Escolar Documentos
Profissional Documentos
Cultura Documentos
APRESENTAÇÃO
Projeto em Consulta Nacional
1) Este Projeto de Revisão foi elaborado pela Comissão de Estudo de Gestão da Qualidade
e Aspectos Gerais Correspondentes de Dispositivos Médicos (CE-026:150.001) do Comitê
Brasileiro Odonto-Médico-Hospitalar (ABNT/CB-026)na reunião de:
06.05.2021
b) é previsto para ser idêntico ao ISO/TR 24971:2020, que foi elaborada peloTechnical
Committee Quality management and corresponding general aspects for medical
devices (ISO/TC 210) e Subcommittee Common aspects of electrical equipment used
in medical practice (IEC/SC 62A);
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
© ABNT 2021
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
Prefácio Nacional
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
O ABNT ISO/TR 24971 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
ao ISO/TR 24971:2020, que foi elaborada pelo Technical Committee Quality management and
corresponding general aspects for medical devices (ISO/TC 210) e Subcommittee Common
aspects of electrical equipment used in medical practice (IEC/SC 62A).
O ABNT ISO/TR 24971:2021 cancela e substitui o ABNT ISO/TR 24971:2014, o qual foi tecnicamente
revisado.
— Para facilitar a utilização deste documento, foi empregada a mesma estrutura e numeração
de seções e subseções da ABNT NBR ISO 14971:2020. Os anexos informativos contêm
orientações adicionais sobre aspectos específicos de gerenciamento de risco.
A/O ABNT ISO/TR 24971:2021 cancela e substitui a/o (ABNT XXXXXXX numeração:ano), a qual foi
tecnicamente revisada.
Projeto em Consulta Nacional
Scope
This document provides guidance on the development, implementation and maintenance of a risk
management system for medical devices according to ABNT NBR ISO 14971:2020.
The risk management process can be part of a quality management system, for example one that is
based on ABNT NBR ISO 13485:2016[24], but this is not required by ABNT NBR ISO 14971:2020.
Some requirements in ABNT NBR ISO 13485:2016 (Clause 7 on product realization and 8.2.1 on
feedback during monitoring and measurement) are related to risk management and can be fulfilled
by applying ABNT NBR ISO 14971:2020. See also the ISO Handbook: ISO 13485:2016 – Medical
devices – A practical guide [25].
Introdução
As seções e subseções neste documento possuem a mesma estrutura e numeração que as seções
e subseções da ABNT NBR ISO 14971:2020, para facilitar o uso dessas orientações na aplicação
dos requisitos da norma. Uma divisão adicional em subseções é aplicada quando considerado útil.
Os anexos informativos contêm orientações adicionais sobre aspectos específicos de gerenciamento
de risco. As orientações consistem nas seções do ABNT ISO/TR 24971:2014 e alguns dos
anexos informativos da ABNT NBR ISO 14971:2014, os quais foram integrados, reestruturados,
tecnicamente revisados e suplementados com orientações adicionais.
O Anexo H foi preparado em cooperação com o Comitê Técnico ISO/TC 212, Clinical laboratory testing
and in vitro diagnostic test systems.
Este documento descreve abordagens que fabricantes podem usar para desenvolver, implementar e
manter um processo de gerenciamento de risco em conformidade com a ABNT NBR ISO 14971:2020.
Abordagens alternativas também podem satisfazer aos requisitos da ABNT NBR ISO 14971:2020.
Ao julgar a aplicabilidade das orientações neste documento, convém considerar a natureza dos
dispositivos médicos aos quais estas serão aplicadas, como e por quem esses dispositivos médicos
serão usados, e os requisitos regulamentares aplicáveis.
1 Escopo
Projeto em Consulta Nacional
2 Referência normativa
O documento a seguir é citado no texto de tal forma que seu conteúdo, total ou parcial, constitui requisitos
para este documento. Para referências datadas, aplicam-se somente as edições citadas. Para referências
não datadas, aplicam-se as edições mais recentes do referido documento (incluindo emendas).
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições da ABNT NBR ISO 14971:2020.
A ISO e a IEC mantêm as bases de dados terminológicos para uso na normalização nos seguintes endereços:
NOTA Os termos definidos na ABNT NBR ISO 14971:2020 são derivados, tanto quanto possível,
do ISO/IEC Guide 63:2019[20], que foi desenvolvido especificamente para o setor de dispositivos médicos.
A ABNT NBR ISO 14971:2020 requer que o fabricante estabeleça, implemente, documente e mantenha
um processo de gerenciamento de risco contínuo por todo o ciclo de vida do dispositivo médico.
Os elementos requeridos nesse processo e as responsabilidades de Alta Direção são apresentados
na ABNT NBR ISO 14971:2020 e explicados em mais detalhes neste documento.
A ABNT NBR ISO 14971:2020 requer que a Alta Direção defina e documente a política para
estabelecer critérios para a aceitabilidade de riscos. O Anexo C fornece orientações detalhadas sobre
como definir tal política e quais elementos convém incluir, como regulamentações aplicáveis, Normas
Internacionais pertinentes, o estado da arte geralmente reconhecido e preocupações conhecidas
das partes interessadas. O Anexo C também explica a relação entre a política e os critérios para
aceitabilidade de risco e como esses critérios são usados no controle de risco e na avaliação de risco.
A política pode permitir critérios específicos para cada tipo de dispositivo médico (ou família de
dispositivo médico). Isso pode depender das características do dispositivo médico e de seu uso
pretendido (incluindo a população de pacientes destinada). A ABNT NBR ISO 14971:2020 requer que a
política forneça diretrizes sobre como estabelecer os critérios para aceitabilidade do risco residual geral.
A ABNT NBR ISO 14971:2020 requer que a Alta Direção analise criticamente a adequação do
processo de gerenciamento de risco em intervalos planejados. A análise crítica da adequação é uma
análise crítica de alto nível do processo de gerenciamento de risco e pode incluir a análise crítica
dos seguintes aspectos, por exemplo:
— a adequação dos critérios para aceitabilidade de risco, os quais podem implicar na necessidade de
uma adaptação dos critérios para aceitabilidade de risco para dispositivos médicos específicos; e
4.4.1 Geral
O plano de gerenciamento de risco é um “documento vivo” que será analisado criticamente e atualizado
por todo o ciclo de vida do dispositivo médico, conforme a disponibilidade de novas informações.
Convém que estas informações sejam coletadas de maneira contínua, mesmo após o último dispositivo
médico ser vendido e colocado no mercado. A ABNT NBR ISO 14971:2020 requer que alterações
no plano de gerenciamento de risco sejam registradas no arquivo de gerenciamento de risco.
O escopo identifica e descreve o dispositivo médico e as fases do ciclo de vida para as quais cada
elemento do plano é aplicável.
Critérios para aceitabilidade de risco são estabelecidos de acordo com as políticas do fabricante para
determinar risco aceitável. Isso inclui critérios para situações em que a probabilidade de ocorrência de
dano pode não ser estimada, caso em que os critérios para aceitabilidade de risco podem ser baseados
na severidade de dano apenas. Os critérios podem ser comuns para categorias de dispositivos
médicos similares (ou famílias de dispositivos médicos).
Ver o Anexo C para mais orientações e exemplos de critérios que sejam derivados da política e
aplicados na avaliação de risco.
4.4.6 Métodos para avaliar risco residual geral e critérios para aceitabilidade
Os métodos para avaliar o risco residual geral e os critérios para sua aceitabilidade são
derivados da política do fabricante para estabelecer critérios para aceitabilidade de risco.
A ABNT NBR ISO 14971:2020 requer que os métodos e os critérios sejam declarados no
plano de gerenciamento de risco para o dispositivo médico em particular em desenvolvimento.
Algumas contribuições e considerações à avaliação de risco residual geral estão listadas na Seção 8.
A verificação de implementação de medidas de controle de risco pode ser parte da análise crítica
de projeto, aprovação de especificações, verificação de projeto e desenvolvimento em um sistema
de gestão da qualidade, ou outras atividades de verificação em um sistema de gestão da qualidade.
A verificação da eficácia das medidas de controle de risco pode ser parte da verificação de projeto
e desenvolvimento em um sistema de gestão da qualidade. Ela pode requerer a coleta de dados
clínicos, estudos de usabilidade etc., como parte da validação de projeto e desenvolvimento em um
sistema de gestão da qualidade.
A ABNT NBR ISO 14971:2020 requer que o fabricante estabeleça um sistema para ativamente
coletar e analisar criticamente informações sobre o dispositivo médico nas fases de produção e pós-
produção e para analisar criticamente estas informações quanto à relevância para a segurança.
Projeto em Consulta Nacional
Assim, é importante que o plano de gerenciamento de risco inclua as atividades necessárias para
estabelecer esse sistema. Convém que os fabricantes compreendam que as informações a serem
coletadas podem ser volumosas e vêm de muitas fontes distintas. Consequentemente, convém que
sejam usados processos robustos para analisar as informações e para identificar tendências que
poderiam, de outro modo, passar despercebidas, de modo que conclusões e ações apropriadas
possam ser tomadas. Convém que técnicas estatísticas sejam consideradas para auxiliar no
processamento dos dados coletados.
Por exemplo, o monitoramento limitado pode ser suficiente para dispositivos médicos com um
longo histórico de uso e riscos bem compreendidos. Para dispositivos médicos envolvendo novos
tratamentos (por exemplo, novos usos pretendidos) ou tecnologias inovadoras e, possivelmente,
com riscos menos compreendidos, um monitoramento mais elaborado incluindo estudos de
monitoramento clínico pós-comercialização (PMCF – Post-Market Clinical Follow-up) poderia ser
assegurado para compreender os problemas que possam surgir no uso real do dispositivo médico.
Orientações adicionais são fornecidas na Seção 10.
O método para coletar informações de produção e pós-produção pode ser parte de processos de
sistema de gestão da qualidade estabelecidos (ver, por exemplo, a 8.2 ABNT NBR ISO 13485:2016[24],
8.2). Embora uma referência a um procedimento existente possa ser suficiente em alguns casos,
convém que quaisquer requisitos específicos ao dispositivo médico sob consideração sejam documentados
no plano de gerenciamento de risco. Convém que detalhes das atividades de monitoramento e quaisquer
estudos PMCF planejados também sejam especificados no plano de gerenciamento de risco.
Convém que a frequência de análise crítica das informações coletadas seja proporcional ao risco,
e pode também depender do número de dispositivos médicos no mercado, do número de incidentes
relatados e da severidade de dano reportada. Convém que a coleta e a análise crítica continuem
durante o ciclo de vida esperado do dispositivo médico.
de risco possam ser montados de maneira oportuna por todo o ciclo de vida do dispositivo médico,
já que as informações poderiam ser usadas durante o ciclo de vida para prover suporte a outras
atividades e tomadas de decisão, por exemplo: durante a análise crítica das informações de produção
e pós-produção, avaliação do efeito de uma alteração ao dispositivo médico, ou durante auditorias.
O arquivo de gerenciamento de risco é uma construção lógica. Não é necessário que o arquivo de
Projeto em Consulta Nacional
A ABNT NBR ISO 14971:2020 requer rastreabilidade para cada perigo identificado à análise de risco,
avaliação de risco, implementação e verificação de medidas de controle de risco, e a avaliação de
risco residual. A rastreabilidade é um requisito para provar que todos os perigos identificados foram
completamente tratados no processo de gerenciamento de risco. Uma ferramenta de rastreabilidade
pode ser usada para fornecer um índice a cada documento no arquivo de gerenciamento de risco
fornecendo informações sobre o perigo identificado. Tal índice pode ser útil no gerenciamento do
conhecimento de risco em relação aos perigos identificados. Esse índice poderia ser usado em
atividades posteriores, como a avaliação de risco residual geral e a análise crítica das informações de
produção e pós-produção. Convém que a rastreabilidade seja atualizada conforme novas informações
forem sendo disponibilizadas e quando o dispositivo médico sofrer alterações.
Ver o Anexo G para orientações sobre a elaboração de um arquivo de gerenciamento de risco para
dispositivos médicos que foram projetados sem o uso da ABNT NBR ISO 14971:2020.
5 Análise de risco
5.1 Processo de análise de risco
O processo de análise de risco consiste dos seguintes passos, que são explicados em mais detalhes
nas próximas subseções:
— população de pacientes, como, por exemplo, grupo etário (adultos, crianças, adolescentes,
idosos), gênero (masculino, feminino) ou estado da doença;
— parte do corpo ou tipo de tecido a ter interação, como, por exemplo, perna ou braço;
— perfil de usuário, como, por exemplo, paciente, leigo, prestador de cuidados à saúde;
— ambiente de uso, como, por exemplo, casa, hospital, unidade de cuidados intensivos; e
— princípio de operação, como, por exemplo, seringa acionada por pistão mecânico, imageamento
de raio X, imageamento de RM, administração subcutânea de medicamento.
O mau uso razoavelmente previsível é definido como uso do dispositivo médico da forma não pretendida
Projeto em Consulta Nacional
pelo fabricante, mas que possa resultar do comportamento humano facilmente previsível. Isto pode
ser relativo ao erro de uso (deslize, lapso ou erro), atos intencionais de mau uso e uso intencional do
dispositivo médico para outras aplicações (médicas) que não as pretendidas pelo fabricante. Casos
de mau uso razoavelmente previsível podem ser identificados durante projeto e desenvolvimento
por meio de uma análise de uso simulado, por exemplo, aplicando-se um processo de engenharia
de usabilidade ou durante a fase de pós-produção por meio de uma análise de uso real. Mau uso
razoavelmente previsível pode ser identificado por todo o ciclo de vida de um dispositivo médico,
incluindo iterações de atividades de projeto, durante as quais a capacidade do fabricante de antecipar
um potencial mau uso aumenta progressivamente.
O seguinte exemplo ilustra um caso de mau uso razoavelmente previsível que foi identificado e
analisado pela aplicação de um processo de engenharia de usabilidade. Mais informações sobre
engenharia de usabilidade podem ser encontradas na IEC 62366-1[16] e na IEC/TR 62366-2[17].
EXEMPLO Um dispositivo médico de uso único é projetado para ser usado apenas uma vez, mas é
razoavelmente previsível que alguns usuários possam tentar reusar o dispositivo médico. Portanto, avisos
contra o reuso e indicações do possível dano resultante do reuso foram incluídos na documentação
acompanhante. A aplicação de engenharia de usabilidade de acordo com a IEC 62366-1[16] demonstrou
que estas informações para segurança seriam eficazes, ou seja, usuários saberiam o uso correto e
compreenderiam o risco de reusar o dispositivo médico. Entretanto, a avaliação de usabilidade também
mostrou que alguns usuários são propensos a desconsiderar estas informações e reusar intencionalmente
o dispositivo médico. O reuso intencional pode ser considerado uso anormal, o que está além do escopo
do processo de engenharia de usabilidade, porque os riscos associados podem não ser controlados na
interface do usuário (ver 3.1 e 3.26 da IEC 62366-1:2015[16]). Uma vez que esse comportamento pode
ser considerado mau uso razoavelmente previsível, os riscos de tal reuso são analisados no processo
de gerenciamento de risco e avaliados perante os critérios para aceitabilidade de risco de acordo com a
ABNT NBR ISO 14971:2020. Pode ser necessário implementar medidas de controle de risco fora da interface
do usuário.
5.4.1 Perigos
Um perigo é uma fonte potencial de dano. Dependendo da situação específica, perigos podem
possuir diferentes origens/naturezas. Exemplos de perigos são eletricidade, partes móveis, bactérias
infecciosas, produtos químicos, gases, bordas afiadas, altas correntes, temperatura e radiação
ionizante.
Perigos associados ao dispositivo médico podem ser deduzidos a partir do uso pretendido e mau uso
razoavelmente previsível conforme determinado em 5.2 e das características relacionadas à segurança
conforme determinado em 5.3. O Anexo C da ABNT NBR ISO 14971:2020 fornece orientações que
podem ajudar a identificar perigos e sequências de eventos que possam levar a situações perigosas.
O Anexo H fornece orientações semelhantes para dispositivos médicos de IVD (in vitro diagnostic –
diagnóstico em vitro), onde informações diagnósticas incorretas podem levar a riscos indiretos ao paciente.
Dispositivos médicos apenas causam danos se uma sequência de eventos ocorrer de modo a resultar
em uma situação perigosa, o que causa ou leva, então, a um dano. Sequências de eventos podem
incluir uma série cronológica de causas e efeitos, bem como combinações de eventos concomitantes.
Uma situação perigosa ocorre quando as pessoas, as propriedades ou os ambientes estão expostos
a um ou mais perigos.
Situações perigosas podem surgir mesmo quando não houver falhas, ou seja, na condição normal
para o dispositivo médico quando está se desempenhando conforme pretendido. Situações perigosas
podem ser intrínsecas aos aspectos de certas terapias. Por exemplo, um desfibrilador externo
automático (DEA) administra um choque elétrico ao paciente como parte de sua operação normal.
Semelhantemente, a cauterização de feridas envolve a aplicação de alta energia no local da ferida e
um bisturi possui uma lâmina afiada destinada a fazer incisões.
Em casos em que uma situação perigosa ocorra somente devido a uma falha, a probabilidade de uma
falha ocorrer não é a mesma que a probabilidade de ocorrência de dano. Uma falha pode iniciar uma
sequência de eventos, mas não necessariamente resulta em uma situação perigosa. Uma situação
perigosa nem sempre resulta em dano.
É importante compreender que geralmente há dois tipos de falhas que podem levar a uma situação
perigosa: falhas aleatórias e sistemáticas.
Falhas aleatórias acontecem comumente devido a causas físicas ou químicas, como corrosão,
contaminação, estresse térmico e desgaste. Para muitas falhas aleatórias, um valor numérico pode
ser dado para a probabilidade de que a falha ocorrerá. Alguns exemplos de falhas aleatórias são:
Projeto em Consulta Nacional
NOTA Uma estimativa quantitativa pode apenas ser aplicada a um risco biológico se forem conhecidas
informações suficientes sobre o perigo e as circunstâncias afetando a probabilidade de ocorrência da
situação perigosa, por exemplo, no uso de níveis de garantia de esterilidade.
Uma falha sistemática pode ser causada por um erro em qualquer atividade. Isso dará
sistematicamente origem a uma falha quando alguma combinação particular de entradas surgir ou
condições ambientais surgirem, mas, do contrário, permanecerá latente.
Erros que resultem em falhas sistemáticas podem ocorrer em qualquer parte do dispositivo médico,
como no hardware e software em dispositivos médicos eletromecânicos. Falhas sistemáticas
na rotulagem podem resultar em erros de uso para qualquer dispositivo médico. Estas falhas
sistemáticas podem ser introduzidas a qualquer momento durante o desenvolvimento, fabricação
ou manutenção do dispositivo médico. Alguns exemplos de falhas sistemáticas são:
— uma base de dados de um software não prevê a condição de banco de dados cheio: se a base
de dados estiver cheia, não está claro o que o software fará, com possível consequência de que
o sistema simplesmente substituirá os dados existentes por novos dados;
— o manual do usuário está escrito de modo que se uma rotina de manutenção for desempenhada
de acordo com as instruções, o usuário poderia se ferir (por exemplo, por uma sonda afiada).
Pelo fato de a estimativa de riscos ser difícil nessas circunstâncias, convém que o fabricante não se
concentre apenas em estimar o risco de falhas sistemáticas, mas, em vez disso, em implementar
sistemas robustos para impedir falhas sistemáticas que poderiam resultar em situações perigosas ou dano.
Projeto em Consulta Nacional
A situação perigosa pode ser resultado de uma sequência ou combinação de eventos independentes.
Isso está ilustrado na Figura 1. A probabilidade P1 da situação perigosa ocorrer é então dada pelo
produto das probabilidades de ocorrência dos eventos independentes. Uma sequência de eventos
pode possuir ramificações que levam a diferentes situações perigosas e diferentes eventos podem
levar à mesma situação perigosa. Estas complexidades não são mostradas na Figura 1.
O exemplo na Figura 1 é para um perigo de eletricidade e está relacionado a um fio isolado dentro de
um dispositivo eletromédico. Há uma pequena probabilidade de que o material isolante se degrade,
seja danificado por rachaduras, e que as rachaduras levem a um fio exposto. Os próximos possíveis
eventos são que o usuário conecte e acione o dispositivo médico e que (dependendo das escolhas na
interface do usuário) o fio exposto agora possua tensão da linha. Quando o usuário subsequentemente
abre a capa protetora, a situação perigosa ocorre, a saber, o usuário fica exposto à tensão da linha de
220 V. A probabilidade combinada desta sequência de eventos é P1.
A probabilidade de que o usuário realmente toque o fio exposto é estimada em 0,10. Uma vez que o
usuário sempre sofrerá um choque da tensão da linha, a probabilidade de desconforto é P2 = 0,10.
A probabilidade de uma queimadura é menor (0,01) e a probabilidade de morte é ainda menor (0,001).
Uma situação perigosa (SP1) pode levar a diferentes tipos de dano (D1 a D3), variando de desconforto
a queimadura ou morte. A probabilidade de que a situação perigosa leva a dano pode possuir diferentes
valores dependendo do tipo de dano, cujos valores estão descritos como P2(SP1)D1 a P2(SP1)D3 na
Figura 1. A severidade do dano pode ser afetada pelas circunstâncias da exposição. Por exemplo,
as consequências de um choque elétrico podem variar de contrações musculares a queimaduras,
fibrilação cardíaca e parada cardíaca, dependendo da tensão, corrente, duração da exposição e local
no corpo humano.
Fica enfatizado que vários cenários podem ser pertinentes, não apenas aqueles com a maior
severidade de dano ou com a maior probabilidade de ocorrência de dano. Outros cenários também
podem ser pertinentes. Convém que o fabricante considere qual é a melhor maneira de documentar
a situação perigosa, descrevendo uma ou mais sequências de eventos que possam levar a esta
situação perigosa e os diferentes tipos de dano que podem ocorrer.
Projeto em Consulta Nacional
PERIGO: eletricidade
Situação: tensão da linha (220 V) de um fio isolado
sob uma cobertura do dispositivo médico
Eventos:
A. Material isolante danificado por rachaduras
(PA = 0,01)
B. Material isolante se desprende do fio
(PB = 0,10)
C. Usuário conecta e aciona o dispositivo
(PC = 0,10)
D. Usuário remove a cobertura (PD = 0,10)
Situação perigosa: usuário fica exposto à tensão
da linha (P1 = PA * PB * PC * PD = 1 × 10-5)
Probabilidade de o usuário tocar o fio e acarretar:
— desconforto (P2 = 0,10)
— queimadura (P2 = 0,01)
— morte (P2 = 0,001)
Informações sobre os dispositivos médicos no mercado podem ser úteis na estimativa de risco.
Diversas abordagens são comumente empregadas para estimar probabilidades:
— estimativas de confiabilidade;
— uso do julgamento de um especialista (um especialista neste contexto pode ser uma pessoa
competente com base na educação, treinamento, habilidades e experiências adequadas;
ver ABNT NBR ISO 13485[24]).
Cada uma dessas abordagens possui pontos fortes e fracos. Convém que abordagens
complementares sejam usadas para aumentar a confiança nos resultados. Convém que o julgamento
de um especialista seja suplementado por uma ou mais das outras abordagens sempre que possível.
Quando não for possível usar as outras abordagens ou não forem suficientes, pode ser necessário
confiar somente no julgamento do especialista.
Projeto em Consulta Nacional
5.5.1 Geral
A ABNT NBR ISO 14971:2020 requer que o fabricante realize uma estimativa de risco. Vários métodos
podem ser usados para estimar risco. Convém que esses métodos examinem, por exemplo:
Convém que o risco seja expresso em termos que facilitem a tomada de decisões sobre aceitabilidade
de risco e a necessidade de controle de risco, por exemplo, usando escalas de severidade e
probabilidade. Para analisar riscos, convém que seus componentes, ou seja, probabilidade e
severidade, sejam analisados separadamente.
Legenda
Um gráfico de risco como o apresentado na Figura 2 mostra a distribuição dos riscos estimados,
que podem ser úteis para posterior tomada de decisão. Os riscos (R1, R2, R3, …) são traçados no
gráfico conforme forem estimados. Matrizes de risco desenvolvidas a partir dessa figura serão usadas
em exemplos ao longo desta seção. Isso não implica que este método possua aplicabilidade geral
a todos os dispositivos médicos, entretanto, pode ser útil em muitas instâncias. Se um gráfico de risco
ou matriz de risco for usado para classificar riscos, convém que o gráfico de risco ou matriz de risco
Projeto em Consulta Nacional
5.5.2 Probabilidade
Quando dados suficientes estiverem disponíveis para estimar a probabilidade de ocorrência de dano
com certeza adequada, convém que um método quantitativo seja usado. De outro modo, é preferível
um método qualitativo com base no julgamento de um especialista a uma estimativa quantitativa com
alta incerteza. Um exemplo desta situação é um novo dispositivo médico em que dados quantitativos
adequados não estão disponíveis até a validação de projeto ou depois, quando dados de pós-produção
forem disponibilizados. Para um método qualitativo, o fabricante pode descrever uma série de níveis
de probabilidade com descrições adequadas para o dispositivo médico.
Embora a probabilidade seja uma variável contínua, um número de níveis discretos pode ser
usado na prática para simplificar a análise. O fabricante decide quantos níveis de probabilidade
são apropriados, com base na confiança esperada das estimativas. Um número maior de níveis de
probabilidade pode ser usado quando estimativas forem realizadas com maior certeza. Convém que
pelo menos três níveis sejam identificados para facilitar a tomada de decisões. Os níveis podem ser
descritivos e qualitativos (por exemplo, não esperados que aconteçam durante o ciclo de vida do
dispositivo médico, prováveis de ocorrer algumas vezes, prováveis de ocorrer frequentemente etc.)
ou quantitativos. Convém que os fabricantes definam os níveis explicitamente, de modo que não haja
confusão sobre o que se classifica dentro de cada nível. Um modo particularmente eficaz, é atribuir
faixas de valores numéricos não sobrepostos aos níveis discretos. Um exemplo de três níveis de
probabilidade qualitativa é apresentado na Tabela 3 e um exemplo de cinco níveis de probabilidade
semiquantitativa é apresentado na Tabela 5.
As definições das faixas de probabilidade podem ser as mesmas ou diferentes para famílias distintas
de produtos. Por exemplo, um fabricante pode escolher usar um conjunto de faixas de probabilidade
para equipamentos de raio X, mas pode usar um conjunto diferente de faixas de probabilidade para
curativos descartáveis estéreis. Escalas para probabilidade podem incluir probabilidade de ocorrência
de dano por uso, por dispositivo, por hora de uso ou dentro de uma população etc.
Há diversos fatores que são importantes para estimar a probabilidade de ocorrência de dano. Eles
incluem, mas não estão limitados ao seguinte:
Quando a probabilidade de ocorrência de dano estiver decomposta em P1 e P2, pode ser o caso de
que uma destas possa ser estimada e a outra não. Nestes casos, uma abordagem conservadora pode
ser usada definindo-se a probabilidade desconhecida como igual a 1. Esta abordagem pode ser útil
quando a probabilidade estimada for tão baixa que o risco resultante se torna claramente insignificante
ou desprezível ou tão alto que fique claro que convém que o risco resultante seja reduzido.
A certeza em uma estimativa de risco pode ser melhorada quando uma estimativa quantitativa da
probabilidade de ocorrência de dano for feita com base em dados exatos e confiáveis ou quando
uma estimativa qualitativa razoável for baseada em um consenso por especialistas qualificados.
Entretanto, isso nem sempre é alcançável. Por exemplo, as probabilidades de falhas sistemáticas,
como as discutidas em 5.4.5, são difíceis de estimar. Quando a exatidão da estimativa de probabilidade
for duvidosa, é geralmente necessário estabelecer uma ampla faixa para a probabilidade ou determinar
que não seja pior que algum valor em particular.
— falha de software;
— perigos novos que sejam mal compreendidos, como, por exemplo, conhecimento impreciso
sobre a ineficácia do agente causador da Encefalopatia Espongiforme Bovina (BSE – Bovine
Spongiform Encephalopathy) impede a quantificação do risco de transmissão; e
— certos perigos toxicológicos, como cancerígenos genotóxicos e agentes sensibilizadores, em que pode
não ser possível determinar um limite de exposição abaixo do qual os efeitos tóxicos não ocorram.
Quando não for possível estimar a probabilidade de ocorrência de dano, é necessário avaliar o risco
com base apenas na severidade do dano. Convém que as medidas de controle de risco sejam focadas
em impedir completamente a situação perigosa ou em impedir que a situação perigosa leve a um
dano. Se isso não for possível, convém que as medidas de controle de risco sejam focadas em
reduzir a severidade do dano.
Uma relação inversa pode ser presumida entre os rigores dos processos usados no projeto,
no desenvolvimento, na fabricação e na manutenção e na probabilidade de algumas falhas
sistemáticas serem introduzidas ou permanecerem não detectadas. O rigor requerido desses
processos pode ser determinado considerando a severidade das consequências de falhas sistemáticas
e a eficácia de medidas de controle de risco externas ao dispositivo médico. Quanto mais graves
forem as consequências e quanto menos eficazes forem as medidas externas de controle de risco,
convém que esses processos sejam mais rigorosos.
5.5.4 Severidade
Para categorizar a severidade do dano potencial, convém que o fabricante utilize descrições
apropriadas ao dispositivo médico. A severidade é, na realidade, uma constante, entretanto, na prática,
o uso de um número discreto de níveis de severidade simplifica a análise. Nestes casos, o fabricante
decide quantas categorias são apropriadas e como são para ser definidas. Convém que os níveis
Projeto em Consulta Nacional
sejam descritivos e não convém que incluam qualquer elemento de probabilidade. Ver os exemplos
na Tabela 2 e na Tabela 4.
Níveis de severidade são escolhidos e justificados pelo fabricante com base nos danos que
poderiam resultar para um dispositivo médico em particular. Convém que os níveis de severidade
sejam definidos com especificidade suficiente, de modo que o nível correto de severidade possa
ser atribuído a cada dano identificado na análise de risco.
NOTA A terminologia usada pelos reguladores pode ser útil ao descrever os níveis de severidade de dano.
5.5.5 Exemplos
Diversas abordagens podem ser usadas para análise qualitativa. Uma abordagem típica é usar uma
matriz N-por-M para descrever as severidades e probabilidades de ocorrência de dano associadas
a cada situação perigosa. Define-se cuidadosamente níveis N de probabilidade e níveis M de
severidade. Cada célula da matriz representa um subconjunto do conjunto completo de possíveis riscos.
Um exemplo simples é uma matriz de risco 3 × 3 construída usando-se os três níveis de severidade
da Tabela 2 como colunas e os três níveis de probabilidade qualitativa da Tabela 3 como linhas.
Os riscos estimados (R1, R2, R3, ...) são inseridos nas células apropriadas e o resultado é
apresentado na Figura 3. Convém que os fabricantes tornem estas definições tão específicas ao
produto e explícitas quanto necessário para assegurar seu uso reproduzível.
NOTA Os riscos estimados na Figura 3 não são os mesmos que os representados na Figura 2.
Projeto em Consulta Nacional
Um exemplo mais elaborado é uma matriz de risco 5 × 5 construída usando-se os cinco níveis
de severidade da Tabela 4 como colunas e os cinco níveis de probabilidade semiquantitativa da
Tabela 5 como linhas. Os riscos estimados (R1, R2, R3, ...) são inseridos nas células apropriadas e
o resultado é apresentado na Figura 4.
com três níveis podem nem sempre ser suficientemente exatas para uma tomada de decisão adequada.
Embora os exemplos acima tenham sido de 3 × 3 e 5 × 5, não há qualquer necessidade de que
estas matrizes sejam quadradas. Por exemplo, uma matriz 4 × 5 poderia ser adequada para uma
certa aplicação.
Projeto em Consulta Nacional
6 Avaliação de risco
A ABNT NBR ISO 14971:2020 descreve o processo para avaliação de riscos. A norma, entretanto,
não especifica níveis de risco aceitáveis. Os critérios para aceitabilidade de risco têm como
base as políticas do fabricante para determinar risco aceitável e são documentados no plano de
gerenciamento de risco.
Durante a avaliação de risco, o fabricante compara os riscos estimados com os critérios para
aceitabilidade de risco e determina se esses critérios são satisfeitos ou não. Ver o Anexo C para
orientações adicionais e exemplos de aplicação de critérios para aceitabilidade de risco na
avaliação de risco.
7 Controle de risco
7.1 Análise de opção de controle de risco
Existem diversas opções para reduzir riscos associados a um dispositivo médico. Elas podem ser
usadas separadamente ou em combinação. O fabricante pode explorar diferentes opções para
reduzir os riscos a níveis aceitáveis de uma forma razoavelmente praticável. A ordem de prioridade
é importante, conforme enfatizado na ABNT NBR ISO 14971:2020. Isso é explicado abaixo e
esclarecido com alguns exemplos.
a) Tornar o projeto do dispositivo médico e o processo de fabricação inerentemente seguros ao:
EXEMPLO 1 Eliminando o perigo de bordas afiadas que possam causar lesões ao projetar as
superfícies com bordas arredondadas. Eliminando o perigo de choque elétrico usando-se uma bomba
operada manualmente em vez de uma bomba elétrica.
EXEMPLO 2 Reduzindo a probabilidade de dano de fibrilação devido a um choque elétrico por não
possuir quaisquer partes energizadas acessíveis. Reduzindo a probabilidade de acesso não autorizado
a dados por meio de gerenciamento de identidade. Reduzindo a probabilidade de reações biológicas
devidas à contaminação microbiana usando-se tecnologias de sala estéril ou esterilização.
EXEMPLO 3 Reduzindo a severidade do dano por esmagamento por uma parte móvel ao usar
um motor de baixa potência e baixa velocidade. Reduzindo a severidade de dano de um choque elétrico
ao usar baixa tensão elétrica (abaixo de 42 V).
EXEMPLO 5 Usando-se alarmes visuais ou acústicos para alertar o usuário sobre uma situação perigosa.
— fornecer instruções para dar suporte ao correto uso e para evitar erro de uso.
EXEMPLO 8 Aplicar injetor de epinefrina no meio da parte externa da coxa (parte superior da perna),
através da roupa, se necessário. Não injetar nas veias, nádegas, dedos, artelhos, mãos ou pés. Segurar a
perna de crianças pequenas com firmeza no lugar antes e durante a injeção para evitar lesões.
EXEMPLO 10 Enxaguar imediatamente com água após a contaminação com substâncias perigosas.
EXEMPLO 12 Intervalos de manutenção, vida útil máxima esperada, como descartar adequadamente
o dispositivo médico.
As opções de a) a c) estão listadas em ordem decrescente de prioridade com relação à sua eficácia
geralmente reconhecida em reduzir riscos. Convém que o fabricante leve esta ordem em consideração
antes de decidir as (combinações de) medidas de controle de risco mais apropriadas.
Exemplos de medidas de controle de risco específicas para diferentes tipos de dispositivos médicos
são apresentados na Tabela 6. Orientações adicionais sobre como fornecer informações para
segurança são apresentadas no Anexo D.
Marca-passo para
Alarme antes do Informações sobre
Marca-passo Perda de de funcionar devido Baterias de longa
esgotamento da a vida útil típica da
implantável funcionalidade a esgotamento duração confiáveis
bateria bateria
precoce de bateria
Válvula de
Falha de software Instrução para usar
Ventilador sobrepressão
causa pressão Soprador incapaz de somente a mangueira
mecânico Pressão do ar no ventilador ou
excessiva nas vias entregar alta pressão respiratória fornecida
do paciente na mangueira
aéreas do paciente pelo fabricante
respiratória
Calibradores
Analisador Erro Instrução para
Resultado incorreto rastreáveis
sanguíneo de sistemático ou Autocalibração verificar a calibração
relatado ao clínico metrologicamente
IVD viés com controles válidos
fornecidos
Nesta etapa, possíveis soluções para projeto inerentemente seguro e medidas de proteção podem ser
investigadas quanto aos seus pontos fortes e fracos. Convém que a escolha de soluções de projeto
tenha como base estas investigações. Muito do conhecimento das possíveis soluções de projeto
e riscos relacionados pode ser criado nesse processo. Convém que o fabricante considere como
reter esse conhecimento para uso futuro.
Técnicas como Análise de Modo de Falha e Efeitos (FMEA, ver Anexo B.5) e Análise de Perigo e
Pontos Críticos de Controle (HACCP, ver Anexo B.7) podem ser úteis para analisar etapas críticas
nos processos de fabricação e distribuição. É importante também considerar a necessidade
de controle de risco em:
— outras fases do ciclo de vida do dispositivo médico, como armazenamento, distribuição, instalação,
manutenção, descomissionamento e descarte.
Muitas normas tratam da segurança inerente, medidas de proteção e informações da segurança para
dispositivos médicos. Quando há normas pertinentes, estas podem tratar de alguns ou de todos os
riscos associados a um dispositivo médico em particular. O fabricante pode presumir que, na ausência
de evidências objetivas em contrário, atender aos requisitos das normas pertinentes resulta em
riscos particulares sendo reduzidos a um nível aceitável. Ver o Anexo E para orientações adicionais
quanto ao uso de Normas Internacionais.
A verificação de implementação de medidas de controle de risco no dispositivo médico pode ser obtida
a partir da documentação de projeto. A verificação da eficácia das medidas de controle de risco no
dispositivo médico pode requerer ensaios de medidas individuais de controle de risco ou ensaios do
dispositivo médico. Os requisitos de verificação se aplicam a todas as medidas de controle de risco,
incluindo informações para segurança. Ensaios com usuários podem fornecer informações úteis que
deem suporte à verificação de eficácia, por exemplo, ensaios de usabilidade (ver IEC 62366-1[16]),
investigação clínica (ver ISO 14155[26]) ou estudos de desempenho clínico de dispositivos médicos
de diagnóstico in vitro (ver ISO 20916[37]). Mais orientações quanto ao uso de Normas Internacionais
no gerenciamento de risco são fornecidas no Anexo E.
Riscos residuais são avaliados pelo mesmo método e com os mesmos critérios para aceitabilidade
de risco que os riscos iniciais. O risco residual pode ser aceitável ou inaceitável. Quando inaceitável,
convém que mais opções de controle de risco sejam investigadas. Se um maior controle de risco
não for algo praticável, uma análise benefício-risco pode ser realizada. A avaliação de risco residual
pode ser repetida por todo o ciclo de vida do dispositivo médico, quando informações de produção
e pós-produção indicarem que o risco ou sua aceitabilidade podem ter alterado.
7.4.1 Geral
A ABNT NBR ISO 14971:2020 permite que o fabricante realize uma análise benefício-risco
para os riscos que não forem julgados aceitáveis ao usar os critérios estabelecidos no plano de
gerenciamento de risco e para os quais um maior controle de risco não é praticável. A análise
benefício-risco é usada para determinar se o risco residual é superado pelos benefícios esperados
do uso pretendido do dispositivo médico.
Análises benefício-risco podem não ser usadas para ponderar riscos residuais em comparação às
vantagens de negócios ou vantagens econômicas (ou seja, para tomadas de decisões de negócios).
Ver também a ABNT NBR ISO 14971:2020, A.2.7.4.
Convém que a praticabilidade de maiores reduções de risco seja considerada antes dos benefícios
(ver Anexo C). A decisão quanto a se os riscos são superados pelos benefícios é essencialmente
uma questão de julgamento por parte de indivíduos experientes e bem informados, normalmente uma
equipe multidisciplinar composta por especialistas médicos, clínicos ou de aplicação. Uma importante
consideração é quanto a se um benefício esperado pode ser alcançado por meio do uso de soluções
alternativas sem o risco ou com risco menor. Isso envolve comparar o risco residual para o dispositivo
médico do fabricante com o risco residual para dispositivos médicos similares.
Por vezes, os benefícios podem ser descritos em termos de magnitude dos efeitos positivos;
por exemplo, a proporção de pacientes que experimentarão o benefício e a duração do benefício.
— pode ser difícil comparar diferentes resultados, como qual é pior: dor ou perda de mobilidade?
Resultados diferentes podem resultar devido aos efeitos colaterais serem muito diferentes do
problema inicial.
— é difícil considerar resultados não estáveis. Esses podem surgir tanto do tempo de recuperação
quanto de efeitos a longo prazo.
Devido às dificuldades em aplicar uma abordagem rigorosa, é geralmente necessário que se faça
suposições simplificadoras. Portanto, será normalmente mais vantajoso focar nos resultados mais
prováveis para cada opção e naquelas que são mais favoráveis ou não favoráveis.
Projeto em Consulta Nacional
— o tipo de benefícios esperados para o paciente ou outras pessoas (por exemplo, se o dispositivo
médico salva vidas ou é essencial em um dado cenário médico);
— a magnitude dos benefícios esperados (por exemplo, em que grau o paciente experimentará
o benefício terapêutico ou diagnóstico);
— a duração dos efeitos esperados (ou seja, quanto tempo se espera que o benefício dure para o paciente).
Uma estimativa de benefício pode variar significativamente entre diferentes fases do processo de
projeto. Se estiverem disponíveis dados clínicos confiáveis que demonstrem o desempenho e a
eficácia consistentes do dispositivo médico, o benefício pode ser estimado com certeza. Em casos
em que os dados clínicos são limitados em quantidade ou qualidade, o benefício é estimado com
maior incerteza a partir de quaisquer que sejam as informações pertinentes disponíveis. Por exemplo,
às vezes é necessário, o quanto antes no processo, estimar o benefício a partir do grau esperado
de melhoria da saúde e da probabilidade de alcançar o desempenho pretendido.
Quando riscos significativos estiverem presentes e a estimativa de benefício possuir um alto grau
de incerteza, será necessário verificar o desempenho ou a eficácia esperados por meio de um
estudo de simulação ou de uma investigação clínica. Isso é essencial para que se confirme se o
equilíbrio benefício-risco está conforme o esperado e para impedir exposição inadvertida de pacientes
a um grande risco residual. A ISO 14155[26] especifica procedimentos para investigações clínicas
de dispositivos médicos e a ISO 20916[37], para estudos de desempenho clínico de dispositivos
médicos de diagnóstico in vitro.
7.4.3 Critérios para análise benefício-risco
Aqueles envolvidos em fazer julgamento de benefício-risco têm a responsabilidade de compreender
e considerar os contextos técnicos, regulatórios, econômicos e sociológicos de suas decisões de
gerenciamento de risco. Isso pode envolver uma interpretação de requisitos fundamentais estabelecidos
em regulamentações ou normas aplicáveis, uma vez que se aplicam ao dispositivo médico sob
consideração nas condições de uso esperadas. Uma vez que esse tipo de análise é altamente
específica ao produto, orientações adicionais de natureza geral não são possíveis. Em vez disto,
os requisitos de segurança especificados por normas que abordem produtos ou riscos específicos
podem ser presumidos como sendo consistentes com um nível aceitável de risco, especialmente
quando o uso destas normas é adotado pelo sistema regulatório vigente. Nota-se que uma investigação
clínica pode ser requerida para verificar se o equilíbrio entre benefício e risco residual é aceitável.
7.4.4 Comparação de benefício-risco
Uma comparação direta de benefício e risco é complicada e convém que considere o seguinte:
— caracterização da doença ou condição dos pacientes destinados;
— a incerteza dos dados. Inicialmente, uma pesquisa na literatura pelos perigos e dispositivos
médicos sob consideração pode fornecer contribuições ao equilíbrio entre benefício e risco;
— uma comparação dos riscos residuais do dispositivo médico em desenvolvimento com os riscos
residuais de dispositivos médicos similares disponíveis no mercado.
A ABNT NBR ISO 14971:2020 requer que o fabricante registre os resultados de uma análise
benefício-risco no arquivo de gerenciamento de risco. É recomendado incluir a justificativa de como
a conclusão foi obtida.
EXEMPLO 1 Queimaduras podem ocorrer onde o eletrodo de retorno de um dispositivo cirúrgico de alta
frequência estiver inapropriadamente acoplado ao paciente. Embora a conformidade com a norma pertinente
do produto minimize a probabilidade destas queimaduras, elas ainda podem ocorrer. Todavia, o benefício
de se usar um dispositivo cirúrgico de alta frequência supera o risco residual de queimadura.
EXEMPLO 2 Embora se saiba que raios X são potencialmente danosos, a eficácia clínica do imageamento
diagnóstico convencional quase sempre justifica seu uso. Entretanto, os efeitos indesejados de radiação
sobre o paciente não são ignorados. Existem normas para minimizar a exposição de pacientes à radiação.
Quando uma nova aplicação de radiação ionizante é desenvolvida e as normas existentes não são aplicáveis,
o fabricante verifica se os resultados da análise benefício-risco são, ao menos, tão favoráveis quanto os de
dispositivos médicos e tratamentos alternativos.
EXEMPLO 3 Uma vez implantado, alguns componentes do implante coclear, como o estimulador receptor
do implante com matriz de eletrodos, podem não ser facilmente substituídos. Esses são destinados a
permanecerem implantados por toda a vida e são requeridos a ter desempenho confiável por anos, mesmo
décadas (essa é uma consideração especialmente importante no caso de jovens adultos ou crianças).
Ensaios de confiabilidade acelerados desses componentes podem ser conduzidos para mecanismos de
falha específicos. Entretanto, validar a confiabilidade de componentes que são para durar por décadas não é
prático. Portanto, o risco residual de falha do dispositivo médico é ponderado frente ao benefício da potencial
melhoria da audição. O risco residual depende da confiabilidade estimada dos componentes e da confiança
nas estimativas de confiabilidade para esses componentes que podem não ser validados. Em alguns casos,
o risco residual supera o benefício; em outros casos, o benefício supera o risco.
Implementar uma medida de controle de risco para reduzir um risco pode introduzir novos riscos ou
aumentar outros riscos, incluindo aqueles avaliados previamente como sendo aceitáveis. Por exemplo,
a eliminação de um risco relacionado ao uso na interface de usuário pode restringir a flexibilidade
do usuário no uso do dispositivo médico e restringir sua capacidade de interferir em situações
perigosas. Um segundo exemplo é uma alteração do software para controlar um risco em particular,
que de maneira não intencional enfraquece uma outra medida de controle de risco embutida na
arquitetura do software. O fabricante analisa criticamente estes efeitos para assegurar que estes
riscos continuem sendo aceitáveis.
Uma forma de desempenhar esta análise crítica é atualizar a análise de risco do dispositivo médico,
incluindo todas as medidas de controle de risco, e identificar se novos riscos são introduzidos
ou se riscos existentes são aumentados. Para medidas de controle de risco no processo de fabricação,
o fabricante pode realizar a análise crítica como parte da análise de risco do processo ou validação
do processo.
Projeto em Consulta Nacional
A ABNT NBR ISO 14971:2020 requer que os riscos de todas as situações perigosas identificadas
sejam considerados e que todas as atividades de controle de risco sejam completadas.
Isso pode ser alcançado ao se manter uma lista de todos os perigos e situações perigosas e seus
riscos associados. A lista pode ser verificada para assegurar que os riscos de todas as situações
perigosas identificadas tenham sido considerados e que nenhum risco tenha sido esquecido.
Os resultados desta atividade são documentados no arquivo de gerenciamento de risco.
A ABNT NBR ISO 14971:2020 requer que o risco residual geral seja avaliado em relação aos
benefícios do uso pretendido do dispositivo médico e que tanto os critérios para aceitabilidade do
risco residual geral quanto o método de avaliação de risco residual geral sejam incluídos no plano
de gerenciamento de risco.
A avaliação de risco residual geral é o ponto em que o risco residual é visto a partir de uma perspectiva
mais ampla. Todas as situações perigosas identificadas foram avaliadas e todos os riscos foram
reduzidos a um nível aceitável ou foram aceitos com base na análise benefício-risco. O fabricante
considera se o risco residual geral associado ao dispositivo médico como um todo satisfaz aos
critérios para aceitabilidade de risco residual geral. Essa consideração leva em conta as contribuições
de todos os riscos residuais juntos em relação aos benefícios do uso pretendido do dispositivo
médico.Esta etapa é particularmente importante para dispositivos médicos complexos e para
dispositivos médicos com um alto número de riscos individuais. A avaliação pode levar à conclusão
de que o dispositivo médico é seguro.
A avaliação de risco residual geral é uma tarefa desafiadora que pode não ser alcançada adicionando-se
todos os riscos individuais numericamente. A dificuldade surge pelas seguintes razões:
— Não é possível combinar as severidades de danos individuais dentro das amplas categorias
normalmente empregadas na análise de risco.
Além disso, os critérios para aceitabilidade do risco residual geral podem ser diferentes dos critérios
para aceitabilidade de riscos individuais. Os critérios usados para avaliar riscos individuais normalmente
incluem limites para a probabilidade de ocorrência de dano com uma severidade em particular.
Os critérios usados para avaliar o risco residual geral comumente têm como base elementos
adicionais, como os benefícios do uso pretendido do dispositivo médico.
Não há uma maneira preferida para avaliar o risco residual geral. O fabricante é responsável por
determinar um método apropriado. Nas subseções a seguir, são apresentados alguns exemplos
de abordagens que podem ser usadas ao definir o método de avaliação. Estas orientações são
Projeto em Consulta Nacional
A ABNT NBR ISO 14971:2020 requer que o risco residual geral seja avaliado por pessoas com o
conhecimento, experiência e autoridade para desempenhar estas tarefas. É recomendado envolver
especialistas em aplicação com conhecimento e experiência no dispositivo médico. Por fim,
convém que a avaliação tenha como base o julgamento de um especialista com funções essenciais
para conhecimento de aplicação e experiência clínica.
Os resultados da avaliação de risco residual geral formam parte do arquivo de gerenciamento de risco.
É recomendado documentar a justificativa para aceitação do risco residual geral.
A ABNT NBR ISO 14971:2020 requer que o fabricante informe aos usuários sobre riscos residuais
significativos e que forneça as informações necessárias na documentação acompanhante para
divulgar estes riscos residuais. Ver Anexo D para orientações sobre a divulgação de risco residual.
A avaliação de risco residual geral pode abordar muitas contribuições e considerações. Alguns
exemplos de contribuições e seu uso são apresentados a seguir.
a) Diferentes sequências de eventos podem levar a diferentes situações perigosas e riscos,
cada uma contribuindo para o risco residual geral. Por exemplo, o reuso de um dispositivo para
uso único pode ser associado a infecção, percolação de substâncias tóxicas, falha mecânica
devida ao envelhecimento e resíduos de desinfetantes bioincompatíveis. A Análise de Árvore
de Eventos (ETA, ver Anexo B.4) pode ser um método adequado para analisar esses riscos,
diferenciar entre sequências de eventos com probabilidade de ocorrência ou severidade de dano
considerável versus negligenciável. A contribuição combinada desses riscos é considerada na
avaliação do risco residual geral.
b) Um dano em particular pode se originar de diferentes situações perigosas. Nesses casos,
a probabilidade de ocorrência do dano pode ser usada para determinar o risco residual geral
com base na combinação das probabilidades individuais. A Análise de Árvore de Falhas (FTA,
ver Anexo B.3) pode ser um método adequado para estimar a probabilidade combinada de
ocorrência de um dano em particular.
c) Medidas de controle de risco que são apropriadas para riscos individuais independentes podem
resultar em requisitos conflitantes, o que pode aumentar o risco residual geral. Por exemplo,
uma instrução para que se trate o risco de queda de um paciente inconsciente da mesa do paciente
poderia ser “nunca deixe um paciente inconsciente sem supervisão”. Isso poderia conflitar com
a instrução “permaneça atrás da tela de proteção ao realizar imagens de raio X” destinada a
proteger a equipe médica de se expor a raios X.
d) Um aviso por si só pode fornecer adequada redução de um risco individual. Entretanto, muitos
avisos podem confundir o usuário do dispositivo médico e, assim, reduzir o efeito dos avisos
individuais. Pode ser necessária uma análise para determinar se há uma confiança excessiva
em avisos e se essa dependência excessiva pode ter um impacto na redução do risco e no risco
residual geral.
e) Uma análise crítica abrangente de todas as instruções de operação para o dispositivo médico
pode revelar que as instruções são inconsistentes ou muito difíceis de seguir. Isto também
pode ter impacto sobre o risco residual geral.
g) Convém que todas as análises benefício-risco para riscos individuais sejam consideradas.
h) Quando ocorrer escolhas entre riscos na análise de risco, convém que o impacto sobre o risco
residual geral seja analisado com cuidado extra. Estas são situações em que pode ter
sido permitido que um risco se eleve um pouco para que outro risco pudesse ser reduzido.
Por exemplo, é permitido que o risco para uma pessoa (o usuário) aumente de modo que o risco
para outra (o paciente) possa ser reduzido. A avaliação pode tomar a forma de passar por riscos
maiores relacionados, descrevendo porque o balanceamento da escolha é justificado, e porque
o nível combinado dos riscos na decisão da escolha é aceitável.
O método para avaliar o risco residual geral pode incluir as seguintes abordagens ou outras abordagens
consideradas apropriadas pelo fabricante.
a) Os benefícios relacionados ao uso pretendido do dispositivo médico são ponderados perante
o risco residual geral. Benefícios podem ser descritos por sua magnitude ou extensão,
a probabilidade de experimentar o benefício dentro da população de pacientes destinada e a
duração e a frequência do benefício. Convém que a avaliação considere o conhecimento da
indicação médica pretendida, o estado da arte geralmente reconhecido em tecnologia e medicina
e a disponibilidade de dispositivos médicos ou tratamentos alternativos.
b) Representações visuais dos riscos residuais podem ser úteis. Cada risco residual individual
pode ser mostrado em um gráfico de risco ou matriz de risco, como observado na Figura 3 e na
Figura 4, fornecendo uma visualização gráfica da distribuição dos riscos. Se muitos dos riscos
estiverem nas regiões de maior severidade ou nas regiões de maior probabilidade da matriz de
risco ou, se conjuntos de riscos forem limítrofes, então a distribuição dos riscos pode indicar
que o risco residual geral pode não ser aceitável, mesmo que cada risco individual tenha sido
julgado como aceitável.
c) O fabricante pode comparar o dispositivo médico em consideração com dispositivos médicos
similares disponíveis no mercado. A questão-chave é se o dispositivo médico em consideração
possui um risco residual geral aceitável em relação aos benefícios médicos, em comparação
a dispositivos médicos similares. Riscos residuais decorrentes do dispositivo médico podem
ser comparados individualmente a riscos correspondentes para dispositivo médico semelhante,
considerando as diferenças no uso pretendido. Convém que informações atualizadas sobre o
uso pretendido e eventos adversos de dispositivos médicos similares sejam cuidadosamente
analisadas criticamente, bem como informações provenientes da literatura científica, incluindo
informações sobre a experiência clínica.
d) O fabricante pode usar especialistas para dar suporte à avaliação do risco residual geral
em relação aos benefícios esperados de se usar o dispositivo médico em consideração.
Esses especialistas podem vir de uma variedade de disciplinas e convém incluir aqueles com
experiência clínica ou aplicada e aqueles com conhecimento em dispositivos médicos similares.
e) Embora convenha que todos os riscos individuais tenham sido identificados, controlados
Projeto em Consulta Nacional
e julgados como aceitáveis a esta altura, pode ser apropriado que alguns riscos sejam mais
investigados como resultado da avaliação de risco residual geral. Por exemplo, podem haver
muitos riscos próximos de não serem aceitáveis. Consequentemente, o risco residual geral
pode não ser considerado aceitável e seria apropriada uma investigação adicional.
f) Investigações adicionais também podem ser apropriadas quando alguns riscos forem
interdependentes com respeito a suas causas ou às medidas de controle de risco aplicadas.
Convém que medidas de controle de risco sejam verificadas quanto à eficácia, não apenas
individualmente, mas também em combinação com outras medidas de controle de risco.
Isso também pode se aplicar a medidas de controle de risco projetadas para controlar múltiplos
riscos simultaneamente. A Análise de Árvore de Falhas (FTA) ou a Análise de Árvore de Eventos
(ETA) podem ser ferramentas úteis para descobrir estas relações entre riscos e medidas
de controle de risco.
A análise crítica da execução do plano de gerenciamento de risco não é para ser confundida com a
análise crítica da adequação do processo de gerenciamento de risco em intervalos planejados pela
Alta Direção (ver 4.2.3). O plano de gerenciamento de risco está relacionado ao ciclo de vida de um
tipo de dispositivo médico (ou família de dispositivos médicos). A análise crítica da adequação do
processo de gerenciamento de risco está relacionada à eficácia do processo e como esse processo
é implementado.
A ABNT NBR ISO 14971:2020 requer que o fabricante estabeleça um sistema para ativamente coletar
e analisar criticamente informações sobre o dispositivo médico que poderiam estar relacionadas
Projeto em Consulta Nacional
à segurança. As atividades necessárias para estabelecer esse sistema são registradas no plano
de gerenciamento de risco (ver 4.4.8).
NOTA Esta fase é alinhada às partes pertinentes das Seções 7 e 8 da ABNT NBR ISO 13485:2016[24].
Mais orientações são fornecidas no ISO Handbook: ISO 13485:2016 – Medical devices – A practical guide[25].
Informações pertinentes à segurança do dispositivo médico podem vir de uma variedade de fontes.
Quanto mais experiência um fabricante possuir no desenvolvimento e comercialização de dispositivos
médicos similares, mais provável é que o fabricante terá um bom entendimento sobre o desempenho
do dispositivo médico, da população de pacientes, do mau uso razoavelmente previsível que pode
ocorrer e dos riscos associados ao dispositivo médico.
— Auditorias internas/externas
— Quantidade
— Por família de dispositivo médico
— Por consumidor (médico, instalação de cuidados à saúde, paciente etc.)
Tratamento de
— Motivo da reclamação
reclamações
— Códigos de reclamação
— Severidade de qualquer dano
— Componente envolvido
— Instalação
— Primeiro uso do dispositivo médico
— Frequência das visitas de manutenção
— Tipos de reparos
Relatórios de serviço
— Frequência de reparos
— Frequência de uso
— Partes substituídas
— Pessoal de serviço
— Relatórios de eventos adversos publicados para dispositivos médicos similares
Gerenciamento de risco
— Preocupações das partes interessadas e estado da arte geralmente reconhecido
Atividades clínicas — Estudos de Monitoramento Clínico Pós Comercialização (PMCF)
— Há uma tendência crescente de uso para aplicações que não tenham sido o uso pretendido?
— A avaliação do risco residual geral representa com exatidão a real experiência de mercado?
— Há indicações de que convém que os critérios para aceitabilidade de risco sejam ajustados?
A análise crítica das informações pode levar a muitos resultados possíveis, como, por exemplo:
— O perigo e a situação perigosa foram identificados corretamente, mas o risco aumentou e não
é mais aceitável. Ações adicionais são requeridas.
— O perigo ou a situação perigosa não foram identificados. Ações adicionais são requeridas.
Com relação a alterações no estado da arte geralmente reconhecido, convém que também seja
considerada a disponibilidade de alternativas para tratar ou diagnosticar a condição médica dos
pacientes pretendidos, incluindo a segurança e eficácia e os riscos associados a estas alternativas.
Convém que os riscos e benefícios a pacientes em situações em que nenhum tratamento ou
diagnóstico estão disponíveis também sejam considerados.
Convém também que o fabricante determine se os benefícios esperados do uso pretendido são
conseguidos ou sofreram alteração. Se os benefícios se alterarem enquanto os riscos permanecerem
os mesmos, o equilíbrio entre benefício e risco residual geral também pode mudar. Ver 7.4.2 para uma
discussão de estimativa de benefícios.
Convém que sejam consideradas técnicas estatísticas para auxiliar no processamento de dados,
como análise de tendência, técnicas de engenharia de confiabilidade preditiva (por exemplo,
análise Weibull) e avaliação de confiabilidade (por exemplo, ensaios de dispositivos médicos ou
componentes até a falha, ensaio de componentes que falharam e retornaram ao fabricante ou ensaio
de dispositivos médicos do mesmo lote ou de lotes anteriores/posteriores). Ver ISO/DIS 10017[21]
para orientações adicionais quanto à seleção e uso de técnicas estatísticas.
Projeto em Consulta Nacional
10.4 Ações
Se estiver presente um perigo ou situação perigosa que não tenha sido reconhecido previamente,
os riscos associados serão determinados e controlados onde for apropriado, seguindo as etapas da
ABNT NBR ISO 14971:2020, Seções 5 a 7. Os resultados da determinação de risco e as medidas
de controle de risco implementadas são registrados no arquivo de gerenciamento de risco.
Se um risco tiver se tornado não mais aceitável, uma atualização da determinação do risco específico
será necessária. O impacto das informações coletadas sobre medidas de controle de risco previamente
implementadas é avaliado para verificar se essas medidas permanecem eficazes e suficientes para
reduzir o risco. Convém que os resultados dessa avaliação sejam considerados como uma contribuição
para modificação do dispositivo médico. Se apropriado, as etapas da ABNT NBR ISO 14971:2020,
Seções 5 a 7, são repetidas e medidas de controle de risco novas/adicionais são implementadas.
A determinação de risco atualizada e as medidas de controle de risco implementadas são registradas
no arquivo de gerenciamento de risco.
Pode ser necessário avaliar o risco residual geral novamente em relação aos benefícios do
uso pretendido do dispositivo médico. Também pode ser necessário repetir a análise crítica do
gerenciamento de risco e preparar um novo relatório de gerenciamento de risco. Ver Seções 8 e 9
da ABNT NBR ISO 14971:2020.
Convém que o fabricante também considere se são necessárias ações para tratar dos dispositivos
médicos que já estejam:
— distribuídos (ou seja, além do controle do fabricante), porque a correção destes dispositivos
médicos ou sua remoção do mercado podem ser necessárias;
— fabricados mas não distribuídos (ou seja, ainda sob controle do fabricante), porque a contenção
e a correção desses dispositivos médicos podem ser necessárias; ou
Para dispositivos médicos no mercado, convém que o fabricante considere se convém comunicar
quaisquer informações urgentes aos usuários, pacientes e demais partes interessadas como
uma medida provisória (por exemplo, como uma nota de aviso conforme descrito na 8.3 da
ABNT NBR ISO 13485:2016[24]), antes de medidas de controle de risco adicionais serem desenvolvidas.
Convém que o grau de urgência nessa comunicação seja proporcional ao grau de risco, porque a
rapidez dessas ações contribui para sua eficácia. O período de tempo pode estar sujeito a requisitos
regulamentares. As decisões e ações tomadas são registradas no arquivo de gerenciamento de risco.
Os resultados da análise crítica das informações podem indicar que o processo de gerenciamento de
risco é insuficiente ou inadequado. Portanto, a ABNT NBR ISO 14971:2020 requer que o fabricante
avalie o impacto das informações coletadas nas atividades de gerenciamento de risco previamente
implementadas, para verificar quais atividades convém aperfeiçoar. Os resultados dessa avaliação
são comunicados à Alta Direção, que tomará esses resultados como contribuição para as análises
críticas planejadas da adequação do processo de gerenciamento de risco (ver 4.2.3). A Alta
Projeto em Consulta Nacional
Direção decide, então, quais partes ou aspectos do processo de gerenciamento de risco requerem
aperfeiçoamento para assegurar sua eficácia contínua.
Anexo A
(informativo)
A.1 Geral
A ABNT NBR ISO 14971:2020 requer que o fabricante identifique as características do dispositivo
médico que possam afetar a segurança. A consideração dessas características é uma etapa essencial
na identificação dos perigos associados ao dispositivo médico. Uma forma de fazer isso é perguntando
uma série de questões com respeito ao fabricante, usuários pretendidos, uso pretendido, mau uso
razoavelmente previsível e descarte final do dispositivo médico. Ao se fazer estas perguntas do ponto
de vista de todos os indivíduos envolvidos (por exemplo: usuários, equipe de manutenção, pacientes
etc.), pode surgir uma visão mais completa dos perigos que podem existir.
A.2 Questões
A.2.1 Qual é o uso pretendido e como o dispositivo médico é para ser usado?
— controle de concepção?
— quais são as indicações para uso (por exemplo, população de paciente, perfil de usuário, ambiente
de uso)?
— o desempenho do dispositivo médico pode ser impactado se ocorrer uma falha de segurança
(degradação de desempenho ou perda de disponibilidade)?
Projeto em Consulta Nacional
— o acesso não autorizado, atividades não autorizadas ou a perda de dados podem afetar a
segurança do dispositivo médico?
Fatores que convém considerar incluem o local de implante, as características da população de pacientes,
idade, peso, atividade física, os efeitos do envelhecimento sobre o desempenho do implante, a vida útil
esperada do implante, a reversibilidade do implante, se o implante pode ser modificado ou configurado
enquanto implantado e a conexão de acesso para realizar esta modificação ou configuração (por exemplo:
ponto de acesso físico ou conexão sem fio ao dispositivo médico implantado).
Fatores que convém considerar incluem a natureza do contato pretendido, ou seja, contato superficial,
contato invasivo, ou implante e, para cada um destes, o período e a frequência de contato.
— se os níveis de energia são maiores que os atualmente usados para dispositivos médicos semelhantes.
A.2.7 Materiais biológicos são processados pelo dispositivo médico para reuso,
transfusão ou transplante subsequentes?
Projeto em Consulta Nacional
Fatores que convém considerar incluem o tipo de processo e substância(s) processada(s) (por exemplo:
autotransfusão, diálise, processamento de componentes sanguíneos ou de terapia celular).
Fatores que convém considerar incluem os tipos de agentes de limpeza ou desinfecção a serem
usados e quaisquer limitações no número de ciclos de limpeza. O desenho do dispositivo médico
pode influenciar a eficácia da limpeza e desinfecção de rotina. Adicionalmente, convém considerar o
efeito de agentes de limpeza e desinfecção sobre a segurança ou desempenho do dispositivo médico.
— temperatura;
— umidade;
— pressão; e
— luz.
Fatores que convém considerar incluem as variáveis medidas e a exatidão e precisão dos resultados
de medição, bem como se a aparelhagem de medição ou dados podem estar comprometidos.
Adicionalmente, convém considerar a necessidade de calibração e manutenção (ver também A.2.18).
Fatores que convém considerar incluem se as conclusões são apresentadas pelo dispositivo médico
a partir de dados de entrada ou adquiridos, os algoritmos usados e limites de confiança. Convém que
se dê especial atenção a aplicações não intencionais dos dados ou do algoritmo, bem como
manipulação não autorizada ou alterações dos algoritmos e dados.
Projeto em Consulta Nacional
Fatores relacionados à energia que convém considerar incluem ruído e vibração, aquecimento, radiação
(incluindo ionizante, não ionizante, e radiação ultravioleta/visível/infravermelha), temperaturas de contato,
correntes de fuga e campos elétricos ou magnéticos.
Outros fatores relacionados a substâncias que convém considerar incluem descarga de produtos
químicos, produtos residuais e fluidos corporais.
Fatores que convém considerar incluem especificações para consumíveis ou acessórios e quaisquer
restrições aplicadas aos usuários em sua seleção desses itens.
— se a manutenção ou calibração são para ser conduzidas pelo usuário ou pelo especialista;
adequadas;
Fatores que convém considerar incluem se o software é destinado a ser instalado, verificado, modificado
ou substituído pelo usuário ou por um especialista e a autenticidade da atualização de software.
Fatores que convém considerar incluem portas Ethernet acessíveis, portas USB, portas seriais e
discos rígidos removíveis.
A.2.21 O dispositivo médico armazena dados críticos para os cuidados com o paciente?
Fatores que convém considerar incluem a possibilidade de que os dados sejam modificados ou
corrompidos, acesso não autorizado aos dados e as consequências para os pacientes.
Fatores que convém considerar incluem se o dispositivo médico pode se deteriorar com o tempo,
o impacto das condições de armazenamento e embalagem primária, a comunicação da data de
validade (por rotulagem ou um indicador), possibilidade de uso após a data de validade e o descarte
de dispositivos médicos expirados.
Fatores que convém considerar incluem efeitos ergonômicos ou cumulativos. Exemplos podem incluir
bombas para solução salina que se corroem com o tempo, fadiga mecânica, afrouxamento de cintas
e acessórios, efeitos de vibração, etiquetas que se desgastam ou caem do produto, degradação
do material a longo prazo.
Fatores que convém considerar incluem se as forças às quais o dispositivo médico será submetido
estão sob controle do usuário ou se são controladas por interação com outras pessoas.
Fatores que convém considerar incluem esgotamento da bateria, deterioração de materiais e falha
de componentes devido ao envelhecimento, desgaste, fadiga ou uso repetido. Convém considerar
também a disponibilidade de partes de reposição.
Projeto em Consulta Nacional
Fatores que convém considerar incluem os produtos residuais que são gerados durante o descarte
do próprio dispositivo médico e a higienização (remoção) adequada de todos os materiais perigosos
(dados sensíveis) no dispositivo médico. Por exemplo, o produto contém qualquer material perigoso
(por exemplo: produto químico tóxico ou agente biológico), ou o material é reciclável? Se o
dispositivo médico armazena dados, convém que o manuseio adequado e a segurança dos dados
armazenados sejam considerados, incluindo a remoção e a retenção dos dados.
A.2.31.1 Os recursos do projeto da interface de usuário podem contribuir para erros de uso?
Fatores que convém considerar incluem: controle e indicadores, símbolos usados, recursos ergonômicos,
Projeto em Consulta Nacional
projeto físico e desenho, hierarquia de operação, menus para dispositivos médicos baseados em software,
visibilidade de avisos, audibilidade de alarmes, normalização de códigos de cores. Ver IEC 62366-1[16]
para informações adicionais sobre usabilidade e a ABNT NBR IEC 60601-1-8[7] para alarmes.
A.2.31.2 O dispositivo médico é usado em um ambiente onde distrações podem causar erro de uso?
Fatores que convém considerar incluem a possibilidade de conexões erradas, similaridade com
conexões de outros produtos, força de conexão, retorno quanto à integridade de conexão, e aperto
excessivo ou insuficiente.
Fatores que convém considerar incluem espaçamento, códigos, agrupamento, mapeamento, modos
de feedback, equívocos, deslizes, diferenciação de controles, visibilidade, direção de ativação ou
alteração, se os controles são contínuos ou separados e a reversibilidade dos ajustes ou ações.
Fatores que convém considerar incluem visibilidade em vários ambientes, orientação, as capacidades
visuais do usuário, populações e perspectivas, clareza das informações apresentadas, unidades,
código de cores e a acessibilidade às informações críticas.
— as características pessoais dos usuários pretendidos que possam afetar suas habilidades de
interagir com sucesso com o dispositivo médico. Ver IEC/TR 62366-2[17].
A.2.31.8 O dispositivo médico será usado por pessoas com necessidades específicas?
Projeto em Consulta Nacional
— usuários com características especiais, como pessoas com deficiências, idosos e crianças, que
possam precisar da assistência de outra pessoa para permitir o uso de um dispositivo médico; e
— usuários que possuem os mais variados níveis de habilidade e diferentes contextos culturais
e expectativas que possam levar a diferenças quanto ao que é considerado uma aplicação
adequada do dispositivo médico.
A.2.31.9 A interface do usuário pode ser usada para iniciar ações não autorizadas?
Fatores que convém considerar incluem se a interface do usuário permite que o usuário entre
em um modo de operação com acesso restrito (por exemplo, para manutenção ou uso especial),
o que aumenta a possibilidade de erro de uso e assim, os riscos associados e se o usuário fica ciente
de ter entrado neste modo de operação.
Fatores que convém considerar são o risco de alarmes falsos, alarmes perdidos, sistemas de
alarmes desconectados, sistemas de alarmes remotos não confiáveis e a capacidade do usuário
de compreender como o sistema de alarmes funciona. Orientações para sistemas de alarmes são
apresentadas na ABNT NBR IEC 60601-1-8[7].
A.2.33 De que formas o dispositivo médico pode ser mal usado (deliberadamente ou não)?
Fatores que convém considerar são o uso incorreto de conectores, desativação de recursos de
segurança ou alarmes, negligência com a manutenção recomendada pelo fabricante, acesso não
autorizado ao dispositivo médico ou a funções do dispositivo médico.
Fatores que convém considerar são a necessidade de empunhaduras, alças, rodas ou freios e a
necessidade de estabilidade e durabilidade mecânica.
— conhecimento do usuário para quando o dispositivo médico com um grau de autonomia gerar um
erro, alarme ou falha;
— capacidade do usuário de intervir ou de abortar uma ação que seja realizada de maneira
autônoma; e
Projeto em Consulta Nacional
Ver a IEC/TR 60601-4-1[9] para orientações adicionais sobre dispositivos médicos com um grau de
autonomia.
A.2.37 O dispositivo médico produz uma saída que seja usada como entrada para
determinar uma ação clínica?
Fatores que convém considerar incluem se as saídas incorretas ou atrasadas podem resultar em
riscos diretos ou indiretos aos pacientes, por exemplo: um diagnóstico incorreto que resulta em
terapia atrasada ou omitida ao paciente. Ver o Anexo H para orientações sobre dispositivos médicos
de diagnóstico in vitro.
Anexo B
(informativo)
B.1 Geral
Este anexo fornece orientações sobre diversas técnicas que podem ser usadas para dar suporte a
uma análise de risco. Algumas técnicas começam com o possível dano e analisam a variedade de
eventos que podem causar tal dano. Outras técnicas começam por um evento inicializador e analisam
a imediata sequência ou combinação de eventos que poderiam levar ao dano. O princípio básico é
que a sequência de eventos seja analisada.
Enfatiza-se que a análise de risco é apenas uma etapa do processo de gerenciamento de risco
descrito na ABNT NBR ISO 14971:2020. Além disso, as técnicas descritas neste Anexo não
abordam todos os elementos de uma análise de risco, e somente fornecem informações de suporte.
Por exemplo, a identificação de situações perigosas não foi incluída em todas essas técnicas.
Essas técnicas são complementares e pode ser necessário usar mais de uma delas para prover
suporte a uma análise de risco minuciosa e completa.
— A Análise Preliminar de Perigos (PHA – Preliminary Hazard Analysis ) é uma técnica que pode
ser usada no início do processo de desenvolvimento para identificar os perigos, situações
perigosas e eventos que podem causar dano quando forem conhecidos poucos detalhes do
projeto do dispositivo médico.
— A Análise de Árvore de Falhas (FTA – Fault Tree Analysis) e a Análise de Árvore de Eventos
(ETA – Event Tree Analysis) são especialmente úteis na engenharia de segurança, no início
do processo de desenvolvimento, para a identificação e priorização de perigos e situações
perigosas e possíveis medidas de controle de risco, bem como para analisar as consequências
de eventos adversos.
— A Análise de Modo de Falha e Efeitos (FMEA – Failure Mode and Effects Analysis) é uma técnica
pela qual os efeitos ou consequências de componentes individuais são sistematicamente
identificados e é mais adequada conforme o projeto amadurece e os modos de falha vão sendo
mais bem compreendidos.
— A Análise de Perigo e Pontos Críticos de Controle (HACCP – Hazard Analysis and Critical Control
Point) é comumente usada nos estágios mais avançados do processo de desenvolvimento
para verificar e então otimizar conceitos ou alterações de projeto.
para estudos posteriores. Pode ser útil ao analisar sistemas existentes ou ao priorizar perigos
quando as circunstâncias impedirem que uma técnica mais exaustiva seja usada.
Em um PHA, uma lista de perigos e situações perigosas é formulada considerando-se características como:
— equipamento usado;
— ambiente de uso;
— leiaute;
a) a identificação das probabilidades de que uma situação perigosa ocorra e as probabilidades
de que uma situação perigosa leve ao dano;
Os resultados obtidos podem ser apresentados de diferentes formas, como em tabelas ou esquemas
de árvore.
O FTA permite uma abordagem sistemática que é suficientemente flexível para permitir a análise
de uma variedade de fatores, incluindo interações humanas. O FTA é usado na análise de risco
como uma ferramenta para fornecer uma estimativa de probabilidades de falha e para identificar
falhas únicas e falhas de causa comum que resultem em situações perigosas. A representação
gráfica facilita a compreensão do comportamento do sistema e dos fatores incluídos, mas, conforme
a árvore aumenta, o processamento de árvores de falhas pode requerer sistemas informatizados,
ou análise no computador.
O evento incializador em uma árvore de eventos normalmente recairá em uma das quatro categorias
a seguir:
O objetivo da ETA é determinar a probabilidade de possíveis resultados negativos que possam resultar
do evento inicializador selecionado e que possam eventualmente levar a dano. É necessário usar
informações detalhadas sobre o sistema para compreender a sequência de eventos e construir o
diagrama da árvore de eventos. A árvore de eventos começa com o evento inicializador, se segue
ordenando as consequências deste evento de maneira binária (sucesso/falha). Cada evento cria um
caminho em que a série de sucessos ou falhas ocorrerá e onde a probabilidade total de ocorrência
para esse caminho pode ser estimada.
A FMEA não está restrita a uma falha de projeto do componente, mas também pode incluir falhas
na fabricação e montagem de componentes (FMEA de processo) e no uso ou mau uso do produto
pelo usuário final (FMEA de uso). A FMEA pode ser estendida para incorporar uma investigação
dos modos de falha do componente individual, sua probabilidade de ocorrência e no poder de
detectá-la (apenas na medida em que a detecção permita medidas preventivas no contexto da
ABNT NBR ISO 14971:2020), bem como também no grau de severidade das consequências. Para
executar uma FMEA, convém que a construção do dispositivo médico seja conhecida com algum detalhe.
As desvantagens desta técnica podem surgir das dificuldades em lidar com redundâncias
e a incorporação de ações de reparo ou de manutenção preventiva, bem como de sua restrição
às condições sob uma só falha.
— palavras-guia são usadas para ajudar a identificar desvios do uso normal (TODOS, NENHUM,
NÃO, MAIS/MENOS QUE, BEM COMO, PARTE DE etc.).
— produzir uma descrição completa do dispositivo médico e como se destina a ser usado;
— realizar a análise crítica sistemática de cada parte do uso pretendido para descobrir como os
desvios das condições de operação normal e do projeto do dispositivo médico podem ocorrer; e
Quando aplicado aos processos usados para fabricar um dispositivo médico, o último objetivo é
particularmente útil nos casos em que as características do dispositivo médico dependem do processo
de fabricação.
5. Estabelecer ações corretivas e preventivas (identificar e implementar medidas de controle de risco);
Projeto em Consulta Nacional
Cada dispositivo médico possui seus próprios perigos e situações perigosas que podem ser
relacionados ao seu uso pretendido, mau uso razoavelmente previsível ou suas características
relacionadas à segurança. Situações perigosas podem ser iniciadas por eventos durante diferentes
fases do ciclo de vida, como projeto, desenvolvimento, fabricação, manutenção, uso, descarte etc.
O coração de um sistema de HACCP eficaz foca no controle e monitoramento contínuos dos perigos
e situações perigosas identificados. O fabricante demonstra a eficácia das medidas de controle de
risco implementadas estabelecendo e documentando o diagrama de fluxo de processo, a planilha de
análise de perigos e o plano de controle crítico.
O propósito do diagrama é fornecer uma descrição clara e simples das etapas envolvidas no
processo. O diagrama é necessário para a equipe de HACCP em seu trabalho subsequente.
O diagrama também pode servir como um futuro guia para que outros compreendam o processo
para suas atividades de verificação. Convém que o escopo do diagrama de fluxo de processo
cubra todas as etapas de processamento que estiverem sob o controle direto do fabricante.
— a listagem de todas as medidas de controle de risco para cada perigo (e situação perigosa); e
O plano tem como base os sete princípios da HACCP e explicita os procedimentos a serem
seguidos para garantir o controle do projeto, produto, processo ou procedimento específicos.
O plano inclui:
Anexo C
(informativo)
C.1 Geral
Este Anexo descreve a relação entre a política do fabricante para determinar o risco aceitável
conforme definido pela Alta Direção e os critérios para aceitabilidade de risco estabelecidos com base
nesta política. Esta descrição inclui elementos que podem ser parte da política. Ela explica como os
critérios para aceitabilidade de risco podem ser usados no controle de risco e na avaliação de risco.
Exemplos da relação entre a política, os critérios e a avaliação de risco são dados para vários
elementos da política.
A ABNT NBR ISO 14971:2020 requer que a política para estabelecer os critérios para aceitabilidade de
risco seja documentada, por exemplo, como parte da documentação do sistema de gestão da qualidade
do fabricante. Entretanto, não é necessário que a política seja parte do arquivo de gerenciamento de risco.
Uma política para estabelecer os critérios para aceitabilidade de risco pode comumente tratar dos
seguintes elementos:
— propósito;
— escopo;
Convém que a política e seus elementos sejam customizados para atender às necessidades específicas
da organização do fabricante. Cada um dos elementos é discutido com mais detalhes a seguir.
— O propósito descreve os objetivos da política para estabelecer critérios para aceitabilidade de risco.
— Requisitos regulamentares aplicáveis nas regiões em que o dispositivo médico será comercializado;
— Em geral, uma tecnologia pode ser reconhecida como estado da arte, conforme é determinado
a partir de uma análise crítica das Normas Internacionais, melhores práticas em tecnologia,
resultados de pesquisas científicas aceitas, publicações de autoridades, e demais informações
para dispositivos médicos similares e outros produtos similares; e
— Preocupações validadas pelas partes interessadas, por exemplo, obtidas por meio de
comunicação direta com usuários, médicos, pacientes ou organizações regulamentadoras,
ou por meio de comunicação indireta via reportagens jornalísticas, mídia social ou fóruns de
pacientes. É importante considerar que a percepção e a compreensão da aceitabilidade de
risco pode variar entre diferentes grupos de partes interessadas e podem ser influenciadas
por seu contexto e pela natureza de seus interesses.
EXEMPLO 3 Riscos são reduzidos tanto quanto possível sem afetar adversamente a relação
benefício-risco. É considerado se as medidas tecnicamente praticáveis reduziriam o risco sem impactar
ao uso pretendido ou o benefício do dispositivo médico.
EXEMPLO 4 Riscos relacionados a exposição a radiação são reduzidos a um nível tão baixo quanto
razoavelmente alcançável (ALARA – as low as reasonably achievable), levando em conta a praticabilidade
técnica das medidas de controle de risco.
— Requisitos para aprovação e análise crítica podem ser especificados na política. Isso pode incluir
quem aprova e, se necessário, com qual frequência a política é analisada criticamente.
EXEMPLO 5 A política para estabelecer os critérios para aceitabilidade de risco é aprovada por
[título/função de Alta Direção] e é analisada criticamente pelo menos a cada [X] anos por [nome do órgão
de análise crítica].
Critérios específicos podem ser estabelecidos para cada tipo de dispositivo médico (ou família de
dispositivos médicos), dependendo de suas características e uso pretendido, ou os mesmos critérios
podem ser aplicados a todos os dispositivos médicos. Os critérios para aceitabilidade de risco podem
incluir combinações de requisitos qualitativos e limites quantitativos para propriedades específicas,
preferencialmente baseados em Normas Internacionais.
A ABNT NBR ISO 14971:2020 requer que os critérios para aceitabilidade do risco residual geral
também sejam estabelecidos. Estes podem ser os mesmos ou diferentes dos critérios para
aceitabilidade de riscos individuais. O método para avaliar o risco residual geral e os critérios para sua
aceitabilidade são documentados no plano de gerenciamento de risco. Mais orientações detalhadas
sobre os critérios e métodos são fornecidas na Seção 8.
— usar medidas de controle de risco que diminuam a eficácia do dispositivo médico ou que
comprometam o uso pretendido (por exemplo, reduzindo a força de uma unidade eletrocirúrgica
abaixo de seu nível eficaz), o que também possui um efeito negativo sobre o equilíbrio entre
benefício e risco;
— múltiplos alarmes que criam confusão e, assim, dificultam a operação pelo usuário;
— comunicar riscos residuais demais, de modo que o usuário fique com dificuldade de compreender
quais são realmente importantes.
Estas decisões necessariamente envolvem realizar concessões entre aceitar riscos e a disponibilidade
de tratamentos ou diagnósticos. Implicações de custo e disponibilidade são consideradas ao decidir
Projeto em Consulta Nacional
Outra abordagem possível ao controle de risco é considerar a magnitude do risco residual. Isso pode
incluir classificar o risco como uma das três seguintes categorias, de acordo com a sua magnitude:
a) a magnitude do risco residual excede os critérios do fabricante para aceitabilidade de risco;
b) o risco residual é tão pequeno que pode ser considerado insignificante ou negligenciável (ou seja,
removê-lo não levaria a um risco residual geral menor); ou
A política pode direcionar se convém ou não que esforços para redução de risco para riscos
residuais sejam classificados como insignificantes ou negligenciáveis (categoria b) antes de proceder
à avaliação de risco.
Nesta abordagem, o fabricante pode usar uma tabela de risco semiquantitativa ou matriz de risco,
como na Figura C.1, para dar suporte à estimativa de risco (ver também 5.5). Esta matriz de risco é
dividida em três regiões, correspondendo a a) risco inaceitável, b) risco insignificante ou negligenciável,
e c) riscos que requerem investigação para determinar se um maior controle de risco é praticável.
Os riscos estimados (R1, R2, R3, ...) foram inseridos nas células apropriadas. Riscos R1 a R3 não
são aceitáveis. Riscos R4 e R5 são melhor investigados, enquanto R6 é insignificante e pode ser
aceitável, dependendo da política do fabricante.
Níveis de severidade
qualitativa
Insignificante Menor Sério/Maior Crítico Catastrófico/
Fatal
Frequente
Provável
Níveis de
probabilidade Ocasional
semiquantitativa Remoto
Improvável
Legenda
Legenda
risco inaceitável
risco inaceitável
investigar maiormaior
investigar controle de risco
controle de risco
em Normas Internacionais.
C.6 Exemplos
A política do fabricante para determinar risco aceitável pode incluir múltiplos elementos e abordagens.
Exemplos da relação entre a política, os critérios para aceitabilidade de risco e a avaliação de risco
são dados na Tabela C.1 para vários desses elementos e abordagens.
Critérios: O dispositivo médico permanece seguro em condição de falha única, incluindo falhas do software.
Normas Internacionais
Política: Critérios têm como base as normas de produtos e os processos internacionais aplicáveis.
1) Limites que podem ser ensaiados de normas de produto internacionais são aplicados.
Critérios:
2) Interfaces de usuário são desenvolvidas de acordo com o processo da IEC 62366-1[16].
Estado da arte
Os critérios são baseados no estado da arte geralmente reconhecido, como determinados a partir de
Política: dispositivos médicos similares disponíveis no mercado e de uma análise crítica da literatura sobre o uso
pretendido e quaisquer terapias ou dispositivos médicos alternativos.
1) Correntes de fuga do dispositivo médico são estado da arte, demonstrado por conformidade com os
limites e ensaios referentes à corrente de fuga da ABNT NBR IEC 60601-1[5].
2) A exatidão de dose do dispositivo de entrega é estado da arte, conforme demonstrado por
Critérios:
conformidade com os limites e ensaios referentes à exatidão de dose da ISO 11608-1[23].
3) Proteção contra falha mecânica causada por impacto é demonstrada por ensaios comparativos,
como o ensaio de queda de um dispositivo médico similar, se está conforme, no mesmo nível ou melhor.
1) Riscos relacionados aos materiais bovinos são uma preocupação pública e são essencialmente
eliminados por projeto.
Critérios: 2) Risco relacionado ao uso acidental em mais de um paciente de dispositivos médicos baseados
em agulha para administração de medicamentos é uma preocupação para organizações clínicas e,
portanto, avisos são requeridos para que o risco seja considerado aceitável.
A avaliação de risco pode incluir a análise crítica do desempenho do dispositivo médico perante limites
requeridos pelas partes interessadas, ou a participação direta das partes interessadas (em grupos de
Avaliação:
foco ou similares) nas atividades de avaliação de risco. A avaliação de risco pode incluir a comparação de
estimativas de risco com níveis de risco que sejam considerados aceitáveis pelas partes interessadas.
Anexo D
(informativo)
D.1 Geral
O propósito deste Anexo é esclarecer as diferenças entre “informação para segurança” e “divulgação de
risco residual”. Ele fornece orientações sobre como a informação para segurança pode ser fornecida,
e como os riscos residuais podem ser divulgados de maneira que promova a conscientização sobre o risco.
Informação para segurança são instrutivas e dão ao usuário instruções claras de quais ações tomar
ou evitar, para impedir que uma situação perigosa ou dano ocorra. Estas informações podem ser
fornecidas na forma de avisos, advertências (precauções), contraindicações, instruções de uso
(incluindo instalação, manutenção e descarte) ou treinamento. A ABNT NBR ISO 14971:2020 requer
que a informação para segurança seja verificada quanto à eficácia (por exemplo, aplicando um
processo de engenharia de usabilidade) e que seja rastreável à determinação de risco no arquivo
de gerenciamento de risco.
Em alguns casos, o texto para informação para segurança é descrito por regulamentações locais.
Ao desenvolver informação para segurança, é importante identificar a quem essa informação será
fornecida e como será fornecida. Isso pode incluir uma explicação do risco, as consequências de exposição
e o que convém fazer ou evitar para impedir qualquer dano. Convém que o fabricante considere:
— o local para a informação para segurança (por exemplo, uma etiqueta de aviso no dispositivo médico);
— os meios apropriados para fornecer as informações (por exemplo, instruções de uso, etiquetas,
avisos na interface de usuário); e
— requisitos regulamentares.
Informação para segurança pode ser comunicada de diferentes maneiras, dependendo do momento
no ciclo de vida do dispositivo médico em que as informações serão comunicadas, por exemplo,
por interface do usuário de um dispositivo médico orientado por menu, como declarações de
advertências na documentação acompanhante ou em uma nota de aviso.
Informação para segurança pode ser apresentada de várias formas, como etiquetas de aviso coladas
Projeto em Consulta Nacional
ao dispositivo médico, declarações de aviso nas instruções de uso, instruções em uma interface gráfica
de usuário ou instruções em vídeos de treinamento. Alguns exemplos são apresentados abaixo:
— Aviso: não usar amostras de soro hemolisadas. Estas podem interferir nas medições e afetar
a exatidão do resultado.
Alguns exemplos são apresentados abaixo para ilustrar os riscos residuais associados ao uso de
dispositivos médicos e os efeitos colaterais que são normalmente divulgados.
— Aceleradores lineares podem ser usados para tratar tumores. Os riscos residuais da terapia
de radiação para tumores incluem a possibilidade de eritema ou depilação.
Projeto em Consulta Nacional
— Ao ser submetido a um exame por ressonância magnética (IRM), o paciente pode permanecer
em um espaço fechado. Alguns pacientes podem experimentar episódios de claustrofobia.
— Ventilação mecânica para auxiliar ou substituir a respiração espontânea pode levar a complicações
como lesões das vias aéreas, dano alveolar ou pneumotórax.
— Depois de passar por litotripsia de cálculos renais, cerca de 10 % dos pacientes têm sangue
na urina ou sentem dor nos rins conforme passam pequenos fragmentos de pedras, enquanto
cerca de 2 % dos pacientes incorrem em infecção do trato urinário.
Ver H.5 para orientações adicionais quanto à divulgação de risco residual para dispositivos médicos
de diagnóstico in vitro.
Anexo E
(informativo)
E.1 Geral
Normas Internacionais podem ter papel significativo no gerenciamento de risco, fornecendo requisitos
para a segurança de produtos e/ou processos. O ISO/IEC Guide 63[20] fornece orientações sobre o
desenvolvimento e a inclusão de aspectos de segurança em Normas Internacionais para dispositivos
médicos. Normas Internacionais são desenvolvidas por especialistas na área e são consideradas
representantes do estado da arte geralmente reconhecido para a tecnologia.
Para dispositivos médicos que satisfazem os requisitos e os critérios de conformidade destas normas,
os riscos residuais relacionados a esses perigos e situações perigosas podem ser considerados
aceitáveis, a menos que haja evidências objetivas do contrário (por exemplo, relatórios de eventos
adversos, recalls de produtos ou queixas). Os requisitos de Normas Internacionais (como processos
analíticos ou de engenharia, limites de saída específicos, declarações de aviso ou especificações de
projeto) podem ser considerados medidas de controle de risco que são destinadas a tratar os riscos
de situações perigosas específicas.
a) Quando uma Norma Internacional de segurança do produto especifica requisitos que tratam de
perigos ou situações perigosas específicos, juntamente com critérios de aceitação específicos,
presume-se que a conformidade com esses requisitos estabeleça que os riscos residuais
foram reduzidos a níveis aceitáveis, a menos que haja evidências objetivas do contrário.
Por exemplo, a ABNT NBR IEC 60601-1[5] fornece limites de corrente de fuga sobre o que se
considera que resulta em um nível aceitável de risco, quando medidos sob condições especificadas.
Nesse exemplo, um gerenciamento de risco adicional não seria necessário. Os seguintes passos
são atendidos nesse caso.
2) Identificar os perigos e as situações perigosas que estão completamente cobertos pela Norma
Internacional de segurança do produto.
3) Para os perigos e as situações perigosas identificados que estiverem completamente cobertos
pela Norma Internacional de segurança do produto, o fabricante pode confiar nos requisitos
da Norma Internacional para demonstrar um risco aceitável.
4) O quanto for possível, convém que o fabricante garanta que as especificações de projeto do
dispositivo médico estejam em conformidade com os requisitos da norma que servem como
medidas de controle de risco.
5) A verificação da implementação das medidas de controle de risco para estas situações
perigosas é obtida a partir de uma análise crítica da documentação de projeto. A verificação
da eficácia das medidas de controle de risco é obtida a partir dos ensaios e resultados
de ensaios demonstrando que o dispositivo médico atende aos requisitos pertinentes da
Norma Internacional de segurança do produto.
b) Quando uma Norma Internacional de segurança do produto não especificar de maneira
completa os requisitos, ensaios e critérios de aceitação de ensaio associados, a situação é mais
complexa. Em alguns casos, a norma fornece ensaios específicos relacionados aos perigos ou
situações perigosas conhecidos sem critérios de aceitação de ensaio específicos (por exemplo,
a IEC 60601-2-16[8]). Em alguns outros casos, a norma apenas identifica perigos ou
situações perigosas específicos sem requisitos adicionais (por exemplo, algumas seções da
ABNT NBR IEC 60601-1[5]). A gama de alternativas é muito ampla para fornecer orientações
específicas sobre como usar tais normas no processo de gerenciamento de risco. Fabricantes
são encorajados, entretanto, a usar o conteúdo destas normas em seu gerenciamento de
risco do dispositivo médico em particular.
c) Quando um perigo ou situação perigosa identificados não forem especificamente tratados
na Norma Internacional de segurança do produto, o fabricante tem de tratar esse perigo ou
situação perigosa no processo de gerenciamento de risco. O fabricante estima e avalia o risco e,
se necessário, controla o risco.
Ver Figura E.1 para um fluxograma e um exemplo delineando o uso de Normas Internacionais de
segurança do produto.
Iden�ficar perigos/situações
Sim
E.2a)
Sim
Não há necessidade de es�mar (5.5) Ensaio realizado: equipamento posicionado sobre um plano
inclinado a um ângulo de 10° do plano horizontal.
implementar medida de controle de Resultado: dispositivo médico não se desequilibra.
risco
Iden�ficar as especificações de
projeto que alcançam os requisitos Dispositivo médico não se desequilibra, portanto o risco
da norma (7.1) residual relacionado é considerado aceitável.
A relação entre a IEC 62304 e a ABNT NBR ISO 14971 é bem descrita na Introdução da
IEC 62304:2006 e AMD1:2015[15]:
“Como fundamento básico, presume-se que o software do dispositivo médico seja desenvolvido
e mantido dentro de um sistema de gestão da qualidade (ver 4.1 da IEC 62304:2006 e
ADM1:2015[15]) e um processo de gerenciamento de risco (ver 4.2 da IEC 62304:2006 e
ADM1:2015[15]). O processo de gerenciamento de risco já é muito bem abordado pela
ABNT NBR ISO 14971. Portanto, a IEC 62304 faz uso desta vantagem simplesmente por meio
de uma referência normativa à ABNT NBR ISO 14971. Alguns requisitos adicionais menores de
gerenciamento de risco são necessários para software, especialmente na área de identificação
de fatores do software contribuintes, relacionados aos perigos. Esses requisitos são resumidos e
capturados na IEC 62304:2006, Seção 7 e AMD1:2015 [15] como o processo de gerenciamento
de risco do software.
Se o software for um fator contribuinte para uma situação perigosa, isso é determinado durante a
atividade de identificação de perigo do processo de gerenciamento de risco. Situações perigosas
que poderiam ser indiretamente causadas pelo software (por exemplo, fornecendo informações
equivocadas que possam fazer com que um tratamento inapropriado seja administrado)
precisam ser consideradas ao determinar se o software é um fator contribuinte. A decisão de usar
software para controlar o risco é feita durante a atividade de controle de risco do processo de
gerenciamento de risco. O processo de gerenciamento de risco do software requerido nesta
Norma tem que ser incorporado no processo de gerenciamento de risco do dispositivo,
de acordo com a ABNT NBR ISO 14971.”
A IEC 62304 faz uma referência normativa à ABNT NBR ISO 14971 e requer especificamente:
— 5.1 da IEC 62366-1:2015[16] requer que o fabricante prepare instruções de uso, que podem ser
uma contribuição para determinar o uso pretendido de acordo com a ABNT NBR ISO 14971;
com relação ao uso do dispositivo médico, como parte de uma análise de risco realizada
de acordo com a ABNT NBR ISO 14971; e
— 5.9 da IEC 62366-1:2015[16] requer que o fabricante realize uma avaliação somativa na
interface do usuário final do dispositivo médico como parte do gerenciamento de risco.
c) ISO 10993-1, Biological evaluation of medical devices – Part 1: Evaluation and testing within a
risk management process.
Esta abordagem combina a análise crítica e a avaliação dos dados existentes de todas as
fontes com a seleção e aplicação de ensaios adicionais (quando necessário), assim permitindo
que seja feita uma avaliação completa das respostas biológicas para cada dispositivo médico,
pertinentes à sua segurança no uso.
Convém que a avaliação biológica seja conduzida de maneira similar à usada para outros riscos
do produto, e convém incluir uma análise de risco (quais são os perigos e riscos associados?),
uma avaliação de risco (são aceitáveis?), controle de risco (como serão controlados?) e uma
avaliação do risco residual geral. Convém que a avaliação biológica leve em conta:
d) ISO 14155, Clinical investigation of medical devices for human subjects – Good clinical practice
A ISO 14155[26] trata da boa prática clínica para o projeto, condução, registro e relatório de
investigações clínicas pré-comercialização e pós-comercialização, conduzidas em indivíduos
humanos para determinar o desempenho clínico ou a eficácia e segurança de dispositivos
médicos. Isso é pertinente para a estimativa de riscos clínicos e para a determinação do equilíbrio
Projeto em Consulta Nacional
Anexo F
(informativo)
F.1 Geral
O processo de gerenciamento de risco descrito na ABNT NBR ISO 14971:2020 pode ser aplicado a
perigos e riscos associados à segurança de dados e sistemas do dispositivo médico. Riscos relacionados
à segurança da informação de dados e sistemas são especificamente mencionados no escopo da
ABNT NBR ISO 14971:2020 para impedir qualquer mal-entendido de que um processo separado seria
necessário para gerenciar riscos relacionados à segurança da informação dos dispositivos médicos.
Isso não impede a possibilidade de aplicar normas específicas, em que métodos e requisitos específicos
são fornecidos para a determinação e controle de riscos de segurança da informação.
Violações da segurança de dados e sistemas podem levar a dano, por exemplo, por meio da perda
de dados, acesso não controlado a dados, corrupção ou perda de informações de diagnóstico,
ou corrupção do software que leve ao mau funcionamento do dispositivo médico.
— Disponibilidade: propriedade de ser acessível e usável quando solicitado por uma entidade
autorizada (ver 3.5 do IEC Guide 120:2018[4]).
Projeto em Consulta Nacional
A relação entre um perigo, sequência de eventos, situação perigosa e dano com relação à segurança
da informação pode ser representada conforme mostrado na Figura F.1.
Perigo
por exemplo, perda ou degradação de confidencialidade, integridade,
disponibilidade
Exemplos de ameaças:
- Acesso não autorizado
Probabilidade de Circunstâncias - Ataque de negação de serviço distribuído (DDoS)
uma situação Sequência de eventos afetando a - Acesso remoto
perigosa ocorrer (Uma vulnerabilidade pode ser severidade - Ataque, infecção, dispersão de malware
(P1) explorada pelas ameaças.) - Encriptação e destruição por malware
Situação perigosa
Probabilidade
(P = P1 * P2)
Risco
Figura F.1 – Relação entre perigo, situação perigosa, dano e terminologia de segurança da informação
Convém que se note que a definição de segurança da informação do IEC Guide 120[4] não se
encontra no mesmo nível da definição de segurança. Segurança está relacionada ao resultado
final do gerenciamento de risco, enquanto a segurança da informação está relacionada aos efeitos
de atos ou eventos hostis sobre as características e desempenho do sistema.
ambiente, com potencial para alguma sobreposição. Por exemplo, dano a um registro eletrônico de
saúde (prejuízo à propriedade) pode resultar, adicionalmente, em diagnóstico incorreto, o que pode
levar a lesões ao paciente (dano a pessoas). Nota-se que o escopo do gerenciamento de risco de
segurança da informação é geralmente mais amplo. Diversos exemplos de perigos de segurança
da informação que podem levar a dano são apresentados na Tabela F.1.
Nota-se que a definição de segurança da informação do IEC Guide 120[4] inclui atos não intencionais,
como a liberação acidental de informações pessoais de saúde que não seja por ataque malicioso,
e que convém que os perigos de segurança da informação relacionados ao uso normal avaliados
também, como mostrar informações pessoais de saúde a pessoas não autorizadas.
A ABNT NBR ISO 14971:2020 requer a avaliação de riscos oriundos de medidas de controle de
risco. É possível que novos riscos sejam introduzidos por medidas de controle de segurança da
Projeto em Consulta Nacional
Análise de risco
segurança da informação
controle de risco
Outra medida de
segurança da
Avaliação do risco
Controle do risco
informação
Avaliação do risco
residual geral
Análise crítica do
gerenciamento de risco
Atividades de produção e
pós-mercado
mudar de “remota” para “todo tempo”, uma vez que informações de vulnerabilidade sejam publicadas
na internet.
Outro exemplo de perda de confidencialidade é uma situação em que os recursos de projeto não
sejam criptografados (dados em repouso ou em trânsito). A engenharia reversa desses recursos
poderia comprometer a operação do dispositivo médico e resultar em lesões ao paciente. A perda de
disponibilidade do dispositivo médico pode resultar em atraso do diagnóstico ou atraso do tratamento.
Especialmente para os dispositivos médicos de suporte à vida ou de salvamento à vida, a perda de
disponibilidade ou uma redução na eficácia pode ser o mais importante para a saúde das pessoas.
Esses exemplos indicam que os riscos relacionados à segurança da informação podem impactar
a saúde do paciente, dependendo do uso pretendido do dispositivo médico.
Anexo G
(informativo)
G.1 Geral
Esta orientação assume que o fabricante já tenha estabelecido um processo de gerenciamento de
risco em conformidade com a ABNT NBR ISO 14971:2020. Ela não substitui ou elimina quaisquer dos
requisitos da ABNT NBR ISO 14971:2020 para um dispositivo médico, mas recomenda uma maneira
para que o fabricante corrija deficiências que possam existir no arquivo de gerenciamento de risco.
Por várias razões, um fabricante pode não ter seguido todos os processos e requisitos descritos
na ABNT NBR ISO 14971:2020 para cada componente constituinte de um dispositivo médico,
como componentes proprietários, componentes de software, subsistemas de origem não médica ou
dispositivos médicos já disponíveis no mercado. Nesses casos, a documentação do gerenciamento de
risco do fabricante pode ser limitada e insuficiente para a finalidade de demonstrar conformidade com
a ABNT NBR ISO 14971:2020. Na maioria dos casos, entretanto, uma abundância de informações
sobre o dispositivo médico e seus componentes constituintes está disponível. Por exemplo,
informações sobre o real uso poderiam ser conseguidas por meio de uma análise crítica de dados
de pós-produção para o dispositivo médico ou para os dispositivos médicos similares no mercado.
Dados de confiabilidade e produção pertinentes e documentações relacionadas à segurança
previamente compiladas também podem estar disponíveis.
Este Anexo tem por objetivo fornecer ao fabricante orientações sobre como informações disponíveis
podem ser usadas para construir um arquivo de gerenciamento de risco inicial que possa ser mantido
no futuro.
NOTA “Dispositivo médico” inclui seus subsistemas, componentes e componentes de software de origem
médica e de origem não médica.
Ao estabelecer um plano de gerenciamento de risco, convém que seja dada particular atenção:
a) às atividades de gerenciamento de risco para as fases restantes do ciclo de vida do dispositivo
médico (especialmente manutenção, descomissionamento e descarte, quando aplicável);
c) aos requisitos para análise crítica das atividades de gerenciamento de risco de agora em diante;
d) aos critérios para a aceitabilidade do risco, com base na política do fabricante para determinar
risco aceitável, incluindo critérios para aceitação de riscos, quando a probabilidade de ocorrência
de dano puder não ser estimada;
e) aos métodos para avaliar o risco residual geral e critérios para aceitabilidade do risco residual geral;
f) às atividades de verificação, tanto para medidas de controle de risco existentes quanto para
medidas de controle de risco novas que sejam consideradas necessárias; e
NOTA 2 A documentação de projeto ou outra documentação pode incluir algumas evidências de verificação.
Tal abordagem para construir um arquivo de gerenciamento de risco pode consistir nas seguintes etapas.
1. Documentar o uso pretendido do dispositivo médico, o mau uso razoavelmente previsível e as
características relacionadas à segurança. O mau uso razoavelmente previsível pode ser derivado
das informações sobre o uso real, reunidas durante a fase de pós-produção. As questões do
Anexo A podem ser úteis para determinar as características relacionadas à segurança.
2. Identificar todas as soluções já adotadas no dispositivo médico que possam ser consideradas
medidas de controle de risco.
3. Identificar todos os perigos e situações perigosas associados ao dispositivo médico e o possível
dano que pode resultar desses.
4. Determinar se existe qualquer perigo ou situação perigosa para o qual nenhuma medida de
controle de risco tenha sido implementada. Nestes casos, convém que o fabricante estime e
avalie o risco e aplique a ABNT NBR ISO 14971:2020. Para perigos e situações perigosas para
os quais foram implementadas medidas de controle de risco, convém que o fabricante verifique
a sua eficácia e estime e avalie o risco residual. Para riscos residuais que não sejam julgados
aceitáveis usando-se os critérios para aceitabilidade de risco determinados no plano de
gerenciamento de risco, convém que o fabricante considere um maior controle de risco e aplique
a ABNT NBR ISO 14971:2020.
Projeto em Consulta Nacional
5. Documentar a rastreabilidade para cada perigo e situação perigosa identificados para as medidas
de controle de risco. A rastreabilidade pode ser documentada pelos seguintes elementos:
6. Avaliar o risco residual geral de acordo com a ABNT NBR ISO 14971:2020, Seção 8.
Os registros e outros documentos gerados durante estas etapas formam o arquivo de gerenciamento
de risco inicial.
Anexo H
(informativo)
H.1 Geral
Por todo este Anexo, “clínico” é usado como um termo geral para significar um prestador de cuidados
à saúde que atende os pacientes e solicita, interpreta e age de acordo com os resultados de exames
de IVD. Para definições de outros termos comumente usados na indústria de IVD e medicina
laboratorial, ver ISO 18113-1[34].
Pelo fato dos dispositivos médicos de IVD e do seu uso pretendido ser tão diversos, este Anexo
somente pode fornecer orientações gerais, com a intenção de fomentar o pensamento crítico,
a análise multifuncional e as tomadas de decisão esclarecidas dentro do processo de gerenciamento
de risco do fabricante. As questões e os exemplos deste Anexo são destinados a orientar aqueles
com conhecimentos científicos, de engenharia e clínicos adequados para desenvolver e executar
planos de gerenciamento de risco eficazes para os dispositivos médicos de IVD. Não se destinam
a ser pormenorizados/exaustivos, nem necessariamente a representar a melhor prática para todos
os dispositivos médicos de IVD. Convém que cada fabricante determine o que é aplicável para
os seus dispositivos médicos de IVD em particular.
Gerenciar riscos para os pacientes pode ser desafiador para os fabricantes de dispositivos médicos
de IVD. Esses riscos são indiretos, geralmente caracterizados por sequências estendidas de
eventos que envolvem “intermediários competentes”, como usuários treinados que usam dispositivos
médicos de IVD para realizar exames de IVD e clínicos que confiam nos resultados dos exames.
A ABNT NBR ISO 15189[27], que é a norma para qualidade e competência de laboratórios
médicos, requer que os laboratórios médicos controlem os riscos aos pacientes. Para dar suporte
a esse requisito, a ISO 22367[38] foi desenvolvida para descrever o processo de gerenciamento
de risco para os laboratórios médicos com base nos mesmos princípios e conceitos descritos na
ABNT NBR ISO 14971:2020. Isso promoverá a comunicação de risco eficaz entre os fabricantes
de dispositivos médicos de IVD e os laboratórios médicos.
Quando um fabricante fornece um dispositivo médico de IVD para um laboratório médico, quaisquer
Projeto em Consulta Nacional
riscos que podem não ser controlados por meio do projeto ou por medidas de proteção são transferidos
para o laboratório juntamente com as informações para segurança, para controlar esses riscos.
O fabricante também divulga quaisquer riscos residuais na documentação acompanhante, de modo
que o responsável pelo laboratório possa avaliar esses riscos e determinar a sua aceitabilidade.
Fabricantes podem fornecer informações para segurança, para informar os usuários de dispositivos
médicos de IVD, mas podem não influenciar as ações de clínicos que solicitam, recebem e agem de
acordo com os resultados de exames.
Alguns dispositivos médicos de IVD são destinados ao uso por clínicos no local de atendimento, enquanto
os dispositivos médicos de IVD de autoteste são, na verdade, usados por pacientes. Embora possam
existir cenários de risco semelhantes para esses dispositivos, a capacidade do usuário de controlar o
risco pode ser mais limitada. Portanto, é importante que os dispositivos para o local de atendimento
e os dispositivos de autoteste sejam projetados com medidas de controle de risco apropriadas para
os usuários (pretendidos) e para o ambiente de uso (pretendido) fora dos laboratórios.
A maioria dos dispositivos médicos de IVD tem dois usuários. É importante considerar:
— um clínico que recebe, interpreta e age de acordo com os resultados de exame (“uso clínico”).
No caso de dispositivos médicos de IVD destinados ao autoteste, o paciente pode ser o único usuário.
Cada análise de risco começa identificando e documentando uma descrição clara do dispositivo
médico de IVD e seu papel específico na produção do resultado do exame. Questões a serem
consideradas ao descrever o dispositivo médico de IVD incluem:
— O dispositivo é usado sozinho para produzir resultados de exame ou em combinação com outros
produtos?
— Se for usado em combinação com outros dispositivos médicos de IVD para formar um sistema,
qual é seu papel na produção do resultado de exame (por exemplo, sistema de coleta de
amostra, recipiente de amostra, instrumento de medição, software, bases de dados, reagentes,
calibradores, materiais de controle ou acessório)?
— Se for parte de um sistema, como o dispositivo médico de IVD interage com outros componentes
do sistema?
— O dispositivo emprega tecnologia nova ou inovadora (por exemplo, para medição, comunicação)?
Projeto em Consulta Nacional
O uso pretendido do dispositivo médico de IVD inclui o(s) analito(s) destinado(s) a ser(em) detectado(s)
ou medido(s); tipos de amostra aceitáveis; calibração, controle de qualidade e atividades de
manutenção preventiva; e o ambiente de uso. É importante que o mau uso razoavelmente previsível
também seja considerado (ver H.2.3.5).
Questões a serem consideradas ao identificar o uso analítico do dispositivo médico de IVD incluem:
— Quais tipos de amostra podem ser analisados (por exemplo, soro, plasma, sangue, urina, outros
fluidos corporais, tecidos)?
— Há quaisquer limitações adicionais para o uso em ambientes de uso específicos (por exemplo,
laboratórios médicos, sala de emergência, sala de operação, ambulância, unidade de terapia
intensiva, unidade de cuidados neonatais, casa de repouso, consultório médico, clínicas de
triagem ou casa do paciente)?
— Quem usará o dispositivo médico de IVD para realizar exames, e qual treinamento e qualificações
seriam apropriados?
O uso clínico pretendido do dispositivo médico de IVD (chamada de indicações de uso em algumas
jurisdições) inclui as condições médicas e populações de paciente para as quais os resultados de
exames são usados. Fabricantes podem se apoiar em especialistas clínicos internos e externos
para compreender o seguinte:
Projeto em Consulta Nacional
— se os clínicos podem reconhecer resultados incorretos (por exemplo, com base na magnitude
de erro ou na consistência com outras informações clínicas);
— Para qual lesão, doença ou condição os resultados serão usados para detectar, diagnosticar,
prever ou monitorar?
— Quem usará os resultados do exame IVD: especialistas médicos, clínicos em geral ou pacientes?
— O papel dos resultados de exame nas decisões médicas é para ser usado:
a) Exames quantitativos medem uma quantidade em uma amostra representativa de um paciente.
Os resultados são normalmente expressos como uma concentração ou porcentagem.
O desempenho analítico requerido depende da aplicação médica, mas resultados falso alto,
falso normal ou falso baixo podem afetar potencialmente um diagnóstico, causar terapia
inapropriada ou atrasada, e levar a dano ao paciente. O tipo e a severidade de dano podem
depender da magnitude de erro em pontos de decisão médica.
— limite de detecção (quantidade mais baixa que possa ser confiavelmente detectada);
— limite de quantificação (quantidade mais baixa que possa ser medida com exatidão); e
— intervalo de medição (faixa de valores sobre a qual o desempenho analítico foi validado).
b) Exames semiquantitativos fornecem uma aproximação clinicamente útil da quantidade sendo
medida. Valores são comumente atribuídos com base em uma escala ordinal ou são reportados
como um limite de quantidade, e podem ser expressos numericamente (por exemplo, dentro de
uma faixa de valores especificada, ou maior ou menor que uma quantidade específica, título ou
diluição em série) ou relativamente (por exemplo, como +3, +2, +1 ou quantidade de traços).
Exemplos comuns de exames semiquantitativos são “varetas” de urina, tabletes que detectam
a presença de cetonas e procedimentos de aglutinação sorológica.
— limite de detecção (quantidade mais baixa que possa ser confiavelmente detectada); e
Projeto em Consulta Nacional
Quando clínicos dependem de resultados de exames de IVD para decisões médicas de urgência,
como em setores de emergência ou de cuidado intensivo, resultados sem demora podem ser tão
importantes quanto resultados com exatidão. A falha em produzir um resultado, quando necessário,
pode atrasar uma intervenção médica necessária.
— confiabilidade do sistema (tempo médio entre falhas, tempo médio para falha);
— detalhes do paciente (idade, gênero, população, fatores genéticos, medicações, estado nutricional);
Características da tecnologia de informação digital que podem afetar a segurança do paciente incluem:
Do ponto de vista do paciente, um resultado de exame de IVD seria considerado um perigo, se pudesse
levar à (1) intervenção médica inapropriada que possa resultar em dano, ou à (2) falta de intervenção
médica necessária para impedir que se sofra dano. Os seguintes perigos gerais poderiam causar
ou contribuir para decisões médicas potencialmente danosas. Convém que os perigos específicos
sejam identificados em termos de magnitude e direção do erro, extensão do atraso, ou informações
auxiliares que estejam incorretas ou faltando.
Adicionalmente à identificação de perigos para o dispositivo médico de IVD em si, convém que a
identificação de perigos relacionados à conectividade seja avaliada. O uso elevado de dispositivos
médicos de IVD conectados a outros dispositivos ou sistemas, seja diretamente ou por meio de rede
de computadores, tecnologia sem fio ou pela internet, criou novos desafios para a sua operação
segura. A necessidade de garantir a eficaz funcionalidade e segurança de um dispositivo médico de
IVD se tornou mais importante com o crescente uso de dispositivos conectados, e com o frequente
intercâmbio eletrônico de informações de saúde produzidas por dispositivos médicos de IVD. Convém
que a identificação de falhas que possam causar os perigos descritos abaixo, devido à conectividade,
seja desempenhada como parte do processo de gerenciamento de risco para o dispositivo médico de IVD.
Algumas decisões médicas podem ser influenciadas pela magnitude do resultado do exame,
Projeto em Consulta Nacional
Para procedimentos de exames qualitativos, nos quais apenas um resultado positivo ou negativo
seja fornecido (por exemplo, exames de HIV e de gravidez), resultados de exame podem ser
corretos, incorretos ou indeterminados.
Um resultado de exame ou suas informações auxiliares são considerados atrasados caso sejam
necessários para uma decisão médica e o clínico não os receba a tempo para dar suporte a
uma decisão crítica de terapia ou intervenção. Critérios podem ser estabelecidos para determinar
o que constitui um atraso clinicamente significativo para a aplicação médica (por exemplo,
situação de cuidados urgentes).
Dispositivos médicos de IVD que falham durante o uso podem levar a um ou mais dos perigos
gerais especificados em H.2.3.1. Condições de falha que potencialmente resultem em perigos
podem incluir o seguinte:
— inconsistência dentro do lote, ou entre um lote e outro (por exemplo, reagentes, calibradores,
controles);
— designação de valor não rastreável (por exemplo, calibradores, materiais de proficiência, controles
ensaiados);
Quando o dispositivo médico de IVD for usado com aplicações de software digital, falhas que levem
a um atraso nos resultados incluem:
Perigos que potencialmente ocorrem no uso normal podem incluir resultados não exatos devido ao
seguinte:
— influência de substâncias interferentes na amostra (por exemplo, anticorpos com reação cruzada,
certos medicamentos ou metabólitos bioquímicos, ou materiais de preparação de amostra);
Erros de uso podem causar um ou mais dos perigos gerais descritos em H.2.3.1. Processos
laboratoriais não rotineiros podem estar especialmente propensos a erros de uso. Erros de uso
razoavelmente previsíveis (ou seja, que resultem de comportamento humano prontamente previsível)
podem ser identificados e potencialmente prevenidos por meio de um processo de engenharia de
usabilidade durante o projeto e desenvolvimento do dispositivo médico de IVD. Ver IEC 62366-1[16]
para informações e orientações.
Erros de uso que potencialmente resultem em perigos de IVD no laboratório médico ou no local de
atendimento podem incluir o seguinte:
— realizar operações fora de sequência, incluindo processo de pré-exame e pós-exame (por exemplo,
instruções sem clareza, interface de usuário confusa); e
— erros de entrada de dados (por exemplo, nome do paciente, número de identificação, data de
nascimento ou idade, gênero etc.).
— aplicar volume insuficiente de amostra (por exemplo, muito pouco para uma medição com
exatidão); e
— inserir o módulo reagente de modo impróprio (por exemplo, antes do dispositivo estar pronto para a leitura).
— uso de um dispositivo médico de IVD antes de ler o manual de instruções ou completar o treinamento;
— coletar um tipo de amostra inapropriada (por exemplo, soro quando é especificado plasma
citratado);
— usar um dispositivo médico de IVD de autoteste no setor de cuidados críticos (por exemplo,
Projeto em Consulta Nacional
— armazenar materiais em condições incorretas (por exemplo, temperatura ambiente quando for
especificada a refrigeração);
— desabilitar, sobrescrever ou falhar em habilitar recursos de segurança (por exemplo, para reduzir
o distúrbio aos usuários);
Mau uso razoavelmente previsível por pacientes realizando o autoteste podem incluir o seguinte:
— dividir ou reusar tiras reagentes de ensaio (por exemplo, para reduzir custos);
— retirar amostras de um lugar alternativo (por exemplo, outro que não seja a ponta do dedo,
devido à dor);
— falhar na limpeza e desinfecção do local da punção venosa (por exemplo, potencial para
contaminação/infecção); e
A ABNT NBR ISO 14971:2020 requer que fabricantes estimem os riscos associados a cada situação
perigosa identificada, com base na probabilidade de ocorrência e na severidade de um possível
dano. Isso requer que o fabricante identifique os potenciais danos (por exemplo, lesões) a pacientes
com especificidade suficiente para atribuir valores de severidade apropriados.
Para alguns exames, uma única situação perigosa pode resultar em diversos danos diferentes,
representando uma faixa de severidade. Convém que os fabricantes determinem quais danos incluir
na análise de risco para garantir um alto grau de proteção da saúde e segurança, e documentem a
justificativa. Convém que todos os danos julgados como razoavelmente possíveis de ocorrer sejam
incluídos. Outros danos podem ser adicionados à análise de risco, se informações de produção
ou pós-produção mostrarem que eles foram experimentados.
Projeto em Consulta Nacional
NOTA Identificar potenciais danos para análise de risco e determinar suas severidades e probabilidade
de ocorrência requer uma compreensão do uso clínico dos resultados de exames IVD. Por esta razão,
a participação de especialistas médicos qualificados na análise de risco é essencial.
— O uso pretendido é um determinante maior da terapia para uma condição médica grave? Se sim,
quais danos podem ocorrer a partir de um diagnóstico equivocado ou terapia inapropriada?
— O uso pretendido é detectar e diagnosticar uma condição inerente (por exemplo, anemia
falciforme, portador de hemoglobinopatia, predisposição à doença de Alzheimer, risco elevado
de câncer de mama etc.)? Se sim, um resultado falso negativo poderia permitir a progressão
de uma doença que seria, de outra forma, evitável ou tratável? Um resultado falso positivo
poderia levar à intervenção médica desnecessária e potencial dano?
— O uso pretendido é monitorar uma função corporal crítica? Se sim, quais danos podem ocorrer
a partir de um resultado incorreto ou de um atraso significativo ao receber o resultado?
— Se a intervenção médica tivesse ocorrido, o resultado final seria irreversível (por exemplo,
ressecção cirúrgica, aborto), ou o resultado final seria reversível (com ou sem intervenções
médicas adicionais)?
— O dispositivo médico de IVD requer conexão a uma rede ou à internet, onde a modificação
ou o roubo dos dados de um paciente pode ocorrer (por exemplo, segurança da informação
inadequada)?
A ABNT NBR ISO 14971:2020 requer que fabricantes compilem um conjunto abrangente de situações
perigosas para a análise de risco, mas permite que os fabricantes determinem o que constitui uma
situação perigosa para o propósito da análise de risco (ver Anexo C.4 da ABNT NBR ISO 14971:2020
para orientações gerais). Uma abordagem é analisar criticamente a sequência de eventos.
Ver H.2.6 para identificar um evento ou condição que (1) exponha o paciente ao perigo, (2) esteja
além de qualquer meio razoável de controle pelo fabricante do usuário do dispositivo e (3) permita
que o fabricante desempenhe uma análise de risco objetiva.
Exemplos de situações perigosas para dispositivos médicos de IVD podem incluir eventos como:
Projeto em Consulta Nacional
— reportar informações incorretas com o resultado de um paciente (por exemplo, devido à falha
de rede).
As seguintes questões podem ser úteis para analisar situações perigosas relacionadas aos resultados
finais incorretos:
— Esta é uma condição em que o assunto de exame de IVD é tal que um resultado falso negativo
ou falso positivo ainda pareceria “crível”, dado o contexto provável de outros indicadores de
diagnóstico e, portanto, não passaria por confirmação adicional antes de decidir um curso
de ação/inação clínica?
Embora laboratórios médicos operem com procedimentos de controle projetados para detectar erros,
convém que o fabricante considere a sua eficácia em detectar modos de falha específicos. Falhas
aleatórias esporádicas são especialmente difíceis para um laboratório detectar. Clínicos experientes
sabem disso e questionam quaisquer resultados que sejam inconsistentes com outras informações
disponíveis ou com sua impressão clínica. Se o resultado incorreto for plausível, entretanto, e se
este influenciar o diagnóstico ou decisão de terapia, isso poderia levar à terapia inapropriada
ou atrasada, e potencialmente a dano ao paciente.
O mau funcionamento de dispositivos médicos de IVD pode gerar situações perigosas, se causarem
um atraso significativo na disponibilidade dos resultados dos exames necessários para decisões
médicas críticas. Uma falha do dispositivo pode ser um fator contribuinte, embora o usuário possua a
responsabilidade primária de possuir uma amostra de retaguarda e um plano de recuperação. Atrasos
clinicamente significativos são mais prováveis de ocorrer no local de atendimento ou em laboratórios
que apoiam o atendimento de emergência do que em um laboratório que realiza exames de rotina.
Projeto em Consulta Nacional
Cenários de risco para dispositivos médicos de IVD comumente envolvem sequências mais longas
de eventos do que para outros dispositivos médicos. Eles incluem atividades que não estão sob o
controle direto do fabricante, como os desempenhados pelos usuários do dispositivo (por exemplo,
o usuário do laboratório médico ou do local de atendimento) e decisões médicas e ações por parte
dos clínicos que solicitaram os resultados de exames.
Convém que a descrição inicie com o evento inicializador (comumente a causa do perigo sendo
analisado) e que os eventos diretamente sob controle do fabricante progridam de maneira lógica
pelas decisões e ações previsíveis dos usuários do dispositivo, e terminem com as decisões e ações
clínicas que levam a cada um dos danos identificados como consequências previsíveis.
Convém que a descrição seja tão detalhada quanto for necessário para capturar os principais
eventos inicializadores e contribuintes, mas não tão detalhada a ponto de eventos menores sem
consequências dificultarem a análise. Fabricantes podem escolher dividir sequências complexas de
eventos em segmentos mais curtos, de modo que a análise possa ser desempenhada por indivíduos
com a experiência requerida. Esta abordagem é discutida em H.2.7.2. Um diagrama (por exemplo,
fluxograma, árvore de eventos) pode ser útil para documentar e comunicar sequências complexas
de eventos.
O evento inicializador na sequência que leva a uma situação perigosa pode ocorrer como uma
falha do sistema de gestão da qualidade do fabricante. Uma condição de falha ou potencial
para erro de uso pode ser causada por atividades sob o controle direto de um fabricante, como:
— projeto e desenvolvimento;
— rotulagem do dispositivo;
— manutenção de equipamentos; e
Erros de uso e falhas do dispositivo podem ocorrer durante a operação do dispositivo no laboratório
ou no local de atendimento. As atividades para prevenir ou detectar perigos e as ações tomadas
em resposta pelo usuário estão sob o controle direto do laboratório ou das instalações do local de
atendimento. Esses usuários do dispositivo incorporam as medidas de proteção e informações
para segurança fornecidas pelo fabricante em seu próprio processo de gerenciamento de risco.
Os usuários de dispositivos médicos de IVD também podem causar ou contribuir para riscos
aos pacientes por meio do mau uso (ver H.2.3.5), incluindo falha em manter procedimentos de
garantia da qualidade adequados, planos de contingência e de recuperação, ou proteção de
segurança da informação. Decisões sobre reportar ou não reportar um resultado de exame a
um clínico estão completamente sob controle do laboratório médico ou de outros usuários do
dispositivo médico de IVD. Convém que as capacidades dos usuários pretendidos e os ambientes
Projeto em Consulta Nacional
de uso sejam considerados ao analisar a sequência de eventos sob controle dos usuários
do dispositivo médico de IVD.
Os eventos sob controle do clínico normalmente iniciam com recebimento e análise crítica
do resultado do exame e com uma decisão quanto à aceitação do resultado como válido.
Erros maiores são mais prováveis de serem questionados e rejeitados (por exemplo, resultados
contrariados por outras informações de diagnóstico, resultados anormais incompatíveis
com a vida), mas resultados plausíveis são prováveis de serem aceitos como válidos e
potencialmente usados para decisões médicas.
de eventos identificados para análise de risco reflita o uso do dispositivo médico de IVD no
ambiente real de uso.
Convém que a análise de risco considere qualquer uso clínico razoavelmente previsível.
Uso clínico contraindicado ou não abordado explicitamente na documentação acompanhante
poderia ser considerado um mau uso razoavelmente previsível para as finalidades de
gerenciamento de risco. Convém notar que a documentação acompanhante redigida para
os usuários do dispositivo médico de IVD no laboratório nem sempre alcança os clínicos que
solicitam e agem com base nos resultados de exame.
Convém que a análise de risco considere toda a sequência de eventos, conforme descrito em
H.2.6.2. A probabilidade de um paciente sofrer danos é a probabilidade combinada de cada evento na
sequência de eventos associados a um perigo em particular e ao potencial dano. A abordagem usada
para estimar a probabilidade de ocorrência de dano pode depender da complexidade da sequência
de eventos. Uma consideração importante é garantir que a análise possa ser realizada por indivíduos
com o conhecimento e experiência adequados no que diz respeito ao dispositivo médico de IVD
sendo analisado, incluindo o seu uso clínico e analítico e as tecnologias envolvidas. O fabricante
pode analisar toda a sequência de eventos como um todo ou dividi-la em segmentos, com base
em qual abordagem for mais adequada para uma análise de risco objetiva. Exemplos de aplicação
de diferentes abordagens de análise de risco a cenários de dispositivo médico de IVD comuns são
apresentados em H.7.
Para dispositivos médicos de IVD envolvendo sequências de eventos curtas, como dispositivos com
autoteste ou do local de atendimento, a análise de risco pode ser relativamente direta. Uma equipe
multifuncional de especialistas pode ser reunida para desenvolver estimativas da probabilidade de
ocorrência de dano para cada situação perigosa identificada, com base em seu juízo de especialista,
suplementado por informações analíticas e clínicas disponíveis (por exemplo, estudos pré-
comercialização, experiência com produtos semelhantes, informações pertinentes de pós-produção).
Convém que a equipe multiprofissional inclua especialistas familiarizados com o projeto, fabricação,
uso e manutenção do dispositivo, com o ambiente de uso (por exemplo, laboratório médico, local de
atendimento, casa do paciente) e uso clínico dos resultados de exames. Para dispositivos que contêm
software, projetados para se comunicarem com outros dispositivos e/ou rede, convém que a equipe
também inclua a experiência em conectividade e a segurança da informação.
pode tornar mais eficiente o uso de recursos de especialistas por aplicar seu conhecimento e
experiência especializados à análise de sequências de eventos pertinentes. Isso se chama
abordagem “P1 × P2”, a qual é explicada com mais detalhes na próxima subseção.
A abordagem ilustrada na Figura C.1 da ABNT NBR ISO 14971:2020 pode ser útil para cenários
complexos de risco com sequências de eventos estendidas. Por exemplo, eventos oriundos de
um resultado incorreto podem se estender além do laboratório médico às decisões e ações de um
clínico, os quais estão amplamente além de quaisquer meios razoáveis de controle de risco por parte
do laboratório ou do fabricante. A probabilidade de que uma situação perigosa ocorreria (P1) e a
probabilidade de que o dano resultaria desta situação perigosa (P2) são estimadas separadamente
por especialistas apropriados. A probabilidade P1 está relacionada à análise no laboratório usando
o dispositivo médico de IVD e produzindo o resultado, e a probabilidade P2 está relacionada ao uso
do resultado pelo clínico e às decisões e ações com base nesse resultado. Estas probabilidades
são combinadas para obter a probabilidade total de ocorrência de dano (P = P1 × P2).
Para um dispositivo médico de IVD destinado ao uso em laboratório médico, a sequência de eventos
pode ser dividida em segmentos analíticos e clínicos, com a situação perigosa determinada como
um resultado incorreto reportado a um clínico, um atraso clinicamente significativo ao reportar um
resultado ou falha em reportar um resultado de exame importante. A probabilidade de cada segmento
pode ser estimada separadamente como a seguir:
Convém que os indivíduos atribuídos para estimar a probabilidade P1 estejam familiarizados com
o projeto, fabricação, uso e manutenção do dispositivo médico de IVD, bem como possuam uma
compreensão adequada do ambiente de uso (por exemplo, laboratório médico, local de atendimento,
casa do paciente). O conhecimento de especialista das aplicações médicas geralmente não é
Projeto em Consulta Nacional
11a) Hipoglicemia
11b) Coma
11c) Óbito
Convém que os indivíduos atribuídos para estimar P2 estejam familiarizados com o uso médico dos
resultados de IVD. A probabilidade P2 pode ser estimada usando-se o julgamento e a experiência de
especialista clínicos com exames de IVD similares, informados por dados de evento adverso, literatura
médica e informações da pós-produção. A compreensão detalhada do desempenho do dispositivo
médico de IVD ou de como os resultados foram gerados e reportados geralmente não é necessária
para estimar P2.
As questões da Tabela H.1 são destinadas a estimular a análise sistemática da sequência de eventos
e a orientar o desenvolvimento de estimativas de probabilidade adequadas. Convém que as questões
sejam adaptadas, conforme apropriado, para o tipo de dispositivo médico de IVD, do uso pretendido
específico e da abordagem de estimativa de risco usada.
Projeto em Consulta Nacional
Tabela H.1 – Questões para ajudar a estimar a probabilidade de ocorrência de dano (continua)
Qual é a Pontos a considerar
probabilidade de ...
1. ... o evento — Quão eficazes são as medidas de prevenção/detecção?
desencadeador — A probabilidade pode ser estimada? Se não, configurar a probabilidade = 100 %.
ocorrer (ou seja, uma
— A frequência dependeria do ambiente de uso? Tratar do pior caso possível.
falha do dispositivo
ou erro de uso)? — Falhas específicas, modos de falha e/ou erros de uso podem ocorrer em uma
combinação razoavelmente previsível para causar um perigo?
2. ... um resultado — Quão eficazes são as medidas destinadas a garantir resultados com exatidão
incorreto ser ou a detectar uma alteração inaceitável no desempenho analítico?
gerado por falha do — Procedimentos de controle de qualidade convencionais fariam com que
dispositivo médico de resultados de exames incorretos fossem rejeitados?
IVD ou erro de uso?
— Qual é a influência do ambiente de uso (por exemplo, laboratório médico, local de
atendimento, casa do paciente)? Analisar diferentes ambientes de uso separadamente.
— O dispositivo solicitaria que o usuário corrigisse o problema (por exemplo,
“sem sangue suficiente”) em tempo de obter um resultado de exame válido
para repetir?
3. ... o resultado — Resultados anormais para o exame são analisados criticamente perante limites
incorreto ou de valor crítico, ou são de outro modo verificados antes de serem reportados
informações ao clínico?
auxiliares incorretas — Resultados raros ou inesperados são automaticamente confirmados antes de
serem reportadas ao serem reportados (por exemplo, programas de triagem de recém-nascidos)?
clínico?
4. ... um atraso — O resultado é crítico para um diagnóstico sem demora ou decisão terapêutica?
clinicamente — Quanto atraso criaria uma situação perigosa?
significativo em
— O tempo necessário para resolver um mau funcionamento ou uma situação
reportar o resultado
fora de controle causaria um atraso clinicamente inaceitável?
de exame (ou
informações — Um procedimento de backup para garantir a disponibilidade oportuna de
auxiliares do resultados seria uma expectativa de prática laboratorial/médica padrão?
paciente) ocorrer? — Um segundo exame poderia ser realizado e o resultado poderia ser reportado
dentro do tempo requerido para um resultado crítico?
Uma vez que as decisões e ações dos clínicos estão muito além de qualquer meio razoável de controle
de risco pelo fabricante, convém que atividades de controle de risco foquem em reduzir a probabilidade
de eventos sob o controle do fabricante. Isso inclui o fornecimento de informação para segurança e a
verificação da eficácia da informação para segurança para os usuários no laboratório. Se o fabricante
usar a abordagem P1 x P2, isto significa que as medidas de controle de risco são direcionadas para
reduzir a probabilidade P1.
Riscos para pacientes são geralmente reduzidos baixando a probabilidade de que resultados
incorretos sejam reportados ou de que ocorram atrasos clinicamente significativos (por exemplo,
garantindo que as características de desempenho atendam aos requisitos médicos). Para medições
quantitativas de analitos como glicose sanguínea, eletrólitos, enzimas e drogas terapêuticas, limitar
Projeto em Consulta Nacional
Exemplos de recursos de projeto que controlam a exatidão e confiabilidade dos resultados de exame
incluem o seguinte:
— discriminação entre amostras positivas e negativas (por exemplo, valor de corte robusto);
— eliminação de etapas processuais propensas a erros (por exemplo, automação, medidas à prova
de erros);
Exemplos de detecção de recursos do i ou kit reagente destinados a impedir condições que possam
causar resultados incorretos ou atrasados incluem:
— sensores de nível líquido para garantir volume de amostra suficiente (por exemplo, detectar
“amostra insuficiente”);
— controles para detectar e remover artefatos de amostra (por exemplo, espuma ou coágulos de fibrina);
— controles embutidos para verificar o calibrador correto ou os lotes reagentes (por exemplo, leitores
de código de barras);
Projeto em Consulta Nacional
— software que identifique resultados questionáveis para o ensaio de reflexo, análise crítica ou supressão;
NOTA Recomendações para métodos de detecção a serem implementados pelo usuário, como ensaio de
controle de qualidade, exames confirmatórios ou notificações de valor crítico, são consideradas informação
para segurança, e não medidas de proteção.
Informação para segurança é fornecida para os usuários de dispositivos médicos de IVD, para
impedir a ocorrência de um perigo ou de uma situação perigosa. Isso pode ser uma medida de
controle de risco eficaz, se (1) esta informação instruir os usuários quanto às ações a serem tomadas
ou evitadas, (2) os usuários destinados forem capazes de seguir as instruções e (3) puder ser
razoavelmente esperado que eles seguirão estas instruções. Convém que as consequências
adversas de ignorar a informação para segurança sejam claras.
A informação para segurança pode ser usada no processo de gerenciamento de risco do laboratório
médico ou por outros usuários indicados . Exemplos de informação para segurança que permite que
usuários controlem riscos incluem advertências, instruções e outras informações que tratem de:
— utilitários e instalações em que o dispositivo médico de IVD será instalado (por exemplo, ambiente
de uso);
NOTA A informação para segurança pode estar sujeita a regulamentações ou Normas Internacionais,
como a ISO 18113 (all parts)[34].
Poucas Normas Internacionais de produtos definem o estado da arte geralmente reconhecido para
dispositivos médicos de IVD. A ISO 15197[28] (dispositivos de automonitoramento para glicose no
sangue) e a ISO 17593[32] (dispositivos de automonitoramento para terapia anticoagulante oral)
são alguns exemplos. Entretanto, algumas Normas Internacionais para dispositivos médicos de
IVD tratam certos aspectos de segurança inerentes, os quais podem fornecer evidências de que os
riscos oriundos de situações perigosas específicas foram reduzidos ao estado da arte.
Outros exemplos de normas de IVD com potencial relevância para o controle de risco incluem as
ISO 17822-1[33] (sistemas de detecção baseados em ácido nucleico), ISO 20776[36] (suscetibilidade
antimicrobiana), ISO 20916[37] (estudos de desempenho clínico), ISO 23640[40] (estabilidade de
reagentes de IVD), IEC 61010-2-101[11] (segurança de equipamentos de IVD), IEC 61326-2-6[13]
(compatibilidade eletromagnética de equipamentos de IVD) e IEC 80001-1[19] (dispositivos médicos
conectados em rede).
Critérios de desempenho vastamente reconhecidos para certos analitos podem ser encontrados em
publicações da Organização Mundial da Saúde (OMS), bem como em publicações de agências de
saúde pública internacionais e nacionais, organizações de normas, sociedades médicas profissionais
e autoridades regulamentadoras.
O fabricante é responsável por justificar em que extensão tais normas e critérios de desempenho se
aplicam ao seu dispositivo médico de IVD em particular e ao seu uso pretendido, e como requerido
pela ABNT NBR ISO 14971:2020, por verificar se todas as situações perigosas pertinentes foram
consideradas.
Para interfaces de usuário complexas, procedimentos de exame difíceis ou aplicações clínicas críticas,
informação para segurança pode tomar a forma de programas de treinamento e educação oferecidos
pelo fabricante, para ajudar a evitar erros de uso. Materiais de treinamento adequados para uso em
programas contínuos de educação também podem ser fornecidos.
Projeto em Consulta Nacional
Por exemplo, a norma de produto para sistemas de monitoramento anticoagulação oral (ISO 17593[32])
requer que o fabricante forneça um programa de treinamento validado para clínicos e um programa
de educação para pacientes e outros usuários desses dispositivos. Os especialistas que desenvolveram
a Norma Internacional consideraram estas medidas de controle de risco necessárias para garantir
que os riscos de uso no ambiente doméstico sejam aceitáveis.
Ao determinar o grau de redução de risco atribuível à informação para segurança, considerar o seguinte:
— práticas de controle de qualidade e garantia de qualidade não são uniformes ao redor do mundo; e
Se não for possível descrever os benefícios de um dispositivo médico de IVD diretamente, desfechos
substitutos podem ser estabelecidos. Exemplos incluem a capacidade de um dispositivo médico de
IVD identificar uma doença específica, fornecer diagnóstico em diferentes estágios de uma doença,
prever o futuro início da doença e/ou identificar pacientes suscetíveis a reagir a uma dada terapia.
O Anexo D explica que o objetivo de divulgar os riscos residuais é fornecer informações ao usuário
do dispositivo e potencialmente ao clínico e ao paciente, para que possam ponderar os riscos de
se usar o dispositivo médico de IVD frente aos benefícios e tomar decisões esclarecidas sobre a
aceitabilidade do risco. Convém que o fabricante leve em conta as informações necessárias para que
laboratórios médicos e clínicos avaliem os riscos residuais inerentes e determinem a necessidade
de medidas de redução de risco adicionais.
A divulgação de riscos residuais para dispositivos médicos de IVD pode tomar diferentes formas,
incluindo informações fornecidas na documentação acompanhante sobre as especificações de
desempenho (“alegações”), limitações do dispositivo médico de IVD ou procedimento de exame e/ou
potenciais causas de perigos e situações perigosas que podem não ser eliminadas pelo fabricante.
A divulgação de riscos residuais é adicional às medidas de controle de risco fornecidas aos usuários
como informação para segurança.
NOTA A divulgação de riscos residuais na documentação acompanhante também pode ser prescrita por
regulamentações nacionais ou Normas Internacionais, como a ISO 18113 (all parts)[34].
— verificar se o dispositivo médico de IVD está desempenhando conforme destinado pelo fabricante;
A ISO 18113-1[34] requer que as limitações analíticas e clínicas do dispositivo médico de IVD
sejam divulgadas na documentação acompanhante. As limitações descrevem situações nas quais
o dispositivo médico de IVD pode não se desempenhar como pretendido e podem, portanto,
ser um meio de divulgar riscos residuais, como:
— substâncias interferentes não detectáveis pelo usuário (por exemplo, drogas, metabólitos biológicos);
— valores fora do intervalo de medição (em que as características de desempenho não estejam validadas);
— tipos de amostras primárias que não tenham sido validados para o uso pretendido; e
— circunstâncias e fatores que possam afetar resultados de exames, mas que não tenham sido estudados.
— A compreensão de que a falha em seguir pode resultar em perigos e situações perigosas tem que
estar implícita em avisos, instruções e outras informações para segurança. Não se espera que
os fabricantes mencionem especificamente todas estas violações como riscos residuais. A falha
em seguir um aviso ou instrução explícita é considerado mau uso (ver H.2.3.5).
Fontes internas de dados de desempenho podem incluir dados de produção coletados rotineiramente
durante os testes de liberação do produto, atividades de designação de valor, processos de
monitoramento de estabilidade e investigações de falha do produto.
Laboratórios médicos, geralmente, não possuem uma forma de identificar se um resultado reportado
estava incorreto e se poderia ter levado a uma decisão ou intervenção médica inapropriada, ou a
uma lesão, a menos que recebam uma queixa por parte do clínico. Por esta razão, convém que
a severidade de qualquer dano reportado e a sua frequência sejam cuidadosamente monitoradas
como parte das atividades de pós-produção.
Além do monitoramento de realimentação de clientes sobre incidentes clínicos, convém que o fabricante
investigue mais fontes para aprender sobre perigos ou situações perigosas novos e emergentes que
estejam ocorrendo com produtos similares. Estas fontes podem incluir bases de dados de evento
adverso e de recall mantidos por autoridades regulamentadoras, bem como relatórios de institutos
de segurança pública, associações de laboratórios médicos nacionais e literatura médica.
Projeto em Consulta Nacional
H.7.1 Geral
Os seguintes exemplos genéricos ilustram diferentes abordagens de análise de risco para situações
perigosas criadas por tipos comuns de dispositivos médicos de IVD. Esses exemplos não têm a pretensão
de representar a única abordagem recomendada e podem não ser apropriados para todos esses
dispositivos ou uso pretendido. Fabricantes de dispositivos médicos de IVD têm a responsabilidade
de decidir a abordagem de análise de risco apropriada para usar com seus dispositivos. Convém que
o plano de gerenciamento de risco documente a abordagem a ser usada por todo o seu ciclo de vida,
juntamente com a justificativa para sua seleção.
Nesse cenário, um paciente está sendo diagnosticado por um clínico que solicita um exame de IVD do
laboratório médico central. Se o resultado gerado pelo dispositivo médico de IVD estiver incorreto e for
reportado ao clínico, uma sequência de eventos levando ao dano poderia ocorrer da seguinte forma:
a) um evento desencadeador ocorre (por exemplo, uma falha do dispositivo ou erro de uso);
b) o dispositivo médico de IVD produz um resultado de exame clinicamente incorreto (ou seja, um perigo);
c) o usuário do dispositivo falha em detectar o resultado incorreto (ou sua causa);
d) o usuário do dispositivo reporta o resultado incorreto ao clínico (ou seja, uma situação perigosa);
h) opaciente é lesado pela intervenção/não intervenção do clínico (ou seja, experimenta o dano).
Esta definição da situação perigosa permite que a análise de risco seja dividida nos segmentos analítico
e clínico, separados pela situação perigosa. Cada segmento pode ser analisado e documentado
separadamente por equipes multifuncionais de especialistas apropriados, que podem se focar nos
eventos pertinentes às suas especialidades. Os resultados das duas análises podem ser combinados
para obter a probabilidade total de dano.
Esta abordagem faz uso eficaz dos especialistas técnicos e médicos. Também permite a criação de
relatórios de análise de risco clínico para o arquivo de gerenciamento de risco, que pode ser usado
para prover suporte a atualizações à análise de risco no caso de alterações de projeto, bem como para
determinar a severidade e a probabilidade de ocorrência de dano de quaisquer situações perigosas
encontradas durante o monitoramento da pós-produção.
Projeto em Consulta Nacional
Nesse cenário, um paciente diagnosticado com Diabetes Mellitus Tipo 2 monitora regularmente a
sua concentração de glicose no sangue e autoadministra uma medicação antiglicêmica quando
os resultados indicarem hiperglicemia. Embora o paciente estivesse realmente hipoglicêmico,
o dispositivo médico de IVD deu, incorretamente, um resultado elevado e a medicação antiglicêmica
fez com que o paciente ficasse ainda mais hipoglicêmico. Uma sequência de eventos levando
ao dano poderia ocorrer como a seguir:
a) um evento desencadeador ocorre (por exemplo, uma falha do dispositivo ou erro de uso);
b) o dispositivo médico de IVD produz um resultado de glicose clinicamente incorreto (ou seja, um perigo);
d) o resultado incorreto induz o paciente a uma decisão terapêutica inapropriada (ou seja, uma
situação perigosa);
Nesse caso, não há qualquer vantagem prática em segmentar a sequência de eventos. Toda a análise
de risco pode ser desempenhada eficazmente por uma única equipe multifuncional de especialistas
técnicos e médicos apropriados.
H.7.4 Dispositivo médico de IVD portátil para o local de atendimento: resultado crítico
atrasado
Neste cenário, um paciente com suspeita de lesões internas está sendo tratado em uma instalação
de cuidados urgentes, que realiza um exame de IVD para avaliar potenciais danos a um órgão.
Embora o usuário tenha seguido as instruções de uso, o dispositivo médico de IVD exibiu uma
mensagem de erro e o resultado do exame não estava disponível quando o clínico precisou decidir
se realizaria ou não um procedimento de emergência. Uma sequência de eventos levando ao dano
poderia ocorrer como a seguir:
a) um evento desencadeador ocorre (por exemplo, uma falha do dispositivo ou erro de uso);
b) o dispositivo médico de IVD falha em produzir um resultado de exame clinicamente necessário
(ou seja, um perigo);
c) o usuário do dispositivo pode não repetir o exame dentro do intervalo requerido;
d) o resultado não está disponível ao clínico para dar suporte à decisão de intervenção (ou seja,
uma situação perigosa);
g) o paciente é lesado pela ação/inação do clínico (ou seja, experimenta o dano).
Bibliografia
[5] ABNT NBR IEC 60601-1, Equipamento eletromédico – Parte 1: Requisitos gerais para segurança
básica e desempenho essencial
[6] ABNT NBR IEC 60601-1-2, Equipamento eletromédico – Parte 1-2: Requisitos gerais para
segurança básica e desempenho essencial – Norma Colateral: Perturbações eletromagnéticas –
Requisitos e ensaios
[7] ABNT NBR IEC 60601-1-8, Equipamento eletromédico – Parte 1-8: Requisitos gerais para
segurança básica e desempenho essencial – Norma colateral: Requisitos gerais, ensaios e
diretrizes para sistemas de alarme em equipamentos eletromédicos e sistemas eletromédicos
[8] IEC 60601-2-16, Medical electrical equipment – Part 2-16: Particular requirements for basic safety
and essential performance of haemodialysis, haemodiafiltration and haemofiltration equipment
[9] IEC/TR 60601-4-1, Medical electrical equipment – Part 4-1: Guidance and interpretation –
Medical electrical equipment and medical electrical systems employing a degree of autonomy
[10] IEC 60812, Failure modes and effects analysis (FMEA and FMECA)
[11] IEC 61010-2-101:2015, Safety requirements for electrical equipment for measurement, control and
laboratory use – Part 2-101: Particular requirements for in vitro diagnostic (IVD) medical equipment
[13] IEC 61326-2-6, Electrical equipment for measurement, control and laboratory use – EMC
requirements – Part 2-6: Particular requirements – In vitro diagnostic (IVD) medical equipment
[14] IEC 61882, Hazard and operability studies (HAZOP studies) – Application guide
[15] IEC 62304:2006 and AMD1:2015, Medical device software – Software life cycle processes –
Amendment 1
[16] IEC 62366-2:2015, Medical devices – Part 1: Application of usability engineering to medical devices
[17] IEC/TR 62366-2, Medical devices — Part 2: Guidance on the application of usability engineering
to medical devices
[18] IEC 62502, Analysis techniques for dependability – Event tree analysis (ETA)
[19] IEC 80001-1:2010, Application of risk management for IT-networks incorporating medical
devices – Part 1: Roles, responsibilities and activities
[20] ISO/IEC Guide 63:2019, Guide to the development and inclusion of aspects of safety in
Projeto em Consulta Nacional
[21] ISO/DIS 10017, Quality management – Guidance on statistical techniques for ISO 9001:2015
[22] ISO 10993-1:2018, Biological evaluation of medical devices – Part 1: Evaluation and testing
within a risk management process
[23] ISO 11608-1, Needle-based injection systems for medical use – Requirements and test methods –
Part 1: Needle-based injection systems
[24] ABNT NBR ISO 13485:2016, Produtos para saúde – Sistemas de gestão da qualidade –
Requisitos para fins regulamentares
[26] ISO 14155, Clinical investigation of medical devices for human subjects – Good clinical practice
[27] ABNT NBR ISO 15189, Laboratórios clínicos – Requisitos de qualidade e competência
[28] ISO 15197, In vitro diagnostic test systems – Requirements for blood-glucose monitoring systems
for self-testing in managing diabetes mellitus
[29] ISO 16142-1, Medical devices – Recognized essential principles of safety and performance of
medical devices– Part 1: General essential principles and additional specific essential principles
for all non-IVD medical devices and guidance on the selection of standards
[30] ISO 16142-2, Medical devices – Recognized essential principles of safety and performance of
medical devices – Part 2: General essential principles and additional specific essential principles
for all IVD medical devices and guidance on the selection of standards
[31] ISO 17511, In vitro diagnostic medical devices – Measurement of quantities in biological
samples –Metrological traceability of values assigned to calibrators and control materials
[32] ISO 17593, Clinical laboratory testing and in vitro medical devices – Requirements for in vitro
monitoring systems for self-testing of oral anticoagulant therapy
[33] ISO/TS 17822-1, In vitro diagnostic test systems – Qualitative nucleic acid-based in vitro
examination procedures for detection and identification of microbial pathogens – Part 1: General
requirements, terms and definitions
[34] ISO 18113 (all parts), In vitro diagnostic medical devices – Information supplied by the
manufacturer (labelling)
[36] ISO 20776 (series), Clinical laboratory testing and in vitro diagnostic test systems – Susceptibility
testing of infectious agents and evaluation of performance of antimicrobial susceptibility test
devices
[37] ISO 20916, In vitro diagnostic medical devices – Clinical performance studies using specimens
from human subjects – Good study practice
Projeto em Consulta Nacional
[39] ISO 22442 (series), Medical devices utilizing animal tissues and their derivatives
[40] ISO 23640, In vitro diagnostic medical devices – Evaluation of stability of in vitro diagnostic
reagents