Approche par les risques dans l’ISO 13485:2016

23 août 2017 13485 10 commentaires

risques SMQ

L’approche par les risques est une nouveauté de l’ISO 13485:2016, elle vous demande d’identifier les risques pesant sur vos activités et d’y répondre de façon proportionnée.

Cette approche est plus générale que la gestion des risques au sens ISO 14971, l’objectif n’est pas uniquement la sécurité patient mais aussi la conformité du SMQ, le respect des exigences règlementaires et de toute autre source pertinente (au hasard : vos clients).

N’ayant pas adopté la structure HLS les exigences sont moindres par rapport à une ISO 9001:2015 : on ne parle pas de « risques et opportunités » , les « risques positifs » ne sont pas abordés (mais ceci va vraisemblablement évoluer avec la futur révision, le handbook sur la 13485:2016 l’évoque déjà).

Les méthodes de l’article sont des pistes de réflexion, l’approche par les risques doit rester souple et ne pas reposer uniquement sur des grilles d’évaluation.

Exigences de l’ISO 13485:2016

Les exigences sont explicites en matière de processus, validation des logiciels, achats et CAPA (actions correctives et préventives) :

Maîtrise des processus 4.1.2.b « appliquer une approche fondée sur les risques en ce qui concerne la maîtrise des processus appropriés nécessaires au SMQ »
Processus externalisés 4.1.5 « Les éléments de maîtrise doivent être proportionnés au risque associé »
Validation des logiciels 4.1.6 (SMQ)
7.5.6 (prod)
7.6 (surveillance & mesure)
« Les éléments de maîtrise doivent être proportionnés au risque associé »
« L’approche spécifique et les activités (…) doivent être proportionnées au risque associé à son utilisation »
Ressources humaines 6.2  « La méthodologie utilisée pour vérifier l’efficacité est proportionnée au risque associé au travail pour lequel la formation ou toute autre action est fournie. »
Achat NC 7.4.1 « Le non-respect des spécifications d’achat doit être traité avec le fournisseur de manière proportionnée au risque associé au produit acheté » 
Vérification du produit acheté 7.4.3 « L’étendue des activités de vérification doit être (…) proportionnée aux risques associés au produit acheté. »
CAPA 8.5.2 (AC)
8.5.3 (AP)
« Les actions correctives doivent être proportionnées aux effets des NC rencontrées »
« Les actions préventives doivent être proportionnées aux effets des problèmes potentiels. »

 

On pourra avantageusement l’étendre à d’autres activités : contrôles en production, contrôles des prestations de services, définition des indicateurs, planification des intervalles entre les revues, …

Analyser les risques ?

À la manière de l’ISO 14971 les risques sont identifiés lors de revues, généralement le responsable qualité anime une session avec les différents intervenants.

Pour pouvoir justifier une approche proportionnée il semble indispensable d’évaluer les niveaux de risques, cela peut se faire directement ou demander une analyse plus pointue. Une méthode inspirée de la 14971, avec probabilité et gravité, est proposée en fin d’article.

Exemples d’approches proportionnées aux risques

Maîtrise des processus

Les processus sont identifiés, découpés en taches, les défaillances possibles des taches servent à l’identification des risques. La difficulté est d’avoir un niveau de détail suffisant pour identifier les risques principaux sans se noyer.

Actions proportionnées :

Négligeable La sortie du SMQ est envisageable
Tolérable Activité simplement encadrée par une procédure
Indésirable Procédure + indicateur(s)
Intolérable Procédure + indicateur(s) + revues fréquentes

Maitrise des achats

L’identification des risques tient compte du produit / de la prestation fournie, exemples :

  • Erreur lors du montage, le fournisseur livre des cartes électroniques non conformes
  • Oubli, le mandataire ne fait pas les déclarations de mise sur le marché
  • Incompétence, le consultant raconte n’importe quoi sur l’approche par les risques

Actions proportionnées :

Sélection fournisseur Surveillance fournisseur Contrôle produit acheté
Négligeable Sur la base des moyens et des compétences Surveillance produit / prestation Vérification documentaire
Tolérable + référent / expérience similaire Surveillance produit / prestation + validation initiale (sample, pré-série)
Indésirable + SMQ + maintient SMQ + contrôle occasionnel
Intolérable + approbation par ON / audit + audits périodiques + contrôle systématique

Validation des logiciels

La validation des logiciels utilisés pour gérer le SMQ, la production ou la surveillance doit reposer sur les risques associés à leur utilisation. Les risques sont identifiés en tenant compte des bugs potentiels et des activités tributaires du soft, c’est tout l’objet du guide ISO/TR 80002-2 (à paraitre).

Des scénarios sont définis autour des risques identifiés, des essais de validation des scénarios sont réalisés, à l’image des évaluations sommatives de l’IEC 62366-1.

Actions proportionnées :

Négligeable Pas de validation nécessaire
Tolérable Validation du soft sur la base de scénarios
Indésirable Validation + instructions d’utilisation / mode opératoire
Intolérable Validation + instructions + formation des utilisateurs

Ressources humaines

La gestion des RH a un peu évolué dans la révision 2016. Toutefois, on insiste plus sur l’identification et le suivi des compétences, notamment les aspects formation.

Actions proportionnées :

Qualification du personnel Maintient des qualifications Validation des formations
Négligeable Formation initiale Sans condition Pas de validation
Tolérable + formation spéciale Sans condition Questionnaire / évaluation
Indésirable + expérience significative Nbr min / période Mise en œuvre simulée / partielle
Intolérable + formation interne initiale + évaluation périodique Mise en œuvre réelle / totale

CAPA (actions correctives et préventives)

La norme demande de vérifier que les CAPA n’impactent pas le produit ou le respect des exigences règlementaires. Les CAPA seront approuvées ou rejetées en fonction des risques qu’elles induisent, la mise en œuvre sera proportionnelle aux risques qu’elles maitrisent.

Actions proportionnées :

Approbation de l’action
(niveau du risque induit)
Mise en œuvre
(niveau du risque maitrisé)
Négligeable Sans condition Action facultative
Tolérables Risque induit < risque maitrisé Délai de traitement long (début > 2 semaines)
Indésirable  + pas d’autre alternative Délai de traitement court (début < 2 semaines)
Intolérable Refusée Traitement ASAP

Bonus : Estimation et évaluation des risques

Estimer la probabilité

Vous n’avez probablement pas la moindre idée des probabilités en termes de pourcentage, et un découpage en « fréquent, probable, rare, … » est souvent pifométrique. Il est possible d’utiliser une approche tournée vers le contexte :

++ Défaillance attendue, prévisible, classique
+ Demande un dysfonctionnement possible mais rare
Demande une chaine de dysfonctionnements peu probable
– – Il est invraisemblable que les conséquences surviennent (par exemple : maitrise par une autre activité en aval)

Estimer les conséquences

Avec une « politique » qui pense d’abord au patient, puis à la règlementation, puis à l’auditeur :

++ Impact sur le produit (performance, sécurité)
+ Non conformité règlementaire (sans impact produit)
Non conformité du SMQ par rapport à l’ISO 13485 (non réglementaire, sans impact produit)
– – autres cas

Remarque : les risques impactant la sécurité ou les performances doivent également être traités selon le processus de gestion des risques produit (ISO 14971).

Évaluer le niveau de risque

Quatre niveaux de risque, dans une matrice classique :

Probabilité | Conséquence : ++ + – –
++ Intolérable Intolérable Intolérable Indésirable
+ Intolérable Intolérable Indésirable Tolérable
Intolérable Indésirable Tolérable Négligeable
– – Indésirable Tolérable Négligeable Négligeable