiers |
| Reference FMEA industrie | AIAG-VDA FMEA Handbook (2019) | Methodologie Action Priority, remplace SAE J1739 et VDA 4 |
La conséquence pratique est qu'un projet électronique ou logiciel embarque choisit rarement une seule norme. Il choisit une colonne processuelle (ISO 14971 pour un dispositif medical, ISO 26262 pour un ECU automobile, ARP4761 pour un LRU avionique, ISO 12100 pour une machine), puis pioche des techniques dans le catalogue IEC 31010 (FMEA, FTA, HAZOP, STPA, what-if) et les documente conformément aux normes IEC dédiées (60812, 61025, 61882).
ISO 14971 en pratique
Section intitulée « ISO 14971 en pratique »ISO 14971:2019 est la norme internationale de gestion des risques des dispositifs médicaux. Elle est harmonisée sous le MDR UE (Règlement 2017/745) et constitue la reference de fait pour démontrer la conformité aux GSPR 1 a 4 de l'Annexe I. Cote etats-unis, elle est reconnue par la FDA, et la Quality Management System Regulation (QMSR) de la FDA, qui remplace le 21 CFR Part 820 a effet février 2026, incorpore ISO 13485 par reference, laquelle s'appuie sur ISO 14971 pour le processus de gestion des risques.
Colonne processuelle
Section intitulée « Colonne processuelle »ISO 14971 organise la gestion des risques comme un processus continu sur le cycle de vie, et non comme une étude ponctuelle en fin de conception. Les éléments requis sont stables dans l'édition 2019:
- Plan de gestion des risques approuve par la direction, définissant la politique d'acceptabilité des risques, les méthodes choisies et les responsabilites.
- Analyse des dangers (dangers prévisibles lies a l'usage prévu et au mésusage raisonnablement prévisible), s'appuyant sur les données passées, les dispositifs similaires, les retours réglementaires et la littérature clinique.
- Estimation du risque pour chaque situation dangereuse, en deux dimensions: sévérité du dommage et probabilité d'occurrence.
- Evaluation du risque par rapport aux critères d'acceptabilité définis dans le plan.
- Maitrise du risque par ordre de priorité: (a) sécurité intrinsèque par conception, (b) mesures de protection dans le dispositif ou le procede de fabrication, (c) information pour la sécurité (étiquetage, notice d'utilisation, formation).
- Evaluation du risque résiduel, individuellement puis globalement, avec analyse bénéfice/risque.
- Rapport de gestion des risques signe par la direction, résumant l'acceptabilité du risque résiduel global.
- Activites de production et post-production: boucle de retour des réclamations, materiovigilance et suivi clinique post-commercialisation vers le dossier de risques.
Matrice d'acceptabilité
Section intitulée « Matrice d'acceptabilité »ISO 14971 n'impose pas de matrice spécifique. Elle exige du fabricant qu'il publie la sienne, justifiée, et qu'il l'applique de maniere cohérente. Un schéma courant combine cinq niveaux de sévérité (négligeable, mineur, sérieux, critique, catastrophique) et cinq niveaux de probabilité (improbable, eloigne, occasionnel, probable, fréquent), avec trois zones d'acceptabilité: largement acceptable, ALARP (as low as reasonably practicable), inacceptable. L'édition 2019 reconnaît explicitement que la réduction du risque est requise même en zone largement acceptable lorsque l'état de l'art le permet.
Analyse bénéfice/risque
Section intitulée « Analyse bénéfice/risque »Lorsqu'un risque résiduel individuel tombe dans la zone ALARP, ISO 14971 exige une analyse bénéfice/risque documentée: le risque résiduel est-il compense par le bénéfice medical, en tenant compte des alternatives disponibles, de l'état de l'art et du contexte clinique ? La conclusion est documentée et réévaluée a mesure que de nouvelles données cliniques deviennent disponibles. Le risque résiduel global reçoit une évaluation séparée sur l'ensemble des risques individuels combines. ISO/TR 24971:2020 fournit des exemples de matrices d'acceptabilité, d'analyses bénéfice/risque et de gestion des modifications en production.
IEC 31010, le catalogue de techniques
Section intitulée « IEC 31010, le catalogue de techniques »IEC 31010:2019 est la boite a outils internationale d'évaluation du risque. Elle n'impose pas de processus: elle catalogue une trentaine de techniques, caracterise chacune (objectif, forces, limites, besoins de données) et propose une table de sélection par phase du cycle de vie et profondeur d'analyse.
Grandes familles
Section intitulée « Grandes familles »| Famille | Exemples | Usage typique |
|---|---|---|
| Techniques d'identification | Brainstorming, Delphi, structured what-if (SWIFT), check-list | Exploration des dangers en conception amont |
| Defaillance unitaire inductive | FMEA, FMECA | Niveau composant ou sous-système, cartes électroniques |
| Deductive top-down | FTA, analyse cause-conséquence | Defaillances combinées, probabilité d'evenement redoute |
| Inductive par scenario | ETA (event tree analysis) | Consequences d'un evenement initiateur |
| Deviation par mots-guides | HAZOP, SWIFT | Procedes continus, logiques programmables, séquences opérationnelles |
| Probabiliste | Reseaux bayésiens, chaines de Markov, Monte Carlo | Fiabilite avec dépendances, données incertaines |
| Facteurs humains | HRA (human reliability analysis), analyse des taches | Erreurs d'usage, interventions opérateur |
| Impact business | BIA, analyse de scenarios | Consequences opérationnelles et commerciales |
| Systemique | STAMP/STPA | Cyber-physique, logiciel lourd, autonome |
Logique de sélection
Section intitulée « Logique de sélection »La bonne technique n'est pas la plus sophistiquée, c'est celle qui correspond aux données disponibles et a la maturité de la conception. Un projet en phase concept utilise typiquement le brainstorming et la SWIFT, puis introduit une FMEA système lorsque l'architecture se stabilise, une FTA sur les evenements redoutes les plus sévères lorsque la conception est suffisamment détaillée, et une HAZOP sur les fonctions programmables lorsque l'architecture logicielle est stable. Un produit en fin de cycle de vie utilise le retour des données post-commercialisation, la mise a jour bayésienne et l'analyse de cause racine sur les réclamations.
FMEA et FMECA
Section intitulée « FMEA et FMECA »La FMEA (Failure Mode and Effects Analysis) et la FMECA (sa variante étendue par la criticité) sont les techniques les plus largement utilisées en certification électronique, tous secteurs confondus. La reference méthodologique est IEC 60812:2018, complétée par le AIAG-VDA FMEA Handbook (2019) pour l'automobile.
Variantes
Section intitulée « Variantes »| Variante | Perimetre | Usage typique |
|---|---|---|
| FMEA système | Architecture fonctionnelle, interfaces | Phase concept |
| Design FMEA (D-FMEA) | Composants, sous-ensembles, choix de conception | Conception détaillée, niveau carte |
| Process FMEA (P-FMEA) | Procede de fabrication | Industrialisation, production |
| Service FMEA | Maintenance, réparation, fin de vie | Support opérationnel |
| Software FMEA | Fonctions logicielles, exceptions, modes | Logiciel embarque (valeur prédictive limitée seule) |
RPN versus Action Priority
Section intitulée « RPN versus Action Priority »La méthodologie FMEA classique classe chaque mode de défaillance par Risk Priority Number, RPN = Severite x Occurrence x Detection, sur des échelles généralement de 1 a 10. Le AIAG-VDA FMEA Handbook (2019) a retire le RPN pour l'automobile au profit de l'Action Priority (AP), qui categorise la priorité High, Medium ou Low en fonction du triplet SOD combine, en traitant la sévérité comme non compensable.
La raison du changement: des études publiées sur la FMEA ont note que des triplets SOD très différents produisent des RPN identiques, ce qui perd le classement, et qu'un faible score de détection peut diluer une sévérité elevee. Plusieurs organismes certificateurs exigent désormais explicitement que la sévérité soit traitée comme non compensable: au-dela d'un seuil de sévérité défini (typiquement S = 9 ou 10), une action de maitrise est obligatoire quel que soit le RPN ou la détection. Hors automobile, IEC 60812:2018 documente les deux approches et laisse le choix au projet, sous condition de cohérence et de traçabilité.
Erreurs frequentes
Section intitulée « Erreurs frequentes »- Echelle de sévérité instable entre feuilles FMEA, ce qui rend la priorisation non comparable au sein du dossier,
- Detection gonflée en comptant des tests qui n'ont pas ete effectivement realises, optimistes par nature,
- Occurrence sous-estimee en ignorant les retours terrain des produits similaires,
- FMEA réalisée trop tard, apres le gel de conception, sans influence sur les choix faits,
- Plan d'actions non traçable vers les preuves de verification dans le dossier.
FTA, ETA et coupes minimales
Section intitulée « FTA, ETA et coupes minimales »L'analyse par arbre de défaillances (FTA, IEC 61025:2006) est une technique déductive top-down: a partir d'un evenement redoute, l'analyste decompose les causes logiques au travers de portes ET et OU jusqu'a des evenements de base de probabilité identifiée. L'analyse par arbre d'evenements (ETA, IEC 62502:2010) est la technique inductive symétrique: a partir d'un evenement initiateur, elle explore les branches de conséquence selon le succès ou l'échec des barrières et mesures de protection.
FTA en pratique
Section intitulée « FTA en pratique »La force de la FTA est sa capacité a quantifier la probabilité d'un evenement redoute a partir des probabilités d'evenements de base, et a identifier les coupes minimales, c'est-a-dire les plus petites combinaisons d'evenements de base qui mènent a l'evenement redoute. Une coupe de taille un est un point unique de défaillance, généralement inacceptable sur un evenement de tête. L'aéronautique sous ARP4761 utilise systématiquement la FTA en PSSA (Preliminary System Safety Assessment) et SSA (System Safety Assessment), avec des cibles de probabilité combinées dérivées de la sévérité de l'evenement (catastrophique 1E-9, dangereux 1E-7, majeur 1E-5, mineur 1E-3 par heure de vol).
ETA en pratique
Section intitulée « ETA en pratique »L'ETA complete la FTA en suivant ce qui se passe apres la défaillance: quelles barrières opèrent, quelles protections s'engagent, quelle est la conséquence attendue (incident négligeable, urgence maîtrisée, accident). Elle est largement utilisée dans les procedes, le nucléaire et la chimie, et de plus en plus dans la mobilité autonome pour modéliser le comportement apres défaillance interne (mode degrade, arrêt sécuritaire, reprise par le conducteur).
Erreurs frequentes
Section intitulée « Erreurs frequentes »- Couverture incomplète des evenements de base, qui produit une probabilité optimiste de l'evenement de tête,
- Independance supposée a tort entre evenements de base qui partagent une cause commune (une alimentation, un module logiciel, un capteur),
- Probabilites non sourcées, valeurs génériques empruntées sans justification a une base de données (FIDES, Telcordia, MIL-HDBK-217),
- Absence de mise a jour lorsque la conception ou le choix des composants evolue.
Pour les cibles de probabilité et l'analyse de causes communes, voir les entrées évaluation de sécurité aéronautique du glossaire.
HAZOP et structured what-if
Section intitulée « HAZOP et structured what-if »L'HAZOP (Hazard and Operability Study, IEC 61882:2016) a ete développée dans les années 1960 par ICI pour l'industrie des procedes et reste la technique de reference pour les systèmes a flux continu, mais son champ s'est étendu aux logiques programmables, aux systèmes de controle et au logiciel embarque.
Le système est decoupe en noeuds (une portion de tuyauterie, un équipement, une fonction logicielle). Pour chaque noeud, l'analyste définit l'intention de conception, puis applique des mots-guides a cette intention: NO (intention non atteinte), MORE (plus que l'intention), LESS (moins que l'intention), AS WELL AS (intention plus quelque chose), PART OF (intention partielle), REVERSE (oppose de l'intention), OTHER THAN (quelque chose de different de l'intention). Chaque combinaison mot-guide x intention est examinée: la déviation est-elle possible, quelle est la cause, quelle est la conséquence, quelle protection existe, quelle action est nécessaire ?
Adaptation aux systèmes programmables
Section intitulée « Adaptation aux systèmes programmables »Pour les fonctions logicielles, les mots-guides sont adaptes: NO devient "la fonction ne s'execute pas", MORE devient "s'execute trop souvent ou trop longtemps", LESS devient "s'execute trop rarement ou trop brièvement", REVERSE devient "execute la fonction inverse". IEC 61882:2016 documente cette extension logicielle et est utilisée dans les dossiers de sécurité fonctionnelle programmable (IEC 61508, ISO 26262), en ferroviaire (EN 50128) et en cybersécurité des systèmes de controle industriel (IEC 62443-3-2).
Erreurs frequentes
Section intitulée « Erreurs frequentes »- Noeuds HAZOP trop grossiers, ce qui masque les déviations intermédiaires,
- Intention de conception non formalisée au niveau noeud, ce qui rend l'application des mots-guides vide,
- HAZOP réalisée par un seul ingénieur, alors que la méthode tire sa puissance d'une séance de groupe pluridisciplinaire animée par un facilitateur,
- Absence de traçabilité entre les conclusions HAZOP et les modifications de conception ou la verification.
STAMP et STPA
Section intitulée « STAMP et STPA »STAMP (Systems-Theoretic Accident Model and Processes), developpe par Nancy Leveson au MIT, traite la sécurité comme un problème de controle plutôt que comme une chaine de défaillances. La méthode d'analyse STPA (Systems-Theoretic Process Analysis) identifie les actions de controle dangereuses dans la structure de controle du système: un contrôleur émet une action de controle, un actionneur l'execute, un procede réagit, des capteurs renvoient l'information au contrôleur. STPA explore quatre classes d'action dangereuse: une action requise non fournie, une action dangereuse fournie, une action fournie trop tot ou trop tard, une action arrêtée trop tot ou appliquée trop longtemps.
STPA est de plus en plus citée pour la conduite autonome en soutien d'ISO 26262 et ISO 21448, en robotique avancée (voir robotique industrielle, ISO 10218 et 15066) et pour les dispositifs médicaux complexes a forte composante logicielle. Elle ne remplace pas la FMEA ni la FTA, elle les complete sur l'axe systémique et logiciel lourd, ou l'analyse de défaillance au niveau composant est peu prédictive.
Declinaisons sectorielles
Section intitulée « Declinaisons sectorielles »| Secteur | Approche risque | References clés |
|---|---|---|
| Medical | ISO 14971 + design controls sous ISO 13485, MDR / QMSR FDA | ISO 14971, ISO 13485, Annexe I MDR, 21 CFR 820 / QMSR |
| Securite fonctionnelle auto | HARA (Hazard Analysis and Risk Assessment), détermination ASIL | ISO 26262, ISO 21448 pour l'autonomie |
| Cybersecurite auto | TARA (Threat Analysis and Risk Assessment) | ISO/SAE 21434, UNECE R155, R156 |
| Aeronautique | FHA, PSSA, SSA, CCA = PRA + ZSA + CMA | ARP4761 (1996), AC 25.1309, DO-178C, DO-254 |
| Machines | Analyse des dangers, niveau de performance des fonctions de sécurité | ISO 12100, ISO 13849, IEC 62061 |
| Procedes et OT | Layer-of-Protection Analysis, détermination SIL | IEC 61511, IEC 61508 |
| Cybersecurite industrielle | Zones et conduits, évaluation du risque cybersécurité | IEC 62443-3-2, IEC 62443-4-1 |
| Radioactif, pharma | QRM (Quality Risk Management) | ICH Q9 |
Le schéma est constant: chaque secteur définit ses propres critères d'acceptabilité (ASIL pour l'automobile, DAL pour l'avionique, PL pour les machines, SIL pour les procedes), et utilise les techniques IEC 31010 pour alimenter l'analyse. Un produit multi-cibles (un dispositif medical connecte avec une variante infotainment automobile, ou un contrôleur industriel avec cybersécurité) maintient des dossiers de risques alignes entre secteurs, en s'appuyant sur la même épine dorsale FMEA et FTA avec des déclinaisons sectorielles.
Chaine de documentation
Section intitulée « Chaine de documentation »Un dossier de risques complet établit la chaine de traçabilité du danger jusqu'a la verification.
- Liste des dangers (usage prévu, mésusage prévisible, environnemental, électrique, mécanique, logiciel, cybersécurité, biologique le cas échéant),
- Estimation du risque par danger (sévérité, probabilité, niveau de risque initial),
- Mesures de maitrise du risque (sécurité intrinsèque, protections, information d'usage), allouées aux exigences de conception,
- Preuves de verification par mesure de maitrise (essai, analyse, inspection, revue), référencées au dossier de verification,
- Evaluation du risque résiduel par danger (sévérité et probabilité apres maitrise, acceptabilité),
- Evaluation du risque résiduel global (agrégation, analyse bénéfice/risque le cas échéant),
- Rapport de gestion des risques signe par la direction,
- Boucle post-commercialisation (réclamations, vigilance, données terrain) reinjectee dans le dossier de risques a chaque revue.
Chaque maillon reference le suivant par numéro et version de document, de sorte qu'un auditeur peut suivre un danger depuis son identification jusqu'aux preuves de verification et aux données post-commercialisation qui confirment (ou invalident) la probabilité estimee.
Integration au dossier de certification
Section intitulée « Integration au dossier de certification »Le dossier de risques est rarement un document autonome. Il s'imbrique dans le dossier de certification a cote des controles de conception, de la verification et validation, du procede de fabrication et de la surveillance post-commercialisation. Pour une intégration cohérente, voir QMS panorama (ISO 9001, AS 9100, ISO 13485, TL 9000) et sécurité des équipements de laboratoire et de mesure, IEC 61010. Pour le risque cybersécurité spécifique aux produits connectes, voir Cyber Resilience Act (CRA).
Un schéma d'intégration courant dans un dossier de dispositif medical: plan et rapport de gestion des risques ISO 14971 en sommet, FMEA sur la carte électronique alimentant la design FMEA du dispositif, FTA sur les evenements redoutes les plus sévères (choc électrique, dose incorrecte, fausse alarme), HAZOP sur les fonctions logicielles embarquées et les séquences d'interaction utilisateur, et une matrice de traçabilité reliant chaque mesure de maitrise a une exigence de conception et a une preuve de verification.
Pieges fréquents
Section intitulée « Pieges fréquents »| Piege | Consequence |
|---|---|
| Dossier de risques produit comme livrable ponctuel, non maintenu sur le cycle de vie | Retours terrain non réinjectes, l'évaluation du risque résiduel devient obsolète |
| FMEA utilisée comme case a cocher sans traçabilité vers les controles de conception | L'organisme notifie constate le lien rompu entre action de maitrise et exigence de conception |
| FTA avec couverture incomplète des evenements de base | Probabilite d'evenement de tête optimiste, points uniques de défaillance caches |
| FTA supposant l'indépendance d'evenements a cause commune | Probabilite combinée sous-estimee, défaillance de cause commune non mitigée |
| Dichotomie du RPN masquant les éléments a haute sévérité | Risque sévère insuffisamment maitrise parce que le score de détection a remonte le rang |
| Noeuds HAZOP trop grossiers | Deviations intermédiaires manquées, fonction programmable non couverte |
| HAZOP par un seul ingénieur au lieu d'une séance pluridisciplinaire | La méthode perd sa puissance, scenarios negliges |
| Probabilites empruntées a une base générique sans justification | Analyse quantitative faiblement défendable en audit |
| Risques résiduels individuels non agreges en un risque résiduel global | Analyse bénéfice/risque sur le dispositif entier manquante ou non étayée |
| Rapport de gestion des risques non signe par la direction | Non-conformité formelle au titre d'ISO 14971 |
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Robotique industrielle, ISO 10218 et 15066: HRA sectorielle et sécurité collaborative
- Securite des équipements de laboratoire et de mesure, IEC 61010: analyse de risque pour les équipements de mesure et de laboratoire
- QMS panorama (ISO 9001, AS 9100, ISO 13485, TL 9000): système qualité dans lequel le dossier de risques est maintenu
- Cyber Resilience Act (CRA): risque cybersécurité sous le CRA UE, intégration avec ISO/IEC 27005 et IEC 62443
- Glossaire: définitions FMEA, FMECA, FTA, ETA, HAZOP, STPA, ASIL, DAL, SIL, PL, ALARP, GSPR
Voir aussi
Section intitulée « Voir aussi »- MDR (UE) 2017/745 : dispositifs médicaux
- MDR classes IIb et III : parcours UDI, EUDAMED, ON, SCAC
- IVDR (UE) 2017/746 : diagnostic in vitro medical
- FDA 510(k), De Novo et PMA : dispositifs médicaux USA
Sources & références
- ISO 14971:2019, Medical devices, Application of risk management , ISO www.iso.org/standard/72704.html
- ISO/TR 24971:2020, Guidance on the application of ISO 14971 , ISO www.iso.org/standard/74437.html
- IEC 31010:2019, Risk management, Risk assessment techniques , IEC www.iso.org/standard/72140.html
- IEC 60812:2018, Failure modes and effects analysis (FMEA and FMECA) , IEC webstore.iec.ch/publication/26359
- IEC 61025:2006, Fault tree analysis (FTA) , IEC webstore.iec.ch/publication/4311
- IEC 61882:2016, Hazard and operability studies (HAZOP studies) , IEC webstore.iec.ch/publication/24321
- AIAG-VDA FMEA Handbook (2019), Action Priority methodology , AIAG and VDA www.aiag.org/quality/automotive-core-tools/fmea
Questions fréquentes
- Quelle est la différence entre ISO 14971 et IEC 31010 ?
- Les deux normes ne se concurrencent pas, elles s'emboitent. ISO 14971:2019 est la norme de gestion des risques au niveau produit pour les dispositifs médicaux, prescriptive sur le processus: identification des dangers, estimation du risque, maitrise du risque, évaluation du risque résiduel, dossier de gestion des risques. IEC 31010:2019 est un catalogue de techniques d'évaluation du risque (une trentaine, du brainstorming aux réseaux bayésiens), plus large que le medical, et sert de boite a outils pour alimenter l'étape d'analyse requise par ISO 14971 ou tout autre cadre de gestion des risques. Un projet medical utilise typiquement ISO 14971 comme colonne processuelle et pioche FMEA, FTA ou HAZOP dans le catalogue IEC 31010 pour constituer le dossier.
- La FMEA suffit-elle pour un dossier de certification ?
- Rarement seule. La FMEA est une analyse inductive de défaillance unique, efficace au niveau composant ou sous-système mais aveugle aux combinaisons, aux causes systémiques et aux scenarios opérationnels. La plupart des schémas de certification (medical, automobile, aéronautique, machines) demandent une combinaison: une analyse inductive bottom-up (FMEA) couvrant les défaillances unitaires, une analyse déductive top-down (FTA) couvrant les défaillances combinées jusqu'a un evenement redoute, et des analyses opérationnelles ou scenarios (HAZOP, what-if, STPA) couvrant les usages et les facteurs humains. Un dossier reposant sur la seule FMEA est généralement considere incomplet par l'organisme notifie ou le certificateur.
- Faut-il garder le RPN ou passer a l'Action Priority ?
- Pour la FMEA automobile, le AIAG-VDA FMEA Handbook publie en 2019 a retire le RPN (Sévérité x Occurrence x Detection) au profit de l'Action Priority (AP), catégorisée High, Medium ou Low. La raison: des études ont souleve la validité prédictive limitée du RPN, ou des triplets sévérité, occurrence et détection très différents produisent le même nombre et perdent le classement. Pour les autres secteurs, le RPN reste largement utilise, y compris au titre de IEC 60812:2018, mais avec un ensemble de pieges reconnus: dichotomie de seuil, masquage de la sévérité par la détection, faible sensibilité aux éléments a haute sévérité. La tendance, tous secteurs confondus, est de traiter la sévérité comme un axe non compensable et d'exiger une action de maitrise au-dela d'un seuil de sévérité quel que soit le RPN.
- Comment évaluer les risques résiduels au titre d'ISO 14971 ?
- ISO 14971:2019 distingue le risque résiduel individuel (apres maitrise du risque sur un danger) et le risque résiduel global (apres l'ensemble des mesures de maitrise, evalue globalement sur le dispositif). Chaque risque résiduel fait l'objet d'une analyse bénéfice/risque: le risque est acceptable s'il est compense par le bénéfice medical du dispositif, en tenant compte de l'état de l'art et des alternatives disponibles. Le risque résiduel global reçoit une évaluation séparée, typiquement appuyée sur les données cliniques agrégées, la surveillance post-commercialisation et la comparaison avec des dispositifs similaires. La conclusion est documentée dans le rapport de gestion des risques signe par la direction du fabricant.
- Quand utiliser une HAZOP plutôt qu'une FMEA ?
- L'HAZOP (Hazard and Operability Study, IEC 61882:2016) a ete développée pour l'industrie des procedes et convient bien aux systèmes a flux continu, aux logiques programmables et aux séquences opérationnelles. Elle utilise des mots-guides (NO, MORE, LESS, AS WELL AS, REVERSE, OTHER THAN) appliques a l'intention de conception identifiée a chaque noeud, ce qui force l'exploration de scenarios de déviation au-dela des simples défaillances unitaires. La FMEA, en revanche, est plus naturelle pour les systèmes a composants discrets (carte électronique, sous-ensemble mécanique). Pour un dispositif medical programmable ou un système de controle industriel, l'HAZOP au niveau fonctionnel complete une FMEA au niveau composant plutôt qu'elle ne la remplace.
- Comment ISO 14971 se relie-t-elle au MDR UE et au QMSR FDA ?
- ISO 14971:2019 est harmonisée sous le MDR UE pour les dispositifs médicaux et constitue la reference de fait pour démontrer la conformité aux exigences générales en matière de sécurité et de performances (GSPR 1 a 4 de l'Annexe I du MDR), qui exigent un système de gestion des risques sur le cycle de vie du dispositif. Cote etats-unis, la Quality Management System Regulation (QMSR) de la FDA, qui remplace le 21 CFR Part 820 a effet 2026, incorpore explicitement ISO 13485 et renvoie a ISO 14971 pour le processus de gestion des risques. Un dossier de gestion des risques ISO 14971 unique soutient donc a la fois le dossier UE et le dossier US, sous reserve des spécificités locales de reporting et de post-commercialisation.
- Qu'est-ce que STAMP/STPA et quand est-ce pertinent ?
- STAMP (Systems-Theoretic Accident Model and Processes) et sa méthode d'analyse STPA (Systems-Theoretic Process Analysis), développées par Nancy Leveson au MIT, traitent la sécurité comme un problème de controle plutôt que comme une chaine de défaillances. STPA identifie les actions de controle dangereuses et les scenarios de perte dans la structure de controle d'un système cyber-physique complexe. Elle est de plus en plus citée pour la conduite autonome (en soutien d'ISO 26262 et ISO 21448), la robotique avancée, les dispositifs médicaux complexes a forte composante logicielle, et les systèmes logiciels lourds ou l'analyse de défaillance au niveau composant est peu prédictive. STPA ne remplace pas la FMEA ni la FTA, elle les complete sur l'axe systémique et logiciel.
- Quels sont les pieges récurrents du dossier de risques ?
- Cinq reviennent en audit et en revue d'organisme notifie: traiter le dossier de risques comme un livrable ponctuel plutôt qu'un document vivant sur le cycle de vie, sans boucle de retour des données post-commercialisation; utiliser la FMEA comme case a cocher sans traçabilité vers les controles de conception et les preuves de verification; mener une FTA sans couverture complete des evenements de base, ce qui produit une probabilité optimiste de l'evenement de tête; définir des noeuds HAZOP trop grossiers, ce qui masque les déviations; et manquer le lien entre risques résiduels individuels et risque résiduel global, ce qui prive l'analyse bénéfice/risque de son support.