ISO 14971:2019
(Main)Medical devices - Application of risk management to medical devices
Medical devices - Application of risk management to medical devices
This document specifies terminology, principles and a process for risk management of medical devices, including software as a medical device and in vitro diagnostic medical devices. The process described in this document intends to assist manufacturers of medical devices to identify the hazards associated with the medical device, to estimate and evaluate the associated risks, to control these risks, and to monitor the effectiveness of the controls.
The requirements of this document are applicable to all phases of the life cycle of a medical device. The process described in this document applies to risks associated with a medical device, such as risks related to biocompatibility, data and systems security, electricity, moving parts, radiation, and usability.
The process described in this document can also be applied to products that are not necessarily medical devices in some jurisdictions and can also be used by others involved in the medical device life cycle.
This document does not apply to:
- decisions on the use of a medical device in the context of any particular clinical procedure; or
- business risk management.
This document requires manufacturers to establish objective criteria for risk acceptability but does not specify acceptable risk levels.
Risk management can be an integral part of a quality management system. However, this document does not require the manufacturer to have a quality management system in place.
NOTE Guidance on the application of this document can be found in ISO/TR 24971[9].
Dispositifs médicaux - Application de la gestion des risques aux dispositifs médicaux
Le présent document spécifie la terminologie, les principes et un processus de gestion des risques relatifs aux dispositifs médicaux, y compris les logiciels utilisés en tant que dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro. Le processus décrit dans le présent document vise à aider les fabricants de dispositifs médicaux à identifier les dangers associés au dispositif médical, à estimer et évaluer les risques correspondants, à maîtriser ces risques et à surveiller l'efficacité des moyens de maîtrise.
Les exigences du présent document s'appliquent à tous les stades du cycle de vie d'un dispositif médical. Le processus décrit dans le présent document s'applique aux risques associés à un dispositif médical, tels que les risques concernant la biocompatibilité, la sécurité des données et des systèmes, l'électricité, les parties en mouvement, le rayonnement et l'aptitude à l'utilisation.
Le processus décrit dans le présent document peut aussi s'appliquer aux produits qui ne sont pas nécessairement des dispositifs médicaux dans certaines juridictions et peut être utilisé par d'autres personnes impliquées dans le cycle de vie de dispositifs médicaux.
Le présent document ne s'applique pas à ce qui suit:
- les décisions relatives à l'utilisation d'un dispositif médical au cours d'une procédure clinique particulière; ou
- la gestion des risques commerciaux.
Le présent document impose aux fabricants d'établir des critères objectifs d'acceptabilité des risques, mais ne spécifie pas de niveaux de risque acceptables.
La gestion des risques peut faire partie intégrante d'un système de management de la qualité. Cependant, le présent document n'exige pas du fabricant qu'il mette en place un système de management de la qualité.
NOTE Des recommandations relatives à l'application du présent document sont données dans l'ISO/TR 24971[9].
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 14971
Third edition
2019-12
Medical devices — Application of risk
management to medical devices
Dispositifs médicaux — Application de la gestion des risques aux
dispositifs médicaux
Reference number
©
ISO 2019
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved
Contents Page
Foreword .iv
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 General requirements for risk management system . 7
4.1 Risk management process . 7
4.2 Management responsibilities . 8
4.3 Competence of personnel . 9
4.4 Risk management plan . 9
4.5 Risk management file .10
5 Risk analysis .10
5.1 Risk analysis process .10
5.2 Intended use and reasonably foreseeable misuse .10
5.3 Identification of characteristics related to safety .11
5.4 Identification of hazards and hazardous situations .11
5.5 Risk estimation .11
6 Risk evaluation .12
7 Risk control .12
7.1 Risk control option analysis .12
7.2 Implementation of risk control measures .13
7.3 Residual risk evaluation .13
7.4 Benefit-risk analysis .14
7.5 Risks arising from risk control measures .14
7.6 Completeness of risk control .14
8 Evaluation of overall residual risk .14
9 Risk management review .15
10 Production and post-production activities.15
10.1 General .15
10.2 Information collection .15
10.3 Information review .16
10.4 Actions .16
Annex A (informative) Rationale for requirements .17
Annex B (informative) Risk management process for medical devices .26
Annex C (informative) Fundamental risk concepts .30
Bibliography .36
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 210, Quality management and
corresponding general aspects for medical devices, and IEC/SC 62A, Common aspects of electrical
equipment used in medical practice.
This third edition cancels and replaces the second edition (ISO 14971:2007), which has been technically
revised. The main changes compared to the previous edition are as follows:
— A clause on normative references has been included, in order to respect the requirements for fixed
in Clause 15 of ISO/IEC Directives, Part 2:2018.
— The defined terms are updated and many are derived from ISO/IEC Guide 63:2019. Defined terms
are printed in italic to assist the reader in identifying them in the body of the document.
— Definitions of benefit, reasonably foreseeable misuse and state of the art have been introduced.
— More attention is given to the benefits that are expected from the use of the medical device. The term
benefit-risk analysis has been aligned with terminology used in some regulations.
— It is explained that the process described in ISO 14971 can be used for managing risks associated
with medical devices, including those related to data and systems security.
— The method for the evaluation of the overall residual risk and the criteria for its acceptability are
required to be defined in the risk management plan. The method can include gathering and reviewing
data and literature for the medical device and for similar medical devices and similar other products
on the market. The criteria for the acceptability of the overall residual risk can be different from the
criteria for acceptability of individual risks.
— The requirements to disclose residual risks have been moved and merged into one requirement,
after the overall residual risk has been evaluated and judged acceptable.
— The review before commercial distribution of the medical device concerns the execution of the risk
management plan. The results of the review are documented as the risk management report.
iv © ISO 2019 – All rights reserved
— The requirements for production and post-production activities have been clarified and restructured.
More detail is given on the information to be collected and the actions to be taken when the collected
information has been reviewed and determined to be relevant to safety.
— Several informative annexes are moved to the guidance in ISO/TR 24971, which has been revised
in parallel. More information and a rationale for the requirements in this third edition of ISO 14971
have been provided in Annex A. The correspondence between the clauses of the second edition and
those of this third edition is given in Annex B.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
Introduction
The requirements contained in this document provide manufacturers with a framework within which
experience, insight and judgment are applied systematically to manage the risks associated with the
use of medical devices.
This document was developed specifically for manufacturers of medical devices on the basis of
established principles of risk management that have evolved over many years. This document could be
used as guidance in developing and maintaining a risk management process for other products that are
not necessarily medical devices in some jurisdictions and for suppliers and other parties involved in the
medical device life cycle.
This document deals with processes for managing risks associated with medical devices. Risks can be
related to injury, not only to the patient, but also to the user and other persons. Risks can also be related
to damage to property (for example objects, data, other equipment) or the environment.
Risk management is a complex subject because each stakeholder can place a different value on the
acceptability of risks in relation to the anticipated benefits. The concepts of risk management are
particularly important in relation to medical devices because of the variety of stakeholders including
medical practitioners, the organizations providing health care, governments, industry, patients and
members of the public.
It is generally accepted that the concept of risk has two key components:
— the probability of occurrence of harm; and
— the consequences of that harm, that is, how severe it might be.
All stakeholders need to understand that the use of a medical device involves an inherent degree of risk,
even after the risks have been reduced to an acceptable level. It is well known that in the context of a
clinical procedure some residual risks remain. The acceptability of a risk to a stakeholder is influenced
by the key components listed above and by the stakeholder’s perception of the risk and the benefit. Each
stakeholder’s perception can vary depending upon their cultural background, the socio-economic and
educational background of the society concerned and the actual and perceived state of health of the
patient. The way a risk is perceived also takes into account other factors, for example, whether exposure
to the hazard or hazardous situation seems to be involuntary, avoidable, from a man-made source, due
to negligence, arising from a poorly understood cause, or directed at a vulnerable group within society.
As one of the stakeholders, the manufacturer reduces risks and makes judgments relating to the safety
of a medical device, including the acceptability of residual risks. The manufacturer takes into account
the generally acknowledged state of the art, in order to determine the suitability of a medical device
to be placed on the market for its intended use. This document specifies a process through which the
manufacturer of a medical device can identify hazards associated with the medical device, estimate and
evaluate the risks associated with these hazards, control these risks, and monitor the effectiveness of
the controls throughout the life cycle of the medical device.
The decision to use a medical device in the context of a particular clinical procedure requires the residual
risks to be balanced against the anticipated benefits of the procedure. Such decisions are beyond the
scope of this document and take into account the intended use, the circumstances of use, the performance
and risks associated with the medical device, as well as the risks and benefits associated with the clinical
procedure. Some of these decisions can be made only by a qualified medical practitioner with knowledge
of the state of health of an individual patient or the patient’s own opinion.
For any particular medical device, other standards or regulations could require the application of
specific methods for managing risk. In those cases, it is necessary to also follow the requirements
outlined in those documents.
vi © ISO 2019 – All rights reserved
The verbal forms used in this document conform to the usage described in Clause 7 of the ISO/
IEC Directives, Part 2:2018. For the purposes of this document, the auxiliary verb:
— “shall” means that compliance with a requirement or a test is mandatory for compliance with this
document;
— “should” means that compliance with a requirement or a test is recommended but is not mandatory
for compliance with this document;
— “may” is used to describe permission (e.g. a permissible way to achieve compliance with a
requirement or test);
— “can” is used to express possibility and capability; and
— “must” is used to express an external constraint that is not a requirement of the document.
INTERNATIONAL STANDARD ISO 14971:2019(E)
Medical devices — Application of risk management to
medical devices
1 Scope
This document specifies terminology, principles and a process for risk management of medical devices,
including software as a medical device and in vitro diagnostic medical devices. The process described in
this document intends to assist manufacturers of medical devices to identify the hazards associated with
the medical device, to estimate and evaluate the associated risks, to control these risks, and to monitor
the effectiveness of the controls.
The requirements of this document are applicable to all phases of the life cycle of a medical device. The
process described in this document applies to risks associated with a medical device, such as risks related
to biocompatibility, data and systems security, electricity, moving parts, radiation, and usability.
The process described in this document can also be applied to products that are not necessarily medical
devices in some jurisdictions and can also be used by others involved in the medical device life cycle.
This document does not apply to:
— decisions on the use of a medical device in the context of any particular clinical procedure; or
— business risk management.
This document requires manufacturers to establish objective criteria for risk acceptability but does not
specify acceptable risk levels.
Risk management can be an integral part of a quality management system. However, this document does
not require the manufacturer to have a quality management system in place.
[9]
NOTE Guidance on the application of this document can be found in ISO/TR 24971 .
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
accompanying documentation
materials accompanying a medical device (3.10) and containing information for the user or those
accountable for the installation, use, maintenance, decommissioning and disposal of the medical device
(3.10), particularly regarding safe use
Note 1 to entry: The accompanying documentation can consist of the instructions for use, technical description,
installation manual, quick reference guide, etc.
Note 2 to entry: Accompanying documentation is not necessarily a written or printed document but could involve
auditory, visual, or tactile materials and multiple media types.
3.2
benefit
positive impact or desirable outcome of the use of a medical device (3.10) on the health of an individual,
or a positive impact on patient management or public health
Note 1 to entry: Benefits can include positive impact on clinical outcome, the patient’s quality of life, outcomes
related to diagnosis, positive impact from diagnostic devices on clinical outcomes, or positive impact on
public health.
3.3
harm
injury or damage to the health of people, or damage to property or the environment
[SOURCE: ISO/IEC Guide 63:2019, 3.1]
3.4
hazard
potential source of harm (3.3)
[SOURCE: ISO/IEC Guide 63:2019, 3.2]
3.5
hazardous situation
circumstance in which people, property or the environment is/are exposed to one or more hazards (3.4)
Note 1 to entry: See Annex C for an explanation of the relationship between hazard and hazardous situation.
[SOURCE: ISO/IEC Guide 63:2019, 3.3, modified — Note 1 to entry added.]
3.6
intended use
intended purpose
use for which a product, process (3.14) or service is intended according to the specifications, instructions
and information provided by the manufacturer (3.9)
Note 1 to entry: The intended medical indication, patient population, part of the body or type of tissue interacted
with, user profile, use environment, and operating principle are typical elements of the intended use.
[SOURCE: ISO/IEC Guide 63:2019, 3.4]
3.7
in vitro diagnostic medical device
IVD medical device
device, whether used alone or in combination, intended by the manufacturer (3.9) for the in vitro
examination of specimens derived from the human body solely or principally to provide information for
diagnostic, monitoring or compatibility purposes and including reagents, calibrators, control materials,
specimen receptacles, software, and related instruments or apparatus or other articles
[SOURCE: ISO 18113-1:2009, 3.27, modified — NOTE deleted.]
3.8
life cycle
series of all phases in the life of a medical device (3.10), from the initial conception to final
decommissioning and disposal
[SOURCE: ISO/IEC Guide 63:2019, 3.5]
2 © ISO 2019 – All rights reserved
3.9
manufacturer
natural or legal person with responsibility for the design and/or manufacture of a medical device (3.10)
with the intention of making the medical device (3.10) available for use, under his name, whether or not
such a medical device (3.10) is designed and/or manufactured by that person himself or on his behalf by
another person(s)
Note 1 to entry: The natural or legal person has ultimate legal responsibility for ensuring compliance with all
applicable regulatory requirements for the medical device in the countries or jurisdictions where it is intended to
be made available or sold, unless this responsibility is specifically imposed on another person by the Regulatory
Authority (RA) within that jurisdiction.
Note 2 to entry: The manufacturer’s responsibilities are described in other GHTF guidance documents. These
responsibilities include meeting both pre-market requirements and post-market requirements, such as adverse
event reporting and notification of corrective actions.
Note 3 to entry: “Design and/or manufacture” may include specification development, production,
fabrication, assembly, processing, packaging, repackaging, labelling, relabelling, sterilization, installation, or
remanufacturing of a medical device; or putting a collection of devices, and possibly other products, together for
a medical purpose.
Note 4 to entry: Any person who assembles or adapts a medical device that has already been supplied by another
person for an individual patient, in accordance with the instructions for use, is not the manufacturer, provided
the assembly or adaptation does not change the intended use of the medical device.
Note 5 to entry: Any person who changes the intended use of, or modifies, a medical device without acting on
behalf of the original manufacturer and who makes it available for use under his own name, should be considered
the manufacturer of the modified medical device.
Note 6 to entry: An authorised representative, distributor or importer who only adds its own address and
contact details to the medical device or the packaging, without covering or changing the existing labelling, is not
considered a manufacturer.
Note 7 to entry: To the extent that an accessory is subject to the regulatory requirements of a medical device, the
person responsible for the design and/or manufacture of that accessory is considered to be a manufacturer.
[SOURCE: ISO/IEC Guide 63:2019, 3.6]
3.10
medical device
instrument, apparatus, implement, machine, appliance, implant, reagent for in vitro use, software,
material or other similar or related article, intended by the manufacturer (3.9) to be used, alone or in
combination, for human beings, for one or more of the specific medical purpose(s) of
— diagnosis, prevention, monitoring, treatment or alleviation of disease,
— diagnosis, monitoring, treatment, alleviation of or compensation for an injury,
— investigation, replacement, modification, or support of the anatomy or of a physiological process,
— supporting or sustaining life,
— control of conception,
— disinfection of medical devices (3.10),
— providing information by means of in vitro examination of specimens derived from the human body,
and which does not achieve its primary intended action by pharmacological, immunological or metabolic
means, in or on the human body, but which may be assisted in its function by such means
Note 1 to entry: Products which can be considered to be medical devices in some jurisdictions but not in others
include:
— disinfection substances;
— aids for persons with disabilities;
— devices incorporating animal and/or human tissues;
— devices for in vitro fertilization or assisted reproduction technologies.
[SOURCE: ISO/IEC Guide 63:2019, 3.7]
3.11
objective evidence
data supporting the existence or verity of something
Note 1 to entry: Objective evidence can be obtained through observation, measurement, test or by other means.
[SOURCE: ISO 9000:2015, 3.8.3, modified — Note 2 to entry deleted.]
3.12
post-production
part of the life cycle (3.8) of the medical device (3.10) after the design has been completed and the medical
device (3.10) has been manufactured
EXAMPLE Transportation, storage, installation, product use, maintenance, repair, product changes,
decommissioning and disposal.
3.13
procedure
specified way to carry out an activity or a process (3.14)
Note 1 to entry: Procedures can be documented or not.
[SOURCE: ISO 9000:2015, 3.4.5]
3.14
process
set of interrelated or interacting activities that use inputs to deliver an intended result
Note 1 to entry: Whether the “intended result” of a process is called output, product or service depends on the
context of the reference.
Note 2 to entry: Inputs to a process are generally the outputs of other processes and outputs of a process are
generally the inputs to other processes.
Note 3 to entry: Two or more interrelated and interacting processes in series can also be referred to as a process.
[SOURCE: ISO 9000:2015, 3.4.1, modified — Notes to entry 4, 5 and 6 are deleted.]
3.15
reasonably foreseeable misuse
use of a product or system in a way not intended by the manufacturer (3.9), but which can result from
readily predictable human behaviour
Note 1 to entry: Readily predictable human behaviour includes the behaviour of all types of users, e.g. lay and
professional users.
Note 2 to entry: Reasonably foreseeable misuse can be intentional or unintentional.
[SOURCE: ISO/IEC Guide 63:2019, 3.8]
4 © ISO 2019 – All rights reserved
3.16
record
document stating results achieved or providing evidence of activities performed
Note 1 to entry: Records can be used, for example, to formalize traceability and to provide evidence of verification,
preventive action and corrective action.
Note 2 to entry: Generally records need not be under revision control.
[SOURCE: ISO 9000:2015, 3.8.10]
3.17
residual risk
risk remaining after risk control (3.21) measures have been implemented
[SOURCE: ISO/IEC Guide 63:2019, 3.9]
3.18
risk
combination of the probability of occurrence of harm (3.3) and the severity (3.27) of that harm (3.3)
[SOURCE: ISO/IEC Guide 63:2019, 3.10, modified — Note 1 to entry deleted.]
3.19
risk analysis
systematic use of available information to identify hazards (3.4) and to estimate the risk (3.18)
[SOURCE: ISO/IEC Guide 63:2019, 3.11]
3.20
risk assessment
overall process (3.14) comprising a risk analysis (3.19) and a risk evaluation (3.20)
[SOURCE: ISO/IEC Guide 51:2014, 3.11]
3.21
risk control
process (3.14) in which decisions are made and measures implemented by which risks (3.18) are reduced
to, or maintained within, specified levels
[SOURCE: ISO/IEC Guide 63:2019, 3.12]
3.22
risk estimation
process (3.14) used to assign values to the probability of occurrence of harm (3.3) and the severity (3.27)
of that harm
[SOURCE: ISO/IEC Guide 63:2019, 3.13]
3.23
risk evaluation
process (3.14) of comparing the estimated risk (3.18) against given risk (3.18) criteria to determine the
acceptability of the risk (3.18)
[SOURCE: ISO/IEC Guide 63:2019, 3.14]
3.24
risk management
systematic application of management policies, procedures (3.13) and practices to the tasks of analysing,
evaluating, controlling and monitoring risk (3.18)
[SOURCE: ISO/IEC Guide 63:2019, 3.15]
3.25
risk management file
set of records (3.16) and other documents that are produced by risk management (3.24)
3.26
safety
freedom from unacceptable risk (3.18)
[SOURCE: ISO/IEC Guide 63:2019, 3.10]
3.27
severity
measure of the possible consequences of a hazard (3.4)
[SOURCE: ISO/IEC Guide 63:2019, 3.17]
3.28
state of the art
developed stage of technical capability at a given time as regards products, processes (3.14) and services,
based on the relevant consolidated findings of science, technology and experience
Note 1 to entry: The state of the art embodies what is currently and generally accepted as good practice in technology
and medicine. The state of the art does not necessarily imply the most technologically advanced solution. The state
of the art described here is sometimes referred to as the “generally acknowledged state of the art”.
[SOURCE: ISO/IEC Guide 63:2019, 3.18]
3.29
top management
person or group of people who directs and controls a manufacturer (3.9) at the highest level
[SOURCE: ISO 9000:2015, 3.1.1, modified — “An organization” replaced by “a manufacturer”, Notes to
entry deleted.]
3.30
use error
user action or lack of user action while using the medical device (3.10) that leads to a different result
than that intended by the manufacturer (3.9) or expected by the user
Note 1 to entry: Use error includes the inability of the user to complete a task.
Note 2 to entry: Use errors can result from a mismatch between the characteristics of the user, user interface,
task, or use environment.
Note 3 to entry: Users might be aware or unaware that a use error has occurred.
Note 4 to entry: An unexpected physiological response of the patient is not by itself considered use error.
Note 5 to entry: A malfunction of a medical device that causes an unexpected result is not considered a use error.
[SOURCE: IEC 62366-1:2015, 3.21, modified — Note 6 to entry deleted.]
3.31
verification
confirmation, through the provision of objective evidence (3.11), that specified requirements have been
fulfilled
Note 1 to entry: The objective evidence needed for a verification can be the result of an inspection or of other
forms of determination such as performing alternative calculations or reviewing documents.
Note 2 to entry: The activities carried out for verification are sometimes called a qualification process.
Note 3 to entry: The word “verified” is used to designate the corresponding status.
6 © ISO 2019 – All rights reserved
[SOURCE: ISO/IEC Guide 63:2019, 3.19]
4 General requirements for risk management system
4.1 Risk management process
The manufacturer shall establish, implement, document and maintain an ongoing process for:
a) identifying hazards and hazardous situations associated with a medical device;
b) estimating and evaluating the associated risks;
c) controlling these risks, and
d) monitoring the effectiveness of the risk control measures.
This process shall apply throughout the life cycle of the medical device.
This process shall include the following elements:
— risk analysis;
— risk evaluation;
— risk control; and
— production and post-production activities.
Where a documented product realization process exists, it shall incorporate the appropriate parts of
the risk management process.
[5]
NOTE 1 Product realization processes are described in, for example, Clause 7 of ISO 13485:2016 .
NOTE 2 A documented process within a quality management system can be used to address safety in a
systematic manner, in particular to enable the early identification of hazards and hazardous situations in complex
medical devices.
NOTE 3 A schematic representation of the risk management process is shown in Figure 1. Depending on the
specific life cycle phase, individual elements of risk management can have varying emphasis. Also, risk management
activities can be performed iteratively or in multiple steps as appropriate to the medical device. Annex B contains
a more detailed overview of the steps in the risk management process.
Compliance is checked by inspection of the appropriate documents.
Figure 1 — A schematic representation of the risk management process
4.2 Management responsibilities
Top management shall provide evidence of its commitment to the risk management process by ensuring:
— the provision of adequate resources; and
— the assignment of competent personnel (see 4.3) for risk management.
Top management shall define and document a policy for establishing criteria for risk acceptability.
The policy shall provide a framework that ensures that criteria are based upon applicable national or
regional regulations and relevant International Standards, and take into account available information
such as the generally acknowledged state of the art and known stakeholder concerns.
NOTE 1 The manufacturer’s policy for establishing criteria for risk acceptability can define the approaches
to risk control: reducing risk as low as reasonably practicable, reducing risk as low as reasonably achievable, or
[9]
reducing risk as far as possible without adversely affecting the benefit-risk ratio. See ISO/TR 24971 for guidance
on defining such policy.
Top management shall review the suitability of the risk management process at planned intervals to
ensure continuing effectiveness of the risk management process and shall document any decisions and
actions taken. If the manufacturer has a quality management system in place, this review may be part of
the quality management system review.
NOTE 2 The results of reviewing production and post-production information can be an input to the review of
the suitability of the risk management process.
8 © ISO 2019 – All rights reserved
NOTE 3 The documents described in this subclause can be incorporated within the documents produced by the
manufacturer’s quality management system and these documents can be referenced in the risk management file.
Compliance is checked by inspection of the appropriate documents.
4.3 Competence of personnel
Persons performing risk management tasks shall be competent on the basis of education, training, skills
and experience appropriate to the tasks assigned to them. Where appropriate, these persons shall have
knowledge of and experience with the particular medical device (or similar medical devices) and its use,
the technologies involved or the risk management techniques employed. Appropriate records shall be
maintained.
NOTE Risk management tasks can be performed by representatives of several functions, each contributing
their specialist knowledge.
Compliance is checked by inspection of the appropriate records.
4.4 Risk management plan
Risk management activities shall be planned. For the particular medical device being considered,
the manufacturer shall establish and document a risk management plan in accordance with the risk
management process. The risk management plan shall be part of the risk management file.
This plan shall include at least the following:
a) the scope of the planned risk management activities, identifying and describing the medical device
and the life cycle phases for which each element of the plan is applicable;
b) assignment of responsibilities and authorities;
c) requirements for review of risk management activities;
d) criteria for risk acceptability, based on the manufacturer’s policy for determining acceptable
risk, including criteria for accepting risks when the probability of occurrence of harm cannot be
estimated;
NOTE 1 The criteria for risk acceptability are essential for the ultimate effectiveness of the risk
management process. For each risk management plan the manufacturer needs to establish risk acceptability
criteria that are appropriate for the particular medical device.
e) a method to evaluate the overall residual risk, and criteria for acceptability of the overall residual
risk based on the manufacturer’s policy for determining acceptable risk;
NOTE 2 The method to evaluate the overall residual risk can include gathering and reviewing data and
literature for the medical device being considered and similar medical devices on the market and can involve
judgment by a cross-functional team of experts with application knowledge and clinical expertise.
f) activities for verification of the implementation and effectiveness of risk control measures; and
g) activities related to collection and review of relevant production and post-production information.
[9]
NOTE 3 See ISO/TR 24971 for guidance on developing a risk management plan and on establishing
criteria for risk acceptability.
NOTE 4 Not all parts of the plan need to be created at the same time. The plan or parts of it can be
developed over time.
If the plan changes during the life cycle of the medical device, a record of the changes shall be maintained
in the risk management file.
Compliance is checked by inspection of the risk management file.
4.5 Risk management file
For the particular medical device being considered, the manufacturer shall establish and maintain a risk
management file. In addition to the requirements of other clauses of this document, the risk management
file shall provide traceability for each identified hazard to:
— the risk analysis;
— the risk evaluation;
— the implementation and verification of the risk control measures; and
— the results of the evaluation of the residual risks.
NOTE 1 The records and other documents that make up the risk management file can form part of other
documents and files required, for example, by a manufacturer’s quality management system. The risk management
file need not physically contain all the records and other documents. However, it needs to contain at least
references or pointers to all required documentation, so that the manufacturer can assemble the information
referenced in the risk management file in a timely manner.
NOTE 2 The risk management file can be in any form or type of medium.
[9]
NOTE 3 See ISO/TR 24971 for guidance on establishing a risk management file for components and devices
that were designed without using ISO 14971.
5 Risk analysis
5.1 Risk analysis process
The manufacturer shall perform risk analysis for the particular medical device as described in 5.2 to 5.5.
The implementation of the planned risk analysis activities and the results of the risk analysis shall be
recorded in the risk management file.
NOTE 1 If a risk analysis or other relevant information is available for a similar medical device, that analysis
or information can be used as a starting point for the new risk analysis. The degree of relevance depends on
the differences between the medical devices and whether these introduce new hazards or significant differences
in outputs, characteristics, performance or results. The extent of use of an existing risk analysis is based on a
systematic evaluation of the effects that the differences can have on the occurrence of hazardous situations.
[9]
NOTE 2 See ISO/TR 24971 for guidance on selected risk analysis techniques and on risk analysis techniques
for in vitro diagnostic medical devices.
In addition to the records required in 5.2 to 5.5, the documentation of the conduct and results of the risk
analysis shall include at least the following:
a) identification and description of the medical device that was analysed;
b) identification of the person(s) and organization who carried out the risk analysis; and
c) scope and date of the risk analysis.
NOTE 3 The scope of the risk analysis can be very broad (as for the development of a new medical device with
which a manufacturer has little or no experience) or the scope can be limited (as for analysing the impact of a
change to an existing medical device for which much information already exists in the manufacturer’s files).
Compliance is checked by inspection of the risk management file.
5.2 Intended use and reasonably foreseeable misuse
The manufacturer shall document the intended use of the particular medical device being considered.
10 © ISO 2019 – All rights reserved
The intended use should take into account information such as the intended medical indication, patient
population, part of the body or type of tissue interacted with, user profile, use environment, and
operating principle.
The manufacturer shall also document reasonably foreseeable misuse.
This documentation shall be maintained in the risk management file.
[13]
NOTE 1 The use specification (see 3.23 of IEC 62366-1:2015 ) can be an input to determining the intended use.
[9]
NOTE 2 See ISO/TR 24971 for factors to consider in determining the intended use and for an explanation of
reasonably foreseeable misuse.
Compliance is checked by inspection of the risk management file.
5.3 Identification of characteristics related to safety
For the particular medical device being considered, the manufacturer shall identify and document those
qualitative and quantitative characteristics that could affect the safety of the medical device. Where
appropriate, the manufacturer shall define limits of those characteristics. This documentation shall be
maintained in the risk management file.
[9]
NOTE 1 See ISO/TR 24971 for a list of questions that can serve as a guide in identifying medical device
characteristics that could have an impact on safety.
NOTE 2 Characteristics related to loss or degradation of the clinical performance of a medical device that can
[12]
result in unacceptable risk, are sometimes referred to as essential performance (see for example IEC 60601-1 ).
Compliance is checked by inspection of the risk management file.
5.4 Identification of hazards and hazardous situations
The manufacturer shall identify and document known and foreseeable hazards associated with the
medical device based on the intended use, reasonably foreseeable misuse and the characteristics related
to safety in both norma
...
NORME ISO
INTERNATIONALE 14971
Troisième édition
2019-12
Dispositifs médicaux — Application de
la gestion des risques aux dispositifs
médicaux
Medical devices — Application of risk management to medical devices
Numéro de référence
©
ISO 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Exigences générales relatives au système de gestion des risques . 7
4.1 Processus de gestion des risques . 7
4.2 Responsabilités de la direction . 8
4.3 Compétence du personnel . 9
4.4 Plan de gestion des risques . 9
4.5 Dossier de gestion des risques .10
5 Analyse des risques .11
5.1 Processus d’analyse des risques .11
5.2 Utilisation prévue et mauvaise utilisation raisonnablement prévisible .11
5.3 Identification des caractéristiques relatives à la sécurité .11
5.4 Identification des dangers et des situations dangereuses .12
5.5 Estimation des risques .12
6 Évaluation du risque .13
7 Maîtrise des risques .13
7.1 Analyse des options de maîtrise des risques .13
7.2 Mise en œuvre des mesures de maîtrise des risques .14
7.3 Évaluation des risques résiduels .14
7.4 Analyse du bénéfice/risque . .15
7.5 Risques découlant des mesures de maîtrise des risques .15
7.6 Maîtrise complète des risques .15
8 Évaluation du risque résiduel global .15
9 Examen de la gestion des risques .16
10 Activités de production et de postproduction .16
10.1 Généralités .16
10.2 Collecte des informations .16
10.3 Examen des informations .17
10.4 Actions .17
Annexe A (informative) Justification des exigences .19
Annexe B (informative) Processus de gestion des risques des dispositifs médicaux .29
Annexe C (informative) Concepts fondamentaux du risque .33
Bibliographie .39
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 210, Management de la qualité
et aspects généraux correspondants des dispositifs médicaux, et l'IEC/SC 62A, Aspects généraux des
équipements électriques utilisés en pratique médicale.
Cette troisième édition annule et remplace la deuxième édition (ISO 14971:2007), qui a fait l’objet d’une
révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:
— un article sur les références normatives a été inclus, en suivant les exigences de l'Article 15 des
Directives ISO/IEC Partie 2:2018;
— les termes définis ont été mis à jour, beaucoup sont issus du Guide ISO/IEC 63:2019. Les termes
définis sont imprimés en italique pour aider le lecteur à les identifier dans le corps du document;
— les définitions de bénéfice, de mauvaise utilisation raisonnablement prévisible et de état de l’art ont été
ajoutées;
— davantage d’attention a été portée aux bénéfices attendus de l’utilisation du dispositif médical. Le terme
analyse du bénéfice/risque a été aligné sur la terminologie utilisée dans certaines réglementations;
— il est expliqué que le processus décrit dans l’ISO14971 peut être utilisé pour la gestion des risques
associés aux dispositifs médicaux, y compris ceux relatifs à la sécurité des données et des systèmes;
— il est nécessaire de définir la méthode d’évaluation du risque résiduel global et les critères de son
acceptabilité dans le plan de gestion des risques. La méthode peut inclure la collecte et l’examen des
données et de la littérature relatives au dispositif médical et aux dispositifs médicaux similaires, ainsi
qu’aux autres produits similaires sur le marché. Les critères d’acceptabilité du risque résiduel global
peuvent être différents des critères d’acceptabilité des risques individuels;
iv © ISO 2019 – Tous droits réservés
— les exigences de mention des risques résiduels ont été déplacées et regroupées en une seule exigence,
après que le risque résiduel global a été évalué et jugé acceptable;
— l’examen préalable à la commercialisation du dispositif médical concerne l’exécution du plan de
gestion des risques. Les résultats de l’examen sont documentés sous forme d’un rapport de gestion
des risques;
— les exigences relatives aux activités de production et de postproduction ont été clarifiées et
réorganisées. Plus de détails sont donnés sur les informations à collecter et les actions à mener une
fois que les informations collectées ont été examinées et jugées pertinentes pour la sécurité;
— plusieurs annexes informatives ont été déplacées dans les recommandations de l’ISO/TR 24971, qui
a été révisée en parallèle. Plus d’informations et une justification des exigences de cette troisième
édition de l’ISO 14971 figurent dans l’Annexe A. La correspondance entre les articles de la deuxième
édition et ceux de la présente troisième édition est fournie à l’Annexe B.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
Introduction
Les exigences contenues dans le présent document fournissent aux fabricants un cadre de travail dans
lequel l’expérience, la perspicacité et le jugement sont systématiquement appliqués pour gérer les
risques liés à l’utilisation de dispositifs médicaux.
Le présent document a été développé spécifiquement pour les fabricants de dispositifs médicaux sur la
base de principes établis de gestion des risques, qui ont évolué au fil des ans. Le présent document peut
servir de recommandations pour l’élaboration et la tenue à jour d’un processus de gestion des risques pour
d’autres produits qui ne sont pas nécessairement des dispositifs médicaux dans certaines juridictions, et
pour les fournisseurs et autres parties impliqués dans le cycle de vie des dispositifs médicaux.
Le présent document traite des processus de gestion des risques associés aux dispositifs médicaux.
Les risques peuvent concerner une blessure, principalement pour le patient, mais également pour
l’utilisateur et d’autres personnes. Les risques peuvent également concerner des atteintes à des biens
(par exemple objets, données, autre équipement) ou à l’environnement.
La gestion des risques est un sujet complexe, car chaque partie prenante peut évaluer selon ses propres
critères l’acceptabilité des risques par rapport aux bénéfices attendus. Les concepts de gestion des
risques sont particulièrement importants concernant les dispositifs médicaux en raison de la diversité
des parties prenantes, telles que les praticiens médicaux, les organismes de soin, les gouvernements, les
industriels, les patients et le public.
Il est communément admis que le concept de risque comporte deux composantes essentielles:
— la probabilité d’occurrence d’un dommage; et
— les conséquences de ce dommage, c’est-à-dire son degré de gravité.
Toutes les parties prenantes doivent comprendre que l’utilisation d’un dispositif médical implique un
degré de risque inhérent, même après réduction des risques à un niveau acceptable. Dans le contexte
d’une procédure clinique, il est reconnu que certains risques résiduels subsistent. Pour une partie
prenante, l’acceptabilité d’un risque est influencée par les composantes essentielles mentionnées plus
haut et par sa propre perception du risque et du bénéfice. La perception d’une partie prenante peut
varier en fonction de son environnement culturel, de l’environnement socio-économique et éducatif
de la société concernée, et de l’état de santé réel et perçu du patient. La manière dont un risque est
perçu tient également compte d’autres facteurs, par exemple si l’exposition au danger ou à la situation
dangereuse semble être involontaire, évitable, due à un individu, à une négligence ou à une cause mal
élucidée, ou encore si elle concerne un groupe vulnérable de la société.
Étant l’une des parties prenantes, le fabricant réduit les risques et traite des aspects relatifs à la sécurité
d’un dispositif médical, y compris l’acceptabilité des risques résiduels. Le fabricant tient compte de l’état
de l’art généralement admis, afin de déterminer si un dispositif médical est apte à être mis sur le marché
pour son utilisation prévue. Le présent document spécifie un processus permettant au fabricant d’un
dispositif médical d’identifier les dangers associés au dispositif médical, d’estimer et d’évaluer les risques
associés à ces dangers, de maîtriser ces risques et de surveiller l’efficacité des moyens de maîtrise tout
au long du cycle de vie du dispositif médical.
La décision d’utiliser un dispositif médical au cours d’une procédure clinique particulière demande
une évaluation des risques résiduels par rapport aux bénéfices possibles attendus de cette procédure.
De telles décisions n’entrent pas dans le domaine d’application du présent document et prennent en
compte l’utilisation prévue, les circonstances d’utilisation, les performances et les risques associés au
dispositif médical, ainsi que les risques et les bénéfices associés à la procédure clinique. Certaines de ces
décisions peuvent être prises uniquement par un praticien qualifié qui connaît l’état de santé du patient
ou l’opinion de ce dernier.
Pour un dispositif médical donné, d’autres normes ou règlements peuvent nécessiter l’application de
méthodes spécifiques de gestion des risques. Dans ce cas, il est nécessaire de respecter également les
exigences énoncées dans ces documents.
vi © ISO 2019 – Tous droits réservés
Les formes verbales utilisées dans le présent document sont conformes à l’usage décrit à l’Article 7 des
Directives ISO/IEC, Partie 2:2018. Aux fins du présent document, les formes verbales:
— «doit» (shall en anglais) signifie que le respect d’une exigence ou d’un essai est obligatoire pour
satisfaire au présent document;
— «il convient de» signifie que le respect d’une exigence ou d’un essai est recommandé, mais n’est pas
obligatoire pour satisfaire au présent document;
— «peut» (may en anglais) est utilisé pour indiquer une autorisation (par exemple, un moyen autorisé
pour satisfaire à une exigence ou à un essai);
— «peut» (can en anglais) est utilisé pour exprimer une possibilité et une capacité; et
— «doit» (must en anglais) est utilisé pour exprimer une contrainte externe qui ne constitue pas une
exigence du document.
NORME INTERNATIONALE ISO 14971:2019(F)
Dispositifs médicaux — Application de la gestion des
risques aux dispositifs médicaux
1 Domaine d’application
Le présent document spécifie la terminologie, les principes et un processus de gestion des risques relatifs
aux dispositifs médicaux, y compris les logiciels utilisés en tant que dispositifs médicaux et les dispositifs
médicaux de diagnostic in vitro. Le processus décrit dans le présent document vise à aider les fabricants
de dispositifs médicaux à identifier les dangers associés au dispositif médical, à estimer et évaluer les
risques correspondants, à maîtriser ces risques et à surveiller l’efficacité des moyens de maîtrise.
Les exigences du présent document s’appliquent à tous les stades du cycle de vie d’un dispositif médical.
Le processus décrit dans le présent document s’applique aux risques associés à un dispositif médical, tels
que les risques concernant la biocompatibilité, la sécurité des données et des systèmes, l’électricité, les
parties en mouvement, le rayonnement et l’aptitude à l’utilisation.
Le processus décrit dans le présent document peut aussi s’appliquer aux produits qui ne sont pas
nécessairement des dispositifs médicaux dans certaines juridictions et peut être utilisé par d’autres
personnes impliquées dans le cycle de vie de dispositifs médicaux.
Le présent document ne s’applique pas à ce qui suit:
— les décisions relatives à l’utilisation d’un dispositif médical au cours d’une procédure clinique
particulière; ou
— la gestion des risques commerciaux.
Le présent document impose aux fabricants d’établir des critères objectifs d’acceptabilité des risques,
mais ne spécifie pas de niveaux de risque acceptables.
La gestion des risques peut faire partie intégrante d’un système de management de la qualité. Cependant,
le présent document n’exige pas du fabricant qu’il mette en place un système de management de la
qualité.
NOTE Des recommandations relatives à l’application du présent document sont données dans
[9]
l’ISO/TR 24971 .
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO online browsing platform: disponible à l’adresse https:// www .iso .org/ obp;
— IEC electropedia: disponible à l’adresse http:// www .electropedia .org/ .
3.1
documentation d’accompagnement
documents accompagnant un dispositif médical (3.10) et contenant des informations destinées à
l’utilisateur ou aux personnes responsables de l’installation, de l’utilisation, de la maintenance, de
la mise hors service et de la mise au rebut du dispositif médical (3.10), en particulier concernant une
utilisation sûre
Note 1 à l'article: La documentation d’accompagnement peut consister en des instructions d’utilisation, une
description technique, un manuel d’installation, un guide de référence rapide, etc.
Note 2 à l'article: La documentation d’accompagnement n’est pas nécessairement écrite ou imprimée mais peut
comprendre des supports sonores, visuels ou tactiles et des médias multiples.
3.2
bénéfice
incidence positive ou résultat souhaitable de l’utilisation d’un dispositif médical (3.10) pour la santé
d’une personne, ou impact positif sur la gestion des patients ou la santé publique
Note 1 à l'article: Les bénéfices peuvent inclure: un impact positif sur les résultats cliniques, la qualité de vie du
patient, les résultats en matière de diagnostic; un impact positif des dispositifs de diagnostic sur les résultats
cliniques; ou un impact positif sur la santé publique.
3.3
dommage
blessure physique ou atteinte à la santé des personnes, ou atteinte aux biens ou à l’environnement
[SOURCE: Guide ISO/IEC 63:2019, 3.1]
3.4
danger
source potentielle de dommage (3.3)
[SOURCE: Guide ISO/IEC 63:2019, 3.2]
3.5
situation dangereuse
situation dans laquelle des personnes, des biens ou l’environnement sont exposés à un ou plusieurs
dangers (3.4)
Note 1 à l'article: Se reporter à l’Annexe C pour une explication de la relation entre danger et situation dangereuse.
[SOURCE: Guide ISO/IEC 63:2019, 3.3, modifié — La Note 1 à l’article a été ajoutée.]
3.6
utilisation prévue
destination
utilisation à laquelle un produit, un processus (3.14) ou un service est destiné, conformément aux
spécifications, aux instructions et aux informations fournies par le fabricant (3.9)
Note 1 à l'article: L’indication médicale prévue, la population de patients, la partie du corps ou le type de tissu
en interaction, le profil d’utilisateur, l’environnement d’utilisation et le principe de fonctionnement sont des
éléments typiques de l’utilisation prévue.
[SOURCE: Guide ISO/IEC 63:2019, 3.4]
2 © ISO 2019 – Tous droits réservés
3.7
dispositif médical de diagnostic in vitro
dispositif médical de div
dispositif, utilisé seul ou en combinaison, désigné par le fabricant (3.9) pour l’examen in vitro
d’échantillons prélevés sur le corps humain uniquement ou principalement dans le but de fournir des
informations à des fins de diagnostic, de surveillance ou de compatibilité incluant les réactifs, les
étalons, les matériaux de contrôle, les réceptacles d’échantillons, les logiciels et les instruments ou
appareillages associés ou autres articles
[SOURCE: ISO 18113‑1:2009, 3.27, modifiée — La Note a été supprimée.]
3.8
cycle de vie
série de toutes les phases de la vie d’un dispositif médical (3.10), depuis sa conception initiale jusqu’à sa
mise hors service et à sa mise au rebut finales
[SOURCE: Guide ISO/IEC 63:2019, 3.5]
3.9
fabricant
personne physique ou morale responsable de la conception et/ou de la fabrication d’un dispositif
médical (3.10) dans le but de le rendre disponible pour utilisation, en son nom, que ce dispositif médical
(3.10) soit ou non conçu et/ou fabriqué par cette personne ou en son nom par une ou plusieurs autres
personnes
Note 1 à l'article: Cette personne physique ou morale a la responsabilité légale finale d’assurer que le dispositif
médical respecte l’ensemble des exigences réglementaires applicables dans les pays ou juridictions où ceux-ci
doivent être rendus disponibles ou vendus, à moins que l’autorité réglementaire (ar) au sein de cette juridiction
impose spécifiquement cette responsabilité à une autre personne.
Note 2 à l'article: Les responsabilités du fabricant sont décrites dans d’autres documents d’orientation ghtf.
Ces responsabilités comprennent la satisfaction des exigences avant et après mise sur le marché, telles que le
signalement de tout événement indésirable et la notification d’actions correctives.
Note 3 à l'article: La conception et/ou la fabrication peuvent inclure l’élaboration de spécifications, la production,
la fabrication, l’assemblage, le traitement, le conditionnement, le reconditionnement, l’étiquetage, le réétiquetage,
la stérilisation, l’installation ou la remise à neuf d’un dispositif médical; ou le regroupement d’un ensemble de
dispositifs, et éventuellement d’autres produits, à des fins médicales.
Note 4 à l'article: Toute personne qui assemble ou adapte un dispositif médical ayant déjà été fourni par une autre
personne pour un patient en particulier, et ce, conformément aux instructions d’utilisation, n’est pas le fabricant,
sous réserve que l’assemblage ou l’adaptation ne modifie en rien l’utilisation prévue du dispositif médical.
Note 5 à l'article: Il convient que toute personne qui modifie l’utilisation prévue ou apporte des changements à un
dispositif médical sans avoir été mandatée par le fabricant d’origine et qui le rend disponible pour utilisation en
son nom propre soit considérée comme le fabricant du dispositif médical modifié.
Note 6 à l'article: Un représentant autorisé, un distributeur ou un importateur qui ajoute uniquement sa propre
adresse et ses coordonnées au dispositif médical ou à l’emballage sans recouvrir ou modifier l’étiquetage existant
n’est pas considéré comme un fabricant.
Note 7 à l'article: Dans la mesure où un accessoire est assujetti aux exigences réglementaires d’un dispositif
médical, la personne responsable de sa conception et/ou de sa fabrication est considérée comme un fabricant.
[SOURCE: Guide ISO/IEC 63:2019, 3.6]
3.10
dispositif médical
instrument, appareil, équipement, machine, dispositif, implant, réactif destiné à une utilisation in vitro,
logiciel, matériel ou autre article similaire ou associé, dont le fabricant (3.9) prévoit qu’il soit utilisé seul
ou en association chez l’être humain pour une ou plusieurs fins médicales spécifiques suivantes:
— diagnostic, prévention, contrôle, traitement ou atténuation d’une maladie;
— diagnostic, contrôle, traitement, atténuation ou compensation d’une blessure;
— étude, remplacement, modification ou entretien de l’anatomie ou d’un processus physiologique;
— entretien (artificiel) ou maintien de la vie;
— maîtrise de la conception;
— désinfection des dispositifs médicaux (3.10);
— communication d’informations par un examen in vitro de spécimens (prélèvements) provenant du
corps humain;
Et dont l’action principale voulue n’est pas obtenue par des moyens pharmacologiques ou
immunologiques ni par métabolisme, dans le corps humain ou à la surface de celui-ci, mais dont la
fonction peut être assistée par de tels moyens
Note 1 à l'article: Les produits peuvent être considérés comme des dispositifs médicaux dans certaines juridictions
mais pas dans d’autres incluent:
— les produits désinfectants;
— les aides pour les personnes handicapées;
— les dispositifs intégrant des tissus animaux ou humains;
— les dispositifs pour les technologies de fécondation in vitro et de reproduction assistée.
[SOURCE: Guide ISO/IEC 63:2019, 3.7]
3.11
preuves objectives
données démontrant l’existence ou la véracité de quelque chose
Note 1 à l'article: Les preuves objectives peuvent être obtenues par observation, mesure, essai ou par un autre moyen.
[SOURCE: ISO 9000:2015, 3.8.3, modifiée — La Note 2 à l’article a été supprimée.]
3.12
postproduction
phase du cycle de vie (3.8) du dispositif médical (3.10) après l’achèvement de la conception et après la
fabrication du dispositif médical (3.10)
EXEMPLE Transport, stockage, installation, utilisation du produit, maintenance, réparation, remplacement
de produits, mise hors service et mise au rebut.
3.13
procédure
Manière spécifiée de réaliser une activité ou un processus (3.14)
Note 1 à l'article: Les procédures peuvent ou non faire l’objet de documents.
[SOURCE: ISO 9000:2015, 3.4.5]
3.14
processus
ensemble d’activités corrélées ou en interaction qui utilise des éléments d’entrée pour produire un
résultat escompté
Note 1 à l'article: La désignation du «résultat escompté» d’un processus par élément de sortie, produit ou service
dépend du contexte de la référence.
Note 2 à l'article: Les éléments d’entrée d’un processus sont généralement les éléments de sortie d’autres processus
et les éléments de sortie d’un processus sont généralement les éléments d’entrée d’autres processus.
4 © ISO 2019 – Tous droits réservés
Note 3 à l'article: Deux processus, ou plus, corrélés et en interaction en série peuvent également être qualifiés de
processus.
[SOURCE: ISO 9000:2015, 3.4.1, modifiée — Les Notes 4, 5 et 6 à l’article ont été supprimées.]
3.15
mauvaise utilisation raisonnablement prévisible
utilisation d’un produit ou d’un système dans des conditions ou à des fins non prévues par le fabricant
(3.9), mais qui peut provenir d’un comportement humain envisageable
Note 1 à l'article: Le comportement humain envisageable inclut le comportement de tous les types d’utilisateurs,
par exemple les utilisateurs professionnels et non professionnels.
Note 2 à l'article: La mauvaise utilisation raisonnablement prévisible peut être intentionnelle ou non.
[SOURCE: Guide ISO/IEC 63:2019, 3.8]
3.16
enregistrement
document faisant état de résultats obtenus ou apportant la preuve de la réalisation d’une activité
Note 1 à l'article: Les enregistrements peuvent, par exemple, formaliser la traçabilité et apporter la preuve que la
vérification, les actions préventives et les actions correctives ont été réalisées.
Note 2 à l'article: En général, les enregistrements ne nécessitent pas de maîtrise des révisions.
[SOURCE: ISO 9000:2015, 3.8.10]
3.17
risque résiduel
risque subsistant après la mise en œuvre des mesures de maîtrise des risques (3.21)
[SOURCE: Guide ISO/IEC 63:2019, 3.9]
3.18
risque
combinaison de la probabilité de la survenue d’un dommage (3.3) et de sa gravité (3.27)
[SOURCE: Guide ISO/IEC 63:2019, 3.10, modifié — La Note 1 à l’article a été ajoutée.]
3.19
analyse des risques
utilisation systématique des informations disponibles pour identifier les dangers (3.4) et estimer le
risque (3.18)
[SOURCE: Guide ISO/IEC 63:2019, 3.11]
3.20
appréciation du risque
processus (3.14) englobant une analyse (3.19) des risques et une évaluation du risque (3.23)
[SOURCE: Guide ISO/IEC 51:2014, 3.11]
3.21
maîtrise des risques
processus (3.14) au cours duquel les décisions sont prises et les mesures visant à réduire les risques
(3.18) ou à les maintenir dans les limites spécifiées sont mises en place
[SOURCE: Guide ISO/IEC 63:2019, 3.12]
3.22
estimation des risques
processus (3.14) utilisé pour attribuer des valeurs à la probabilité d’occurrence d’un dommage (3.3) et à
sa gravité (3.27)
[SOURCE: Guide ISO/IEC 63:2019, 3.13]
3.23
évaluation du risque
processus (3.14) de comparaison des risques (3.18) estimés avec les critères de risque (3.18) donnés afin
de déterminer l’acceptabilité du risque (3.18)
[SOURCE: Guide ISO/IEC 63:2019, 3.14]
3.24
gestion des risques
application systématique des politiques de gestion, des procédures (3.13) et des pratiques à des tâches
d’analyse, d’évaluation, de contrôle et de maîtrise des risques (3.18)
[SOURCE: Guide ISO/IEC 63:2019, 3.15]
3.25
dossier de gestion des risques
ensemble des enregistrements (3.16) et d’autres documents produits par la gestion des risques (3.24)
3.26
sécurité
absence de risque (3.18) inacceptable
[SOURCE: Guide ISO/IEC 63:2019, 3.10]
3.27
gravité
mesure des conséquences possibles d’un danger (3.4)
[SOURCE: Guide ISO/IEC 63:2019, 3.17]
3.28
état de l’art
état d’avancement d’une capacité technique à un moment donné, en ce qui concerne un produit, un
processus (3.14) ou un service, fondé sur des découvertes scientifiques, techniques et expérimentales
pertinentes
Note 1 à l'article: L’état de l’art incarne ce qui est actuellement et généralement accepté comme étant une bonne
pratique dans le domaine de la technologie et de la médecine. L’état de l’art n’implique pas nécessairement la
solution technologique la plus avancée. L’état de l’art décrit ici est parfois appelé «état de l’art généralement admis».
[SOURCE: Guide ISO/IEC 63:2019, 3.18]
3.29
direction
personne ou groupe de personnes qui oriente et dirige un fabricant (3.9) au plus haut niveau
[SOURCE: ISO 9000:2015, 3.1.1, modifiée — «un organisme» a été remplacé par «un fabricant», et les
notes à l’article ont été supprimées.]
3.30
erreur d’utilisation
action de l’utilisateur ou absence d’action de l’utilisateur lors de l’utilisation du dispositif médical (3.10),
qui aboutit à un résultat différent du résultat prévu par le fabricant (3.9) ou attendu par l’utilisateur
Note 1 à l'article: Une erreur d’utilisation comprend l’incapacité de l’utilisateur à effectuer une tâche.
6 © ISO 2019 – Tous droits réservés
Note 2 à l'article: Des erreurs d’utilisation peuvent résulter d’une inadéquation entre les caractéristiques de
l’utilisateur, de l’interface utilisateur, de la tâche ou de l’environnement d’utilisation.
Note 3 à l'article: Les utilisateurs peuvent savoir ou non qu’une erreur d’utilisation s’est produite.
Note 4 à l'article: Une réponse physiologique inattendue du patient n’est pas considérée en elle-même comme une
erreur d’utilisation.
Note 5 à l'article: Le mauvais fonctionnement d’un dispositif médical qui aboutit à un résultat inattendu n’est pas
considéré comme une erreur d’utilisation.
[SOURCE: IEC 62366‑1:2015, 3.21, modifiée — La Note 6 à l’article a été supprimée.]
3.31
vérification
confirmation par des preuves objectives (3.11) que les exigences spécifiées ont été satisfaites
Note 1 à l'article: Les preuves objectives requises pour la vérification peuvent être le résultat d’un contrôle ou
d’autres formes de détermination, telles que la réalisation de calculs ou l’examen de documents.
Note 2 à l'article: Les activités réalisées pour la vérification sont parfois appelées processus de qualification.
Note 3 à l'article: Le terme «vérifié» est utilisé pour désigner l’état correspondant.
[SOURCE: Guide ISO/IEC 63:2019, 3.19]
4 Exigences générales relatives au système de gestion des risques
4.1 Processus de gestion des risques
Le fabricant doit établir, mettre en œuvre, documenter et tenir à jour un processus continu permettant de:
a) identifier les dangers et situations dangereuses associés à un dispositif médical;
b) estimer et évaluer les risques associés;
c) maîtriser ces risques; et
d) contrôler l’efficacité des mesures de maîtrise des risques.
Ce processus doit s’appliquer tout au long du cycle de vie du dispositif médical.
Ce processus doit comprendre les éléments suivants:
— l’analyse des risques;
— l’évaluation du risque;
— la maîtrise des risques; et
— les activités de production et de postproduction.
Lorsqu’un processus documenté de réalisation du produit existe, il doit comprendre les parties
appropriées du processus de gestion des risques.
[5]
NOTE 1 Les processus de réalisation du produit sont décrits par exemple dans l’Article 7 de l’ISO 13485:2016 .
NOTE 2 Un processus documenté au sein d’un système de management de la qualité peut être utilisé pour
traiter de la sécurité de façon systématique, en particulier pour permettre l’identification précoce des dangers et
des situations dangereuses dans des dispositifs médicaux complexes.
NOTE 3 La Figure 1 donne une représentation schématique du processus de gestion des risques. Les différents
éléments de gestion des risques peuvent avoir différents aspects en fonction de la phase du cycle de vie. De même,
les activités de gestion des risques peuvent être réalisées de manière itérative ou en plusieurs étapes, en fonction
du dispositif médical. L’Annexe B contient un exposé plus détaillé des phases du processus de gestion des risques.
La conformité est vérifiée par contrôle des documents appropriés.
Figure 1 — Représentation schématique du processus de gestion des risques
4.2 Responsabilités de la direction
La direction doit fournir les preuves de son engagement dans le processus de gestion des risques en
s’assurant que:
— les ressources adéquates sont disponibles; et
— un personnel compétent (voir 4.3) est désigné pour la gestion des risques.
La direction doit définir et documenter une politique pour établir les critères d’acceptabilité du risque.
Cette politique doit fournir un cadre garantissant que les critères sont basés sur des réglementations
nationales ou régionales applicables et sur les normes internationales pertinentes, et prendre en
8 © ISO 2019 – Tous droits réservés
compte les informations disponibles, telles que l’état de l’art généralement admis et les préoccupations
connues des parties prenantes.
NOTE 1 La politique du fabricant pour l’établissement des critères d’acceptabilité du risque peut définir les
approches de maîtrise des risques: réduire les risques autant que raisonnablement praticable, réduire les risques
autant que raisonnablement atteignable, ou réduire les risques autant que possible sans altérer le rapport
[9]
bénéfice/risque. Voir les recommandations de l’ISO/TR 24971 relatives à la définition de cette politique.
La direction doit vérifier l’adéquation du processus de gestion des risques à des intervalles définis, afin
de garantir en permanence l’efficacité du processus de gestion des risques, et doit documenter toute
décision prise ou action menée. Si le fabricant a mis en place un système de management de la qualité,
cet examen peut entrer dans le cadre de l’examen du système de management de la qualité.
NOTE 2 Les résultats de l’examen des informations de production et de postproduction peuvent constituer un
élément d’entrée dans l’examen de l’adéquation du processus de gestion des risques.
NOTE 3 Les documents décrits dans ce paragraphe peuvent être intégrés dans les documents produits par le
système de management de la qualité du fabricant et ces documents peuvent être référencés dans le dossier de
gestion des risques.
La conformité est vérifiée par contrôle des documents appropriés.
4.3 Compétence du personnel
Les personnes exécutant des tâches de gestion des risques doivent être compétentes, sur la base
de l’enseignement, de la formation, des compétences et de l’expérience nécessaires pour accomplir
les tâches qui leur sont confiées. Le cas échéant, ces personnes doivent avoir les connaissances et
l’expérience requises pour utiliser le dispositif médical particulier (ou des dispositifs médicaux similaires),
les technologies impliquées ou les techniques de gestion des risques employées. Des enregistrements
appropriés doivent être tenus à jour.
NOTE Les activités de gestion des risques peuvent être effectuées par des représentants de fonctions
diverses, chacun apportant ses connaissances spécifiques.
La conformité est vérifiée par contrôle des enregistrements appropriés.
4.4 Plan de gestion des risques
Les activités de gestion des risques doivent être planifiées. Pour le dispositif médical particulier pris
en considération, le fabricant doit établir et documenter un plan de gestion des risques conforme au
processus de gestion des risques. Le plan de gestion des risques doit faire partie du dossier de gestion des
risques.
Ce plan doit comprendre au moins les éléments suivants:
a) le domaine d’application des activités planifiées de gestion des risques, identifiant et décrivant le
dispositif médical et les phases du cycle de vie auxquelles chaque élément du plan est applicable;
b) l’attribution des responsabilités et des autorités;
c) les exigences relatives à l’examen des activités de gestion des risques;
d) les critères d’acceptabilité des risques, basés sur la politique du fabricant en matière de détermination
des risques acceptables, et notamment les critères d’acceptabilité des risques lorsque la probabilité
d’occurrence d’un dommage ne peut pas être estimée;
NOTE 1 Les critères d’acceptabilité des risques sont essentiels pour l’efficacité finale du processus de
gestion des risques. Pour chaque plan de gestion des risques, il est nécessaire que le fabricant établisse des
critères d’acceptabilité des risques appropriés pour le dispositif médical particulier.
e) une méthode d’évaluation du risque résiduel global et les critères d’acceptabilité du risque résiduel
global fondés sur la politique du fabricant en matière de risque acceptable;
NOTE 2 La méthode d’évaluation du risque résiduel global peut inclure la collecte et l’examen des données
et de la littérature relatives au dispositif médical pris en considération et aux dispositifs médicaux similaires
sur le marché et peut impliquer le jugement d’une équipe multidisciplinaire d’experts ayant une connaissance
de l’application et une expertise clinique.
f) les activités de vérification de la mise en œuvre et de l’efficacité des mesures de maîtrise des risques; et
g) les activités associées à la collecte et à l’examen des informations de production et de postproduction
pertinentes.
[9]
NOTE 3 Voir les recommandations de l’ISO/TR 24971 relatives à l’élaboration d’un plan de gestion des
risques et à l’établissement des critères d’acceptabilité des risques.
NOTE 4 Il n’est pas nécessaire de créer toutes les parties du plan en même temps. Le plan ou ses parties
peuvent être élaborés au fil du temps.
Si le plan est modifié pendant le cycle de vie du dispositif médical, un enregistrement des modifications
doit être tenu à jour dans le dossier de gestion des risques.
La conformité est vérifiée par contrôle du dossier de gestion des risques.
4.5 Dossier de gestion des risques
Pour le dispositif médical particulier pris en considération, le fabricant doit créer et tenir à jour un dossier
de gestion des risques. En plus des exigences spécifiées dans les autres articles du présent document, le
dossier de gestion des risques doit permettre la traçabilité pour chaque danger identifié par rapport à:
— l’analyse des risques;
— l’évaluation du risque;
— la mise en œuvre et la vérification des mesures de maîtrise des risques; et
— les résultats de l’évaluation des risques résiduels.
NOTE 1 Les enregistrements et les autres documents qui composent le dossier de gestion des risques peuvent
faire partie d’autres documents et dossiers requis, par exemple dans le cadre d’un système de management de la
qualité du fabricant. Le dossier de gestion des risques peut ne pas contenir physiquement tous
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...