Gestion des risques: ISO 14971, IEC 31010, FMEA, FTA, HAZOP

Auteur Hugues Orgitello Mis à jour le 27 mai 2026 ~14 min de lecture

Guide, gestion des risques

La gestion des risques est la colonne vertebrale d'un dossier de certification moderne. Que la cible soit un dispositif medical sous MDR UE et QMSR FDA, un systeme de controle industriel sous IEC 61508, un vehicule particulier sous ISO 26262, un aeronef civil sous ARP4761 ou une machine sous ISO 12100, le certificateur attend un dossier de risques structure: un processus documente (ISO 14971 pour le medical, normes sectorielles ailleurs), une boite a outils de techniques (IEC 31010), des analyses bottom-up et top-down (FMEA, FTA), des scenarios operationnels (HAZOP, what-if, STPA), des preuves de maitrise du risque et une evaluation du risque residuel etayee par les donnees post-commercialisation. Cette page cartographie le paysage, detaille les techniques effectivement utilisees au niveau electronique et logiciel embarque, et liste les pieges recurrents qui coutent des re-depots en audit de certification.

Cartographie des normes

La gestion des risques pour la certification produit repose sur un petit nombre de normes, organisees sur trois axes: processus, techniques et declinaisons sectorielles.

Couche	Norme	Perimetre
Processus, medical	ISO 14971:2019	Processus de gestion des risques pour dispositifs medicaux, cycle de vie complet
Processus, guidance medical	ISO/TR 24971:2020	Guidance pour l'application d'ISO 14971, exemples, modeles
Processus, generique	ISO 31000:2018	Cadre generique de gestion des risques, tous secteurs
Catalogue de techniques	IEC 31010:2019	Une trentaine de techniques d'evaluation du risque, selection par phase du cycle de vie
FMEA / FMECA	IEC 60812:2018	Analyse des modes de defaillance et de leurs effets, methodologie
FTA	IEC 61025:2006	Analyse par arbre de defaillances, deductive top-down
ETA	IEC 62502:2010	Analyse par arbre d'evenements, inductive bottom-up
HAZOP	IEC 61882:2016	Etudes de risque et d'operabilite, base sur mots-guides
Sectoriel, securite fonctionnelle auto	ISO 26262	HARA, determination ASIL, cycle de vie securite
Sectoriel, SOTIF autonomie	ISO 21448	Securite de la fonctionnalite voulue, autonomie
Sectoriel, aeronautique	ARP4761 (1996)	FHA, PSSA, SSA, CCA = PRA + ZSA + CMA
Sectoriel, machines	ISO 12100 + ISO 13849	Analyse des dangers et niveau de performance des fonctions de securite
Sectoriel, cybersecurite OT	IEC 62443-3-2	Evaluation du risque pour systemes de controle industriel
Sectoriel, cyber automobile	ISO/SAE 21434	Risque cybersecurite pour vehicules routiers
Reference FMEA industrie	AIAG-VDA FMEA Handbook (2019)	Methodologie Action Priority, remplace SAE J1739 et VDA 4

La consequence pratique est qu'un projet electronique ou logiciel embarque choisit rarement une seule norme. Il choisit une colonne processuelle (ISO 14971 pour un dispositif medical, ISO 26262 pour un ECU automobile, ARP4761 pour un LRU avionique, ISO 12100 pour une machine), puis pioche des techniques dans le catalogue IEC 31010 (FMEA, FTA, HAZOP, STPA, what-if) et les documente conformement aux normes IEC dediees (60812, 61025, 61882).

ISO 14971 en pratique

ISO 14971:2019 est la norme internationale de gestion des risques des dispositifs medicaux. Elle est harmonisee sous le MDR UE (Reglement 2017/745) et constitue la reference de fait pour demontrer la conformite aux GSPR 1 a 4 de l'Annexe I. Cote etats-unis, elle est reconnue par la FDA, et la Quality Management System Regulation (QMSR) de la FDA, qui remplace le 21 CFR Part 820 a effet fevrier 2026, incorpore ISO 13485 par reference, laquelle s'appuie sur ISO 14971 pour le processus de gestion des risques.

Colonne processuelle

ISO 14971 organise la gestion des risques comme un processus continu sur le cycle de vie, et non comme une etude ponctuelle en fin de conception. Les elements requis sont stables dans l'edition 2019:

1. Plan de gestion des risques approuve par la direction, definissant la politique d'acceptabilite des risques, les methodes choisies et les responsabilites.
2. Analyse des dangers (dangers previsibles lies a l'usage prevu et au mesusage raisonnablement previsible), s'appuyant sur les donnees passees, les dispositifs similaires, les retours reglementaires et la litterature clinique.
3. Estimation du risque pour chaque situation dangereuse, en deux dimensions: severite du dommage et probabilite d'occurrence.
4. Evaluation du risque par rapport aux criteres d'acceptabilite definis dans le plan.
5. Maitrise du risque par ordre de priorite: (a) securite intrinseque par conception, (b) mesures de protection dans le dispositif ou le procede de fabrication, (c) information pour la securite (etiquetage, notice d'utilisation, formation).
6. Evaluation du risque residuel, individuellement puis globalement, avec analyse benefice/risque.
7. Rapport de gestion des risques signe par la direction, resumant l'acceptabilite du risque residuel global.
8. Activites de production et post-production: boucle de retour des reclamations, materiovigilance et suivi clinique post-commercialisation vers le dossier de risques.

Matrice d'acceptabilite

ISO 14971 n'impose pas de matrice specifique. Elle exige du fabricant qu'il publie la sienne, justifiee, et qu'il l'applique de maniere coherente. Un schema courant combine cinq niveaux de severite (negligeable, mineur, serieux, critique, catastrophique) et cinq niveaux de probabilite (improbable, eloigne, occasionnel, probable, frequent), avec trois zones d'acceptabilite: largement acceptable, ALARP (as low as reasonably practicable), inacceptable. L'edition 2019 reconnait explicitement que la reduction du risque est requise meme en zone largement acceptable lorsque l'etat de l'art le permet.

Analyse benefice/risque

Lorsqu'un risque residuel individuel tombe dans la zone ALARP, ISO 14971 exige une analyse benefice/risque documentee: le risque residuel est-il compense par le benefice medical, en tenant compte des alternatives disponibles, de l'etat de l'art et du contexte clinique ? La conclusion est documentee et reevaluee a mesure que de nouvelles donnees cliniques deviennent disponibles. Le risque residuel global recoit une evaluation separee sur l'ensemble des risques individuels combines. ISO/TR 24971:2020 fournit des exemples de matrices d'acceptabilite, d'analyses benefice/risque et de gestion des modifications en production.

IEC 31010, le catalogue de techniques

IEC 31010:2019 est la boite a outils internationale d'evaluation du risque. Elle n'impose pas de processus: elle catalogue une trentaine de techniques, caracterise chacune (objectif, forces, limites, besoins de donnees) et propose une table de selection par phase du cycle de vie et profondeur d'analyse.

Grandes familles

Famille	Exemples	Usage typique
Techniques d'identification	Brainstorming, Delphi, structured what-if (SWIFT), check-list	Exploration des dangers en conception amont
Defaillance unitaire inductive	FMEA, FMECA	Niveau composant ou sous-systeme, cartes electroniques
Deductive top-down	FTA, analyse cause-consequence	Defaillances combinees, probabilite d'evenement redoute
Inductive par scenario	ETA (event tree analysis)	Consequences d'un evenement initiateur
Deviation par mots-guides	HAZOP, SWIFT	Procedes continus, logiques programmables, sequences operationnelles
Probabiliste	Reseaux bayesiens, chaines de Markov, Monte Carlo	Fiabilite avec dependances, donnees incertaines
Facteurs humains	HRA (human reliability analysis), analyse des taches	Erreurs d'usage, interventions operateur
Impact business	BIA, analyse de scenarios	Consequences operationnelles et commerciales
Systemique	STAMP/STPA	Cyber-physique, logiciel lourd, autonome

Logique de selection

La bonne technique n'est pas la plus sophistiquee, c'est celle qui correspond aux donnees disponibles et a la maturite de la conception. Un projet en phase concept utilise typiquement le brainstorming et la SWIFT, puis introduit une FMEA systeme lorsque l'architecture se stabilise, une FTA sur les evenements redoutes les plus severes lorsque la conception est suffisamment detaillee, et une HAZOP sur les fonctions programmables lorsque l'architecture logicielle est stable. Un produit en fin de cycle de vie utilise le retour des donnees post-commercialisation, la mise a jour bayesienne et l'analyse de cause racine sur les reclamations.

FMEA et FMECA

La FMEA (Failure Mode and Effects Analysis) et la FMECA (sa variante etendue par la criticite) sont les techniques les plus largement utilisees en certification electronique, tous secteurs confondus. La reference methodologique est IEC 60812:2018, completee par le AIAG-VDA FMEA Handbook (2019) pour l'automobile.

Variantes

Variante	Perimetre	Usage typique
FMEA systeme	Architecture fonctionnelle, interfaces	Phase concept
Design FMEA (D-FMEA)	Composants, sous-ensembles, choix de conception	Conception detaillee, niveau carte
Process FMEA (P-FMEA)	Procede de fabrication	Industrialisation, production
Service FMEA	Maintenance, reparation, fin de vie	Support operationnel
Software FMEA	Fonctions logicielles, exceptions, modes	Logiciel embarque (valeur predictive limitee seule)

RPN versus Action Priority

La methodologie FMEA classique classe chaque mode de defaillance par Risk Priority Number, RPN = Severite x Occurrence x Detection, sur des echelles generalement de 1 a 10. Le AIAG-VDA FMEA Handbook (2019) a retire le RPN pour l'automobile au profit de l'Action Priority (AP), qui categorise la priorite High, Medium ou Low en fonction du triplet SOD combine, en traitant la severite comme non compensable.

La raison du changement: des etudes publiees sur la FMEA ont note que des triplets SOD tres differents produisent des RPN identiques, ce qui perd le classement, et qu'un faible score de detection peut diluer une severite elevee. Plusieurs organismes certificateurs exigent desormais explicitement que la severite soit traitee comme non compensable: au-dela d'un seuil de severite defini (typiquement S = 9 ou 10), une action de maitrise est obligatoire quel que soit le RPN ou la detection. Hors automobile, IEC 60812:2018 documente les deux approches et laisse le choix au projet, sous condition de coherence et de tracabilite.

Erreurs frequentes

• Echelle de severite instable entre feuilles FMEA, ce qui rend la priorisation non comparable au sein du dossier,
• Detection gonflee en comptant des tests qui n'ont pas ete effectivement realises, optimistes par nature,
• Occurrence sous-estimee en ignorant les retours terrain des produits similaires,
• FMEA realisee trop tard, apres le gel de conception, sans influence sur les choix faits,
• Plan d'actions non tracable vers les preuves de verification dans le dossier.

FTA, ETA et coupes minimales

L'analyse par arbre de defaillances (FTA, IEC 61025:2006) est une technique deductive top-down: a partir d'un evenement redoute, l'analyste decompose les causes logiques au travers de portes ET et OU jusqu'a des evenements de base de probabilite identifiee. L'analyse par arbre d'evenements (ETA, IEC 62502:2010) est la technique inductive symetrique: a partir d'un evenement initiateur, elle explore les branches de consequence selon le succes ou l'echec des barrieres et mesures de protection.

FTA en pratique

La force de la FTA est sa capacite a quantifier la probabilite d'un evenement redoute a partir des probabilites d'evenements de base, et a identifier les coupes minimales, c'est-a-dire les plus petites combinaisons d'evenements de base qui menent a l'evenement redoute. Une coupe de taille un est un point unique de defaillance, generalement inacceptable sur un evenement de tete. L'aeronautique sous ARP4761 utilise systematiquement la FTA en PSSA (Preliminary System Safety Assessment) et SSA (System Safety Assessment), avec des cibles de probabilite combinees derivees de la severite de l'evenement (catastrophique 1E-9, dangereux 1E-7, majeur 1E-5, mineur 1E-3 par heure de vol).

ETA en pratique

L'ETA complete la FTA en suivant ce qui se passe apres la defaillance: quelles barrieres operent, quelles protections s'engagent, quelle est la consequence attendue (incident negligeable, urgence maitrisee, accident). Elle est largement utilisee dans les procedes, le nucleaire et la chimie, et de plus en plus dans la mobilite autonome pour modeliser le comportement apres defaillance interne (mode degrade, arret securitaire, reprise par le conducteur).

Erreurs frequentes

• Couverture incomplete des evenements de base, qui produit une probabilite optimiste de l'evenement de tete,
• Independance supposee a tort entre evenements de base qui partagent une cause commune (une alimentation, un module logiciel, un capteur),
• Probabilites non sourcees, valeurs generiques empruntees sans justification a une base de donnees (FIDES, Telcordia, MIL-HDBK-217),
• Absence de mise a jour lorsque la conception ou le choix des composants evolue.

Pour les cibles de probabilite et l'analyse de causes communes, voir les entrees evaluation de securite aeronautique du glossaire.

HAZOP et structured what-if

L'HAZOP (Hazard and Operability Study, IEC 61882:2016) a ete developpee dans les annees 1960 par ICI pour l'industrie des procedes et reste la technique de reference pour les systemes a flux continu, mais son champ s'est etendu aux logiques programmables, aux systemes de controle et au logiciel embarque.

Methode

Le systeme est decoupe en noeuds (une portion de tuyauterie, un equipement, une fonction logicielle). Pour chaque noeud, l'analyste definit l'intention de conception, puis applique des mots-guides a cette intention: NO (intention non atteinte), MORE (plus que l'intention), LESS (moins que l'intention), AS WELL AS (intention plus quelque chose), PART OF (intention partielle), REVERSE (oppose de l'intention), OTHER THAN (quelque chose de different de l'intention). Chaque combinaison mot-guide x intention est examinee: la deviation est-elle possible, quelle est la cause, quelle est la consequence, quelle protection existe, quelle action est necessaire ?

Adaptation aux systemes programmables

Pour les fonctions logicielles, les mots-guides sont adaptes: NO devient "la fonction ne s'execute pas", MORE devient "s'execute trop souvent ou trop longtemps", LESS devient "s'execute trop rarement ou trop brievement", REVERSE devient "execute la fonction inverse". IEC 61882:2016 documente cette extension logicielle et est utilisee dans les dossiers de securite fonctionnelle programmable (IEC 61508, ISO 26262), en ferroviaire (EN 50128) et en cybersecurite des systemes de controle industriel (IEC 62443-3-2).

Erreurs frequentes

• Noeuds HAZOP trop grossiers, ce qui masque les deviations intermediaires,
• Intention de conception non formalisee au niveau noeud, ce qui rend l'application des mots-guides vide,
• HAZOP realisee par un seul ingenieur, alors que la methode tire sa puissance d'une seance de groupe pluridisciplinaire animee par un facilitateur,
• Absence de tracabilite entre les conclusions HAZOP et les modifications de conception ou la verification.

STAMP et STPA

STAMP (Systems-Theoretic Accident Model and Processes), developpe par Nancy Leveson au MIT, traite la securite comme un probleme de controle plutot que comme une chaine de defaillances. La methode d'analyse STPA (Systems-Theoretic Process Analysis) identifie les actions de controle dangereuses dans la structure de controle du systeme: un controleur emet une action de controle, un actionneur l'execute, un procede reagit, des capteurs renvoient l'information au controleur. STPA explore quatre classes d'action dangereuse: une action requise non fournie, une action dangereuse fournie, une action fournie trop tot ou trop tard, une action arretee trop tot ou appliquee trop longtemps.

STPA est de plus en plus citee pour la conduite autonome en soutien d'ISO 26262 et ISO 21448, en robotique avancee (voir robotique industrielle, ISO 10218 et 15066) et pour les dispositifs medicaux complexes a forte composante logicielle. Elle ne remplace pas la FMEA ni la FTA, elle les complete sur l'axe systemique et logiciel lourd, ou l'analyse de defaillance au niveau composant est peu predictive.

Declinaisons sectorielles

Secteur	Approche risque	References cles
Medical	ISO 14971 + design controls sous ISO 13485, MDR / QMSR FDA	ISO 14971, ISO 13485, Annexe I MDR, 21 CFR 820 / QMSR
Securite fonctionnelle auto	HARA (Hazard Analysis and Risk Assessment), determination ASIL	ISO 26262, ISO 21448 pour l'autonomie
Cybersecurite auto	TARA (Threat Analysis and Risk Assessment)	ISO/SAE 21434, UNECE R155, R156
Aeronautique	FHA, PSSA, SSA, CCA = PRA + ZSA + CMA	ARP4761 (1996), AC 25.1309, DO-178C, DO-254
Machines	Analyse des dangers, niveau de performance des fonctions de securite	ISO 12100, ISO 13849, IEC 62061
Procedes et OT	Layer-of-Protection Analysis, determination SIL	IEC 61511, IEC 61508
Cybersecurite industrielle	Zones et conduits, evaluation du risque cybersecurite	IEC 62443-3-2, IEC 62443-4-1
Radioactif, pharma	QRM (Quality Risk Management)	ICH Q9

Le schema est constant: chaque secteur definit ses propres criteres d'acceptabilite (ASIL pour l'automobile, DAL pour l'avionique, PL pour les machines, SIL pour les procedes), et utilise les techniques IEC 31010 pour alimenter l'analyse. Un produit multi-cibles (un dispositif medical connecte avec une variante infotainment automobile, ou un controleur industriel avec cybersecurite) maintient des dossiers de risques alignes entre secteurs, en s'appuyant sur la meme epine dorsale FMEA et FTA avec des declinaisons sectorielles.

Chaine de documentation

Un dossier de risques complet etablit la chaine de tracabilite du danger jusqu'a la verification.

1. Liste des dangers (usage prevu, mesusage previsible, environnemental, electrique, mecanique, logiciel, cybersecurite, biologique le cas echeant),
2. Estimation du risque par danger (severite, probabilite, niveau de risque initial),
3. Mesures de maitrise du risque (securite intrinseque, protections, information d'usage), allouees aux exigences de conception,
4. Preuves de verification par mesure de maitrise (essai, analyse, inspection, revue), referencees au dossier de verification,
5. Evaluation du risque residuel par danger (severite et probabilite apres maitrise, acceptabilite),
6. Evaluation du risque residuel global (agregation, analyse benefice/risque le cas echeant),
7. Rapport de gestion des risques signe par la direction,
8. Boucle post-commercialisation (reclamations, vigilance, donnees terrain) reinjectee dans le dossier de risques a chaque revue.

Chaque maillon reference le suivant par numero et version de document, de sorte qu'un auditeur peut suivre un danger depuis son identification jusqu'aux preuves de verification et aux donnees post-commercialisation qui confirment (ou invalident) la probabilite estimee.

Integration au dossier de certification

Le dossier de risques est rarement un document autonome. Il s'imbrique dans le dossier de certification a cote des controles de conception, de la verification et validation, du procede de fabrication et de la surveillance post-commercialisation. Pour une integration coherente, voir QMS panorama (ISO 9001, AS 9100, ISO 13485, TL 9000) et securite des equipements de laboratoire et de mesure, IEC 61010. Pour le risque cybersecurite specifique aux produits connectes, voir Cyber Resilience Act (CRA).

Un schema d'integration courant dans un dossier de dispositif medical: plan et rapport de gestion des risques ISO 14971 en sommet, FMEA sur la carte electronique alimentant la design FMEA du dispositif, FTA sur les evenements redoutes les plus severes (choc electrique, dose incorrecte, fausse alarme), HAZOP sur les fonctions logicielles embarquees et les sequences d'interaction utilisateur, et une matrice de tracabilite reliant chaque mesure de maitrise a une exigence de conception et a une preuve de verification.

Pieges frequents

Piege	Consequence
Dossier de risques produit comme livrable ponctuel, non maintenu sur le cycle de vie	Retours terrain non reinjectes, l'evaluation du risque residuel devient obsolete
FMEA utilisee comme case a cocher sans tracabilite vers les controles de conception	L'organisme notifie constate le lien rompu entre action de maitrise et exigence de conception
FTA avec couverture incomplete des evenements de base	Probabilite d'evenement de tete optimiste, points uniques de defaillance caches
FTA supposant l'independance d'evenements a cause commune	Probabilite combinee sous-estimee, defaillance de cause commune non mitigee
Dichotomie du RPN masquant les elements a haute severite	Risque severe insuffisamment maitrise parce que le score de detection a remonte le rang
Noeuds HAZOP trop grossiers	Deviations intermediaires manquees, fonction programmable non couverte
HAZOP par un seul ingenieur au lieu d'une seance pluridisciplinaire	La methode perd sa puissance, scenarios negliges
Probabilites empruntees a une base generique sans justification	Analyse quantitative faiblement defendable en audit
Risques residuels individuels non agreges en un risque residuel global	Analyse benefice/risque sur le dispositif entier manquante ou non etayee
Rapport de gestion des risques non signe par la direction	Non-conformite formelle au titre d'ISO 14971

Pour aller plus loin

• Robotique industrielle, ISO 10218 et 15066: HRA sectorielle et securite collaborative
• Securite des equipements de laboratoire et de mesure, IEC 61010: analyse de risque pour les equipements de mesure et de laboratoire
• QMS panorama (ISO 9001, AS 9100, ISO 13485, TL 9000): systeme qualite dans lequel le dossier de risques est maintenu
• Cyber Resilience Act (CRA): risque cybersecurite sous le CRA UE, integration avec ISO/IEC 27005 et IEC 62443
• Glossaire: definitions FMEA, FMECA, FTA, ETA, HAZOP, STPA, ASIL, DAL, SIL, PL, ALARP, GSPR

Voir aussi

• MDR (UE) 2017/745 : dispositifs medicaux
• MDR classes IIb et III : parcours UDI, EUDAMED, ON, SCAC
• IVDR (UE) 2017/746 : diagnostic in vitro medical
• FDA 510(k), De Novo et PMA : dispositifs medicaux USA

Un cas concret de dossier de gestion des risques pour certification produit, ISO 14971 medical ou declinaisons sectorielles, FMEA, FTA, HAZOP, STPA integres au dossier ? AESTECHNO peut auditer votre conception et votre plan de certification. Nous contacter →

Besoin d’un appui ?

Un audit de 30 minutes avec les ingénieurs AESTECHNO.

AESTECHNO est le bureau d'études qui édite spilma. Nous aidons les équipes produit à cadrer leur démarche de certification et à éviter les pièges classiques.

Réserver un audit gratuit

Sources & références

1. ISO 14971:2019, Medical devices, Application of risk management , ISO www.iso.org/standard/72704.html
2. ISO/TR 24971:2020, Guidance on the application of ISO 14971 , ISO www.iso.org/standard/74437.html
3. IEC 31010:2019, Risk management, Risk assessment techniques , IEC www.iso.org/standard/72140.html
4. IEC 60812:2018, Failure modes and effects analysis (FMEA and FMECA) , IEC webstore.iec.ch/publication/26359
5. IEC 61025:2006, Fault tree analysis (FTA) , IEC webstore.iec.ch/publication/4311
6. IEC 61882:2016, Hazard and operability studies (HAZOP studies) , IEC webstore.iec.ch/publication/24321
7. AIAG-VDA FMEA Handbook (2019), Action Priority methodology , AIAG and VDA www.aiag.org/quality/automotive-core-tools/fmea