Retour à la liste

ISO 14971, ISO/TR 24971, IEC 60812 et IEC 61025 : comment choisir les bonnes méthodes d’analyse des risques en dispositifs médicaux

Reglementation des dispositifs medicaux

La gestion des risques est un pilier incontournable du développement des dispositifs médicaux. Elle constitue un prérequis réglementaire majeur, imposé aussi bien par le règlement (UE) 2017/745 (MDR) que par les exigences de la FDA. Au-delà de l’obligation réglementaire, c’est surtout un outil central pour garantir la sécurité, la performance et la maîtrise du cycle de vie du dispositif.


Depuis plusieurs années, la norme ISO 14971 s’est imposée comme la référence internationale en la matière. Elle définit les principes de gestion des risques à appliquer tout au long du développement, de la production et de la surveillance post-commercialisation.


Mais lorsque l’on passe de cette vision globale à la mise en œuvre concrète de l’analyse des risques, de nombreuses questions pratiques émergent :

  • Quelles méthodes utiliser pour identifier et évaluer les risques ?
  • Comment modéliser les défaillances d’un système complexe ?
  • Faut-il privilégier une FMEA (ADMEC), une Analyse par Arbre de Défaillance (FTA), ou une autre méthode ?
  • Quelles normes appliquer pour garantir la conformité ?

C’est précisément à cette étape que le document ISO/TR 24971 vient compléter l’ISO 14971, en offrant des recommandations concrètes sur le choix des méthodes et leur application. Il cite notamment trois normes techniques souvent source de confusion ou mal interprétées : IEC 60812 (AMDEC/FMEA), IEC 61025 (FTA) et IEC 62502 (analyse de fiabilité).


Dans cet article, nous décryptons ces normes, leurs usages respectifs, leurs limites, et introduisons une méthode émergente non normée, la Relational Risk Analysis (ReRA), comme complément possible aux approches classiques.



Le socle "réglementaire" : ISO 14971 et ISO/TR 24971

La norme ISO 14971:2019 constitue le cadre de référence mondial pour la gestion des risques appliquée aux dispositifs médicaux. Elle est exigée :

  • par le règlement européen MDR 2017/745, notamment à travers les exigences de l’annexe I (§ 3 sur la maîtrise des risques) ;
  • par la FDA, via les exigences du 21 CFR 820 (Design Controls, Risk Management), bien que sans référence directe à la norme.



Un cadre structuré, mais non prescriptif sur les méthodes

L’ISO 14971 définit les principes fondamentaux :

  • Identification systématique des dangers
  • Estimation et évaluation des risques
  • Mise en œuvre des mesures de maîtrise
  • Évaluation des risques résiduels
  • Suivi post-market (retours terrain, PMCF)

Cependant, la norme n’impose aucune méthode particulière pour conduire l’analyse : elle fixe les objectifs, pas les outils. À charge du fabricant de démontrer que les méthodes employées sont adaptées, justifiées et cohérentes avec l’état de l’art.


Le rôle du guide ISO/TR 24971

Le document complémentaire ISO/TR 24971:2020 sert de guide d’application de l’ISO 14971. Il apporte des clarifications utiles sur :

  • les exigences de la norme,
  • les notions de danger, risque, maîtrise, bénéfice clinique,
  • la structuration du fichier de gestion des risques (Risk Management File),
  • les critères d’acceptabilité des risques.


Mais surtout, son annexe B décrit des méthodes d’analyse recommandées, en fonction du type de dispositif et du niveau de complexité :

  • FMEA, selon la norme IEC 60812
  • FTA, selon la norme IEC 61025
  • Et d’autres méthodes (HAZOP, HACCP, analyse de scénario…)

Le TR 24971 joue donc un rôle de trait d’union entre le cadre générique de l’ISO 14971 et les pratiques opérationnelles attendues par les auditeurs, organismes notifiés et autorités.



FMEA et la norme IEC 60812 : l’approche de base

L’AMDEC (Analyse des Modes de Défaillance de leurs Effets Et Criticités) ou FMEA (Failure Modes and Effects Analysis) est de loin la méthode la plus répandue dans le secteur des dispositifs médicaux. Sa force ? Une approche structurée, systématique, adaptable à différents niveaux d’analyse (composant, fonction, processus…).


Une approche ascendante

L’AMDEC repose sur une logique bottom-up :

  • On part des éléments les plus bas d’un système (composants, fonctions élémentaires…),
  • On identifie les modes de défaillance possibles,
  • Puis on évalue les effets associés sur le système ou l’utilisateur,
  • Et enfin on détermine les causes probables.

Chaque combinaison mode–effet–cause est ensuite évaluée selon des critères de gravité, d’occurrence et de détectabilité (l’approche traditionnelle, bien que non exigée par l’ISO 14971).



La norme IEC 60812:2018

La norme IEC 60812 encadre formellement la méthode AMDEC. Elle décrit :

  • les différentes variantes d’AMDEC : produit (Design FMEA), processus (Process FMEA), logiciel, système ;
  • les éléments clés à documenter : fonctions, défaillances, effets, causes, contrôles existants, actions recommandées ;
  • la manière d’évaluer et de prioriser les risques, avec ou sans indicateur chiffré comme le RPN (Risk Priority Number).



Applications typiques en dispositifs médicaux

  • Design FMEA : sur le dispositif lui-même, ses sous-systèmes, ses composants.
  • Use FMEA : sur l’utilisation du dispositif et en lien avec l’IEC 62366.
  • Process FMEA : sur les procédés de fabrication ou d’assemblage (utilisé avec l’ISO 13485 §7.5).
  • Software FMEA : pour anticiper les défaillances logicielles, couplé souvent à des analyses de scénarios.



Bonnes pratiques

  • S’assurer que les fonctions analysées sont bien alignées avec l’utilisation prévue du DM.
  • Impliquer une équipe pluridisciplinaire (ingénierie, qualité, clinique).
  • Intégrer les résultats du FMEA dans le Risk Management File sous ISO 14971.
  • Veiller à ne pas utiliser le FMEA comme seul outil sur des dispositifs complexes.




FTA et la norme IEC 61025 : pour les systèmes complexes

La FTA (Fault Tree Analysis) est une méthode complémentaire au FMEA. Là où l'AMDEC part des défaillances élémentaires pour remonter aux effets, la FTA adopte une logique descendante (top-down) : on part d’un événement redouté et on identifie, étape par étape, les combinaisons de causes qui pourraient le provoquer.



Une approche descendante et probabiliste

L’IEC 61025 définit le cadre de cette méthode. L’analyse consiste à :

  • Identifier un événement principal redouté (ex. : défaillance de l’alimentation électrique du dispositif) ;
  • Construire un arbre logique de causes potentielles, en utilisant des portes logiques (ET, OU, etc.) ;
  • Quantifier les probabilités d’occurrence à chaque niveau si les données sont disponibles.

Cette approche permet :

  • de visualiser des scénarios combinés de défaillance,
  • d’analyser l’impact croisé entre différents sous-systèmes ou modules,
  • de renforcer l’analyse des dispositifs à architecture critique.



Applications typiques en dispositifs médicaux

La FTA est particulièrement utile pour :

  • les dispositifs implantables actifs (ex. : pacemakers, neurostimulateurs),
  • les systèmes à logique de redondance ou de sécurité intégrée (ex. : dispositifs de perfusion, respirateurs),
  • les dispositifs combinant matériel, logiciel et capteurs, comme en robotique chirurgicale.



Bonnes pratiques

  • Définir précisément l’événement redouté analysé (une FTA = un événement).
  • S’assurer que l’arbre de causes reste compréhensible et documenté (éviter les arbres trop profonds non exploitables).
  • Coupler la FTA à l'AMDEC pour offrir une vision complète et bidirectionnelle des risques.
  • Documenter dans le RMF les hypothèses de probabilité si des calculs sont réalisés.


En résumé

La FTA est plus exigeant en termes de modélisation, mais il apporte une approche systémique indispensable pour les dispositifs complexes. Son usage n’est pas systématique, mais fortement recommandé dès qu’il existe des interdépendances fonctionnelles critiques.




IEC 62502 : fiabilité avancée, peu utilisée en DM classique

La norme IEC 62502:2010 traite d’un sujet adjacent à la gestion des risques : l’analyse de défaillance pour déterminer les causes profondes d’un échec (failure analysis). Elle est souvent confondue avec des méthodes d’analyse prévisionnelle comme le FMEA, mais elle s’inscrit plutôt dans une logique de retour d’expérience post-défaillance.




Objectif de la norme

IEC 62502 fournit une méthode pour :

  • identifier la cause racine d’un défaut observé sur un composant, un sous-ensemble ou un système ;
  • définir les conditions ayant mené à cette défaillance ;
  • recommander des actions correctives pour éviter que le problème ne se reproduise.

Elle est généralement utilisée après des essais de fiabilité ou lors d’enquêtes qualité, et non comme méthode principale d’analyse des risques anticipée.




Cas d’usage dans les dispositifs médicaux

Dans le contexte du DM, cette norme peut être mobilisée dans des cas spécifiques :

  • défaillance critique observée lors des essais de vérification ou de validation ;
  • non-conformité majeure sur un composant en production ;
  • événement post-market nécessitant une analyse approfondie pour un retour vigilance ou un plan CAPA.


Elle est surtout pertinente pour :

  • des composants électroniques sensibles (ex. : circuits intégrés, capteurs de précision),
  • des dispositifs intégrant des technologies complexes de puissance (ex. : moteurs implantables, lasers thérapeutiques).




À ne pas confondre…

Cette norme ne remplace pas l’AMDEC ou la FTA :

  • Elle intervient après coup, et non en anticipation ;
  • Elle est rarement attendue en tant que méthode dans le dossier de marquage CE ou FDA 510(k), sauf justification spécifique.


En pratique

  • Elle peut enrichir le Risk Management File si une défaillance documentée est analysée et conduit à des actions de maîtrise durables.
  • Elle est particulièrement utile dans une démarche d’amélioration continue, ou dans le cadre de la surveillance post-commercialisation.


Une alternative non normée : la Relational Risk Analysis (ReRA)

En complément des méthodes normées comme l’AMDEC ou la FTA, certaines approches émergent pour répondre aux limites des modèles traditionnels. C’est le cas de la Relational Risk Analysis (ReRA), une méthode encore non normalisée mais conceptuellement pertinente pour les dispositifs complexes.



Un changement de paradigme

La ReRA propose de changer la manière de concevoir un risque : au lieu de le considérer comme un “événement redouté” isolé, on l’analyse comme la conséquence de mécanismes inefficaces censés garantir une fonction du dispositif.


L’approche repose sur trois piliers :

  • les fonctions à garantir (ex. : délivrance d’un traitement, mesure d’un signal),
  • les mécanismes de mise en œuvre (matériels, logiciels, humains),
  • les inefficacités potentielles de ces mécanismes, qui deviennent le point d’entrée de l’analyse des risques.

Cette logique relationnelle (Fonction ↔ Mécanisme ↔ Inefficacité ↔ Risque) permet une lecture plus fine des défaillances systémiques.




Une méthode utile pour les systèmes complexes

ReRA se révèle particulièrement adaptée pour :

  • les dispositifs intégrant logiciels, capteurs, interfaces utilisateur,
  • les produits avec fonctionnement interconnecté ou redondant,
  • les environnements à forte variabilité d’usage (notamment pour les dispositifs portés par le patient ou opérés à domicile).

Elle favorise une cartographie dynamique des risques, centrée sur la logique fonctionnelle, et peut être utilisée pour enrichir les analyses classiques.




Limites et conditions d’utilisation

Élément ReRA
Statut normatif Non reconnu par l’ISO ou l’IEC
Avantage principal Modélisation des interactions fonctionnelles
Utilisation réglementaire Possible si justifiée et documentée
Complémentarité Peut enrichir une AMDEC ou une FTA


⚠️ En l’absence de norme formelle, son utilisation dans un contexte réglementaire nécessite :

  • une justification rigoureuse dans le dossier technique (Risk Management File),
  • une documentation détaillée de la méthode et de ses résultats,
  • une articulation claire avec les exigences de l’ISO 14971 et de l’Annexe I du MDR.




En résumé

La ReRA n’a pas vocation à remplacer les méthodes normées, mais elle peut apporter une approche systémique complémentaire utile pour les projets innovants. Son adoption nécessite toutefois un positionnement stratégique dans le plan de gestion des risques, et une capacité à dialoguer avec les auditeurs sur sa valeur ajoutée.



Tableau récapitulatif synthétique

Norme / Méthode

Type d’analyse

Applications typiques

Statut réglementaire

ISO 14971

Gestion des risques globale

Tous types de dispositifs

Obligatoire (MDR & FDA)

ISO/TR 24971

Guidance méthodologique

Support aux méthodes d’analyse

Recommandé

IEC 60812(FMEA)

Analyse ascendante des défaillances

Design, process, logiciel

Couramment attendue

IEC 61025 (FTA)

Analyse descendante par arbres de défaillance

Systèmes complexes, architecture critique

À justifier selon complexité

IEC 62502

Analyse de défaillance post-incident

Fiabilité, électronique critique

Optionnelle

ReRA (non normée)

Analyse relationnelle des mécanismes

Dispositifs interconnectés, à logique fonctionnelle

Utilisable si rigoureusement documentée



Erreurs fréquentes à éviter

Même avec les bonnes normes en main, certaines erreurs récurrentes peuvent compromettre la qualité et la crédibilité de l’analyse des risques :

  • Empiler les méthodes sans justification claire : Multiplier FMEA, FTA, HAZOP ou ReRA sans stratégie globale rend l’analyse illisible pour les auditeurs.
  • Utiliser uniquement l’AMDEC pour des systèmes complexes : L’AMDEC seule ne permet pas de modéliser les scénarios de défaillances combinées ou les dépendances croisées. Une FTA ou une approche complémentaire peut être nécessaire.
  • Confondre méthodes prédictives et méthodes correctives : L’IEC 62502 est destinée à l’analyse post-défaillance, et non à l’analyse préventive exigée par l’ISO 14971.
  • Sous-estimer les risques induits par les mesures de réduction : Toute mesure de maîtrise peut introduire de nouveaux dangers (ex. : alarme ajoutée ⇒ risque d’erreur d’interprétation). Cf. ISO 14971 §7.4.
  • Mal documenter ou mal tracer les analyses : Une analyse pertinente mais non traçable dans le RMF, ou qui ne renvoie pas clairement aux exigences de l’utilisation prévue, sera jugée non conforme.
  • Utiliser une méthode non normée sans justification (ex. : ReRA) : Si une méthode alternative est utilisée, il faut expliciter son apport, sa structure, ses limites, et sa cohérence avec les exigences du MDR.


Bonnes pratiques pour les fabricants

Une gestion des risques efficace ne repose pas sur l’utilisation d’une méthode unique, mais sur la cohérence d’ensemble des choix méthodologiques, leur adaptation au dispositif, et leur bonne documentation.


Voici quelques bonnes pratiques clés :

  • Justifier clairement les méthodes choisies : Chaque méthode utilisée (AMDEC, FTA, ReRA…) doit être associée à un objectif précis : niveau de complexité, type de risques, nature du dispositif.

  • Adapter les méthodes au cycle de vie du dispositif : AMDEC en conception, AMDEC process en industrialisation, analyse de défaillance (IEC 62502) post-commercialisation, etc.

  • Combiner les approches si nécessaire : Par exemple, utiliser une AMDEC pour analyser les défaillances individuelles, et une FTA pour les scénarios critiques combinés.

  • Documenter l’articulation entre les méthodes : Le Risk Management File (RMF) doit expliquer comment les différentes méthodes s’enchaînent et se complètent (par ex. : une FTA basée sur les résultats d’une AMDEC).

  • S’assurer de l’alignement avec l’utilisation prévue et le profil d’utilisateur : Toute analyse doit être contextualisée : patient vs. professionnel de santé, usage en milieu hospitalier vs. à domicile, etc.

  • Tracer les liens entre risques identifiés et mesures de maîtrise : Avec une attention particulière sur les risques résiduels, et les éventuels risques secondaires générés par les mesures de réduction.

  • Préparer les réponses aux auditeurs : Chaque méthode ou résultat doit pouvoir être défendu, expliqué, et relié à l’ISO 14971 et à l’annexe I du MDR.




Conclusion

La gestion des risques ne se résume pas à choisir une méthode d’analyse parmi d’autres : c’est avant tout une démarche structurée, adaptée, et documentée. La norme ISO 14971 en fournit le cadre général. Le TR 24971 en éclaire la mise en œuvre. Les normes IEC 60812 (FMEA) et IEC 61025 (FTA) apportent des outils opérationnels essentiels, et d’autres comme IEC 62502 ou la ReRA peuvent venir enrichir l’analyse dans des contextes spécifiques.


Mais ce qui compte, c’est la capacité du fabricant à :

  • Choisir les bonnes méthodes pour les bons sujets,
  • Justifier et documenter leurs limites et complémentarités,
  • Maintenir une logique cohérente et traçable dans tout le processus.

CSDmed accompagne les fabricants de dispositifs médicaux dans la construction d’un système de gestion des risques robuste et conforme, en s’appuyant sur l’état de l’art normatif et réglementaire, mais aussi sur les réalités du terrain.


Vous pouvez aussi consulter notre article intitulé “Comprendre l’importance du plan de gestion des risques (PGR) dans les dispositifs médicaux”:https://www.csdmed.mc/fr/actualites/reglementation-des-dispositifs-medicaux/comprendre-l-importance-du-plan-de-gestion-des-risques-pgr-dans-les-dispositifs-medicaux-65




FAQ

Quelle est la différence entre AMDEC et FTA dans les dispositifs médicaux ?

L’AMDEC (IEC 60812) suit une approche ascendante : elle part des défaillances locales pour en déduire les effets. La FTA (IEC 61025) suit une approche descendante : elle part d’un événement critique pour identifier les combinaisons de causes.



Quelle norme s’applique pour réaliser une AMDEC en dispositifs médicaux ?

La norme de référence est l’IEC 60812:2018, reconnue comme l’état de l’art pour l’analyse des modes de défaillance.



Quand utiliser la FTA (IEC 61025) dans un projet de dispositif médical ?

Dès que le dispositif présente une architecture critique, des interdépendances complexes ou des scénarios combinés de défaillance.



L’IEC 62502 est-elle obligatoire pour le marquage CE ?

Non. Elle est optionnelle et s’applique surtout aux analyses de défaillance post-incident, notamment en électronique.



La méthode ReRA est-elle conforme au MDR ?

La ReRA n’est pas une méthode normée, mais elle peut être utilisée si elle est justifiée, documentée, et intégrée de façon cohérente dans la gestion des risques (ISO 14971).



Peut-on combiner plusieurs méthodes d’analyse des risques ?

Oui, c’est même recommandé : par exemple une AMDEC pour les défaillances élémentaires, et une FTA ou une ReRA pour les interactions ou les scénarios fonctionnels complexes.




Besoin d’aide ?

CSDmed accompagne les fabricants de dispositifs médicaux pour :

  • Le choix et l’articulation des méthodes d’analyse des risques (AMDEC, FTA, ReRA, fiabilité, post-market).
  • La structuration complète du Risk Management File conforme ISO 14971 / MDR / FDA.
  • La préparation des audits Notified Bodies et soumissions FDA.
  • La mise à niveau de vos documents existants suite à un écart ou à une évolution du dispositif.

Contactez-nous pour discuter de vos projets ou pour un audit méthodologique de votre système de gestion des risques.