ISO/TR 24971:2020

TECHNICAL ISO/TR
REPORT 24971
Redline version
compares Second edition to
First edition
Medical devices — Guidance on the
application of ISO 14971
Dispositifs médicaux — Recommandations relatives à l'application
de l'ISO 14971
Reference number
ISO/TR 24971:redline:2020(E)
©
ISO 2020
ISO/TR 24971:redline:2020(E)
IMPORTANT
This marked-up version uses the following colour-coding in the marked-up text:
Text example 1 — Text has been added (in green)
— Text has been deleted (in red)
Text example 2
— Graphic figure has been added
— Graphic figure has been deleted
1.x . — If there are changes in a clause/subclause, the corresponding clause/
subclause number is highlighted in yellow in the Table of contents
DISCLAIMER
This marked-up version highlights the main changes in this edition of the document
compared with the previous edition. It does not focus on details (e.g. changes in
punctuation).
This marked-up version does not constitute the official ISO document and is not intended to
be used for implementation purposes.
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved

ISO/TR 24971:redline:2020(E)
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
2 3 The role of international product safety and process standards in risk
management Terms and definitions . 1
2.1 Overview . 1
2.2 Use of international product safety standards in risk management . 2
2.3 International process standards and ISO 14971 . 4
3 4 Developing the policy for determining the criteria for General requirements for risk
acceptability management system . 6
4.1 Risk management process . 7
4.2 Management responsibilities . 7
4.2.1 Top management commitment . 7
4.2.2 Policy for establishing criteria for risk acceptability . 7
4.2.3 Suitability of the risk management process . 7
4.3 Competence of personnel . 7
4.4 Risk management plan . 9
4.4.1 General. 9
4.4.2 Scope of the risk management plan . 9
4.4.3 Assignment of responsibilities and authorities . 9
4.4.4 Requirements for review of risk management activities . 9
4.4.5 Criteria for risk acceptability . 9
4.4.6 Method to evaluate overall residual risk and criteria for acceptability .10
4.4.7 Verification activities .10
4.4.8 Activities related to collection and review of production and post-
production information .10
4.5 Risk management file .11
4 5 Production and post-production feedback loop Risk analysis  .11
5.1 Risk analysis process .11
5.2 Intended use and reasonably foreseeable misuse .11
5.3 Identification of characteristics related to safety .12
4.1 5.4 Overview Identification of hazards and hazardous situations .13
5.4.1 Hazards .13
5.4.2 Hazardous situations in general .13
5.4.3 Hazardous situations resulting from faults .13
5.4.4 Hazardous situations resulting from random faults .14
5.4.5 Hazardous situations resulting from systematic faults .14
5.4.6 Hazardous situations arising from security vulnerabilities .15
5.4.7 Sequences or combinations of events .15
4.2 5.5 Observation and transmission Risk estimation  .17
5.5.1 General.19
5.5.2 Probability .19
5.5.3 Risks for which probability cannot be estimated .20
5.5.4 Severity .21
5.5.5 Examples .21
4.3 Assessment .23
4.4 Action .24
6 Risk evaluation .24
ISO/TR 24971:redline:2020(E)
5 7 Differentiation of information for safety and disclosure of residual risk Risk control  .24
7.1 Risk control option analysis .24
7.1.1 Risk control for medical device design .24
7.1.2 Risk control for manufacturing processes .26
7.1.3 Standards and risk control .27
7.2 Implementation of risk control measures .27
7.3 Residual risk evaluation .27
5.1 7.4 Difference between “information for safety” and “disclosure of residual risk”
Benefit-risk analysis .27
7.4.1 General.28
7.4.2 Benefit estimation .28
7.4.3 Criteria for benefit-risk analysis .29
7.4.4 Benefit-risk comparison.29
7.4.5 Examples of benefit-risk analyses .30
5.2 Information for safety .30
5.3 7.5 Disclosure of residual risk Risks arising from risk control measures .30
7.6 Completeness of risk control .31
6 8 Evaluation of overall residual risk .31
6.1 8.1 Overview General considerations.31
8.2 Inputs and other considerations .32
6.2 8.3 Inputs and other considerations for overall residual risk evaluation Possible
approaches .33
9 Risk management review .35
10 Production and post-production activities.35
10.1 General .35
10.2 Information collection .35
10.3 Information review .37
10.4 Actions .38
Annex A (informative) Identification of hazards and characteristics related to safety .40
Annex B (informative) Techniques that support risk analysis .48
Annex C (informative) Relation between the policy, criteria for risk acceptability, risk
control and risk evaluation .53
Annex D (informative) Information for safety and information on residual risk .58
Annex E (informative) Role of international standards in risk management .61
Annex F (informative) Guidance on risks related to security .66
Annex G (informative) Components and devices designed without using ISO 14971 .71
Annex H (informative) Guidance for in vitro diagnostic medical devices .73
Bibliography .96
iv © ISO 2020 – All rights reserved

ISO/TR 24971:redline:2020(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2. (see www .iso .org/ directiveswww .iso .org/ directives
-and -policies).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received. (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see the following
URL: www .iso .org/ iso/ foreword .html.
ISO/TR 24971This document was prepared jointly by Technical Committee ISO/TC 210,
Quality management and corresponding general aspects for medical devices, and Technical
CommitteeSubcommittee IEC/SC 62A, Common aspects of electrical equipment used in medical practice.
The draft was circulated for voting to the national bodies of both ISO and IEC.
This second edition cancels and replaces the first edition, which has been technically revised. The main
changes compared to the previous edition are as follows:
— The clauses of ISO/TR 24971:2013 and some informative annexes of ISO 14971:2007 are merged,
restructured, technically revised, and supplemented with additional guidance.
— To facilitate the use of this document, the same structure and numbering of clauses and subclauses
as in ISO 14971:2019 is employed. The informative annexes contain additional guidance on specific
aspects of risk management.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
ISO/TR 24971:redline:2020(E)
Introduction
Experience indicates thatThis document provides guidance to assist manufacturers have difficulty
with practical implementation of some clauses of the in the development, implementation and
maintenance of a risk management International Standard, process for medical devices that aims to meet
the requirements of ISO 14971:20072019, Medical devices — Application of risk management to medical
devices. This Technical Report provides guidance to assist in the development, implementation and
maintenance of risk management for medical devices that aim to meet the requirements of It provides
guidance on the application of ISO 14971:2019. It provides guidance for specific aspects of for ISO 14971
for a wide variety of medical devices. These medical devices include active, non-active, implantable, and
non-implantable medical devices, software as medical devices and in vitro diagnostic medical devices.
This Technical Report is not intended to be an overall guidance document on the implementationThe
clauses and subclauses in this document have the same structure and numbering as the clauses
and subclauses of ISO 14971:2019 for organizations. It supplements the guidance contained in the
informative annexes, to facilitate the use of this guidance in applying the requirements of the standard.
Further division into subclauses is applied where considered useful. The informative annexes contain
additional guidance on specific aspects of risk management. The guidance consists of the clauses
of ISO 14971/TR 24971:2013 related to the following areasand some of the informative annexes of
ISO 14971:2007, which are merged, restructured, technically revised, and supplemented with additional
guidance.
— Guidance on the role of international product safety and process standards in risk management
— Guidance on developing the policy for determining the criteria for risk acceptability
— Guidance on how the production and post-production feedback loop can work
— Guidance on the differentiation of information for safety as a risk control measure and disclosure of
residual risk
— Guidance on the evaluation of overall residual risk
Annex H was prepared in cooperation with Technical Committee ISO/TC 212, Clinical laboratory testing
and in vitro diagnostic test systems.
This Technical Report provides somedocument describes approaches that manufacturersan organization
can use to develop, implement and maintain some aspects of a risk management process system that
conformsconforming to ISO 14971:2019. Alternative approaches can be used if thesealso satisfy the
requirements of ISO 14971:2019.
When judging the applicability of the guidance in this Technical Reportdocument, one should consider
the nature of the medical device(s) to which it will apply, the risks associated with the use ofhow and by
whom these medical devices are used, and the applicable regulatory requirements.
vi © ISO 2020 – All rights reserved

TECHNICAL REPORT ISO/TR 24971:redline:2020(E)
Medical devices — Guidance on the application of ISO 14971
1 Scope
This Technical Report provides guidance in addressing specific areasdocument provides guidance on
the development, implementation and maintenance of ISO 14971 when implementing risk managementa
risk management system for medical devices according to ISO 14971:2019.
The risk management processguidance is intended can be part of a quality management system, for
[24]
example one that is based on ISO 13485:2016 , but this is not required by ISO 14971:2019. Some
requirements in ISO 13485:2016 (Clause 7 on product realization and 8.2.1 on feedback during
monitoring and measurement) are related to risk managementassist manufacturers and other
users of and the standard tocan be fulfilled by applying ISO 14971:2019. See also the ISO Handbook:
[25]
ISO 13485:2016 — Medical devices — A practical guide .
— understand the role of international product safety and process standards in risk management;
— develop the policy for determining the criteria for risk acceptability;
— incorporate production and post-production feedback loop into risk management;
— differentiate between “information for safety” and “disclosure of residual risk”; and
— evaluate overall residual risk.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 14971:2019, Medical devices — Application of risk management to medical devices
2 3 The role of international product safety and process standards in risk
management Terms and definitions
2.1 Overview
International product safety and process standards play a significant role in risk management as
described by ISO 14971. In principle, these standards are developed using a type of risk management
that can include identifying hazards and hazardous situations, estimating risks, evaluating risks,
and specifying risk control measures. More information on a process for developing medical device
standards using a type of risk management can be found in documents such as ISO/IEC Guide 51 and
ISO/IEC Guide 63. International product safety and process standards are developed by experts in the
field and represent the generally accepted state of the art (see D.4 of ISO 14971:2007).
These standards can have an important role in risk management. When performing risk management,
the manufacturer first needs to consider the medical device being designed, its intended use and the
hazards/hazardous situations related to it. Manufacturers can, if they choose, identify standard(s)
that contain specific requirements that help manage the risks related to those hazards/hazardous
situations.
For medical devices that satisfy the requirements and compliance criteria of these standards, the
residual risks related to those hazards/hazardous situations can be considered acceptable unless there
ISO/TR 24971:redline:2020(E)
is objective evidence to the contrary. Some potential sources of objective evidence to the contrary can
include reports of adverse events, product recalls and complaints. The requirements of International
Standards, such as engineering or analytical processes, specific output limits, warning statements, or
design specifications, can be considered risk control measures established by the standards writers
that are intended to address the risks of specific hazardous situations that have been identified and
evaluated as needing risk control.
In many cases, the standards writers have taken on and completed elements of risk management
and provided manufacturers with answers in the form of design requirements and test methods for
establishing conformity. When performing risk management activities, manufacturers can take
advantage of the work of the standards writers and need not repeat the analyses leading to the
requirements of the standard. International standards, therefore, provide valuable information on risk
acceptability that has been validated during a worldwide evaluation process, including multiple rounds
of review, comment, and voting.
2.2 Use of international product safety standards in risk management
An international product safety standard can establish requirements that, when implemented, result in
acceptable risk for specific hazardous situations (e.g. safety limits). The manufacturer can apply these
requirements in the following way when managing risk.
a) Where an international product safety standard specifies technical requirements addressing
particular hazards or hazardous situations, together with specific acceptance criteria, compliance
with those requirements is presumed to establish that the residual risks have been reduced to
acceptable levels unless there is objective evidence to the contrary. For example, in IEC 60601-
1, Medical electrical equipment — Part 1: General requirements for basic safety and essential
performance, leakage current must be controlled to achieve an acceptable level of risk. IEC 60601-1
provides leakage current limits that are considered to result in an acceptable level of risk when
measured under the conditions stated in 8.7 of IEC 60601-1:2005. For this example, further risk
management would not be necessary. The following steps need to be taken in this case.
1) Implement 4.2 and 4.3 of ISO 14971:2007 to identify characteristics related to safety and
identify hazards and hazardous situations associated with the device as completely as possible.
2) Identify those hazards and hazardous situations relevant to the particular medical device that
are exactly covered by the international product safety standard.
3) For those identified hazards and hazardous situations exactly covered by the international
product safety standard, the manufacturer may choose not to estimate (4.4 of ISO 14971:2007)
or evaluate (Clause 5 of ISO 14971:2007) the risks so identified but rather rely on the
requirements contained in the international standard to demonstrate the completion of risk
estimation and risk evaluation.
4) To the extent possible, the manufacturer should identify the design specifications that satisfy
the requirements in the standard and serve as risk control measures (6.2 of ISO 14971:2007).
NOTE For some international product safety standards, the possibility of identifying all the specific
risk control measures is limited. One example is electromagnetic compatibility testing in IEC 60601–1-2,
Medical electrical equipment — Part 1-2: General requirements for basic safety and essential performance
— Collateral standard: Electromagnetic compatibility — Requirements and tests, for complex medical
devices.
5) Verification of the implementation of the risk control measures for these hazardous situations
is obtained from the design documents. Verification of the effectiveness of the risk control
measures is obtained from the tests and test results demonstrating that the device meets the
relevant requirements of the international product safety standard.
6) If the relevant requirements are met, the associated residual risk is considered acceptable.
b) Where an international product safety standard does not completely specify technical requirements
and associated tests and test acceptance criteria, the situation is more complex. In some cases, the
2 © ISO 2020 – All rights reserved

ISO/TR 24971:redline:2020(E)
standard directs the manufacturer to perform specific tests related to known hazards or hazardous
situations but does not provide specific test acceptance criteria (e.g. IEC 60601-2-16, Medical
electrical equipment — Part 2-16: Particular requirements for basic safety and essential performance of
haemodialysis, haemodiafiltration and haemofiltration equipment). In some other cases, the standard
can simply direct the manufacturer to investigate specific hazards or hazardous situations in
their risk analysis (e.g. 10.2 of IEC 60601-1:2005). The range of alternatives is too large to provide
specific guidance on how to use such standards in the risk management process. Manufacturers
are encouraged, however, to use the content of such standards in their risk management of the
particular medical device.
c) For hazards or hazardous situations that are identified for the particular medical device but are
not specifically addressed in any standard, the manufacturer needs to address those hazards or
hazardous situations in the risk management process. The manufacturer is required to estimate
and evaluate the risks and, if necessary, control these risks (see 4.4 and Clauses 5 and 6 of
ISO 14971:2007).
See Figure 1 for a flowchart and an example outlining the use of international product safety standards.
Identify Hazards/Hazardous situations Hazardous situation identi€ied: patient (and medical device)
(H/HS)
needs to be transfered from one room to another; if put in
(4.3 of ISO 14971:2007).
transport position, equipment overbalances and patient falls
2 c) Input the identi€ied Are the H/HS
hazards and hazardous addressed in international
No Yes: IEC 60601-1:2005, Subclause 9.4.2.1
situations into the risk product safety
management process. standard(s)?
Yes
2 b) Use the identi€ied hazards,
hazardous situations, test How is it
methods, or other relevant 2 b) addressed? Choose between 2 a)
information in the risk 2 a) and 2 b).
management process.
2 a)
Yes: there is a speci€ied requirement:
2 a): International product
The equipment shall not overbalance when placed in any
safety standard speci€ies
transport position of normal use on a plane inclined at an angle
requirements and provides
of 10° from the horizontal plane, and speci€ic acceptance criteria
speci€ic test acceptance
(de€ined test). If the equipment overbalances, it does not comply
criteria.
with the requirement.
Use the identi€ied hazards,
Do
hazardous situations, test
requirement(s) fully match Yes, equipment is transportable, and it can be transported with
methods, or other relevant No
the design including the patient on it to accommodate patient transfers.
information in the risk
intended use?
management process.
Yes
No need to estimate (4.4) Risk is not estimated nor evaluated prior to implementation of
or evaluate risk (5) risk control measure.
Identify the design
speci€ications that achieve
Identi€ied in the risk management €ile
the requirement in the
standard (6.2).
Verify the effectiveness Test performed: equipment placed on a plane inclined at an
(6.3) by performing test(s) angle 10º from the horizontal plane. Result: medical device does
according to the standard. not overbalance
If the test is passed,
related residual risks Medical device does not overbalance, so the related residual risk
are considered is considered acceptable.
acceptable (6.4).
Figure 1 — Use of international product safety standards and example of such standard that
specifies requirements and provides specific test acceptance criteria
ISO/TR 24971:redline:2020(E)
2.3 International process standards and ISO 14971
International process standards, as shown in the examples below, can often be used in conjunction with
ISO 14971. This is performed in one of two ways:
— The international process standard requires application of ISO 14971 as part of the implementation
of the international process standard, e.g. IEC 62304 on software life cycle processes; or
— The international process standard is intended to be used in risk management, e.g. IEC 62366 on
usability engineering and the ISO 10993 series on biological evaluation.
In either case, proper use of the international process standard requires attention to the interfaces
between that standard and ISO 14971 in order to achieve acceptable levels of risk for the medical device.
The two standards should work together such that inputs, outputs and their timing are optimized.
Three examples are given below to demonstrate this ideal situation.
a) IEC 62304, Medical device software — Software life cycle processes
The relationship between IEC 62304 and ISO 14971 is well-described in the introduction to IEC 62304:
As a basic foundation it is assumed that medical device software is developed and maintained within
a quality management system (see 4.1 of IEC 62304:2006) and a risk management process (see
4.2 of IEC 62304:2006). The risk management process is already very well addressed by the
International Standard ISO 14971. Therefore IEC 62304 makes use of this advantage simply by a
normative reference to ISO 14971. Some minor additional risk management requirements are
needed for software, especially in the area of identification of contributing software factors related
to hazards. These requirements are summarized and captured in Clause 7 of IEC 62304:2006 as
the software risk management process.
Whether software is a contributing factor to a hazard is determined during the hazard identification
activity of the risk management process. hazards that could be indirectly caused by software
(for example, by providing misleading information that could cause inappropriate treatment to be
administered) need to be considered when determining whether software is a contributing factor.
The decision to use software to control risk is made during the risk control activity of the risk
management process. The software risk management process required in this standard has to
be embedded in the device risk management process according to ISO 14971.
IEC 62304 makes a normative reference to ISO 14971 and specifically requires:
— software development planning (5.1 of IEC 62304:2006) that is consistent with the risk
management plan required by ISO 14971; and
— a software risk management process (Clause 7 of IEC 62304:2006) based upon ISO 14971.
b) IEC 62366, Medical devices — Application of usability engineering to medical devices
The flow diagram in Figure A.1 of IEC 62366:2007 demonstrates the relationship and interconnection
of the two parallel and interconnecting processes. In addition to making a normative reference to
ISO 14971, IEC 62366:2007 identifies three specific clauses where the usability engineering process
can supplement and interact with risk management as described in ISO 14971:
— 5.3.1 of IEC 62366:2007 requires: “An identification of characteristics related to safety (part
of a risk analysis) that focuses on usability shall be performed according to ISO 14971:2007,
4.2.”
— 5.3.2 of IEC 62366:2007 requires: “The manufacturer shall identify known or foreseeable
hazards (part of a risk analysis) related to usability according to ISO 14971:2007, 4.3.”
— 5.9 of IEC 62366:2007 on Usability Validation makes several references to activities that would
be undertaken as part of risk management.
4 © ISO 2020 – All rights reserved

ISO/TR 24971:redline:2020(E)
c) ISO 10993 (all parts), Biological evaluation of medical devices
The introduction to ISO 10993-1 states that ISO 10993-1 is intended to be a guidance document for the
biological evaluation of medical devices within risk management, as part of the overall evaluation
and development of each device.
Annex B of ISO 10993-1:2009 applies ISO 14971 to provide guidance on the risk management approach
for identification of biological hazards associated with medical devices, estimation and evaluation
of the risks, control of the risks, and monitoring the effectiveness of the risk control measures.
This approach combines the review and evaluation of existing data from all sources, with the selection
and application of additional tests (where necessary), thus enabling a full evaluation to be made of
the biological responses to each medical device, relevant to its safety in use.
ISO 10993-1:2009 aligns itself explicitly within risk management as described in ISO 14971.
The biological evaluation should be conducted in a manner similar to that used for other product risks,
and should include:
— Risk analysis (What are the hazards and associated risks?)
— Risk evaluation (Are they acceptable?)
— Risk control (How will they be controlled?)
— Overall residual risk/benefit evaluation
Following the processes defined in ISO 14971, if the overall residual risk evaluation concludes from
existing data that the identified risks are acceptable, no further risk control is needed. Otherwise,
appropriate measures should be taken to further evaluate or mitigate the risks.
The output of this evaluation is a Biological Evaluation Report.
Application
— Conditions identified as hazards in ISO 10993-1 include:
— Acute toxicity
— Chronic toxicity
— Irritation (skin, eye, mucosal surfaces)
— Hypersensitivity
— Genotoxicity
— Carcinogenicity
— Do the proposed materials in the particular medical device cause such conditions?
Methods that are used to determine if a material in the particular medical device can result in
the conditions listed above include:
— Chemical characterization and assessment
— Literature review
— Testing (in vitro/in vivo, non-clinical)
— Field experience
ISO/TR 24971:redline:2020(E)
— Are the exposure levels acceptable?
According to ISO 10993-1, expert assessors should determine if the available information/data are
sufficient to determine if the overall residual risk associated with biological hazards is acceptable.
This conclusion is documented in the Biological Evaluation Report, which becomes an element of
the risk management file.
For the purposes of this document, the terms and definitions given in ISO 14971:2019 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
[20]
NOTE The defined terms in ISO 14971:2019 are derived as much as possible from ISO/IEC Guide 63:2019
which was developed specifically for the medical device sector.
3 4 Developing the policy for determining the criteria for General requirements
for risk acceptability management system
According to 3.2 of ISO 14971:2007, top management is required to define and document the policy for
determining the criteria for risk acceptability. This policy is intended to ensure that criteria:
a) are based upon applicable national or regional regulations;
b) are based upon relevant International Standards;
c) take into account available information such as the generally accepted state of the art and known
stakeholder concerns.
NOTE Other relevant information can also be included.
The policy could cover the entire range of a manufacturer's medical devices or it can take different
forms depending on whether the medical devices are similar to each other, or whether the differences
between groups of medical devices are significant.
When developing or maintaining the policy the following should be taken into consideration:
— The applicable regulatory requirements in the regions where the medical device is to be marketed.
— The relevant International Standards for the particular medical device or an intended use of the
medical device that can help identify principles for setting the criteria for risk acceptability (see 2.2).
— Information on the state of the art can be obtained from review of the literature and other
information on similar medical devices the manufacturer has marketed, as well as those from
competing companies.
— The validated and comprehensive concerns from the main stakeholders. Some potential sources of
information on the patient and clinician perspective can include news media, social media, patient
forums, as well as input from internal departments with expert knowledge of stakeholder concerns
such as the clinical department.
The manufacturer should provide guidelines for developing the actual criteria for risk acceptability to
be used in the risk management plan for the particular medical device being considered (see 3.4 of
ISO 14971:2007).
The review of the suitability of the risk management process at planned intervals, as required by 3.2 of
ISO 14971:2007, can demonstrate the appropriateness of previously used criteria for risk acceptability
or lead to changes in the policy. Such changes can also lead to reviewing the appropriateness of previous
risk acceptability decisions.
6 © ISO 2020 – All rights reserved

ISO/TR 24971:redline:2020(E)
4.1 Risk management process
ISO 14971:2019requires that the manufacturer establishes, implements, documents and maintains an
ongoing risk management process throughout the life cycle of the medical device. The required elements
in this process and the responsibilities of top management are given in ISO 14971:2019 and explained in
further detail in this document.
4.2 Management responsibilities
4.2.1 Top management commitment
Top management has the responsibility to establish and maintain an effective risk management process.
It is important to note the emphasis on top management in ISO 14971:2019 Top management has the
power to assign authorities and responsibilities, to set priorities and to provide resources within the
organization. Commitment at the highest level of the organization is essential for the risk management
process to be effective.
If the manufacturer’s organization consists of separate entities, for example business units or divisions,
then top management can refer to those individuals who direct and control the entity implementing the
risk management process. Each entity can have its own risk management process (and its own quality
management system).
4.2.2 Policy for establishing cri
...

RAPPORT ISO/TR
TECHNIQUE 24971
Deuxième édition
2020-06
Dispositifs médicaux —
Recommandations relatives à
l'application de l'ISO 14971
Medical devices — Guidance on the application of ISO 14971
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Exigences générales relatives au système de gestion des risques . 1
4.1 Processus de gestion des risques. 1
4.2 Responsabilités de la direction . 2
4.2.1 Implication de la direction . 2
4.2.2 Politique d’établissement des critères d’acceptabilité du risque . 2
4.2.3 Adéquation du processus de gestion des risques . 2
4.3 Compétence du personnel . 2
4.4 Plan de gestion des risques . 4
4.4.1 Généralités . 4
4.4.2 Champ d’application du plan de gestion des risques . 4
4.4.3 Attribution des responsabilités et des autorités . 5
4.4.4 Exigences relatives à l’examen des activités de gestion des risques. 5
4.4.5 Critères d’acceptabilité du risque . 5
4.4.6 Méthode d’évaluation du risque résiduel global et critères d’acceptabilité . 5
4.4.7 Activités de vérification. 5
4.4.8 Activités associées à la collecte et à l’examen des informations de
production et de postproduction . 6
4.5 Dossier de gestion des risques . 6
5 Analyse des risques . 7
5.1 Processus d’analyse des risques . 7
5.2 Utilisation prévue et mauvaise utilisation raisonnablement prévisible . 7
5.3 Identification des caractéristiques relatives à la sécurité . 8
5.4 Identification des dangers et des situations dangereuses . 9
5.4.1 Dangers . 9
5.4.2 Situations dangereuses en général . 9
5.4.3 Situations dangereuses résultant de défaillances . 9
5.4.4 Situations dangereuses résultant de défaillances aléatoires . 9
5.4.5 Situations dangereuses résultant de défaillances systématiques .10
5.4.6 Situations dangereuses découlant de vulnérabilités de sûreté .10
5.4.7 Séquences ou combinaisons d’événements .11
5.5 Estimation des risques .13
5.5.1 Généralités .13
5.5.2 Probabilité .14
5.5.3 Risques pour lesquels la probabilité ne peut pas être estimée .15
5.5.4 Gravité .16
5.5.5 Exemples .16
6 Évaluation des risques .19
7 Maîtrise des risques .19
7.1 Analyse des options de maîtrise des risques .19
7.1.1 Maîtrise des risques lors de la conception de dispositifs médicaux .19
7.1.2 Maîtrise des risques lors des processus de fabrication .21
7.1.3 Normes et maîtrise des risques .22
7.2 Mise en œuvre des mesures de maîtrise des risques .22
7.3 Évaluation des risques résiduels .22
7.4 Analyse du bénéfice/risque .23
7.4.1 Généralités .23
7.4.2 Estimation des bénéfices .23
7.4.3 Critères pour l’analyse du bénéfice/risque .24
7.4.4 Comparaison du bénéfice/risque .24
7.4.5 Exemples d’analyses du bénéfice/risque .25
7.5 Risques découlant des mesures de maîtrise des risques .26
7.6 Maîtrise complète des risques .26
8 Évaluation du risque résiduel global .26
8.1 Considérations générales .26
8.2 Éléments d’entrée et autres considérations .27
8.3 Approches possibles.28
9 Revue de la gestion des risques .29
10 Activités de production et de postproduction .30
10.1 Généralités .30
10.2 Collecte des informations .30
10.3 Examen des informations .32
10.4 Actions .33
Annexe A (informative) Identification des dangers et des caractéristiques relatives à la sécurité.35
Annexe B (informative) Techniques visant à étayer une analyse des risques .44
Annexe C (informative) Relation entre la politique, les critères d’acceptabilité du risque, la
maîtrise des risques et l’évaluation des risques .50
Annexe D (informative) Informations relatives à la sécurité et au risque résiduel .56
Annexe E (informative) Rôle des normes internationales dans la gestion des risques .59
Annexe F (informative) Recommandations concernant les risques relatifs à la sûreté .65
Annexe G (informative) Composants et dispositifs conçus sans recourir à l’ISO 14971 .70
Annexe H (informative) Recommandations pour les dispositifs médicaux de diagnostic in vitro .73
Bibliographie .103
iv © ISO 2020 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.
Le présent document a été élaboré conjointement par le Comité technique ISO/TC 210, Management
de la qualité et aspects généraux correspondants des dispositifs médicaux, et le sous-comité IEC/SC 62A,
Aspects généraux des équipements électriques utilisés en pratique médicale.
Cette deuxième édition annule et remplace la première édition, qui a fait l’objet d’une révision technique.
Les principales modifications par rapport à l’édition précédente sont les suivantes:
— les articles de l’ISO/TR 24971:2013 ainsi que certaines annexes informatives de l’ISO 14971:2007 ont
été fusionnés, ont fait l’objet d’une révision technique et ont été enrichis par des recommandations
supplémentaires;
— afin de faciliter l’utilisation du présent document, ce dernier utilise la même structure et la
même numérotation d’articles et de paragraphes que l’ISO 14971:2019. Les annexes informatives
contiennent des recommandations supplémentaires relatives aux aspects spécifiques de la gestion
des risques.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
Introduction
Le présent document fournit des recommandations pour aider les fabricants dans le cadre du
développement, de la mise en œuvre et de la tenue à jour d’un processus de gestion des risques pour
les dispositifs médicaux visant à satisfaire aux exigences de l’ISO 14971:2019, Dispositifs médicaux —
Application de la gestion des risques aux dispositifs médicaux. Il fournit des recommandations relatives à
l’application de l’ISO 14971:2019 pour un large éventail de dispositifs médicaux. Ces dispositifs médicaux
comprennent les dispositifs médicaux actifs, non actifs, implantables et non implantables, les logiciels
utilisés en tant que dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro.
Les articles et paragraphes du présent document possèdent une structure et une numérotation
identiques à celles des articles et paragraphes de l’ISO 14971:2019 afin de faciliter l’utilisation des
recommandations relatives à l’application des exigences de cette norme. Certains articles sont divisés
en paragraphes lorsque cela est jugé utile. Les annexes informatives contiennent des recommandations
supplémentaires relatives aux aspects spécifiques de la gestion des risques. Les recommandations
réunissent les articles de l’ISO/TR 24971:2013 ainsi que certaines annexes informatives de
l’ISO 14971:2007 qui ont été fusionnés, ont fait l’objet d’une révision technique et ont été enrichis par
des recommandations supplémentaires.
L’Annexe H a été élaborée en coopération avec le Comité technique ISO/TC 212, Laboratoires d’analyses
de biologie médicale et systèmes de diagnostic in vitro.
Le présent document décrit des approches que les fabricants peuvent utiliser pour développer, mettre
en œuvre et tenir à jour un processus de gestion des risques conforme à l’ISO 14971:2019. D’autres
approches peuvent également satisfaire aux exigences de l’ISO 14971:2019.
Au moment de déterminer l’applicabilité des recommandations contenues dans le présent document,
il convient de tenir compte de la nature du ou des dispositifs médicaux auxquels les recommandations
s’appliqueront, de la façon dont ces dispositifs médicaux sont utilisés et par quelles personnes, ainsi que
des exigences réglementaires applicables.
vi © ISO 2020 – Tous droits réservés

RAPPORT TECHNIQUE ISO/TR 24971:2020(F)
Dispositifs médicaux — Recommandations relatives à
l'application de l'ISO 14971
1 Domaine d’application
Le présent document fournit des recommandations relatives au développement, à la mise en œuvre
et à la tenue à jour d’un système de gestion des risques pour les dispositifs médicaux conformément à
l’ISO 14971:2019.
Le processus de gestion des risques peut faire partie d’un système de management de la qualité qui
[24]
s’appuie, par exemple, sur l’ISO 13485:2016 , mais cela n’est pas requis par l’ISO 14971:2019. Certaines
exigences de l’ISO 13485:2016 (Article 7 relatif à la réalisation du produit et 8.2.1 relatives aux retours
d’information au cours de la surveillance et du mesurage) portent sur la gestion des risques et peuvent
être satisfaites en appliquant l’ISO 14971:2019. Voir également le manuel ISO: ISO 13485:2016 — Medical
[25]
devices — A practical guide .
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 14971:2019, Dispositifs médicaux — Application de la gestion des risques aux dispositifs médicaux
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l’ISO 14971:2019 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp;
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/ .
NOTE Les termes définis dans l’ISO 14971:2019 proviennent dans la mesure du possible du
[20]
Guide ISO/IEC 63:2019 , qui a été spécialement élaboré pour le secteur des dispositifs médicaux.
4 Exigences générales relatives au système de gestion des risques
4.1 Processus de gestion des risques
L’ISO 14971:2019 impose que le fabricant établisse, mette en œuvre, documente et tienne à jour un
processus de gestion des risques tout au long du cycle de vie du dispositif médical. Les éléments requis
dans ce processus et les responsabilités de la direction sont donnés dans l’ISO 14971:2019 et expliqués
plus en détail dans le présent document.
4.2 Responsabilités de la direction
4.2.1 Implication de la direction
La direction a la responsabilité d’établir et de tenir à jour un processus de gestion des risques efficace.
Il est important de noter l’accent mis sur la direction dans l’ISO 14971:2019. En effet, la direction a le
pouvoir d’attribuer des responsabilités et des autorités, de définir des priorités et de fournir des
ressources au sein de l’organisme. L’implication au plus haut niveau de l’organisme est essentielle pour
garantir l’efficacité du processus de gestion des risques.
Si l’organisme du fabricant est constitué de deux entités distinctes, par exemple des divisions ou des
unités commerciales, la direction peut en référer aux personnes qui dirigent et contrôlent l’entité
mettant en œuvre le processus de gestion des risques. Chaque entité peut disposer de son propre
processus de gestion des risques (et de son propre système de management de la qualité).
4.2.2 Politique d’établissement des critères d’acceptabilité du risque
L’ISO 14971:2019 impose que la direction définisse et documente une politique pour établir les critères
d’acceptabilité du risque. L’Annexe C fournit des recommandations détaillées sur la façon de définir
cette politique et sur les éléments qu’il convient d’inclure, tels que les réglementations applicables,
les normes internationales pertinentes, l’état de l’art généralement admis ou les préoccupations
connues des parties prenantes. L’Annexe C explique aussi la relation entre la politique et les critères
d’acceptabilité du risque, ainsi que la façon dont ces critères sont utilisés pour assurer la maîtrise des
risques et l’évaluation du risque.
La politique peut prévoir des critères spécifiques pour chaque type de dispositif médical (ou famille de
dispositifs médicaux). Cela peut dépendre des caractéristiques du dispositif médical et de son utilisation
prévue (y compris la population de patients prévue). L’ISO 14971:2019 impose que la politique fournisse
des lignes directrices relatives à la façon d’établir les critères d’acceptabilité du risque résiduel global.
4.2.3 Adéquation du processus de gestion des risques
L’ISO 14971:2019 impose que la direction vérifie l’adéquation du processus de gestion des risques à des
intervalles définis. La vérification de l’adéquation constitue un examen à haut niveau du processus de
gestion des risques et peut inclure, par exemple, l’examen des aspects suivants:
— l’efficacité des procédures de gestion des risques mises en œuvre;
— l’adéquation des critères d’acceptabilité du risque, ce qui peut impliquer d’adapter les critères pour
l’acceptabilité du risque à des dispositifs médicaux spécifiques;
— l’efficacité de la boucle de retour des informations de production et de postproduction (voir 10.4).
4.3 Compétence du personnel
Il incombe à la direction de garantir l’affectation de personnel compétent. Des exemples de fonctions
pouvant être impliquées dans des tâches de gestion des risques spécifiques, ainsi que les connaissances
et l’expérience nécessaires à la réalisation efficace des tâches associées, sont fournis dans le Tableau 1.
La réalisation de certaines activités de gestion des risques peut être confiée à des spécialistes ou à des
consultants externes. Il convient que les compétences requises, ainsi que les preuves objectives de la
satisfaction de ces exigences soient documentées.
2 © ISO 2020 – Tous droits réservés

Tableau 1 — Exemples de personnel compétent ainsi que de connaissances et d’expérience
pertinentes
Personnel ou fonction Connaissances et expérience
Propriétaire de la gestion des Processus de gestion des risques pour les
risques dispositifs médicaux
Ingénieur ou scientifique Technologies, conception et principes de
fonctionnement des dispositifs médicaux
Production Processus de fabrication
Gestion de la chaîne d’approvi- Approvisionnement en produits et
sionnement en services, y compris des processus
externalisés
Expert médical ou clinique Exigences et méthodologies d’évalua-
tion clinique
Utilisation en pratique médicale, y
compris les bénéfices, les situations dan-
gereuses et les dommages potentiels
Affaires réglementaires Exigences réglementaires relatives à la
sécurité et à la gestion des risques dans
les pays/régions où le dispositif médical
est destiné à être mis sur le marché
Assurance qualité Systèmes de management de la qualité
et pratiques en matière de qualité
Emballage, stockage, manuten- Mesures de maîtrise des risques et des
tion et distribution dangers en relation avec l’emballage,
le stockage, la manutention et la dis-
tribution
Ingénieur de maintenance, Mesures de maîtrise des risques et des
ingénieur biomédical ou physi- dangers en relation avec les processus
ciens médicaux et pratiques d’installation, de main-
tenance, de réparation, d’étalonnage,
d’entretien et d’assistance
Postproduction Traitement des réclamations des
clients, signalement des événements
indésirables, surveillance après mise
sur le marché
Services d’information Processus d’extraction de données,
méthodologies de recherche dans la
littérature
Toutes les personnes impli- Expertise dans le domaine d’activité
quées dans l’examen et l’appro- pour lequel ils procèdent à des examens
bation des enregistrements et à des approbations
Réfléchir à la nécessité d’inclure les sujets suivants dans la formation des experts en gestion des risques:
— gestion d’un programme de gestion des risques pour les dispositifs médicaux;
— éthique, sûreté, sécurité et responsabilité;
— concepts de risque, d’acceptabilité du risque et d’analyse du rapport bénéfice/risque;
— probabilité et statistiques pour la gestion des risques et la fiabilité;
— gestion des risques et fiabilité dans le cadre de la conception et du développement;
— normes et réglementations pertinentes;
— estimation des risques, y compris des méthodes pour déterminer la gravité et la probabilité
d’occurrence d’un dommage;
— méthodologie d’appréciation du risque;
— méthodes de maîtrise des risques;
— méthodes de vérification de l’efficacité des mesures de maîtrise des risques;
— méthodes d’analyse des informations de production et de postproduction.
4.4 Plan de gestion des risques
4.4.1 Généralités
Le plan de gestion des risques décrit le champ d’application des activités de gestion des risques, les
responsabilités et les autorités des personnes impliquées, les critères d’acceptabilité du risque, les
informations de production et de postproduction à collecter et à examiner pour le dispositif médical,
ainsi que toutes les activités de gestion des risques réalisées tout au long du cycle de vie du produit. Le
plan de gestion des risques peut être un document distinct ou être intégré à d’autres documents, à la
documentation du système de management de la qualité par exemple. Il peut se suffire à lui-même ou
faire référence à d’autres documents, tels que les plans d’évaluation clinique, d’évaluation biologique et
d d’évaluation de l’aptitude à l’utilisation ou de suivi postproduction.
Le plan de gestion des risques est un document évolutif qui sera révisé et mis à jour tout au long du
cycle de vie du dispositif médical à mesure que de nouvelles informations sont disponibles. Il convient
de collecter des informations en continu, même une fois le dernier dispositif médical vendu et mis sur le
marché. L’ISO 14971:2019 impose que les modifications apportées au plan de gestion des risques soient
enregistrées dans le dossier de gestion des risques.
Il convient que l’étendue des activités planifiées, ainsi que le niveau de détail du plan de gestion des
risques correspondent au niveau de risque associé au dispositif médical. Les exigences de l’ISO 14971:2019
constituent des exigences minimales pour un plan de gestion des risques. Les fabricants peuvent inclure
d’autres éléments, tels qu’un calendrier, des outils d’analyse des risques ou des justifications relatives au
choix de critères spécifiques d’acceptabilité du risque.
4.4.2 Champ d’application du plan de gestion des risques
Le champ d’application identifie et décrit le dispositif médical et les phases du cycle de vie auxquelles
chaque élément du plan est applicable.
Certains éléments du plan de gestion des risques peuvent s’appliquer au processus de réalisation du
produit (conception, développement et production du dispositif médical). D’autres éléments peuvent
s’appliquer à la phase de production et de postproduction (comme l’installation, l’utilisation, la
maintenance, la mise hors service et la mise au rebut du dispositif médical).
4 © ISO 2020 – Tous droits réservés

4.4.3 Attribution des responsabilités et des autorités
Le plan de gestion des risques identifie le personnel ou les fonctions qui ont la responsabilité de l’exécution
d’activités spécifiques liées à la gestion des risques (voir le Tableau 1). En outre, le plan de gestion des risques
identifie les personnes ayant l’autorité appropriée pour examiner et approuver les décisions et les actions
de gestion des risques. Ceci peut impliquer l’affectation de personnel connaissant les caractéristiques
propres au dispositif médical (ou à la famille de dispositifs médicaux), ainsi que leur intérêt en matière de
sécurité. Cette affectation peut être incluse dans une matrice d’attribution des ressources définie pour la
phase du cycle de vie et les activités couvertes dans le champ d’application du plan.
4.4.4 Exigences relatives à l’examen des activités de gestion des risques
Le plan de gestion des risques présente en détail de quelle manière et à quel moment les activités de
gestion des risques correspondant à un dispositif médical (ou à une famille de dispositifs médicaux) seront
examinées. Il convient qu’il inclue la méthode d’examen, les personnes ou fonctions responsables,
qui doivent participer à l’examen, et la façon dont les résultats d’examen sont gérés. Les résultats de
l’examen des activités de gestion des risques planifiées seront compilés dans le rapport de gestion des
risques (voir l’Article 9). Les exigences relatives à la revue des activités de gestion des risques peuvent
faire partie d’autres exigences d’examen de systèmes de qualité, comme la revue de la conception et du
[24]
développement (voir l’ISO 13485 ).
4.4.5 Critères d’acceptabilité du risque
Les critères d’acceptabilité du risque sont établis conformément à la politique du fabricant relative à
la détermination des risques acceptables. Ils incluent des critères dans les situations où la probabilité
d’occurrence d’un dommage ne peut pas être estimée, auquel cas les critères d’acceptabilité du risque
peuvent s’appuyer uniquement sur la gravité du dommage. Les critères peuvent être communs à
plusieurs catégories de dispositifs médicaux (ou de familles de dispositifs médicaux) similaires.
Il est important d’établir les critères d’acceptabilité du risque avant de commencer l’appréciation du
risque. Dans le cas contraire, les résultats de l’appréciation du risque pourraient influencer la décision au
moment d’établir les critères.
Voir l’Annexe C pour obtenir d’autres recommandations et exemples de critères issus de la politique et
appliqués dans le cadre de l’évaluation des risques.
4.4.6 Méthode d’évaluation du risque résiduel global et critères d’acceptabilité
La méthode d’évaluation du risque résiduel global et les critères d’acceptabilité sont issus de la politique
du fabricant en matière d’établissement des critères d’acceptabilité du risque. L’ISO 14971:2019 impose
d’indiquer la méthode et les critères dans le plan de gestion des risques pour le dispositif médical en
cours de développement concerné. Certains éléments d’entrée et considérations concernant l’évaluation
du risque résiduel global sont répertoriés dans l’Article 8.
4.4.7 Activités de vérification
Le plan de gestion des risques spécifie de quelle manière les deux activités de vérification requises par
le paragraphe 7.2 de l’ISO 14971:2019 sont réalisées. Le plan de gestion des risques peut détailler les
activités de vérification de manière explicite ou par référence à d’autres plans.
La vérification des mesures de maîtrise des risques mises en œuvre peut faire partie de la revue de
conception, de l’approbation des spécifications, de la vérification de la conception et du développement
dans le cadre d’un système de management de la qualité, ou d’autres activités de vérification dans le
cadre d’un système de management de la qualité.
La vérification de l’efficacité des mesures de maîtrise des risques peut faire partie de la vérification
de la conception et du développement dans le cadre d’un système de management de la qualité. En
tant qu’élément de validation de la conception et du développement dans le cadre d’un système de
management de la qualité, elle peut nécessiter la collecte de données cliniques, d’études d’aptitude à
l’utilisation, etc.
4.4.8 Activités associées à la collecte et à l’examen des informations de production et de
postproduction
L’ISO 14971:2019 impose que le fabricant établisse un système pour collecter et examiner de manière
active des informations relatives au dispositif médical au cours des phases de production et de
postproduction ainsi que pour vérifier leur intérêt en matière de sécurité. Par conséquent, il est important
que le plan de gestion des risques inclue les activités nécessaires à l’établissement de ce système. Il
convient que les fabricants comprennent que les informations à collecter peuvent être volumineuses et
provenir de sources nombreuses et variées. De ce fait, il convient d’utiliser des processus robustes pour
analyser ces informations et identifier des tendances pouvant passer inaperçues autrement, afin de
pouvoir tirer des conclusions et de prendre des mesures appropriées. Il convient d’envisager le recours
à des techniques statistiques afin de faciliter le traitement des données collectées.
Le système permettant de collecter et d’examiner les informations de manière active comprend la
surveillance et la réception de retours d’information, tels que les réclamations et les signalements
d’événements indésirables. En outre, il convient que le système inclue la sollicitation active de retours
d’information auprès d’utilisateurs et la collecte d’autres informations pertinentes. Il convient que
le fabricant tienne compte de l’envergure de ces activités et qu’il détermine quelles activités sont
appropriées pour le dispositif médical concerné.
Par exemple, une surveillance limitée pourrait suffire pour les dispositifs médicaux bénéficiant d’un long
historique d’utilisation et associés à des risques bien compris. Pour les dispositifs médicaux impliquant
des traitements novateurs (de nouvelles utilisations prévues, par exemple) ou des technologies
innovantes et, éventuellement, des risques moins bien compris, une surveillance plus élaborée,
comprenant des études de suivi clinique après commercialisation (SCAC), pourrait être mise en place
afin de comprendre les problèmes, susceptibles de se produire lors de l’utilisation réelle du dispositif
médical. Des recommandations supplémentaires sont données dans l’Article 10.
La méthode de collecte d’informations de production et de postproduction peut faire partie de processus
[24]
associés à un système de management de la qualité établi (voir 8.2 de l’ISO 13485:2016 par
exemple). Bien qu’une référence à une procédure existante puisse suffire dans certains cas, il convient
de documenter dans le plan de gestion des risques toute exigence propre au dispositif médical étudié.
Il convient de spécifier également les détails des activités de surveillance, ainsi que toute étude SCAC
planifiée dans le plan de gestion des risques.
Il convient que la fréquence d’examen des informations collectées soit proportionnelle au risque; elle
peut aussi dépendre du nombre de dispositifs médicaux sur le marché, du nombre d’incidents signalés et
de la gravité des dommages déclarés. Il convient de poursuivre la collecte et l’examen tout au long de la
durée de vie prévue du dispositif médical.
4.5 Dossier de gestion des risques
L’ISO 14971:2019 impose que le fabricant établisse et tienne à jour un dossier de gestion des risques
contenant des enregistrements et d’autres documents créés au cours d’activités de gestion des risques
pour le dispositif médical tout au long de son cycle de vie, de sa conception initiale à sa mise hors service et
mise au rebut définitive. Les articles individuels de l’ISO 14971:2019 spécifient quels enregistrements et
documents connexes doivent être tenus à jour dans le cadre du dossier de gestion des risques. Il convient
que le dossier de gestion des risques fournisse les informations nécessaires à l’examen du processus de
gestion des risques à n’importe quelle phase du cycle de vie du dispositif médical.
Le dossier de gestion des risques peut être structuré et organisé pour un type de dispositif médical ou
pour une famille de dispositifs médicaux. Il est important que les enregistrements de gestion des risques
puissent être rassemblés rapidement tout au long du cycle de vie du dispositif médical, ces informations
pouvant être utilisées au cours du cycle de vie pour soutenir d’autres activités et prises de décisions, par
6 © ISO 2020 – Tous droits réservés

exemple au cours de l’examen des informations de production et de postproduction, de l’évaluation de
l’effet d’une modification apportée au dispositif médical ou d’audits.
Le dossier de gestion des risques est une construction logique. Il n’est pas nécessaire que le dossier de
gestion des risques contienne physiquement tous les enregistrements et documents connexes requis.
Les enregistrements et les documents connexes peuvent faire partie de dossiers requis par d’autres
systèmes, tels que le système de management de la qualité du fabricant. Les enregistrements et les
documents connexes peuvent être présentés dans n’importe quel format ou sur n’importe quel support
(document imprimé, enregistrements électroniques, etc.).
L’ISO 14971:2019 impose d’assurer la traçabilité de chaque danger identifié par rapport à l’analyse des
risques, à l’évaluation des risques, à la mise en œuvre et la vérification des mesures de maîtrise des risques,
ainsi qu’à l’évaluation du risque résiduel. La traçabilité est une exigence visant à prouver que tous les
dangers identifiés ont été intégralement traités dans le cadre du processus de gestion des risques. Un
outil de traçabilité peut être utilisé pour fournir un index à chaque document dans le dossier de gestion
des risques renfermant des informations sur le danger identifié. Cet index peut se révéler utile dans la
gestion des connaissances relatives aux risques concernant les dangers identifiés. Il pourrait être utilisé
lors d’activités ultérieures, telles que l’évaluation du risque résiduel global et l’examen des informations
de production et de postproduction. Il convient de mettre à jour la traçabilité à mesure que de nouvelles
informations sont disponibles et en cas de modification apportée au dispositif médical.
Voir l’Annexe G pour obtenir des recommandations relatives à la création d’un dossier de gestion des
risques pour des dispositifs médicaux conçus sans utiliser l’ISO 14971:2019.
5 Analyse des risques
5.1 Processus d’analyse des risques
Le processus d’analyse des risques est constitué des étapes suivantes, qui sont détaillées dans les
prochains paragraphes:
— description de l’utilisation prévue du dispositif médical et de toute mauvaise utilisation raisonnablement
prévisible;
— identification des caractéristiques du dispositif médical relatives à la sécurité;
— identification des dangers et des situations dangereuses associés à un dispositif médical;
— estimation des risques pour chaque situation dangereuse.
5.2 Utilisation prévue et mauvaise utilisation raisonnablement prévisible
Il convient que l’utilisation prévue prenne en compte certaines informations, telles que:
— l’indication médicale prévue, par exemple le traitement ou le diagnostic du diabète de type 2, de
maladies cardiovasculaires, de fractures ou de la stérilité;
— la population de patients, par exemple les groupes d’âge (adultes, enfants, adolescents, personnes
âgées), le sexe (homme, femme) ou l’état pathologique;
— la partie du corps ou le type de tissu avec lequel il entre en interaction, une jambe ou un bras par
exemple;
— le profil de l’utilisateur, par exemple un patient, une personne extérieure, un professionnel de la santé;
— l’environnement d’utilisation, par exemple, le domicile du patient, l’hôpital, un service de soins
intensifs;
— le principe de fonctionnement, par exemple une seringue actionnée par un piston mécanique,
l’imagerie par rayons X, l’imagerie par résonance magnétique, l’administration de médicaments par
voie sous-cutanée.
Une mauvaise utilisation raisonnablement prévisible se définit comme l’utilisation du dispositif médical
dans des conditions ou à des fins non prévues par le fabricant, mais pouvant résulter d’un comportement
humain envisageable. Cela peut désigner une erreur d’utilisation (faute d’inattention, chevauchement ou
erreur), une mauvaise utilisation intentionnelle et l’utilisation intentionnelle du dispositif médical pour
d’autres applications (médicales) que celles prévues par le fabricant. Des cas de mauvaise utilisation
raisonnablement prévisible peuvent être identifiés lors de la conception et du développement par une
analyse d’utilisation simulée, par exemple en appliquant un processus d’ingénierie de l’aptitude à
l’utilisation, ou lors de la phase de postproduction par une analyse d’utilisation réelle. Une mauvaise
utilisation raisonnablement prévisible peut être identifiée tout au long du cycle de vie d’un dispositif
médical, y compris lors des itérations d’activités de conception, au cours desquelles la capacité du
fabricant à anticiper de mauvaises utilisations potentielles s’améliore progressivement.
Le processus d’ingénieri
...