Aller au contenu

Gestion des risques: ISO 14971, IEC 31010, FMEA, FTA, HAZOP

Guide, gestion des risques

La gestion des risques est la colonne vertébrale d'un dossier de certification moderne. Que la cible soit un dispositif medical sous MDR UE et QMSR FDA, un système de controle industriel sous IEC 61508, un vehicule particulier sous ISO 26262, un aéronef civil sous ARP4761 ou une machine sous ISO 12100, le certificateur attend un dossier de risques structure: un processus documente (ISO 14971 pour le medical, normes sectorielles ailleurs), une boite a outils de techniques (IEC 31010), des analyses bottom-up et top-down (FMEA, FTA), des scenarios opérationnels (HAZOP, what-if, STPA), des preuves de maitrise du risque et une évaluation du risque résiduel étayée par les données post-commercialisation. Cette page cartographie le paysage, detaille les techniques effectivement utilisées au niveau électronique et logiciel embarque, et liste les pieges récurrents qui coûtent des re-depots en audit de certification.

La gestion des risques pour la certification produit repose sur un petit nombre de normes, organisées sur trois axes: processus, techniques et déclinaisons sectorielles.

CoucheNormePerimetre
Processus, medicalISO 14971:2019Processus de gestion des risques pour dispositifs médicaux, cycle de vie complet
Processus, guidance medicalISO/TR 24971:2020Guidance pour l'application d'ISO 14971, exemples, modeles
Processus, génériqueISO 31000:2018Cadre générique de gestion des risques, tous secteurs
Catalogue de techniquesIEC 31010:2019Une trentaine de techniques d'évaluation du risque, sélection par phase du cycle de vie
FMEA / FMECAIEC 60812:2018Analyse des modes de défaillance et de leurs effets, méthodologie
FTAIEC 61025:2006Analyse par arbre de défaillances, déductive top-down
ETAIEC 62502:2010Analyse par arbre d'evenements, inductive bottom-up
HAZOPIEC 61882:2016Etudes de risque et d'opérabilité, base sur mots-guides
Sectoriel, sécurité fonctionnelle autoISO 26262HARA, détermination ASIL, cycle de vie sécurité
Sectoriel, SOTIF autonomieISO 21448:2022Securite de la fonctionnalité voulue, autonomie
Sectoriel, aéronautiqueARP4761 (1996)FHA, PSSA, SSA, CCA = PRA + ZSA + CMA
Sectoriel, machinesISO 12100 + ISO 13849Analyse des dangers et niveau de performance des fonctions de sécurité
Sectoriel, cybersécurité OTIEC 62443-3-2Evaluation du risque pour systèmes de controle industriel
Sectoriel, cyber automobileISO/SAE 21434Risque cybersécurité pour vehicules routiers
Reference FMEA industrieAIAG-VDA FMEA Handbook (2019)Methodologie Action Priority, remplace SAE J1739 et VDA 4

La conséquence pratique est qu'un projet électronique ou logiciel embarque choisit rarement une seule norme. Il choisit une colonne processuelle (ISO 14971 pour un dispositif medical, ISO 26262 pour un ECU automobile, ARP4761 pour un LRU avionique, ISO 12100 pour une machine), puis pioche des techniques dans le catalogue IEC 31010 (FMEA, FTA, HAZOP, STPA, what-if) et les documente conformément aux normes IEC dédiées (60812, 61025, 61882).

ISO 14971:2019 est la norme internationale de gestion des risques des dispositifs médicaux. Elle est harmonisée sous le MDR UE (Règlement 2017/745) et constitue la reference de fait pour démontrer la conformité aux GSPR 1 a 4 de l'Annexe I. Cote etats-unis, elle est reconnue par la FDA, et la Quality Management System Regulation (QMSR) de la FDA, qui remplace le 21 CFR Part 820 a effet février 2026, incorpore ISO 13485 par reference, laquelle s'appuie sur ISO 14971 pour le processus de gestion des risques.

ISO 14971 organise la gestion des risques comme un processus continu sur le cycle de vie, et non comme une étude ponctuelle en fin de conception. Les éléments requis sont stables dans l'édition 2019:

  1. Plan de gestion des risques approuve par la direction, définissant la politique d'acceptabilité des risques, les méthodes choisies et les responsabilites.
  2. Analyse des dangers (dangers prévisibles lies a l'usage prévu et au mésusage raisonnablement prévisible), s'appuyant sur les données passées, les dispositifs similaires, les retours réglementaires et la littérature clinique.
  3. Estimation du risque pour chaque situation dangereuse, en deux dimensions: sévérité du dommage et probabilité d'occurrence.
  4. Evaluation du risque par rapport aux critères d'acceptabilité définis dans le plan.
  5. Maitrise du risque par ordre de priorité: (a) sécurité intrinsèque par conception, (b) mesures de protection dans le dispositif ou le procede de fabrication, (c) information pour la sécurité (étiquetage, notice d'utilisation, formation).
  6. Evaluation du risque résiduel, individuellement puis globalement, avec analyse bénéfice/risque.
  7. Rapport de gestion des risques signe par la direction, résumant l'acceptabilité du risque résiduel global.
  8. Activites de production et post-production: boucle de retour des réclamations, materiovigilance et suivi clinique post-commercialisation vers le dossier de risques.

ISO 14971 n'impose pas de matrice spécifique. Elle exige du fabricant qu'il publie la sienne, justifiée, et qu'il l'applique de maniere cohérente. Un schéma courant combine cinq niveaux de sévérité (négligeable, mineur, sérieux, critique, catastrophique) et cinq niveaux de probabilité (improbable, eloigne, occasionnel, probable, fréquent), avec trois zones d'acceptabilité: largement acceptable, ALARP (as low as reasonably practicable), inacceptable. L'édition 2019 reconnaît explicitement que la réduction du risque est requise même en zone largement acceptable lorsque l'état de l'art le permet.

Lorsqu'un risque résiduel individuel tombe dans la zone ALARP, ISO 14971 exige une analyse bénéfice/risque documentée: le risque résiduel est-il compense par le bénéfice medical, en tenant compte des alternatives disponibles, de l'état de l'art et du contexte clinique ? La conclusion est documentée et réévaluée a mesure que de nouvelles données cliniques deviennent disponibles. Le risque résiduel global reçoit une évaluation séparée sur l'ensemble des risques individuels combines. ISO/TR 24971:2020 fournit des exemples de matrices d'acceptabilité, d'analyses bénéfice/risque et de gestion des modifications en production.

IEC 31010:2019 est la boite a outils internationale d'évaluation du risque. Elle n'impose pas de processus: elle catalogue une trentaine de techniques, caracterise chacune (objectif, forces, limites, besoins de données) et propose une table de sélection par phase du cycle de vie et profondeur d'analyse.

FamilleExemplesUsage typique
Techniques d'identificationBrainstorming, Delphi, structured what-if (SWIFT), check-listExploration des dangers en conception amont
Defaillance unitaire inductiveFMEA, FMECANiveau composant ou sous-système, cartes électroniques
Deductive top-downFTA, analyse cause-conséquenceDefaillances combinées, probabilité d'evenement redoute
Inductive par scenarioETA (event tree analysis)Consequences d'un evenement initiateur
Deviation par mots-guidesHAZOP, SWIFTProcedes continus, logiques programmables, séquences opérationnelles
ProbabilisteReseaux bayésiens, chaines de Markov, Monte CarloFiabilite avec dépendances, données incertaines
Facteurs humainsHRA (human reliability analysis), analyse des tachesErreurs d'usage, interventions opérateur
Impact businessBIA, analyse de scenariosConsequences opérationnelles et commerciales
SystemiqueSTAMP/STPACyber-physique, logiciel lourd, autonome

La bonne technique n'est pas la plus sophistiquée, c'est celle qui correspond aux données disponibles et a la maturité de la conception. Un projet en phase concept utilise typiquement le brainstorming et la SWIFT, puis introduit une FMEA système lorsque l'architecture se stabilise, une FTA sur les evenements redoutes les plus sévères lorsque la conception est suffisamment détaillée, et une HAZOP sur les fonctions programmables lorsque l'architecture logicielle est stable. Un produit en fin de cycle de vie utilise le retour des données post-commercialisation, la mise a jour bayésienne et l'analyse de cause racine sur les réclamations.

La FMEA (Failure Mode and Effects Analysis) et la FMECA (sa variante étendue par la criticité) sont les techniques les plus largement utilisées en certification électronique, tous secteurs confondus. La reference méthodologique est IEC 60812:2018, complétée par le AIAG-VDA FMEA Handbook (2019) pour l'automobile.

VariantePerimetreUsage typique
FMEA systèmeArchitecture fonctionnelle, interfacesPhase concept
Design FMEA (D-FMEA)Composants, sous-ensembles, choix de conceptionConception détaillée, niveau carte
Process FMEA (P-FMEA)Procede de fabricationIndustrialisation, production
Service FMEAMaintenance, réparation, fin de vieSupport opérationnel
Software FMEAFonctions logicielles, exceptions, modesLogiciel embarque (valeur prédictive limitée seule)

La méthodologie FMEA classique classe chaque mode de défaillance par Risk Priority Number, RPN = Severite x Occurrence x Detection, sur des échelles généralement de 1 a 10. Le AIAG-VDA FMEA Handbook (2019) a retire le RPN pour l'automobile au profit de l'Action Priority (AP), qui categorise la priorité High, Medium ou Low en fonction du triplet SOD combine, en traitant la sévérité comme non compensable.

La raison du changement: des études publiées sur la FMEA ont note que des triplets SOD très différents produisent des RPN identiques, ce qui perd le classement, et qu'un faible score de détection peut diluer une sévérité elevee. Plusieurs organismes certificateurs exigent désormais explicitement que la sévérité soit traitée comme non compensable: au-dela d'un seuil de sévérité défini (typiquement S = 9 ou 10), une action de maitrise est obligatoire quel que soit le RPN ou la détection. Hors automobile, IEC 60812:2018 documente les deux approches et laisse le choix au projet, sous condition de cohérence et de traçabilité.

  • Echelle de sévérité instable entre feuilles FMEA, ce qui rend la priorisation non comparable au sein du dossier,
  • Detection gonflée en comptant des tests qui n'ont pas ete effectivement realises, optimistes par nature,
  • Occurrence sous-estimee en ignorant les retours terrain des produits similaires,
  • FMEA réalisée trop tard, apres le gel de conception, sans influence sur les choix faits,
  • Plan d'actions non traçable vers les preuves de verification dans le dossier.

L'analyse par arbre de défaillances (FTA, IEC 61025:2006) est une technique déductive top-down: a partir d'un evenement redoute, l'analyste decompose les causes logiques au travers de portes ET et OU jusqu'a des evenements de base de probabilité identifiée. L'analyse par arbre d'evenements (ETA, IEC 62502:2010) est la technique inductive symétrique: a partir d'un evenement initiateur, elle explore les branches de conséquence selon le succès ou l'échec des barrières et mesures de protection.

La force de la FTA est sa capacité a quantifier la probabilité d'un evenement redoute a partir des probabilités d'evenements de base, et a identifier les coupes minimales, c'est-a-dire les plus petites combinaisons d'evenements de base qui mènent a l'evenement redoute. Une coupe de taille un est un point unique de défaillance, généralement inacceptable sur un evenement de tête. L'aéronautique sous ARP4761 utilise systématiquement la FTA en PSSA (Preliminary System Safety Assessment) et SSA (System Safety Assessment), avec des cibles de probabilité combinées dérivées de la sévérité de l'evenement (catastrophique 1E-9, dangereux 1E-7, majeur 1E-5, mineur 1E-3 par heure de vol).

L'ETA complete la FTA en suivant ce qui se passe apres la défaillance: quelles barrières opèrent, quelles protections s'engagent, quelle est la conséquence attendue (incident négligeable, urgence maîtrisée, accident). Elle est largement utilisée dans les procedes, le nucléaire et la chimie, et de plus en plus dans la mobilité autonome pour modéliser le comportement apres défaillance interne (mode degrade, arrêt sécuritaire, reprise par le conducteur).

  • Couverture incomplète des evenements de base, qui produit une probabilité optimiste de l'evenement de tête,
  • Independance supposée a tort entre evenements de base qui partagent une cause commune (une alimentation, un module logiciel, un capteur),
  • Probabilites non sourcées, valeurs génériques empruntées sans justification a une base de données (FIDES, Telcordia, MIL-HDBK-217),
  • Absence de mise a jour lorsque la conception ou le choix des composants evolue.

Pour les cibles de probabilité et l'analyse de causes communes, voir les entrées évaluation de sécurité aéronautique du glossaire.

L'HAZOP (Hazard and Operability Study, IEC 61882:2016) a ete développée dans les années 1960 par ICI pour l'industrie des procedes et reste la technique de reference pour les systèmes a flux continu, mais son champ s'est étendu aux logiques programmables, aux systèmes de controle et au logiciel embarque.

Le système est decoupe en noeuds (une portion de tuyauterie, un équipement, une fonction logicielle). Pour chaque noeud, l'analyste définit l'intention de conception, puis applique des mots-guides a cette intention: NO (intention non atteinte), MORE (plus que l'intention), LESS (moins que l'intention), AS WELL AS (intention plus quelque chose), PART OF (intention partielle), REVERSE (oppose de l'intention), OTHER THAN (quelque chose de different de l'intention). Chaque combinaison mot-guide x intention est examinée: la déviation est-elle possible, quelle est la cause, quelle est la conséquence, quelle protection existe, quelle action est nécessaire ?

Pour les fonctions logicielles, les mots-guides sont adaptes: NO devient "la fonction ne s'execute pas", MORE devient "s'execute trop souvent ou trop longtemps", LESS devient "s'execute trop rarement ou trop brièvement", REVERSE devient "execute la fonction inverse". IEC 61882:2016 documente cette extension logicielle et est utilisée dans les dossiers de sécurité fonctionnelle programmable (IEC 61508, ISO 26262), en ferroviaire (EN 50128) et en cybersécurité des systèmes de controle industriel (IEC 62443-3-2).

  • Noeuds HAZOP trop grossiers, ce qui masque les déviations intermédiaires,
  • Intention de conception non formalisée au niveau noeud, ce qui rend l'application des mots-guides vide,
  • HAZOP réalisée par un seul ingénieur, alors que la méthode tire sa puissance d'une séance de groupe pluridisciplinaire animée par un facilitateur,
  • Absence de traçabilité entre les conclusions HAZOP et les modifications de conception ou la verification.

STAMP (Systems-Theoretic Accident Model and Processes), developpe par Nancy Leveson au MIT, traite la sécurité comme un problème de controle plutôt que comme une chaine de défaillances. La méthode d'analyse STPA (Systems-Theoretic Process Analysis) identifie les actions de controle dangereuses dans la structure de controle du système: un contrôleur émet une action de controle, un actionneur l'execute, un procede réagit, des capteurs renvoient l'information au contrôleur. STPA explore quatre classes d'action dangereuse: une action requise non fournie, une action dangereuse fournie, une action fournie trop tot ou trop tard, une action arrêtée trop tot ou appliquée trop longtemps.

STPA est de plus en plus citée pour la conduite autonome en soutien d'ISO 26262 et ISO 21448, en robotique avancée (voir robotique industrielle, ISO 10218 et 15066) et pour les dispositifs médicaux complexes a forte composante logicielle. Elle ne remplace pas la FMEA ni la FTA, elle les complete sur l'axe systémique et logiciel lourd, ou l'analyse de défaillance au niveau composant est peu prédictive.

SecteurApproche risqueReferences clés
MedicalISO 14971 + design controls sous ISO 13485, MDR / QMSR FDAISO 14971, ISO 13485, Annexe I MDR, 21 CFR 820 / QMSR
Securite fonctionnelle autoHARA (Hazard Analysis and Risk Assessment), détermination ASILISO 26262, ISO 21448 pour l'autonomie
Cybersecurite autoTARA (Threat Analysis and Risk Assessment)ISO/SAE 21434, UNECE R155, R156
AeronautiqueFHA, PSSA, SSA, CCA = PRA + ZSA + CMAARP4761 (1996), AC 25.1309, DO-178C, DO-254
MachinesAnalyse des dangers, niveau de performance des fonctions de sécuritéISO 12100, ISO 13849, IEC 62061
Procedes et OTLayer-of-Protection Analysis, détermination SILIEC 61511, IEC 61508
Cybersecurite industrielleZones et conduits, évaluation du risque cybersécuritéIEC 62443-3-2, IEC 62443-4-1
Radioactif, pharmaQRM (Quality Risk Management)ICH Q9

Le schéma est constant: chaque secteur définit ses propres critères d'acceptabilité (ASIL pour l'automobile, DAL pour l'avionique, PL pour les machines, SIL pour les procedes), et utilise les techniques IEC 31010 pour alimenter l'analyse. Un produit multi-cibles (un dispositif medical connecte avec une variante infotainment automobile, ou un contrôleur industriel avec cybersécurité) maintient des dossiers de risques alignes entre secteurs, en s'appuyant sur la même épine dorsale FMEA et FTA avec des déclinaisons sectorielles.

Un dossier de risques complet établit la chaine de traçabilité du danger jusqu'a la verification.

  1. Liste des dangers (usage prévu, mésusage prévisible, environnemental, électrique, mécanique, logiciel, cybersécurité, biologique le cas échéant),
  2. Estimation du risque par danger (sévérité, probabilité, niveau de risque initial),
  3. Mesures de maitrise du risque (sécurité intrinsèque, protections, information d'usage), allouées aux exigences de conception,
  4. Preuves de verification par mesure de maitrise (essai, analyse, inspection, revue), référencées au dossier de verification,
  5. Evaluation du risque résiduel par danger (sévérité et probabilité apres maitrise, acceptabilité),
  6. Evaluation du risque résiduel global (agrégation, analyse bénéfice/risque le cas échéant),
  7. Rapport de gestion des risques signe par la direction,
  8. Boucle post-commercialisation (réclamations, vigilance, données terrain) reinjectee dans le dossier de risques a chaque revue.

Chaque maillon reference le suivant par numéro et version de document, de sorte qu'un auditeur peut suivre un danger depuis son identification jusqu'aux preuves de verification et aux données post-commercialisation qui confirment (ou invalident) la probabilité estimee.

Le dossier de risques est rarement un document autonome. Il s'imbrique dans le dossier de certification a cote des controles de conception, de la verification et validation, du procede de fabrication et de la surveillance post-commercialisation. Pour une intégration cohérente, voir QMS panorama (ISO 9001, AS 9100, ISO 13485, TL 9000) et sécurité des équipements de laboratoire et de mesure, IEC 61010. Pour le risque cybersécurité spécifique aux produits connectes, voir Cyber Resilience Act (CRA).

Un schéma d'intégration courant dans un dossier de dispositif medical: plan et rapport de gestion des risques ISO 14971 en sommet, FMEA sur la carte électronique alimentant la design FMEA du dispositif, FTA sur les evenements redoutes les plus sévères (choc électrique, dose incorrecte, fausse alarme), HAZOP sur les fonctions logicielles embarquées et les séquences d'interaction utilisateur, et une matrice de traçabilité reliant chaque mesure de maitrise a une exigence de conception et a une preuve de verification.

PiegeConsequence
Dossier de risques produit comme livrable ponctuel, non maintenu sur le cycle de vieRetours terrain non réinjectes, l'évaluation du risque résiduel devient obsolète
FMEA utilisée comme case a cocher sans traçabilité vers les controles de conceptionL'organisme notifie constate le lien rompu entre action de maitrise et exigence de conception
FTA avec couverture incomplète des evenements de baseProbabilite d'evenement de tête optimiste, points uniques de défaillance caches
FTA supposant l'indépendance d'evenements a cause communeProbabilite combinée sous-estimee, défaillance de cause commune non mitigée
Dichotomie du RPN masquant les éléments a haute sévéritéRisque sévère insuffisamment maitrise parce que le score de détection a remonte le rang
Noeuds HAZOP trop grossiersDeviations intermédiaires manquées, fonction programmable non couverte
HAZOP par un seul ingénieur au lieu d'une séance pluridisciplinaireLa méthode perd sa puissance, scenarios negliges
Probabilites empruntées a une base générique sans justificationAnalyse quantitative faiblement défendable en audit
Risques résiduels individuels non agreges en un risque résiduel globalAnalyse bénéfice/risque sur le dispositif entier manquante ou non étayée
Rapport de gestion des risques non signe par la directionNon-conformité formelle au titre d'ISO 14971

Sources & références

  1. ISO 14971:2019, Medical devices, Application of risk management , ISO www.iso.org/standard/72704.html
  2. ISO/TR 24971:2020, Guidance on the application of ISO 14971 , ISO www.iso.org/standard/74437.html
  3. IEC 31010:2019, Risk management, Risk assessment techniques , IEC www.iso.org/standard/72140.html
  4. IEC 60812:2018, Failure modes and effects analysis (FMEA and FMECA) , IEC webstore.iec.ch/publication/26359
  5. IEC 61025:2006, Fault tree analysis (FTA) , IEC webstore.iec.ch/publication/4311
  6. IEC 61882:2016, Hazard and operability studies (HAZOP studies) , IEC webstore.iec.ch/publication/24321
  7. AIAG-VDA FMEA Handbook (2019), Action Priority methodology , AIAG and VDA www.aiag.org/quality/automotive-core-tools/fmea

Questions fréquentes

Quelle est la différence entre ISO 14971 et IEC 31010 ?
Les deux normes ne se concurrencent pas, elles s'emboitent. ISO 14971:2019 est la norme de gestion des risques au niveau produit pour les dispositifs médicaux, prescriptive sur le processus: identification des dangers, estimation du risque, maitrise du risque, évaluation du risque résiduel, dossier de gestion des risques. IEC 31010:2019 est un catalogue de techniques d'évaluation du risque (une trentaine, du brainstorming aux réseaux bayésiens), plus large que le medical, et sert de boite a outils pour alimenter l'étape d'analyse requise par ISO 14971 ou tout autre cadre de gestion des risques. Un projet medical utilise typiquement ISO 14971 comme colonne processuelle et pioche FMEA, FTA ou HAZOP dans le catalogue IEC 31010 pour constituer le dossier.
La FMEA suffit-elle pour un dossier de certification ?
Rarement seule. La FMEA est une analyse inductive de défaillance unique, efficace au niveau composant ou sous-système mais aveugle aux combinaisons, aux causes systémiques et aux scenarios opérationnels. La plupart des schémas de certification (medical, automobile, aéronautique, machines) demandent une combinaison: une analyse inductive bottom-up (FMEA) couvrant les défaillances unitaires, une analyse déductive top-down (FTA) couvrant les défaillances combinées jusqu'a un evenement redoute, et des analyses opérationnelles ou scenarios (HAZOP, what-if, STPA) couvrant les usages et les facteurs humains. Un dossier reposant sur la seule FMEA est généralement considere incomplet par l'organisme notifie ou le certificateur.
Faut-il garder le RPN ou passer a l'Action Priority ?
Pour la FMEA automobile, le AIAG-VDA FMEA Handbook publie en 2019 a retire le RPN (Sévérité x Occurrence x Detection) au profit de l'Action Priority (AP), catégorisée High, Medium ou Low. La raison: des études ont souleve la validité prédictive limitée du RPN, ou des triplets sévérité, occurrence et détection très différents produisent le même nombre et perdent le classement. Pour les autres secteurs, le RPN reste largement utilise, y compris au titre de IEC 60812:2018, mais avec un ensemble de pieges reconnus: dichotomie de seuil, masquage de la sévérité par la détection, faible sensibilité aux éléments a haute sévérité. La tendance, tous secteurs confondus, est de traiter la sévérité comme un axe non compensable et d'exiger une action de maitrise au-dela d'un seuil de sévérité quel que soit le RPN.
Comment évaluer les risques résiduels au titre d'ISO 14971 ?
ISO 14971:2019 distingue le risque résiduel individuel (apres maitrise du risque sur un danger) et le risque résiduel global (apres l'ensemble des mesures de maitrise, evalue globalement sur le dispositif). Chaque risque résiduel fait l'objet d'une analyse bénéfice/risque: le risque est acceptable s'il est compense par le bénéfice medical du dispositif, en tenant compte de l'état de l'art et des alternatives disponibles. Le risque résiduel global reçoit une évaluation séparée, typiquement appuyée sur les données cliniques agrégées, la surveillance post-commercialisation et la comparaison avec des dispositifs similaires. La conclusion est documentée dans le rapport de gestion des risques signe par la direction du fabricant.
Quand utiliser une HAZOP plutôt qu'une FMEA ?
L'HAZOP (Hazard and Operability Study, IEC 61882:2016) a ete développée pour l'industrie des procedes et convient bien aux systèmes a flux continu, aux logiques programmables et aux séquences opérationnelles. Elle utilise des mots-guides (NO, MORE, LESS, AS WELL AS, REVERSE, OTHER THAN) appliques a l'intention de conception identifiée a chaque noeud, ce qui force l'exploration de scenarios de déviation au-dela des simples défaillances unitaires. La FMEA, en revanche, est plus naturelle pour les systèmes a composants discrets (carte électronique, sous-ensemble mécanique). Pour un dispositif medical programmable ou un système de controle industriel, l'HAZOP au niveau fonctionnel complete une FMEA au niveau composant plutôt qu'elle ne la remplace.
Comment ISO 14971 se relie-t-elle au MDR UE et au QMSR FDA ?
ISO 14971:2019 est harmonisée sous le MDR UE pour les dispositifs médicaux et constitue la reference de fait pour démontrer la conformité aux exigences générales en matière de sécurité et de performances (GSPR 1 a 4 de l'Annexe I du MDR), qui exigent un système de gestion des risques sur le cycle de vie du dispositif. Cote etats-unis, la Quality Management System Regulation (QMSR) de la FDA, qui remplace le 21 CFR Part 820 a effet 2026, incorpore explicitement ISO 13485 et renvoie a ISO 14971 pour le processus de gestion des risques. Un dossier de gestion des risques ISO 14971 unique soutient donc a la fois le dossier UE et le dossier US, sous reserve des spécificités locales de reporting et de post-commercialisation.
Qu'est-ce que STAMP/STPA et quand est-ce pertinent ?
STAMP (Systems-Theoretic Accident Model and Processes) et sa méthode d'analyse STPA (Systems-Theoretic Process Analysis), développées par Nancy Leveson au MIT, traitent la sécurité comme un problème de controle plutôt que comme une chaine de défaillances. STPA identifie les actions de controle dangereuses et les scenarios de perte dans la structure de controle d'un système cyber-physique complexe. Elle est de plus en plus citée pour la conduite autonome (en soutien d'ISO 26262 et ISO 21448), la robotique avancée, les dispositifs médicaux complexes a forte composante logicielle, et les systèmes logiciels lourds ou l'analyse de défaillance au niveau composant est peu prédictive. STPA ne remplace pas la FMEA ni la FTA, elle les complete sur l'axe systémique et logiciel.
Quels sont les pieges récurrents du dossier de risques ?
Cinq reviennent en audit et en revue d'organisme notifie: traiter le dossier de risques comme un livrable ponctuel plutôt qu'un document vivant sur le cycle de vie, sans boucle de retour des données post-commercialisation; utiliser la FMEA comme case a cocher sans traçabilité vers les controles de conception et les preuves de verification; mener une FTA sans couverture complete des evenements de base, ce qui produit une probabilité optimiste de l'evenement de tête; définir des noeuds HAZOP trop grossiers, ce qui masque les déviations; et manquer le lien entre risques résiduels individuels et risque résiduel global, ce qui prive l'analyse bénéfice/risque de son support.