(CN) Abnt Iso TR 24971 2022 (Ger. Risco - Orientações)

ABNT/CB-026
PROJETO DE REVISÃO ABNT ISO/TR 24971

DEZ 2021
Dispositivos médicos — Orientações sobre a aplicação da ABNT NBR ISO

14971
APRESENTAÇÃO
Projeto em Consulta Nacional
1) Este Projeto de Revisão foi elaborado pela Comissão de Estudo de Gestão da Qualidade
e Aspectos Gerais Correspondentes de Dispositivos Médicos (CE-026:150.001) do Comitê
Brasileiro Odonto-Médico-Hospitalar (ABNT/CB-026)na reunião de:
06.05.2021
a) é previsto para cancelar e substituir a ABNT ISO/TR 24971:2014, quando aprovado,

sendo que, nesse ínterim, a referida norma continua em vigor;
b) é previsto para ser idêntico ao ISO/TR 24971:2020, que foi elaborada peloTechnical
Committee Quality management and corresponding general aspects for medical
devices (ISO/TC 210) e Subcommittee Common aspects of electrical equipment used
in medical practice (IEC/SC 62A);
c) não tem valor normativo.
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
3) Analista ABNT – Milena Pires.
© ABNT 2021
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
NÃO TEM VALOR NORMATIVO

ABNT/CB-026
DEZ 2021

14971
Medical devices — Guidance on the application of ABNT NBR ISO 14971

Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB),
dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais
(ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas
no tema objeto da normalização.
Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
O ABNT ISO/TR 24971 foi elaborado no Comitê Brasileiro Odonto-Médico-Hospitalar

(ABNT/CB-026), pela Comissão de Estudo de Gestão da Qualidade e Aspectos Gerais
Correspondentes de Dispositivos Médicos (CE-026:150.001). O Projeto de Revisão circulou em
Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX a XX.XX.XXXX.
O ABNT ISO/TR 24971 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
ao ISO/TR 24971:2020, que foi elaborada pelo Technical Committee Quality management and
corresponding general aspects for medical devices (ISO/TC 210) e Subcommittee Common
aspects of electrical equipment used in medical practice (IEC/SC 62A).
O ABNT ISO/TR 24971:2021 cancela e substitui o ABNT ISO/TR 24971:2014, o qual foi tecnicamente
revisado.
As principais alterações em comparação à edição anterior são as seguintes:
— As seções da ABNT ISO/TR 24971:2014 e alguns anexos informativos da

ABNT NBR ISO 14971:2009 foram incorporados, reestruturados, tecnicamente revisados,
e suplementados com orientações adicionais.

ABNT/CB-026
DEZ 2021
— Para facilitar a utilização deste documento, foi empregada a mesma estrutura e numeração
de seções e subseções da ABNT NBR ISO 14971:2020. Os anexos informativos contêm
orientações adicionais sobre aspectos específicos de gerenciamento de risco.
A/O ABNT ISO/TR 24971:2021 cancela e substitui a/o (ABNT XXXXXXX numeração:ano), a qual foi
tecnicamente revisada.
O Escopo em inglês do ABNT ISO/TR 24971 é o seguinte:
Scope
This document provides guidance on the development, implementation and maintenance of a risk
management system for medical devices according to ABNT NBR ISO 14971:2020.
The risk management process can be part of a quality management system, for example one that is
based on ABNT NBR ISO 13485:2016[24], but this is not required by ABNT NBR ISO 14971:2020.
Some requirements in ABNT NBR ISO 13485:2016 (Clause 7 on product realization and 8.2.1 on
feedback during monitoring and measurement) are related to risk management and can be fulfilled
by applying ABNT NBR ISO 14971:2020. See also the ISO Handbook: ISO 13485:2016 – Medical
devices – A practical guide [25].

ABNT/CB-026
DEZ 2021
Introdução
Este documento fornece orientações para auxiliar os fabricantes no desenvolvimento,

na implementação e na manutenção de um processo de gerenciamento de risco de dispositivos médicos
que visa atender aos requisitos da ABNT NBR ISO 14971:2020, Dispositivos médicos – Aplicação
de gerenciamento de risco a dispositivos médicos. São fornecidas orientações para a aplicação da

ABNT NBR ISO 14971:2020 a uma ampla variedade de dispositivos médicos. Esses dispositivos
médicos incluem dispositivos médicos ativos, não ativos, implantáveis e não implantáveis,
softwares como dispositivos médicos e dispositivos médicos de diagnóstico in vitro.
As seções e subseções neste documento possuem a mesma estrutura e numeração que as seções
e subseções da ABNT NBR ISO 14971:2020, para facilitar o uso dessas orientações na aplicação
dos requisitos da norma. Uma divisão adicional em subseções é aplicada quando considerado útil.
Os anexos informativos contêm orientações adicionais sobre aspectos específicos de gerenciamento
de risco. As orientações consistem nas seções do ABNT ISO/TR 24971:2014 e alguns dos
anexos informativos da ABNT NBR ISO 14971:2014, os quais foram integrados, reestruturados,
tecnicamente revisados e suplementados com orientações adicionais.
O Anexo H foi preparado em cooperação com o Comitê Técnico ISO/TC 212, Clinical laboratory testing
and in vitro diagnostic test systems.
Este documento descreve abordagens que fabricantes podem usar para desenvolver, implementar e
manter um processo de gerenciamento de risco em conformidade com a ABNT NBR ISO 14971:2020.
Abordagens alternativas também podem satisfazer aos requisitos da ABNT NBR ISO 14971:2020.
Ao julgar a aplicabilidade das orientações neste documento, convém considerar a natureza dos
dispositivos médicos aos quais estas serão aplicadas, como e por quem esses dispositivos médicos
serão usados, e os requisitos regulamentares aplicáveis.

ABNT/CB-026
DEZ 2021

14971
1 Escopo
Este documento fornece orientações sobre o desenvolvimento, a implementação e a

manutenção de um sistema de gerenciamento de risco de dispositivos médicos de acordo com a
ABNT NBR ISO 14971:2020.
O processo de gerenciamento de risco pode ser parte de um sistema de gestão da qualidade;

por exemplo, um que seja baseado na ABNT NBR ISO 13485:2016[24], porém, isso não é
requerido pela ABNT NBR ISO 14971:2020. Alguns requisitos na ABNT NBR ISO 13485:2016
(Seção 7 sobre realização de produto e 8.2.1 sobre o feedback durante o monitoramento e a
medição) estão relacionados ao gerenciamento de risco e podem ser cumpridos ao aplicar a
ABNT NBR ISO 14971:2020. Ver também o ISO Handbook: ISO 13485:2016 – Medical devices –
A practical guide[25].
2 Referência normativa
O documento a seguir é citado no texto de tal forma que seu conteúdo, total ou parcial, constitui requisitos
para este documento. Para referências datadas, aplicam-se somente as edições citadas. Para referências
não datadas, aplicam-se as edições mais recentes do referido documento (incluindo emendas).
ABNT NBR ISO 14971:2020, Dispositivos médicos – Aplicação de gerenciamento de risco a

dispositivos médicos
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos e definições da ABNT NBR ISO 14971:2020.
A ISO e a IEC mantêm as bases de dados terminológicos para uso na normalização nos seguintes endereços:
— ISO Online browsing platform: disponível em http://www.iso.org/obp
— IEC Electropedia: disponível em http://www.electropedia.org/
NOTA Os termos definidos na ABNT NBR ISO 14971:2020 são derivados, tanto quanto possível,
do ISO/IEC Guide 63:2019[20], que foi desenvolvido especificamente para o setor de dispositivos médicos.
4 Requisitos gerais para sistema de gerenciamento de risco

4.1 Processo de gerenciamento de risco
A ABNT NBR ISO 14971:2020 requer que o fabricante estabeleça, implemente, documente e mantenha
um processo de gerenciamento de risco contínuo por todo o ciclo de vida do dispositivo médico.
Os elementos requeridos nesse processo e as responsabilidades de Alta Direção são apresentados
na ABNT NBR ISO 14971:2020 e explicados em mais detalhes neste documento.
NÃO TEM VALOR NORMATIVO 1/102

ABNT/CB-026
DEZ 2021
4.2 Responsabilidades de gerenciamento
4.2.1 Comprometimento da Alta Direção
A Alta Direção tem a responsabilidade de estabelecer e manter um processo de gerenciamento

de risco eficaz. É importante notar a ênfase em Alta Direção na ABNT NBR ISO 14971:2020.
A Alta Direção tem o poder de atribuir autoridades e responsabilidades, de estabelecer prioridades e

de fornecer recursos dentro da organização. O comprometimento no nível mais alto da organização
é essencial para que o processo de gerenciamento de risco seja eficaz.
Se a organização do fabricante consistir em entidades separadas (por exemplo, unidades ou divisões

de negócios), então, a Alta Direção pode se referir aos indivíduos que dirigem e controlam a entidade
implementando o processo de gerenciamento de risco. Cada entidade pode possuir seu próprio
processo de gerenciamento de risco (e seu próprio sistema de gestão da qualidade).
4.2.2 Política para estabelecer critérios para aceitabilidade de RISCO
A ABNT NBR ISO 14971:2020 requer que a Alta Direção defina e documente a política para
estabelecer critérios para a aceitabilidade de riscos. O Anexo C fornece orientações detalhadas sobre
como definir tal política e quais elementos convém incluir, como regulamentações aplicáveis, Normas
Internacionais pertinentes, o estado da arte geralmente reconhecido e preocupações conhecidas
das partes interessadas. O Anexo C também explica a relação entre a política e os critérios para
aceitabilidade de risco e como esses critérios são usados no controle de risco e na avaliação de risco.
A política pode permitir critérios específicos para cada tipo de dispositivo médico (ou família de
dispositivo médico). Isso pode depender das características do dispositivo médico e de seu uso
pretendido (incluindo a população de pacientes destinada). A ABNT NBR ISO 14971:2020 requer que a
política forneça diretrizes sobre como estabelecer os critérios para aceitabilidade do risco residual geral.
4.2.3 Adequação do processo de gerenciamento de risco
A ABNT NBR ISO 14971:2020 requer que a Alta Direção analise criticamente a adequação do
processo de gerenciamento de risco em intervalos planejados. A análise crítica da adequação é uma
análise crítica de alto nível do processo de gerenciamento de risco e pode incluir a análise crítica
dos seguintes aspectos, por exemplo:
— a eficácia dos procedimentos de gerenciamento de risco implementados;
— a adequação dos critérios para aceitabilidade de risco, os quais podem implicar na necessidade de
uma adaptação dos critérios para aceitabilidade de risco para dispositivos médicos específicos; e
— a eficácia do circuito de feedback das informações de produção e pós-produção (ver 10.4).
4.3 Competência de pessoal
Assegurar a designação de pessoal competente é uma responsabilidade da Alta Direção. Na Tabela 1,

são apresentados exemplos do pessoal que pode estar envolvido em tarefas de gerenciamento de
risco específicas e do conhecimento e experiência pertinentes que deem suporte ao cumprimento
eficaz das tarefas associadas.
Algumas atividades de gerenciamento de risco podem ser desempenhadas por consultores ou

especialistas externos. Convém que a competência requerida seja documentada, bem como as
evidências objetivas do cumprimento desses requisitos.
2/102 NÃO TEM VALOR NORMATIVO

ABNT/CB-026
DEZ 2021
Tabela 1 – Exemplos de pessoal competente e conhecimento e experiência pertinentes

Pessoal ou função Conhecimento e experiência
Responsável pelo gerenciamento de risco Processo de gerenciamento de risco do dispositivo médico
Tecnologias, projeto e princípios de operação do dispositivo
Engenheiro ou cientista
médico
Operações Processos de fabricação

Gerente da cadeia de suprimentos Fontes de material e serviços, incluindo processos terceirizados
Metodologias e requisitos de avaliação clínica
Especialista médico ou clínico Uso na prática médica, incluindo benefícios, situações
perigosas e possíveis danos
Requisitos regulamentares concernentes à segurança
Assuntos regulatórios e ao gerenciamento de risco em países/regiões onde o
dispositivo médico se destina a ser comercializado
Controle de qualidade Sistemas de gestão da qualidade e práticas de qualidade
Embalagem, armazenamento, manuseio Medidas de controle de risco e perigos em relação à
e distribuição embalagem, ao armazenamento, ao manuseio e à distribuição
Medidas de controle de risco e perigos em relação aos
Engenheiro de serviço, engenheiro
processos e práticas de instalação, manutenção, reparo,
biomédico ou físico médico
calibração, serviço e suporte
Reclamações de consumidores e relatórios de eventos
Pós-produção
adversos, vigilância pós-comercialização
Processos de mineração de dados, metodologias para
Serviços de informação
pesquisa na literatura
Todos os indivíduos envolvidos na Especialidade na área funcional na qual estão analisando
análise crítica e aprovação dos registros criticamente e aprovando
Considerar a necessidade de incluir os seguintes tópicos na formação de especialistas em

gerenciamento de risco.
— gerenciamento de um programa de gerenciamento de risco para dispositivos médicos;
— ética, segurança (safety), segurança da informação (security) e responsabilidade;
— conceitos de risco, aceitabilidade de risco e análise benefício-risco;
— probabilidade e estatísticas para gerenciamento de risco e confiabilidade;
— gerenciamento de risco e confiabilidade em projeto e desenvolvimento;
— normas e regulamentação pertinentes;
— estimativa de risco incluindo métodos para determinar a severidade e a probabilidade de

ocorrência de dano;
— metodologia da determinação de risco;

ABNT/CB-026
DEZ 2021
— métodos para controle de risco;
— métodos para verificação de eficácia de medidas de controle de risco; e
— métodos para análise de informações de produção e pós-produção.
4.4 Plano de gerenciamento de risco

4.4.1 Geral
O plano de gerenciamento de risco descreve o escopo das atividades de gerenciamento de risco,

as responsabilidades e as autoridades dos envolvidos, os critérios para aceitabilidade de risco,
as informações de produção e pós-produção a serem coletadas e analisadas criticamente para o
dispositivo médico e todas as atividades de gerenciamento de risco que são conduzidas durante todo
o ciclo de vida do produto. O plano de gerenciamento de risco pode ser um documento separado
ou pode estar integrado a outra documentação, como, por exemplo, documentação do sistema
de gestão da qualidade. Pode ser independente ou pode fazer referência a outros documentos,
como planejamento de avaliações clínicas, biológicas ou de usabilidade ou planejamento de atividades
de pós-produção.
O plano de gerenciamento de risco é um “documento vivo” que será analisado criticamente e atualizado
por todo o ciclo de vida do dispositivo médico, conforme a disponibilidade de novas informações.
Convém que estas informações sejam coletadas de maneira contínua, mesmo após o último dispositivo
médico ser vendido e colocado no mercado. A ABNT NBR ISO 14971:2020 requer que alterações
no plano de gerenciamento de risco sejam registradas no arquivo de gerenciamento de risco.
Convém que a extensão de atividades planejadas e o nível de detalhes do plano de gerenciamento

de risco sejam proporcionais ao nível de risco associado ao dispositivo médico. Os requisitos na
ABNT NBR ISO 14971:2020 são os requisitos mínimos para um plano de gerenciamento de risco.
Os fabricantes podem incluir outros itens como cronogramas, ferramentas de análise de risco
ou uma justificativa para a escolha de critérios de aceitabilidade de risco específicos.
4.4.2 Escopo do plano de gerenciamento de risco
O escopo identifica e descreve o dispositivo médico e as fases do ciclo de vida para as quais cada
elemento do plano é aplicável.
Alguns dos elementos do plano de gerenciamento de risco podem se aplicar ao processo de

realização do produto (projeto, desenvolvimento e produção do dispositivo médico). Outros elementos
podem se aplicar à fase de produção e pós-produção (como instalação, uso, manutenção,
descomissionamento e descarte do dispositivo médico).
4.4.3 Designação de responsabilidades e autoridades
O plano de gerenciamento de risco identifica o pessoal ou as funções com responsabilidade

pela execução de atividades específicas relacionadas ao gerenciamento de risco (ver Tabela 1).
Adicionalmente, o plano de gerenciamento de risco identifica os indivíduos com autoridade apropriada
para analisar criticamente e aprovar decisões e ações de gerenciamento de risco. Isso pode
implicar na designação de pessoal familiarizado com as características únicas do dispositivo médico
(ou família de dispositivos médicos) e suas possíveis relevâncias à SEGURANÇA. Esta designação
pode ser incluída em uma matriz de alocação de recursos definida para a fase específica do ciclo
de vida e atividades cobertas pelo escopo do plano.

ABNT/CB-026
DEZ 2021
4.4.4 Requisitos para análise crítica das atividades de gerenciamento de risco
O plano de gerenciamento de risco detalha como e quando as atividades de gerenciamento de risco

serão analisadas criticamente para um dispositivo médico em específico (ou família de dispositivos
médicos). Convém que isso inclua o método de análise crítica, os indivíduos ou funções responsáveis,
quem tem participação obrigatória na análise crítica, e como os resultados da análise crítica serão
gerenciados. Os resultados da análise crítica das atividades de gerenciamento de risco planejadas

serão consolidados no relatório de gerenciamento de risco (ver Seção 9). Os requisitos para
a análise crítica de atividades de gerenciamento de risco podem fazer parte de outros requisitos
da análise crítica do sistema da qualidade, como análise crítica do projeto e desenvolvimento
(ver ABNT NBR ISO 13485[24]).
4.4.5 Critérios para aceitabilidade de risco
Critérios para aceitabilidade de risco são estabelecidos de acordo com as políticas do fabricante para
determinar risco aceitável. Isso inclui critérios para situações em que a probabilidade de ocorrência de
dano pode não ser estimada, caso em que os critérios para aceitabilidade de risco podem ser baseados
na severidade de dano apenas. Os critérios podem ser comuns para categorias de dispositivos
médicos similares (ou famílias de dispositivos médicos).
É importante estabelecer os critérios para aceitabilidade de risco antes de iniciar a determinação

de risco. De outro modo, os resultados da determinação de risco poderiam influenciar a decisão ao
estabelecer os critérios.
Ver o Anexo C para mais orientações e exemplos de critérios que sejam derivados da política e
aplicados na avaliação de risco.
4.4.6 Métodos para avaliar risco residual geral e critérios para aceitabilidade
Os métodos para avaliar o risco residual geral e os critérios para sua aceitabilidade são
derivados da política do fabricante para estabelecer critérios para aceitabilidade de risco.
A ABNT NBR ISO 14971:2020 requer que os métodos e os critérios sejam declarados no
plano de gerenciamento de risco para o dispositivo médico em particular em desenvolvimento.
Algumas contribuições e considerações à avaliação de risco residual geral estão listadas na Seção 8.
4.4.7 Atividades de verificação
O plano de gerenciamento de risco especifica como as duas atividades de verificação requeridas

pela 7.2 da ABNT NBR ISO 14971:2020 são conduzidas. O plano de gerenciamento de risco pode
detalhar as atividades de verificação explicitamente ou por meio de referência a outros planos.
A verificação de implementação de medidas de controle de risco pode ser parte da análise crítica
de projeto, aprovação de especificações, verificação de projeto e desenvolvimento em um sistema
de gestão da qualidade, ou outras atividades de verificação em um sistema de gestão da qualidade.
A verificação da eficácia das medidas de controle de risco pode ser parte da verificação de projeto
e desenvolvimento em um sistema de gestão da qualidade. Ela pode requerer a coleta de dados
clínicos, estudos de usabilidade etc., como parte da validação de projeto e desenvolvimento em um
sistema de gestão da qualidade.

ABNT/CB-026
DEZ 2021
4.4.8 Atividades relacionadas à coleta e análise crítica de informações de produção e

de pós-produção
A ABNT NBR ISO 14971:2020 requer que o fabricante estabeleça um sistema para ativamente
coletar e analisar criticamente informações sobre o dispositivo médico nas fases de produção e pós-
produção e para analisar criticamente estas informações quanto à relevância para a segurança.
Assim, é importante que o plano de gerenciamento de risco inclua as atividades necessárias para
estabelecer esse sistema. Convém que os fabricantes compreendam que as informações a serem
coletadas podem ser volumosas e vêm de muitas fontes distintas. Consequentemente, convém que
sejam usados processos robustos para analisar as informações e para identificar tendências que
poderiam, de outro modo, passar despercebidas, de modo que conclusões e ações apropriadas
possam ser tomadas. Convém que técnicas estatísticas sejam consideradas para auxiliar no
processamento dos dados coletados.
O sistema para ativamente coletar e analisar criticamente informações inclui o monitoramento e o

recebimento de feedback, como reclamações e relatórios de eventos adversos. Adicionalmente,
convém que o sistema inclua a solicitação ativa de feedback dos usuários e a coleta de outras
informações pertinentes. Convém que o fabricante considere a extensão dessas atividades e
determine quais atividades são apropriadas para o dispositivo médico em particular.
Por exemplo, o monitoramento limitado pode ser suficiente para dispositivos médicos com um
longo histórico de uso e riscos bem compreendidos. Para dispositivos médicos envolvendo novos
tratamentos (por exemplo, novos usos pretendidos) ou tecnologias inovadoras e, possivelmente,
com riscos menos compreendidos, um monitoramento mais elaborado incluindo estudos de
monitoramento clínico pós-comercialização (PMCF – Post-Market Clinical Follow-up) poderia ser
assegurado para compreender os problemas que possam surgir no uso real do dispositivo médico.
Orientações adicionais são fornecidas na Seção 10.
O método para coletar informações de produção e pós-produção pode ser parte de processos de
sistema de gestão da qualidade estabelecidos (ver, por exemplo, a 8.2 ABNT NBR ISO 13485:2016[24],
8.2). Embora uma referência a um procedimento existente possa ser suficiente em alguns casos,
convém que quaisquer requisitos específicos ao dispositivo médico sob consideração sejam documentados
no plano de gerenciamento de risco. Convém que detalhes das atividades de monitoramento e quaisquer
estudos PMCF planejados também sejam especificados no plano de gerenciamento de risco.
Convém que a frequência de análise crítica das informações coletadas seja proporcional ao risco,
e pode também depender do número de dispositivos médicos no mercado, do número de incidentes
relatados e da severidade de dano reportada. Convém que a coleta e a análise crítica continuem
durante o ciclo de vida esperado do dispositivo médico.
4.5 Arquivo de gerenciamento de risco
A ABNT NBR ISO 14971:2020 requer que o fabricante estabeleça e mantenha um arquivo de

gerenciamento de risco, que contenha registros e outros documentos criados durante atividades de
gerenciamento de risco para o dispositivo médico por todo seu ciclo de vida desde a concepção inicial
até o descomissionamento final e o descarte. As seções individuais na ABNT NBR ISO 14971:2020
especificam quais registros e documentos relacionados são para ser mantidos como parte do arquivo
de gerenciamento de risco. Convém que o arquivo de gerenciamento de risco forneça as informações
necessárias para a análise crítica do processo de gerenciamento de risco em qualquer fase do ciclo
de vida do dispositivo médico.
O arquivo de gerenciamento de risco pode ser estruturado e organizado para um tipo de dispositivo
médico ou para uma família de dispositivos médicos. É importante que os registros do gerenciamento

ABNT/CB-026
DEZ 2021
de risco possam ser montados de maneira oportuna por todo o ciclo de vida do dispositivo médico,
já que as informações poderiam ser usadas durante o ciclo de vida para prover suporte a outras
atividades e tomadas de decisão, por exemplo: durante a análise crítica das informações de produção
e pós-produção, avaliação do efeito de uma alteração ao dispositivo médico, ou durante auditorias.
O arquivo de gerenciamento de risco é uma construção lógica. Não é necessário que o arquivo de
gerenciamento de risco contenha fisicamente todos os registros requeridos e documentos relacionados.

Os registros e documentos relacionados podem ser parte de arquivos requeridos por outros sistemas,
como o sistema de gestão da qualidade do fabricante. Os registros e documentos relacionados podem
existir em qualquer formato ou mídia (cópia impressa, registros eletrônicos etc.).
A ABNT NBR ISO 14971:2020 requer rastreabilidade para cada perigo identificado à análise de risco,
avaliação de risco, implementação e verificação de medidas de controle de risco, e a avaliação de
risco residual. A rastreabilidade é um requisito para provar que todos os perigos identificados foram
completamente tratados no processo de gerenciamento de risco. Uma ferramenta de rastreabilidade
pode ser usada para fornecer um índice a cada documento no arquivo de gerenciamento de risco
fornecendo informações sobre o perigo identificado. Tal índice pode ser útil no gerenciamento do
conhecimento de risco em relação aos perigos identificados. Esse índice poderia ser usado em
atividades posteriores, como a avaliação de risco residual geral e a análise crítica das informações de
produção e pós-produção. Convém que a rastreabilidade seja atualizada conforme novas informações
forem sendo disponibilizadas e quando o dispositivo médico sofrer alterações.
Ver o Anexo G para orientações sobre a elaboração de um arquivo de gerenciamento de risco para
dispositivos médicos que foram projetados sem o uso da ABNT NBR ISO 14971:2020.
5 Análise de risco
5.1 Processo de análise de risco
O processo de análise de risco consiste dos seguintes passos, que são explicados em mais detalhes
nas próximas subseções:
— descrição do uso pretendido do dispositivo médico e mau uso razoavelmente previsível;
— identificação das características do dispositivo médico que estejam relacionadas à segurança;
— identificação de perigos e situações perigosas associadas ao dispositivo médico; e
— estimativa dos riscos para cada situação perigosa.
5.2 Uso pretendido e mau uso razoavelmente previsível
Convém que o uso pretendido considere informações como:
— a indicação médica pretendida, como, por exemplo, tratamento ou diagnóstico de diabetes

mellitus tipo 2, doença cardiovascular, fratura óssea, infertilidade;
— população de pacientes, como, por exemplo, grupo etário (adultos, crianças, adolescentes,
idosos), gênero (masculino, feminino) ou estado da doença;
— parte do corpo ou tipo de tecido a ter interação, como, por exemplo, perna ou braço;
— perfil de usuário, como, por exemplo, paciente, leigo, prestador de cuidados à saúde;

ABNT/CB-026
DEZ 2021
— ambiente de uso, como, por exemplo, casa, hospital, unidade de cuidados intensivos; e
— princípio de operação, como, por exemplo, seringa acionada por pistão mecânico, imageamento
de raio X, imageamento de RM, administração subcutânea de medicamento.
O mau uso razoavelmente previsível é definido como uso do dispositivo médico da forma não pretendida
pelo fabricante, mas que possa resultar do comportamento humano facilmente previsível. Isto pode
ser relativo ao erro de uso (deslize, lapso ou erro), atos intencionais de mau uso e uso intencional do
dispositivo médico para outras aplicações (médicas) que não as pretendidas pelo fabricante. Casos
de mau uso razoavelmente previsível podem ser identificados durante projeto e desenvolvimento
por meio de uma análise de uso simulado, por exemplo, aplicando-se um processo de engenharia
de usabilidade ou durante a fase de pós-produção por meio de uma análise de uso real. Mau uso
razoavelmente previsível pode ser identificado por todo o ciclo de vida de um dispositivo médico,
incluindo iterações de atividades de projeto, durante as quais a capacidade do fabricante de antecipar
um potencial mau uso aumenta progressivamente.
O processo de engenharia de usabilidade pode ajudar a determinar se um mau uso em particular

é razoavelmente previsível ou não, por exemplo, por meio da observação durante os ensaios de
usabilidade. O ensaio de usabilidade pode revelar que usuários poderiam usar rotineiramente
o dispositivo médico de uma maneira que não esteja de acordo com as instruções do fabricante.
Esse mau uso pode ocorrer devido a cultura de trabalho pobre, percepção de risco inadequada,
conhecimento limitado das consequências ou porque os procedimentos de operação não estão claros.
O seguinte exemplo ilustra um caso de mau uso razoavelmente previsível que foi identificado e
analisado pela aplicação de um processo de engenharia de usabilidade. Mais informações sobre
engenharia de usabilidade podem ser encontradas na IEC 62366-1[16] e na IEC/TR 62366-2[17].
EXEMPLO Um dispositivo médico de uso único é projetado para ser usado apenas uma vez, mas é
razoavelmente previsível que alguns usuários possam tentar reusar o dispositivo médico. Portanto, avisos
contra o reuso e indicações do possível dano resultante do reuso foram incluídos na documentação
acompanhante. A aplicação de engenharia de usabilidade de acordo com a IEC 62366-1[16] demonstrou
que estas informações para segurança seriam eficazes, ou seja, usuários saberiam o uso correto e
compreenderiam o risco de reusar o dispositivo médico. Entretanto, a avaliação de usabilidade também
mostrou que alguns usuários são propensos a desconsiderar estas informações e reusar intencionalmente
o dispositivo médico. O reuso intencional pode ser considerado uso anormal, o que está além do escopo
do processo de engenharia de usabilidade, porque os riscos associados podem não ser controlados na
interface do usuário (ver 3.1 e 3.26 da IEC 62366-1:2015[16]). Uma vez que esse comportamento pode
ser considerado mau uso razoavelmente previsível, os riscos de tal reuso são analisados no processo
de gerenciamento de risco e avaliados perante os critérios para aceitabilidade de risco de acordo com a
ABNT NBR ISO 14971:2020. Pode ser necessário implementar medidas de controle de risco fora da interface
do usuário.
5.3 Identificação de características relacionadas à segurança
É importante identificar as características do dispositivo médico que poderiam afetar a segurança.

Essas características podem ser qualitativas ou quantitativas e podem ser vinculadas a certos
limites. As questões no Anexo A cobrem muitos aspectos de dispositivos médicos e podem auxiliar
na identificação de características relacionadas à segurança. Para cada questão são indicados
quais fatores convém considerar em mais detalhes, com o objetivo último de identificar todos os
perigos e situações perigosas associadas ao dispositivo médico. Convém que a lista de questões no
Anexo A não seja usada como uma lista de verificação. Também pode ser útil analisar criticamente
as informações e a literatura disponíveis, incluindo relatórios de eventos adversos, para dispositivos
médicos semelhantes.

ABNT/CB-026
DEZ 2021
Um fabricante pode identificar o desempenho ou as funções do dispositivo médico que são

necessárias para atingir seu uso pretendido ou que poderiam afetar a segurança e considerar se
quaisquer situações perigosas poderiam ocorrer, se qualquer uma destas funções não apresentasse
o desempenho adequado.
5.4 Identificação de perigos e situações perigosas

5.4.1 Perigos
Um perigo é uma fonte potencial de dano. Dependendo da situação específica, perigos podem
possuir diferentes origens/naturezas. Exemplos de perigos são eletricidade, partes móveis, bactérias
infecciosas, produtos químicos, gases, bordas afiadas, altas correntes, temperatura e radiação
ionizante.
Perigos associados ao dispositivo médico podem ser deduzidos a partir do uso pretendido e mau uso
razoavelmente previsível conforme determinado em 5.2 e das características relacionadas à segurança
conforme determinado em 5.3. O Anexo C da ABNT NBR ISO 14971:2020 fornece orientações que
podem ajudar a identificar perigos e sequências de eventos que possam levar a situações perigosas.
O Anexo H fornece orientações semelhantes para dispositivos médicos de IVD (in vitro diagnostic –
diagnóstico em vitro), onde informações diagnósticas incorretas podem levar a riscos indiretos ao paciente.
5.4.2 Situações perigosas em geral
Dispositivos médicos apenas causam danos se uma sequência de eventos ocorrer de modo a resultar
em uma situação perigosa, o que causa ou leva, então, a um dano. Sequências de eventos podem
incluir uma série cronológica de causas e efeitos, bem como combinações de eventos concomitantes.
Uma situação perigosa ocorre quando as pessoas, as propriedades ou os ambientes estão expostos
a um ou mais perigos.
Situações perigosas podem surgir mesmo quando não houver falhas, ou seja, na condição normal
para o dispositivo médico quando está se desempenhando conforme pretendido. Situações perigosas
podem ser intrínsecas aos aspectos de certas terapias. Por exemplo, um desfibrilador externo
automático (DEA) administra um choque elétrico ao paciente como parte de sua operação normal.
Semelhantemente, a cauterização de feridas envolve a aplicação de alta energia no local da ferida e
um bisturi possui uma lâmina afiada destinada a fazer incisões.
O Anexo A fornece orientações na forma de questões sobre as características do dispositivo médico

que poderiam afetar a segurança. Estas características podem ajudar a identificar os perigos e as
situações perigosas. O Anexo B fornece orientações sobre diversas técnicas que podem prover
suporte a uma análise de risco. O Anexo H fornece orientações específicas sobre identificação
de perigos e situações perigosas para dispositivos médicos de diagnóstico in vitro.
5.4.3 Situações perigosas resultantes de falhas
Em casos em que uma situação perigosa ocorra somente devido a uma falha, a probabilidade de uma
falha ocorrer não é a mesma que a probabilidade de ocorrência de dano. Uma falha pode iniciar uma
sequência de eventos, mas não necessariamente resulta em uma situação perigosa. Uma situação
perigosa nem sempre resulta em dano.
É importante compreender que geralmente há dois tipos de falhas que podem levar a uma situação
perigosa: falhas aleatórias e sistemáticas.

ABNT/CB-026
DEZ 2021
5.4.4 Situações perigosas resultantes de falhas aleatórias
Falhas aleatórias acontecem comumente devido a causas físicas ou químicas, como corrosão,
contaminação, estresse térmico e desgaste. Para muitas falhas aleatórias, um valor numérico pode
ser dado para a probabilidade de que a falha ocorrerá. Alguns exemplos de falhas aleatórias são:
— a falha de uma parte, como um circuito integrado em um conjunto eletrônico;
— a contaminação de um reagente de IVD que leve a resultados incorretos; e
— a presença de uma substância infecciosa ou tóxica em um dispositivo médico.
NOTA Uma estimativa quantitativa pode apenas ser aplicada a um risco biológico se forem conhecidas
informações suficientes sobre o perigo e as circunstâncias afetando a probabilidade de ocorrência da
situação perigosa, por exemplo, no uso de níveis de garantia de esterilidade.
5.4.5 Situações perigosas resultantes de falhas sistemáticas
Uma falha sistemática pode ser causada por um erro em qualquer atividade. Isso dará
sistematicamente origem a uma falha quando alguma combinação particular de entradas surgir ou
condições ambientais surgirem, mas, do contrário, permanecerá latente.
Erros que resultem em falhas sistemáticas podem ocorrer em qualquer parte do dispositivo médico,
como no hardware e software em dispositivos médicos eletromecânicos. Falhas sistemáticas
na rotulagem podem resultar em erros de uso para qualquer dispositivo médico. Estas falhas
sistemáticas podem ser introduzidas a qualquer momento durante o desenvolvimento, fabricação
ou manutenção do dispositivo médico. Alguns exemplos de falhas sistemáticas são:
— um fusível incorretamente especificado falha em impedir uma situação perigosa: a especificação

do fusível pode ter sido realizada incorretamente durante o projeto;
— uma base de dados de um software não prevê a condição de banco de dados cheio: se a base
de dados estiver cheia, não está claro o que o software fará, com possível consequência de que
o sistema simplesmente substituirá os dados existentes por novos dados;
— um fluido, usado durante a produção de um dispositivo médico, possui um ponto de ebulição

abaixo da temperatura corporal: resíduos do fluido podem, em certas circunstâncias,
serem introduzidos no sangue, possivelmente levando a uma embolia;
— o anticorpo em um estudo de hepatite não detecta algumas variantes do vírus;
— um controle ambiental inadequadamente projetado leva à contaminação com uma substância

tóxica ou um agente infeccioso; e
— o manual do usuário está escrito de modo que se uma rotina de manutenção for desempenhada
de acordo com as instruções, o usuário poderia se ferir (por exemplo, por uma sonda afiada).
A estimativa exata da probabilidade de ocorrência de falhas sistemáticas é difícil. Isto ocorre

principalmente pelas seguintes razões.
— A frequência de falhas sistemáticas é trabalhosa de medir. Alcançar um nível razoável de

confiança no resultado não será possível sem dados extensivos sobre falhas sistemáticas
ou parâmetros pertinentes para o controle de risco.

ABNT/CB-026
DEZ 2021
— Não há consenso para um método para estimar quantitativamente a probabilidade de ocorrência

de falhas sistemáticas.
Pelo fato de a estimativa de riscos ser difícil nessas circunstâncias, convém que o fabricante não se
concentre apenas em estimar o risco de falhas sistemáticas, mas, em vez disso, em implementar
sistemas robustos para impedir falhas sistemáticas que poderiam resultar em situações perigosas ou dano.
5.4.6 Situações perigosas oriundas de vulnerabilidades de segurança da informação
Segurança da informação neste documento inclui segurança cibernética e segurança de dados e

sistemas. Vulnerabilidades de segurança da informação podem levar a perdas de dados, divulgação
de informações pessoais de saúde, acesso não autorizado a registros do paciente etc. Estas situações
podem iniciar sequências de eventos, que podem, por fim, resultar em dano (lesão ao paciente
ou prejuízo à propriedade). Por exemplo:
— perda de confidencialidade pode levar à divulgação de informações pessoais de saúde;
— perda de integridade pode levar a resultados laboratoriais incorretamente representados ou mau

funcionamento do dispositivo médico; e
— perda de disponibilidade pode impedir o uso de funcionalidade crítica de um dispositivo médico

ou pode interromper completamente o uso de um dispositivo médico.
Ver Anexo F para orientações adicionais sobre segurança da informação.
5.4.7 Sequências ou combinações de eventos
A situação perigosa pode ser resultado de uma sequência ou combinação de eventos independentes.
Isso está ilustrado na Figura 1. A probabilidade P1 da situação perigosa ocorrer é então dada pelo
produto das probabilidades de ocorrência dos eventos independentes. Uma sequência de eventos
pode possuir ramificações que levam a diferentes situações perigosas e diferentes eventos podem
levar à mesma situação perigosa. Estas complexidades não são mostradas na Figura 1.
O exemplo na Figura 1 é para um perigo de eletricidade e está relacionado a um fio isolado dentro de
um dispositivo eletromédico. Há uma pequena probabilidade de que o material isolante se degrade,
seja danificado por rachaduras, e que as rachaduras levem a um fio exposto. Os próximos possíveis
eventos são que o usuário conecte e acione o dispositivo médico e que (dependendo das escolhas na
interface do usuário) o fio exposto agora possua tensão da linha. Quando o usuário subsequentemente
abre a capa protetora, a situação perigosa ocorre, a saber, o usuário fica exposto à tensão da linha de
220 V. A probabilidade combinada desta sequência de eventos é P1.
A probabilidade de que o usuário realmente toque o fio exposto é estimada em 0,10. Uma vez que o
usuário sempre sofrerá um choque da tensão da linha, a probabilidade de desconforto é P2 = 0,10.
A probabilidade de uma queimadura é menor (0,01) e a probabilidade de morte é ainda menor (0,001).
Uma situação perigosa (SP1) pode levar a diferentes tipos de dano (D1 a D3), variando de desconforto
a queimadura ou morte. A probabilidade de que a situação perigosa leva a dano pode possuir diferentes
valores dependendo do tipo de dano, cujos valores estão descritos como P2(SP1)D1 a P2(SP1)D3 na
Figura 1. A severidade do dano pode ser afetada pelas circunstâncias da exposição. Por exemplo,
as consequências de um choque elétrico podem variar de contrações musculares a queimaduras,
fibrilação cardíaca e parada cardíaca, dependendo da tensão, corrente, duração da exposição e local
no corpo humano.

ABNT/CB-026
DEZ 2021
Fica enfatizado que vários cenários podem ser pertinentes, não apenas aqueles com a maior
severidade de dano ou com a maior probabilidade de ocorrência de dano. Outros cenários também
podem ser pertinentes. Convém que o fabricante considere qual é a melhor maneira de documentar
a situação perigosa, descrevendo uma ou mais sequências de eventos que possam levar a esta
situação perigosa e os diferentes tipos de dano que podem ocorrer.
PERIGO: eletricidade
Situação: tensão da linha (220 V) de um fio isolado
sob uma cobertura do dispositivo médico
Eventos:
A. Material isolante danificado por rachaduras
(PA = 0,01)
B. Material isolante se desprende do fio
(PB = 0,10)
C. Usuário conecta e aciona o dispositivo
(PC = 0,10)
D. Usuário remove a cobertura (PD = 0,10)
Situação perigosa: usuário fica exposto à tensão
da linha (P1 = PA * PB * PC * PD = 1 × 10-5)
Probabilidade de o usuário tocar o fio e acarretar:
— desconforto (P2 = 0,10)
— queimadura (P2 = 0,01)
— morte (P2 = 0,001)
Figura 1 – Representação gráfica da relação entre perigo,

sequência de eventos, situação perigosa e dano
Informações sobre os dispositivos médicos no mercado podem ser úteis na estimativa de risco.
Diversas abordagens são comumente empregadas para estimar probabilidades:
— uso de dados históricos de projeto e desenvolvimento;
— previsão de probabilidades usando técnicas analíticas ou simulação;
— uso de dados experimentais;
— estimativas de confiabilidade;
— informações de produção e de pós-produção; e
— uso do julgamento de um especialista (um especialista neste contexto pode ser uma pessoa
competente com base na educação, treinamento, habilidades e experiências adequadas;
ver ABNT NBR ISO 13485[24]).

ABNT/CB-026
DEZ 2021
Cada uma dessas abordagens possui pontos fortes e fracos. Convém que abordagens
complementares sejam usadas para aumentar a confiança nos resultados. Convém que o julgamento
de um especialista seja suplementado por uma ou mais das outras abordagens sempre que possível.
Quando não for possível usar as outras abordagens ou não forem suficientes, pode ser necessário
confiar somente no julgamento do especialista.
5.5 Estimativa de risco
5.5.1 Geral
A ABNT NBR ISO 14971:2020 requer que o fabricante realize uma estimativa de risco. Vários métodos
podem ser usados para estimar risco. Convém que esses métodos examinem, por exemplo:
— as circunstâncias nas quais o perigo está presente;
— as sequências de eventos que levam a uma situação perigosa;
— a probabilidade de ocorrência de uma situação perigosa;
— a probabilidade de uma situação perigosa levar a dano; e
— a natureza do dano que pode resultar.
Convém que o risco seja expresso em termos que facilitem a tomada de decisões sobre aceitabilidade
de risco e a necessidade de controle de risco, por exemplo, usando escalas de severidade e
probabilidade. Para analisar riscos, convém que seus componentes, ou seja, probabilidade e
severidade, sejam analisados separadamente.
Legenda
X probabilidade de ocorrência de dano

Y severidade de dano
Figura 2 – Exemplo de um gráfico de risco que ilustra a distribuição de riscos estimados

ABNT/CB-026
DEZ 2021
Um gráfico de risco como o apresentado na Figura 2 mostra a distribuição dos riscos estimados,
que podem ser úteis para posterior tomada de decisão. Os riscos (R1, R2, R3, …) são traçados no
gráfico conforme forem estimados. Matrizes de risco desenvolvidas a partir dessa figura serão usadas
em exemplos ao longo desta seção. Isso não implica que este método possua aplicabilidade geral
a todos os dispositivos médicos, entretanto, pode ser útil em muitas instâncias. Se um gráfico de risco
ou matriz de risco for usado para classificar riscos, convém que o gráfico de risco ou matriz de risco
em particular e a interpretação usados sejam justificados para esta aplicação.
5.5.2 Probabilidade
Quando dados suficientes estiverem disponíveis para estimar a probabilidade de ocorrência de dano
com certeza adequada, convém que um método quantitativo seja usado. De outro modo, é preferível
um método qualitativo com base no julgamento de um especialista a uma estimativa quantitativa com
alta incerteza. Um exemplo desta situação é um novo dispositivo médico em que dados quantitativos
adequados não estão disponíveis até a validação de projeto ou depois, quando dados de pós-produção
forem disponibilizados. Para um método qualitativo, o fabricante pode descrever uma série de níveis
de probabilidade com descrições adequadas para o dispositivo médico.
Embora a probabilidade seja uma variável contínua, um número de níveis discretos pode ser
usado na prática para simplificar a análise. O fabricante decide quantos níveis de probabilidade
são apropriados, com base na confiança esperada das estimativas. Um número maior de níveis de
probabilidade pode ser usado quando estimativas forem realizadas com maior certeza. Convém que
pelo menos três níveis sejam identificados para facilitar a tomada de decisões. Os níveis podem ser
descritivos e qualitativos (por exemplo, não esperados que aconteçam durante o ciclo de vida do
dispositivo médico, prováveis de ocorrer algumas vezes, prováveis de ocorrer frequentemente etc.)
ou quantitativos. Convém que os fabricantes definam os níveis explicitamente, de modo que não haja
confusão sobre o que se classifica dentro de cada nível. Um modo particularmente eficaz, é atribuir
faixas de valores numéricos não sobrepostos aos níveis discretos. Um exemplo de três níveis de
probabilidade qualitativa é apresentado na Tabela 3 e um exemplo de cinco níveis de probabilidade
semiquantitativa é apresentado na Tabela 5.
As definições das faixas de probabilidade podem ser as mesmas ou diferentes para famílias distintas
de produtos. Por exemplo, um fabricante pode escolher usar um conjunto de faixas de probabilidade
para equipamentos de raio X, mas pode usar um conjunto diferente de faixas de probabilidade para
curativos descartáveis estéreis. Escalas para probabilidade podem incluir probabilidade de ocorrência
de dano por uso, por dispositivo, por hora de uso ou dentro de uma população etc.
É requerido que se documente os níveis ou faixas de probabilidade escolhidos e suas descrições

no arquivo de gerenciamento de risco para o dispositivo médico em particular (ver 5.5 da
ABNT NBR ISO 14971:2020).
Há diversos fatores que são importantes para estimar a probabilidade de ocorrência de dano. Eles
incluem, mas não estão limitados ao seguinte:
— Com que frequência um dispositivo médico em particular é usado?
— Qual é a vida útil do dispositivo médico?
— Quem compõe as populações de usuários e pacientes?
— Qual é a quantidade de usuários/pacientes?
— Por quanto tempo e sob quais circunstâncias o usuário/paciente fica exposto?

ABNT/CB-026
DEZ 2021
A estimativa de probabilidade compreende as circunstâncias e as sequências de eventos desde

a ocorrência do evento inicializador até a ocorrência do dano. A probabilidade P de ocorrência de
dano pode ser decomposta em uma probabilidade P1 de que uma situação perigosa ocorra (ou seja,
que pessoas sejam expostas ao perigo) e uma probabilidade P2 de que a situação perigosa resulte
em dano. Ver a Figura C.1 da ABNT NBR ISO 14971:2020. Uma decomposição em P1 e P2 pode ser
útil para estimar a probabilidade P de ocorrência de dano, mas esta decomposição não é obrigatória.
Quando a probabilidade de ocorrência de dano estiver decomposta em P1 e P2, pode ser o caso de
que uma destas possa ser estimada e a outra não. Nestes casos, uma abordagem conservadora pode
ser usada definindo-se a probabilidade desconhecida como igual a 1. Esta abordagem pode ser útil
quando a probabilidade estimada for tão baixa que o risco resultante se torna claramente insignificante
ou desprezível ou tão alto que fique claro que convém que o risco resultante seja reduzido.
5.5.3 Riscos para os quais pode não se estimar uma probabilidade
A certeza em uma estimativa de risco pode ser melhorada quando uma estimativa quantitativa da
probabilidade de ocorrência de dano for feita com base em dados exatos e confiáveis ou quando
uma estimativa qualitativa razoável for baseada em um consenso por especialistas qualificados.
Entretanto, isso nem sempre é alcançável. Por exemplo, as probabilidades de falhas sistemáticas,
como as discutidas em 5.4.5, são difíceis de estimar. Quando a exatidão da estimativa de probabilidade
for duvidosa, é geralmente necessário estabelecer uma ampla faixa para a probabilidade ou determinar
que não seja pior que algum valor em particular.
Exemplos em que as probabilidades são difíceis de estimar incluem:
— falha de software;
— situações de mau uso excepcional, como sabotagem ou adulteração de um dispositivo médico;
— perigos novos que sejam mal compreendidos, como, por exemplo, conhecimento impreciso
sobre a ineficácia do agente causador da Encefalopatia Espongiforme Bovina (BSE – Bovine
Spongiform Encephalopathy) impede a quantificação do risco de transmissão; e
— certos perigos toxicológicos, como cancerígenos genotóxicos e agentes sensibilizadores, em que pode
não ser possível determinar um limite de exposição abaixo do qual os efeitos tóxicos não ocorram.
Quando não for possível estimar a probabilidade de ocorrência de dano, é necessário avaliar o risco
com base apenas na severidade do dano. Convém que as medidas de controle de risco sejam focadas
em impedir completamente a situação perigosa ou em impedir que a situação perigosa leve a um
dano. Se isso não for possível, convém que as medidas de controle de risco sejam focadas em
reduzir a severidade do dano.
Uma relação inversa pode ser presumida entre os rigores dos processos usados no projeto,
no desenvolvimento, na fabricação e na manutenção e na probabilidade de algumas falhas
sistemáticas serem introduzidas ou permanecerem não detectadas. O rigor requerido desses
processos pode ser determinado considerando a severidade das consequências de falhas sistemáticas
e a eficácia de medidas de controle de risco externas ao dispositivo médico. Quanto mais graves
forem as consequências e quanto menos eficazes forem as medidas externas de controle de risco,
convém que esses processos sejam mais rigorosos.

ABNT/CB-026
DEZ 2021
5.5.4 Severidade
Para categorizar a severidade do dano potencial, convém que o fabricante utilize descrições
apropriadas ao dispositivo médico. A severidade é, na realidade, uma constante, entretanto, na prática,
o uso de um número discreto de níveis de severidade simplifica a análise. Nestes casos, o fabricante
decide quantas categorias são apropriadas e como são para ser definidas. Convém que os níveis
sejam descritivos e não convém que incluam qualquer elemento de probabilidade. Ver os exemplos
na Tabela 2 e na Tabela 4.
Níveis de severidade são escolhidos e justificados pelo fabricante com base nos danos que
poderiam resultar para um dispositivo médico em particular. Convém que os níveis de severidade
sejam definidos com especificidade suficiente, de modo que o nível correto de severidade possa
ser atribuído a cada dano identificado na análise de risco.
É requerido que se documente os níveis ou faixas de severidade escolhidos e suas

descrições no arquivo de gerenciamento de risco para o dispositivo médico em particular
(ver ABNT NBR ISO 14971:2020, 5.5).
NOTA A terminologia usada pelos reguladores pode ser útil ao descrever os níveis de severidade de dano.
5.5.5 Exemplos
Diversas abordagens podem ser usadas para análise qualitativa. Uma abordagem típica é usar uma
matriz N-por-M para descrever as severidades e probabilidades de ocorrência de dano associadas
a cada situação perigosa. Define-se cuidadosamente níveis N de probabilidade e níveis M de
severidade. Cada célula da matriz representa um subconjunto do conjunto completo de possíveis riscos.
Um exemplo simples é uma matriz de risco 3 × 3 construída usando-se os três níveis de severidade
da Tabela 2 como colunas e os três níveis de probabilidade qualitativa da Tabela 3 como linhas.
Os riscos estimados (R1, R2, R3, ...) são inseridos nas células apropriadas e o resultado é
apresentado na Figura 3. Convém que os fabricantes tornem estas definições tão específicas ao
produto e explícitas quanto necessário para assegurar seu uso reproduzível.
Tabela 2 – Exemplo de três níveis qualitativos de severidade

Termos comuns Descrição possível
Significativo Morte ou perda de função ou estrutura
Moderado Lesão reversível ou menor
Insignificante Sem lesão ou lesão leve
Tabela 3 – Exemplo de três níveis qualitativos de probabilidade

Provável que aconteça, com frequência, sempre
Alto
Provável que aconteça diversas vezes durante a vida útil do dispositivo médico
Pode acontecer, mas não frequentemente
Médio
Provável que ocorra algumas vezes durante a vida útil do dispositivo médico
Improvável que aconteça, raro, remoto
Baixo
Improvável que ocorra durante a vida útil do dispositivo médico

ABNT/CB-026
DEZ 2021
NOTA Os riscos estimados na Figura 3 não são os mesmos que os representados na Figura 2.
Figura 3 – Exemplo de uma matriz de risco 3 × 3 qualitativa
Um exemplo mais elaborado é uma matriz de risco 5 × 5 construída usando-se os cinco níveis
de severidade da Tabela 4 como colunas e os cinco níveis de probabilidade semiquantitativa da
Tabela 5 como linhas. Os riscos estimados (R1, R2, R3, ...) são inseridos nas células apropriadas e
o resultado é apresentado na Figura 4.
Tabela 4 – Exemplo de cinco níveis qualitativos de severidade

Catastrófico/Fatal Resulta em morte
Crítico Resulta em deficiência permanente ou lesão irreversível
Grave/Maior Resulta em lesão ou deficiência que requeira intervenção médica ou cirúrgica
Resulta em lesão ou deficiência temporária que não requer intervenção
Menor
médica ou cirúrgica
Insignificante Resulta em inconveniência ou desconforto temporário
Tabela 5 – Exemplo de cinco níveis semiquantitativos de probabilidade

Termos comuns Exemplos de faixa de probabilidade
Frequente ≥10−3
Provável <10−3 e ≥10−4
Ocasional <10−4 e ≥10−5
Remoto <10−5 e ≥10−6
Improvável <10−6
Figura 4 – Exemplo de uma matriz de risco 5 × 5 semiquantitativa
Outros tamanhos, além de matrizes 3 × 3 ou 5 × 5, podem ser empregados. Entretanto, matrizes

com mais de cinco níveis podem requerer significativamente mais dados para que se possa distinguir
entre os vários níveis e evitar a sobreposição dos níveis. Convém que sejam documentadas
justificativas para a seleção de matrizes e suas pontuações de resultado. Notar que as matrizes

ABNT/CB-026
DEZ 2021
com três níveis podem nem sempre ser suficientemente exatas para uma tomada de decisão adequada.
Embora os exemplos acima tenham sido de 3 × 3 e 5 × 5, não há qualquer necessidade de que
estas matrizes sejam quadradas. Por exemplo, uma matriz 4 × 5 poderia ser adequada para uma
certa aplicação.
6 Avaliação de risco
A ABNT NBR ISO 14971:2020 descreve o processo para avaliação de riscos. A norma, entretanto,
não especifica níveis de risco aceitáveis. Os critérios para aceitabilidade de risco têm como
base as políticas do fabricante para determinar risco aceitável e são documentados no plano de
Durante a avaliação de risco, o fabricante compara os riscos estimados com os critérios para
aceitabilidade de risco e determina se esses critérios são satisfeitos ou não. Ver o Anexo C para
orientações adicionais e exemplos de aplicação de critérios para aceitabilidade de risco na
avaliação de risco.
7 Controle de risco
7.1 Análise de opção de controle de risco
7.1.1 Controle de risco para projeto de dispositivos médicos
Existem diversas opções para reduzir riscos associados a um dispositivo médico. Elas podem ser
usadas separadamente ou em combinação. O fabricante pode explorar diferentes opções para
reduzir os riscos a níveis aceitáveis de uma forma razoavelmente praticável. A ordem de prioridade
é importante, conforme enfatizado na ABNT NBR ISO 14971:2020. Isso é explicado abaixo e
esclarecido com alguns exemplos.
a) Tornar o projeto do dispositivo médico e o processo de fabricação inerentemente seguros ao:
— eliminar um perigo em particular.
EXEMPLO 1 Eliminando o perigo de bordas afiadas que possam causar lesões ao projetar as
superfícies com bordas arredondadas. Eliminando o perigo de choque elétrico usando-se uma bomba
operada manualmente em vez de uma bomba elétrica.
— reduzir a probabilidade de ocorrência de dano;
EXEMPLO 2 Reduzindo a probabilidade de dano de fibrilação devido a um choque elétrico por não
possuir quaisquer partes energizadas acessíveis. Reduzindo a probabilidade de acesso não autorizado
a dados por meio de gerenciamento de identidade. Reduzindo a probabilidade de reações biológicas
devidas à contaminação microbiana usando-se tecnologias de sala estéril ou esterilização.
— reduzir a severidade do dano.
EXEMPLO 3 Reduzindo a severidade do dano por esmagamento por uma parte móvel ao usar
um motor de baixa potência e baixa velocidade. Reduzindo a severidade de dano de um choque elétrico
ao usar baixa tensão elétrica (abaixo de 42 V).

ABNT/CB-026
DEZ 2021
b) Tomando medidas de proteção ao:
— impedir a ocorrência de uma situação perigosa.
EXEMPLO 4 Usando válvulas de corte automático ou de sobrepressão. Capas protetoras de fios

elétricos e unidades de força (plugues cobertos, soquetes e conectores). Proteções para partes móveis ou
para impedir que pacientes caiam da mesa ou do leito. Ensaios de inspeção na fabricação para detectar
produtos fora de conformidade.
— impedir que uma situação perigosa leve a dano.
EXEMPLO 5 Usando-se alarmes visuais ou acústicos para alertar o usuário sobre uma situação perigosa.
c) Fornecendo informações para segurança ao:
— colocar avisos no dispositivo médico.
EXEMPLO 6 Aviso: não usar após [data de validade].
— incluir contraindicações na documentação acompanhante.
EXEMPLO 7 Não usar em recém-nascidos.
— fornecer instruções para dar suporte ao correto uso e para evitar erro de uso.
EXEMPLO 8 Aplicar injetor de epinefrina no meio da parte externa da coxa (parte superior da perna),
através da roupa, se necessário. Não injetar nas veias, nádegas, dedos, artelhos, mãos ou pés. Segurar a
perna de crianças pequenas com firmeza no lugar antes e durante a injeção para evitar lesões.
— fornecer instruções para que se usem equipamentos de proteção pessoal.
EXEMPLO 9 Usar luvas e óculos ao manusear materiais tóxicos ou perigosos.
— fornecer instruções sobre medidas para reduzir a severidade de dano.
EXEMPLO 10 Enxaguar imediatamente com água após a contaminação com substâncias perigosas.
— fornecer treinamento a usuários sobre como usar o dispositivo médico corretamente.
EXEMPLO 11 Programa de treinamento para operadores de equipamentos de radioterapia ou para

máquinas de diálise de uso doméstico.
— fornecer instruções relacionadas à instalação e manutenção durante a vida útil do dispositivo

médico.
EXEMPLO 12 Intervalos de manutenção, vida útil máxima esperada, como descartar adequadamente
o dispositivo médico.
As opções de a) a c) estão listadas em ordem decrescente de prioridade com relação à sua eficácia
geralmente reconhecida em reduzir riscos. Convém que o fabricante leve esta ordem em consideração
antes de decidir as (combinações de) medidas de controle de risco mais apropriadas.
Exemplos de medidas de controle de risco específicas para diferentes tipos de dispositivos médicos
são apresentados na Tabela 6. Orientações adicionais sobre como fornecer informações para
segurança são apresentadas no Anexo D.

ABNT/CB-026
DEZ 2021
Tabela 6 – Exemplos de medidas de controle de risco

Dispositivo Situação Projeto inerentemente Medida de Informações
Perigo
médico perigosa seguro proteção para segurança
Reuso após uso

Seringa (para Contaminação Autodestruição após Clara indicação de
prévio em outro Aviso contra reuso
uso único) biológica uso um primeiro uso
paciente
Marca-passo para
Alarme antes do Informações sobre
Marca-passo Perda de de funcionar devido Baterias de longa
esgotamento da a vida útil típica da
implantável funcionalidade a esgotamento duração confiáveis
bateria bateria
precoce de bateria
Válvula de
Falha de software Instrução para usar
Ventilador sobrepressão
causa pressão Soprador incapaz de somente a mangueira
mecânico Pressão do ar no ventilador ou
excessiva nas vias entregar alta pressão respiratória fornecida
do paciente na mangueira
aéreas do paciente pelo fabricante
respiratória
Calibradores
Analisador Erro Instrução para
Resultado incorreto rastreáveis
sanguíneo de sistemático ou Autocalibração verificar a calibração
relatado ao clínico metrologicamente
IVD viés com controles válidos
fornecidos
Não praticável Barreiras de chumbo Informações sobre

Equipamentos Radiação Equipe exposta a
(a radiação dispersa e aventais de nível de radiação em
de raio X ionizante radiação dispersa
sempre ocorre) chumbo zonas de ocupação
Nesta etapa, possíveis soluções para projeto inerentemente seguro e medidas de proteção podem ser
investigadas quanto aos seus pontos fortes e fracos. Convém que a escolha de soluções de projeto
tenha como base estas investigações. Muito do conhecimento das possíveis soluções de projeto
e riscos relacionados pode ser criado nesse processo. Convém que o fabricante considere como
reter esse conhecimento para uso futuro.
7.1.2 Controle de risco para processos de fabricação
Desvios ou erros nos processos de fabricação podem comprometer a segurança de dispositivos

médicos, por exemplo, por:
— introduzir partículas ou resíduos perigosos;
— afetar propriedades físicas ou químicas críticas, como o revestimento da superfície, resistência

ao tensionamento, resistência ao envelhecimento, homogeneidade etc.;
— exceder tolerâncias críticas;
— controle de processo insuficiente, levando a mistura de linhas de gás durante a montagem

de um respirador; ou
— enfraquecimento da integridade de solda, colagem ou junção de componentes.
A fabricação inerentemente segura elimina o perigo em particular do processo de fabricação e

garante que o perigo não esteja presente no dispositivo médico. Medidas de proteção no processo
de fabricação, como inspeção e/ou testes, podem detectar não conformidades e podem impedir a
distribuição de dispositivos médicos afetados.

ABNT/CB-026
DEZ 2021
Técnicas como Análise de Modo de Falha e Efeitos (FMEA, ver Anexo B.5) e Análise de Perigo e
Pontos Críticos de Controle (HACCP, ver Anexo B.7) podem ser úteis para analisar etapas críticas
nos processos de fabricação e distribuição. É importante também considerar a necessidade
de controle de risco em:
— processos terceirizados, como produtos, componentes e serviços comprados; e

— outras fases do ciclo de vida do dispositivo médico, como armazenamento, distribuição, instalação,
manutenção, descomissionamento e descarte.
7.1.3 Normas e controle de risco
Geralmente, pode-se considerar que Normas Internacionais representam o estado da arte

geralmente reconhecido. Ao aplicar uma norma, o fabricante pode simplificar a tarefa de análise
de riscos residuais, mas fica enfatizado que a norma pode não abordar todos os riscos associados
a um dispositivo médico.
Muitas normas tratam da segurança inerente, medidas de proteção e informações da segurança para
dispositivos médicos. Quando há normas pertinentes, estas podem tratar de alguns ou de todos os
riscos associados a um dispositivo médico em particular. O fabricante pode presumir que, na ausência
de evidências objetivas em contrário, atender aos requisitos das normas pertinentes resulta em
riscos particulares sendo reduzidos a um nível aceitável. Ver o Anexo E para orientações adicionais
quanto ao uso de Normas Internacionais.
7.2 Implementação de medidas de controle de risco
A ABNT NBR ISO 14971:2020 requer a implementação de medidas de controle de risco, verificação

de implementação e verificação de eficácia destas medidas de controle de risco. O plano de
gerenciamento de risco especifica como as duas atividades distintas de verificação serão conduzidas.
A verificação de implementação de medidas de controle de risco no dispositivo médico pode ser obtida
a partir da documentação de projeto. A verificação da eficácia das medidas de controle de risco no
dispositivo médico pode requerer ensaios de medidas individuais de controle de risco ou ensaios do
dispositivo médico. Os requisitos de verificação se aplicam a todas as medidas de controle de risco,
incluindo informações para segurança. Ensaios com usuários podem fornecer informações úteis que
deem suporte à verificação de eficácia, por exemplo, ensaios de usabilidade (ver IEC 62366-1[16]),
investigação clínica (ver ISO 14155[26]) ou estudos de desempenho clínico de dispositivos médicos
de diagnóstico in vitro (ver ISO 20916[37]). Mais orientações quanto ao uso de Normas Internacionais
no gerenciamento de risco são fornecidas no Anexo E.
A verificação de implementação de medidas de controle de risco no processo de fabricação pode

ser realizada por meio da verificação das especificações do processo. A verificação da eficácia de
medidas de controle de risco no processo de fabricação pode ser realizada por meio de qualificação
do processo de fabricação, com validação de processo, qualificação de método de inspeção
ou outros meios apropriados.
O plano de gerenciamento de risco pode detalhar as atividades de verificação explicitamente ou por

meio de referência ao plano para outras atividades de verificação.
7.3 Avaliação de risco residual
Riscos residuais são avaliados pelo mesmo método e com os mesmos critérios para aceitabilidade
de risco que os riscos iniciais. O risco residual pode ser aceitável ou inaceitável. Quando inaceitável,

ABNT/CB-026
DEZ 2021
convém que mais opções de controle de risco sejam investigadas. Se um maior controle de risco
não for algo praticável, uma análise benefício-risco pode ser realizada. A avaliação de risco residual
pode ser repetida por todo o ciclo de vida do dispositivo médico, quando informações de produção
e pós-produção indicarem que o risco ou sua aceitabilidade podem ter alterado.
7.4 Análise benefício-risco

7.4.1 Geral
A ABNT NBR ISO 14971:2020 permite que o fabricante realize uma análise benefício-risco
para os riscos que não forem julgados aceitáveis ao usar os critérios estabelecidos no plano de
gerenciamento de risco e para os quais um maior controle de risco não é praticável. A análise
benefício-risco é usada para determinar se o risco residual é superado pelos benefícios esperados
do uso pretendido do dispositivo médico.
Análises benefício-risco podem não ser usadas para ponderar riscos residuais em comparação às
vantagens de negócios ou vantagens econômicas (ou seja, para tomadas de decisões de negócios).
Ver também a ABNT NBR ISO 14971:2020, A.2.7.4.
Convém que a praticabilidade de maiores reduções de risco seja considerada antes dos benefícios
(ver Anexo C). A decisão quanto a se os riscos são superados pelos benefícios é essencialmente
uma questão de julgamento por parte de indivíduos experientes e bem informados, normalmente uma
equipe multidisciplinar composta por especialistas médicos, clínicos ou de aplicação. Uma importante
consideração é quanto a se um benefício esperado pode ser alcançado por meio do uso de soluções
alternativas sem o risco ou com risco menor. Isso envolve comparar o risco residual para o dispositivo
médico do fabricante com o risco residual para dispositivos médicos similares.
7.4.2 Estimativa de benefício
O benefício oriundo de um dispositivo médico está relacionado à probabilidade e extensão de melhora

da saúde que se espera com seu uso. Benefícios podem ser descritos em termos de impacto positivo
em resultados clínicos, qualidade de vida do paciente, resultados relacionados ao diagnóstico,
impacto positivo de dispositivos de diagnóstico em resultados clínicos ou um impacto positivo na
saúde pública. A natureza e o grau dos benefícios podem depender da população de pacientes.
Por vezes, os benefícios podem ser descritos em termos de magnitude dos efeitos positivos;
por exemplo, a proporção de pacientes que experimentarão o benefício e a duração do benefício.
O benefício pode ser estimado a partir do conhecimento de diversos fatores, como:
— o desempenho esperado durante o uso clínico;
— o resultado clínico esperado desse desempenho;
— benefícios resultantes do uso de dispositivos médicos similares; e
— fatores pertinentes aos riscos e benefícios de outras opções de diagnóstico ou tratamento.
A confiança na estimativa de benefício é fortemente dependente da confiabilidade das informações

que tratam desses fatores. Isso inclui o reconhecimento de que provavelmente há uma gama de
possíveis resultados. Por exemplo:
— pode ser difícil comparar diferentes resultados, como qual é pior: dor ou perda de mobilidade?
Resultados diferentes podem resultar devido aos efeitos colaterais serem muito diferentes do
problema inicial.

ABNT/CB-026
DEZ 2021
— é difícil considerar resultados não estáveis. Esses podem surgir tanto do tempo de recuperação
quanto de efeitos a longo prazo.
Devido às dificuldades em aplicar uma abordagem rigorosa, é geralmente necessário que se faça
suposições simplificadoras. Portanto, será normalmente mais vantajoso focar nos resultados mais
prováveis para cada opção e naquelas que são mais favoráveis ou não favoráveis.
Convém que os seguintes aspectos sejam considerados:
— o tipo de benefícios esperados para o paciente ou outras pessoas (por exemplo, se o dispositivo
médico salva vidas ou é essencial em um dado cenário médico);
— a magnitude dos benefícios esperados (por exemplo, em que grau o paciente experimentará
o benefício terapêutico ou diagnóstico);
— a probabilidade de que o paciente experimentará os benefícios esperados (ou seja, a probabilidade

de que o dispositivo médico será eficaz no tratamento ou diagnóstico da doença ou condição
do paciente); e
— a duração dos efeitos esperados (ou seja, quanto tempo se espera que o benefício dure para o paciente).
Uma estimativa de benefício pode variar significativamente entre diferentes fases do processo de
projeto. Se estiverem disponíveis dados clínicos confiáveis que demonstrem o desempenho e a
eficácia consistentes do dispositivo médico, o benefício pode ser estimado com certeza. Em casos
em que os dados clínicos são limitados em quantidade ou qualidade, o benefício é estimado com
maior incerteza a partir de quaisquer que sejam as informações pertinentes disponíveis. Por exemplo,
às vezes é necessário, o quanto antes no processo, estimar o benefício a partir do grau esperado
de melhoria da saúde e da probabilidade de alcançar o desempenho pretendido.
Quando riscos significativos estiverem presentes e a estimativa de benefício possuir um alto grau
de incerteza, será necessário verificar o desempenho ou a eficácia esperados por meio de um
estudo de simulação ou de uma investigação clínica. Isso é essencial para que se confirme se o
equilíbrio benefício-risco está conforme o esperado e para impedir exposição inadvertida de pacientes
a um grande risco residual. A ISO 14155[26] especifica procedimentos para investigações clínicas
de dispositivos médicos e a ISO 20916[37], para estudos de desempenho clínico de dispositivos
médicos de diagnóstico in vitro.
7.4.3 Critérios para análise benefício-risco
Aqueles envolvidos em fazer julgamento de benefício-risco têm a responsabilidade de compreender
e considerar os contextos técnicos, regulatórios, econômicos e sociológicos de suas decisões de
gerenciamento de risco. Isso pode envolver uma interpretação de requisitos fundamentais estabelecidos
em regulamentações ou normas aplicáveis, uma vez que se aplicam ao dispositivo médico sob
consideração nas condições de uso esperadas. Uma vez que esse tipo de análise é altamente
específica ao produto, orientações adicionais de natureza geral não são possíveis. Em vez disto,
os requisitos de segurança especificados por normas que abordem produtos ou riscos específicos
podem ser presumidos como sendo consistentes com um nível aceitável de risco, especialmente
quando o uso destas normas é adotado pelo sistema regulatório vigente. Nota-se que uma investigação
clínica pode ser requerida para verificar se o equilíbrio entre benefício e risco residual é aceitável.
7.4.4 Comparação de benefício-risco
Uma comparação direta de benefício e risco é complicada e convém que considere o seguinte:
— caracterização da doença ou condição dos pacientes destinados;

ABNT/CB-026
DEZ 2021
— a incerteza dos dados. Inicialmente, uma pesquisa na literatura pelos perigos e dispositivos
médicos sob consideração pode fornecer contribuições ao equilíbrio entre benefício e risco;
— informações de produção e pós-produção para dispositivos médicos similares que já estejam

disponíveis no mercado;
— o estado da arte geralmente reconhecida como tal;
— uma comparação dos benefícios do dispositivo médico em desenvolvimento com os benefícios

de dispositivos médicos similares disponíveis no mercado; e
— uma comparação dos riscos residuais do dispositivo médico em desenvolvimento com os riscos
residuais de dispositivos médicos similares disponíveis no mercado.
A ABNT NBR ISO 14971:2020 requer que o fabricante registre os resultados de uma análise
benefício-risco no arquivo de gerenciamento de risco. É recomendado incluir a justificativa de como
a conclusão foi obtida.
7.4.5 Exemplos de análises benefício-risco
Os exemplos a seguir ilustram as conclusões de análises benefício-risco.
EXEMPLO 1 Queimaduras podem ocorrer onde o eletrodo de retorno de um dispositivo cirúrgico de alta
frequência estiver inapropriadamente acoplado ao paciente. Embora a conformidade com a norma pertinente
do produto minimize a probabilidade destas queimaduras, elas ainda podem ocorrer. Todavia, o benefício
de se usar um dispositivo cirúrgico de alta frequência supera o risco residual de queimadura.
EXEMPLO 2 Embora se saiba que raios X são potencialmente danosos, a eficácia clínica do imageamento
diagnóstico convencional quase sempre justifica seu uso. Entretanto, os efeitos indesejados de radiação
sobre o paciente não são ignorados. Existem normas para minimizar a exposição de pacientes à radiação.
Quando uma nova aplicação de radiação ionizante é desenvolvida e as normas existentes não são aplicáveis,
o fabricante verifica se os resultados da análise benefício-risco são, ao menos, tão favoráveis quanto os de
dispositivos médicos e tratamentos alternativos.
EXEMPLO 3 Uma vez implantado, alguns componentes do implante coclear, como o estimulador receptor
do implante com matriz de eletrodos, podem não ser facilmente substituídos. Esses são destinados a
permanecerem implantados por toda a vida e são requeridos a ter desempenho confiável por anos, mesmo
décadas (essa é uma consideração especialmente importante no caso de jovens adultos ou crianças).
Ensaios de confiabilidade acelerados desses componentes podem ser conduzidos para mecanismos de
falha específicos. Entretanto, validar a confiabilidade de componentes que são para durar por décadas não é
prático. Portanto, o risco residual de falha do dispositivo médico é ponderado frente ao benefício da potencial
melhoria da audição. O risco residual depende da confiabilidade estimada dos componentes e da confiança
nas estimativas de confiabilidade para esses componentes que podem não ser validados. Em alguns casos,
o risco residual supera o benefício; em outros casos, o benefício supera o risco.
7.5 Riscos provenientes de medidas de controle de risco
Implementar uma medida de controle de risco para reduzir um risco pode introduzir novos riscos ou
aumentar outros riscos, incluindo aqueles avaliados previamente como sendo aceitáveis. Por exemplo,
a eliminação de um risco relacionado ao uso na interface de usuário pode restringir a flexibilidade
do usuário no uso do dispositivo médico e restringir sua capacidade de interferir em situações
perigosas. Um segundo exemplo é uma alteração do software para controlar um risco em particular,
que de maneira não intencional enfraquece uma outra medida de controle de risco embutida na
arquitetura do software. O fabricante analisa criticamente estes efeitos para assegurar que estes
riscos continuem sendo aceitáveis.

ABNT/CB-026
DEZ 2021
Uma forma de desempenhar esta análise crítica é atualizar a análise de risco do dispositivo médico,
incluindo todas as medidas de controle de risco, e identificar se novos riscos são introduzidos
ou se riscos existentes são aumentados. Para medidas de controle de risco no processo de fabricação,
o fabricante pode realizar a análise crítica como parte da análise de risco do processo ou validação
do processo.
7.6 Completude do controle de risco
A ABNT NBR ISO 14971:2020 requer que os riscos de todas as situações perigosas identificadas
sejam considerados e que todas as atividades de controle de risco sejam completadas.
Isso pode ser alcançado ao se manter uma lista de todos os perigos e situações perigosas e seus
riscos associados. A lista pode ser verificada para assegurar que os riscos de todas as situações
perigosas identificadas tenham sido considerados e que nenhum risco tenha sido esquecido.
Os resultados desta atividade são documentados no arquivo de gerenciamento de risco.
8 Avaliação do risco residual geral

8.1 Considerações gerais
A ABNT NBR ISO 14971:2020 requer que o risco residual geral seja avaliado em relação aos
benefícios do uso pretendido do dispositivo médico e que tanto os critérios para aceitabilidade do
risco residual geral quanto o método de avaliação de risco residual geral sejam incluídos no plano
de gerenciamento de risco.
A avaliação de risco residual geral é o ponto em que o risco residual é visto a partir de uma perspectiva
mais ampla. Todas as situações perigosas identificadas foram avaliadas e todos os riscos foram
reduzidos a um nível aceitável ou foram aceitos com base na análise benefício-risco. O fabricante
considera se o risco residual geral associado ao dispositivo médico como um todo satisfaz aos
critérios para aceitabilidade de risco residual geral. Essa consideração leva em conta as contribuições
de todos os riscos residuais juntos em relação aos benefícios do uso pretendido do dispositivo
médico.Esta etapa é particularmente importante para dispositivos médicos complexos e para
dispositivos médicos com um alto número de riscos individuais. A avaliação pode levar à conclusão
de que o dispositivo médico é seguro.
A avaliação de risco residual geral é uma tarefa desafiadora que pode não ser alcançada adicionando-se
todos os riscos individuais numericamente. A dificuldade surge pelas seguintes razões:
— Cada probabilidade de ocorrência de dano é relacionada a um dano diferente com severidade

diferente e pode ser relacionada a diferentes situações perigosas.
— Probabilidades são geralmente conhecidas com diferentes graus de incerteza. Algumas

probabilidades poderiam ser conhecidas precisamente tanto a partir de dados históricos quanto
por meio de testes. Outras probabilidades podem ser conhecidas imprecisamente, como
estimativas do juízo de um especialista ou podem não ser estimadas, como a probabilidade
de uma falha de software.
— Não é possível combinar as severidades de danos individuais dentro das amplas categorias
normalmente empregadas na análise de risco.
Além disso, os critérios para aceitabilidade do risco residual geral podem ser diferentes dos critérios
para aceitabilidade de riscos individuais. Os critérios usados para avaliar riscos individuais normalmente
incluem limites para a probabilidade de ocorrência de dano com uma severidade em particular.

ABNT/CB-026
DEZ 2021
Os critérios usados para avaliar o risco residual geral comumente têm como base elementos
adicionais, como os benefícios do uso pretendido do dispositivo médico.
Não há uma maneira preferida para avaliar o risco residual geral. O fabricante é responsável por
determinar um método apropriado. Nas subseções a seguir, são apresentados alguns exemplos
de abordagens que podem ser usadas ao definir o método de avaliação. Estas orientações são
destinadas a auxiliar os fabricantes a estabelecerem métodos e critérios.
A ABNT NBR ISO 14971:2020 requer que o risco residual geral seja avaliado por pessoas com o
conhecimento, experiência e autoridade para desempenhar estas tarefas. É recomendado envolver
especialistas em aplicação com conhecimento e experiência no dispositivo médico. Por fim,
convém que a avaliação tenha como base o julgamento de um especialista com funções essenciais
para conhecimento de aplicação e experiência clínica.
Os resultados da avaliação de risco residual geral formam parte do arquivo de gerenciamento de risco.
É recomendado documentar a justificativa para aceitação do risco residual geral.
A ABNT NBR ISO 14971:2020 requer que o fabricante informe aos usuários sobre riscos residuais
significativos e que forneça as informações necessárias na documentação acompanhante para
divulgar estes riscos residuais. Ver Anexo D para orientações sobre a divulgação de risco residual.
8.2 Contribuições e outras considerações
A avaliação de risco residual geral pode abordar muitas contribuições e considerações. Alguns
exemplos de contribuições e seu uso são apresentados a seguir.
a) Diferentes sequências de eventos podem levar a diferentes situações perigosas e riscos,
cada uma contribuindo para o risco residual geral. Por exemplo, o reuso de um dispositivo para
uso único pode ser associado a infecção, percolação de substâncias tóxicas, falha mecânica
devida ao envelhecimento e resíduos de desinfetantes bioincompatíveis. A Análise de Árvore
de Eventos (ETA, ver Anexo B.4) pode ser um método adequado para analisar esses riscos,
diferenciar entre sequências de eventos com probabilidade de ocorrência ou severidade de dano
considerável versus negligenciável. A contribuição combinada desses riscos é considerada na
avaliação do risco residual geral.
b) Um dano em particular pode se originar de diferentes situações perigosas. Nesses casos,
a probabilidade de ocorrência do dano pode ser usada para determinar o risco residual geral
com base na combinação das probabilidades individuais. A Análise de Árvore de Falhas (FTA,
ver Anexo B.3) pode ser um método adequado para estimar a probabilidade combinada de
ocorrência de um dano em particular.
c) Medidas de controle de risco que são apropriadas para riscos individuais independentes podem
resultar em requisitos conflitantes, o que pode aumentar o risco residual geral. Por exemplo,
uma instrução para que se trate o risco de queda de um paciente inconsciente da mesa do paciente
poderia ser “nunca deixe um paciente inconsciente sem supervisão”. Isso poderia conflitar com
a instrução “permaneça atrás da tela de proteção ao realizar imagens de raio X” destinada a
proteger a equipe médica de se expor a raios X.
d) Um aviso por si só pode fornecer adequada redução de um risco individual. Entretanto, muitos
avisos podem confundir o usuário do dispositivo médico e, assim, reduzir o efeito dos avisos
individuais. Pode ser necessária uma análise para determinar se há uma confiança excessiva
em avisos e se essa dependência excessiva pode ter um impacto na redução do risco e no risco
residual geral.

ABNT/CB-026
DEZ 2021
e) Uma análise crítica abrangente de todas as instruções de operação para o dispositivo médico
pode revelar que as instruções são inconsistentes ou muito difíceis de seguir. Isto também
pode ter impacto sobre o risco residual geral.
f) Os resultados da validação de projeto, estudos de usabilidade, avaliações clínicas e investigações

clínicas podem fornecer informações úteis sobre o risco residual geral. Contribuições apropriadas
das partes interessadas podem fornecer informações úteis.
g) Convém que todas as análises benefício-risco para riscos individuais sejam consideradas.
h) Quando ocorrer escolhas entre riscos na análise de risco, convém que o impacto sobre o risco
residual geral seja analisado com cuidado extra. Estas são situações em que pode ter
sido permitido que um risco se eleve um pouco para que outro risco pudesse ser reduzido.
Por exemplo, é permitido que o risco para uma pessoa (o usuário) aumente de modo que o risco
para outra (o paciente) possa ser reduzido. A avaliação pode tomar a forma de passar por riscos
maiores relacionados, descrevendo porque o balanceamento da escolha é justificado, e porque
o nível combinado dos riscos na decisão da escolha é aceitável.
8.3 Possíveis abordagens
O método para avaliar o risco residual geral pode incluir as seguintes abordagens ou outras abordagens
consideradas apropriadas pelo fabricante.
a) Os benefícios relacionados ao uso pretendido do dispositivo médico são ponderados perante
o risco residual geral. Benefícios podem ser descritos por sua magnitude ou extensão,
a probabilidade de experimentar o benefício dentro da população de pacientes destinada e a
duração e a frequência do benefício. Convém que a avaliação considere o conhecimento da
indicação médica pretendida, o estado da arte geralmente reconhecido em tecnologia e medicina
e a disponibilidade de dispositivos médicos ou tratamentos alternativos.
b) Representações visuais dos riscos residuais podem ser úteis. Cada risco residual individual
pode ser mostrado em um gráfico de risco ou matriz de risco, como observado na Figura 3 e na
Figura 4, fornecendo uma visualização gráfica da distribuição dos riscos. Se muitos dos riscos
estiverem nas regiões de maior severidade ou nas regiões de maior probabilidade da matriz de
risco ou, se conjuntos de riscos forem limítrofes, então a distribuição dos riscos pode indicar
que o risco residual geral pode não ser aceitável, mesmo que cada risco individual tenha sido
julgado como aceitável.
c) O fabricante pode comparar o dispositivo médico em consideração com dispositivos médicos
similares disponíveis no mercado. A questão-chave é se o dispositivo médico em consideração
possui um risco residual geral aceitável em relação aos benefícios médicos, em comparação
a dispositivos médicos similares. Riscos residuais decorrentes do dispositivo médico podem
ser comparados individualmente a riscos correspondentes para dispositivo médico semelhante,
considerando as diferenças no uso pretendido. Convém que informações atualizadas sobre o
uso pretendido e eventos adversos de dispositivos médicos similares sejam cuidadosamente
analisadas criticamente, bem como informações provenientes da literatura científica, incluindo
informações sobre a experiência clínica.
d) O fabricante pode usar especialistas para dar suporte à avaliação do risco residual geral
em relação aos benefícios esperados de se usar o dispositivo médico em consideração.
Esses especialistas podem vir de uma variedade de disciplinas e convém incluir aqueles com
experiência clínica ou aplicada e aqueles com conhecimento em dispositivos médicos similares.

ABNT/CB-026
DEZ 2021
Convém que esses especialistas possuam um nível apropriado de independência daqueles

que projetaram e desenvolveram o dispositivo médico. Eles podem auxiliar o fabricante a
considerar as preocupações das partes interessadas. Chama-se a atenção para os requisitos
na ABNT NBR ISO 14971:2020 para treinamento e experiência.
e) Embora convenha que todos os riscos individuais tenham sido identificados, controlados
e julgados como aceitáveis a esta altura, pode ser apropriado que alguns riscos sejam mais
investigados como resultado da avaliação de risco residual geral. Por exemplo, podem haver
muitos riscos próximos de não serem aceitáveis. Consequentemente, o risco residual geral
pode não ser considerado aceitável e seria apropriada uma investigação adicional.
f) Investigações adicionais também podem ser apropriadas quando alguns riscos forem
interdependentes com respeito a suas causas ou às medidas de controle de risco aplicadas.
Convém que medidas de controle de risco sejam verificadas quanto à eficácia, não apenas
individualmente, mas também em combinação com outras medidas de controle de risco.
Isso também pode se aplicar a medidas de controle de risco projetadas para controlar múltiplos
riscos simultaneamente. A Análise de Árvore de Falhas (FTA) ou a Análise de Árvore de Eventos
(ETA) podem ser ferramentas úteis para descobrir estas relações entre riscos e medidas
de controle de risco.
9 Análise crítica do gerenciamento de risco

A ABNT NBR ISO 14971:2020 requer que os resultados finais do processo de gerenciamento de
risco sejam analisados criticamente para assegurar que o plano de gerenciamento de risco tenha
sido adequadamente executado, que o risco residual geral seja aceitável e que métodos apropriados
estejam disponíveis para coletar e analisar criticamente informações pertinentes de produção e
pós-produção. A análise crítica de gerenciamento de risco é realizada após a implementação e
verificação de todas as medidas de controle de risco, mas antes do lançamento comercial do
dispositivo médico. O relatório de gerenciamento de risco fornece o resumo desta análise crítica
e está incluso no arquivo de gerenciamento de risco.
Pode haver a necessidade de revisar ou atualizar o relatório de gerenciamento de risco se novas

informações forem disponibilizadas, por exemplo, durante as fases de produção e pós-produção.
O fabricante determina quando análises críticas subsequentes da execução do plano de gerenciamento
de risco e atualizações do relatório de gerenciamento de risco serão executadas, por exemplo,
após alteração no projeto do dispositivo médico.
A análise crítica da execução do plano de gerenciamento de risco não é para ser confundida com a
análise crítica da adequação do processo de gerenciamento de risco em intervalos planejados pela
Alta Direção (ver 4.2.3). O plano de gerenciamento de risco está relacionado ao ciclo de vida de um
tipo de dispositivo médico (ou família de dispositivos médicos). A análise crítica da adequação do
processo de gerenciamento de risco está relacionada à eficácia do processo e como esse processo
é implementado.
10 Atividades de produção e pós-produção

10.1 Geral
O monitoramento de informações de produção e pós-produção é a etapa crítica que permite que

fabricantes de dispositivos médicos fechem o ciclo de feedback e façam do gerenciamento de risco
um processo de ciclo de vida contínuo. Durante esta fase, informações são coletadas de diferentes

ABNT/CB-026
DEZ 2021
fontes, analisadas criticamente quanto à relevância para a segurança e quando apropriado,

repassadas para as fases iniciais do processo de gerenciamento de risco para manter a segurança
do dispositivo médico.
A ABNT NBR ISO 14971:2020 requer que o fabricante estabeleça um sistema para ativamente coletar
e analisar criticamente informações sobre o dispositivo médico que poderiam estar relacionadas
à segurança. As atividades necessárias para estabelecer esse sistema são registradas no plano
de gerenciamento de risco (ver 4.4.8).
As atividades de produção e pós-produção podem ser parte de um sistema de vigilância pós-

comercialização. Ver ISO/TR 20416[35] para orientações adicionais sobre vigilância pós-comercialização.
NOTA Esta fase é alinhada às partes pertinentes das Seções 7 e 8 da ABNT NBR ISO 13485:2016[24].
Mais orientações são fornecidas no ISO Handbook: ISO 13485:2016 – Medical devices – A practical guide[25].
10.2 Coleta de informação
Informações pertinentes à segurança do dispositivo médico podem vir de uma variedade de fontes.
Quanto mais experiência um fabricante possuir no desenvolvimento e comercialização de dispositivos
médicos similares, mais provável é que o fabricante terá um bom entendimento sobre o desempenho
do dispositivo médico, da população de pacientes, do mau uso razoavelmente previsível que pode
ocorrer e dos riscos associados ao dispositivo médico.
Atividades de produção e pós-produção podem incluir o recebimento de informações sobre a segurança

e o desempenho do dispositivo médico. Fontes incluem, comumente, feedback geral dos usuários,
distribuidores, pessoal de serviço e pessoal de treinamento. As informações podem ser relacionadas
a danos que tenham ocorrido ou a situações perigosas que tenham ocorrido sem danos. As atividades
também podem incluir a solicitação de informações sobre o desempenho do dispositivo médico e riscos
relacionados. Essas atividades envolvem entrar em contato com as partes interessadas para obter
informações específicas e contribuições usando métodos como pesquisas com consumidores, grupos
de usuários especialistas (grupos de foco) e registros de rastreabilidade/implante de dispositivos
médicos patrocinados pelo fabricante. Também inclui informações publicamente disponíveis, como
literatura clínica, relatórios de incidentes e bases de dados de eventos adversos.
As atividades podem ainda incluir estudos de monitoramento clínico pós-comercialização (PMCF –

post-market clinical follow-up) conduzidos após aprovação para comercialização, os quais se destinam
a aprimorar as evidências clínicas para a segurança e desempenho de um dispositivo médico após
este ser colocado no mercado. Estudos de PMCF comumente abordam questões relacionadas à
segurança ou desempenho (ou seja, os riscos residuais) quando um dispositivo médico é usado
de acordo com seu uso pretendido. Ver ISO 14155[26] para requisitos sobre investigações clínicas e
GHTF/SG5/N4:2010[3] para orientações adicionais sobre estudos PMCF.
As informações coletadas não necessariamente têm de ser diretamente relacionadas ao dispositivo
médico do fabricante. Outros dispositivos médicos com uso pretendido semelhante, princípios de
operação semelhantes ou perigos semelhantes podem render informações úteis sobre os riscos
associados ao dispositivo médico do fabricante. Isso também se aplica a outros produtos sem
finalidade médica, mas com uso semelhante ou princípio de operação semelhante.
A Tabela 7 apresenta uma lista de fontes de dados que contêm informações de produção e pós-
produção que convém considerar para análise e possível relevância à segurança. Esta tabela tem
como base a GHTF/SG3/N18:2010[2].
Se a coleta e análise crítica de informações for realizada por departamentos diferentes, a efetiva
comunicação e coordenação entre esses departamentos é essencial.

ABNT/CB-026
DEZ 2021
Tabela 7 – Fontes de dados relacionados a informações de produção e pós-produção

Fontes de dados Informações
— Dados provenientes do monitoramento de desempenho/controle do fornecedor
— Monitoramento do processo
Produção
— Inspeções/testes durante processo
— Auditorias internas/externas
— Quantidade
— Por família de dispositivo médico
— Por consumidor (médico, instalação de cuidados à saúde, paciente etc.)
Tratamento de
— Motivo da reclamação
reclamações
— Códigos de reclamação
— Severidade de qualquer dano
— Componente envolvido
— Instalação
— Primeiro uso do dispositivo médico
— Frequência das visitas de manutenção
— Tipos de reparos
Relatórios de serviço
— Frequência de reparos
— Frequência de uso
— Partes substituídas
— Pessoal de serviço
— Relatórios de eventos adversos publicados para dispositivos médicos similares
Gerenciamento de risco
— Preocupações das partes interessadas e estado da arte geralmente reconhecido
Atividades clínicas — Estudos de Monitoramento Clínico Pós Comercialização (PMCF)
Pesquisas de mercado/ — Tempo de resposta do serviço

pacientes — Informações solicitadas sobre dispositivos médicos novos ou modificados
Literatura científica — Publicações de pesquisa
— Boletins on-line
Fontes de mídia — Sites de informações médicas
— Artigos em revistas especializadas, revistas científicas e outra literatura
— Pesquisadores de segurança independentes
— Ensaios internos
— Fornecedores de tecnologia de software ou hardware
Fontes de dados de — Instalações de cuidados à saúde
segurança — Eventos publicados para dispositivos que compartilham tecnologias
semelhantes às do dispositivo médico
— Centro de Compartilhamento de Informações e Análise (ISAC – Information
Sharing and Analysis Center)

ABNT/CB-026
DEZ 2021
10.3 Análise crítica de informação
As informações coletadas são analisadas criticamente para determinar se as informações são

pertinentes à segurança. As seguintes questões podem ajudar nesta análise crítica:
— O uso pretendido ainda é válido?

— Os benefícios esperados são alcançados?
— Há evidências de perigos ou situações perigosas não identificadas previamente? Por exemplo,

ocorreu algum dano não previsto?
— Há ocorrências de mau uso que não tenham sido anteriormente previstas?
— Há uma tendência crescente de uso para aplicações que não tenham sido o uso pretendido?
— A frequência de ocorrência de uma situação perigosa ou dano em particular sugere que a

probabilidade de ocorrência de dano tenha sido subestimada?
— O dano relatado indica que a severidade do dano foi subestimada?
— Há evidências de que as medidas de controle de risco não sejam eficazes?
— A avaliação do risco residual geral representa com exatidão a real experiência de mercado?
— Há alterações no que geralmente se reconhece como estado da arte?
— Há indicações de que convém que os critérios para aceitabilidade de risco sejam ajustados?
A análise crítica das informações pode levar a muitos resultados possíveis, como, por exemplo:
— O perigo e a situação perigosa foram corretamente identificados. O risco foi determinado

adequadamente e permanece aceitável.
— O perigo e a situação perigosa foram identificados corretamente, mas o risco aumentou e não
é mais aceitável. Ações adicionais são requeridas.
— O perigo ou a situação perigosa não foram identificados. Ações adicionais são requeridas.
— O estado da arte geralmente reconhecido ou os benefícios para o dispositivo médico sofreram

alteração. Ações adicionais são requeridas.
Com relação a alterações no estado da arte geralmente reconhecido, convém que também seja
considerada a disponibilidade de alternativas para tratar ou diagnosticar a condição médica dos
pacientes pretendidos, incluindo a segurança e eficácia e os riscos associados a estas alternativas.
Convém que os riscos e benefícios a pacientes em situações em que nenhum tratamento ou
diagnóstico estão disponíveis também sejam considerados.
Convém também que o fabricante determine se os benefícios esperados do uso pretendido são
conseguidos ou sofreram alteração. Se os benefícios se alterarem enquanto os riscos permanecerem
os mesmos, o equilíbrio entre benefício e risco residual geral também pode mudar. Ver 7.4.2 para uma
discussão de estimativa de benefícios.

ABNT/CB-026
DEZ 2021
Convém que sejam consideradas técnicas estatísticas para auxiliar no processamento de dados,
como análise de tendência, técnicas de engenharia de confiabilidade preditiva (por exemplo,
análise Weibull) e avaliação de confiabilidade (por exemplo, ensaios de dispositivos médicos ou
componentes até a falha, ensaio de componentes que falharam e retornaram ao fabricante ou ensaio
de dispositivos médicos do mesmo lote ou de lotes anteriores/posteriores). Ver ISO/DIS 10017[21]
para orientações adicionais quanto à seleção e uso de técnicas estatísticas.
10.4 Ações
Se as informações coletadas forem analisadas criticamente e determinadas como pertinentes à

segurança, diversas ações são requeridas pela ABNT NBR ISO 14971:2020. Algumas destas ações
estão relacionadas ao dispositivo médico em particular, enquanto outras ações estão relacionadas
ao processo de gerenciamento de risco.
Se estiver presente um perigo ou situação perigosa que não tenha sido reconhecido previamente,
os riscos associados serão determinados e controlados onde for apropriado, seguindo as etapas da
ABNT NBR ISO 14971:2020, Seções 5 a 7. Os resultados da determinação de risco e as medidas
de controle de risco implementadas são registrados no arquivo de gerenciamento de risco.
Se um risco tiver se tornado não mais aceitável, uma atualização da determinação do risco específico
será necessária. O impacto das informações coletadas sobre medidas de controle de risco previamente
implementadas é avaliado para verificar se essas medidas permanecem eficazes e suficientes para
reduzir o risco. Convém que os resultados dessa avaliação sejam considerados como uma contribuição
para modificação do dispositivo médico. Se apropriado, as etapas da ABNT NBR ISO 14971:2020,
Seções 5 a 7, são repetidas e medidas de controle de risco novas/adicionais são implementadas.
A determinação de risco atualizada e as medidas de controle de risco implementadas são registradas
no arquivo de gerenciamento de risco.
Pode ser necessário avaliar o risco residual geral novamente em relação aos benefícios do
uso pretendido do dispositivo médico. Também pode ser necessário repetir a análise crítica do
gerenciamento de risco e preparar um novo relatório de gerenciamento de risco. Ver Seções 8 e 9
da ABNT NBR ISO 14971:2020.
Convém que o fabricante também considere se são necessárias ações para tratar dos dispositivos
médicos que já estejam:
— distribuídos (ou seja, além do controle do fabricante), porque a correção destes dispositivos
médicos ou sua remoção do mercado podem ser necessárias;
— fabricados mas não distribuídos (ou seja, ainda sob controle do fabricante), porque a contenção
e a correção desses dispositivos médicos podem ser necessárias; ou
— para fabricação no futuro, porque a modificação do projeto do dispositivo médico e processos

de fabricação ou manutenção relacionados pode ser necessária.
Para dispositivos médicos no mercado, convém que o fabricante considere se convém comunicar
quaisquer informações urgentes aos usuários, pacientes e demais partes interessadas como
uma medida provisória (por exemplo, como uma nota de aviso conforme descrito na 8.3 da
ABNT NBR ISO 13485:2016[24]), antes de medidas de controle de risco adicionais serem desenvolvidas.
Convém que o grau de urgência nessa comunicação seja proporcional ao grau de risco, porque a
rapidez dessas ações contribui para sua eficácia. O período de tempo pode estar sujeito a requisitos
regulamentares. As decisões e ações tomadas são registradas no arquivo de gerenciamento de risco.

ABNT/CB-026
DEZ 2021
Os resultados da análise crítica das informações podem indicar que o processo de gerenciamento de
risco é insuficiente ou inadequado. Portanto, a ABNT NBR ISO 14971:2020 requer que o fabricante
avalie o impacto das informações coletadas nas atividades de gerenciamento de risco previamente
implementadas, para verificar quais atividades convém aperfeiçoar. Os resultados dessa avaliação
são comunicados à Alta Direção, que tomará esses resultados como contribuição para as análises
críticas planejadas da adequação do processo de gerenciamento de risco (ver 4.2.3). A Alta
Direção decide, então, quais partes ou aspectos do processo de gerenciamento de risco requerem
aperfeiçoamento para assegurar sua eficácia contínua.

ABNT/CB-026
DEZ 2021
Anexo A
(informativo)
Identificação de perigos e características relacionadas à segurança

A.1 Geral
A ABNT NBR ISO 14971:2020 requer que o fabricante identifique as características do dispositivo
médico que possam afetar a segurança. A consideração dessas características é uma etapa essencial
na identificação dos perigos associados ao dispositivo médico. Uma forma de fazer isso é perguntando
uma série de questões com respeito ao fabricante, usuários pretendidos, uso pretendido, mau uso
razoavelmente previsível e descarte final do dispositivo médico. Ao se fazer estas perguntas do ponto
de vista de todos os indivíduos envolvidos (por exemplo: usuários, equipe de manutenção, pacientes
etc.), pode surgir uma visão mais completa dos perigos que podem existir.
As perguntas em A.2 podem auxiliar o leitor na identificação de todas as características do dispositivo

médico que possam afetar a segurança. O Anexo H contém pontos adicionais a considerar na estimativa
dos riscos de dispositivos médicos de IVD. Essas listas não são exaustivas nem representativas de
todos os dispositivos médicos e o fabricante é aconselhado a acrescentar perguntas que possam
ter aplicação ao dispositivo médico em particular e ignorar as perguntas que não forem pertinentes.
O fabricante também é aconselhado a considerar cada pergunta não somente por si própria,
mas também em relação às outras.
O fabricante pode realizar consultas adicionais à literatura clínica pertinente, regulamentações

aplicáveis ou aos princípios essenciais de segurança e desempenho para dispositivos médicos na
ISO 16142-1[29] ou para dispositivos médicos de diagnóstico in vitro na ISO 16142-2[30]. Uma fonte
adicional para dispositivos médicos nos quais a segurança da informação é uma preocupação é a
AAMI TIR 57[1].
A.2 Questões
A.2.1 Qual é o uso pretendido e como o dispositivo médico é para ser usado?
Fatores que convém considerar incluem:
— qual é o papel do dispositivo médico em relação a:
— diagnóstico, prevenção, monitoramento, tratamento ou alívio de doença,
— diagnóstico, monitoramento, tratamento, alívio ou compensação de uma lesão,
— investigação, substituição, modificação ou apoio da anatomia ou de um processo fisiológico ou
— controle de concepção?
— quais são as indicações para uso (por exemplo, população de paciente, perfil de usuário, ambiente
de uso)?
— quais são as contraindicações?

ABNT/CB-026
DEZ 2021
— o dispositivo médico sustenta ou presta suporte à vida?
— é necessária alguma intervenção em caso de falha do dispositivo médico?
— o desempenho do dispositivo médico pode ser impactado se ocorrer uma falha de segurança
(degradação de desempenho ou perda de disponibilidade)?
— o acesso não autorizado, atividades não autorizadas ou a perda de dados podem afetar a
segurança do dispositivo médico?
A.2.2 O dispositivo médico é destinado a ser implantado?
Fatores que convém considerar incluem o local de implante, as características da população de pacientes,
idade, peso, atividade física, os efeitos do envelhecimento sobre o desempenho do implante, a vida útil
esperada do implante, a reversibilidade do implante, se o implante pode ser modificado ou configurado
enquanto implantado e a conexão de acesso para realizar esta modificação ou configuração (por exemplo:
ponto de acesso físico ou conexão sem fio ao dispositivo médico implantado).
A.2.3 O dispositivo médico é destinado a permanecer em contato com o paciente ou

outras pessoas?
Fatores que convém considerar incluem a natureza do contato pretendido, ou seja, contato superficial,
contato invasivo, ou implante e, para cada um destes, o período e a frequência de contato.
A.2.4 Quais materiais ou componentes são utilizados no dispositivo médico ou são

usados com/ou entram em contato com o dispositivo médico?
— compatibilidade com substâncias pertinentes;
— compatibilidade com tecidos ou fluidos corporais;
— se características pertinentes à segurança são conhecidas;
— o dispositivo médico é fabricado utilizando materiais de origem animal?
NOTA Ver Anexo B da ISO 10993-1:2018[22] e também a série ISO 22442[39].
A.2.5 É entregue ou extraída alguma energia do paciente?

— o tipo de energia transferida;
— seu controle, qualidade, quantidade, intensidade e duração; e
— se os níveis de energia são maiores que os atualmente usados para dispositivos médicos semelhantes.
A.2.6 É entregue ou extraída alguma substância do paciente?

— se a substância é entregue ou extraída;

ABNT/CB-026
DEZ 2021
— se é uma única substância ou gama de substâncias; e
— as taxas de transferência máxima e mínima e o controle destas.
A.2.7 Materiais biológicos são processados pelo dispositivo médico para reuso,
transfusão ou transplante subsequentes?
Fatores que convém considerar incluem o tipo de processo e substância(s) processada(s) (por exemplo:
autotransfusão, diálise, processamento de componentes sanguíneos ou de terapia celular).
A.2.8 O dispositivo médico é fornecido estéril ou é destinado a ser esterilizado pelo

usuário ou há outros controles microbiológicos aplicáveis?
— se o dispositivo médico é destinado a uso único ou embalado para reuso;
— questões do tempo de prateleira;
— limitação no número de ciclos de reuso;
— método de esterilização do produto; e
— o impacto de outros métodos de esterilização não destinados pelo fabricante.
A.2.9 O dispositivo médico é destinado a ser limpo e desinfetado rotineiramente pelo

usuário?
Fatores que convém considerar incluem os tipos de agentes de limpeza ou desinfecção a serem
usados e quaisquer limitações no número de ciclos de limpeza. O desenho do dispositivo médico
pode influenciar a eficácia da limpeza e desinfecção de rotina. Adicionalmente, convém considerar o
efeito de agentes de limpeza e desinfecção sobre a segurança ou desempenho do dispositivo médico.
A.2.10 O dispositivo médico modifica o ambiente do paciente?
— temperatura;
— umidade;
— composição do gás atmosférico;
— pressão; e
— luz.
A.2.11 É feita alguma medição?
Fatores que convém considerar incluem as variáveis medidas e a exatidão e precisão dos resultados
de medição, bem como se a aparelhagem de medição ou dados podem estar comprometidos.
Adicionalmente, convém considerar a necessidade de calibração e manutenção (ver também A.2.18).

ABNT/CB-026
DEZ 2021
A.2.12 O dispositivo médico é interpretativo?
Fatores que convém considerar incluem se as conclusões são apresentadas pelo dispositivo médico
a partir de dados de entrada ou adquiridos, os algoritmos usados e limites de confiança. Convém que
se dê especial atenção a aplicações não intencionais dos dados ou do algoritmo, bem como
manipulação não autorizada ou alterações dos algoritmos e dados.
A.2.13 O dispositivo médico é destinado ao uso em conjunto com outros dispositivos

médicos, remédios ou outras tecnologias médicas?
— identificação de quaisquer outros dispositivos médicos, remédios ou outras tecnologias médicas

que possam estar envolvidos;
— os potenciais problemas associados a interações (como o dispositivo médico impacta o

desempenho de outros dispositivos médicos); e
— se o paciente segue as instruções para a terapia.
A.2.14 Há saídas indesejadas de energia ou substâncias?
Fatores relacionados à energia que convém considerar incluem ruído e vibração, aquecimento, radiação
(incluindo ionizante, não ionizante, e radiação ultravioleta/visível/infravermelha), temperaturas de contato,
correntes de fuga e campos elétricos ou magnéticos.
Fatores relacionados a substâncias que tenham efeitos fisiológicos indesejados se permanecerem

no produto e que convém considerar, incluem substâncias usadas na fabricação, limpeza ou testes.
Outros fatores relacionados a substâncias que convém considerar incluem descarga de produtos
químicos, produtos residuais e fluidos corporais.
A.2.15 O dispositivo médico é suscetível a influências ambientais?
Fatores que convém considerar incluem os ambientes operacional, de transporte e armazenamento.

Isso inclui luz, temperatura, umidade, vibrações, vazamentos, suscetibilidade a variações no fornecimento
de energia e refrigeração e interferência eletromagnética.
A.2.16 O dispositivo médico influencia o ambiente?
— os efeitos sobre o fornecimento de energia ou refrigeração;
— emissão de materiais tóxicos; e
— a geração de perturbações eletromagnéticas.
A.2.17 O dispositivo médico requer consumíveis ou acessórios?
Fatores que convém considerar incluem especificações para consumíveis ou acessórios e quaisquer
restrições aplicadas aos usuários em sua seleção desses itens.

ABNT/CB-026
DEZ 2021
A.2.18 A manutenção ou calibração são necessárias?
— se a manutenção ou calibração são para ser conduzidas pelo usuário ou pelo especialista;
— se são necessários substâncias ou equipamentos especiais para a manutenção ou calibração

adequadas;
— rastreabilidade dos valores de calibração a uma referência de ordem superior;
— como determinar quando a manutenção e a recalibração são necessárias; e
— como verificar se a calibração (ainda) está aceitável.
A.2.19 O dispositivo médico contém software?
Fatores que convém considerar incluem se o software é destinado a ser instalado, verificado, modificado
ou substituído pelo usuário ou por um especialista e a autenticidade da atualização de software.
A.2.20 O dispositivo médico permite acesso a informações?
Fatores que convém considerar incluem portas Ethernet acessíveis, portas USB, portas seriais e
discos rígidos removíveis.
A.2.21 O dispositivo médico armazena dados críticos para os cuidados com o paciente?
Fatores que convém considerar incluem a possibilidade de que os dados sejam modificados ou
corrompidos, acesso não autorizado aos dados e as consequências para os pacientes.
A.2.22 O dispositivo médico possui um tempo de prateleira?
Fatores que convém considerar incluem se o dispositivo médico pode se deteriorar com o tempo,
o impacto das condições de armazenamento e embalagem primária, a comunicação da data de
validade (por rotulagem ou um indicador), possibilidade de uso após a data de validade e o descarte
de dispositivos médicos expirados.
A.2.23 Há quaisquer efeitos de uso tardio ou a longo prazo?
Fatores que convém considerar incluem efeitos ergonômicos ou cumulativos. Exemplos podem incluir
bombas para solução salina que se corroem com o tempo, fadiga mecânica, afrouxamento de cintas
e acessórios, efeitos de vibração, etiquetas que se desgastam ou caem do produto, degradação
do material a longo prazo.
A.2.24 A quais forças mecânicas o dispositivo médico será submetido?
Fatores que convém considerar incluem se as forças às quais o dispositivo médico será submetido
estão sob controle do usuário ou se são controladas por interação com outras pessoas.

ABNT/CB-026
DEZ 2021
A.2.25 O que determina a vida útil do dispositivo médico?
Fatores que convém considerar incluem esgotamento da bateria, deterioração de materiais e falha
de componentes devido ao envelhecimento, desgaste, fadiga ou uso repetido. Convém considerar
também a disponibilidade de partes de reposição.
A.2.26 O dispositivo médico é destinado ao uso único?
— se o dispositivo médico se autodestrói após o uso; e
— se fica óbvio para o usuário que o dispositivo médico já foi usado.
A.2.27 O descomissionamento ou o descarte seguro do dispositivo médico se fazem

necessários?
Fatores que convém considerar incluem os produtos residuais que são gerados durante o descarte
do próprio dispositivo médico e a higienização (remoção) adequada de todos os materiais perigosos
(dados sensíveis) no dispositivo médico. Por exemplo, o produto contém qualquer material perigoso
(por exemplo: produto químico tóxico ou agente biológico), ou o material é reciclável? Se o
dispositivo médico armazena dados, convém que o manuseio adequado e a segurança dos dados
armazenados sejam considerados, incluindo a remoção e a retenção dos dados.
A.2.28 A instalação ou uso do dispositivo médico requer treinamento especial ou

habilidades especiais?
Fatores que convém considerar incluem a complexidade e inovação do dispositivo médico e o

conhecimento, habilidades e capacidades das pessoas que instalam, mantém ou usam o dispositivo
médico. Isso pode incluir treinamento, educação, determinação de competência, certificação ou qualificação.
A.2.29 Como as informações para segurança serão fornecidas?
— se as informações serão fornecidas diretamente ao usuário final pelo fabricante ou se isto

envolverá a participação de terceiros, como instaladores, cuidadores, profissionais de saúde,
diretores de laboratórios ou farmacêuticos, e se isso implicará em treinamento;
— comissionamento e transferência para o usuário final e se é provável/possível que a instalação

seja conduzida por pessoas sem as habilidades necessárias; e
— se o retreinamento ou a recertificação de usuários ou pessoal de serviço é indicado com base

no tipo e vida útil esperada do dispositivo médico.
A.2.30 São estabelecidos ou introduzidos novos processos de fabricação?
Fatores que convém considerar incluem a aplicação de tecnologias novas ou inovadoras e

alterações na escala de produção. Isso também pode envolver alterações em contratos de fabricação,
fornecedores e distribuidores.

ABNT/CB-026
DEZ 2021
A.2.31 A aplicação bem-sucedida do dispositivo médico depende da usabilidade da

interface de usuário?
A.2.31.1 Os recursos do projeto da interface de usuário podem contribuir para erros de uso?
Fatores que convém considerar incluem: controle e indicadores, símbolos usados, recursos ergonômicos,
projeto físico e desenho, hierarquia de operação, menus para dispositivos médicos baseados em software,
visibilidade de avisos, audibilidade de alarmes, normalização de códigos de cores. Ver IEC 62366-1[16]
para informações adicionais sobre usabilidade e a ABNT NBR IEC 60601-1-8[7] para alarmes.
A.2.31.2 O dispositivo médico é usado em um ambiente onde distrações podem causar erro de uso?
— a consequência de um erro de uso;
— se as distrações são comuns;
— se o usuário pode ser distraído por evento não frequente; e
— se o estresse repetitivo pode reduzir a conscientização ou atenção do usuário.
A.2.31.3 O dispositivo médico possui partes conectáveis ou acessórios?
Fatores que convém considerar incluem a possibilidade de conexões erradas, similaridade com
conexões de outros produtos, força de conexão, retorno quanto à integridade de conexão, e aperto
excessivo ou insuficiente.
A.2.31.4 O dispositivo médico possui uma interface de controle?
Fatores que convém considerar incluem espaçamento, códigos, agrupamento, mapeamento, modos
de feedback, equívocos, deslizes, diferenciação de controles, visibilidade, direção de ativação ou
alteração, se os controles são contínuos ou separados e a reversibilidade dos ajustes ou ações.
A.2.31.5 O dispositivo médico exibe informações?
Fatores que convém considerar incluem visibilidade em vários ambientes, orientação, as capacidades
visuais do usuário, populações e perspectivas, clareza das informações apresentadas, unidades,
código de cores e a acessibilidade às informações críticas.
A.2.31.6 O dispositivo médico é controlado por um menu?
Fatores que convém considerar incluem a complexidade e o número de camadas, consciência do

estado, local dos ajustes, método de navegação, número de etapas por ação, clareza da sequência
e problemas de memorização e importância da função de controle em relação à sua acessibilidade
e o impacto de se desviar dos procedimentos de operação especificados.
A.2.31.7 O uso bem-sucedido do dispositivo médico depende do conhecimento, habilidades

e capacidades de um usuário?
— os usuários (pretendidos), suas capacidades e habilidades mentais e físicas e treinamento;
— o ambiente de uso, aspectos ergonômicos, requisitos de instalação;

ABNT/CB-026
DEZ 2021
— a capacidade dos usuários pretendidos de controlar ou influenciar o uso do dispositivo médico; e
— as características pessoais dos usuários pretendidos que possam afetar suas habilidades de
interagir com sucesso com o dispositivo médico. Ver IEC/TR 62366-2[17].
A.2.31.8 O dispositivo médico será usado por pessoas com necessidades específicas?
— usuários com características especiais, como pessoas com deficiências, idosos e crianças, que
possam precisar da assistência de outra pessoa para permitir o uso de um dispositivo médico; e
— usuários que possuem os mais variados níveis de habilidade e diferentes contextos culturais
e expectativas que possam levar a diferenças quanto ao que é considerado uma aplicação
adequada do dispositivo médico.
A.2.31.9 A interface do usuário pode ser usada para iniciar ações não autorizadas?
Fatores que convém considerar incluem se a interface do usuário permite que o usuário entre
em um modo de operação com acesso restrito (por exemplo, para manutenção ou uso especial),
o que aumenta a possibilidade de erro de uso e assim, os riscos associados e se o usuário fica ciente
de ter entrado neste modo de operação.
A.2.32 O dispositivo médico inclui um sistema de alarmes?
Fatores que convém considerar são o risco de alarmes falsos, alarmes perdidos, sistemas de
alarmes desconectados, sistemas de alarmes remotos não confiáveis e a capacidade do usuário
de compreender como o sistema de alarmes funciona. Orientações para sistemas de alarmes são
apresentadas na ABNT NBR IEC 60601-1-8[7].
A.2.33 De que formas o dispositivo médico pode ser mal usado (deliberadamente ou não)?
Fatores que convém considerar são o uso incorreto de conectores, desativação de recursos de
segurança ou alarmes, negligência com a manutenção recomendada pelo fabricante, acesso não
autorizado ao dispositivo médico ou a funções do dispositivo médico.
A.2.34 O dispositivo médico é destinado a ser móvel ou portátil?
Fatores que convém considerar são a necessidade de empunhaduras, alças, rodas ou freios e a
necessidade de estabilidade e durabilidade mecânica.
A.2.35 O uso do dispositivo médico depende do desempenho essencial?

Fatores que convém considerar são, por exemplo, as características de saída de dispositivos
médicos de suporte à vida ou da operação de um alarme. Ver a ABNT NBR IEC 60601-1[5] para uma
discussão sobre desempenho essencial de equipamentos eletromédicos e sistemas eletromédicos.
A.2.36 O dispositivo médico possui algum grau de autonomia?

— conhecimento do usuário para quando o dispositivo médico com um grau de autonomia gerar um
erro, alarme ou falha;

ABNT/CB-026
DEZ 2021
— conhecimento do usuário para quando a intervenção em uma ação realizada de maneira

autônoma seja requerida;
— capacidade do usuário de intervir ou de abortar uma ação que seja realizada de maneira
autônoma; e
— capacidade do usuário de selecionar e desempenhar ações corretivas apropriadas.
Ver a IEC/TR 60601-4-1[9] para orientações adicionais sobre dispositivos médicos com um grau de
autonomia.
A.2.37 O dispositivo médico produz uma saída que seja usada como entrada para
determinar uma ação clínica?
Fatores que convém considerar incluem se as saídas incorretas ou atrasadas podem resultar em
riscos diretos ou indiretos aos pacientes, por exemplo: um diagnóstico incorreto que resulta em
terapia atrasada ou omitida ao paciente. Ver o Anexo H para orientações sobre dispositivos médicos
de diagnóstico in vitro.

ABNT/CB-026
DEZ 2021
Anexo B
(informativo)
Técnicas que dão suporte à análise de risco

B.1 Geral
Este anexo fornece orientações sobre diversas técnicas que podem ser usadas para dar suporte a
uma análise de risco. Algumas técnicas começam com o possível dano e analisam a variedade de
eventos que podem causar tal dano. Outras técnicas começam por um evento inicializador e analisam
a imediata sequência ou combinação de eventos que poderiam levar ao dano. O princípio básico é
que a sequência de eventos seja analisada.
Enfatiza-se que a análise de risco é apenas uma etapa do processo de gerenciamento de risco
descrito na ABNT NBR ISO 14971:2020. Além disso, as técnicas descritas neste Anexo não
abordam todos os elementos de uma análise de risco, e somente fornecem informações de suporte.
Por exemplo, a identificação de situações perigosas não foi incluída em todas essas técnicas.
Essas técnicas são complementares e pode ser necessário usar mais de uma delas para prover
suporte a uma análise de risco minuciosa e completa.
As seguintes técnicas de análise são discutidas em mais detalhes:
— A Análise Preliminar de Perigos (PHA – Preliminary Hazard Analysis ) é uma técnica que pode
ser usada no início do processo de desenvolvimento para identificar os perigos, situações
perigosas e eventos que podem causar dano quando forem conhecidos poucos detalhes do
projeto do dispositivo médico.
— A Análise de Árvore de Falhas (FTA – Fault Tree Analysis) e a Análise de Árvore de Eventos
(ETA – Event Tree Analysis) são especialmente úteis na engenharia de segurança, no início
do processo de desenvolvimento, para a identificação e priorização de perigos e situações
perigosas e possíveis medidas de controle de risco, bem como para analisar as consequências
de eventos adversos.
— A Análise de Modo de Falha e Efeitos (FMEA – Failure Mode and Effects Analysis) é uma técnica
pela qual os efeitos ou consequências de componentes individuais são sistematicamente
identificados e é mais adequada conforme o projeto amadurece e os modos de falha vão sendo
mais bem compreendidos.
— O Estudo de Perigos e Operabilidade (HAZOP – Hazard and Operability Study) é comumente

usado nos estágios iniciais do processo de desenvolvimento para estudar desvios do desempenho
pretendido.
— A Análise de Perigo e Pontos Críticos de Controle (HACCP – Hazard Analysis and Critical Control
Point) é comumente usada nos estágios mais avançados do processo de desenvolvimento
para verificar e então otimizar conceitos ou alterações de projeto.

ABNT/CB-026
DEZ 2021
B.2 Análise Preliminar de Perigos (PHA)

PHA é um método indutivo de análise com o objetivo de identificar os perigos, situações perigosas e
eventos que podem causar dano para uma dada atividade, instalação ou sistema. É mais comumente
conduzida no início do desenvolvimento de um projeto, quando há poucas informações sobre os
detalhes do projeto ou procedimentos de operação e pode ser, frequentemente, uma precursora
para estudos posteriores. Pode ser útil ao analisar sistemas existentes ou ao priorizar perigos
quando as circunstâncias impedirem que uma técnica mais exaustiva seja usada.
Em um PHA, uma lista de perigos e situações perigosas é formulada considerando-se características como:
— materiais usados ou produzidos e sua reatividade;
— equipamento usado;
— ambiente de uso;
— leiaute;
— interfaces entre componentes do sistema.
O método é completado com:
a) a identificação das probabilidades de que uma situação perigosa ocorra e as probabilidades
de que uma situação perigosa leve ao dano;
b) a avaliação qualitativa da extensão de possíveis danos; e
c) a identificação de possíveis medidas de controle de risco.
Os resultados obtidos podem ser apresentados de diferentes formas, como em tabelas ou esquemas
de árvore.
B.3 Análise de Árvore de Falhas (FTA)

FTA é, inicialmente, um meio de analisar perigos identificados por outras técnicas e começa por uma
consequência indesejada postulada, ou seja, um possível dano ou situação perigosa, também
chamada de “evento principal”. De maneira dedutiva, começando pelo evento principal e perguntando
“Porquê?”, as possíveis causas ou modos de falha do próximo nível abaixo do sistema funcional
causando a consequência indesejada são identificadas. Seguindo-se a identificação passo a passo
da operação indesejada do sistema para níveis sucessivamente mais baixos do sistema se chegará
até o nível de sistema desejado, que habitualmente é o modo de falha do componente ou o nível mais
baixo em que as medidas de controle de risco podem ser aplicadas. Isso revelará as combinações
mais prováveis de levar à consequência postulada. Os resultados são representados graficamente na
forma de uma árvore de modos de falha. A cada nível na árvore, as combinações de modos de falha
são descritas com operadores lógicos (E, OU etc.) Os modos de falha identificados na árvore podem ser
eventos que estão associados a falhas de equipamento ou hardware, erros humanos ou qualquer outro
evento pertinente, que leve ao evento indesejado. Esses não estão limitados à condição de falha única
O FTA permite uma abordagem sistemática que é suficientemente flexível para permitir a análise
de uma variedade de fatores, incluindo interações humanas. O FTA é usado na análise de risco
como uma ferramenta para fornecer uma estimativa de probabilidades de falha e para identificar

ABNT/CB-026
DEZ 2021
falhas únicas e falhas de causa comum que resultem em situações perigosas. A representação
gráfica facilita a compreensão do comportamento do sistema e dos fatores incluídos, mas, conforme
a árvore aumenta, o processamento de árvores de falhas pode requerer sistemas informatizados,
ou análise no computador.
Ver a IEC 61025[12] para mais informações sobre os procedimentos para FTA.

B.4 Análise de Árvore de Eventos (ETA)

ETA é uma técnica analítica causal que se baseia na análise da sequência de ações e eventos que
podem levar ao resultado negativo. A ETA usa as mesmas técnicas lógicas e matemáticas que a
Análise de Árvore de Falhas (FTA). Entretanto, enquanto o FTA analisa como um evento principal
indesejado pode ocorrer, a ETA considera o impacto da falha de um componente ou item em particular
no sistema, e analisa o efeito que tal falha pode ter sobre o sistema como um todo e sobre usuários
e pacientes. A ETA usa uma abordagem indutiva, enquanto o FTA é dedutivo.
O evento incializador em uma árvore de eventos normalmente recairá em uma das quatro categorias
a seguir:
a) falhas ou condições não seguras no dispositivo médico;
b) erro de uso;
c) falhas de utilidades (como perda de força ou conexão com a internet); e
d) condições ambientais (como temperatura, umidade, altitude, clima).
O objetivo da ETA é determinar a probabilidade de possíveis resultados negativos que possam resultar
do evento inicializador selecionado e que possam eventualmente levar a dano. É necessário usar
informações detalhadas sobre o sistema para compreender a sequência de eventos e construir o
diagrama da árvore de eventos. A árvore de eventos começa com o evento inicializador, se segue
ordenando as consequências deste evento de maneira binária (sucesso/falha). Cada evento cria um
caminho em que a série de sucessos ou falhas ocorrerá e onde a probabilidade total de ocorrência
para esse caminho pode ser estimada.
Ver a IEC 62502[18] para mais informações sobre os procedimentos para ETA.
B.5 Análise de Modo de Falha e Efeitos (FMEA)

FMEA é uma técnica pela qual as consequências de um modo de falha individual são sistematicamente
identificadas e avaliadas. É uma técnica indutiva que usa a pergunta “O que acontece se ... ?”.
Os componentes são analisados um de cada vez, assim, geralmente observando a condição de
falha única. Isso é feito da maneira “de baixo para cima”, ou seja, segue-se o procedimento para o
próximo nível acima do sistema funcional.
A FMEA não está restrita a uma falha de projeto do componente, mas também pode incluir falhas
na fabricação e montagem de componentes (FMEA de processo) e no uso ou mau uso do produto
pelo usuário final (FMEA de uso). A FMEA pode ser estendida para incorporar uma investigação
dos modos de falha do componente individual, sua probabilidade de ocorrência e no poder de
detectá-la (apenas na medida em que a detecção permita medidas preventivas no contexto da
ABNT NBR ISO 14971:2020), bem como também no grau de severidade das consequências. Para
executar uma FMEA, convém que a construção do dispositivo médico seja conhecida com algum detalhe.

ABNT/CB-026
DEZ 2021
As desvantagens desta técnica podem surgir das dificuldades em lidar com redundâncias
e a incorporação de ações de reparo ou de manutenção preventiva, bem como de sua restrição
às condições sob uma só falha.
Ver a IEC 60812[10] para mais informações sobre os procedimentos para FMEA.

B.6 Estudo de Perigo e Operabilidade (HAZOP)

O HAZOP tem como base uma teoria que presume que situações perigosas e danos são causados
por desvios de projeto ou variações operacionais. O HAZOP pode ser executado no início do processo
de desenvolvimento, quando apenas as contribuições de projeto e desenvolvimento estão definidas.
É uma técnica sistemática para identificar perigos e problemas de operabilidade. Foi originalmente
desenvolvida para uso na indústria química, com foco nos desvios da finalidade do projeto, mas há
aplicações alternativas para desenvolvedores de dispositivos médicos. O HAZOP pode ser aplicado
à operação/função do dispositivo médico (por exemplo, aos métodos/processos existentes usados
para diagnóstico, tratamento ou alívio de doenças como a “intenção de finalidade do projeto”),
ou a um processo usado na fabricação ou manutenção/serviço do dispositivo médico (por exemplo,
esterilização) que possa ter impacto significativo sobre a função do dispositivo médico.
Duas características particulares do HAZOP são:
— usa-se um grupo de pessoas com experiência abrangendo o projeto do dispositivo médico e a

sua aplicação; e
— palavras-guia são usadas para ajudar a identificar desvios do uso normal (TODOS, NENHUM,
NÃO, MAIS/MENOS QUE, BEM COMO, PARTE DE etc.).
Os objetivos da técnica são:
— produzir uma descrição completa do dispositivo médico e como se destina a ser usado;
— realizar a análise crítica sistemática de cada parte do uso pretendido para descobrir como os
desvios das condições de operação normal e do projeto do dispositivo médico podem ocorrer; e
— identificar as consequências desses desvios e avaliar se estas consequências podem levar a

situações perigosas ou problemas de operabilidade.
Quando aplicado aos processos usados para fabricar um dispositivo médico, o último objetivo é
particularmente útil nos casos em que as características do dispositivo médico dependem do processo
de fabricação.
Ver a IEC 61882[14] para mais informações sobre os procedimentos para HAZOP.
B.7 Análise de Perigo e Pontos Críticos de Controle (HACCP)

HACCP é uma abordagem sistemática para identificar perigos e situações perigosas e para
controlar e monitorar os riscos associados focando nos pontos críticos de controle em um processo
de fabricação. Na descrição a seguir, a terminologia de gerenciamento de risco é complementada
com a terminologia de HACCP convencional, quando apropriado.
A HACCP tem como base os seguintes sete princípios centrais:
1. Conduzir uma análise de perigo (análise de risco) para identificar perigos e situações perigosas;

ABNT/CB-026
DEZ 2021
2. Determinar os pontos críticos de controle;
3. Estabelecer limites apropriados;
4. Monitorar cada ponto crítico de controle;
5. Estabelecer ações corretivas e preventivas (identificar e implementar medidas de controle de risco);
6. Estabelecer procedimentos para verificação;
7. Estabelecer procedimentos para documentação e manutenção de registros.
Cada dispositivo médico possui seus próprios perigos e situações perigosas que podem ser
relacionados ao seu uso pretendido, mau uso razoavelmente previsível ou suas características
relacionadas à segurança. Situações perigosas podem ser iniciadas por eventos durante diferentes
fases do ciclo de vida, como projeto, desenvolvimento, fabricação, manutenção, uso, descarte etc.
O coração de um sistema de HACCP eficaz foca no controle e monitoramento contínuos dos perigos
e situações perigosas identificados. O fabricante demonstra a eficácia das medidas de controle de
risco implementadas estabelecendo e documentando o diagrama de fluxo de processo, a planilha de
análise de perigos e o plano de controle crítico.
O sistema de HACCP usa as seguintes ferramentas como evidências documentadas:
a) Diagrama de fluxo do processo
O propósito do diagrama é fornecer uma descrição clara e simples das etapas envolvidas no
processo. O diagrama é necessário para a equipe de HACCP em seu trabalho subsequente.
O diagrama também pode servir como um futuro guia para que outros compreendam o processo
para suas atividades de verificação. Convém que o escopo do diagrama de fluxo de processo
cubra todas as etapas de processamento que estiverem sob o controle direto do fabricante.
b) Planilha de análise de perigos
A planilha contém os registros da análise de perigos (análise de risco):
— a identificação e listagem das etapas no processo em que perigos de significância estiverem

presentes;
— a listagem de todos os perigos identificados (e situações perigosas) associados com cada

etapa e sua significância;
— a listagem de todas as medidas de controle de risco para cada perigo (e situação perigosa); e
— a identificação de todos os pontos críticos de controle e seus monitoramentos e controles.
c) Plano de controle crítico
O plano tem como base os sete princípios da HACCP e explicita os procedimentos a serem
seguidos para garantir o controle do projeto, produto, processo ou procedimento específicos.
O plano inclui:
— identificar pontos críticos de controle e limites apropriados;
— monitorar e dar continuidade às atividades de controle;
— implementar e monitorar as medidas de controle de risco; e
— atividades para verificação e manutenção de registro.

ABNT/CB-026
DEZ 2021
Anexo C
(informativo)
Relação entre a política, critérios para aceitabilidade de risco,

controle de risco e avaliação de risco
C.1 Geral
Este Anexo descreve a relação entre a política do fabricante para determinar o risco aceitável
conforme definido pela Alta Direção e os critérios para aceitabilidade de risco estabelecidos com base
nesta política. Esta descrição inclui elementos que podem ser parte da política. Ela explica como os
critérios para aceitabilidade de risco podem ser usados no controle de risco e na avaliação de risco.
Exemplos da relação entre a política, os critérios e a avaliação de risco são dados para vários
elementos da política.
C.2 Política para estabelecer critérios para aceitabilidade de risco

A política fornece um quadro de referência para estabelecer os critérios para aceitabilidade de risco.
Esse quadro de referência direciona e orienta o estabelecimento dos critérios. Isso está relacionado
tanto aos critérios para aceitabilidade de riscos residuais individuais quanto aos critérios para
aceitabilidade do risco residual geral.
A ABNT NBR ISO 14971:2020 requer que a política para estabelecer os critérios para aceitabilidade de
risco seja documentada, por exemplo, como parte da documentação do sistema de gestão da qualidade
do fabricante. Entretanto, não é necessário que a política seja parte do arquivo de gerenciamento de risco.
Uma política para estabelecer os critérios para aceitabilidade de risco pode comumente tratar dos
seguintes elementos:
— propósito;
— escopo;
— fatores e considerações para determinar um risco aceitável;
— abordagens para controle de risco; e
— requisitos para aprovação e análise crítica.
Convém que a política e seus elementos sejam customizados para atender às necessidades específicas
da organização do fabricante. Cada um dos elementos é discutido com mais detalhes a seguir.
— O propósito descreve os objetivos da política para estabelecer critérios para aceitabilidade de risco.
EXEMPLO 1 O propósito da política é fornecer orientações para estabelecer os critérios para

aceitabilidade de risco. Esses critérios são usados na avaliação de riscos residuais associados ao dispositivo
médico fabricado por [nome do fabricante]. Os critérios asseguram que os dispositivos médicos possuam
um alto nível de segurança consistente com as expectativas das partes interessadas.

ABNT/CB-026
DEZ 2021
— O escopo especifica a quem, onde e quando a política é aplicável.
EXEMPLO 2 Esta política se aplica a todas as pessoas envolvidas no estabelecimento, análise

crítica, atualização e aprovação dos critérios para aceitabilidade de risco em planos de gerenciamento de
risco para dispositivos médicos projetados, desenvolvidos e/ou fabricados por [nome do fabricante] para
distribuição comercial.
— Convém que os seguintes fatores e considerações sejam considerados ao estabelecer os critérios

para aceitabilidade de risco:
— Requisitos regulamentares aplicáveis nas regiões em que o dispositivo médico será comercializado;
— Normas Internacionais pertinentes para o tipo de dispositivo médico em particular, incluindo

normas para ensaios de propriedades específicas com limites de aprovação/rejeição
(ver também Anexo E);
— Em geral, uma tecnologia pode ser reconhecida como estado da arte, conforme é determinado
a partir de uma análise crítica das Normas Internacionais, melhores práticas em tecnologia,
resultados de pesquisas científicas aceitas, publicações de autoridades, e demais informações
para dispositivos médicos similares e outros produtos similares; e
— Preocupações validadas pelas partes interessadas, por exemplo, obtidas por meio de
comunicação direta com usuários, médicos, pacientes ou organizações regulamentadoras,
ou por meio de comunicação indireta via reportagens jornalísticas, mídia social ou fóruns de
pacientes. É importante considerar que a percepção e a compreensão da aceitabilidade de
risco pode variar entre diferentes grupos de partes interessadas e podem ser influenciadas
por seu contexto e pela natureza de seus interesses.
— Abordagens para o controle de risco podem ser definidas de acordo com a

ABNT NBR ISO 14971:2020, 4.2, Nota 1. A abordagem pode incluir considerações de
praticabilidade, como redução de risco tanto quanto razoavelmente praticável, redução de
risco tanto quanto razoavelmente alcançável, ou redução de risco tanto quanto possível sem
afetar adversamente a relação benefício-risco. Outra abordagem possível ao controle de risco
pode ser relacionada à magnitude do risco, por exemplo, que o controle de risco pode ser
omitido para pequenos riscos abaixo de certo limite. Isso é melhor elaborado em C.4.
EXEMPLO 3 Riscos são reduzidos tanto quanto possível sem afetar adversamente a relação
benefício-risco. É considerado se as medidas tecnicamente praticáveis reduziriam o risco sem impactar
ao uso pretendido ou o benefício do dispositivo médico.
EXEMPLO 4 Riscos relacionados a exposição a radiação são reduzidos a um nível tão baixo quanto
razoavelmente alcançável (ALARA – as low as reasonably achievable), levando em conta a praticabilidade
técnica das medidas de controle de risco.
— Requisitos para aprovação e análise crítica podem ser especificados na política. Isso pode incluir
quem aprova e, se necessário, com qual frequência a política é analisada criticamente.
EXEMPLO 5 A política para estabelecer os critérios para aceitabilidade de risco é aprovada por
[título/função de Alta Direção] e é analisada criticamente pelo menos a cada [X] anos por [nome do órgão
de análise crítica].

ABNT/CB-026
DEZ 2021
C.3 Critérios para aceitabilidade de risco

Os critérios para aceitabilidade de risco são estabelecidos com base nas políticas do fabricante
para determinar risco aceitável. Isso também se aplica aos critérios para aceitar riscos, quando a
probabilidade de ocorrência de dano pode não ser estimada e, nesse caso, os critérios podem ser
baseados apenas na severidade de dano. Os critérios para aceitabilidade de risco estão registrados
no plano de gerenciamento de risco.
Critérios específicos podem ser estabelecidos para cada tipo de dispositivo médico (ou família de
dispositivos médicos), dependendo de suas características e uso pretendido, ou os mesmos critérios
podem ser aplicados a todos os dispositivos médicos. Os critérios para aceitabilidade de risco podem
incluir combinações de requisitos qualitativos e limites quantitativos para propriedades específicas,
preferencialmente baseados em Normas Internacionais.
A ABNT NBR ISO 14971:2020 requer que os critérios para aceitabilidade do risco residual geral
também sejam estabelecidos. Estes podem ser os mesmos ou diferentes dos critérios para
aceitabilidade de riscos individuais. O método para avaliar o risco residual geral e os critérios para sua
aceitabilidade são documentados no plano de gerenciamento de risco. Mais orientações detalhadas
sobre os critérios e métodos são fornecidas na Seção 8.
C.4 Controle de risco

Controle de risco é o processo em que são tomadas decisões e implementadas medidas pelas
quais os riscos são reduzidos ou mantidos dentro dos níveis especificados. Esse processo pode ser
direcionado pelas abordagens incluídas na política para estabelecimento de critérios para
aceitabilidade de risco (ver C.2). Duas abordagens para controle de risco são discutidas abaixo.
Uma possível abordagem é considerar a praticabilidade das medidas de controle de risco.

A praticabilidade (ser praticável) se refere às opções de controle de risco que são consideradas
viáveis ou capazes de serem colocadas em prática. Isso não é para ser confundido com ser prático,
que se refere às medidas que sejam úteis ou convenientes. A praticabilidade possui dois componentes:
praticabilidade técnica e praticabilidade econômica.
A praticabilidade técnica se refere à capacidade de reduzir o risco, independentemente do custo.

A seguir estão alguns exemplos em que a praticabilidade técnica é questionável:
— usar medidas de controle de risco que diminuam a eficácia do dispositivo médico ou que
comprometam o uso pretendido (por exemplo, reduzindo a força de uma unidade eletrocirúrgica
abaixo de seu nível eficaz), o que também possui um efeito negativo sobre o equilíbrio entre
benefício e risco;
— procedimentos excessivamente complicados para usar o dispositivo médico, de modo que a

probabilidade de erro de uso seja aumentada ou o uso pretendido seja comprometido, o que possui
um efeito negativo sobre o equilíbrio entre benefício e risco (ver ABNT NBR ISO 14971:2020, 4.2, Nota 1);
— múltiplos alarmes que criam confusão e, assim, dificultam a operação pelo usuário;
— incluir tantas rotulagem de advertência ou avisos que atrapalhem o usuário na operação do

dispositivo médico; e
— comunicar riscos residuais demais, de modo que o usuário fique com dificuldade de compreender
quais são realmente importantes.

ABNT/CB-026
DEZ 2021
A praticabilidade econômica se refere à capacidade de reduzir o risco sem tornar o dispositivo

médico uma proposta econômica insustentável, porque as medidas de controle de risco tornariam
o dispositivo médico caro demais e, portanto, indisponível.
Estas decisões necessariamente envolvem realizar concessões entre aceitar riscos e a disponibilidade
de tratamentos ou diagnósticos. Implicações de custo e disponibilidade são consideradas ao decidir
o que é praticável, até o ponto de estas impactarem a preservação, a promoção ou o aprimoramento

da saúde humana. A praticabilidade econômica em tais decisões se relaciona com os benefícios
para saúde pública e para a sociedade como um todo. Entretanto, convém que a praticabilidade
econômica não seja usada como uma justificativa para a aceitação de riscos desnecessários.
Outra abordagem possível ao controle de risco é considerar a magnitude do risco residual. Isso pode
incluir classificar o risco como uma das três seguintes categorias, de acordo com a sua magnitude:
a) a magnitude do risco residual excede os critérios do fabricante para aceitabilidade de risco;
b) o risco residual é tão pequeno que pode ser considerado insignificante ou negligenciável (ou seja,
removê-lo não levaria a um risco residual geral menor); ou
c) o risco residual está entre os dois estados especificados em a) e b).
A política pode direcionar se convém ou não que esforços para redução de risco para riscos
residuais sejam classificados como insignificantes ou negligenciáveis (categoria b) antes de proceder
à avaliação de risco.
Nesta abordagem, o fabricante pode usar uma tabela de risco semiquantitativa ou matriz de risco,
como na Figura C.1, para dar suporte à estimativa de risco (ver também 5.5). Esta matriz de risco é
dividida em três regiões, correspondendo a a) risco inaceitável, b) risco insignificante ou negligenciável,
e c) riscos que requerem investigação para determinar se um maior controle de risco é praticável.
Os riscos estimados (R1, R2, R3, ...) foram inseridos nas células apropriadas. Riscos R1 a R3 não
são aceitáveis. Riscos R4 e R5 são melhor investigados, enquanto R6 é insignificante e pode ser
aceitável, dependendo da política do fabricante.
Níveis de severidade
qualitativa
Insignificante Menor Sério/Maior Crítico Catastrófico/
Fatal
Frequente
Provável
Níveis de
probabilidade Ocasional
semiquantitativa Remoto
Improvável
Legenda
Legenda
risco inaceitável
risco inaceitável
investigar maiormaior
investigar controle de risco
controle de risco
risco insignificante ou negligenciável
Figura C.1 – Exemplo de uma matriz de risco de três regiões

ABNT/CB-026
DEZ 2021
C.5 Avaliação de risco

Nesta etapa, o fabricante compara os riscos estimados com os critérios para aceitabilidade de risco
determinados no plano de gerenciamento de risco e determina se os riscos residuais são aceitáveis
ou não. Uma matriz de risco, como apresentado em 5.5 e na Figura C.1, pode dar suporte à estimativa
e avaliação de risco, especialmente os riscos para os quais não existam requisitos ou soluções
em Normas Internacionais.
C.6 Exemplos
A política do fabricante para determinar risco aceitável pode incluir múltiplos elementos e abordagens.
Exemplos da relação entre a política, os critérios para aceitabilidade de risco e a avaliação de risco
são dados na Tabela C.1 para vários desses elementos e abordagens.
Tabela C.1 – Exemplos da relação entre os elementos na política, os critérios para

aceitabilidade de risco, e como os critérios são usados na avaliação de risco (continua)
Requisitos regulamentares
Critérios satisfazem os requisitos de segurança das regulamentações aplicáveis em cada mercado

Política: em que o dispositivo médico é/será comercializado. Por exemplo, regulamentações requerem que o
dispositivo médico mantenha a segurança em condição de falha única, incluindo falhas do software.
Critérios: O dispositivo médico permanece seguro em condição de falha única, incluindo falhas do software.
O dispositivo médico é ensaiado, e os critérios baseados em limites estabelecidos em normas ou

Avaliação: regulamentações são aplicados. A avaliação de risco pode incluir inspeção dos resultados de ensaio,
relatórios de conformidade com a norma ou certificados.
Normas Internacionais
Política: Critérios têm como base as normas de produtos e os processos internacionais aplicáveis.
1) Limites que podem ser ensaiados de normas de produto internacionais são aplicados.
Critérios:
2) Interfaces de usuário são desenvolvidas de acordo com o processo da IEC 62366-1[16].
1) Inspeção de relatórios de determinação de conformidade para cada norma.

Avaliação:
2) Inspeção do arquivo de engenharia de usabilidade.
Estado da arte
Os critérios são baseados no estado da arte geralmente reconhecido, como determinados a partir de
Política: dispositivos médicos similares disponíveis no mercado e de uma análise crítica da literatura sobre o uso
pretendido e quaisquer terapias ou dispositivos médicos alternativos.
1) Correntes de fuga do dispositivo médico são estado da arte, demonstrado por conformidade com os
limites e ensaios referentes à corrente de fuga da ABNT NBR IEC 60601-1[5].
2) A exatidão de dose do dispositivo de entrega é estado da arte, conforme demonstrado por
Critérios:
conformidade com os limites e ensaios referentes à exatidão de dose da ISO 11608-1[23].
3) Proteção contra falha mecânica causada por impacto é demonstrada por ensaios comparativos,
como o ensaio de queda de um dispositivo médico similar, se está conforme, no mesmo nível ou melhor.
Inspeção de dados e informações demonstrando que o dispositivo médico está em conformidade ou

supera os limites com base no estado da arte, com base em Normas Internacionais ou comparação
Avaliação:
com um dispositivo médico no mercado. A avaliação de risco pode incluir inspeção e comparação de
especificações de projeto ou resultados de ensaios comparativos.

ABNT/CB-026
DEZ 2021
Tabela C.1 (conclusão)

Preocupações das partes interessadas
Os critérios tratam de preocupações conhecidas das partes interessadas, conforme identificado em

uma análise crítica da literatura médica e científica sobre o uso pretendido do dispositivo médico,
Política:
em estudos de usabilidade, por meio de realimentação de conselhos consultivos e/ou de grupos de
foco, ou durante monitoramento de pós-produção.
1) Riscos relacionados aos materiais bovinos são uma preocupação pública e são essencialmente
eliminados por projeto.
Critérios: 2) Risco relacionado ao uso acidental em mais de um paciente de dispositivos médicos baseados
em agulha para administração de medicamentos é uma preocupação para organizações clínicas e,
portanto, avisos são requeridos para que o risco seja considerado aceitável.
A avaliação de risco pode incluir a análise crítica do desempenho do dispositivo médico perante limites
requeridos pelas partes interessadas, ou a participação direta das partes interessadas (em grupos de
Avaliação:
foco ou similares) nas atividades de avaliação de risco. A avaliação de risco pode incluir a comparação de
estimativas de risco com níveis de risco que sejam considerados aceitáveis pelas partes interessadas.

ABNT/CB-026
DEZ 2021
Anexo D
(informativo)
Informação para segurança e informação sobre risco residual

D.1 Geral
O propósito deste Anexo é esclarecer as diferenças entre “informação para segurança” e “divulgação de
risco residual”. Ele fornece orientações sobre como a informação para segurança pode ser fornecida,
e como os riscos residuais podem ser divulgados de maneira que promova a conscientização sobre o risco.
D.2 Informação para segurança

Informação para segurança é uma medida de controle de risco que convém usar somente depois de
o fabricante ter determinado que uma redução de risco (adicional) por meio de outras medidas não
é praticável. As opções preferidas para redução de risco são implementar recursos de projeto que
tornem o dispositivo médico inerentemente seguro e, se isso não for possível, implementar medidas
de proteção. Mesmo assim, a segurança do paciente, usuário ou outros ainda pode depender de
que certas ações sejam tomadas ou evitadas. Instruções sobre estas ações constituem a informação
para segurança.
Informação para segurança são instrutivas e dão ao usuário instruções claras de quais ações tomar
ou evitar, para impedir que uma situação perigosa ou dano ocorra. Estas informações podem ser
fornecidas na forma de avisos, advertências (precauções), contraindicações, instruções de uso
(incluindo instalação, manutenção e descarte) ou treinamento. A ABNT NBR ISO 14971:2020 requer
que a informação para segurança seja verificada quanto à eficácia (por exemplo, aplicando um
processo de engenharia de usabilidade) e que seja rastreável à determinação de risco no arquivo
de gerenciamento de risco.
Em alguns casos, o texto para informação para segurança é descrito por regulamentações locais.
Ao desenvolver informação para segurança, é importante identificar a quem essa informação será
fornecida e como será fornecida. Isso pode incluir uma explicação do risco, as consequências de exposição
e o que convém fazer ou evitar para impedir qualquer dano. Convém que o fabricante considere:
— a necessidade de classificar a informação para segurança, com base no nível de risco;
— o nível de detalhes necessários para transmitir a informação para segurança;
— o local para a informação para segurança (por exemplo, uma etiqueta de aviso no dispositivo médico);
— a terminologia, imagens ou símbolos a serem usados para garantir clareza e compreensibilidade;
— os destinatários pretendidos (por exemplo, usuários, pessoal de serviço, instaladores, pacientes);
— os meios apropriados para fornecer as informações (por exemplo, instruções de uso, etiquetas,
avisos na interface de usuário); e
— requisitos regulamentares.

ABNT/CB-026
DEZ 2021
Informação para segurança pode ser comunicada de diferentes maneiras, dependendo do momento
no ciclo de vida do dispositivo médico em que as informações serão comunicadas, por exemplo,
por interface do usuário de um dispositivo médico orientado por menu, como declarações de
advertências na documentação acompanhante ou em uma nota de aviso.
Informação para segurança pode ser apresentada de várias formas, como etiquetas de aviso coladas
ao dispositivo médico, declarações de aviso nas instruções de uso, instruções em uma interface gráfica
de usuário ou instruções em vídeos de treinamento. Alguns exemplos são apresentados abaixo:
— Aviso: não pisar sobre a superfície.
— Aviso: não remover a cobertura, risco de choque elétrico.
— Aviso: não usar amostras de soro hemolisadas. Estas podem interferir nas medições e afetar
a exatidão do resultado.
D.3 Divulgação de risco residual

Risco residual é o risco que permanece após todas as medidas de controle de risco terem sido
implementadas. Riscos residuais podem estar relacionados à possível ocorrência de efeitos colaterais
relacionados ao uso de um dispositivo médico. A ABNT NBR ISO 14971:2020 requer que o fabricante
informe os usuários sobre os riscos residuais significativos.
A divulgação de risco residual é descritiva e fornece ao usuário informações necessárias para

compreender os riscos residuais associados ao uso do dispositivo médico. O objetivo é divulgar
informações na documentação acompanhante que permitam que o usuário e potencialmente o
paciente tomem uma decisão esclarecida que pondere os riscos residuais em oposição aos benefícios
de usar o dispositivo médico. O fabricante examina os riscos residuais e determina quais informações
o usuário necessita receber. As decisões do fabricante com relação à divulgação do risco residual
são registradas no arquivo de gerenciamento de risco.
As informações divulgadas podem ser significativas no processo de tomadas de decisões clínicas.

Dentro do contexto do uso pretendido, o usuário pode decidir em quais configurações clínicas o
dispositivo médico pode ser usado para alcançar um certo benefício para o paciente. A divulgação
do risco residual também pode ser útil para que o usuário ou a organização do hospital preparem
o paciente para possíveis efeitos colaterais ou danos que possam ocorrer durante ou após o uso
do dispositivo médico. Observar que usuário e paciente podem ser a mesma pessoa, por exemplo,
para dispositivos médicos usados no ambiente doméstico de cuidados à saúde.
Ao desenvolver informações sobre a divulgação de riscos residuais, é importante identificar o que é

para ser comunicado e a quem as informações são direcionadas. Convém que o fabricante considere:
— o nível de detalhes das informações;

— a terminologia a ser usada para garantir clareza e compreensibilidade;
— os destinatários pretendidos (por exemplo, usuários, pessoal de serviço, instaladores, pacientes); e
— os meios e a mídia a serem usados.
Ao determinar o nível apropriado de detalhes, convém que o fabricante considere se é mais adequado
resumir as informações do que fornecer informações detalhadas do arquivo de gerenciamento de
risco. Convém que a natureza e a extensão das informações sejam proporcionais ao risco residual
e ao conhecimento e experiência do destinatário pretendido das informações.

ABNT/CB-026
DEZ 2021
Alguns exemplos são apresentados abaixo para ilustrar os riscos residuais associados ao uso de
dispositivos médicos e os efeitos colaterais que são normalmente divulgados.
— Aceleradores lineares podem ser usados para tratar tumores. Os riscos residuais da terapia
de radiação para tumores incluem a possibilidade de eritema ou depilação.
— Ao ser submetido a um exame por ressonância magnética (IRM), o paciente pode permanecer
em um espaço fechado. Alguns pacientes podem experimentar episódios de claustrofobia.
— Ventilação mecânica para auxiliar ou substituir a respiração espontânea pode levar a complicações
como lesões das vias aéreas, dano alveolar ou pneumotórax.
— Depois de passar por litotripsia de cálculos renais, cerca de 10 % dos pacientes têm sangue
na urina ou sentem dor nos rins conforme passam pequenos fragmentos de pedras, enquanto
cerca de 2 % dos pacientes incorrem em infecção do trato urinário.
— Potenciais complicações de se usar um laser cirúrgico oftálmico incluem inchaço, inflamação

ou dor nos olhos. Uma sensibilidade moderada à luz ocorreu em 1 % dos pacientes até seis
semanas após a cirurgia.
— Pacientes com um sistema de cardioversor desfibrilador implantável (CDI) podem experimentar

choques inapropriados, choques imaginados (fantasma), dependência, depressão e medo de
choques enquanto acordado.
Ver H.5 para orientações adicionais quanto à divulgação de risco residual para dispositivos médicos
de diagnóstico in vitro.

ABNT/CB-026
DEZ 2021
Anexo E
(informativo)
Papel das Normas Internacionais no gerenciamento de risco

E.1 Geral
Normas Internacionais podem ter papel significativo no gerenciamento de risco, fornecendo requisitos
para a segurança de produtos e/ou processos. O ISO/IEC Guide 63[20] fornece orientações sobre o
desenvolvimento e a inclusão de aspectos de segurança em Normas Internacionais para dispositivos
médicos. Normas Internacionais são desenvolvidas por especialistas na área e são consideradas
representantes do estado da arte geralmente reconhecido para a tecnologia.
Ao desempenhar o gerenciamento de risco, o fabricante primeiro considera o dispositivo médico

sendo projetado, seu uso pretendido, suas características relacionadas à segurança e os perigos
e situações perigosas associados. Fabricantes podem selecionar e aplicar normas de produto e
normas de processo que contenham requisitos específicos para auxiliar no gerenciamento dos riscos
associados aos perigos e às situações perigosas durante o ciclo de vida do dispositivo médico.
Para dispositivos médicos que satisfazem os requisitos e os critérios de conformidade destas normas,
os riscos residuais relacionados a esses perigos e situações perigosas podem ser considerados
aceitáveis, a menos que haja evidências objetivas do contrário (por exemplo, relatórios de eventos
adversos, recalls de produtos ou queixas). Os requisitos de Normas Internacionais (como processos
analíticos ou de engenharia, limites de saída específicos, declarações de aviso ou especificações de
projeto) podem ser considerados medidas de controle de risco que são destinadas a tratar os riscos
de situações perigosas específicas.
Em muitos casos, os redatores das normas chegaram a um consenso e complementaram elementos

de gerenciamento de risco que fornecem aos fabricantes soluções na forma de requisitos de projeto
e métodos de ensaio para estabelecer conformidade. Ao desempenhar atividades de gerenciamento
de risco, fabricantes podem se beneficiar do trabalho dos redatores de normas e não necessitar
repetir as análises que levaram aos requisitos da norma. Normas Internacionais, portanto, fornecem
informações valiosas sobre aceitabilidade de risco que foram validadas durante um processo
de avaliação mundial, incluindo múltiplas rodadas de análise crítica, comentários e votações até
chegar ao consenso internacional.
E.2 Uso de Normas Internacionais de segurança do produto no gerenciamento de risco

Uma Norma Internacional de segurança do produto pode estabelecer requisitos que, quando
implementados, resultam em risco aceitável para situações perigosas específicas (por exemplo,
soluções de projeto, limites de segurança). O fabricante pode aplicar esses requisitos da seguinte
forma ao gerenciar o risco.
a) Quando uma Norma Internacional de segurança do produto especifica requisitos que tratam de
perigos ou situações perigosas específicos, juntamente com critérios de aceitação específicos,
presume-se que a conformidade com esses requisitos estabeleça que os riscos residuais
foram reduzidos a níveis aceitáveis, a menos que haja evidências objetivas do contrário.

ABNT/CB-026
DEZ 2021
Por exemplo, a ABNT NBR IEC 60601-1[5] fornece limites de corrente de fuga sobre o que se
considera que resulta em um nível aceitável de risco, quando medidos sob condições especificadas.
Nesse exemplo, um gerenciamento de risco adicional não seria necessário. Os seguintes passos
são atendidos nesse caso.
1) Identificar características relacionadas à segurança e identificar perigos e situações perigosas

associados ao dispositivo médico.
2) Identificar os perigos e as situações perigosas que estão completamente cobertos pela Norma
Internacional de segurança do produto.
3) Para os perigos e as situações perigosas identificados que estiverem completamente cobertos
pela Norma Internacional de segurança do produto, o fabricante pode confiar nos requisitos
da Norma Internacional para demonstrar um risco aceitável.
4) O quanto for possível, convém que o fabricante garanta que as especificações de projeto do
dispositivo médico estejam em conformidade com os requisitos da norma que servem como
medidas de controle de risco.
NOTA Para algumas Normas Internacionais de segurança do produto, a possibilidade de identificar

todas as medidas de controle de risco específicas é limitada. Um exemplo disso é o ensaio de
compatibilidade eletromagnética da ABNT NBR IEC 60601-1-2[6], para dispositivos médicos complexos.
5) A verificação da implementação das medidas de controle de risco para estas situações
perigosas é obtida a partir de uma análise crítica da documentação de projeto. A verificação
da eficácia das medidas de controle de risco é obtida a partir dos ensaios e resultados
de ensaios demonstrando que o dispositivo médico atende aos requisitos pertinentes da
Norma Internacional de segurança do produto.
6) Se os requisitos pertinentes forem atendidos, o risco residual associado é considerado

aceitável. Convém que o uso da norma seja documentado no arquivo de gerenciamento
de risco, para prover suporte à aceitação do risco residual.
b) Quando uma Norma Internacional de segurança do produto não especificar de maneira
completa os requisitos, ensaios e critérios de aceitação de ensaio associados, a situação é mais
complexa. Em alguns casos, a norma fornece ensaios específicos relacionados aos perigos ou
situações perigosas conhecidos sem critérios de aceitação de ensaio específicos (por exemplo,
a IEC 60601-2-16[8]). Em alguns outros casos, a norma apenas identifica perigos ou
situações perigosas específicos sem requisitos adicionais (por exemplo, algumas seções da
ABNT NBR IEC 60601-1[5]). A gama de alternativas é muito ampla para fornecer orientações
específicas sobre como usar tais normas no processo de gerenciamento de risco. Fabricantes
são encorajados, entretanto, a usar o conteúdo destas normas em seu gerenciamento de
risco do dispositivo médico em particular.
c) Quando um perigo ou situação perigosa identificados não forem especificamente tratados
na Norma Internacional de segurança do produto, o fabricante tem de tratar esse perigo ou
situação perigosa no processo de gerenciamento de risco. O fabricante estima e avalia o risco e,
se necessário, controla o risco.
Ver Figura E.1 para um fluxograma e um exemplo delineando o uso de Normas Internacionais de
segurança do produto.

ABNT/CB-026
DEZ 2021
Iden�ficar perigos/situações
(ABNT NBR ISO 14971:2020, 5.4)
Situação perigosa iden�ficada: paciente (e dispositivo

médico) precisa ser transferido de um ambiente para outro;
se colocado na posição de transporte, o equipamento
Os P/SP são tratados
desequilibra e o paciente cai.
situações perigosas iden�ficados no Não Internacional(is) de

processo de gerenciamento de risco.
produto?
norma(s) de Sim: ABNT NBR IEC 60601-1:2010, Subseção 9.4.2.1
Sim
E.2a)
E.2 b) Usar os perigos e as situações

Como isso é tratado? Sim: há um requisito específico: O equipamento não pode se
perigosas iden�ficados, métodos de Escolher entre E.2a)
E.2b) desequilibrar quando colocado em qualquer posição de
transporte da u�lização normal em um plano inclinado a um
E.2b).
gerenciamento de risco. ângulo de 10o do plano horizontal, e critérios de aceitação
específicos (ensaio definido). Se o equipamento desequilibrar,
ele não está em conformidade com o requisito.
E.2a)
E.2 a): Norma Internacional de

Sim, o equipamento é transportável e pode ser transportado
com o paciente para acomodar as transferências do paciente.
aceitação de ensaio específicos.
O risco não é es�mado nem avaliado antes da implementação

de medida de controle de risco.
Usar os perigos e situações perigosas O(s) requisito(s)
iden�ficados, métodos de ensaio ou corresponde(m) completamente
Não às contribuições de
projeto, incluindo o
processo de gerenciamento de risco. uso pretendido?
Iden�ficado no arquivo de gerenciamento de risco
Sim
Não há necessidade de es�mar (5.5) Ensaio realizado: equipamento posicionado sobre um plano
inclinado a um ângulo de 10° do plano horizontal.
implementar medida de controle de Resultado: dispositivo médico não se desequilibra.
risco
Iden�ficar as especificações de
projeto que alcançam os requisitos Dispositivo médico não se desequilibra, portanto o risco
da norma (7.1) residual relacionado é considerado aceitável.
Verificar a eficácia (7.2) realizando ensaio(s) de

desempenho de acordo com a norma.
Se passar no ensaio, os riscos

residuais relacionados são
considerados aceitáveis (7.3)
Figura E.1 – Uso de Normas Internacionais de segurança do produto e exemplo

de tal norma que especifica requisitos e fornece critérios de aceitação de ensaio específicos
E.3 Normas Internacionais de processo e ABNT NBR ISO 14971

Normas Internacionais de processo, como apresentado nos exemplos abaixo, podem geralmente
ser usadas em conjunto com a ABNT NBR ISO 14971. Isso é realizado de diversas maneiras:
— a Norma Internacional de processo requer aplicação da ABNT NBR ISO 14971 como parte
da implementação da Norma Internacional de processo; ou

ABNT/CB-026
DEZ 2021
— a Norma Internacional de processo é destinada a ser usada no gerenciamento de risco.
Em ambos os casos, o uso apropriado da Norma Internacional de processo requer atenção às

interfaces entre tal norma e a ABNT NBR ISO 14971, para alcançar níveis aceitáveis de risco para
o dispositivo médico. Convém que as normas trabalhem em conjunto, de modo que entradas,
saídas e suas sincronizações sejam otimizadas. Alguns exemplos são apresentados abaixo,
para demonstrar esta situação ideal.
a) IEC 62304, Medical device software – Software life cycle processes
A relação entre a IEC 62304 e a ABNT NBR ISO 14971 é bem descrita na Introdução da
IEC 62304:2006 e AMD1:2015[15]:
“Como fundamento básico, presume-se que o software do dispositivo médico seja desenvolvido
e mantido dentro de um sistema de gestão da qualidade (ver 4.1 da IEC 62304:2006 e
ADM1:2015[15]) e um processo de gerenciamento de risco (ver 4.2 da IEC 62304:2006 e
ADM1:2015[15]). O processo de gerenciamento de risco já é muito bem abordado pela
ABNT NBR ISO 14971. Portanto, a IEC 62304 faz uso desta vantagem simplesmente por meio
de uma referência normativa à ABNT NBR ISO 14971. Alguns requisitos adicionais menores de
gerenciamento de risco são necessários para software, especialmente na área de identificação
de fatores do software contribuintes, relacionados aos perigos. Esses requisitos são resumidos e
capturados na IEC 62304:2006, Seção 7 e AMD1:2015 [15] como o processo de gerenciamento
de risco do software.
Se o software for um fator contribuinte para uma situação perigosa, isso é determinado durante a
atividade de identificação de perigo do processo de gerenciamento de risco. Situações perigosas
que poderiam ser indiretamente causadas pelo software (por exemplo, fornecendo informações
equivocadas que possam fazer com que um tratamento inapropriado seja administrado)
precisam ser consideradas ao determinar se o software é um fator contribuinte. A decisão de usar
software para controlar o risco é feita durante a atividade de controle de risco do processo de
gerenciamento de risco. O processo de gerenciamento de risco do software requerido nesta
Norma tem que ser incorporado no processo de gerenciamento de risco do dispositivo,
de acordo com a ABNT NBR ISO 14971.”
A IEC 62304 faz uma referência normativa à ABNT NBR ISO 14971 e requer especificamente:
— planejamento de desenvolvimento de software (ver IEC 62304:2006, 5.1 e ADM1:2015[15])

e quais requisitos são consistentes com o plano de gerenciamento de risco requerido pela
ABNT NBR ISO 14971; e
— um processo de gerenciamento de risco de software (ver IEC 62304:2006, Seção 7 e

ADM1:2015[15]) e quais requisitos são baseados na ABNT NBR ISO 14971.
b) IEC 62366-1, Medical devices – Application of usability engineering to medical devices
O diagrama de fluxo na Figura A.4 da IEC 62366-1:2015[16], demonstra a relação e interconexão

dos dois processos paralelos e interconectados de gerenciamento de risco e engenharia
de usabilidade. A IEC 62366-1[16] identifica diversas seções específicas em que o processo
de engenharia de usabilidade pode suplementar e interagir com o gerenciamento de risco,
como descrito na ABNT NBR ISO 14971:
— 5.1 da IEC 62366-1:2015[16] requer que o fabricante prepare instruções de uso, que podem ser
uma contribuição para determinar o uso pretendido de acordo com a ABNT NBR ISO 14971;

ABNT/CB-026
DEZ 2021
— 5.2 da IEC 62366-1:2015[16] requer que o fabricante identifique características da interface

de usuário que poderiam estar relacionadas com a segurança como parte da análise
de risco realizada de acordo com a ABNT NBR ISO 14971;
— 5.3 da IEC 62366-1:2015[16] requer que o fabricante identifique perigos e situações

perigosas conhecidos e previsíveis, o que poderia afetar pacientes, usuários ou outros,
com relação ao uso do dispositivo médico, como parte de uma análise de risco realizada
de acordo com a ABNT NBR ISO 14971; e
— 5.9 da IEC 62366-1:2015[16] requer que o fabricante realize uma avaliação somativa na
interface do usuário final do dispositivo médico como parte do gerenciamento de risco.
c) ISO 10993-1, Biological evaluation of medical devices – Part 1: Evaluation and testing within a
risk management process.
A ISO 10993-1[22] é um documento de orientações para a avaliação biológica de dispositivos

médicos dentro de um processo de gerenciamento de risco, como parte da avaliação,
do desenvolvimento geral e do desenvolvimento de cada dispositivo médico.
O Anexo B da ISO 10993-1:2018[22] fornece orientações sobre a abordagem de gerenciamento

de risco de acordo com a ABNT NBR ISO 14971, para a identificação de perigos biológicos
associados com dispositivos médicos, a estimativa e avaliação dos riscos, o controle desses
riscos e o monitoramento da eficácia das medidas de controle de risco.
Esta abordagem combina a análise crítica e a avaliação dos dados existentes de todas as
fontes com a seleção e aplicação de ensaios adicionais (quando necessário), assim permitindo
que seja feita uma avaliação completa das respostas biológicas para cada dispositivo médico,
pertinentes à sua segurança no uso.
Convém que a avaliação biológica seja conduzida de maneira similar à usada para outros riscos
do produto, e convém incluir uma análise de risco (quais são os perigos e riscos associados?),
uma avaliação de risco (são aceitáveis?), controle de risco (como serão controlados?) e uma
avaliação do risco residual geral. Convém que a avaliação biológica leve em conta:
— as características físicas e químicas das várias escolhas de materiais;
— quaisquer históricos de uso clínico ou dados de exposição humana; e
— quaisquer dados existentes de toxicologia e outros dados de segurança biológica sobre o

produto e materiais componentes.
A quantidade de dados requeridos e a profundidade da investigação podem variar com o uso

pretendido e podem depender da natureza e duração do contato com o paciente.
De acordo com a ISO 10993-1[22], convém que avaliadores especialistas determinem se as

informações disponíveis são suficientes para determinar se o risco residual geral associado
aos perigos biológicos é aceitável. Esta conclusão é documentada no Relatório de Avaliação
Biológica, que se torna um elemento do arquivo de gerenciamento de risco. Em concordância com
os processos especificados na ABNT NBR ISO 14971:2020, se a avaliação de risco residual geral
concluir que os riscos identificados são aceitáveis, um maior controle de risco não é necessário.
Por outro lado, convém que medidas apropriadas sejam tomadas para melhor controlar os riscos.

ABNT/CB-026
DEZ 2021
d) ISO 14155, Clinical investigation of medical devices for human subjects – Good clinical practice
A ISO 14155[26] trata da boa prática clínica para o projeto, condução, registro e relatório de
investigações clínicas pré-comercialização e pós-comercialização, conduzidas em indivíduos
humanos para determinar o desempenho clínico ou a eficácia e segurança de dispositivos
médicos. Isso é pertinente para a estimativa de riscos clínicos e para a determinação do equilíbrio
benefício-risco para dispositivos médicos.

ABNT/CB-026
DEZ 2021
Anexo F
(informativo)
Orientações sobre riscos relacionados à segurança da informação

F.1 Geral
O processo de gerenciamento de risco descrito na ABNT NBR ISO 14971:2020 pode ser aplicado a
perigos e riscos associados à segurança de dados e sistemas do dispositivo médico. Riscos relacionados
à segurança da informação de dados e sistemas são especificamente mencionados no escopo da
ABNT NBR ISO 14971:2020 para impedir qualquer mal-entendido de que um processo separado seria
necessário para gerenciar riscos relacionados à segurança da informação dos dispositivos médicos.
Isso não impede a possibilidade de aplicar normas específicas, em que métodos e requisitos específicos
são fornecidos para a determinação e controle de riscos de segurança da informação.
Violações da segurança de dados e sistemas podem levar a dano, por exemplo, por meio da perda
de dados, acesso não controlado a dados, corrupção ou perda de informações de diagnóstico,
ou corrupção do software que leve ao mau funcionamento do dispositivo médico.
Segurança da informação neste documento inclui segurança cibernética e segurança da informação

de dados e sistemas.
F.2 Terminologia usada no gerenciamento de risco da segurança da informação

O gerenciamento de risco da segurança da informação geralmente emprega terminologia diferente
da ABNT NBR ISO 14971:2020. Mesmo assim, existem correspondências entre os termos usados
no gerenciamento de risco de segurança da informação e os usados na ABNT NBR ISO 14971:2020.
Os seguintes termos definidos se originam do IEC Guide 120[4]. Outras definições, como as da
AAMI TIR 57[1], também são usadas no gerenciamento de risco da segurança da informação.
— Segurança da informação: uma condição que resulta do estabelecimento e manutenção

de medidas de proteção que garantem um estado de inviolabilidade contra ações e reações
(ver 3.13 do IEC Guide 120:2018[4]), onde ações e reações adversas podem ser intencionais ou não.
NOTA Em 2.6 da AAMI TIR 57:2016[1] e em 2.5 da IEC 80001-1:2010[19], a segurança da informação

é definida como um estado operacional de um dispositivo médico no qual ativos de informação (dados
e sistemas) estão razoavelmente protegidos contra degradação de confidencialidade, integridade e
disponibilidade. Pode ser visto que a segurança da informação está focada em atos hostis como eventos
que podem contribuir para riscos, e que a segurança da informação é considerada um estado de inviolabilidade
estando livre de risco inaceitável (similar à segurança, ver 3.26 da ABNT NBR ISO 14971:2020).
— Ameaça: potencial de violação da segurança da informação, que existe quando há uma

circunstância, capacidade, ação ou evento que poderia violar a segurança da informação e causar
dano (ver 3.16 do IEC Guide 120:2018[4]). Ameaça corresponde a um evento ou sequência de
eventos que pode explorar uma vulnerabilidade, levando a uma situação perigosa (ver 3.5 da
ABNT NBR ISO 14971:2020).
— Vulnerabilidade: defeito ou fraqueza no projeto, implementação ou operação e gerenciamento
de um sistema que poderia ser explorado de modo a violar a política de segurança da
informação do sistema (ver 3.18 do IEC Guide 120:2018[4]). A vulnerabilidade pode ser vista
como um tipo de evento ou circunstância (ver Tabela C.2 da ABNT NBR ISO 14971:2020).

ABNT/CB-026
DEZ 2021
— Confidencialidade: propriedade em que as informações não são disponibilizadas ou divulgadas

a indivíduos, entidades ou processos não autorizados (ver 3.6 do IEC Guide 120:2018[4]).
— Integridade: propriedade de exatidão e completude (ver 3.9 do IEC Guide 120:2018[4]).
— Disponibilidade: propriedade de ser acessível e usável quando solicitado por uma entidade
autorizada (ver 3.5 do IEC Guide 120:2018[4]).
A relação entre um perigo, sequência de eventos, situação perigosa e dano com relação à segurança
da informação pode ser representada conforme mostrado na Figura F.1.
Perigo
por exemplo, perda ou degradação de confidencialidade, integridade,
disponibilidade
Exemplos de ameaças:
- Acesso não autorizado
Probabilidade de Circunstâncias - Ataque de negação de serviço distribuído (DDoS)
uma situação Sequência de eventos afetando a - Acesso remoto
perigosa ocorrer (Uma vulnerabilidade pode ser severidade - Ataque, infecção, dispersão de malware
(P1) explorada pelas ameaças.) - Encriptação e destruição por malware
Situação perigosa
Probabilidade de uma Circunstâncias

situação perigosa levar afetando a
a um perigo severidade
(P2)
Probabilidade
(P = P1 * P2)
Risco
Figura F.1 – Relação entre perigo, situação perigosa, dano e terminologia de segurança da informação
F.3 Relação entre a ABNT NBR ISO 14971 e a segurança da informação

Um equívoco comum é que a ABNT NBR ISO 14971:2020 se aplicaria somente à saúde das pessoas,
independentemente de a definição de dano incluir danos à propriedade e ao ambiente. Esse equívoco
é geralmente descoberto durante discussões de segurança da informação, em que se presume
que a ABNT NBR ISO 14971:2020 esteja restrita aos riscos relacionados ao paciente e ao usuário,
e não cobriria os riscos relacionados à segurança da informação.

ABNT/CB-026
DEZ 2021
Convém que se note que a definição de segurança da informação do IEC Guide 120[4] não se
encontra no mesmo nível da definição de segurança. Segurança está relacionada ao resultado
final do gerenciamento de risco, enquanto a segurança da informação está relacionada aos efeitos
de atos ou eventos hostis sobre as características e desempenho do sistema.
A definição de dano na ABNT NBR ISO 14971:2020 se aplica às pessoas, à propriedade e ao

ambiente, com potencial para alguma sobreposição. Por exemplo, dano a um registro eletrônico de
saúde (prejuízo à propriedade) pode resultar, adicionalmente, em diagnóstico incorreto, o que pode
levar a lesões ao paciente (dano a pessoas). Nota-se que o escopo do gerenciamento de risco de
segurança da informação é geralmente mais amplo. Diversos exemplos de perigos de segurança
da informação que podem levar a dano são apresentados na Tabela F.1.
Tabela F.1 – Exemplos de perigo, sequência de eventos, situação perigosa e

dano na situação de perigos de segurança da informação
Perigo Sequências de eventos Situação perigosa Dano
1) A vulnerabilidade de porta de rede Dados de dosagem

desnecessariamente aberta é explorada. incorreta levando a Deterioração da saúde.
Perda de integridade de
fluido de infusão não
dados 2) Dados de ajuste de dose de bomba de infusão Óbito.
administrado conforme
são modificados por acesso não autorizado. pretendido.
1) A vulnerabilidade de porta de rede Dados modificados que

desnecessariamente aberta é explorada. resultem em decisões Deterioração da saúde.
Perda de integridade de
clínicas ou procedimentos
dados 2) Dados do paciente ou resultados de diagnóstico Cirurgia desnecessária.
incorretos, ou em falta de
são modificados por acesso não autorizado. tratamento.
1) A vulnerabilidade de porta de rede

desnecessariamente aberta é explorada.
Atraso na terapia. Perda de funcionalidade
Perda de disponibilidade 2) Desempenho do dispositivo médico é reduzido do dispositivo médico.
de dados Incapacidade de
ou encerrado por ataque de DDoS (overload,
diagnóstico. Deterioração da saúde.
excesso de comandos) ou ransomware (ataque
de hacker).
1) A vulnerabilidade de porta de rede Negação de cobertura do

Perda de confidencialidade desnecessariamente aberta é explorada. Estresse psicológico.
seguro, levando à falta de
dos dados Deterioração da saúde.
2) Divulgação de informações pessoais de saúde. tratamento.
Adicionalmente, ao diferenciar entre esses domínios, os termos “gerenciamento de risco da

segurança” e “gerenciamento de risco de segurança da informação” são por vezes usados. Este
documento segue a sugestão do ISO/IEC Guide 63[20], que declara que não convém que o termo
“segurança” seja usado como adjetivo. Convém que se mantenha em mente que o objetivo do
gerenciamento de risco de segurança da informação também é alcançar a segurança (ou seja,
isenção de risco inaceitável) ao usar o quadro de referência da ABNT NBR ISO 14971 para gerenciar
os riscos relacionados à segurança da informação.
Nota-se que a definição de segurança da informação do IEC Guide 120[4] inclui atos não intencionais,
como a liberação acidental de informações pessoais de saúde que não seja por ataque malicioso,
e que convém que os perigos de segurança da informação relacionados ao uso normal avaliados
também, como mostrar informações pessoais de saúde a pessoas não autorizadas.
F.4 Características de gerenciamento de risco da segurança da informação

O gerenciamento de risco da segurança da informação segue um processo semelhante ao
gerenciamento de outros riscos em que as etapas de processo incluam estabelecer critérios para

ABNT/CB-026
DEZ 2021
a aceitabilidade de risco, desempenho de análise de risco, avaliação de risco, controle de risco,

avaliação de risco residual geral etc. Os detalhes específicos com relação às fontes de dados usadas,
ferramentas e técnicas de análise, e validação podem variar, mas o processo geral é o mesmo.
A ABNT NBR ISO 14971:2020 requer a avaliação de riscos oriundos de medidas de controle de
risco. É possível que novos riscos sejam introduzidos por medidas de controle de segurança da
informação ou vice-versa. Por exemplo, uma medida de controle de segurança da informação é

requerer que o usuário insira uma senha antes do uso, mas em um dispositivo médico de salvamento
à vida (por exemplo, um desfibrilador automático externo), o potencial para atrasos devido a uma
senha esquecida pode ser inaceitável e, portanto, convém que opções diferentes sejam consideradas.
Esta relação é ilustrada na Figura F.2.
O gerenciamento de perigos relacionados à segurança da informação pode requerer métodos e

abordagens diferentes do gerenciamento de outros perigos, semelhante às diferenças em métodos
para controlar riscos relacionados à usabilidade ou confiabilidade.
Medida de controle de risco de
Análise de risco
segurança da informação
determinação da experiência em segurança da

afetando outros riscos
controle de risco
Outra medida de
segurança da
Dados de conformidade/vigilância para

informação
afetando a
Plano de gerenciamento de risco
Avaliação do risco
Controle do risco
informação
Avaliação do risco
residual geral
Análise crítica do
gerenciamento de risco
Atividades de produção e
pós-mercado
Figura F.2 – Possível interação de medidas de controle de risco de segurança

da informação com outras medidas de controle de risco
Severidade é definida como a “medida das possíveis consequências de um perigo” (ver 3.27 da
ABNT NBR ISO 14971:2020). A severidade é geralmente representada em graus de degradação da
saúde de uma pessoa. Uma severidade baixa pode ser definida como um desconforto temporário ou
uma lesão leve que não requer intervenção médica; uma severidade média, como uma lesão que
requer intervenção médica; e uma severidade alta, como uma lesão que requer intervenção médica
imediata e que possivelmente leva a prejuízo permanente ou até a óbito. No gerenciamento de risco
de segurança da informação, um sistema de dados seguro mantém altas confidencialidade, integridade
e disponibilidade. Portanto, a severidade do dano relacionada às avarias a um sistema seguro
poderia considerar, entre outras, as consequências de perda ou a degradação desses três fatores.
Dano é geralmente lesão ou avaria à saúde de pessoas e é relacionado à segurança básica

(por exemplo, choque elétrico) ou ao uso pretendido do dispositivo médico (por exemplo, exposição
à radiação durante imageamento de raio X). No gerenciamento de risco de segurança da informação,
o dano é geralmente avaria à propriedade e é relacionado às informações no próprio dispositivo
médico (por exemplo, divulgação de informações pessoais de saúde, modificação ou corrupção
de software ou dados), ou às informações disponíveis em dispositivos conectados (por exemplo,
perda de conectividade, acesso a informações do cartão de crédito).

ABNT/CB-026
DEZ 2021
A probabilidade de ocorrência de dano ocorre geralmente em função de projeto e fabricação, seleção

de material, tolerâncias, margens de projeto etc. Esses fatores podem, com frequência, ser previstos
com altos níveis de confiança. No gerenciamento de risco de segurança da informação, a probabilidade
de ocorrência ocorre geralmente em função de motivação, ganho financeiro, bem como em função
de oportunidade, por exemplo, vulnerabilidades abertas. Esses fatores não são facilmente estimados.
Além disto, a probabilidade (possibilidade) de uma vulnerabilidade ser explorada pode rapidamente
mudar de “remota” para “todo tempo”, uma vez que informações de vulnerabilidade sejam publicadas
na internet.
F.5 Priorizando confidencialidade, integridade e disponibilidade

Ao avaliar os riscos relacionados à segurança da informação, o fabricante garante que as prioridades
de segurança da informação (confidencialidade, integridade e disponibilidade) levem em conta de
modo adequado o uso pretendido do dispositivo médico. Para algumas aplicações, a integridade de
informações é de alta preocupação, e uma perda de integridade poderia resultar em alterações no
registro médico de um paciente (por exemplo, alterações nos pedidos de medicamentos ou dados/
imagens médicas). Em outros casos, a perda de confidencialidade poderia ser mais importante,
porque a divulgação de informações pessoais de saúde pode gerar um potencial para chantagem.
Outro exemplo de perda de confidencialidade é uma situação em que os recursos de projeto não
sejam criptografados (dados em repouso ou em trânsito). A engenharia reversa desses recursos
poderia comprometer a operação do dispositivo médico e resultar em lesões ao paciente. A perda de
disponibilidade do dispositivo médico pode resultar em atraso do diagnóstico ou atraso do tratamento.
Especialmente para os dispositivos médicos de suporte à vida ou de salvamento à vida, a perda de
disponibilidade ou uma redução na eficácia pode ser o mais importante para a saúde das pessoas.
Esses exemplos indicam que os riscos relacionados à segurança da informação podem impactar
a saúde do paciente, dependendo do uso pretendido do dispositivo médico.

ABNT/CB-026
DEZ 2021
Anexo G
(informativo)
Componentes e dispositivos projetados sem o uso da

ABNT NBR ISO 14971
G.1 Geral
Esta orientação assume que o fabricante já tenha estabelecido um processo de gerenciamento de
risco em conformidade com a ABNT NBR ISO 14971:2020. Ela não substitui ou elimina quaisquer dos
requisitos da ABNT NBR ISO 14971:2020 para um dispositivo médico, mas recomenda uma maneira
para que o fabricante corrija deficiências que possam existir no arquivo de gerenciamento de risco.
Por várias razões, um fabricante pode não ter seguido todos os processos e requisitos descritos
na ABNT NBR ISO 14971:2020 para cada componente constituinte de um dispositivo médico,
como componentes proprietários, componentes de software, subsistemas de origem não médica ou
dispositivos médicos já disponíveis no mercado. Nesses casos, a documentação do gerenciamento de
risco do fabricante pode ser limitada e insuficiente para a finalidade de demonstrar conformidade com
a ABNT NBR ISO 14971:2020. Na maioria dos casos, entretanto, uma abundância de informações
sobre o dispositivo médico e seus componentes constituintes está disponível. Por exemplo,
informações sobre o real uso poderiam ser conseguidas por meio de uma análise crítica de dados
de pós-produção para o dispositivo médico ou para os dispositivos médicos similares no mercado.
Dados de confiabilidade e produção pertinentes e documentações relacionadas à segurança
previamente compiladas também podem estar disponíveis.
Este Anexo tem por objetivo fornecer ao fabricante orientações sobre como informações disponíveis
podem ser usadas para construir um arquivo de gerenciamento de risco inicial que possa ser mantido
no futuro.
NOTA “Dispositivo médico” inclui seus subsistemas, componentes e componentes de software de origem
médica e de origem não médica.
Usando informações disponíveis, o fabricante pode estabelecer uma documentação de gerenciamento

de risco que seja a base para construir um arquivo de gerenciamento de risco inicial para o dispositivo
médico em particular sob consideração. Esta documentação pode ser evidência suficiente para
demonstrar que os riscos para o dispositivo médico em particular são aceitáveis, e que o dispositivo
médico é seguro para o seu uso pretendido. Por outro lado, o fabricante pode decidir que medidas
de controle de risco adicionais são apropriadas. Por exemplo, a comparação com o estado da arte
geralmente reconhecido como tal poderia indicar que ações adicionais são garantidas, a fim de se
colocar em completa conformidade com a ABNT NBR ISO 14971:2020.
G.2 Plano de gerenciamento de risco

A ABNT NBR ISO 14971:2020 requer que todas as atividades de gerenciamento de risco sejam
planejadas, especialmente as atividades para a criação de um arquivo de gerenciamento de
risco demonstrando que o dispositivo médico é seguro para o seu uso pretendido. Os elementos
obrigatórios de um plano de gerenciamento de risco são apresentados na ABNT NBR ISO 14971:2020.

ABNT/CB-026
DEZ 2021
Ao estabelecer um plano de gerenciamento de risco, convém que seja dada particular atenção:
a) às atividades de gerenciamento de risco para as fases restantes do ciclo de vida do dispositivo
médico (especialmente manutenção, descomissionamento e descarte, quando aplicável);
b) à designação de responsabilidades e autoridades;

c) aos requisitos para análise crítica das atividades de gerenciamento de risco de agora em diante;
d) aos critérios para a aceitabilidade do risco, com base na política do fabricante para determinar
risco aceitável, incluindo critérios para aceitação de riscos, quando a probabilidade de ocorrência
de dano puder não ser estimada;
e) aos métodos para avaliar o risco residual geral e critérios para aceitabilidade do risco residual geral;
NOTA 1 Os critérios de d) e e) podem ser suportados pelas informações de produção e pós-produção.
f) às atividades de verificação, tanto para medidas de controle de risco existentes quanto para
medidas de controle de risco novas que sejam consideradas necessárias; e
g) às atividades para a coleta e análise crítica de informações de produção e pós-produção, e a

como estas informações são usadas para determinar se os riscos associados ao dispositivo
médico são aceitáveis.
NOTA 2 A documentação de projeto ou outra documentação pode incluir algumas evidências de verificação.
G.3 Arquivo de gerenciamento de risco

Uma vez que o dispositivo médico tenha sido projetado sem usar a ABNT NBR ISO 14971:2020,
convém que o fabricante comece a construir um arquivo de gerenciamento de risco. É possível
que algumas medidas de controle de risco já tenham sido implementadas, mas sem registros de
rastreabilidade de perigos e situações perigosas associados ao dispositivo médico. Portanto,
o fabricante poderia começar identificando as soluções já adotadas para o dispositivo médico e, então,
identificar os perigos e as situações perigosas que são controlados por estas soluções. Estas soluções
são consideradas medidas de controle de risco e são documentadas no arquivo de gerenciamento de risco.
Tal abordagem para construir um arquivo de gerenciamento de risco pode consistir nas seguintes etapas.
1. Documentar o uso pretendido do dispositivo médico, o mau uso razoavelmente previsível e as
características relacionadas à segurança. O mau uso razoavelmente previsível pode ser derivado
das informações sobre o uso real, reunidas durante a fase de pós-produção. As questões do
Anexo A podem ser úteis para determinar as características relacionadas à segurança.
2. Identificar todas as soluções já adotadas no dispositivo médico que possam ser consideradas
medidas de controle de risco.
3. Identificar todos os perigos e situações perigosas associados ao dispositivo médico e o possível
dano que pode resultar desses.
4. Determinar se existe qualquer perigo ou situação perigosa para o qual nenhuma medida de
controle de risco tenha sido implementada. Nestes casos, convém que o fabricante estime e
avalie o risco e aplique a ABNT NBR ISO 14971:2020. Para perigos e situações perigosas para

ABNT/CB-026
DEZ 2021
os quais foram implementadas medidas de controle de risco, convém que o fabricante verifique
a sua eficácia e estime e avalie o risco residual. Para riscos residuais que não sejam julgados
aceitáveis usando-se os critérios para aceitabilidade de risco determinados no plano de
gerenciamento de risco, convém que o fabricante considere um maior controle de risco e aplique
a ABNT NBR ISO 14971:2020.
5. Documentar a rastreabilidade para cada perigo e situação perigosa identificados para as medidas
de controle de risco. A rastreabilidade pode ser documentada pelos seguintes elementos:
— perigos e situações perigosas identificados;
— possível dano que possa ocorrer;
— medidas de controle de risco;
— verificação de implementação e eficácia; e
— aceitabilidade de quaisquer riscos residuais.
6. Avaliar o risco residual geral de acordo com a ABNT NBR ISO 14971:2020, Seção 8.
7. Analisar criticamente a execução do plano de gerenciamento de risco de acordo com a

ABNT NBR ISO 14971:2020, Seção 9 e documentar os resultados em um relatório de
Os registros e outros documentos gerados durante estas etapas formam o arquivo de gerenciamento
de risco inicial.

ABNT/CB-026
DEZ 2021
Anexo H
(informativo)
Orientações para dispositivos médicos de diagnóstico in vitro

H.1 Geral
H.1.1 Gerenciamento de risco para dispositivos médicos de IVD
O propósito deste Anexo é fornecer orientações para a aplicação de aspectos particulares da

ABNT NBR ISO 14971:2020 aos dispositivos médicos de diagnóstico in vitro. Esta orientação
é focada nos riscos indiretos aos pacientes, decorrentes de resultados de diagnóstico in vitro
incorretos ou atrasados, e se destina a suplementar as orientações gerais fornecidas por todo este
documento. Riscos aos usuários do dispositivo, a outras pessoas e ao meio ambiente são tratados
em outro trecho deste documento. Estas diretrizes podem também ser úteis para os fabricantes de
outros dispositivos médicos de diagnóstico.
Por todo este Anexo, “clínico” é usado como um termo geral para significar um prestador de cuidados
à saúde que atende os pacientes e solicita, interpreta e age de acordo com os resultados de exames
de IVD. Para definições de outros termos comumente usados na indústria de IVD e medicina
laboratorial, ver ISO 18113-1[34].
Pelo fato dos dispositivos médicos de IVD e do seu uso pretendido ser tão diversos, este Anexo
somente pode fornecer orientações gerais, com a intenção de fomentar o pensamento crítico,
a análise multifuncional e as tomadas de decisão esclarecidas dentro do processo de gerenciamento
de risco do fabricante. As questões e os exemplos deste Anexo são destinados a orientar aqueles
com conhecimentos científicos, de engenharia e clínicos adequados para desenvolver e executar
planos de gerenciamento de risco eficazes para os dispositivos médicos de IVD. Não se destinam
a ser pormenorizados/exaustivos, nem necessariamente a representar a melhor prática para todos
os dispositivos médicos de IVD. Convém que cada fabricante determine o que é aplicável para
os seus dispositivos médicos de IVD em particular.
H.1.2 Contexto para gerenciamento de risco de IVD
Gerenciar riscos para os pacientes pode ser desafiador para os fabricantes de dispositivos médicos
de IVD. Esses riscos são indiretos, geralmente caracterizados por sequências estendidas de
eventos que envolvem “intermediários competentes”, como usuários treinados que usam dispositivos
médicos de IVD para realizar exames de IVD e clínicos que confiam nos resultados dos exames.
A ABNT NBR ISO 15189[27], que é a norma para qualidade e competência de laboratórios
médicos, requer que os laboratórios médicos controlem os riscos aos pacientes. Para dar suporte
a esse requisito, a ISO 22367[38] foi desenvolvida para descrever o processo de gerenciamento
de risco para os laboratórios médicos com base nos mesmos princípios e conceitos descritos na
ABNT NBR ISO 14971:2020. Isso promoverá a comunicação de risco eficaz entre os fabricantes
de dispositivos médicos de IVD e os laboratórios médicos.
As informações para segurança e a divulgação de riscos residuais do processo de gerenciamento

de risco do fabricante são contribuições importantes para o processo de gerenciamento de risco do
laboratório médico. Reciprocamente, a necessidade de usuários de dispositivos médicos de IVD

ABNT/CB-026
DEZ 2021
por estas informações e a realimentação do laboratório quanto ao uso de dispositivos médicos

de IVD são contribuições importantes para o processo de gerenciamento de risco do fabricante.
É responsabilidade do fabricante incluir as necessidades do usuário por informações de gerenciamento
de risco como entrada de projeto, ao desenvolver ou modificar um dispositivo médico de IVD.
Quando um fabricante fornece um dispositivo médico de IVD para um laboratório médico, quaisquer
riscos que podem não ser controlados por meio do projeto ou por medidas de proteção são transferidos
para o laboratório juntamente com as informações para segurança, para controlar esses riscos.
O fabricante também divulga quaisquer riscos residuais na documentação acompanhante, de modo
que o responsável pelo laboratório possa avaliar esses riscos e determinar a sua aceitabilidade.
Fabricantes podem fornecer informações para segurança, para informar os usuários de dispositivos
médicos de IVD, mas podem não influenciar as ações de clínicos que solicitam, recebem e agem de
acordo com os resultados de exames.
Alguns dispositivos médicos de IVD são destinados ao uso por clínicos no local de atendimento, enquanto
os dispositivos médicos de IVD de autoteste são, na verdade, usados por pacientes. Embora possam
existir cenários de risco semelhantes para esses dispositivos, a capacidade do usuário de controlar o
risco pode ser mais limitada. Portanto, é importante que os dispositivos para o local de atendimento
e os dispositivos de autoteste sejam projetados com medidas de controle de risco apropriadas para
os usuários (pretendidos) e para o ambiente de uso (pretendido) fora dos laboratórios.
H.2 Análise de risco
H.2.1 Uso pretendido e mau uso razoavelmente previsível
H.2.1.1 Usos analítico e clínico
A maioria dos dispositivos médicos de IVD tem dois usuários. É importante considerar:
— um usuário que executa todo ou parte de um exame (“uso analítico”); e
— um clínico que recebe, interpreta e age de acordo com os resultados de exame (“uso clínico”).
No caso de dispositivos médicos de IVD destinados ao autoteste, o paciente pode ser o único usuário.
H.2.1.2 Descrição do dispositivo
Cada análise de risco começa identificando e documentando uma descrição clara do dispositivo
médico de IVD e seu papel específico na produção do resultado do exame. Questões a serem
consideradas ao descrever o dispositivo médico de IVD incluem:
— O dispositivo é usado sozinho para produzir resultados de exame ou em combinação com outros
produtos?
— Se o dispositivo for um sistema analítico autônomo, ele é automatizado (software, robótica)?
— Se for usado em combinação com outros dispositivos médicos de IVD para formar um sistema,
qual é seu papel na produção do resultado de exame (por exemplo, sistema de coleta de
amostra, recipiente de amostra, instrumento de medição, software, bases de dados, reagentes,
calibradores, materiais de controle ou acessório)?

ABNT/CB-026
DEZ 2021
— Se for parte de um sistema, como o dispositivo médico de IVD interage com outros componentes
do sistema?
— Há outros reagentes ou acessórios necessários, mas não fornecidos?
— O dispositivo emprega tecnologia nova ou inovadora (por exemplo, para medição, comunicação)?
— O dispositivo emprega tecnologia de informações digitais para documentar e/ou transmitir

resultados de exames para clínicos ou para comunicar com aplicativos móveis?
— Aplicações de software fornecem recomendações de diagnóstico ou tratamento?
— O dispositivo médico de IVD se comunica com um dispositivo médico que imediatamente

administra tratamento com base no resultado do IVD (por exemplo, um dispositivo médico
de IVD que mede níveis de glicose no sangue e se comunica com um sistema implantado de
administração de insulina)?
H.2.1.3 Uso analítico
O uso pretendido do dispositivo médico de IVD inclui o(s) analito(s) destinado(s) a ser(em) detectado(s)
ou medido(s); tipos de amostra aceitáveis; calibração, controle de qualidade e atividades de
manutenção preventiva; e o ambiente de uso. É importante que o mau uso razoavelmente previsível
também seja considerado (ver H.2.3.5).
Questões a serem consideradas ao identificar o uso analítico do dispositivo médico de IVD incluem:
— Qual analito o dispositivo se destina a medir ou examinar?
— Os resultados do exame serão qualitativos, semiquantitativos ou quantitativos?
— O dispositivo será usado na fase de pré-exame, de exame ou de pós-exame?
— Quais tipos de amostra podem ser analisados (por exemplo, soro, plasma, sangue, urina, outros
fluidos corporais, tecidos)?
— Outras substâncias potencialmente encontradas nestas amostras interferem no processo

analítico?
— Em procedimentos de sequenciamento de ácido nucleico, o amplicon (o segmento amplificado) é

sensível à contaminação por fontes ambientais de DNA/RNA?
— Há quaisquer limitações adicionais para o uso em ambientes de uso específicos (por exemplo,
laboratórios médicos, sala de emergência, sala de operação, ambulância, unidade de terapia
intensiva, unidade de cuidados neonatais, casa de repouso, consultório médico, clínicas de
triagem ou casa do paciente)?
— A interface do dispositivo médico de IVD se conecta ou comunica com outros dispositivos

ou redes?
— Quem usará o dispositivo médico de IVD para realizar exames, e qual treinamento e qualificações
seriam apropriados?

ABNT/CB-026
DEZ 2021
H.2.1.4 Uso clínico
O uso clínico pretendido do dispositivo médico de IVD (chamada de indicações de uso em algumas
jurisdições) inclui as condições médicas e populações de paciente para as quais os resultados de
exames são usados. Fabricantes podem se apoiar em especialistas clínicos internos e externos
para compreender o seguinte:
— como os resultados de exames IVD serão usados na tomada de decisões clínicas;
— os pontos de decisão médica e o grau de exatidão requeridos;
— se os clínicos podem reconhecer resultados incorretos (por exemplo, com base na magnitude
de erro ou na consistência com outras informações clínicas);
— quais ações o clínico tomaria no evento de um resultado anormal ou inesperado;
— a significância clínica de resultados atrasados, se houver; e
— potenciais consequências adversas de intervenções médicas desnecessárias.
Questões adicionais para considerar ao identificar o uso clínico incluem:
— Os resultados de exame serão usados para:
— diagnóstico com objetivo de cura, tratamento ou prevenção de doença ou outra condição?
— medição de constituintes de fluido corporal para determinar o estado de saúde de um paciente?
— monitorar níveis de medicação terapêutica para garantir uma dose eficaz?
— determinar a segurança do sangue ou de órgãos doados?
— triar uma população quanto à presença ou ausência de um marcador específico?
— prever a eficácia de alternativas terapêuticas (“diagnóstico acompanhado”)?
— prever o risco de desenvolver uma condição médica?
— aplicações que não sejam de uso pretendido?
— Para qual lesão, doença ou condição os resultados serão usados para detectar, diagnosticar,
prever ou monitorar?
— Quem usará os resultados do exame IVD: especialistas médicos, clínicos em geral ou pacientes?
— O papel dos resultados de exame nas decisões médicas é para ser usado:
— como base para decisões médicas imediatas?
— com outras informações relevantes para orientar uma decisão médica?
— Quais populações de pacientes experimentarão primariamente os benefícios dos exames IVD?
— Convém que alguma população de pacientes seja explicitamente contraindicada?

ABNT/CB-026
DEZ 2021
H.2.2 Características relacionadas à segurança do paciente
H.2.2.1 Considerações gerais
Adicionalmente às características biológicas, químicas, elétricas, mecânicas e de segurança da

informação em comum com outros dispositivos médicos (ver Anexo A), dispositivos médicos de IVD
possuem características de desempenho analítico e confiabilidade que determinam a adequação

para seu uso clínico pretendido. Alguns dispositivos médicos de IVD podem desempenhar múltiplos
exames simultaneamente, e o seu desempenho clínico pode se apoiar na interpretação de padrões de
resultados (por exemplo, ensaios multiplex). Dispositivos médicos de IVD que empregam tecnologia
de informação digital também podem ter características relacionadas à sua capacidade de armazenar
e transmitir um resultado de exame ou informações auxiliares para onde for necessário para uma
decisão médica. A falha em atender um requisito de desempenho, confiabilidade ou comunicação
pode iniciar uma sequência de eventos que pode resultar em dano ao paciente.
H.2.2.2 Características de desempenho relacionadas à segurança do paciente
a) Exames quantitativos medem uma quantidade em uma amostra representativa de um paciente.
Os resultados são normalmente expressos como uma concentração ou porcentagem.
O desempenho analítico requerido depende da aplicação médica, mas resultados falso alto,
falso normal ou falso baixo podem afetar potencialmente um diagnóstico, causar terapia
inapropriada ou atrasada, e levar a dano ao paciente. O tipo e a severidade de dano podem
depender da magnitude de erro em pontos de decisão médica.
As características de desempenho pertinentes de dispositivos médicos de IVD quantitativos

podem incluir:
— veracidade dos valores medidos (viés, rastreabilidade a um padrão de referência);
— precisão de medição (repetibilidade, precisão intermediária, reprodutibilidade);
— especificidade analítica (influência de substâncias que causam interferência ou reação cruzada);
— sensibilidade analítica (capacidade de discriminar entre limites de quantidade ou alcances);
— limite de detecção (quantidade mais baixa que possa ser confiavelmente detectada);
— limite de quantificação (quantidade mais baixa que possa ser medida com exatidão); e
— intervalo de medição (faixa de valores sobre a qual o desempenho analítico foi validado).
b) Exames semiquantitativos fornecem uma aproximação clinicamente útil da quantidade sendo
medida. Valores são comumente atribuídos com base em uma escala ordinal ou são reportados
como um limite de quantidade, e podem ser expressos numericamente (por exemplo, dentro de
uma faixa de valores especificada, ou maior ou menor que uma quantidade específica, título ou
diluição em série) ou relativamente (por exemplo, como +3, +2, +1 ou quantidade de traços).
Exemplos comuns de exames semiquantitativos são “varetas” de urina, tabletes que detectam
a presença de cetonas e procedimentos de aglutinação sorológica.
Exames microscópicos também podem ser considerados semiquantitativos, se os resultados

forem reportados como número de células observadas em um campo de baixa potência ou
de alta potência. Por exemplo, um exame microscópico de urina pode reportar um valor de
0 a 5 células vermelhas do sangue em um campo de alta potência.

ABNT/CB-026
DEZ 2021
As características de desempenho de dispositivos médicos de IVD semiquantitativos podem incluir:
— sensibilidade analítica (capacidade de discriminar entre os limites de quantidade ou alcance);
— especificidade analítica (influência de substâncias que causam interferência ou reação cruzada);
— limite de detecção (quantidade mais baixa que possa ser confiavelmente detectada); e
— precisão dos valores de sinal medidos (repetibilidade, reprodutibilidade).
c) Exames qualitativos determinam a presença ou ausência de um analito, e os resultados são

reportados como positivo, negativo ou indeterminado. Valores de corte e bases de dados
pertinentes podem determinar resultados positivos ou negativos. Um resultado positivo quando
o analito se encontra ausente ou um resultado negativo quando o analito está presente podem
afetar o diagnóstico ou tratamento.
As características de desempenho de dispositivos médicos de IVD qualitativos podem incluir:
— sensibilidade analítica (fração de resultados positivos verdadeiros em amostras que

contêm o analito);
— especificidade analítica (fração de resultados negativos verdadeiros em amostras que

contêm o analito);
— sensibilidade diagnóstica (fração de resultados positivos verdadeiros em pacientes com doença); e
— especificidade diagnóstica (fração de resultados negativos verdadeiros em pacientes sem doença).
H.2.2.3 Características de confiabilidade relacionadas à segurança do paciente
Quando clínicos dependem de resultados de exames de IVD para decisões médicas de urgência,
como em setores de emergência ou de cuidado intensivo, resultados sem demora podem ser tão
importantes quanto resultados com exatidão. A falha em produzir um resultado, quando necessário,
pode atrasar uma intervenção médica necessária.
As características de confiabilidade de dispositivos médicos de IVD podem incluir:
— confiabilidade do sistema (tempo médio entre falhas, tempo médio para falha);
— compatibilidade de componentes (incluindo versões e tolerâncias críticas);
— confiabilidade de software (operação livre de erros);
— estabilidade de reagente ou controle; e
— usabilidade do sistema (prevenção de erros de uso).
H.2.2.4 Características da tecnologia de informação digital relacionadas à segurança do paciente
A correta identificação do paciente e da amostra é claramente essencial. Alguns exames também

requerem informações auxiliares sobre o paciente, a amostra ou o exame, para a interpretação
apropriada dos resultados. Se um dispositivo médico de IVD for projetado para coletar, armazenar e
reportar tais informações com o resultado de exame, características do dispositivo que levem à corrupção
ou alteração de dados podem contribuir para um erro de diagnóstico ou para terapia inapropriada.

ABNT/CB-026
DEZ 2021
As informações auxiliares do paciente requeridas pelos clínicos podem incluir:
— nome correto do paciente e identificação correta da amostra;
— detalhes do paciente (idade, gênero, população, fatores genéticos, medicações, estado nutricional);
— detalhes da amostra (tipo de amostra, descrição, tempo de aquisição);

— detalhes de medição (procedimento de medição, unidades de medida, incerteza de medição); e
— detalhes de aplicação (pontos de corte, intervalos de referência).
Características da tecnologia de informação digital que podem afetar a segurança do paciente incluem:
— conexões entre dispositivos e/ou redes (sem fio ou com fio);
— transmissão de dados na internet;
— interface com aplicações digitais (em rede ou móvel);
— aplicações que emulam resultados de um dispositivo médico de IVD;
— aplicações de software embarcado (por exemplo, recomendações de interpretação ou tratamento);
— transferência de dados sem blindagem (por exemplo, suscetibilidade a descargas eletroestáticas);
— armazenamento de dados digitais (por exemplo, suscetibilidade à corrupção, manipulação ou

exclusão); e
— interrupção de outros dispositivos conectados (criando perigos adicionais).
H.2.3 Perigos conhecidos e previsíveis para os pacientes
H.2.3.1 Identificação dos perigos
Do ponto de vista do paciente, um resultado de exame de IVD seria considerado um perigo, se pudesse
levar à (1) intervenção médica inapropriada que possa resultar em dano, ou à (2) falta de intervenção
médica necessária para impedir que se sofra dano. Os seguintes perigos gerais poderiam causar
ou contribuir para decisões médicas potencialmente danosas. Convém que os perigos específicos
sejam identificados em termos de magnitude e direção do erro, extensão do atraso, ou informações
auxiliares que estejam incorretas ou faltando.
Adicionalmente à identificação de perigos para o dispositivo médico de IVD em si, convém que a
identificação de perigos relacionados à conectividade seja avaliada. O uso elevado de dispositivos
médicos de IVD conectados a outros dispositivos ou sistemas, seja diretamente ou por meio de rede
de computadores, tecnologia sem fio ou pela internet, criou novos desafios para a sua operação
segura. A necessidade de garantir a eficaz funcionalidade e segurança de um dispositivo médico de
IVD se tornou mais importante com o crescente uso de dispositivos conectados, e com o frequente
intercâmbio eletrônico de informações de saúde produzidas por dispositivos médicos de IVD. Convém
que a identificação de falhas que possam causar os perigos descritos abaixo, devido à conectividade,
seja desempenhada como parte do processo de gerenciamento de risco para o dispositivo médico de IVD.
a) Resultado de exame incorreto

ABNT/CB-026
DEZ 2021
Para exames quantitativos e semiquantitativos, os resultados são considerados incorretos,

se a diferença de um valor correto exceder o limite de erro requerido para a aplicação clínica.
Requisitos de desempenho analítico são comumente estabelecidos durante o processo de
contribuição de projeto.
Algumas decisões médicas podem ser influenciadas pela magnitude do resultado do exame,
portanto a significância clínica de um resultado incorreto pode depender da magnitude da

diferença entre o valor medido e o valor real.
Para procedimentos de exames qualitativos, nos quais apenas um resultado positivo ou negativo
seja fornecido (por exemplo, exames de HIV e de gravidez), resultados de exame podem ser
corretos, incorretos ou indeterminados.
b) Resultado de exame atrasado
Um resultado de exame ou suas informações auxiliares são considerados atrasados caso sejam
necessários para uma decisão médica e o clínico não os receba a tempo para dar suporte a
uma decisão crítica de terapia ou intervenção. Critérios podem ser estabelecidos para determinar
o que constitui um atraso clinicamente significativo para a aplicação médica (por exemplo,
situação de cuidados urgentes).
c) Informações incorretas acompanhando o resultado
As consequências de um erro nas informações auxiliares fornecidas com um resultado de

exame de IVD dependem de como as informações são usadas na tomada de decisões clínicas,
e se o erro poderia causar ou contribuir para um dano.
H.2.3.2 Identificação de perigos a partir de condições de falha
Dispositivos médicos de IVD que falham durante o uso podem levar a um ou mais dos perigos
gerais especificados em H.2.3.1. Condições de falha que potencialmente resultem em perigos
podem incluir o seguinte:
— inconsistência dentro do lote, ou entre um lote e outro (por exemplo, reagentes, calibradores,
controles);
— designação de valor não rastreável (por exemplo, calibradores, materiais de proficiência, controles
ensaiados);
— falta de especificidade do reagente (por exemplo, fatores interferentes, anticorpos);
— transferência de amostra ou reagente (por exemplo, instrumentos de pipetagem);
— imprecisão de medição (por exemplo, em nível de sistema);
— materiais instáveis (por exemplo, durante o transporte, armazenamento ou uso);
— mau funcionamento do sistema (por exemplo, hardware, software, componentes, acessórios); e
— falhas de tecnologia digital, como:
— vulnerabilidade de software/firmware a invasões (por exemplo, modificação de dados ou

roubo);

ABNT/CB-026
DEZ 2021
— transferências de dados que resultem em resultados incorretos ou faltantes, recomendações

de tratamento inapropriado ou atrasos pela perda de função devido às condições
ambientais (por exemplo, descarga eletrostática, ESD);
— conexões interrompendo o desempenho do dispositivo médico conectado, criando condições

inseguras para o paciente;
— aplicações digitais conectadas incorretamente a outro dispositivo ou aplicação digital;
— corrupção durante o armazenamento de dados que cause informações incorretas ou

resultados atrasados; ou
— atrasos na disponibilidade de resultados ou informações do paciente devido à perda de

conectividade da rede.
Quando o dispositivo médico de IVD for usado com aplicações de software digital, falhas que levem
a um atraso nos resultados incluem:
— alterações no sistema operacional do dispositivo inteligente, resultando na indisponibilidade

da aplicação e causando atraso no tratamento, ou em comportamento inesperado, causando
recomendação incorreta de tratamento;
— capacidade de armazenamento de dados do dispositivo inteligente ou taxa de limitação de dados de

transferência, resultando em atraso no tratamento ou em recomendação incorreta de tratamento; e
— inconsistências de tempo entre aplicação e dispositivos inteligentes, resultando em atraso

no tratamento ou em resultados incorretos (especificamente relacionados aos resultados
desatualizados aparecendo como válidos).
H.2.3.3 Identificação de perigos de uso normal
Limitações inerentes à tecnologia de dispositivos médicos de IVD podem ocasionalmente levar

a um ou mais dos perigos gerais a pacientes descritos em H.2.3.1, mesmo que todos os avisos,
precauções e instruções de uso sejam seguidos, que o dispositivo tenha funcionado como pretendido
e que o desempenho analítico tenha satisfeito as alegações do fabricante. Todo resultado de exame
está sujeito a fontes inevitáveis de variabilidade. Mesmo quando o desempenho analítico tiver sido
otimizado para minimizar os riscos, um resultado ocasional no uso normal pode ser um perigo para
um paciente individual.
Perigos que potencialmente ocorrem no uso normal podem incluir resultados não exatos devido ao
seguinte:
— taxas inerentes de falso negativo e falso positivo de procedimentos de exames qualitativos,

causadas pela incerteza de valores de corte atribuídos estatisticamente;
— incertezas de medição associadas aos procedimentos de exames quantitativos (alegações de

desempenho geralmente representam 95 % dos resultados dentro dos limites-alvo especificados
medicamente);
— erro de classificação de resultados como “anormal” ou fora de um intervalo de referência “normal”

(determinado empiricamente a partir dos 95 % de resultados centrais em um estudo de população
“normal”);

ABNT/CB-026
DEZ 2021
— influência de substâncias interferentes na amostra (por exemplo, anticorpos com reação cruzada,
certos medicamentos ou metabólitos bioquímicos, ou materiais de preparação de amostra);
— variabilidade biológica do próprio analito (por exemplo, heterogeneidade de proteínas naturais,

diferenças de população em concentrações de analitos normais);
— propriedades bioquímicas do próprio analito (por exemplo, instabilidade intrínseca, adesividade);
— variabilidade da matriz de amostra do paciente (ou seja, “efeitos de matriz”); e
— confiabilidade finita de componentes do instrumento.
NOTA Requisitos de desempenho medicamente definidos levam em conta a distribuição estatística

de resultados do exame nas populações de pacientes destinadas. A ocorrência de uma situação perigosa
no uso normal é considerada uma contribuição inevitável para o risco residual.
H.2.3.4 Identificação de perigos de erros de uso
Erros de uso podem causar um ou mais dos perigos gerais descritos em H.2.3.1. Processos
laboratoriais não rotineiros podem estar especialmente propensos a erros de uso. Erros de uso
razoavelmente previsíveis (ou seja, que resultem de comportamento humano prontamente previsível)
podem ser identificados e potencialmente prevenidos por meio de um processo de engenharia de
usabilidade durante o projeto e desenvolvimento do dispositivo médico de IVD. Ver IEC 62366-1[16]
para informações e orientações.
Erros de uso que potencialmente resultem em perigos de IVD no laboratório médico ou no local de
atendimento podem incluir o seguinte:
— negligenciar requisitos especiais (por exemplo, fora da rotina normal de laboratório);
— realizar operações fora de sequência, incluindo processo de pré-exame e pós-exame (por exemplo,
instruções sem clareza, interface de usuário confusa); e
— erros de entrada de dados (por exemplo, nome do paciente, número de identificação, data de
nascimento ou idade, gênero etc.).
Erros de uso pelos pacientes realizando o autoteste podem incluir o seguinte:
— aplicar volume insuficiente de amostra (por exemplo, muito pouco para uma medição com
exatidão); e
— inserir o módulo reagente de modo impróprio (por exemplo, antes do dispositivo estar pronto para a leitura).
H.2.3.5 Identificação de perigos do mau uso razoavelmente previsível
Um processo de engenharia de usabilidade também pode ajudar os fabricantes de dispositivos médicos

de IVD a impedir perigos e situações perigosas que surjam do mau uso razoavelmente previsível.
Ver IEC 62366-1[16] para orientações.
Exemplos de mau uso razoavelmente previsível incluem o seguinte:
— uso de um dispositivo médico de IVD antes de ler o manual de instruções ou completar o treinamento;
— desconsiderar avisos, instruções ou outras informações para segurança;

ABNT/CB-026
DEZ 2021
— coletar um tipo de amostra inapropriada (por exemplo, soro quando é especificado plasma
citratado);
— relatar resultados de exame para uso clínico contraindicado ou não validado;
— usar um dispositivo médico de IVD de autoteste no setor de cuidados críticos (por exemplo,
a exatidão pode não ser adequada);
— usar calibrador, reagente, material de controle ou acessório de terceiros não verificados;
— armazenar materiais em condições incorretas (por exemplo, temperatura ambiente quando for
especificada a refrigeração);
— operar um instrumento de IVD fora das condições ambientais especificadas;
— desabilitar, sobrescrever ou falhar em habilitar recursos de segurança (por exemplo, para reduzir
o distúrbio aos usuários);
— negligenciar a realização da manutenção prescrita do instrumento;
— conectar a um sistema de informação sem a conectividade ou segurança da informação de

rede adequada;
— ter intenção maliciosa ao criar resultados incorretos ou atraso no tratamento, incluindo:
— dispositivo sequestrado e falsificado por aplicativo de terceiros ou por um indivíduo para

alterar os resultados, produzindo resultados incorretos em aplicações digitais conectadas;
— configuração de software de dispositivo corrompida, produzindo resultados incorretos;
— dados interceptados em trânsito para atrasar resultados ou enviar resultados incorretos

ao usuário.
Mau uso razoavelmente previsível por pacientes realizando o autoteste podem incluir o seguinte:
— dividir ou reusar tiras reagentes de ensaio (por exemplo, para reduzir custos);
— retirar amostras de um lugar alternativo (por exemplo, outro que não seja a ponta do dedo,
devido à dor);
— falhar na limpeza e desinfecção do local da punção venosa (por exemplo, potencial para
contaminação/infecção); e
— armazenar tiras reagentes em condições ambientais inapropriadas (por exemplo, veículo

superaquecido).
H.2.4 Identificação de potenciais danos
A ABNT NBR ISO 14971:2020 requer que fabricantes estimem os riscos associados a cada situação
perigosa identificada, com base na probabilidade de ocorrência e na severidade de um possível
dano. Isso requer que o fabricante identifique os potenciais danos (por exemplo, lesões) a pacientes
com especificidade suficiente para atribuir valores de severidade apropriados.

ABNT/CB-026
DEZ 2021
Para alguns exames, uma única situação perigosa pode resultar em diversos danos diferentes,
representando uma faixa de severidade. Convém que os fabricantes determinem quais danos incluir
na análise de risco para garantir um alto grau de proteção da saúde e segurança, e documentem a
justificativa. Convém que todos os danos julgados como razoavelmente possíveis de ocorrer sejam
incluídos. Outros danos podem ser adicionados à análise de risco, se informações de produção
ou pós-produção mostrarem que eles foram experimentados.
NOTA Identificar potenciais danos para análise de risco e determinar suas severidades e probabilidade
de ocorrência requer uma compreensão do uso clínico dos resultados de exames IVD. Por esta razão,
a participação de especialistas médicos qualificados na análise de risco é essencial.
Questões que podem ajudar a identificar e classificar potenciais danos incluem:
— O uso pretendido é um determinante maior da terapia para uma condição médica grave? Se sim,
quais danos podem ocorrer a partir de um diagnóstico equivocado ou terapia inapropriada?
— O uso pretendido envolve a detecção de um agente de doença infecciosa (por exemplo,

hepatite A ou HIV)? Se sim, um resultado falso negativo poderia permitir que a infecção se
espalhasse para outros na população?
— O uso pretendido é detectar e diagnosticar uma condição inerente (por exemplo, anemia
falciforme, portador de hemoglobinopatia, predisposição à doença de Alzheimer, risco elevado
de câncer de mama etc.)? Se sim, um resultado falso negativo poderia permitir a progressão
de uma doença que seria, de outra forma, evitável ou tratável? Um resultado falso positivo
poderia levar à intervenção médica desnecessária e potencial dano?
— O uso pretendido é prever a eficácia de um medicamento ou dispositivo? Se sim, um resultado

falso negativo poderia causar a perda de benefícios terapêuticos e um subsequente dano?
Um resultado falso positivo poderia ter consequências danosas?
— O uso pretendido é para triagem de doadores de transfusão ou transplante? Se sim, resultados

incorretos poderiam causar a transmissão de doenças para os recebedores ou levar à rejeição
de um órgão propriamente funcional?
— O uso pretendido é monitorar uma função corporal crítica? Se sim, quais danos podem ocorrer
a partir de um resultado incorreto ou de um atraso significativo ao receber o resultado?
— Se a intervenção médica tivesse ocorrido, o resultado final seria irreversível (por exemplo,
ressecção cirúrgica, aborto), ou o resultado final seria reversível (com ou sem intervenções
médicas adicionais)?
— O dispositivo médico de IVD requer conexão a uma rede ou à internet, onde a modificação
ou o roubo dos dados de um paciente pode ocorrer (por exemplo, segurança da informação
inadequada)?
Orientações para determinar a severidade de dano são encontradas em 5.5.4.
H.2.5 Identificação de situações perigosas
A ABNT NBR ISO 14971:2020 requer que fabricantes compilem um conjunto abrangente de situações
perigosas para a análise de risco, mas permite que os fabricantes determinem o que constitui uma
situação perigosa para o propósito da análise de risco (ver Anexo C.4 da ABNT NBR ISO 14971:2020
para orientações gerais). Uma abordagem é analisar criticamente a sequência de eventos.

ABNT/CB-026
DEZ 2021
Ver H.2.6 para identificar um evento ou condição que (1) exponha o paciente ao perigo, (2) esteja
além de qualquer meio razoável de controle pelo fabricante do usuário do dispositivo e (3) permita
que o fabricante desempenhe uma análise de risco objetiva.
Exemplos de situações perigosas para dispositivos médicos de IVD podem incluir eventos como:
— recebimento de um resultado laboratorial incorreto por um clínico;
— atraso na terapia (por exemplo, devido à falha do dispositivo médico de IVD);
— atraso ao reportar um resultado laboratorial urgente a um clínico;
— terapia inapropriada (por exemplo, com base em resultado de autoteste incorreto);
— identificação errônea da amostra de um paciente (por exemplo, devido ao erro de uso); e
— reportar informações incorretas com o resultado de um paciente (por exemplo, devido à falha
de rede).
As seguintes questões podem ser úteis para analisar situações perigosas relacionadas aos resultados
finais incorretos:
— Esta é uma condição em que o assunto de exame de IVD é tal que um resultado falso negativo
ou falso positivo ainda pareceria “crível”, dado o contexto provável de outros indicadores de
diagnóstico e, portanto, não passaria por confirmação adicional antes de decidir um curso
de ação/inação clínica?
— Há poucas, limitadas ou mesmo nenhuma outra ferramenta de diagnóstico disponível para

confirmar ou negar um resultado de ensaio de IVD potencialmente falso positivo ou falso negativo?
H.2.6 Identificação de sequências de eventos previsíveis
A identificação e análise das sequências ou combinações de eventos razoavelmente previsíveis que

possam levar a uma situação perigosa e potencialmente progredir para um dano são necessárias
para estimar a probabilidade de que o dano ocorrerá. Compreender estas atividades e eventos
também pode ajudar o fabricante a selecionar a situação perigosa para análise de risco e a identificar
oportunidades para redução de risco e controle de risco.
A sequência de eventos específica a ser analisada dependerá do dispositivo médico de IVD em

particular e de seu uso pretendido. Ao delinear a sequência de eventos, convém que o fabricante
considere o conhecimento, habilidades e capacidades dos usuários destinados, o ambiente de uso e
quaisquer eventos e circunstâncias que poderiam aumentar ou diminuir os riscos.
Embora laboratórios médicos operem com procedimentos de controle projetados para detectar erros,
convém que o fabricante considere a sua eficácia em detectar modos de falha específicos. Falhas
aleatórias esporádicas são especialmente difíceis para um laboratório detectar. Clínicos experientes
sabem disso e questionam quaisquer resultados que sejam inconsistentes com outras informações
disponíveis ou com sua impressão clínica. Se o resultado incorreto for plausível, entretanto, e se
este influenciar o diagnóstico ou decisão de terapia, isso poderia levar à terapia inapropriada
ou atrasada, e potencialmente a dano ao paciente.

ABNT/CB-026
DEZ 2021
O mau funcionamento de dispositivos médicos de IVD pode gerar situações perigosas, se causarem
um atraso significativo na disponibilidade dos resultados dos exames necessários para decisões
médicas críticas. Uma falha do dispositivo pode ser um fator contribuinte, embora o usuário possua a
responsabilidade primária de possuir uma amostra de retaguarda e um plano de recuperação. Atrasos
clinicamente significativos são mais prováveis de ocorrer no local de atendimento ou em laboratórios
que apoiam o atendimento de emergência do que em um laboratório que realiza exames de rotina.
H.2.6.2 Descrição da sequência de eventos
Cenários de risco para dispositivos médicos de IVD comumente envolvem sequências mais longas
de eventos do que para outros dispositivos médicos. Eles incluem atividades que não estão sob o
controle direto do fabricante, como os desempenhados pelos usuários do dispositivo (por exemplo,
o usuário do laboratório médico ou do local de atendimento) e decisões médicas e ações por parte
dos clínicos que solicitaram os resultados de exames.
Convém que a descrição inicie com o evento inicializador (comumente a causa do perigo sendo
analisado) e que os eventos diretamente sob controle do fabricante progridam de maneira lógica
pelas decisões e ações previsíveis dos usuários do dispositivo, e terminem com as decisões e ações
clínicas que levam a cada um dos danos identificados como consequências previsíveis.
Convém que a descrição seja tão detalhada quanto for necessário para capturar os principais
eventos inicializadores e contribuintes, mas não tão detalhada a ponto de eventos menores sem
consequências dificultarem a análise. Fabricantes podem escolher dividir sequências complexas de
eventos em segmentos mais curtos, de modo que a análise possa ser desempenhada por indivíduos
com a experiência requerida. Esta abordagem é discutida em H.2.7.2. Um diagrama (por exemplo,
fluxograma, árvore de eventos) pode ser útil para documentar e comunicar sequências complexas
de eventos.
a) Eventos sob controle do fabricante
O evento inicializador na sequência que leva a uma situação perigosa pode ocorrer como uma
falha do sistema de gestão da qualidade do fabricante. Uma condição de falha ou potencial
para erro de uso pode ser causada por atividades sob o controle direto de um fabricante, como:
— projeto e desenvolvimento;
— rotulagem do dispositivo;
— gerenciamento de fabricação e fornecedores;
— inventário e distribuição do produto;
— manutenção de equipamentos; e
— treinamento e suporte de produto.
b) Eventos sob controle do usuário do dispositivo médico de IVD
Erros de uso e falhas do dispositivo podem ocorrer durante a operação do dispositivo no laboratório
ou no local de atendimento. As atividades para prevenir ou detectar perigos e as ações tomadas
em resposta pelo usuário estão sob o controle direto do laboratório ou das instalações do local de
atendimento. Esses usuários do dispositivo incorporam as medidas de proteção e informações
para segurança fornecidas pelo fabricante em seu próprio processo de gerenciamento de risco.

ABNT/CB-026
DEZ 2021
Os usuários de dispositivos médicos de IVD também podem causar ou contribuir para riscos
aos pacientes por meio do mau uso (ver H.2.3.5), incluindo falha em manter procedimentos de
garantia da qualidade adequados, planos de contingência e de recuperação, ou proteção de
segurança da informação. Decisões sobre reportar ou não reportar um resultado de exame a
um clínico estão completamente sob controle do laboratório médico ou de outros usuários do
dispositivo médico de IVD. Convém que as capacidades dos usuários pretendidos e os ambientes
de uso sejam considerados ao analisar a sequência de eventos sob controle dos usuários
do dispositivo médico de IVD.
Exemplos de atividades comumente sob controle do usuário, usando informações, materiais e

suporte do fabricante do dispositivo médico de IVD, incluem:
— seleção, uso e armazenamento de dispositivo de coleta de amostra usado com o dispositivo

médico de IVD;
— coleta, processamento e armazenamento de amostras do paciente;
— instalação e configuração de sistema, incluindo treinamento de usuário, qualificação de

componente ou consumível, e verificação de desempenho;
— seleção, preparação, uso e armazenamento de acessórios, consumíveis e partes (incluindo

gerenciamento de data de validade);
— atividades de calibração e rastreabilidade metrológica;
— atividades de garantia da qualidade (por exemplo, controle de qualidade, ensaio de

proficiência, verificação delta);
— análise crítica e relatório de resultados de exame;
— comunicação com clínicos (uso pretendido, contraindicação, resultados recolhidos, vigilância);
— conectividade com rede local e internet;
— descarte de resíduos de risco biológico;
— manutenção de equipamentos, serviço, descomissionamento e descarte; e
— planejamento de contingência e recuperação (por exemplo, sistemas de backup).
c) Eventos sob controle do clínico
Os eventos sob controle do clínico normalmente iniciam com recebimento e análise crítica
do resultado do exame e com uma decisão quanto à aceitação do resultado como válido.
Erros maiores são mais prováveis de serem questionados e rejeitados (por exemplo, resultados
contrariados por outras informações de diagnóstico, resultados anormais incompatíveis
com a vida), mas resultados plausíveis são prováveis de serem aceitos como válidos e
potencialmente usados para decisões médicas.
NOTA A tomada de decisões clínicas é especificamente excluída do escopo da

ABNT NBR ISO 14971:2020. Isso se refere a decisões clínicas quanto a usar um dispositivo médico
ou dispositivo médico de IVD em particular, não a decisões clínicas afetadas por resultados de IVD
incorretos ou atrasados.

ABNT/CB-026
DEZ 2021
Quando dispositivos médicos de IVD são usados no local de atendimento, como em um

consultório médico, clínica ou unidade hospitalar especializada, os clínicos normalmente são
envolvidos na coleta, manuseio, inventário e armazenamento de amostras do paciente, e podem
desempenhar muitas ou todas as atividades do usuário do dispositivo médico de IVD. Nesses
casos, as oportunidades de o fabricante influenciar atividades clínicas por meio de informações
para segurança na documentação acompanhante podem ser maiores. Convém que a sequência
de eventos identificados para análise de risco reflita o uso do dispositivo médico de IVD no
ambiente real de uso.
Convém que a análise de risco considere qualquer uso clínico razoavelmente previsível.
Uso clínico contraindicado ou não abordado explicitamente na documentação acompanhante
poderia ser considerado um mau uso razoavelmente previsível para as finalidades de
gerenciamento de risco. Convém notar que a documentação acompanhante redigida para
os usuários do dispositivo médico de IVD no laboratório nem sempre alcança os clínicos que
solicitam e agem com base nos resultados de exame.
Exemplos de decisões e atividades comumente sob o controle do clínico, potencialmente com

orientações e suporte do laboratório, incluem:
— comparar o resultado com valores esperados;
— solicitar exames confirmatórios ou corroborantes;
— proceder sem o resultado de exame (se atrasado);
— estabelecer um diagnóstico clínico; e
— iniciar ou suspender a terapia.
H.2.7 Estimativa da probabilidade de ocorrência de dano
Convém que a análise de risco considere toda a sequência de eventos, conforme descrito em
H.2.6.2. A probabilidade de um paciente sofrer danos é a probabilidade combinada de cada evento na
sequência de eventos associados a um perigo em particular e ao potencial dano. A abordagem usada
para estimar a probabilidade de ocorrência de dano pode depender da complexidade da sequência
de eventos. Uma consideração importante é garantir que a análise possa ser realizada por indivíduos
com o conhecimento e experiência adequados no que diz respeito ao dispositivo médico de IVD
sendo analisado, incluindo o seu uso clínico e analítico e as tecnologias envolvidas. O fabricante
pode analisar toda a sequência de eventos como um todo ou dividi-la em segmentos, com base
em qual abordagem for mais adequada para uma análise de risco objetiva. Exemplos de aplicação
de diferentes abordagens de análise de risco a cenários de dispositivo médico de IVD comuns são
apresentados em H.7.
Para dispositivos médicos de IVD envolvendo sequências de eventos curtas, como dispositivos com
autoteste ou do local de atendimento, a análise de risco pode ser relativamente direta. Uma equipe
multifuncional de especialistas pode ser reunida para desenvolver estimativas da probabilidade de
ocorrência de dano para cada situação perigosa identificada, com base em seu juízo de especialista,
suplementado por informações analíticas e clínicas disponíveis (por exemplo, estudos pré-
comercialização, experiência com produtos semelhantes, informações pertinentes de pós-produção).
Convém que a equipe multiprofissional inclua especialistas familiarizados com o projeto, fabricação,

ABNT/CB-026
DEZ 2021
uso e manutenção do dispositivo, com o ambiente de uso (por exemplo, laboratório médico, local de
atendimento, casa do paciente) e uso clínico dos resultados de exames. Para dispositivos que contêm
software, projetados para se comunicarem com outros dispositivos e/ou rede, convém que a equipe
também inclua a experiência em conectividade e a segurança da informação.
Para sequências ou combinações complexas de eventos, segmentar a análise em situação perigosa

pode tornar mais eficiente o uso de recursos de especialistas por aplicar seu conhecimento e
experiência especializados à análise de sequências de eventos pertinentes. Isso se chama
abordagem “P1 × P2”, a qual é explicada com mais detalhes na próxima subseção.
H.2.7.2 Orientações particulares para usar a abordagem “P1 × P2”
A abordagem ilustrada na Figura C.1 da ABNT NBR ISO 14971:2020 pode ser útil para cenários
complexos de risco com sequências de eventos estendidas. Por exemplo, eventos oriundos de
um resultado incorreto podem se estender além do laboratório médico às decisões e ações de um
clínico, os quais estão amplamente além de quaisquer meios razoáveis de controle de risco por parte
do laboratório ou do fabricante. A probabilidade de que uma situação perigosa ocorreria (P1) e a
probabilidade de que o dano resultaria desta situação perigosa (P2) são estimadas separadamente
por especialistas apropriados. A probabilidade P1 está relacionada à análise no laboratório usando
o dispositivo médico de IVD e produzindo o resultado, e a probabilidade P2 está relacionada ao uso
do resultado pelo clínico e às decisões e ações com base nesse resultado. Estas probabilidades
são combinadas para obter a probabilidade total de ocorrência de dano (P = P1 × P2).
Para um dispositivo médico de IVD destinado ao uso em laboratório médico, a sequência de eventos
pode ser dividida em segmentos analíticos e clínicos, com a situação perigosa determinada como
um resultado incorreto reportado a um clínico, um atraso clinicamente significativo ao reportar um
resultado ou falha em reportar um resultado de exame importante. A probabilidade de cada segmento
pode ser estimada separadamente como a seguir:
— P1 é a probabilidade de que a situação perigosa ocorrerá; e

— P2 é a probabilidade de que um dano específico resultará desta situação perigosa.
A Figura H.1 ilustra uma forma de aplicar a abordagem “P1 × P2” a um cenário de risco típico
envolvendo um dispositivo médico de IVD, neste caso, um analisador de sangue realizando medições
de glicose em um laboratório médico. A figura retrata toda a sequência de eventos, começando
pela falha do processo de designação de valor do calibrador do fabricante e terminando com a
possibilidade de múltiplos danos ao paciente.
O perigo nesse exemplo é um resultado incorreto de medição de glicose (falsamente alto), causado
por valores de calibrador não exato atribuídos pelo fabricante. Os primeiros dois eventos nesse cenário
estão sob o controle do fabricante. Os eventos subsequentes que levam a uma situação perigosa
ocorrem no laboratório, além do controle direto do fabricante, mas são potencialmente controlados
por informações para segurança fornecidas pelo fabricante na documentação acompanhante.
Os eventos restantes ocorrem além do controle direto do laboratório, portanto a situação perigosa
nesse cenário (ou seja, exposição ao perigo) pode ser definida como o evento além de quaisquer
meios razoáveis de controle de risco por parte do fabricante. Para uma análise de risco eficiente,
nestes casos envolvendo resultados de IVD incorretos, a situação perigosa pode ser definida como
o evento em que o laboratório reporta e/ou o clínico recebe o resultado incorreto.
Nesta análise de risco, a probabilidade de a situação perigosa ocorrer (P1) e a probabilidade de
a situação perigosa levar ao dano (P2) podem ser estimadas separadamente pelos especialistas
apropriados no assunto. As duas probabilidades podem ser combinadas para prover uma estimativa
da probabilidade total de dano.

ABNT/CB-026
DEZ 2021
P1: Probabilidade de ocorrência de situação perigosa
Convém que os indivíduos atribuídos para estimar a probabilidade P1 estejam familiarizados com
o projeto, fabricação, uso e manutenção do dispositivo médico de IVD, bem como possuam uma
compreensão adequada do ambiente de uso (por exemplo, laboratório médico, local de atendimento,
casa do paciente). O conhecimento de especialista das aplicações médicas geralmente não é
necessário para analisar os eventos de P1.
1) Processo de rastreabilidade do calibrador deficiente

2) Inexa�dão do calibrador determinado
3) Laboratório calibra o analisador de sangue com
calibrador de glicose inexato.
Probabilidade da situação perigosa

4) Analisador de sangue gera falsos resultados elevados
de glicose.
Probabilidade de ocorrer o dano

5) O laboratório falha em detectar o resultado incorreto
Eventos do laboratório que
6) O laboratório relata um falso resultado elevado de
levaram à situação perigosa
glicose.
7) Clínico recebe o resultado de glicose incorreto

Probabilidade do dano
Eventos clínicos que levam 8) Paciente está hipoglicêmico, mas assintomá�co

9) Clínico aceita valor de glicose como correto
10) Clínico administra medicação an�glicêmica
11a) Hipoglicemia
11b) Coma
11c) Óbito
Figura H.1 – Ilustração da sequência de eventos para um cenário de laboratório

envolvendo uma medição de glicose incorreta a partir de um dispositivo médico de IVD
P2: Probabilidade de ocorrência de dano a partir de uma situação perigosa
Convém que os indivíduos atribuídos para estimar P2 estejam familiarizados com o uso médico dos
resultados de IVD. A probabilidade P2 pode ser estimada usando-se o julgamento e a experiência de
especialista clínicos com exames de IVD similares, informados por dados de evento adverso, literatura
médica e informações da pós-produção. A compreensão detalhada do desempenho do dispositivo
médico de IVD ou de como os resultados foram gerados e reportados geralmente não é necessária
para estimar P2.

ABNT/CB-026
DEZ 2021
H.2.7.3 Orientações para estimar a probabilidade de ocorrência de dano
As questões da Tabela H.1 são destinadas a estimular a análise sistemática da sequência de eventos
e a orientar o desenvolvimento de estimativas de probabilidade adequadas. Convém que as questões
sejam adaptadas, conforme apropriado, para o tipo de dispositivo médico de IVD, do uso pretendido
específico e da abordagem de estimativa de risco usada.
As questões 1 a 4 referem-se ao segmento analítico da sequência de eventos e podem ajudar um

fabricante a estimar P1. As questões 5 a 8 referem-se ao segmento clínico da sequência de eventos
e podem ajudar um fabricante a estimar P2.
Tabela H.1 – Questões para ajudar a estimar a probabilidade de ocorrência de dano (continua)
Qual é a Pontos a considerar
probabilidade de ...
1. ... o evento — Quão eficazes são as medidas de prevenção/detecção?
desencadeador — A probabilidade pode ser estimada? Se não, configurar a probabilidade = 100 %.
ocorrer (ou seja, uma
— A frequência dependeria do ambiente de uso? Tratar do pior caso possível.
falha do dispositivo
ou erro de uso)? — Falhas específicas, modos de falha e/ou erros de uso podem ocorrer em uma
combinação razoavelmente previsível para causar um perigo?
2. ... um resultado — Quão eficazes são as medidas destinadas a garantir resultados com exatidão
incorreto ser ou a detectar uma alteração inaceitável no desempenho analítico?
gerado por falha do — Procedimentos de controle de qualidade convencionais fariam com que
dispositivo médico de resultados de exames incorretos fossem rejeitados?
IVD ou erro de uso?
— Qual é a influência do ambiente de uso (por exemplo, laboratório médico, local de
atendimento, casa do paciente)? Analisar diferentes ambientes de uso separadamente.
— O dispositivo solicitaria que o usuário corrigisse o problema (por exemplo,
“sem sangue suficiente”) em tempo de obter um resultado de exame válido
para repetir?
3. ... o resultado — Resultados anormais para o exame são analisados criticamente perante limites
incorreto ou de valor crítico, ou são de outro modo verificados antes de serem reportados
informações ao clínico?
auxiliares incorretas — Resultados raros ou inesperados são automaticamente confirmados antes de
serem reportadas ao serem reportados (por exemplo, programas de triagem de recém-nascidos)?
clínico?
4. ... um atraso — O resultado é crítico para um diagnóstico sem demora ou decisão terapêutica?
clinicamente — Quanto atraso criaria uma situação perigosa?
significativo em
— O tempo necessário para resolver um mau funcionamento ou uma situação
reportar o resultado
fora de controle causaria um atraso clinicamente inaceitável?
de exame (ou
informações — Um procedimento de backup para garantir a disponibilidade oportuna de
auxiliares do resultados seria uma expectativa de prática laboratorial/médica padrão?
paciente) ocorrer? — Um segundo exame poderia ser realizado e o resultado poderia ser reportado
dentro do tempo requerido para um resultado crítico?

ABNT/CB-026
DEZ 2021
Tabela H.1 (conclusão)

Qual é a Pontos a considerar
probabilidade de ...
5. ... o clínico — Um clínico reconheceria o resultado como incorreto por razões como
acreditar que o inconsistência com o estado clínico do paciente, contradição com outros dados
resultado incorreto é clínicos ou por ser fisiologicamente implausível?
válido? — Um clínico competente questionaria, repetiria ou corroboraria um resultado

que não se adequasse à impressão clínica?
— As normas atuais de prática médica requerem confirmação (por exemplo, duas
medições HbA1c independentes para um diagnóstico de Diabetes Mellitus
Tipo 2)?
6. ... uma decisão — Os resultados são usados para diagnóstico, terapia ou monitoramento?
e/ou intervenção — O resultado será a base primária para uma decisão médica? Ou será somente
médica incorreta (ou usado no contexto de sinais, sintomas, outros resultados de exames e histórico
falta de intervenção) médico do paciente?
ocorrer devido ao
— Resultados positivos ou “anormais” sempre levam a uma decisão ou a um
resultado incorreto?
tratamento médico em particular, ou apenas a investigações adicionais?
— Um resultado de triagem falso negativo ou falso “normal” faria com que o
clínico não notasse uma condição médica tratável?
7. ... uma decisão — Em que grau o resultado é usado para orientar a intervenção ou terapia,
ou ação médica dados os sinais, sintomas, histórico médico e outros resultados de exame que
inapropriada ser estariam disponíveis ao clínico?
causada por falha em
receber um resultado
do IVD oportuno?
8. ... dano ao — Quão urgente é uma decisão ou intervenção imediata para o paciente?
paciente ser causado — Quais são as consequências médicas da ação inapropriada ou atraso para
pela decisão ou ação tomar a ação necessária?
médica inapropriada?
— Até que ponto a condição do paciente elevaria a probabilidade de ocorrência
de dano?
— Há implicações para indivíduos que não sejam o paciente, como:
— potencial para transmissão de agentes infecciosos para outros?
— exposição de um embrião ou feto a agentes teratogênicos ou radiação?
— resistência antimicrobiana devido à exposição desnecessária?
— falsa rejeição de um órgão para transplante?
— necessidade de aconselhamento familiar devido a um falso diagnóstico?
— ansiedade parental por um resultado de triagem de recém-nascido falso
positivo?
H.3 Controle de risco

H.3.1 Geral
Uma vez que as decisões e ações dos clínicos estão muito além de qualquer meio razoável de controle
de risco pelo fabricante, convém que atividades de controle de risco foquem em reduzir a probabilidade
de eventos sob o controle do fabricante. Isso inclui o fornecimento de informação para segurança e a
verificação da eficácia da informação para segurança para os usuários no laboratório. Se o fabricante
usar a abordagem P1 x P2, isto significa que as medidas de controle de risco são direcionadas para
reduzir a probabilidade P1.

ABNT/CB-026
DEZ 2021
H.3.2 Projeto e fabricação inerentemente seguros
Riscos para pacientes são geralmente reduzidos baixando a probabilidade de que resultados
incorretos sejam reportados ou de que ocorram atrasos clinicamente significativos (por exemplo,
garantindo que as características de desempenho atendam aos requisitos médicos). Para medições
quantitativas de analitos como glicose sanguínea, eletrólitos, enzimas e drogas terapêuticas, limitar
a magnitude de erros pode reduzir a frequência de decisões médicas inapropriadas.
Exemplos de recursos de projeto que controlam a exatidão e confiabilidade dos resultados de exame
incluem o seguinte:
— veracidade dos valores de calibração (por exemplo, rastreabilidade a um padrão de referência

reconhecido);
— incerteza de medição (por exemplo, precisão do sistema de medição);
— especificidade analítica de reagentes de IVD (por exemplo, componentes otimizados);
— limite de detecção ou limite de quantificação (por exemplo, tecnologia de medição aperfeiçoada);
— confiabilidade do instrumento (por exemplo, minimizar falhas de hardware ou software);
— discriminação entre amostras positivas e negativas (por exemplo, valor de corte robusto);
— eliminação de etapas processuais propensas a erros (por exemplo, automação, medidas à prova
de erros);
— rastreabilidade de versão do componente e identificação de amostra positiva (por exemplo,

código de barras);
— funcionalidade de software (por exemplo, normas de codificação de estado da arte);
— facilidade de uso do sistema (por exemplo, engenharia de usabilidade);
— conexões de rede de dados e internet (por exemplo, segurança da informação);
— variabilidade reduzida de reagente ou calibração (por exemplo, especificações lote a lote,

requisitos do fornecedor);
— prevenção contra resultados alterados (por exemplo, falhas de componente intermitentes); e
— estabilidade de reagentes, calibradores ou materiais de controle (por exemplo, controle microbiológico).
H.3.3 Medidas de proteção no dispositivo médico de IVD ou processo de fabricação
Exemplos de detecção de recursos do i ou kit reagente destinados a impedir condições que possam
causar resultados incorretos ou atrasados incluem:
— sensores de nível líquido para garantir volume de amostra suficiente (por exemplo, detectar
“amostra insuficiente”);
— sistemas de detecção de falha (por exemplo, flutuação de espectrofotômetro, controle de

temperatura inadequado);

ABNT/CB-026
DEZ 2021
— verificações de qualidade de amostra (por exemplo, hemólise, icterícia, lipemia);
— controles para detectar e remover artefatos de amostra (por exemplo, espuma ou coágulos de fibrina);
— controles embutidos para verificar o calibrador correto ou os lotes reagentes (por exemplo, leitores
de código de barras);
— alarmes e mensagens de erro para alertar os usuários quanto às condições de falha e

procedimentos de recuperação;
— software que identifique resultados questionáveis para o ensaio de reflexo, análise crítica ou supressão;
— inspeções de recebimento de componentes fornecidos; e
— teste de aceitação dentro do processo e teste de aceitação do produto final.
NOTA Recomendações para métodos de detecção a serem implementados pelo usuário, como ensaio de
controle de qualidade, exames confirmatórios ou notificações de valor crítico, são consideradas informação
para segurança, e não medidas de proteção.
H.3.4 Informação para segurança
Informação para segurança é fornecida para os usuários de dispositivos médicos de IVD, para
impedir a ocorrência de um perigo ou de uma situação perigosa. Isso pode ser uma medida de
controle de risco eficaz, se (1) esta informação instruir os usuários quanto às ações a serem tomadas
ou evitadas, (2) os usuários destinados forem capazes de seguir as instruções e (3) puder ser
razoavelmente esperado que eles seguirão estas instruções. Convém que as consequências
adversas de ignorar a informação para segurança sejam claras.
A informação para segurança pode ser usada no processo de gerenciamento de risco do laboratório
médico ou por outros usuários indicados . Exemplos de informação para segurança que permite que
usuários controlem riscos incluem advertências, instruções e outras informações que tratem de:
— perigos químicos ou biológicos associados ao dispositivo médico de IVD;
— condições médicas ou aplicações clínicas contraindicadas;
— coleta, armazenamento e preparação de amostras;
— identificação de tipos de amostras inapropriados;
— substâncias interferentes detectáveis pelo usuário (por exemplo, hemólise visível);
— causas de perigos, incluindo potenciais erros de uso;
— componentes de sistema incompatíveis e acessórios;
— utilitários e instalações em que o dispositivo médico de IVD será instalado (por exemplo, ambiente
de uso);
— armazenamento de reagente impróprio ou uso além da data de validade;
— instalação, manutenção e descarte do dispositivo médico de IVD;

ABNT/CB-026
DEZ 2021
— amostras de controle de qualidade e frequência;
— intervalos de medição validados e instruções de diluição para amostras, quando os valores

medidos estiverem acima do limite superior do intervalo de medição;
— intervalos de referência biológica e pontos de decisão médica;

— métodos de limpeza validados para itens reusáveis;
— procedimentos de manutenção preventiva;
— requisitos de interface e conectividade; e
— backup e recuperação em caso de falha do sistema.
NOTA A informação para segurança pode estar sujeita a regulamentações ou Normas Internacionais,
como a ISO 18113 (all parts)[34].
H.3.5 Papel das normas e critérios de desempenho analítico
Poucas Normas Internacionais de produtos definem o estado da arte geralmente reconhecido para
dispositivos médicos de IVD. A ISO 15197[28] (dispositivos de automonitoramento para glicose no
sangue) e a ISO 17593[32] (dispositivos de automonitoramento para terapia anticoagulante oral)
são alguns exemplos. Entretanto, algumas Normas Internacionais para dispositivos médicos de
IVD tratam certos aspectos de segurança inerentes, os quais podem fornecer evidências de que os
riscos oriundos de situações perigosas específicas foram reduzidos ao estado da arte.
Por exemplo, a ISO 17511[31] estabelece um processo para estabelecer a rastreabilidade

metrológica de valores de calibração de IVD a materiais de referência de ordem mais elevada
que definem o estado da arte para exatidão dos resultados do paciente. O Comitê Conjunto para
Rastreabilidade em Medicina Laboratorial (JCTLM – Joint Committee for Traceability in Laboratory
Medicine) mantém a Base de Dados de Sistemas de Medição de Referência para IVD online em
http://www.bipm.org/jctlm. A conformidade com a ISO 17511[31] usando um sistema de medição
referência aprovado pelo JCTLM pode fornecer evidências de que o fabricante reduziu os riscos
associados à exatidão de seus resultados de exame ao estado da arte geralmente reconhecido como tal.
Outros exemplos de normas de IVD com potencial relevância para o controle de risco incluem as
ISO 17822-1[33] (sistemas de detecção baseados em ácido nucleico), ISO 20776[36] (suscetibilidade
antimicrobiana), ISO 20916[37] (estudos de desempenho clínico), ISO 23640[40] (estabilidade de
reagentes de IVD), IEC 61010-2-101[11] (segurança de equipamentos de IVD), IEC 61326-2-6[13]
(compatibilidade eletromagnética de equipamentos de IVD) e IEC 80001-1[19] (dispositivos médicos
conectados em rede).
Critérios de desempenho vastamente reconhecidos para certos analitos podem ser encontrados em
publicações da Organização Mundial da Saúde (OMS), bem como em publicações de agências de
saúde pública internacionais e nacionais, organizações de normas, sociedades médicas profissionais
e autoridades regulamentadoras.
O fabricante é responsável por justificar em que extensão tais normas e critérios de desempenho se
aplicam ao seu dispositivo médico de IVD em particular e ao seu uso pretendido, e como requerido
pela ABNT NBR ISO 14971:2020, por verificar se todas as situações perigosas pertinentes foram
consideradas.

ABNT/CB-026
DEZ 2021
H.3.6 Educação e treinamento do usuário
Para interfaces de usuário complexas, procedimentos de exame difíceis ou aplicações clínicas críticas,
informação para segurança pode tomar a forma de programas de treinamento e educação oferecidos
pelo fabricante, para ajudar a evitar erros de uso. Materiais de treinamento adequados para uso em
programas contínuos de educação também podem ser fornecidos.
Por exemplo, a norma de produto para sistemas de monitoramento anticoagulação oral (ISO 17593[32])
requer que o fabricante forneça um programa de treinamento validado para clínicos e um programa
de educação para pacientes e outros usuários desses dispositivos. Os especialistas que desenvolveram
a Norma Internacional consideraram estas medidas de controle de risco necessárias para garantir
que os riscos de uso no ambiente doméstico sejam aceitáveis.
Ao determinar o grau de redução de risco atribuível à informação para segurança, considerar o seguinte:
— o ambiente de uso, a competência e as capacidades dos usuários do dispositivo podem variar

amplamente;
— práticas de controle de qualidade e garantia de qualidade não são uniformes ao redor do mundo; e
— informações sobre uso médico contraindicado e medicações interferentes fornecidas a usuários

do dispositivo médico de IVD podem nem sempre alcançar os clínicos que solicitaram os exames.
H.4 Análise benefício-risco

Orientações no desempenho de uma análise benefício-risco são fornecidas em 7.4.
Se não for possível descrever os benefícios de um dispositivo médico de IVD diretamente, desfechos
substitutos podem ser estabelecidos. Exemplos incluem a capacidade de um dispositivo médico de
IVD identificar uma doença específica, fornecer diagnóstico em diferentes estágios de uma doença,
prever o futuro início da doença e/ou identificar pacientes suscetíveis a reagir a uma dada terapia.
H.5 Divulgação dos riscos residuais
H.5.1 Considerações gerais
O Anexo D explica que o objetivo de divulgar os riscos residuais é fornecer informações ao usuário
do dispositivo e potencialmente ao clínico e ao paciente, para que possam ponderar os riscos de
se usar o dispositivo médico de IVD frente aos benefícios e tomar decisões esclarecidas sobre a
aceitabilidade do risco. Convém que o fabricante leve em conta as informações necessárias para que
laboratórios médicos e clínicos avaliem os riscos residuais inerentes e determinem a necessidade
de medidas de redução de risco adicionais.
A divulgação de riscos residuais para dispositivos médicos de IVD pode tomar diferentes formas,
incluindo informações fornecidas na documentação acompanhante sobre as especificações de
desempenho (“alegações”), limitações do dispositivo médico de IVD ou procedimento de exame e/ou
potenciais causas de perigos e situações perigosas que podem não ser eliminadas pelo fabricante.
A divulgação de riscos residuais é adicional às medidas de controle de risco fornecidas aos usuários
como informação para segurança.
NOTA A divulgação de riscos residuais na documentação acompanhante também pode ser prescrita por
regulamentações nacionais ou Normas Internacionais, como a ISO 18113 (all parts)[34].

ABNT/CB-026
DEZ 2021
H.5.2 Especificações de desempenho
A descrição das características de desempenho analítico pertinentes e os resultados de estudos de

desempenho clínico (ver ISO 20916[37]) permitem que o diretor do laboratório médico e os clínicos
avaliem a utilidade do dispositivo médico de IVD para as suas aplicações médicas destinadas.
Convém que a descrição das características de desempenho seja suficientemente detalhada,

de modo que o laboratório ou outros usuários possam:
— verificar se o dispositivo médico de IVD está desempenhando conforme destinado pelo fabricante;
— determinar a incerteza de medição associada aos resultados de exame; e
— saber se os resultados de exames satisfarão as necessidades médicas dos clínicos.
Resultados de avaliações de desempenho conduzidas em condições de uso reais ou simuladas

podem ser resumidos e apresentados na documentação acompanhante.
Exemplos de características de desempenho potencialmente pertinentes são apresentados em H.2.2.2.
H.5.3 Limitações do dispositivo médico de IVD
A ISO 18113-1[34] requer que as limitações analíticas e clínicas do dispositivo médico de IVD
sejam divulgadas na documentação acompanhante. As limitações descrevem situações nas quais
o dispositivo médico de IVD pode não se desempenhar como pretendido e podem, portanto,
ser um meio de divulgar riscos residuais, como:
— substâncias interferentes não detectáveis pelo usuário (por exemplo, drogas, metabólitos biológicos);
— populações de pacientes específicas às quais as características de desempenho possam não se aplicar;
— valores fora do intervalo de medição (em que as características de desempenho não estejam validadas);
— populações de pacientes em que os intervalos de referência ou pontos de decisão médica possam

não se aplicar;
— tipos de amostras primárias que não tenham sido validados para o uso pretendido; e
— circunstâncias e fatores que possam afetar resultados de exames, mas que não tenham sido estudados.
H.5.4 Limitações de uso geralmente reconhecidas

Alguns eventos ou circunstâncias que podem levar a uma situação perigosa são considerados de
conhecimento geral na medicina laboratorial. Esses riscos são tratados por práticas médicas ou
laboratoriais-padrão e comumente não são descritas nas instruções de uso, para evitar sobrecarregar os
usuários com detalhes desnecessários. Convém que o fabricante considere se as informações adicionais
são apropriadas para garantir que os usuários estejam cientes dos riscos associados a esses eventos
ou circunstâncias, mantendo em mente o perigo de comunicar tantos riscos que os usuários possam
apresentar dificuldade para compreender quais são importantes de controlar. Por exemplo:
— A compreensão de que a falha em seguir pode resultar em perigos e situações perigosas tem que
estar implícita em avisos, instruções e outras informações para segurança. Não se espera que
os fabricantes mencionem especificamente todas estas violações como riscos residuais. A falha
em seguir um aviso ou instrução explícita é considerado mau uso (ver H.2.3.5).

ABNT/CB-026
DEZ 2021
— É esperado que os equipamentos eletromecânicos falhem ocasionalmente e requeiram

manutenção, e que os materiais biológicos usados além de sua data de validade possam se
tornar instáveis ou falhar.
— Também é esperado que os laboratórios implementem um plano de contingência (por exemplo,

sistemas de backup ou um laboratório alternativo) para garantir que os serviços essenciais
estejam disponíveis durante situações assim (ver ABNT NBR ISO 15189[27]).
H.6 Atividades de produção e pós-produção
H.6.1 Considerações gerais
Estabelecer um sistema eficaz para monitorar informações de pós-produção (queixas, eventos

adversos e não conformidades do produto) pode ser um desafio para fabricantes, particularmente
para dispositivos com uso pretendido em laboratórios médicos, porque dados confiáveis para
monitorar a frequência real de situações perigosas e danos podem ser difíceis de obter. Monitorar
a ocorrência de perigos e suas causas é mais direto, uma vez que esta realimentação pode ser
fornecida diretamente pelos usuários do dispositivo que experimentarem os eventos. Convém que
relatos de falhas do dispositivo, erros de uso e incidentes médicos sejam coletados e analisados,
e convém que as frequências observadas sejam comparadas às frequências antecipadas
(permitindo a possibilidade de subnotificação por laboratórios ocupados).
Ao estabelecer um sistema para coletar informações de pós-produção, fabricantes podem usar a

análise de risco do produto para desenvolver um esquema de classificação e codificação para o que
se espera em termos de danos, situações perigosas, perigos e suas causas, o que pode facilitar a
priorização de investigações baseadas em risco. Eventos podem ser classificados de acordo com
a severidade estimada dos potenciais danos, bem como com a probabilidade de que resultados
incorretos ou atrasados levem a dano. Tal ferramenta pode ser útil para lidar com queixas, vigilância
pós-comercialização e relatos de evento adverso, bem como investigações de falha do produto.
H.6.2 Monitoramento de desempenho analítico
Um sistema eficaz para coletar informações de produção e de pós-produção para dispositivos

médicos de IVD requer o monitoramento de dados de desempenho analítico disponíveis tanto de
fontes internas quanto de externas.
Fontes internas de dados de desempenho podem incluir dados de produção coletados rotineiramente
durante os testes de liberação do produto, atividades de designação de valor, processos de
monitoramento de estabilidade e investigações de falha do produto.
Fontes externas de dados de desempenho podem incluir dados obtidos rotineiramente da

participação voluntária em programas externos de controle da qualidade e ensaios de proficiência,
avaliações de desempenho do usuário e atividades de instalação e manutenção do instrumento.
H.6.3 Monitoramento do desempenho clínico
Laboratórios médicos, geralmente, não possuem uma forma de identificar se um resultado reportado
estava incorreto e se poderia ter levado a uma decisão ou intervenção médica inapropriada, ou a
uma lesão, a menos que recebam uma queixa por parte do clínico. Por esta razão, convém que
a severidade de qualquer dano reportado e a sua frequência sejam cuidadosamente monitoradas
como parte das atividades de pós-produção.

ABNT/CB-026
DEZ 2021
Além do monitoramento de realimentação de clientes sobre incidentes clínicos, convém que o fabricante
investigue mais fontes para aprender sobre perigos ou situações perigosas novos e emergentes que
estejam ocorrendo com produtos similares. Estas fontes podem incluir bases de dados de evento
adverso e de recall mantidos por autoridades regulamentadoras, bem como relatórios de institutos
de segurança pública, associações de laboratórios médicos nacionais e literatura médica.
H.7 Exemplos de cenários de risco para dispositivos médicos de IVD
H.7.1 Geral
Os seguintes exemplos genéricos ilustram diferentes abordagens de análise de risco para situações
perigosas criadas por tipos comuns de dispositivos médicos de IVD. Esses exemplos não têm a pretensão
de representar a única abordagem recomendada e podem não ser apropriados para todos esses
dispositivos ou uso pretendido. Fabricantes de dispositivos médicos de IVD têm a responsabilidade
de decidir a abordagem de análise de risco apropriada para usar com seus dispositivos. Convém que
o plano de gerenciamento de risco documente a abordagem a ser usada por todo o seu ciclo de vida,
juntamente com a justificativa para sua seleção.
H.7.2 Analisador de laboratório médico automatizado: resultado de exame incorreto
Nesse cenário, um paciente está sendo diagnosticado por um clínico que solicita um exame de IVD do
laboratório médico central. Se o resultado gerado pelo dispositivo médico de IVD estiver incorreto e for
reportado ao clínico, uma sequência de eventos levando ao dano poderia ocorrer da seguinte forma:
a) um evento desencadeador ocorre (por exemplo, uma falha do dispositivo ou erro de uso);
b) o dispositivo médico de IVD produz um resultado de exame clinicamente incorreto (ou seja, um perigo);
c) o usuário do dispositivo falha em detectar o resultado incorreto (ou sua causa);
d) o usuário do dispositivo reporta o resultado incorreto ao clínico (ou seja, uma situação perigosa);
e) o clínico não identifica o resultado como incorreto;
f) o resultado incorreto induz o clínico a um diagnóstico incorreto;
g) o clínico intervém/não intervém inapropriadamente; e
h) opaciente é lesado pela intervenção/não intervenção do clínico (ou seja, experimenta o dano).
No cenário delineado acima, a sequência de eventos a partir do perigo de um resultado incorreto

se estende do laboratório médico ao clínico, cujas decisões e ações estão muito além de quaisquer
meios de controle de risco por parte do fabricante. Para as finalidades desta análise de risco, pode-se
considerar que o paciente está em uma situação perigosa quando um resultado incorreto é recebido
pelo clínico, porque, após esse evento, o paciente é exposto à possibilidade de dano de quaisquer
decisões e ações clínicas baseadas no resultado incorreto.
Esta definição da situação perigosa permite que a análise de risco seja dividida nos segmentos analítico
e clínico, separados pela situação perigosa. Cada segmento pode ser analisado e documentado
separadamente por equipes multifuncionais de especialistas apropriados, que podem se focar nos
eventos pertinentes às suas especialidades. Os resultados das duas análises podem ser combinados
para obter a probabilidade total de dano.

ABNT/CB-026
DEZ 2021
Esta abordagem faz uso eficaz dos especialistas técnicos e médicos. Também permite a criação de
relatórios de análise de risco clínico para o arquivo de gerenciamento de risco, que pode ser usado
para prover suporte a atualizações à análise de risco no caso de alterações de projeto, bem como para
determinar a severidade e a probabilidade de ocorrência de dano de quaisquer situações perigosas
encontradas durante o monitoramento da pós-produção.
H.7.3 Dispositivo pessoal (com autoteste): classificação incorreta de estado glicêmico
Nesse cenário, um paciente diagnosticado com Diabetes Mellitus Tipo 2 monitora regularmente a
sua concentração de glicose no sangue e autoadministra uma medicação antiglicêmica quando
os resultados indicarem hiperglicemia. Embora o paciente estivesse realmente hipoglicêmico,
o dispositivo médico de IVD deu, incorretamente, um resultado elevado e a medicação antiglicêmica
fez com que o paciente ficasse ainda mais hipoglicêmico. Uma sequência de eventos levando
ao dano poderia ocorrer como a seguir:
b) o dispositivo médico de IVD produz um resultado de glicose clinicamente incorreto (ou seja, um perigo);
c) o paciente não identifica o resultado como incorreto;
d) o resultado incorreto induz o paciente a uma decisão terapêutica inapropriada (ou seja, uma
situação perigosa);
e) o paciente administra terapia antiglicêmica; e
f) o paciente fica significativamente hipoglicêmico (ou seja, experimenta o dano).
No cenário delineado acima, a sequência de eventos de uma medição de glicose no sangue

incorretamente elevada que causou classificação incorreta do estado glicêmico do paciente está
largamente limitada aos eventos sob o controle do fabricante e às decisões e ações do paciente com
base nas informações para segurança fornecidas pelo fabricante. Para as finalidades desta análise de
risco, pode-se considerar que o paciente está em uma situação perigosa quando ocorrer um evento
que poderia levar diretamente a dano (por exemplo, autoadministração de medicação antiglicêmica).
Nesse caso, não há qualquer vantagem prática em segmentar a sequência de eventos. Toda a análise
de risco pode ser desempenhada eficazmente por uma única equipe multifuncional de especialistas
técnicos e médicos apropriados.
H.7.4 Dispositivo médico de IVD portátil para o local de atendimento: resultado crítico
atrasado
Neste cenário, um paciente com suspeita de lesões internas está sendo tratado em uma instalação
de cuidados urgentes, que realiza um exame de IVD para avaliar potenciais danos a um órgão.
Embora o usuário tenha seguido as instruções de uso, o dispositivo médico de IVD exibiu uma
mensagem de erro e o resultado do exame não estava disponível quando o clínico precisou decidir
se realizaria ou não um procedimento de emergência. Uma sequência de eventos levando ao dano
poderia ocorrer como a seguir:
b) o dispositivo médico de IVD falha em produzir um resultado de exame clinicamente necessário
(ou seja, um perigo);

ABNT/CB-026
DEZ 2021
c) o usuário do dispositivo pode não repetir o exame dentro do intervalo requerido;
d) o resultado não está disponível ao clínico para dar suporte à decisão de intervenção (ou seja,
uma situação perigosa);
e) o clínico toma decisão/ação crítica sem o benefício do resultado de exame;

f) a decisão/ação do clínico não é apropriada para a condição do paciente); e
g) o paciente é lesado pela ação/inação do clínico (ou seja, experimenta o dano).
No cenário delineado acima, a sequência de eventos levou o clínico a realizar um procedimento de

emergência sem uma avaliação dos danos internos aos órgãos. Para as finalidades desta análise
de risco, pode-se considerar que o paciente está em uma situação perigosa quando o resultado
esperado não for recebido no momento em que foi necessário, permanecendo o paciente, então,
exposto a decisões e ações clínicas iniciadas sem o benefício do resultado do exame.
O fabricante pode considerar se analisa toda a sequência de eventos como um todo ou se

a divide em segmentos, com base em qual abordagem for mais adequada para uma análise
de risco objetiva.

ABNT/CB-026
DEZ 2021
Bibliografia
[1] AAMI TIR 57:2016, Principles for medical device security – Risk management

[2] GHTF/SG3/N18:2010, Quality management system – Medical devices – Guidance on corrective

action and preventive action and related QMS processes (available from http://www.imdrf.org/
documents/doc-ghtf-sg3.asp)
[3] GHTF/SG5/N4:2010, Post-market clinical follow-up studies (available from http://www.imdrf.org/

documents/doc-ghtf-sg5.asp)
[4] IEC Guide 120:2018, Security aspects – Guidelines for their inclusion in publications
[5] ABNT NBR IEC 60601-1, Equipamento eletromédico – Parte 1: Requisitos gerais para segurança
básica e desempenho essencial
[6] ABNT NBR IEC 60601-1-2, Equipamento eletromédico – Parte 1-2: Requisitos gerais para
segurança básica e desempenho essencial – Norma Colateral: Perturbações eletromagnéticas –
Requisitos e ensaios
[7] ABNT NBR IEC 60601-1-8, Equipamento eletromédico – Parte 1-8: Requisitos gerais para
segurança básica e desempenho essencial – Norma colateral: Requisitos gerais, ensaios e
diretrizes para sistemas de alarme em equipamentos eletromédicos e sistemas eletromédicos
[8] IEC 60601-2-16, Medical electrical equipment – Part 2-16: Particular requirements for basic safety
and essential performance of haemodialysis, haemodiafiltration and haemofiltration equipment
[9] IEC/TR 60601-4-1, Medical electrical equipment – Part 4-1: Guidance and interpretation –
Medical electrical equipment and medical electrical systems employing a degree of autonomy
[10] IEC 60812, Failure modes and effects analysis (FMEA and FMECA)
[11] IEC 61010-2-101:2015, Safety requirements for electrical equipment for measurement, control and
laboratory use – Part 2-101: Particular requirements for in vitro diagnostic (IVD) medical equipment
[12] IEC 61025, Fault tree analysis (FTA)
[13] IEC 61326-2-6, Electrical equipment for measurement, control and laboratory use – EMC
requirements – Part 2-6: Particular requirements – In vitro diagnostic (IVD) medical equipment
[14] IEC 61882, Hazard and operability studies (HAZOP studies) – Application guide
[15] IEC 62304:2006 and AMD1:2015, Medical device software – Software life cycle processes –
Amendment 1
[16] IEC 62366-2:2015, Medical devices – Part 1: Application of usability engineering to medical devices
[17] IEC/TR 62366-2, Medical devices — Part 2: Guidance on the application of usability engineering
to medical devices

ABNT/CB-026
DEZ 2021
[18] IEC 62502, Analysis techniques for dependability – Event tree analysis (ETA)
[19] IEC 80001-1:2010, Application of risk management for IT-networks incorporating medical
devices – Part 1: Roles, responsibilities and activities
[20] ISO/IEC Guide 63:2019, Guide to the development and inclusion of aspects of safety in
International Standards for medical devices
[21] ISO/DIS 10017, Quality management – Guidance on statistical techniques for ISO 9001:2015
[22] ISO 10993-1:2018, Biological evaluation of medical devices – Part 1: Evaluation and testing
within a risk management process
[23] ISO 11608-1, Needle-based injection systems for medical use – Requirements and test methods –
Part 1: Needle-based injection systems
[24] ABNT NBR ISO 13485:2016, Produtos para saúde – Sistemas de gestão da qualidade –
Requisitos para fins regulamentares
[25] ISO Handbook: ISO 13485:2016, Medical devices – A practical guide
[26] ISO 14155, Clinical investigation of medical devices for human subjects – Good clinical practice
[27] ABNT NBR ISO 15189, Laboratórios clínicos – Requisitos de qualidade e competência
[28] ISO 15197, In vitro diagnostic test systems – Requirements for blood-glucose monitoring systems
for self-testing in managing diabetes mellitus
[29] ISO 16142-1, Medical devices – Recognized essential principles of safety and performance of
medical devices– Part 1: General essential principles and additional specific essential principles
for all non-IVD medical devices and guidance on the selection of standards
[30] ISO 16142-2, Medical devices – Recognized essential principles of safety and performance of
medical devices – Part 2: General essential principles and additional specific essential principles
for all IVD medical devices and guidance on the selection of standards
[31] ISO 17511, In vitro diagnostic medical devices – Measurement of quantities in biological
samples –Metrological traceability of values assigned to calibrators and control materials
[32] ISO 17593, Clinical laboratory testing and in vitro medical devices – Requirements for in vitro
monitoring systems for self-testing of oral anticoagulant therapy
[33] ISO/TS 17822-1, In vitro diagnostic test systems – Qualitative nucleic acid-based in vitro
examination procedures for detection and identification of microbial pathogens – Part 1: General
requirements, terms and definitions
[34] ISO 18113 (all parts), In vitro diagnostic medical devices – Information supplied by the
manufacturer (labelling)
[35] ISO/TR 20416, Medical devices – Post-market surveillance for manufacturers

ABNT/CB-026
DEZ 2021
[36] ISO 20776 (series), Clinical laboratory testing and in vitro diagnostic test systems – Susceptibility
testing of infectious agents and evaluation of performance of antimicrobial susceptibility test
devices
[37] ISO 20916, In vitro diagnostic medical devices – Clinical performance studies using specimens
from human subjects – Good study practice
[38] ISO 22367, Medical laboratories – Application of risk management to medical laboratories
[39] ISO 22442 (series), Medical devices utilizing animal tissues and their derivatives
[40] ISO 23640, In vitro diagnostic medical devices – Evaluation of stability of in vitro diagnostic
reagents

(CN) Abnt Iso TR 24971 2022 (Ger. Risco - Orientações)

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

(CN) Abnt Iso TR 24971 2022 (Ger. Risco - Orientações)

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CB-026

PROJETO DE REVISÃO ABNT ISO/TR 24971

Dispositivos médicos — Orientações sobre a aplicação da ABNT NBR ISO

a) é previsto para cancelar e substituir a ABNT ISO/TR 24971:2014, quando aprovado,

c) não tem valor normativo.

3) Analista ABNT – Milena Pires.

NÃO TEM VALOR NORMATIVO

Dispositivos médicos — Orientações sobre a aplicação da ABNT NBR ISO

Medical devices — Guidance on the application of ABNT NBR ISO 14971

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização.

Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

O ABNT ISO/TR 24971 foi elaborado no Comitê Brasileiro Odonto-Médico-Hospitalar

As principais alterações em comparação à edição anterior são as seguintes:

— As seções da ABNT ISO/TR 24971:2014 e alguns anexos informativos da

NÃO TEM VALOR NORMATIVO

O Escopo em inglês do ABNT ISO/TR 24971 é o seguinte:

NÃO TEM VALOR NORMATIVO

Este documento fornece orientações para auxiliar os fabricantes no desenvolvimento,

de gerenciamento de risco a dispositivos médicos. São fornecidas orientações para a aplicação da

NÃO TEM VALOR NORMATIVO

Dispositivos médicos — Orientações sobre a aplicação da ABNT NBR ISO

Este documento fornece orientações sobre o desenvolvimento, a implementação e a

O processo de gerenciamento de risco pode ser parte de um sistema de gestão da qualidade;

ABNT NBR ISO 14971:2020, Dispositivos médicos – Aplicação de gerenciamento de risco a

— ISO Online browsing platform: disponível em http://www.iso.org/obp

— IEC Electropedia: disponível em http://www.electropedia.org/

4 Requisitos gerais para sistema de gerenciamento de risco

NÃO TEM VALOR NORMATIVO 1/102

4.2 Responsabilidades de gerenciamento

4.2.1 Comprometimento da Alta Direção

A Alta Direção tem a responsabilidade de estabelecer e manter um processo de gerenciamento

A Alta Direção tem o poder de atribuir autoridades e responsabilidades, de estabelecer prioridades e

Se a organização do fabricante consistir em entidades separadas (por exemplo, unidades ou divisões

4.2.2 Política para estabelecer critérios para aceitabilidade de RISCO

4.2.3 Adequação do processo de gerenciamento de risco

— a eficácia dos procedimentos de gerenciamento de risco implementados;

— a eficácia do circuito de feedback das informações de produção e pós-produção (ver 10.4).

4.3 Competência de pessoal

Assegurar a designação de pessoal competente é uma responsabilidade da Alta Direção. Na Tabela 1,

Algumas atividades de gerenciamento de risco podem ser desempenhadas por consultores ou

2/102 NÃO TEM VALOR NORMATIVO

Tabela 1 – Exemplos de pessoal competente e conhecimento e experiência pertinentes

Operações Processos de fabricação

Considerar a necessidade de incluir os seguintes tópicos na formação de especialistas em

— gerenciamento de um programa de gerenciamento de risco para dispositivos médicos;

— ética, segurança (safety), segurança da informação (security) e responsabilidade;

— conceitos de risco, aceitabilidade de risco e análise benefício-risco;

— probabilidade e estatísticas para gerenciamento de risco e confiabilidade;

— gerenciamento de risco e confiabilidade em projeto e desenvolvimento;

— normas e regulamentação pertinentes;

— estimativa de risco incluindo métodos para determinar a severidade e a probabilidade de

— metodologia da determinação de risco;

NÃO TEM VALOR NORMATIVO 3/102

— métodos para controle de risco;

— métodos para verificação de eficácia de medidas de controle de risco; e

— métodos para análise de informações de produção e pós-produção.

4.4 Plano de gerenciamento de risco

O plano de gerenciamento de risco descreve o escopo das atividades de gerenciamento de risco,

Convém que a extensão de atividades planejadas e o nível de detalhes do plano de gerenciamento

4.4.2 Escopo do plano de gerenciamento de risco

Alguns dos elementos do plano de gerenciamento de risco podem se aplicar ao processo de

4.4.3 Designação de responsabilidades e autoridades

O plano de gerenciamento de risco identifica o pessoal ou as funções com responsabilidade