E - R211 - Risk-Analysis OST5100-7000 Validé

E_R211
Applicable le 06/02/2012 version 04
DOSSIER ANALYSE DE RISQUE

Risk Management file
Catégorie de dispositif : OSTEODENSITOMETRE

Device category: Bone densitometer
Dénomination interne si applicable:
Diagnostic Medical Systems - OST5100-7000
Internal code
Variantes commerciales
STRATOS DR, MEDIX DR, STRATOS, MEDIX 90
Commercial versions
Code GMDN 37661

Selon la directive 93/42/CEE, régle
10 According to 93/42/ECC, rule 10 IIb
Classe de dispositif médical du produit
Medical device class Selon la FDA
According to II
FDA
L’analyse est réalisée selon la procédure P_34_ et selon le plan de gestion des risques E_R227
Equipe d’analyse :
Analysis team:
Position/Position Nom/Name Compétences/Competence

Responsable du projet partie mécanique Mécanique
B. TREGAN
Mechanical design manager Mechanic
Responsable du projet partie electronique Electronique, Physique
M.JULIER
Electronic designe manager Electronic, Physics
Responsable du projet partie logiciel Informatique
D. GALLO
Software design manager Sotware
Responsable de projet ostéodensitométrie Projet
J. RINGOT
Project manager Project
Responsable conformité produit Normatif
K. MAHADEA
Product compliance manager Standard compliance
Responsable SAV Expert terrain
C. DOUGADOS
After sales manager Field expert
Sommaire du
dossier File contents
Dossier:
Données générales, Sommaire
General information, contents
Historique des révisions
History of revisions
Constat de l'analyse de risque
Risk analysis conclusion
Annexes I à VIII: Détails des analyses de risque
Annex I to VIII: Details of risks analysis
Annexe I Caractéristiques du produit
Annexe II Analyse de risque Système
Annexe III Analyse de risque Electrique
Annexe IV Analyse de risque Mecanique
Annexe V Analyse de risque Firmware
Annexe VI Analyse de risque Logiciel
Annexe VII Analyse de risque IEC60601-1
Annexe VIII Compléments à l'analyse de risque
E_R211_Risk-Analysis OST5100-7000 V1.3.xls

1 sur
Historique des révisions de l'analyse des risques du
produit History of revisions of the product risks analysis
Nature de la révision
Version Date
Update description
Ouverture de l'analyse de risque

1.0 21/04/2009
Creation of risk analysis
Mise à jour pour conformité EN/IEC60601-1 ed.3, mise sous nouveau format qualité, revue des
risques (criticité et mesures correctives et préventives)
1.1 18/09/2014
Upgrade for compliance to EN/IEC60601-1 ed.3, formatted to new quality template, update of
the risks (criticity and corrective and preventive measures)
Ajout de contrôle du risque de laser trop puissant (>1mw) 1.2 29/09/2014
update of noise level, new risk Annex III.34 (le 17092015) + update with stability phantom
1.3 09/10/2015
specifications and risks + EMC risk analysis
Grille de cotation et d'acceptabilité des risques

: Evaluation of the risk level and acceptability:
Terms FDA Concerned part Description Terme Description
terms MD Software Damage to people Damage to other equipment
Negligible Minor G1 A Inconvenience or temporary and environment

discomfort that does not affect
Incroyable (F1) Incroyable dans l’état actuel des connaissances
Damage that does not affect
the quality of life operation of other equipment Incredible (F1) Incredible in the current state of the knowledge
Minor Moderate G2 B Temporary injury or damage
not requiring medical Malfunction of other equipment Aucun incident lié à ce risque ne s’est produit sur un produit équivalent et
intervention or pollution does not require fréquence d’apparition ne peut pas excéder 1 fois pendant la durée de vie
Important Moderate G3 B Injury, intoxication, irradiation or significant intervention
reversible damage Damage, corrosion of equipment
Improbable (F2) dans des conditions autres que celles spécifiées dans le manuel utilisateur
requiring medical treatment Maintenance required Improbable (F2) May occur at most once outside normal conditions defined in the user
Temporary disability Reversible degradation of manual, however it can be assumed that no incident has affected medical
Critical Major G4 C Injury, intoxication, irradiation or environment devices of the same type
permanent damage Partial material destruction of La fréquence d’apparition ne peut pas être supérieure à 1 pendant la durée
Permanent disability the system or Irreversible
destruction of environment
de vie dans des conditions autres que celles spécifiées dans le manuel
Catastrophic Major G5 C Life threatening damage or injury (short scale) Rare (F3) utilisateur
Death Irreversible destruction May occur at most once in the lifetime of the medical device outside normal
Fire, explosion, gas release conditions defined in the user manual
La fréquence d’apparition peut être supérieure à 1 pendant la durée de vie
dans des conditions autres que celles spécifiées dans le manuel utilisateur
Occasionnel (F4)
May occur at least once in the lifetime of the medical device outside normal
conditions defined in the user manual
Peut se produire au moins 1 fois ou supérieur en conditions normales
pendant la durée de vie du produit
Probable (F5) Can occur at least once in the lifetime of the medical device under normal
conditions of use
A chaque utilisation en conditions normales
Fréquent (F6) Can occur at each use in the lifetime of the medical device under normal
conditions of use
Gravité du Cotation du risque Qualification du risque

dommage Level of risk Risk qualification
Gravity Catastrophique Critiqu Importan Mineu Négligeable I (1 Risque inacceptable
Catastrophic e t r Negligible - 6) Unacceptable risk
(G5) Critical Importan Minor (G1) Risque indésirable voir inacceptable sauf si sa réduction n’est pas
Fréquence (G4) t (G3) (G2) II réaliste au regard du bénéfice médical
d’apparition (7 - Undesired risk or unacceptable risk unless its reduction is not realistic
du danger 13) upon the medical benefit
Fréquent (F6) Risque tolérable, mais à réduire à un niveau aussi bas que
1 3 6 10 11 III (14
Frequent raisonnablement possible
Probable (F5) - 20)
2 5 9 16 17 Tolerable risk, but to be reduced to a level as low as reasonably possible
Probable IV Risque acceptable
Occasionnel (F4) (21- 30) Acceptable risk
4 8 15 19 24
Occasional
Rare (F3)
7 12 18 23 27
Rare
Improbable (F2)
13 14 22 26 29
Improbable
Incroyable (F1)
20 21 25 28 30
Incredible

2 sur
Acceptation de l’ensemble des risques résiduels
: Residual risks approval:
Details des risques résiduels, et mesures d'information utilisateurs
Residual risks information
Risque Résiduel Mesure d'information à l'utilisateur

Residual risks Information to user
Designation Chapitr Document de
N°
Designation e référence Reference
Courbe_isodose Stratos DR pour évaluer la dose diffusée Courbe_isodose Stratos DR
Indication des doses dans le manuel utilisateur suite à une
II.5 Surexposition du patient aux rayonnements ionisant campagne de mesure de dose efficace, dose opérateur, dose
Manuel utilisateur
à l'entrée
Ch. ENVIRONMENTAL STATEMENT

Contamination due à des déchets et/ou à l’élimination d’un DM ON THE LIFE CYCLE OF THE EQUIPMENT OR SYSTEM
II.8 Manuel utilisateur
Absence de moyens d’indications relatifs à la fin de vie du
dispositif
Couverture du manuel utilisateur

3. Description de l'appareil
II.56 - II.59 Non-respect des conditions d’utilisation 7. Environmental conditions Manuel utilisateur
8. Symbols & Abbreviations
Analyse des profils utilisateurs et des fonctions de service Manuel utilisateur

II.60 - II.63 Interface homme / machine trop complexe Adaptation du manuel utilisateur Dossier aptitude à l'utilisation
Formation des opérateur à l'installation Rapport de formation utilisateur
Idt calibration utilisée en usine

II.65 - II.66 Mauvaise configuration de l'appareil à l'usine ou pendant l'utilisation IdT-015-35_Calibration
Calibration validée par la R&D
II.72 Manque de détermination appropriée de la fin de vie d'un DM Ch. 6.3. Customer responsibility Manuel utilisateur
II.73 perte d'intégrité électrique / mécanique Ch. 6. Maintenance Manuel utilisateur
Programmation, Tests et validation de la carte d'acquisition en IdT 015-10

III.24 Carte d'acquisition défaillante
production selon procédure IdT 015-10 Manuel technique
Ch 1. Introduction (warning)
Mauvaise définition du
III.26 Présence de tension de service de 230V Ch. 10. Safety system Manuel utilisateur
câblage et du routage
Mauvaise définition du
III.27 Présence de tension de service de 370Vdc Ch. 10. Safety system Manuel utilisateur
câblage et du routage
Mauvaise définition du Présence de tension de service de
III.28 Ch. 10. Safety system Manuel utilisateur
câblage et du routage -1470Vdc
III.30 Déclenchement accidentelle de la séquence de tir Ch. 9. Installation instructions Manuel Utilisateur
IV.1 Pincement du doigt, du poignée Ch. 1.4. Warning Manuel utilisateur
IV.5 Désalignement de la source et du détecteur Ch. 15. Troubleshooting Manuel utilisateur
Faisceau du laser dans les yeux

VI.6 Ch. 1.4 Warnings Manuel utilisateur
Laser light towards eyes
Utiliser des données de référence erronées amenant à un mauvais

VI.37 Ch. 13. User manual Manuel utilisateur
diagnostic
VI.39 Problème de mauvaise calibration Ch. 15. Troubleshooting Manuel utilisateur
Transmission des données mal faite ou impossible via un réseau (DICOM

par exemple) ce qui peut engendrer un mauvais diagnostic par le
VI.41 Ch. 13.7.17. Printing on DICOM Format Manuel utilisateur
médecin qui récupère les données via ce réseau par mauvais
paramétrage du réseau
Mauvais résultats sur le rapport d'impression et donc mauvais diagnostic

VI.42 par mauvais paramétrage de l'imprimante
Ch. 13.2.4.8 Print the medical report Manuel utilisateur
Ch. 1. Introduction
Mauvaise appréhension de l'usage du produit, du profil de l'utilisateur, de
Ch. 2 Using this manual
VII.33 son interprétation des commandes, de son environnement de travail, de Manuel utilisateur
Ch.7 Environmental conditions
sa compréhension des documents d'accompagnement.
Ch. 8 Symbols &
Abbreviations

3 sur
L'Ensemble des risques résiduels suite aux données des enreglstrements en annexes 1a VI du dossier d'analyse de risque
est: {tayer/unention tnu )
Residual risks fO/lowlng d418 r=rds Annex Ito la <lf the ff!COlri <lf tf5k ana/ysis Is: (dt!iet1' lnappropriate worrt)
I11eeeeptable ---------.
YneeeeDteble
Nom/Name
B. Tregnn
Position/Funcilon
Reprhentant Burenu mécaniqu e

Date/Datl!
06/07/2017
-
Mechanical department manager
Repr&enta.nt Bureau électronique
11.Julier 06/07/2017
Electronic departmenl manDJtU
O.Gallo Représentllln Burenu informatiqu e 06/07/:!017

t n.,.er
Respongahle SAV
J..P. Dron 06/07/2017
Afteunles d epnrtment n111na 1:er
DirecteurR&D
J. Ringot 06/07/2017
R&Dmanager
Directeur général
S.Sancerni 06/0712017
General manager
Reepon111oble Qualité & Réglementaire
S. UCAR 06/07/:!017
I Ouality & ReitUlatory m1ma.,rec
M.Sifíre Directeur production 06/01/2017

Manuf1tcturimr mn.nn.2er
Responuble confonnité produita 06/07/2017
K. Mnhad ea
Produ ct comnlinnce mnnnl!'er
Evaluation des retours d'informatlon en phase de post_production

Post production feebacks
Date de la Post-évaluation :
Date of ost evaluation :
1 Questfon/Questfon Répanse/Answer
Est<e qu11 y a des phénamenes dangereux non reconnus auparavant No
Est-ce qu'un(des) risques(s) estimé(s) émanant d'un phénomene dangereux n'est (ne
sont) plus acceptable(s) No
Est-ce que l'appréciation initiale n'est plus valable pour une raison quelconque : No
Equipe de Post-évaluation :
Post market evaluation team
N
1u....-centant Bureau mécanlaue B.T •n
111....-::entant Bureau électroniOJe M.Julier
R_.._entant Bureau informatloue O.Gallo
a
Personnel extérieur la rrYll"'PnrVVl IJP... •
E_R2ll _Ri1k·Analy&i1 OSTSl00-7000 V en cour1 4sur 4

ANNEXE I: CARACTERISATION DU PRODUIT
Annex I: Product characterization
QUESTION REPONSE/Answer DOCUMENT DE REFERENCE
Description du produit Ostéodensitomètre à balayage par faisceau de la région d'intérêt Spécification_produit
I.1) Quelle est l’emploi prévu / la destination prévue du DM et comment doit-il être utilisé L'appareil est utilisé par du personnel spécialisé dans l’imagerie médicale et est destiné à créer une image numérique à des fins de rbre de constitution
? What is the intended use/intended destination of the MD and how should it be radiodiagnostic (Acquisition RX, traitement et visualisation image).
used? The device is used by the staff specialized in the medical imaging and is intended to create a numeric(digital) image in purposes of X-
ray diagnosis (Acquisition RX, treatment and display(visualization). Plaquette commeciale
Commercial brochure
I.2) Le DM est-il prévu pour entrer en contact avec le patient ou toute autre Oui, le patient doit se placer sur le matelas de la table d'examen. Il n'entre en contact avec aucune partie métallique. Les risques
personne? Is the MD intended to come into contact with the patient ou any concernent principalement la mecanique et sont reduits par conception
other person? Yes, the patient should get positionned on the table. He is not in contact with metallic parts.
The contact duration is also low decreasing highly risks linked to biocompatibility
I.3) Quels sont les matériaux et/ou composants contenus dans le DM, utilisés avec le DM ou Structure métallique (acier peint) => En contact avec le patient
en contact avec lui ? Metallic structure (painted steel) => Contact with patient
What are materials and\or constituents contained in the MD, used with the MD or in touch
with him? Cartes électroniques
Electronic cards
Divers composants électroniques

Various electronic components
Capots en plastique => En contact avec le patient

Plastic covers => contact with the patient
Accessoires en tissu (coussins de positionement) => En contact avec le patient

Accessories in tissues(pillows of positionement) = > In touch with the patient
Accessoires en simili-cuir (Tissu simili-cuir sans PVC)

=> En contact avec le patient
Accessories in leatherette (Tissue leatherette without PVC)
Toutes les caractéristiques des matériaux contenus dans le dispositif sont connues.
All the characteristics of the materials contained in the device are known
I.4) De l'énergie est-elle apportée au patient et/ou lui en est-il retiré ? Oui
Is energy absorbed by the patient and/or extracted from the Yes
patient
I.5) Des substances sont-elles administrées au patient et/ou lui sont-elles retirées Non
? Are substances injected to the patient and/or extracted from the patient? No
I.6) Des substances biologiques sont-elles traitées par le DM en vue d'une réutilisation ultérieure ? Non
Are biological substances handled by the MD for later use? No
I.7) Le DM est-il fourni stérile ou est-il prévu qu'il soit stérilisé par l'utilisateur, ou bien, d'autre Non
contrôles microbiologiques sont-ils applicables ? No
Is the MD provided in a sterile state or is it intended to be sterilized by the user, or, are other
microbiological controls applied?
I.8) Le DM est-il prévu pour être nettoyé et désinfecté régulièrement par l’utilisateur Oui , Nettoyage de la partie en contact avec le patient apres chaque examen ou utilisation de rouleaux de papier protecteurs Plan de maintenance du manuel technique
? Is the MD intended to be cleaned and disinfected regularly by the user Yes, cleaning of the applied parts after each scan or use of protective paper Technical manual maintenance plan
I.9) Le DM est-il prévu pour modifier l'environnement du patient Non

? Is the MD intended to modify the patient's environment? No
I.10) Des mesurages sont-ils effectués ? Des valeurs indicatives de densité osseuse sont données par le dispositif.
Are measurements done? Indicative values of bone density are given
I.11) Le DM effectue-t-il une interprétation Non

? Does the MD give interpretation? No
I.12) Est-il prévu d’utiliser le DM avec des médicaments ou d’autres technologies médicales Non
? Is it intended to use the MD with drugs or other medical technology? No
I.13) Y a-t-il des émissions non souhaitées d’énergie ou de substances ? Oui Limité conformément à l'arrêté du 15 mai 2006 relatif aux conditions de délimitation et
Are there emission of undesired energy or substances? Yes de signalisation des zones surveillées et contrôlées (Rapports LCIE 60053434-3, -3A, -4,
-4A)
Limited by the law of 15 mai 2006 for controled and supervised X-Ray zone
I.14) Le DM est-il sensible aux influences de l’environnement oui Les conditions environnementales sont décrites dans le Manuel Technique
? Is the MD sensitive to environmental influences? Yes The environmental conditions are described in the technical manual
I.15) Le DM influe-t-il sur l'environnement ? Non

Does the MD impact on the No
environment?
I.16) Y a-t-il des consommables ou accessoires essentiels associés au DM Oui, des coussins de positionnement, un câble Ethernet blindé catégorie 5 et un fantôme pour le contrôle Qualité Les accessoires sont décrits dans le Manuel Utilisateur
? Are there consumables or accesory essential linked to the MD? Yes, postionning cushions, shielded ethernet cable cat 5 and one phantom for quality control Accesories are described in the user manual
I.17) L'entretien et/ou l'étalonnage est-il (sont-ils) nécessaire(s) ? Oui Les conditions de maintenance sont décrites dans le manuel technique
Maintenance or calibration are necessary? Yes See the technical manual
I.18) Le DM contient-il un logiciel ? Oui Le logiciel du dispositif est installé au moment de la fabrication. Evaluation selon IEC60601-1
Does the MD contain a Yes, the software is installed during manufacturing Evaluation by IEC60601-1
software?
I.19) Le DM a-t-il une durée de stockage et/ou de conditionnement limité ? Non Les conditions de stockage sont mentionnées dans le manuel utilisateur
Does the MD have a limited storage duration and/or limited No Storage conditions are mentionned in the user manual
conditionning?
I.20) Existe-t-il d’effets retardés et/ou à long terme liés à l'utilisation ? Non, si les conditions d'utilisation restent respectées
Are there long term retarded effects after utilization of the MD? No, if the use conditions are followed
I.21) A quelles forces mécaniques le DM sera-t-il exposé ? La force mécanique appliquée sur le DM est le poids du patient assis ou allongé sur la table ou le capot avant
At which mechanical force is the MD exposed to ? The applied mechanical force is due to the patient's weight while sitted or lied on the table
I.22) Quels facteurs déterminent la durée de vie du DM La durée de vie du dispositif est liée à la durée de vie des composants le constituant La réduction des risques est réalisée par information : la durée de vie du dispositif est
? Which factors determine the MD lifecycle? The MD lifecycle depends on the lifecycle of its components dans les documents d'accompagnement ainsi que les informations de maintenance
préventive.
Risk reduction is performed by information: the MD life cycle is documented in
accompanying documents and in preventive maintenance document
I.23) Le dispositif médical est-il destiné à être non réutilisable Non

? Is the MD intended to be unusable? No
I.24) La mise hors service ou la mise au rebut en toute sécurité du DM est-elle nécessaire La mise hors service ou la mise au rebut doit être réalisée selon les lois en vigueur Selon directive Européenne DEEE. Information à l’utilisateur sur l’étiquetage de l’appareil
? Is power off or off road ot the device necessary? Out of service or offroad is performed according to local laws + manuel utilisateur
According to the WEEE directive. Information given on the labels and user manual
I.25) L’installation ou l’utilisation du DM nécessite-t-elle une formation particulière oui Le dispositif est installé par des techniciens qualifiés par la société DMS et la formation
? Does installation and use of the MD require particuler training? Yes des utilisateurs est assurée après l'installation. Information dans les documents
d’accompagnement.
The MD is installed by qualified technicians and training of users are performed after
installation. Information are given in the user manual
I.26) De nouveaux processus de fabrication devront-ils être établis ou introduits ? non Le processus est spécifié et adapté au DM. La majeur partie des processus sont
Will new manufacturing process be established or introduced? No communs aux autres appareils de la gamme.
Process is specified and adjusted to the MD. Main part of the process are common to
other devices
I.27) L’application satisfaisante du DM dépend-elle en grande partie de facteurs humains tels Oui l’utilisateur doit être préalablement formé à l’utilisation du DM.
que l’interface utilisateur ? Yes The user is trained for proper use of the device
Does satisfactory application of the MD highly depend on the user interface?
I.28) Le DM comporte-t-il des pièces ou des accessoires de raccordement Oui. Un câble d'alimentation conforme aux normes internationales, un câble Ethernet blindé
? Does the MD contain connection kit? No catégorie 5 reliant l'appareil au PC utilisateur
A standardized power cable, an ethernet cable shielded cat5 linking device to the PC
I.29) Le DM a-t-il une interface de contrôle ? Oui

Does the MD have a user interface Yes
I.30) Le DM affiche-t-il des informations ? Oui
Does the MD display data? Yes
I.31) Le DM est-il commandé à l’aide d’un menu Oui
? Is the MD controled by a menu Yes
I.32) Le DM est-il destiné à être mobile ou portable non
? Is the MD mobile or portable? No
E_R211_Risk-Analysis OST5100-7000 V1.3.xls AI /1 sur 1

ANNEXE II
RISQUE GENERAL DU PRODUIT: Norme ISO EN 14971, EN IEC 60601-1 ed3
Evaluation du Risque Evaluation des risques résiduels

Génération
Occurrence
Occurrenc
Référence
Acceptable
d’autres
Cotation
Cotation
Gravite
Gravite
phénomènes
N° Phenomene Phénomène Dangereux Causes d'origine Mesure de sécurité adoptée Moyen de vérification dangereux
e
II.1 1.1 - électricité - Défaut de mise à la terre des différents éléments 6 5 Étiquette de protection "DANGER" 1 5 Oui Essais et inspection selon la norme NON
- Court-circuit, surcharge Tension dangereuse rendue inaccessible par conception IEC60601-1
- Accès aux parties sous tension, inadaptation mécanique IdT étiquetage
d'enveloppe. Mise à la terre de protection de l'ensemble des éléments Manuel utilisateur avec les symboles
- Défaut de branchement ou de câblage interne du système
1 20
Capot de protection sur la table
Transformateur d'isolement
Utilisation de fusibles de protection
Ventilation tube utilisée en TBTS
II.2 1.2 - chaleur Défaut de ventilation ou de refroidissement 6 3 Présence d'ouvertures (tenant compte de la protection de 2 3 Oui Essais et inspection selon la norme NON
Inadaptation ou dysfonctionnement d'éléments de l'utilisateur) IEC60601-1
sécurité thermique 6 Utilisation de switch thermique sur la source RX 22
Refroidissement du tube par ventilateurs
II.3 1.3 - force mécanique - Sous dimensionnement 3 5 Maintenance préventive : 1 5 Oui Essais et inspection selon la norme NON
- Forme inadaptée - Fixation table IEC60601-1
- Matériau inadapté - Bon état de la chaîne et maillon d’attache + contrôle Manuel Technique
- Dépassement de facteur de charge tension.
- Mauvais état de surface - Liste des points à vérifier à l'installation et à la production
- dégradation d’une sécurité mécanique - Vérification de la résistance à la chaleur des enveloppes
7 capots par l'essai à la bille de l'IEC60601-1ed3
20
- Usure, vieillissement des composants
- Défaillance interne
II.4
II.5 1.4 - rayonnement ionisant Surexposition du patient aux rayonnements ionisant 3 5 Mesure de la dosimétrie patient et opérateur 2 5 Oui Essais et inspection selon la norme NON
Utilisation de faible puissance et adaptée pour chaque type IEC60601-1 et les normes
d'examen collaterales Courbe_isodose Stratos
Contrôle du rayonnement de fuite DR
Sensibilisation de l'utilisateur aux risques des rayons X
7 13
Indication des doses dans le manuel
utilisateur
Phénomènes dangereux relatifs à Formation des utilisateurs

l'énergie et facteurs qui y
II.6 1.5 - rayonnement non ionisant Classe de laser incompatible avec une utilisation 4 4 Compatibilité des modules laser pour utilisation médicale 1 4 Oui Documents d'agrément au marquage CE du NON
contribuent :
médicale 8 (laser utilisé de classe 2) assurée par système Qualité 21 laser
Laser de puissance trop élevé installé en production 4 4 Mise en place d'un point de contrôle de la puissance du 1 4 OUI IdT-015-15_03_Réglage source collimateur NON
8 laser en production sur chaque produit 21 détecteur
II.7 1.6 - pièces mobiles Mauvais guidage 6 3 Paramétrage des plages de mouvement par logiciel 2 3 Oui Essais et inspection selon la norme NON
Problème de freinage de Utilisation de switch Extra course électrique (switch) IEC60601-1
frottement Grippage, blocage Sécurité thermique Manuel Utilisateur
Zone de mouvements non protégée Définition d’une zone de sécurité autour de la table AR logiciel
Jeu, usure Avertissements dans le manuel utilisateur IdT étiquetage
Défaut de liaison 6 Marquage par étiquettes autocollantes du risque de 22
Problème de commande, d'entraînement pincement lors des mouvements
Absence ou dégradation des moyens de contrôle ou
limitation de mouvement
Pincement des doigts lors des déplacements de
la table
II.8 1.7 - mouvement intempestif Défaillance de l'asservissement des moteurs 6 3 - Variateur en erreur en cas de problème détecté 2 3 Oui Analyse de risque logiciel : Partie commande NON
6 - protection logicielle lors des mouvements moteur 22 des mouvements
II.9 1.8 - masses suspendues Matériau ou forme inadapté 4 5 Maintenance préventive : 1 5 Oui Instructions de montage et de NON
Sous dimensionnement - Prévention de la rupture de fixation du bras vérification Manuel Technique
Dépassement du facteur de par conception
II.10 1.9 - défaillances du dispositif de
charge Mauvais état de surface - Bon état de la chaîne et maillon d’attache + contrôle
soutien au patient
Dégradation d'une sécurité mécanique 4 tension. 20
Usure , vieillissement des composants
Défaillance interne
Mauvais maintien du bras
II.11 1.10 - pression (rupture d'un récipient) Sans Objet NON
II.12 1.11 - pression acoustique Sans Objet NON

II.13 1.12 - vibrations Sans Objet NON
II.14 1.13 - champs magnétiques (par Sans Objet NON
exemple IRM)
II.15 2.1 - bio-contamination Sans Objet NON
II.16 2.2 - bio-incompatibilité Sans Objet NON
II.17 2.3 - formulation incorrecte Sans Objet NON
(composition chimique)
II.18 2.4 - toxicité Sans Objet NON
II.19 2.5 - allergicité Sans Objet NON
II.20 2.6 - Mutagénicité Sans Objet NON
II.21 Phénomènes dangereux de nature 2.7 - Oncogénicité Sans Objet NON
II.22 biologique et facteurs qui y 2.8 - Tératogénicité Sans Objet NON
contribuent :
II.23 2.9 - Carcinogénicité Sans Objet NON
II.24 2.10 - Réinfection et/ou Sans Objet NON
infection croisée
II.25 2.11 - pyrogénicité Sans Objet NON
II.26 2.12 - inaptitude à maintenir une Infection 3 5 Annotation pour le nettoyage dans le manuel utilisateur 1 5 Oui Essais et inspection selon la norme NON
sécurité hygiénique 7 20 IEC60601-1
Manuel Utilisateur
II.27 2.13 - dégradation Sans Objet NON
II.28 3.1 - Champs électro-magnétique - Perturbations des dispositifs voisins ou dues à 3 4 Conception tenant compte des contraintes de C.E.M. au 1 4 Oui Essais et inspection selon la norme NON
l'utilisation de dispositifs voisins niveau des divers éléments: câblage, platine, moteurs, IEC60601-1
II.29 3.2 - Sensibilité à
(Non respect des exigences norme CEM IEC 60601-1- détecteur, alimentation
l'interférence
électromagnétique 2) 12 21
II.30 3.3 - Emissions
d'interférence
électromagnétique
II.31 3.4 - Alimentation électrique - Coupure et/ou rétablissement de l’alimentation 3 4 1 4 Oui Essais et inspection selon la norme NON
inadéquate - Protection par fusibles de l'ensemble des éléments, IEC60601-1
- Baisse d’alimentation
- Transformateur d’isolement,
- Alimentation perturbée ou fluctuante - Fusibles de protection du réseaux entrants
- Suralimentation
12 21
- Alimentation inadaptée
- Raccordement inadapté
II.32 3.5 - Alimentation électrique Alimentation du ventilateur de refroidissement de 3 2 Utilisation d'un switch thermique sur la source coupant 1 2 Oui Manuel technique NON
inadéquate du refroidissement la source en défaut 23 l'alimentation de la source RX 28
Phénomènes dangereux liés à
II.33 l’environnement et facteurs qui y 3.6 - Stockage ou fonctionnement en Exposition à des conditions d’environnement 4 3 - Conditions d'utilisation et de stockage dans les manuels 1 3 Oui Manuels utilisateur NON
contribuent : dehors des conditions dépassant les limites prescrites (température,
d’environnement exigées pression, pression, humidité) 15 25
II.34 3.7 - Incompatibilité avec d’autres - Incompatibilité dimensionnelle 4 3 Instructions dans le manuel technique : 2 3 Oui Essais et inspection selon la norme NON
dispositifs avec lesquels il est - dimensionnement de l’appareil IEC60601-1
- Incompatibilité mécanique, électrique
prévu de l’utiliser - Interfaçage avec différents éléments Manuel Technique
- Problème de connectique 15 - Tests fonctionnels en sortie de production 22 Arbre de constitution
- Incompatibilité des moyens de raccordement
- Incompatibilité d’échange d’informations
II.35 3.8 - Dommage mécanique accidentel Usure 4 3 Conception sur rails coulissants et vissage du bras 1 3 Oui Essais et inspection selon la norme NON
Chute du bras Plusieurs fixation prévues pour le capots IEC60601-1
Chute d'un capot
15 Contrôle des points d'usure périodique chez le client
25 Manuel Technique
II.36 3.9 - Contamination due à des déchets - Absence de moyens d’indications relatifs à la fin de 4 5 Information dans le manuel utilisateur sur la durée de vie 3 5 Oui Essais selon la norme IEC60601-1 NON
et/ou à l’élimination d’un DM vie du dispositif et le traitement du DM en fin de vie IdT Etiquetage
4 Présence du sigle IEC lorsqu'applicable (Poubelle barrée)
7
II.37 4.1 - Electricité Câble haute tension mal connecté 3 1 27 - Suivi logiciel des erreurs du générateur 1 1 30 Oui AR logicielle NON
II.38 4.2 - Rayonnements Emission RX non désirée 3 5 Utilisation de collimateur de 1 5 Oui - Voir point 1.4 NON
Incohérence des données d'énergie 7 protection Tests de rayonnement de 20
fuite
II.39 Phénomènes dangereux résultant 4.3 - Volume Sans Objet
de la sortie incorrecte d’énergie et
II.40 4.4 - Pression Sans Objet
de substances :
II.41 4.5 - Alimentation en gaz médicaux Sans Objet
II.42 4.6 - Alimentation en agents Sans Objet
anesthésiques
II.43 5.1 - étiquetage inadéquat Positionnement incorrect 6 4 Explication de la signification de l'étiquetage dans le manuel 1 4 Oui Essais et inspection selon la norme NON
Perte de l'étiquette utilisateur IEC60601-1
Manque de 3 Élaboration d'une IdT d'étiquetage 21 IdT Etiquetage
compréhension Film protecteur sur étiquette d'identification Manuel utilisateur
Utilisation de la norme IEC980
II.44 5.2 - instructions de - Instructions inadéquates d’utilisation. 6 4 manuel utilisateur et manuel Technique fournis 1 4 Oui Essais et inspection selon la norme NON
fonctionnement inadéquates : - Spécifications inadéquates des exigences en systématiquement IEC60601-1
matière formation / qualification du personnel. Information et formation sur le fonctionnement et la Manuel Utilisateur
qualification du personnel Manuel Technique
II.45 5.2-1 a) spécification inadéquate des
accessoires à utiliser avec le DM
Respect des recommandations des normes IEC60601
applicables
II.46 5.2-2 b) spécification inadéquate
des contrôles de pré utilisation
II.47 5.2-3 c) instructions de

fonctionnement trop complexes 3 21
II.48 5.2-4 d) spécification inadéquate du

service et de la maintenance
II.49 5.3 - utilisation par du personnel non

Phénomènes dangereux liés à qualifié/non formé
l’utilisation du DM et facteurs qui y
II.50 contribuent : 5.4 - erreur d’utilisation
raisonnablement prévisible
II.51 5.5 - mise en garde insuffisante sur Manque d'information sur les effets de rayons X 4 3 Informations et avertissements présents dans le manuel 2 3 Oui Manuel Utilisateur NON
les effets secondaires 15 utilisateur 22 Manuel Technique
II.52 5.6 - mise en garde inadéquate sur les Sans Objet

phénomènes dangereux éventuels
d'une réutilisation de DM non
réutilisables
II.53 5.7 - mesure incorrecte et autres Mauvais étalonnage usine 4 4 Etalonnage réalisé en usine et si besoin lors des 1 4 Oui IDT calibration NON
aspects métrologiques Absence de contrôle qualité interventions en maintenance. Manuel Utilisateur
Contrôle qualité à chaque démarrage de l'appareil avec une Rapports de calibration en prod
8 analyse statique suivant les régles Shewart-Cusum 21
Rapports de calibration en usine vérifiés et validés par la
R&D DM
II.54 5.8 - incompatibilité avec les Sans Objet

consommables /accessoires/autres
DM
II.55 5.9 - bords tranchants ou pointes Sans Objet

II.56 6.1 - fautes et erreurs de jugement - Non-respect des conditions d’utilisation 6 4 Formation du personnel 2 4 Oui Manuel Utilisateur NON
Evaluation de l'aptitude à l'utilisation de l'appareil Manuel Technique
II.57 6.2 - défaillances et erreurs de
Aptitude à l'utilisation des opérateurs
mémorisation
vérifiée
II.58 6.3 - fautes d’inattention et

maladresses (mentales 3 14
ou physiques)
II.59 6.4 - violation ou application partielle

des instructions, procédures etc
II.60 6.5 - système de commande - Interface homme / machine trop complexe 5 4 Formation du personnel 2 4 Oui Manuel Utilisateur NON
compliqué ou confus Description de l'ensemble des pictogrammes et des Aptitude à l'utilisation des opérateurs
fonctions des touches dans les manuels utilisateur vérifiée
Droit d'accès sécurisé au paramètres critiques ( par
II.61 6.6 - état du dispositif ambigu ou peu login et mot de passe)
clair Utilisation de l'état de l'art
Etude des IHM du marché pour une aptitude à l'utilisation
II.62 6.7 - présentation ambiguë ou peu adéquate
5 14
claire des réglages, mesures
ou autres informations
Interface utilisateur non
II.63 appropriée, inadéquate ou trop 6.8 - déformation des résultats
complexe (communication homme
machine) :
II.64 6.9 - visibilité, audibilité ou tactilité Mauvaise visibilité de l'affichage 4 3 Touches par boutons poussoirs 2 3 Oui Essais et inspection selon la norme NON
insuffisante 15 Installation d'une lampe de visualisation des tirs RX décrite 22 IEC60601-1
dans le manuel utilisateur Manuel utilisateur
II.65 6.10 - mauvaise configuration des Mauvaise configuration de l'appareil à l'usine ou 6 4 Consignes claires de la R&D de la procédure d'étalonnage à 2 4 Oui Manuel Technique NON
commandes d’action ou des pendant l'utilisation l'usine IDT Calibration
informations affichées sur l’état Accès sécurisé aux paramètres de Configuration (login et Rapport de calibration
réel mot de passe)
3 Rapports de calibration en usine vérifiés et validés par la 14
II.66 6.11 - modes ou configurations à
R&D DM
controverse par rapport à
l’équipement existant
II.67 6.12 Erreur d’importation d’une étude. Erreur de manipulation 3 3 - Chapitre relatif à l'utilisation de la liste de travail dans le 2 3 Oui Manuel Utilisateur NON
manuel utilisateur Dossier aptitude à l'utilisation
18 - Formation du personnel 22
Evaluation de l'aptitude à l'utilisation de l'appareil
II.68 6.13 Erreur de reconstruction d'image Erreur de calcul du logiciel (masquage ou ROI) 5 3 Formation du personnel 2 3 Oui Manuel Utilisateur NON
Présence d'un mode manuel permettant de définir les ROI Formation du personnel
9 22
et le masquage OS
II.69 7.1 - transfert de données erroné Mauvaise connexion appareil/PC 5 3 Mise en place d'un "chien de garde" (Watchdog) pour 2 3 Oui Essais et inspection selon la norme NON
s'assurer que l'utilisation du système ne peut se faire qu'à IEC60601-1
condition que le PC utilisateur est bien connecté Dossier de conception interne
Installation réalisée par du personnel habilité
9 Messages d'erreurs dans le logiciel en cas de mauvaise
22
communication
Utilisation d'un protocole TCP/IP contenant un vérificateur
d'integrité type CRC
-Mauvaise connexion PC vers réseau local (option 5 3 Installation réalisée par du personnel habilité 2 3 Oui Manuel Technique NON
Dicom Push)
9 22
II.70 7.2 - spécification inexistante ou - absence ou inadéquation des spécifications 5 3 Liste des vérifications à effectuer lors des phases 2 3 Oui Manuel Technique NON
inadéquate sur la maintenance, y de maintenance. de maintenance Manuel utilisateur
compris la spécification - maintenance inappropriée ou non respect des Maintenance annuelle selon les protocoles Qualité en
inadéquate des contrôles indications de maintenance vigueur, et maintenance contractuelle préventive
fonctionnels de post- maintenance Indication des points de contrôles triviaux dans manuel
9 22
utilisateur table et manuel utilisateur
II.71 7.3 - maintenance non appropriée
Phénomènes dangereux liés à une

défaillance fonctionnelle, à la
II.72 7.4 - manque de détermination Aucune information donnée à l’utilisateur 5 4 Indication concernant la durée de vie des composants du 2 4 Oui Manuel Technique NON
maintenance et au vieillissement,
appropriée de la fin de vie d'un DM système dans le manuel utilisateur Manuel Utilisateur
et facteurs y contribuant : Avertissment dans le manuel utilisateur sur la durée de vie Maintenance préventive
5 14
de l'appareil
Maintenance annuelle permettant de contrôler l'arrivée en
fin de vie de l'apparei
II.73 7.5 - perte d'intégrité électrique - Usure. 3 4 Maintenance préventive 2 4 Oui Manuel Technique NON
/ mécanique - Fatigue.
- Corrosion.
12 14
- Relâchement des moyens de fixation.
II.74 7.6 - emballage inadéquat - Mauvaise condition d’emballage 5 3 Instructions d'emballage 2 3 Oui IdT Emballage NON
(contamination et/ou détérioration Précisions sur les précautions de transport et de
du DM)
9 stockage sur l'emballage
22
- Non indication des conditions de transport
II.75 7.7 - réutilisation et /ou réutilisation Sans Objet NON

impropre
II.76 7.8 - détérioration du Sans Objet 4 2 Contrôle périodique 2 2 Manuel utilisateur NON
fonctionnement à la suite d’une 19 Mise en place d'un service après vente et d'un hotline 26
utilisation répétée.
ANNEXE III : Risques electriques
Annex III : Electrical risks
NB:Detailed the content of each corrective or preventive action in colum "Action preventive / Corrective"
Après Actions
After actions
N° Défaillance potentielle Contrôle Effet potentiel de la Cause potentielle de Actions préventives/correctives Référénces Génération d’autres
Potential Failure Event Control défaillance défaillance Preventive/corrective actions phénomènes dangereux
Occurrence
Occurrence
Potential effect of failure Potential cause of failure Related documents Apparition of new risks
Cotation
Cotation
Gravité
Gravité
General risks
Surchauffe de certains
composants, arcs
Court-circuit sur tensions Inspection IEC 60601- électriques, déterioration Mise en place d'un fusible sur chaque tension (alimentation PC, logique de l'inverter, 36V, 26Vdc, 15V, -15V, 3.3V,
d'alimentations 1 Sécurité électrique de l'ensemble de l'appareil 5V, 12V) en plus des 2 fusibles d'interruption générale
Court-circuit
III.1 Short circuit on supply voltage Verified by IEC60601- 5 5 2 1 5 20 Rapport IEC60601-1 NON
Short
1 electrical security Overheating of some Use of protective fuse on every power supply (PC supply, inverter, 36V, 26Vdc, 15V, -15V, 3.3V, 5V, 12V) and
circuit
components, electrical protective fuse on mains
arcs, damage of the
whole apparatus
Instruction de câblage clairement définie

Chassis chargé Mises à la terre assurées en doublon sur les parties potentiellement déconnectables (transformateur relié à la
électriquement - différence masse par ses fixations, mais également par câblage)
de potentiel entre les Pièces mécaniques épargnées sur points de jonction
masses des diverses Masses reliées par blindages des câbles en plus de la tresse d'équipotentialité
parties de l'appareil Carte électroniques reliées à la masse par colonettes de fixation, équipées de rondelles éventail et de rondelles
Possible courant de fuite Connectique mal définie Contrôle du système Qualité en sortie de production de la jonction à la terre de protection
Inspection IEC 60601- de contact Câblage défallant Vérification lors des étapes de maintenance
Mise à la terre défaillante 1 Sécurité électrique
III.2 4 3 15 2 3 22 Rapport IEC60601-1 NON
Failure of protectitve earth Verified by IEC60601- Chassis electrically charged Conductor is not Wiring instruction clearly defined
conductor 1 electrical security - potential difference properly designed Earthing is duplicated on potentially disconnected parts (transformer connected to ground fixings, but also by wiring)
between the masses of Conductor is damaged Mechanical parts are uncoated on junctions
the various parts of the Masses connected by cable shielding braid in addition to the equipotential
apparatus Electronic card connected to ground by attachment of small columns, equipped with washers and lock
Possible leakage washers Quality control system in production output of the junction to the protective earth
current contact Checking in steps of electrically charged maintenanceChassis - potential difference between the masses of the
various parts of the apparatus
Possible leakage current contact
Utilisation d'une fiche réseau aux normes internationales
Utilisation d'un transformateur d'isolement pour l'alimentation
mauvais fonctionnement,
Utilisation d'un transformateur de transmission de signaux Ethernet pour isoler électriquement l'appareil du PC
déteriorations de
Surtensions dans la machine dues à Fusibles de sécurité installés sur chacune des alimentations de l'appareil
Inspection IEC 60601- composants à l'intérieur
la connexion au réseau électrique Surtensions dans la Tests de l'appareil en situation de surcharge à +10%
1 Sécurité électrique de la machine
III.3 Overvoltage in the machine due to 4 4 8 1 4 21 Rapport IEC60601-1 NON
Verified by IEC60601-
the power supply machine, Overvoltage in Using a mains plug compliant to international
1 electrical security malfunction, damage to
standards Use of an isolation transformer for the
components within the
the machine supply
machine
Use of a transformer for transmitting Ethernet signals for electrically isolating the device from the
PC Fuses installed on each power supply of the device
Mise en place d'un capot de protection sur la carte d'alimentation générale

Mauvaise configuration de
Accès aux tensions impossible sans l'utilisation d'un outil
l'appareil -
Mise en place de LEDs de vsualisation de la présence des tensions
Mauvais avertissement de
Electrocution, Utilisation de vernis sur chacune des pistes sur les cartes
Inspection IEC 60601- l'utilisateur et du personnel
Accès aux parties sous tensions déterioration de l'appareil électroniques
1 Sécurité électrique de maintenance
III.4 dangereuses 4 3 15 Capot supplémentaire de protection au niveau de l'inverter avec autocollant d'avertissement 1 3 25 Rapport IEC60601-1 NON
Verified by IEC60601-
Dangerous parts accessible Electric shock of user,
1 electrical security Incorrect configuration of
damage to device Establishment of a protective cover on the general supply
the device -
card Access to the voltages impossible without the use of a
Poor warning the user and
tool LEDs vsualisation for the presence of power
maintenance personnel
Use of protective coats on each track on electronic boards
Additional protective cover at the inverter with warning
sticker
Occurrence
Occurrence
Cotation
Cotation
Gravité
Gravité
Perturbation de
Masse générale sur le chassis et le bras
l'environnement,
Mauvaise jonctions entre Plans de masse reliés par tresse de masse dans chaque porte câble
Inspection IEC 60601- dysfonctionnement
Equipotentialité et blindage des les différents plans de Chaque carte reliée par courtes colonnettes (10mm) à la masse par au moins 4 points.
1 Sécurité électrique des cartes Idt câblage
III.5 câbles Equipotential and cable masse 4 3 15 1 3 25 NON
Verified by IEC60601- électronqiues Rapport IEC60601-1
shielding General ground on the chassis and the arm
1 electrical security
Bad connections between Ground planes connected by grounding strap in each door cable
Environmental
ground plane Each card connected by short columns (10mm) to the mass by at least four points.
perturbance, dysfunction of
electronic cards
Occurrence
Occurrence
Cotation
Cotation
Gravité
Gravité
60601-1-2: Sécurité CEM
Blindage bilatéral par tresse de masse de chaque câble jugé critique (tous ceux véhiculant des signaux
susceptibles
d'osciller au-delà de 50 Hz)
Perturbation de/par Mauvais blindage -
III.6 Immunité rayonnée Tests en cage de Faraday 4 3 15 Blindage du détecteur par capot de protection 2 3 22 Rapport IEC60601-1-2 NON
l'environnement Mauvaise filtration des
Equipotentialité dans la machine (voir plus haut)
signaux
Transmission numérique des comptes observés sur le détecteur
+ Mesures mises en place pour limitation des émissions rayonnées (voir ci dessous)
Blindage des câbles (cf ci-dessus)

Chaque périphérique est relié à la masse avec longueur de blindage la plus courte possible (moteurs, source X,
détecteur)
Liaison des capteurs à la masse (switches de fin de course, chassis des moteurs) au niveau de leur fixation afin de
ne pas faire d'effets "antenne"
Blindage de l'ensemble des câbles allant vers le monobloc (câble filament, câble HT, et câble "config") et les cartes
de commande (moteurs, capteurs, etc...) ; utilisation d'une référence de tresse de blindage en mailles fines pour
optimiser le filtrage;
Pas de câbles blindés par simples feuillards
Filtrage par filtre LC en Pi de l'ensemble des signaux transmis et des alimentations (sur carte d'alimentation, sur
carte haute tension, sur carte d'acquisition)
Tests en cage de Faraday Mise en place de mesures pour assurer l'équipotentialité du plan de masse sur l'ensemble de l'appareil (voir plus
Perturbation de/par Mauvais blindage -
III.7 Emissions rayonnée et tests de validation en 4 3 15 haut) Utilisation d'un condensateur 1nF Y1 entre les 2 plans de masse du câble Ethenret et de la carte 2 3 22 Rapport IEC60601-1-2 NON
l'environnement Mauvaise filtration des
champ libre d'acquisition Utilisateur de connecteurs Sub-D avec capots métalliques pour une meilleure mise à la masse.
signaux
Utilisation de colliers métalliques de mise à la masse sur les blindage pour assurer une connexion sur
360°. Limitation du nombre de blindages en "Queue de cochon" aux câbles non critiques
Utilisation de filtres secteur pour filtrer les perturbations liées au réseau électrique
Epargne de la peinture des pièces métalliques à l'endroit des jonctions
Blindage des pistes d'horloge critiques sur la carte d'acquisition: pistes entourées de pistes de masse de part et
d'autre, avec via de liaison au plan de masse placés au plus près des pins de connexion
Limitation des appels de courant du quartz générateur du 48 MHz par ajout d'une résistance de faible
valeur Mise en place d'un boitier de blindage étanche sur le détecteur
Séparation des câbles de données et des câbles d'alimentation lorsque cela est
possible Anneau de garde sur le tour de la carte d'acquisition
Ajout de ferrite de correction d'émission
Perturbation de
III.8 Emissions conduites Tests IEC60601-1-2 Mauvaise filtration 4 3 15 Utilisation d'un filtre secteur CEM pour les alimentations 230Vac et 26Vac 2 3 22 Rapport IEC60601-1-2 NON
l'environnement
Mauvaise conception
III.9 Immunité conduite Test IEC60601-1-2 Dégradation des signaux 4 3 15 Utilisation de câbles blindés des 2 cotés pour les signaux sensibles en BF et HF 2 2 26 Rapport IEC60601-1-2 NON
des liaisons
Perturbation du réseau
électrique - Influence Appel en courant non maitrisé
III.10 Sensibilité au Flicker (Papillotement) Test IEC60601-1-2 4 1 24 Présence de transformateur d'isolation dans les centres cliniques limitant le Flicker 2 1 29 Rapport IEC60601-1-2 NON
de/sur
Pas de mise à la terre

III.11 Décharges électrostatiques Tests IEC60601-1-2 Disfonctionnement 4 3 15 Toutes les parties métalliques accessibles sont reliées au plan de masse général 2 3 22 Rapport IEC60601-1-2 NON
correcte des parties
appliquées
Sensibilité de l'appareil à
Tests sur plan de masse Optimisation des caractéristiques du transformateur général (limitation du courant d'appel au démarrage)
III.12 Creux de tension des perturbations sur le 4 3 15 2 3 22 Rapport IEC60601-1-2 NON
IEC60601-1-2
réseau électrique
Sensibilité de l'appareil à
Tests sur plan de masse
III.13 Sensibilité aux interruptions de Arrêt de l'appareil des perturbations sur le 4 2 19 Tests de l'appareil en conditions de tests selon l'IEC60601-1-2 2 2 26 Rapport IEC60601-1-2 NON
IEC60601-1-2
tension réseau électrique
Perturbation du réseau Consommation de

Tests sur plan de masse électrique - Influence courant excessive sur Utilisation d'une PFC passive: Mise en place d'une bobine de filtration 10 mH pour filtrer l'ensemble des
III.14 Harmoniques 4 3 15 2 3 22 Rapport IEC60601-1-2 NON
IEC60601-1-2 de/sur l'alimentation certaines harmoniques du harmoniques de rangs impairs (pour l'alimentation de l'inverter)
d'autres appareils réseau électrique
Tests sur plan de masse Sensibilité de l'appareil à Perturbation du réseau Filtrage des signaux rapides sur les câbles sortant de l'appareil
III.15 Transitoires rapides en salve 4 3 15 2 3 22 Rapport IEC60601-1-2 NON
IEC60601-1-2 l'environnement électrique (foudre, etc…) Blindage du câble Ethenret par tresse de masse (Cat. 5)
Variation de résultats Variations des résultats en

III.16 Immunité au champ magnétique Tests IEC60601-1-2 en fonction du champ fonction des contraintes 4 3 15 Désaimantation du bras en fonction d'anomalie detectée pendant la calibration 2 3 22 Rapport IEC60601-1-2 NON
magnétique environnementales
Occurrence
Occurrence
Cotation
Cotation
Gravité
Gravité
CONNECTIQUE:
Supervision des alimentations 15V et 36V dans la carte d'acquisition
Vérification de l'état des relais de commande de la source depuis le FPGA pour gérer le début du tir
Pas de mouvements
La source RX envoie une erreur en cas de défaillance du -15V, et le problème peut être contrôlé simplement par
III.17 Connexion de la carte Mixed Supply Plan de test carte acquisition moteurs, logique de Connexion défectueuse 3 2 23 2 3 22 IdT-015-13_test carte NON
inspection visuelle des Leds d'information de la présence des tensions (carte Mixed Supply) et par relecture du
la source non alim
bit d'erreur source dans le FPGA
alimentée
Test de la carte Mixed Supply effectué selon procédure IdT-015-13
Aucune action possible sur Connecteur ATX non Toutes les basses tensions sont alimentées par le même connecteur
III.18 Connexion de l'alimentation PC Plan de test carte acquisition 3 1 27 2 1 29 Manuel technique NON
la machine connecté Aucune communication possible avec la machine en cas de mauvais contact du connecteur ATX.
Lecture du retour d'information stipulant que la carte est bien connectée.
Pas de possibilité Déconnexion de la nappe
Test de la carte haute tension en production selon procédure spécifique
III.19 Connexion de la carte haute tension Plan de test carte acquisition de commander la de communication avec la 3 1 27 2 1 29 Manuel technique NON
Pour éviter toute surtension fatale au détecteur, les carte Haute Tension avec les autres appareils de la gamme
haute tension carte Haute Tension
sont différenciées (connecteur Haute Tension différent de celui utilisé sur Stratos)
Pas de Connectique défaillante, carte Supervision d'un bit de commande des moteurs: Une impulsion est renvoyée vers la carte d'acquisition tous
III.20 Connexion des cartes moteurs Plan de test carte acquisition 3 1 27 2 1 29 Manuel technique NON
mouvements commande moteur HS les 4 pas moteur.
moteurs
Impossibilité de Carte non branchée, ou non Supervision du bit "filament Ready" au niveau de la séquence de tir:
III.21 Connexion de la carte filament Plan de test carte acquisition 3 1 27 2 1 29 Manuel technique NON
déclancher le tir des alimentée Indique si la carte est branchée ou s'il y a une anomalie au niveau du tube RX et que le tir est impossible.
rayons X
Pas de connexion avec la Lecture du retour d'information stipulant que la carte est bien connectée.
III.22 Connexion de la carte clavier Plan de test carte acquisition Clavier inactif, pas illuminé 3 1 27 2 1 29 Manuel technique NON
carte clavier Tests de la carte clavier en production (voir IdT 015-14)
Connexion de la carte de commande Supervision de la rotation du disque par optocoupleur de détection de la rotation du disque. En l'abscence de
III.23 Plan de test carte acquisition Plus de rotation du disque Déconnexion; rupture de 3 1 27 2 1 29 Manuel technique NON
du disque de calibration rotation, tout examen est impossible.
câble
Problème de composants
Dysfonctionnement Programmation, Tests et validation de la carte d'acquisition en production selon procédure IdT 015-10 IdT 015-10
III.24 Carte d'acquisition défaillante Banc de test carte acquisition mal soudés, de frimware mal 3 4 12 2 4 14 NON
général de Manuel technique
programmés
l'appareil
Dans le logiciel, phase de test de l'ouverture de l'obturateur, puis de la collimation de la source: Permet
Obturation à tort de la
Débranchement d'assurer le diagnostic des electroaimants en support SAV
Contrôle par les tirs de sortie du faisceau; Manuel technique
III.25 Fonctionnement des electroaimants accidentel des 3 1 27 Comparaison des comptes à chaque examen et comparaison avec comptes de référence: l'anomalie détectée 2 1 29 NON
compte de référence Collimation erronée du (voir VI_Risque
connecteurs des donne lieu à un message d'erreur
faisceau en examen logiciel)
électroaimants Possibilité de contrôle auditif lors des différentes phases de fonctionnement
PRESENCE DE TENSIONS DE SERVICE CRETE SUPERIEURE A 71V
Distance à travers l'isolation d'au moins 0.4mm (conforme à la norme électrique) et isolation à 4kV
Inspection suivant Isolation de routage et/ou Mauvaise définition du
III.26 230Vac 3 4 12 Gaines homologuées UL pour résistance à la chaleur et à l'ignition 2 4 14 Rapport IEC60601-1 NON
l'IEC60601- 1 de câblage câblage et du routage
Lignes de fuite respectée.
Inspection suivant Isolation de routage et/ou Mauvaise définition du Gaines homologuées UL pour résistance à la chaleur et à l'ignition
III.27 320Vdc 3 4 12 2 4 14 Rapport IEC60601-1 NON
l'IEC60601- 1 de câblage câblage et du routage Lignes de fuite respectée.
Utilisation d'une référence 320Vdc flottante pour limiter les risques d'électrocution
Gaines homologuées UL pour résistance à la chaleur et à l'ignition
-1470Vdc (max. Concerne la
Inspection suivant Isolation de routage et/ou Mauvaise définition du Lignes de fuite respectée.
III.28 haute tension d'alimentation du 3 4 12 2 4 14 Rapport IEC60601-1 NON
l'IEC60601- 1 de câblage câblage et du routage Utilisation d'un câble coaxial haute tension
détecteur. Comprise entre 0Vdc et
Limitation du courant délivré à 1mA
-1470Vdc)
Utilisation d'un connecteur Haute Tension
GENERATEUR X
Mauvaise documentation du
Monoblocs dangereux
CB Scheme certificate monobloc; Rapport CB certificate
III.29 Sécurité générale de la source au niveau électrique et 2 3 22 Exigence auprès du fournisseur de l'obtention du marquage CE pour le monobloc, concernant la norme 60601-1 2 3 22 NON
#28100672 Absence de références du monobloc
ionisation
Qualité et de
traçabilité
Tir incontrôlé pouvant Déclenchement par série de commandes précises dans le FPGA
Déclenchement accidentelle de Contrôle par watch amener à une exposition Sécurité logicielle (voir VI_Risque logiciel)
III.30 Commande erronée 3 4 12 2 4 14 Dossier de conception NON
la séquence de tir dog hardware inutile du patient aux Obturation de la sortie du faisceau enclenchée par défaut
rayons X Présence de watchdog hardware en sécurité positive
Bac de la source sans perçage sur le dessous, maintenu par le dessus

Contrôle visuel de la Mise en place de ventilateurs pour refroidir l'huile de refroidissement
Fuite d'huile de Liquide se répandant à Configuration mécanique du
III.31 configuration mécanique 3 3 18 Contrôle des niveaux d'échauffement par l'intermédiaire d'un thermomètre autocollant sur le dessus de la source 2 3 22 Manuel technique NON
refroidissement, l'intérieur de la machine monobloc inadaptée
du monobloc Présence d'une vessie de dilatation permettant d'éviter un risque d'explosion de la cuve
échauffement excessif
Présence de switch thermique sur les monoblocs
Occurrence
Occurrence
Cotation
Cotation
Gravité
Gravité
Impossible que la haute tension soit accessible étant donné qu'il s'agit d'un monobloc, qu'elle est donc générée à
Inspection suivant l'intérieur et inaccessible Manuel technique
III.32 Haute tension accessible Electrocution Mauvaise conception 3 5 7 1 5 20 NON
l'IEC60601- 1 Inderdiction de démonter un capot par l'utilisateur Manuel utilisateur
Nécessité d'outil pour ouvrir les capots
Limitation de la tension de commande par conception de la carte d'acquisition, et détermination d'un cas d'erreur
dans la source en cas de paramétrage excessif (Led 3: kV >110 % valeur max, ou Led 4: kV min)
Mauvaise configuration des En sortie de production / Commande de tir erronée à
III.33 Mauvais diagnostic 3 3 18 Relecture des tensions commandées en retour de la source: le logiciel avertit l'utilisateur d'une différence entre 2 3 22 Manuel technique NON
paramètres de tir A l'installation l'usine
ce qui est effectivement commandé et ce qui été souhaité
Vérification des fichiers de paramètre en sortie de production et à l'installation
Jumper mis en dur sur la carte d'acquisition pour choisir la configuration "petit filament" vérifié au moment du test
III.34 Intervertion des 2 types de filament Plan de câblage Tir surdimensionné Intervertion du câblage 3 3 18 de la carte d'acquisition 2 3 22 Manuel technique NON
Seul le câble alimentant le petit filament est connecté sur la source
Risque Post-Market
Lower safety and misfunctionning of Critical components review Emergency switch might Replacement of the 5 4 Emergency swtich is replaced by an equivalent and fully approved switch: 1 4 Technical sheet of new No
the emergency switch not work properly emergency switch EAO emergeny switch:
DDM XX XXX TH414119/464407 from 84-020.0040
III.34 5 21
Johnson Electric by a B300 type 1
non equivalent swtich cURus approved
ANNEXE IV: Risques
mécaniques Annex IV:
Mechanical risks
Inital conditions before action After Actions

Génération d’autres
phénomènes dangereux
Apparition of new risks
Probability
Probability
N° Potential Failure Event Part concerned Control Current design control Potential effect of failure Potential cause of failure Preventive / Corrective actions Responsible Related documents
Cotation
Cotation
Gravity
Gravity
Mise en place d'un capot "relevé" en bandeau à l'arrière empêchant le patient d'avoir
accès aux zones de pincement potentiel
Demande de validation à l'utilisateur avant chaque déplacement (Aucun mouvement
involontaire ou non prévisible possible)
Mise en place d'un marquage des 2 côtés de la zone jugée potentiellement dangereuse.
Avertissement dans le manuel utilisateur sur les précautions à prendre avant de
commander un déplacement moteur
Mauvais Un système électronique interdit tout mouvement des moteurs s'il n'est pas autorisé
avertissement explicitement et en continu par le PC de commande: en cas de plantage du logiciel ou de
Manque de formation coupure de la connexion, le déplacement s'arrête spontanément.
Inattention praticien Présence d'un bouton d'arrêt d'urgence "coup de poing" dont l'efficacité est garantie par
Problème de pinçage de doigts à hardware. La zone de protection de 1 mètre autour de la table implique que seul
Mauvaise utilisation Bureau étude
l'arrière de la machine Pincement du doigt, l'opérateur est susceptible de se trouver autour de la machine, et doit se situer sur l'avant
Inspection IEC 60601- Inspection IEC 60601- de l'appareil mécanique -
Chariot - du poignée de l'appareil pour avoir accès aux boutons de déplacement
1 Sécurité électrique 1 Sécurité électrique Positions Bureau des Rapport IEC60601-1
IV.1 Crushing of fingers backside 4 4 8 Le mouvement du chariot est dans le champ de vision de 2 4 14 NON
Verified by Verified by IEC60601-1 naturelles sujettes Méthodes - Manuel utilisateur
the machine Chassis Crushing of the fingers l'opérateur. Le danger est rappelé dans le manuel de maintenance.
IEC60601- 1 electrical securit à accidents Bureau
or forearm
electrical security études
Frame Establishment of cover preventing the patient from having access to areas of potential
Poor warning électroniques
Lack of pinch. Validation request to the user before each trip (No involuntary movement possible
training or not foreseeable ) Establishment of a marking two sides of the area considered
inattention practitioner potentially dangerous. Warning in the user manual precautions before ordering an engine
Improper use of the displacement. An electronic system prevents any movement of the motors if not explicitly
device Prone to accidents authorized and continuously by the control PC : If software crash or power connection, the
natural positions movement stops spontaneously . Presence of a " punch " emergency stop button whose
effectiveness is guaranteed by hardware . Protection zone of 1 meter around the table
implies that only the operator is likely to be around the machine , and must be located on
the front of the unit to access the navigation buttons. The movement of the carriage is in
the field of vision of the operator. The danger is recalled in the maintenance manual .
Accès trop facile au

disque en rotation
Mauvaise information à Accès au disque impossible sans le retrait de la table avec outils (Clés
Coupure due à la rotation du Disque de Inspection IEC 60601- Inspection IEC 60601-
Blessure au l'utilisateur Allen) Utilisation d'un moteur brushless faible puissance Bureau étude
disque de calibration calibration 1 Sécurité électrique 1 Sécurité électrique
IV.2 4 4 8 mécanique - 1 4 21 Rapport IEC60601-1 NON
Verified by Verified by IEC60601-1
doigt Injury Too easy access to Disk access impossible without removing the table with tools (Allen Bureau
Cut due to rotating calibration disk Calibration disk IEC60601- 1 electrical securit
rotating disc Keys) Using a low-power brushless motor électronique
electrical security
Incorrect information to
the user
Désagrément pour
Mauvaise conception, Utilisation d'un matériau approuvé (ARPA) lors de nos précédentes conceptions,
le patient,
mauvais choix de Calcul fait sur la base de 4 fois le poids du patient le plus lourd toléré sur la
La table casse sous le poids Machine inutilisable
Inspection IEC 60601- Inspection IEC 60601- matériau pour la machine Test en charge avec un facteur de sécurité de 4 suivant les exigences de
du patient jusqu'à remplacement de
1 Sécurité électrique 1 Sécurité électrique construction de la table la norme IEC60601-1ed3
IV.3 Table la table 4 5 4 Bureau Mécanique 1 5 20 Rapport IEC60601-1 NON
Verified by Verified by IEC60601-1
Table breaks down due to
IEC60601- 1 electrical security Poor design, poor choice Use of approved material (ARPA) in our previous designs,
patient's weight Inconvenience to
electrical security of material for the Calculated on the basis of four times the weight of the heaviest patient tolerated the
the patient, machine
construction of the table
Machine unusable
until replacement table
Sélection des courroies suivant des critères de rigidité nécessaire à la reproductibilité des
mesures, aboutissant à un choix de courroie présentant un coef de sécurité tel que la rupture d'une
courroie apparaît totalement improbable
Supervision du fonctionnement des cartes moteurs (un signal indique tous les 4 pas que les
commandes sont envoyées aux moteurs)
Moteurs de Perte de position, plus Rupture de courroies, Utilisation de sécurités logicielles
Le bras ne se déplace pas: Panne Supervision de l'alimentation des cartes moteurs
déplacement - Inspection IEC 60601- Inspection IEC 60601- d'examen possible, panne moteur,
moteur ou rupture de courroie Anomalie visible à l'écran de contrôle en cas de panne: Arrêt d'urgence possible à Bureau mécanique -
Mécanique 1 Sécurité électrique 1 Sécurité électrique Réparation décrochage mécanique
IV.4 4 2 19 chaque instant par bouton d'arrêt d'urgence et bouton d'arrêt présent dans le logiciel Bureau électronique 2 2 26 Rapport IEC60601-1 NON
XY Verified by Verified by IEC60601-1 nécessaire
The arm does not move. - Bureau
IEC60601- 1 electrical securit Break of belt,
Motor breakdown or belt is Selection of belts following criteria fo necessary rigidity to the reproducibility of informatique
X-axis and Y- electrical security Loss of position, no motor, mechanical
broken measurements, resulting in a choice of belt having a coef security such as a broken belt
axis movement scan possible, need of loose
repair appears highly unlikely. Supervision of engine operation cards (a signal indicating that all
four commands are sent to the motors) Using software security. Power management of
engine command cards. error is visible in the control panel in case of failure anomaly:
emergency stop at any moment by the emergency stop button and stop button in this
software
Inital conditions before action After Actions
phénomènes dangereux
Apparition of new risks
Probability
Probability
N° Potential Failure Event Part concerned Control Current design control Potential effect of failure Potential cause of failure Preventive / Corrective actions Responsible Related documents
Cotation
Cotation
Gravity
Gravity
Rédaction d'instructions de travail pour réaliser l'alignement.
Vérification de l'alignement annuellement lors des phases de maintenance préventives ou
lorsque les comptes semblent être faussés.
Résultats faussé lors de Tolérance dans la précision des pièces de collimation et d'obturation définie de manière à
l'analyse - Mauvaise définition des ce que le faisceau arrive dans le collimateur détecteur avec une marge suffisante pour ne
Exposition superflue aux procédures, pas avoir de désalignement pendant la durée de vie de l'appareil.
Désalignement de la source et Mécanique du Inspection IEC 60601- Inspection IEC 60601-
rayons X durant un Déserrage Réduction du nombre de réglages associée à des tolérances serrées permettant de
du détecteur chariot 1 Sécurité électrique 1 Sécurité électrique Bureau Mécanique - Idt câblage
IV.5 examen 4 4 8 diminuer le risque de déréglage. Utilisation de frein filet sur les toutes les vis de réglage et 2 4 14 NON
Verified by Verified by IEC60601-1 Bureau Méthodes Rapport IEC60601-1
Process is not de fixation
Source/detector misalignment Carriage mechanic IEC60601- 1 electrical securit
Biased results properly
electrical security
when analyzing - defined Writing work instructions to achieve alignment. Checking the alignment annually during
Unnecessary exposure to Loosening phases of preventive maintenance, or when the accounts appear to be distorted.
X- rays during an exam Tolerance in the precision of parts and collimation shutter defined so that the beam enters
the detector collimator with a sufficient margin for misalignment failing during the lifetime
of the device. Reducing the number of settings associated with tight tolerances to reduce
the risk of misadjustment. Use thread lock on all screw and fastener
Accès simple aux

tensions dangereuses Mise en place de capotage uniquement enlevables à l'aide d'outils
Accès aux parties pour l'utilisateur ou le Accès aux tensions dangereuses rendu impossible par conception, Mise en place d'un
sous tensions, accès patient, Possibilité de capot sur la carte CC.015.504 pour réduire le risque au maximum
Inspection IEC 60601- Inspection IEC 60601-
à l'ensemble des décapoter l'appareil sans Chassis relié à la terre Bureau mécanique
Accès aux tensions dangereuses Capotage 1 Sécurité électrique 1 Sécurité électrique
IV.6 parties électriques outils 4 5 4 - Bureau 1 5 20 IdT-015-07_capotage NON
Access to dangerous parts Covering Verified by Verified by IEC60601-1
Establishment of covers only removable with tools électronique
IEC60601- 1 electrical securit
Access to voltage parts, Easy access to Access to hazardous voltages rendered impossible by design, Use of a cover on the card
electrical security
access to all electrical dangerous voltages by CC.015.504 to reduce the risk to the maximum
parts the user or patient, Chassis grounded
Opportunity décapoter
the device without tools
Utilisation d'une carte de commande qui supervise les signaux des capteurs à effet hall
Panne moteur, variateur équipant le moteur, utilisation d'un opto-coupleur mesurant la vitesse de rotation du
Contrôle à Mauvais résultat ou
du disque disque, Sécurité logicielle qui empêche toute opération lors de la découverte d'un
Disque de effectuer en impossible de Bureau mécanique -
Le disque ne tourne plus Contrôle visuel Alimentation défaillante problème de disque, Supervision de l'alimentation
IV.7 calibration hard/soft scanner Bad scan 4 2 19 Bureau électronique 2 2 26 Manuel technique NON
Disk does not rotate visual control
Calibration results or impossible - Bureau
Motor, driver or supply Use of a control board that monitors the signals from Hall-effect sensors fitted to the
disk Control by to scan Informatique
breakdown engine, Use of an opto-coupler measuring the rotational speed of the disk, Security
hardware and
software that prevents operation when the discovery of a disc problem, Power management
software
Vérification du flux de rayons X avant chaque examen et comparaison à des références

de calibration (Avertissement à l'utilisateur en cas d'anomalie: Voir Analyse des risques
logiciels) Electroaimant garanti par le fabricant pour fonctionner à un rapport cyclique de
100% s'il est alimenté en 12Vdc,
Electroaimant de
Mauvaise connectique, Position "de repos" définie de manière à ce que la panne implique l'obturation et/ou la
commande de
Mauvais résultats, panne d'electroaimant, collimation la plus petite du faisceau (sécurité positive), Multiplication des réglages sur le
l'obturateur et du Contrôle du flux
Pas ou peu de flux observé mauvais chariot (horizontalité, parallélisme, verticalité du faisceau, orientation source) pour
Les électroaimants ne s'activent collimateur en
Contrôle visuel sur le détecteur dimensionnement des permettre de corriger n'importe quelle déviation Bureau Mécanique Manuel
IV.8 source fonctionnement 4 4 8 1 4 21 NON
visual control caractéristiques, - Bureau utilisateur
pas Electromagnets cannot be
Bad results, poor flux Checking the X-ray flux before each examination and comparison to reference calibration Informatique Manuel
Electromagnet for X- ray flux
detected by detector Bad connection, of (Warning to the user in case of error: See Risk Analysis Software) Solenoid guaranteed technique
activated obsturator control during
electromagnet failure, by the manufacturer to operate at a duty cycle of 100% s' it is powered by 12Vdc,
command and operating
bad design features, Position "rest" defined to the fault involves plugging and / or the smaller the beam
the source
collimation (positive security), Multiplicity of settings on the carriage (horizontal, parallel,
collimator
vertical beam source orientation) to allow correction any deviation
défaut de
Mise en place de tolérances géométriques sur le châssis,
Inspection IEC 60601- Inspection IEC 60601- parallélisme
blessure patient, opérateur Contrôles et réglage en cours de montage des galets de guidage
chute du bras bras 1 Sécurité électrique 1 Sécurité électrique important des rails de Bureau Mécanique -
IV.9 Injury to patient, operator guidage longitudinal 4 5 4 1 4 21 Plan mécanique NON
Fall of the Arm Verified by IEC60601- Verified by IEC60601- Bureau Méthodes
1 electrical security 1 electrical securit Implementation of geometric tolerances on the frame,
arm
significant parallelism error Controls and adjustment during installation guide rollers
of longitudinal guide rails
Mise en place d'une position de transport pour l'inverter permettant qu'il ne touche pas le
Déterioration de l'appareil
Collision du monobloc avec Conception ne tenant sol lors des phases de transport.
(moteurs, source, etc.) -
l'inverter ou Collision de l'inverter pas compte des phases Mise en place d'un capteur de position s'assurant que l'inverter est bien remis en place
Impossibilité de
avec le sol lors des phases de de transport lors de l'installation. Une mauvaise position de l'inverter met le système en mode
Inverte Tests Contrôle visuel poursuivre l'examen Bureau Electronique
IV.10 transport 2 2 26 "Sécurité" 1 2 28 Plan mécanique NON
r fonctionnels Visual control - Bureau Mécanique
Design does not take
Inverte Functional tests Damage of device
Collision of monobloc with the into account the phases
r (motors, source, etc..) -
inverter or inverter collision with the of transport Establishment of a transport position for the inverter so that it does not touch the ground
Inability to continue the
ground during transport phases during transport. Establishment of a position sensor ensuring that the inverter is replaced
scan
during installation. Improper position of the inverter shuts down the system in "Security"
Essais de vérification de la montée en température en position de butée
Collision du bras violente,
Switch de fin de Autotests par la Par essais Switch en conditions Essais de mise en défaut simultanée des switch et vérification d'absence de risque Bureau Electronique
IV.11 End stop switches is in fault montée en température 4 2 19 2 2 26 Rapport IEC60601-1 NON
course fonction find suivant de défaut non inacceptable - Bureau Mécanique
des moteurs
max l'IEC60601-1 détectées Génération d'erreur si l'appareil n'arrive pas à initialiser sa position dans l'espace
EBE-15-092 - E_R239
Daily quality control is not Stability phantom is
By mechanical Daily quality control The phantom is designed with PMMA and Alu bar which are good mirror of soft tissue Note
IV.12 representative of the biological Stability phantom Functional test not designed by 5 1 17 BEE 2 1 29 NON
drawing and cannot be done and bones. technique_DXA
range of measurement proper materials
measurement Calibration phantom
specifications_V1.0
ANNEXE V: Risques firmware
ANNEX V: Firmware risks
After Actions
phénomènes
Related dangereux
Probability
Probability
N° Potential Failure Event Part concerned Control Potential effect of failure Potential cause of Preventive / Corrective actions Responsible Apparition of new
documents
Cotation
Cotation
Gravity
failure
Gravity
risks
Câble débranchée
pendant la
Logiciel de programmation, défaut Programmation et relecture des données stockées lors de la
programmation Impossible d'utiliser la logiciel de programmation en production. Mise en place d'une version de
Mauvaise programmation Carte
des machine, dialogue programmation, mauvaise micro- contrôleur unique vouée à ne pas changer durant toute la
du microcontroleur sur la d'acquisition Bureau
composants PC/machine programmation, mauvais vie du produit. IdT-015-10_prog
carte d'acquisition - électronique
V.1 programmables impossible. effacement du 5 4 5 1 4 21 et test carte NON
µcontroleur Bureau
microcontrôleur Programming and read of data stored during manufacture. acqui
Incorrect programming of the Production
Programming Can not use the Establishment of a single version of microcontroller dedicated to
microcontroller on the control µController
software for machine, PC / machine Cable disconnected not change during the lifetime of the product.
card control
programmable dialogue impossible. during programming,
card
devices default programming
software, bad
programming, bad erase
of microcontroller
Relecture du numéro de version de l'Altera à chaque connexion de

l'appareil au PC utilisateur. En production, programmation du
Mauvaise configuration composant testée à travers le test de la carte sur le banc de test
du logiciel de électronique de la carte d'acquisition (permet également de tester
programmation, Câble de la programmation du µcontrôleur). Lors de la mise à jour Hardware
programmation pas chez le client, utilisation de la relecture du numéro de
adapté (câble Byteblaster programmation pour vérifier que la reprogrammation est
Carte II à brancher sur la carte correctement effectuée. En cas de problème de programmation, la
Mauvaise programmation du reprogrammation du composant reste possible sans ajouter de
d'acquisition Impossible d'utiliser d'acquisition), Mauvaise Bureau
FPGA sur la carte d'acquisition transmission de données câbles de programmation dédié (empêche les erreurs de IdT-015-10_prog
- FPGA Logiciel la machine. électronique
V.2 5 4 5 connectique, de configuration logiciel, le manque de matériel lors 1 4 21 et test carte NON
Software Bureau
Bad programming of the FPGA d'interventions SAV). Une Led rouge sur la carte d'acquisition acqui
Control Cannot use the device Incorrect configuration of Méthodes
on the control card the programming indique que le composant est mal configuré en cas de problème.
card- FPGA Bureau SAV
software, programming La reconfiguration reste alors possible. Au démarrage, le
cable not suitable composant Ethernet dialogue avec le µControleur pour vérifier la
(ByteBlaster II cable to configuration du FPGA avant de dialoguer directement avec ce
connect the control card) dernier
Incorrect data
Présence d'un CRC de contrôle de la bonne programmation
du FPGA
Mauvaise
Le logiciel programmation du
d'utilisation détecteur, Possibilité de reprogrammer le FPGA directement sur le détecteur IdT-015-10_prog
Mauvaise programmation du Mauvaise configuration Bureau
V.3 Détecteur permettant de Plus de dialogue avec le 5 4 5 Relecture d'une trame au démarrage pour vérifier la bonne 1 3 25 et test carte NON
FPGA ACTEL sur le détecteur du logiciel de électronique
programmer et FPGA et donc pas de configuration du détecteur acqui
programmation
relire le comptes, pas de
détecteur programmation des
DACs de discrimination
Chip de
La puce Ethernet est reprogrammée en continu au démarrage de
Mauvaise configuration du communication Pas de Mauvaise configuration DX-Ray , Manuel
V.4 Hardware 2 2 26 l'appareil jusqu'à ce qu'elle renvoie au µcontrôleur des adresses 1 2 28 NON
composant de communication Ethernet communication au démarrage Bureau technique
valides.
Ethernet (W5100) possible avec Electronique
l'appareil
ANNEXE VI: Risques
logiciels ANNEX VI: Software
risks
Analyse des risques avant/après actions

correctives: Risks analysis before/after
corrective actions:
phénomènes
Occurrence
Occurrence
Probability
Probability
Danger Risque Related
N° Preventive / Corrective actions dangereux
Danger Risk documents
Gravity
Gravity
Gravité
Gravité
Apparition of new
Total
Total
risks
Général
Mise en place d'un contrôle électronique continuel
par l'intermédiaire d'un composant "watchdog" qui
a le même effet que le bouton d'arrêt d'urgence
en cas de perte de communication
Dès que la communication est rompue, toute les
Perte de connexion Plus de communication actions en cours sont stoppées et toutes les
avec la machine entre le PC et la machine actions possibles sont bloquées par l'électronique.
Functionnal test
VI.1 5 2 16 3 2 23 NON
Establishment of a continuous electronic control plan
Communication loss No communication
with device between PC and device via a component "watchdog" which has the same
effect that the emergency communication loss
stop button
When communication breaks down, any current
actions are stopped and all possible actions are
blocked by mail.
Mise en place de plusieurs garde-fous (tests

permanents sur les retours de la source pour savoir
si elle est en panne, test de présence de la carte
alimentation, test de présence de la carte haute
tension détecteur, test si les rayons X sont prêts,
test pour savoir si le filament est prêt à être mis sous
tension, jeux de communication pour savoir si la
machine est bien dans la bonne position, test des
Perte de contrôle de retours de la source après commande -tension et
la machine pendant Pas de maîtrise de la courant de filament-, test des retours des switchs).
un examen sans machine pendant un Dès que l'un d'entre eux est activé, il y a blocage de
perte de examen. la machine. Functionnal test
VI.2 5 3 9 2 3 22 NON
communication. plan
No mastering of the Implementation of several safeguards (permanent
Command loss device during scan testing returns the source to see if it is faulty, test
during scan the presence of the power supply board, test for the
presence of high voltage detector card, test if the
table is closed , test if X-rays are ready to test
whether the filament is ready to be turned on,
communication sets to see if the machine is in the
correct position, test returns after the source control
voltage and current filament-, test returns of
switches). As soon as one of them is activated, there
is blockage of the machine.
Perte de contrôle de
la machine pendant
un contrôle qualité Pas de maîtrise de la Mise en place de plusieurs garde-fous. Dès que l'un
sans perte de machine pendant un d'entre eux est activé, il y a blocage de la machine.
communication. contrôle qualité.
Functionnal test
VI.3 4 1 24 2 1 29 NON
plan
Control loss of the No mastering of the Implementation of several safeguards. As soon as
device during device during a quality one of them is activated, there is blockage of the
quality tests control machine.
without
communication loss
Perte de contrôle de
la machine pendant Mise en place de plusieurs garde-fous. Dès que
Pas de maîtrise de la
la calibration sans l'un d'entre eux est activé, il y a blocage de la
machine pendant la
perte de machine.
calibration
communication. Functionnal test
VI.4 4 1 24 2 1 29 NON
plan
No mastering of the
Control loss of the Implementation of several safeguards. As soon as
device during a quality
device during one of them is activated, there is blockage of the
control
calibration without machine.
communication loss
Manipulation de la
machine par une Mise en place d'une connexion par identifiant à la
Mauvaise manipulation
personne non machine.
de la machine. Functionnal test
VI.5 compétente 4 3 15 1 3 25 NON
plan
Connection to device by unique user id
Misuse of device
Use of the device by
untrained operator
phénomènes
Occurrence
Occurrence
Probability
Probability
Danger Risqu Related
Danger e Risk documents
Gravity
Gravity
Gravité
Gravité
Apparition of new
Total
Total
risks
Commandes Laser
Limitation de l'utilisation du laser à l'étape de

positionnement du patient afin qu'il y ait toujours
le manipulateur pour vérifier que cela n'arrive pas.
De plus, affichage du danger dans le manuel
Plan de test
d'utilisation et sur la machine.
'Comptes'
Faisceau du Yeux détériorés par le le risque est limité car il s'agit d'un laser de classe
VI.6 4 4 8 2 4 14 Etiquetage NON
laser dans les laser 2 (puissance < 1mW, longueur d'onde visible),
Laser Manuel
yeux c'est-à-dire que le patient a le réflexe de fermer
utilisateur
les yeux et que la puissance est assez faible pour
que l'œil ne soit pas abîmé avant que le réflexe
n'ait lieu.
Etiquetage de présence de laser
Commandes Rayons X
Informer de l'activation du générateur avant
Expositions Exposition au rayons X chaque tir. Manuel
VI.7 4 3 15 2 3 22 NON
involontaires inutile Utilisation d'un obturateur électromécanique, utilisateu
fermé au repos. r
Réglage limité électroniquement.
Mauvais réglage de Exposition au rayons X Même si la valeur dépasse le seuil elle est remise Plan de test
VI.8 4 3 15 dans les limites par l'électronique, de plus on relit 2 3 22 NON
kV, mA ou filset inutile 'Comptes'
les retours analogique pour s'assurer que les
paramètres de tir sont bons.
la source comporte des contrôles internes et se
Comportement met en sécurité en arrêtant les parties sensibles
Défaillance de la dangereux de la source. Plan de test
VI.9 4 3 15 de la machine (moteurs, source et laser) dans 2 3 22 NON
source Emission de rayons X non toutes ces situations, et le logiciel indique la 'Comptes'
voulue présence d'une erreur de la source X.
Exposition au rayons X Le logiciel dialogue en permanence avec le

Rupture de scanner et l'électronique teste continuellement
inutile.
communication: Plan de test
VI.10 Le soft n'est plus capable 4 3 15 cette connexion. 2 3 22 NON
bug logiciel / Si pendant un examen, il n'y a plus cette échange, 'Examen'
de réceptionner les
défaut du câble l'électronique stoppe totalement la machine
données (moteurs, sources, détecteurs, …).
Commandes Mouvements
Lorsque le patient a
les jambes relevées
Plan de test
par un coussin pour
'Mouvements'
un examen du Jambes poussées ou Informer l'opérateur du risque de collision.
Aptitude à
VI.11 rachis, le patient jambes bloquées entre 5 2 16 Afficher un bouton d'arrêt d'urgence logiciel 2 2 26 NON
l'utilisation
peut avoir les le coussin et le bras Formation de l'utilisateur
Manuel
jambes
utilisateur
poussées/bloquées
par le bras de
Lorsque le patient
a un des bras sur le
lit pour un examen Informer l'opérateur du risque de collision.
Afficher un bouton d'arrêt d'urgence logiciel Plan de test
VI.12 du bras Tête heurtée par le bras 5 2 16 3 2 23 NON
gauche/droit, le Limiter conceptuellement la vitesse du bras en 'Mouvements'
bras peut venir déplacement.
heurter la tête du
En mode clavier,
c'est le PC qui
pilote la machine:
lors qu'une touche
Plan de test
est appuyée, c'est Mise en place d'une surveillance de
'Mode
le PC qui active le Position non contrôlée, communication continuelle au niveau électronique.
clavier'
VI.13 moteur. Si le PC ne peut partir en butées à 5 2 16 Si pendant un examen, il n'y a plus cet échange, 2 2 26 NON
Aptitude à
communique plus vive allure l'électronique stoppe les parties sensibles de la
l'utilisation
avec la machine, il machine la machine (moteurs, source et laser).
Manuel
ne pourra plus
technique
arrêter les moteurs
il y aura perte de
contrôle de la
Informer du déplacement.
Afficher le bouton d'arrêt d'urgence logiciel
Si une personne/un Avertissements dans le manuel utilisateur Plan de test
objet se trouve Risque pris en compte dans la partie "Risque 'Mouvements'
VI.14 écrasement 4 3 15 2 3 22 NON
entre le bras de mécanique" de cette analyse de risque Manuel
l'appareil et un mur Installation de l'appareil en prenant en compte technique
cette éventualité, puis l'appareil est fixé à cette
position
Décrochement moteurs = Mise en place de limitation de vitesse. Plan de test
VI.15 Vitesse trop élevée positionnement erronée 5 2 16 Si cela arrive exceptionnellement, demande à 2 2 26 'Mouvements' NON
= mesure erronée l'opérateur de refaire une prise d'origine. Manuel
utilisateur
Mise en place de limitation d'accélération.
Plan de test
Décrochement moteurs = Si cela arrive exceptionnellement, demande à
Accélérations trop 'Mouvements'
VI.16 positionnement erronée 5 2 16 l'opérateur de refaire une prise d'origine. 2 2 26 NON
brutales Manuel
= mesure erronée Prise d'origine refaite précisément avant chaque
utilisateur
examen.
Limitation des mouvements à la zone de scan.
Déplacement plus La position finale n'est L'opérateur peut interrompre le mouvement en Plan de test
VI.17 3 2 23 cliquant sur le bouton d'arrêt logiciel ou arrêt 2 2 26 NON
grand que prévu pas celle souhaitée 'Mouvements'
d'urgence si le problème persiste
exceptionnellement.
mauvaise exposition
à cause d'une Au début de chaque examen lors du retour à
Examen mauvais et donc
l'origine; le logiciel affiche un message d'erreur si Manuel
VI.18 panne moteur ou exposition aux rayons X 4 3 15 2 3 22 NON
d'une rupture de une butée n'est jamais atteinte ou si elle reste utilisateur
non voulue
courroie toujours atteinte, y compris entre deux examens.
phénomènes
Occurrence
Occurrence
Probability
Probability
Gravity
Gravity
Gravité
Gravité
Apparition of new
Total
Total
risks
Ignorance des Arrêt brutal dans les fins
ralentisseurs donc Mise en place de ralentisseurs automatiques.
de courses. Plan de test
VI.19 déplacement trop 5 1 17 Possibilité d'appuyer sur le bouton arrêt d'urgence 3 1 27 NON
Possibilité de casser la 'Mouvements'
grand (en extra si le problème persiste.
mécanique.
course)
phénomènes
Occurrence
Occurrence
Probability
Probability
Gravity
Gravity
Gravité
Gravité
Apparition of new
Total
Total
risks
Base de données
Reconstruction de la base à partir des fichiers ou

de l'archivage.
Demande d'archivage/sauvegarde tous les 100
Manuel
VI.20 Erreur disque dur Perte de la base 4 2 19 examens ou à écart de dates. 2 2 26 NON
utilisateur
Informer l'opérateur dans le manuel utilisateur
des erreurs disques éventuelles et de l'importance
de l'archivage
Avant l'examen, le logiciel demande de récupérer

de la place en faisant l'archivage. Manuel
VI.21 Disque dur plein Perte de l'examen 4 2 19 Informer l'opérateur dans le manuel utilisateur 2 2 26 NON
utilisateur
des erreurs disques éventuelles et de l'importance
de l'archivage.
Après chaque modification de la base de données,
Modification non Manuel
VI.22 Perte de données 4 2 19 nécessité de sauvegarder pour valider les 2 2 26 NON
voulue de donnée utilisateur
modifications.
Mise en place d'un système de base de données
Confusion dans les Confondre des données avec des identifiants uniques ainsi que plusieurs Manuel
VI.23 5 3 9 paramètres de différentiation des données tels que 2 3 22 NON
données différentes utilisateur
la date, le manipulateur, le médecin, le type
d'examen…
Mise en place d'un système de récupération et de
Suppression de reconstruction des données à partir de données Manuel
VI.24 fichiers sur le Perte de données 4 3 15 archivées dans le cas de fichiers de la base de 2 3 22 NON
utilisateur
disque données.
Contrôles qualité
Fichier de
Un contrôle qualité est demandé/imposé tout les Manuel
VI.25 calibration Résultat faussé 5 2 16 2 2 26 NON
matins utilisateur
corrompu
Mise en place d'une séquence de préchauffage de
Mesure du contrôle la source à l'allumage de la machine.
qualité faussée pour Lecture des retours analogiques pour vérification
Mauvais contrôle qualité, Manuel
VI.26 cause non de 5 2 16 de la stabilisation 2 2 26 NON
nécessité de le refaire utilisateur
stabilisation de la
source Mise en place d'un service de maintenance pour
Indication dans le manuel utilisateur de la

procédure à suivre pour faire un contrôle qualité,
Mesure faussée
notamment le placement du fantôme.
pour cause de
Mauvais contrôle qualité, Repositionnement de la position d'examen Manuel
VI.27 mauvais placement 5 1 17 2 1 29 NON
nécessité de le refaire possible par boutons de déplacement du bras et utilisateur
du fantôme de
positionnement par Laser.
contrôle qualité.
Ajout d'une étiquette de positionnement du bras à
l'aide du laser et montrant le sens également
Examen
Pour un patient trop Mise en place d'un paramétrage automatique en

gros, exposition fonction de la morphologie du patient. Manuel
Exposition inutile et
trop faible. Indication dans le manuel utilisateur de bien utilisateur
VI.28 nécessité de refaire un 5 2 16 3 2 23 NON
Pour un patient trop vérifier les paramètres avant de lancer l'examen. Dossier aptitude
examen
maigre, exposition Ajout de la possibilité d'arrêter l'examen en cours à l'utilisation
trop forte. de route.
Exposition inutile du Ajout de la possibilité d'arrêter l'examen en cours Manuel

patient s'il a bougé Exposition inutile du de route. utilisateur
VI.29 ou si le 5 2 16 2 2 26 NON
patient Possibilité de repositionner la source par logiciel Dossier aptitude
paramétrage pendant l'examen à l'utilisation
semble mauvais
Exposition longue Ajout de la possibilité de stopper l'examen et de Manuel
Exposition inutile du
VI.30 du patient si la zone 5 2 16 faire l'analyse sur les données récupérées si les 2 2 26 utilisateur NON
de scan est mal patient Dossier aptitude
données sont exploitables.
choisie à l'utilisation
Manuel
Examen trop rapide Mise en place de limites de vitesse en fonction de
VI.31 Exposition inutile 5 2 16 2 2 26 utilisateur NON
ou trop lent la morphologie du patient et du type d'examen Dossier aptitude
à l'utilisation
Mise en place de limites sur les dimensions de Manuel
Examen trop grand
VI.32 Exposition inutile 5 2 16 l'aire de scan en fonction de la morphologie du 2 2 26 utilisateur NON
ou trop petit Dossier aptitude
patient et du type d'examen
à l'utilisation
Mise en place d'un dessin représentant le corps
Manuel
humain et plus distinctement la zone sélectionnée.
Mauvais choix de utilisateur
VI.33 Exposition inutile 5 2 16 De plus, la possibilité d'arrêter l'examen et de le 2 2 26 NON
type d'examen Dossier aptitude
recommencer en sélectionnant un autre site a été
à l'utilisation
mise en place.
phénomènes
Occurrence
Occurrence
Probability
Probability
Gravity
Gravity
Gravité
Gravité
Apparition of new
Total
Total
risks
Analyse d'examen
Mauvais diagnostic Faire un mauvais Ajout de la mention "not use for diagnostic" sur Manuel NON
VI.34 en regardant diagnostic et mal traiter 5 4 5 l'image 3 2 23 Utilisateur
l'image le patient Utilisation des bonnes pratiques cliniques en osteo
Manuel NON
Faire un mauvais
Confusion de Ajout des données du patient dans l'écran utilisateur
VI.35 diagnostic et mal traiter 3 3 18 2 3 22
patient d'analyse Aptitude à
le patient
l'utilisation
Le nom de la courbe utilisée est noté sur le Manuel NON
graphique afin d'informer précisément l'utilisateur utilisateur
Faire un mauvais de quelle courbe il se sert. Aptitude à
VI.36 Confusion de courbe diagnostic et mal traiter 3 2 23 La courbe utilisée dépend directement de l'ethnie 2 2 26 l'utilisation
le patient du patient, le risque de se tromper de courbe est
donc lié au risque de se tromper d'ethnie en
remplissant la fiche patient, si le docteur fait
Aptitude à NON
Utiliser des données de
Mise en place d'un avertissement logiciel et d'un l'utilisation
Editeur de courbes référence erronées
VI.37 5 4 5 paragraphe d'avertisssement spécifique dans le 2 4 14 et formation
de normalité amenant à un mauvais
manuel utilisateur Manuel
diagnostic
utilisateur
Configuration
Les fichiers de calibration sont en lecture seule. Manuel NON
De plus une copie des fichiers de calibration est technique
conservée dans les locaux de DMS pour une
restitution au client en cas de perte.
Pour les autres fichiers, la désinstallation et la
Effacement de Perte de la configuration, réinstallation du logiciel peut permettre de
VI.38 fichiers sur le impossibilité de faire des 4 1 24 récupérer des fichiers manquants. 2 2 26
disque examens. Dans le cas de nouveaux fichiers créer par
l'utilisateur, il incombe à l'utilisateur de les
sauvegarder afin de pouvoir les recharger dans le
logiciel.
Des indications sont présentes dans le manuel
utilisateur afin de réduire le risque de perte de
Vérification des paramètres de calibration selon IdT-015- NON
critères de qualité définis en interne par personnel 35_CALIBRATI
DMS R&D qualifié: critère nécessaire à l'assurance O N OST5100
Qualité du dispositif
Problème de Mise en place de contrôle qualité chaque matin
VI.39 mauvaise Mauvaises mesures 4 4 8 ainsi que de comptes sur cible avant chaque 2 4 14
calibration examens pour tester la configuration de la
machine.
Dans le cas d'une calibration falsifiée, une
sauvegarde des bons paramètres est conservée
dans les locaux de DMS pour pouvoir la réinstaller.
Manuel NON
Sauvegarde des courbes de normalité par défaut
utilisateur
et possibilité de les recharger et de les réutiliser à
Manuel
Falsification des tout moment.
technique
VI.40 courbes de Mauvaises mesures 3 4 12 Indication dans le logiciel à chaque analyse de la 2 3 22
normalités courbe de normalité utilisée.
Protection des paramètres de courbe de normalité
par mot de passe
Autres
Définition du maximum de paramètres par défaut Manuel NON
Transmission des
afin que l'utilisateur n'ait plus qu'à entrer les technique
données mal faite ou
paramètres personnel. SAV
impossible via un réseau
Mauvais Aide à l'installation d'un réseau au moment de
(DICOM par exemple) ce
VI.41 paramétrage du 5 4 5 l'installation de la machine et ajout d'une aide à la 2 4 14
qui peut engendrer un
réseau configuration dans le manuel utilisateur.
mauvais diagnostic par le
Mise en place d'un aperçu avant impression afin
médecin qui récupère les
de vérifier les résultats avant de les envoyer via le
données via ce réseau.
réseau.
Manuel NON
Utilisation du système d'impression de
Mauvais Mauvais résultats sur le l'ordinateur. utilisateur
VI.42 paramétrage de rapport d'impression et 5 4 5 Mise en place d'un aperçu avant impression afin 2 4 14 SAV
l'imprimante donc mauvais diagnostic de vérifier les résultats avant de les imprimer.
Paramétrage de l'imprimante à l'installation
CD Installation NON
Message d'avertissement du système "Your
Instabilité de l'OS
Plus de mises à jour current operating system is no more supported by
VI.43 pouvant impacter sur le 6 2 10 2 2 26
de l'os disponible Microsoft, please consider upgrading to a new
logiciel de l'appareil
version to avoid security risks"
ANNEXE VII : Exigences IEC60601-1 ed.3, IEC60601-1-3
Annex VII : IEC60601-1 ed.3, IEC60601-1-3 requirements
Causes d'origine Evaluation du Mesure de sécurité adoptée Evaluation des risques Moyen de vérification Génération
Risque après mesure d’autres
Mesure phénomènes
Occurrence
Occurrence
dangereux
Gravité
Gravité
Acceptable
Référence
Cotation
Cotation
Phenomene N° Phénomène Dangereux
IEC/EN 60601-1 ed. 3
4.3 Performances essentielles Le FABRICANT doit identifier quelles fonctions de l'APPAREIL EM et des Mauvaise appréhension de l'utilisation faite de Indication des performances et de l'utilisation faite de l'appareil dans les OK Manuel utilisateur NON
SYSTÈMES EM sont liées à des PERFORMANCES ESSENTIELLES. Lorsque la l'appareil documents d'accompagnement
présente norme spécifie que les PERFORMANCES ESSENTIELLES doivent être +
VII.1 maintenues à la suite d'un essai spécifique, ces fonctions doivent être utilisées et 6 4 3 Détermination de ces performances dans la feuille "Complément" du dossier 1 4 21
la conformité doit être vérifiée par vérification et, si nécessaire, par un essai d'analyse de risque
fonctionnel
4.4 Durée de vie Stipuler la durée de vie prévue de l'appareil Mauvaise information à l'utilisateur Indication de la durée de vie dans le manuel utilisateur (10 ans) OK Manuel utilisateur NON
VII.2 3 4 12 1 4 21
4.5 Sécurité équivalente Lorsque la norme spécifie des exigences couvrant des risques particuliers, d'autres N/A Voir la partie dédiée sur les normes particulières NON
moyens de traitement de ces risques sont acceptables sous réserve de justifier que
VII.3
les risques résiduels qui résultent sont inférieurs ou égaux
4. Exigences Générales
4.6 Parties appliquées / Parties en Les parties en contact qui ne sont pas considérées comme des parties appliquées VIII_Compléments du présent classeur OK Rapport IEC60601-1 NON
contact au sens de la norme mais qui le sont au sens de l'analyse de risque doivent être
VII.4 renseignées 5 2 16 1 2 28
4.7 Conditions de premier défaut Les appareils doivent être conçus de manière à rester sécurisés en premier défaut L'appareil est testé en condition de défaut selon l'IEC60601-1 OK Essais et inspection selon la NON
ou à ce que le risque reste acceptable Utilisation d'un transformateur d'isolation en entrée du système norme IEC60601-1
Mise en place de fusibles de protection des parties critiques
VII.5 4 5 4 1 5 20
5.1 Essais de type Les résultats de l'analyse de risques sont utilisés pour déterminer quelle Voir VIII_Compléments du présent classeur OK Rapport IEC60601-1 NON
VII.6 combinaison de défaut simultanés doit faire l'objet d'essais 3 4 12 1 4 21
5.9 Parties appliquées 5.9.2.3. Les parties conductrices des mécanismes de manœuvre ne sont pas L'ensemble des mécanismes de manœuvre (boutons, etc.) est protégée par des OK Dossier de conception NON
5. Exigences générales relatives
considérées comme des parties accessibles si le retrait des poignées, boutons, etc. polycarbonates collés
aux essais des appareils EM
exige l'utilisation d'un outil et que le contrôle du dossier de gestion des risques Le bouton d'arrêt d'urgence est visé de l'intérieur
VII.7
montre que la partie concernée n'est pas susceptible d'être retirée
3 4 12 2 3 22
involontairement au cours d'une durée de vie prévue pour l'appareil.
6.6 Mode de fonctionnement Les appareils doivent être classés pour service continu ou pour service non continu L'appareil est utilisé en service continu. OK Rapport IEC60601-1 NON
6. Classification des appareils EM
et des systèmes EM
VII.8 3 2 23 2 2 26
8.4.2 Parties accessibles incluant des Tension dangereuse appliquée au patient Choc électrique Mise en place de moyen de protection patient et opérateur Rapport IEC60601-1 NON
VII.9 parties appliquées 5 4 5 1 4 21
8.5.2.2 Parties appliquées de type B Mise en place de moyen de protection patient et opérateur Rapport IEC60601-1 NON
VII.10 5 4 5 1 4 21
8.6.3 Mise à la terre de protection des Une connexion de terre de protection ne doit pas être utilisée pour une partie en Les seules mises à la terre des moteurs sur les parties en mouvement sont faites OK Plans mécaniques NON
parties en mouvement mouvement sauf si le fabriquant montre que la connexion restera fiable pendant par l'intermédiaire de leur connectique ou à travers des rails de guidage
3 2 23 2 2 26
la durée de service attendue des appareils.
8.10.1 Fixation des composants Les composants dont le déplacement involontaire pourrait donner lieu à un risque Mise en place de goulottes et chaines porte câble pour le cablage OK IdT Montage NON
inacceptable doivent être correctement fixés pour empêcher de tels déplacements. Idt câblage
3 3 18 2 3 22
VII.11
8.10.2 Fixation du câblage Le détachement accidentel ne doit pas donner lieu à des situations dangereuses Détection des mauvaises connectiques ou des erreurs de transmission de données OK Idt câblage NON
8.Protection contre les dangers (condition de premier défaut) ou d'alimentation par modules intégrés: Idt test
d'origine électrique Les conducteurs multibrins ne doivent pas être étamés s'ils sont fixés par un collier Utilisation de sertissage et de connectique robuste
quelconque Vérification du câblage par tests fonctionnels à l'usine et à l'installation
Un contact de mauvaise qualité ne doit pas donner lieu à une situation
3 3 18 2 3 22
dangereuse
8.10.5 Protection mécanique du câblage Les câbles et conducteurs internes doivent être protégés de façon appropriée Réglé par conception: OK Idt câblage NON
contre le contact avec un objet mobile, ou les frictions contre les coins tranchants Arêtes "cassées" dans plans mécaniques, mise en place de peignes de fixation du Idt test
et des arêtes vives au cours desquels les dommages subis par l'isolation peuvent câblage de part et d'autre de chaque chaine porte câble.
donner lieu à une situation dangereuse.
VII.12 L'appareil doit être conçu de manière à ce que le câblage, les faisceaux ou les 3 3 18 Mise en place de goulottes et de colliers de fixations dans les zones susceptibles de 2 3 22
composants ne soient pas susceptibles d'être déteriorés au cours de l'assemblage présenter le présent risque
ou de l'ouverture/fermeture des capots d'accès lorsque de telles situation peuvent
donner lieu à des situations dangereuses.
8.11.5 Coupe circuit et disjoncteurs La justification de l'omission des fusibles ou des disjoncteurs doit être incluse dans Les alimentations est protégée par fusibles OK Manuel technique NON
VII.13 le dossier de gestion des risques 2 5 13 1 5 20
9.2.2.4.4 Mesures de protection Un bouton d'arrêt d'urgence accessible facilement par l'opérateur met l'appareil en OK Manuel utilisateur NON
position de sécurité (arrêt des tirs et arrêt des movements) Essais et inspection selon la
norme IEC60601-1
VII.14 3 4 12 1 4 21
9.2.2.5 Activation continue Champ de vision de l'opérateur + boutons d'arrêt Un bouton d'arrêt d'urgence accessible facilement par l'opérateur met l'appareil en OK Manuel utilisateur NON
d'urgence position de sécurité (arrêt des tirs et arrêt des movements) Essais et inspection selon la
VII.15 3 3 18 Un examen peut être intérompu par logiciel également à tout moment via l'IHM de 2 3 22 norme IEC60601-1
commande
9.2.4 Dispositifs d'arrêt d'urgence Les boutons d'arrêt d'urgence coupent l'ensemble des alimentations de puissance OK Manuel utilisateur NON
des moteurs. Une fois actionnés, ils ne permettent plus l'utilisation des moteurs et Essais et inspection selon la
de la source norme IEC60601-1
VII.16 4 4 8 1 4 21
9.2.5 Dégagement du patient Le patient doit être facilement degageable Mauvaise conception de la table La table est concue pour une accessibilité facile. Le patient peut s'y retirer à tout OK Manuel utilisateur NON
VII.17 3 3 18 moment
2 3 22
9.3 Danger associé aux surfaces, Eviter ou recouvrir les surfaces rugueuses, les angles vifs et les arêtes. Une Tous les plans de l'appareil indiquent de casser les angles des pièces accessibles à OK Essais et inspection selon la NON
angles et arêtes attention particulière doit être accordée aux arêtes des brides ou des bâtis ainsi l'utilisateur ou au personnel de maintenance. norme IEC60601-1
VII.18 qu'à l'ébavurage 3 3 18 2 3 22
9.4.2.4.3 Franchissement d'un seuil N/A NA car l'appareil est fixe NA NON
VII.19
VII.20 9.5 Danger de projection de pièces 2 2 26 Pas de danger de projection de pièces identifié 1 2 28 OK NON
9.6 Energie acoustique (y compris L'appareil doit être conçu de manière à ce que l'exposition des personnes à Le niveau sonore reste en dessous du seuil de tolérable <80dB OK Manuel utilisateur NON
VII.21 ultrason) et vibrations l'énergie acoustique et aux vibrations ne donne pas lieu à un risque inacceptable 2 1 29 2 1 29
9.8.1. Dangers associés aux systèmes de L'analyse de risque des systèmes de support doit tenir compte des dangers Les essais de charge statique, dynamique, d'impact, de résistance à la chaleur sont OK Essais et inspection selon la NON
support provenant des charges statiques, dynamiques, de vibrations, d'impacts et de effectués pour valider la conception des capots et du panneau norme IEC60601-1
pression, des fondations et d'autres mouvements, de la température, de
l'environnement, des conditions de fabrication et d'entretien
Tous les effets vraisemblables de défaillance doivent être pris en compte dans
l'analyse de risque. Ceux ci comprennent la déviation excessive, la déformation
VII.22 plastique, la fracture ductile ou cassante, la fracture de fatigue, l'instabilité 4 5 4 1 5 20
(gauchissement), la fissuration par corrosion sous contrainte, l'usure, le fluage du
matériau, la déterioration des matériaux et les contraintes résiduelles résultant des
processus de fabrication, par exemple l'usinage, le montage, le soudage, le
traitement à chaud ou le traitement de surface
9. Protection contre les dangers
mécaniques des appareils et
systèmes EM
9.8.2 Facteur de sécurité en traction Les systèmes de support doivent conserver l'intégrité structurelle pendant la durée NA NA car absence de traction
de vie prévue de l'appareil. Les facteurs de sécurité en traction ne doivent pas
être inférieurs à ceux donnés au tableau 21, à moins qu'une méthode alternative
VII.23
ne démontre l'intégrité structurelle tout au long de la durée de vie, ou que le
support soit un repose pied (repose pied: voir 9.8.3.2)
9.8.3.1 Résistance des supports patient / Poids maximal des patients autorisés 200kg: OK Essais et inspection selon la NON
Systèmes de suspension norme IEC60601-1
Poids patient maximal: 200 kg indiqué dans les documents d'accompagnement
Conception du panneau pour résister au test de charge de la norme IEC60601-1 Manuel utilisateur
avec un facteur de sécurité de 4
VII.24 4 5 4 1 5 20
9.8.3.2 Forces statiques dues à la charge a) Pour un repose pied qui est destiné à supporter de manière temporaire un Poids maximal des patients autorisés 200kg: OK Essais et inspection selon la NON
des personnes PATIENT ou un OPÉRATEUR debout, l'ensemble de la masse du PATIENT ou de norme IEC60601-1
l'OPÉRATEUR est réparti sur Poids patient maximal: 200 kg indiqué dans les documents d'accompagnement
une surface de 0,1 m2. La conformité est vérifiée par inspection de l'APPAREIL Conception du panneau pour résister au test de charge de la norme IEC60601-1 Manuel utilisateur
EM, du DOSSIER DE GESTION DES RISQUES, des spécifications des matériaux avec un facteur de sécurité de 4
utilisés et des spécifications de mise en oeuvre de ces matériaux
VII.25 b) Pour une zone de support/suspension sur laquelle un PATIENT ou un 4 5 4 1 5 20
OPÉRATEUR peut s'asseoir, le fléchissement d'une surface de support de la charge
PATIENT ou OPÉRATEUR ne doit pas engendrer de RISQUE inacceptable. La
conformité est vérifiée par inspection de l'APPAREIL EM, du DOSSIER DE GESTION
DES RISQUES, des spécifications des matériaux utilisés et des spécifications de
mise en oeuvre de ces matériaux
9.8.3.4.1 Systèmes avec dispositifs de Le DISPOSITIF DE PROTECTION MÉCANIQUE doit: La panneau est soutenu par 6 vis de fixations OK Plans mécaniques NON
protection mécanique – être conçu sur la base d'une CHARGE TOTALE, qui doit inclure les effets de la Les capots sont soutenus par plusieurs vis de fixation
CHARGE DE FONCTIONNEMENT EN SÉCURITÉ lorsque cela est applicable; Les fins de course sont protégées par des switch mécaniques
– avoir des FACTEURS DE SÉCURITÉ EN TRACTION pour toutes les pièces qui ne
soient pas
VII.26 3 3 18 2 3 22
inférieurs à ceux de la ligne 7 du Tableau 21;
– s'activer avant que le déplacement ne crée un RISQUE inacceptable;
– tenir compte de 9.2.5 et de 9.8.4.3.
9.8.5. Systèmes sans dispositifs de Un DISPOSITIF DE PROTECTION MÉCANIQUE n'est pas exigé si: NA pas de traction NON
protection mécanique – les parties du système de support ne sont pas affectées par l'usure mais
présentent des FACTEURS DE TRACTION DE SÉCURITÉ supérieurs ou égaux aux
valeurs spécifiées aux lignes 1 et 2 du Tableau 21; ou
VII.27 – les parties du système de support sont affectées par l'usure mais présentent des
FACTEURS DE TRACTION DE SÉCURITÉ supérieurs ou égaux aux valeurs
spécifiées aux lignes 3 et 4 du Tableau 21.
10.1.2 Appareils EM destinés à produire Le FABRICANT doit traiter dans le PROCESSUS de GESTION DES RISQUES du Utilisation de collimateur en plomb en mode sécurité positive. OK Manuel technique NON
des rayonnements X à des fins de RISQUE de rayonnements X non désirés, provenant D'APPAREILS EM conçus pour Sécurité par la vérification des comptes lorsque le collimateur est fermé
10. Protection contre les dangers
diagnostic ou de thérapie produire des rayonnements X à des fins de diagnostic et de thérapie. Voir la CEI
dus aux rayonnements VII.28
60601-1-3 et voir aussi 1.3.
3 3 18 2 3 22
involontaires ou excessifs
11.1.2.2 Parties appliquées non destinées NA NA NA car pas de partie appliquée destinée à fournir de la chaleur NON
VII.29 à fournir de la chaleur à un
patient
11.3 Exigences de construction pour Ce paragraphe donne des moyens alternatifs pour assurer la conformité avec Tous les capots sont destinés à faire office d'enveloppe contre le feu. Les capots OK Certificat matière FR3030 NON
les enveloppes contre le feu des certaines SITUATIONS DANGEREUSES et certaines conditions de défaut comme sont fabriqué en thermoformage avec une matière possédant une tenue au feu Rapports d'essais mécaniques
appareils EM identifié en 13.1.2. En pratiquant ainsi, les exigences de construction suivantes UL94V-0 équivalent à la FV-1 de la norme IEC60601-1 et de résistance à la chaleur
doivent être satisfaites ou analysées de manière spécifique dans le DOSSIER DE Les capots sont testés suivant la norme IEC60601-1 et vérifiés par un laboratoire Essais et inspection selon la
GESTION DES RISQUES et si elles ne sont pas satisfaites, une justification agréé COFRAC. norme IEC60601-1
particulière doit être donnée. Des écrans déflecteurs sont ajoutés sous les goulottes concernées
a) Un fil électrique isolé à l'intérieur d'une ENVELOPPE contre le feu doit présenter
une classification d'inflammabilité équivalente à FV-1 ou d'un degré meilleur, selon
les parties appropriées de la série CEI 60695. Les connecteurs, les cartes de
circuits imprimés et les matériaux isolants sur lesquels des composants sont
montés doivent présenter une classification d'inflammabilité FV-2 ou d'un degré
meilleur selon la CEI 60695-11-10. La conformité est vérifiée par inspection des
données concernant les matériaux ou en réalisant les essais FV spécifiés dans la
CEI 60695-11-10 sur trois spécimens des parties orrespondantes qui sont
soumises à l'essai. Les spécimens peuvent correspondre à l'un des cas suivants:
1) parties complètes; ou
2) sections d'une partie, y compris la zone avec l'épaisseur de paroi la moins
importante et tout orifice de ventilation. Les composants certifiés selon la CEI
VII.30 60695-11-10 n'ont pas à être soumis aux essais. 3 5 7 1 5 20
b) L'ENVELOPPE contre le feu doit satisfaire aux exigences suivantes:
1) Le fond ne doit pas présenter d'ouvertures ou alors, dans les proportions
spécifiées à la Figure 39, il doit être construit avec des déflecteurs comme spécifié
à la Figure 38, ou il doit être en métal, perforé comme spécifié dans le Tableau 25,
ou être un écran métallique avec une maille ne dépassant pas 2 mm × 2 mm
centre à centre et un diamètre de fil d'au moins 0,45 mm.
2) Les côtés ne doivent pas avoir d'ouvertures dans la surface qui est incluse à
11. Protection contre les l'intérieur de la ligne C de la Figure 39.
températures excessives et les 3) L'ENVELOPPE et tout déflecteur ou toute barrière contre les flammes doivent
autres DANGERS être en métal (à l'exception du magnésium) ou dans des matériaux non
métalliques à l'exception des constructions selon le Tableau 25 et des
constructions avec maille présentant une classification d'inflammabilité FV-2 (ou
plus performante) pour les APPAREILS EM TRANSPORTABLES et de FV-1 (ou plus
performante) selon la CEI 60695-11-10, pour les APPAREILS EM FIXÉS ou
STATIONNAIRES. L'ENVELOPPE et tout déflecteur ou toute barrière contre les
flammes doit présenter une rigidité adéquate. La conformité est vérifiée par
inspection. En cas de doute, la classification d'inflammabilité
b) 3) est vérifiée comme en a).
11.6.6 Débordement, renversement, Nettoyage et désinfection des APPAREILS EM et des SYSTÈMES EM: L'électronique est protégée par capot et le panneau. OK Manuel utilisateur NON
fuites, pénétration d'eau ou de Les APPAREILS EM et les SYSTÈMES EM et leurs parties, y compris les PARTIES Pas de fuite de liquide possible dans l'appareil. Inspection selon l'IEC60601-1
particules, nettoyage, APPLIQUÉES et les ACCESSOIRES, doivent être capables de résister sans Recommandation de produit de nettoyage dans le manuel utilisateur
désinfection, stérilisation et dommage ou détérioration des dispositions de SÉCURITÉ aux PROCESSUS de
compatibilité avec des substances nettoyage ou de désinfection spécifiés dans les instructions d'utilisation. Voir aussi
utilisées avec des 7.9.2.12.
APPAREILS EM Le FABRICANT doit évaluer les effets des nettoyages/désinfections multiples au
cours de la DURÉE DE VIE PRÉVUE de l'APPAREIL EM ou du SYSTÈME EM, de
leurs parties et des ACCESSOIRES et s'assurer qu'aucun RISQUE inacceptable
n'apparaîtra. Les résultats de l'évaluation doivent être documentés dans le
VII.31 DOSSIER DE GESTION DES RISQUES. 2 2 26 1 2 28
Lorsque la conformité à la présente norme pourrait être affectée par le nettoyage
ou la désinfection des APPAREILS EM et des SYSTÈMES EM, de leurs parties et des
ACCESSOIRES, ils sont nettoyés ou désinfectés une fois conformément aux
méthodes spécifiées en respectant toute période de refroidissement ou de
séchage éventuelle. Après ces PROCÉDURES, les
APPAREILS EM, leurs parties ou ACCESSOIRES ne doivent présenter aucun signe
de détérioration pouvant engendrer un RISQUE inacceptable (examen visuel) puis
les essais appropriés de tension de tenue et de COURANT DE FUITE sont
effectués. Le DOSSIER DE GESTION DES RISQUES est inspecté pour vérifier que
le FABRICANT a évalué les effets des nettoyages multiples.
12.1 Précision des commandes et des Lorsque cela est applicable, le FABRICANT doit traiter dans le cadre du Les précisions sur les commandes sont données dans le manuel utilisateur Manuel utilisateur NON
VII.32 instruments PROCESSUS de GESTION DES RISQUES les RISQUES associés à la précision des 2 3 22 Les mesures utilisent les unités SI 1 3 25
commandes et des instruments. OK
12.2 Mauvaise aptitude à l'utilisation Prise en compte des risques dans le dossier d'aptitude à l'utilisation Mauvaise appréhension de l'usage du produit, du Mise en place d'une analyse de l'utilisation de l'appareil: Aucune commande E_R217 Dossier d’aptitude à NON
profil de l'utilisateur, de son interprétation des ambiguë détectée, aucune utilisation erronée dangereuse n'a été relevée, l’utilisation d’un dispositif-
commandes, de son environnement de travail, de sa Utilisation de la norme IEC60601-1-6 pour construire l'aptitude à l'utilisation EN60601-1-6
compréhension des documents d'accompagnement.
VII.33 3 4 12 2 4 14
OK
12.3 Systèmes d'alarme: Lorsque cela est applicable, le FABRICANT doit traiter dans le cadre du NA Pas de nécessité de système d'alarme sonore ou visuel. Un message d'erreur est Manuel utilisateur NON
PROCESSUS de GESTION DES RISQUES le besoin de systèmes d'alarme comme généré en cas de défaut de l'appareil ne nécessitant pas d'action à caractère
moyen de MAÎTRISE DU RISQUE et traiter tous les RISQUES associés au prioritaire
VII.34 2 2 26 1 2 28
fonctionnement ou à la défaillance du système d’alarme. Voir la CEI 60601-1-8 et
également 1.3.
OK
12.4.1 Dépassement intentionnel des Lorsque cela est applicable, le FABRICANT doit traiter dans le cadre du Le générateur ne peut pas êrre forcé à une valeur supérieure que celle définie Manuel utilisateur NON
limites de sécurité: PROCESSUS de GESTION DES RISQUES les RISQUES associés aux valeurs de dans la configuration intrinsèque de l'appareil Manuel technique
VII.35
sortie dangereuses provenant du dépassement intentionnel des limites de sécurité.
3 3 18 2 3 22
12. Précision des commandes, des
OK
instruments et protection contre
12.4.2 Indication des paramètres Lorsque cela est applicable, le FABRICANT doit traiter dans le cadre du Le chapitre Warning manuel utilisateur contient des données de précautions et de Manuel utilisateur NON
les
concernant la sécurité: PROCESSUS de GESTION DES RISQUES le besoin d'indication des paramètres qui sécurité
caractéristiques de sortie VII.36 2 2 26 1 2 28
sont associés aux valeurs de sortie dangereuses.
présentant des risques OK
12.4.3 Sélection accidentelle de valeurs Lorsque l'APPAREIL EM est un appareil à usages multiples conçu pour fournir à la Les paramètres de tirs sont configurés à l'usine et non modifiable par l'utilisateur Manuel utilisateur NON
excessives des caractéristiques de fois des intensités de sorties faibles et fortes pour des traitements différents, le De plus, les constantes de tirs sont limitées en dur (kV, mA)
VII.37 sortie FABRICANT doit traiter dans le PROCESSUS de GESTION DES RISQUES les 3 4 12 1 4 21
RISQUES associés à la sélection accidentelle d'une valeur de sortie excessive.
OK
12.4.4 Sortie incorrecte Lorsque cela est applicable, le FABRICANT doit traiter dans le cadre du Surexposition du patient aux rayonnements ionisant Sensibilisation de l'utilisateur aux risques des rayons X Manuel utilisateur NON
PROCESSUS de GESTION DES RISQUES les RISQUES associés aux sorties Mesure de la dose de rayonnement de fuite, dose diffusée à l'usine
incorrectes. Mesure de la dose efficace et dose opérateur qui restent faible
VII.38 5 4 5 1 4 21
OK
12.4.5.1 Rayonnements à des fins de Lorsque cela est applicable, le FABRICANT doit traiter dans le cadre du Voir analyse de risque 60601-1-3 ci-dessous NON
diagnostic ou de thérapie: PROCESSUS de GESTION DES RISQUES les RISQUES associés aux rayonnements
VII.39 Appareils à rayonnement X de aux rayons X de diagnostic. Voir la CEI 60601-1-3 et également 1.3. 3 3 18 2 3 22
diagnostic
OK
14.1 Généralités Les exigences du présent article doivent s'appliquer aux SEMP sauf: Le logiciel suit le cycle de vie logiciel selon l'IEC62304 Voir dossier EN62304 NON
– lorsque le SSEP n'assure pas la sécurité de base ni les performances essentielles;
ou
– lorsque l'application de l'ISO 14971 démontre que la défaillance du SSEP ne
conduit pas à un RISQUE inacceptable.
NOTE 1 Le présent article exige qu'un PROCESSUS soit suivi tout au long du
CYCLE DE DÉVELOPPEMENT du SEMP et qu'un ENREGISTREMENT de ce
PROCESSUS soit réalisé. Les concepts de GESTION DU RISQUE et un CYCLE DE
DÉVELOPPEMENT de SSEP sont les fondements d'un tel PROCESSUS. Cependant,
comme un PROCESSUS de GESTION DES RISQUES est déjà exigé par la présente
norme, le présent article définit les éléments minimaux du CYCLE DE
DÉVELOPPEMENT DU SEMP et uniquement les éléments supplémentaires pour les
SEMP qui doivent être considérés comme faisant partie du PROCESSUS de
VII.40 GESTION DES RISQUES (voir 4.2). 3 3 18 2 3 22
NOTE 2 Il est reconnu que le CONSTRUCTEUR pourrait ne pas être en mesure de

suivre tous les PROCESSUS identifiés à l'Article 14 pour chaque élément constitutif
du SEMP, tel que les logiciels sur étagère, les sous-systèmes
d'origine non médicale et les dispositifs d'ancienne génération. Dans ce cas, il
convient que le FABRICANT tienne particulièrement compte des besoins en
matière de mesures supplémentaires de MAÎTRISE DU RISQUE.
La conformité est déterminée par l'application des exigences de 14.2 à 14.13
(inclus), par inspection du DOSSIER DE GESTION DES RISQUES et l'évaluation des
PROCESSUS cités dans le présent article.
NOTE 3 Cette évaluation pourrait être réalisée par audit interne.

OK
14.2 Documentation En plus des ENREGISTREMENTS et des documents exigés par l'ISO 14971, les Application dy cycle de vie logiciel selon le plan de développement défini Rapport IEC60601-1 NON
documents produits par l'application de l'Article 14 doivent être suivis et doivent Integration des données logicielles dans la feuille Risque logiciel
faire partie du DOSSIER DE GESTION DES RISQUES.
VII.41 NOTE Voir la Figure H.3 à titre de guide. 2 2 26 1 2 28
Les documents exigés à l'Article 14 doivent être revus, approuvés, diffusés et
modifiés conformément à une PROCÉDURE formelle de contrôle de la
documentation. OK
14.3 Plan de gestion des risques Le plan de GESTION DES RISQUES exigé par le Paragraphe 3.5 de l'ISO 14971 Le plan de gestion des risques comprend un chapitre sur la validation du produit E_R277 Plan de gestion des NON
VII.42 doit également inclure une référence au plan de VALIDATION SEMP (voir 14.11). 2 2 26 1 2 28 risques
OK
14.4 CYCLE DE DÉVELOPPEMENT DE Un CYCLE DE DÉVELOPPEMENT DE SEMP doit être documenté. Application dy cycle de vie logiciel selon le plan de développement défini Rapport IEC60601-1 NON
SEMP NOTE 1 L'Article H.2 explique plus en détail le CYCLE DE DÉVELOPPEMENT DE
SEMP.
NOTE 2 La CEI 62304 [26] définit des exigences générales pour les PROCESSUS
complémentaires et les activités spécifiques au développement de logiciel.
Le CYCLE DE DÉVELOPPEMENT SEMP doit inclure un ensemble d'étapes définies.
A chaque étape, les activités à réaliser et les méthodes de VERIFICATION à
appliquer à ces activités doivent être définies.
Chaque activité doit être définie y compris ses entrées et sorties.
VII.43
Chaque étape doit identifier les activités de GESTION DES RISQUES qu'il faut
2 2 26 1 2 28
réaliser avant l'étape concernée.
Le CYCLE DE DÉVELOPPEMENT SEMP doit être adapté à un développement
spécifique par la réalisation de plans qui détaillent les activités, les étapes et les
programmes. Le CYCLE DE DÉVELOPPEMENT SEMP doit inclure des exigences de
documentation.
OK
14.5 Résolution des problèmes Le cas échéant, un système documenté pour la résolution des problèmes pendant Application dy cycle de vie logiciel selon le plan de développement défini Rapport IEC60601-1 NON
et entre toutes les phases et activités du CYCLE DE VIE DE DÉVELOPPEMENT DE
SEMP doit être développé et suivi.
En fonction du type de produit, le système de résolution des problèmes peut:
– être défini comme une partie du CYCLE DE DÉVELOPPEMENT DE SEMP;
– permettre de rendre compte de problèmes potentiels ou existants touchant la
VII.44 2 2 26 1 2 28
SÉCURITÉ DE BASE et les PERFORMANCES ESSENTIELLES;
– inclure une évaluation de chaque problème pour les RISQUES associés;
– identifier les critères à satisfaire pour prononcer une conclusion;
– identifier les actions à entreprendre pour résoudre chaque problème.
OK
14.6.1 Processus de gestion des risques: Lors de l'établissement de la liste des DANGERS connus ou prévisibles, le Rapport IEC60601-1 NON
Identification des dangers connus FABRICANT doit prendre en compte les DANGERS qui sont associés aux aspects
et prévisibles logiciels et matériels des SEMP y compris ceux associés aux composants de
COUPLAGE DE RÉSEAUX/DONNÉES, composants d'origine tierce partie et aux sous-
systèmes d'ancienne génération.
NOTE En plus des éléments donnés à l'Annexe D de l'ISO 14971, il convient que la
liste des causes possibles de DANGERS associées aux SEMP comprenne:
– la défaillance d'un COUPLAGE DE RÉSEAUX/ DONNÉES dans la fourniture des
caractéristiques nécessaires aux
SEMP pour atteindre sa SÉCURITÉ DE BASE et ses PERFORMANCES
ESSENTIELLES;
– le retour non désiré [physique et données] (les possibilités englobent: entrée
VII.45 non demandée, entrée hors plage 2 2 26 1 2 28
ou incohérente et entrée produite par une interférence électromagnétique);
– les données indisponibles;
– le manque d'intégrité des données;
– les données incorrectes;
– la synchronisation incorrecte des données;
– les interactions non désirées à l'intérieur et parmi les SSEP;
– les aspects ou qualité inconnus des logiciels de tierces parties;
– les aspects ou qualité inconnus des SSEP;
– le manque de sécurité des données, en particulier vulnérabilité aux falsifications,
interaction non désirée avec
d'autres programmes et virus.
OK
14.6.2 Maitrise du risque Les exigences suivantes pour les SEMP complètent le Paragraphe 6.1 de l'ISO E_R211 Analyse de risque NON
14971. OST5100-7000
Des outils et des PROCÉDURES convenablement validés doivent être choisis et
VII.46 identifiés pour mettre en oeuvre chaque mesure de MAÎTRISE DU RISQUE. Ces 2 2 26 1 2 28
outils et PROCÉDURES doivent être appropriés pour assurer que chaque mesure
de MAÎTRISE DU RISQUE réduit de manière satisfaisante le ou les RISQUES
identifiés. OK
14.7 Spécifications des exigences Pour le SEMP et chacun de ses sous-systèmes (par exemple un SSEP), il doit Fonctions principales intégrées dans le documents de spécification logicielles: E_R228 Software Requirement
14.SYSTÈMES ÉLECTROMÉDICAUX
exister une spécification documentée des exigences. Aspect fonctionnel, aspect de sécurité Specification_Software
PROGRAMMABLES (SEMP)
La spécification d'exigence pour un système ou un sous-système doit inclure et
distinguer toute mesure de PERFORMANCE ESSENTIELLE et de MAÎTRISE DU
VII.47 2 2 26 1 2 28
RISQUE mise en œuvre par le système ou le sous-système concerné.
OK
14.8 Architecture Pour le SEMP et chacun de ses sous-systèmes, une architecture doit être spécifiée Composants critiques définis dans le rapport IEC60601-1 Rapport IEC60601-1 NON
pour satisfaire à la spécification de l'exigence. Le cas échéant, pour réduire le
RISQUE à un niveau acceptable, la spécification d'architecture doit utiliser:
a) des COMPOSANTS AUX CARACTÉRISTIQUES À HAUTE FIABILITÉ;
b) des fonctions à sécurité positive;
c) la redondance;
d) la diversité;
e) * le partitionnement de la fonctionnalité;
f) une conception défensive, par exemple par limitation des effets dangereux
potentiels en réduisant la puissance de sortie disponible ou en introduisant des
moyens pour limiter le déplacement des organes de manoeuvre.
La spécification d'architecture doit prendre en compte:
g) * l'allocation des mesures de MAÎTRISE DES RISQUES aux sous-systèmes et
aux composants des SEMP;
VII.48 NOTE Les sous-systèmes et les composants comprennent les capteurs, les organes 2 2 26 1 2 28
de manoeuvre, les SSEP et les interfaces.
h) les types de défaillance des composants et leurs effets;
i) les défaillances ayant des causes communes;
j) les défaillances systématiques;
k) l'intervalle de temps entre les essais et la couverture du diagnostic;
l) maintenabilité;
m) la protection contre LE MAUVAIS USAGE RAISONNABLEMENT PRÉVISIBLE;
n) la spécification de COUPLAGE DES RÉSEAUX/DONNÉES, le cas échéant.
OK
14.9 Conception et réalisation Le cas échéant, la conception doit être scindée en sous-systèmes, chacun ayant à Traité dans le chapitre 14 de l'IEC60601-1 Rapport IEC60601-1 NON
la fois une spécification pour la conception et une pour les essais.
VII.49 Les données descriptives pour l'environnement de conception doivent être incluses 2 2 26 1 2 28
dans le DOSSIER DE GESTION DES RISQUES.
OK
14.10 Vérification La VÉRIFICATION est exigée pour toutes les fonctions qui mettent en oeuvre les Rapports fonctionnels présentés pour l'IEC60601-1 Rapport IEC60601-1 NON
mesures de la SÉCURITÉ DE BASE et des PERFORMANCES ESSENTIELLES ou de
MAÎTRISE DU RISQUE. Un plan de VÉRIFICATION doit être élaboré pour montrer
comment ces fonctions doivent être vérifiées.
Ce plan doit indiquer:
– à quelle(s) étape(s) la VÉRIFICATION doit être réalisée pour chaque fonction;
– le choix et la documentation des stratégies, activités et techniques de
VÉRIFICATION ainsi que le niveau approprié d'indépendance du personnel
réalisant la VÉRIFICATION;
– la sélection et l'utilisation des outils de VÉRIFICATION;
– les critères de couverture pour la VÉRIFICATION.
VII.50 NOTE Voici des exemples de méthodes et de techniques: 3 3 18 2 3 22
– lectures croisées;
– inspections;
– analyse statistique;
– analyse dynamique;
– essai de type boîte blanche;
– essai de type boîte noire;
– essais statistiques.
La VÉRIFICATION doit être conduite conformément au plan de VÉRIFICATION.
Les résultats des activités de VÉRIFICATION doivent être documentés.
OK
14.11 Validation SEMP Un plan de VALIDATION SEMP doit inclure la validation de la SÉCURITÉ DE BASE Rapports fonctionnels présentés pour l'IEC60601-1 Rapport IEC60601-1 NON
et des PERFORMANCES ESSENTIELLES et doit exiger des vérifications du
fonctionnement non désiré des SEMP.
La VALIDATION SEMP doit être conduite conformément au plan de VALIDATION
SEMP. Les résultats des activités de VALIDATION SEMP doivent être documentés.
La personne qui a la responsabilité globale de la VALIDATION SEMP doit être
indépendante de l'équipe de conception. Le FABRICANT doit documenter la
justification pour le niveau d'indépendance. Aucun membre d'une équipe de
VII.51 conception ne doit être responsable de la VALIDATION SEMP d'un produit conçu 3 3 18 2 3 22
par son équipe.
Toutes les relations professionnelles des membres de l'équipe de VALIDATION
SEMP avec des membres de l'équipe de conception doivent être documentées
dans le DOSSIER DE GESTION DES RISQUES.
Une référence aux méthodes et aux résultats de la VALIDATION SEMP doit être
incluse dans le DOSSIER DE GESTION DES RISQUES.
OK
14.13 Connexion de SEMP par un Si le SEMP est destiné à être relié par un COUPLAGE DE RÉSEAUX / DONNÉES à Indication dans le manuel utilisateur que l'appareil ne doit être connectée qu'avec Manuel utilisateur NON
COUPLAGE DE RÉSEAUX / d'autres appareils qui sont hors du contrôle du FABRICANT du SEMP, la des éléments fournis avec. Manuel technique
DONNÉES à d'autres appareils description technique doit: Indication que le fabriquant ne garantit pas le fonctionnement de l'appareil lorsque
a) spécifier les caractéristiques du COUPLAGE DE RÉSEAUX / DONNÉES celui ci est connecté à un système tiers non validé par DMS / Apelem
nécessaires pour que le SEMP satisfasse à son UTILISATION PRÉVUE;
b) faire la liste des SITUATIONS DANGEREUSES qui résultent d'une défaillance du
COUPLAGE DE RÉSEAUX / DONNÉES pour fournir les caractéristiques spécifiées;
c) indiquer à l'ORGANISME RESPONSABLE:
– que la connexion du SEMP à un COUPLAGE DE RÉSEAUX / DONNÉES qui inclut
d'autres appareils pourrait donner lieu à des RISQUES non identifiés
précédemment pour les PATIENTS, les OPÉRATEURS ou des tiers;
– qu'il convient que l'ORGANISME RESPONSABLE identifie, analyse, évalue et
VII.52 contrôle ces RISQUES; 2 2 26 1 2 28
– que des modifications ultérieures apportées au COUPLAGE DE RÉSEAUX /
DONNÉES pourraient introduire de nouveaux RISQUES et exiger une analyse
complémentaire; et
– que des modifications du COUPLAGE DE RÉSEAUX / DONNÉES incluent:
– des modifications dans la configuration du COUPLAGE DE RÉSEAUX / DONNÉES;
– la connexion d'unités supplémentaires au COUPLAGE DE RÉSEAUX / DONNÉES;
– la déconnexion des unités du COUPLAGE DE RÉSEAUX / DONNÉES;
– la mise à jour d'appareils connectés au COUPLAGE DE RÉSEAUX / DONNÉES;
– la mise à niveau d'appareils connectés au COUPLAGE DE RÉSEAUX / DONNÉES.
OK
15.1 Groupements des commandes et Lorsque c'est applicable, le FABRICANT doit traiter dans le cadre du PROCESSUS Analyse des commandes par l'activité de l'aptitude à l'utilisation Dossier aptitude à l'utilisation NON
indicateurs des APPAREILS EM de GESTION DES RISQUES les RISQUES associés à l'ordonnancement des
VII.53
commandes et des indicateurs des APPAREILS EM.
2 2 26 1 2 28
OK
15.3.2 Essai de poussée Les ENVELOPPES des APPAREILS EM doivent avoir une rigidité suffisante pour La conception des capots est validée par les essais de l'IEC60601-1 Rapport IEC60601-1 NON
protéger contre un RISQUE inacceptable. La conformité est vérifiée par l’essai
suivant.
Les parties externes d'une ENVELOPPE sont soumises à une force continue de 250
N ± 10 N pendant 5 s, appliquée au moyen d'un OUTIL d'essai adapté permettant
VII.54 le contact sur une surface plane circulaire de 30 mm de diamètre. Toutefois, cet 3 3 18 2 3 22
essai n'est pas appliqué à l'ENVELOPPE d'un APPAREIL EM qui a une masse
supérieure à 18 kg. Après l'essai, tout dommage prolongé qui donne lieu à un
RISQUE inacceptable déterminé à partir de l'inspection du DOSSIER DE GESTION
DES RISQUES constitue une défaillance.
OK
15.4.1 Composants et assemblage La conception et la construction des connexions/raccords électriques, L'utilisateur ne doit utiliser que le cordon secteur livré avec l'appareil Manuel technique NON
général des appareils EM: hydrauliques, pneumatiques et pour les gaz, des APPAREILS EM, doivent être La fiche ne peut être insérée que dans une position supprimant toute éventualité Manuel utilisateur
Construction des connecteurs telles qu’un branchement incorrect de ces connexions/raccords accessibles, de mauvaise connexion
pouvant être enlevés sans l’aide d’un OUTIL, soit impossible, lorsqu'une telle
manoeuvre pourraient entraîner un RISQUE inacceptable. En particulier:
a) Les fiches destinées au branchement des conducteurs PATIENT doivent être
conçues de sorte qu’elles ne puissent être reliées à d’autres socles destinés à
VII.55
d’autres fonctions sur le même APPAREIL EM, sauf s’il est démontré que cette
3 3 18 2 3 22
possibilité n'entraîne aucun RISQUE inacceptable.
b) Les raccords de gaz médicaux sur les APPAREILS EM devant recevoir des gaz
différents en UTILISATION NORMALE ne doivent pas être interchangeables. Voir
aussi l'ISO 407 [27].
OK
15.4.2.1 Dispositifs de commande de la a) Les COUPE-CIRCUIT THERMIQUES et les DISJONCTEURS à réenclenchement Utilisation de fusible de protection de la phase et du neutre empechant le Manuel utilisateur NON
température et de la surcharge: automatique ne doivent pas être utilisés dans les APPAREILS EM lorsque ce réenclenchement automatique après un défaut Manuel technique
Application réenclenchement peut engendrer une SITUATION DANGEREUSE. Plan électrique
b) Les APPAREILS EM ne doivent pas comporter de COUPE-CIRCUIT THERMIQUES
ayant une fonction de sécurité, si leur remise en service ne peut intervenir que par
une opération de soudure susceptible d’influer sur la valeur de fonctionnement.
c) Lorsqu’une défaillance d’un THERMOSTAT d'un APPAREIL EM peut créer un
DANGER, on doit prévoir un COUPE-CIRCUIT THERMIQUE sans
RÉENCLENCHEMENT AUTOMATIQUE supplémentaire et indépendant. La
température de fonctionnement du dispositif supplémentaire doit dépasser la
température normalement atteinte au réglage maximal du dispositif normal de
commande tout en restant dans les limites de sécurité de températures prévues
pour sa fonction.
d) La perte de fonction d'un APPAREIL EM causée par l'intervention d'un COUPE-
CIRCUIT THERMIQUE ou d'un DISJONCTEUR ne doit pas engendrer de
VII.56 3 3 18 2 3 22
SITUATION DANGEREUSE
e) Les condensateurs ou autres dispositifs anti-étincelles des APPAREILS EM ne
doivent pas être raccordés entre les contacts des COUPE-CIRCUIT THERMIQUES.
f) L'utilisation de COUPE-CIRCUIT THERMIQUES ou de DISJONCTEURS dans la
conception ne doit pas affecter la sécurité des APPAREILS EM.
g) LES APPAREILS EM comportant un réservoir de liquide pourvu d’un système de
chauffage doivent être munis d’un dispositif de protection contre la surchauffe au
15. Construction de l'appareil EM cas où le chauffage serait enclenché alors que le réservoir est vide. Un RISQUE
inacceptable ne doit pas apparaître à la suite d'une surchauffe.
h) Les APPAREILS EM qui incorporent des éléments chauffants tubulaires doivent
être protégés contre la surchauffe dans les deux conducteurs lorsqu'une liaison
conductrice à la terre peut donner lieu à une surchauffe.
OK
15.4.3 Batteries d'accumulateurs: Dans les APPAREILS EM, les enceintes contenant des batteries qui peuvent laisser NA NA. Inspection et essais IEC60601-1 NON
Enceintes contenant des batteries échapper des gaz pouvant engendrer un DANGER en cours de charge ou de Pas d'usage de batterie
décharge doivent être ventilées afin de réduire le RISQUE d’accumulation et
VII.57 d’inflammation.
Les compartiments de batteries des APPAREILS EM doivent être conçus pour éviter
toute mise en court-circuit accidentelle des batteries, si de tels courts-circuits
entraînent une SITUATION DANGEREUSE. OK
15.4.3.3 Protection contre les surcharges Lorsque la surcharge d'une batterie d'un APPAREIL EM peut donner lieu à un NA NA. Inspection et essais IEC60601-1 NON
VII.58 RISQUE inacceptable, la conception doit empêcher les surcharges. Pas de batterie lithium utilisé dans l'appareil
OK
15.4.3.4 Batteries au lithium Les batteries au lithium utilisées dans les APPAREILS EM qui peuvent être source NA NA. Inspection et essais IEC60601-1 NON
de DANGER doivent être conformes aux exigences de la CEI 60086-4. Voir aussi Pas de batterie lithium utilisé dans l'appareil
VII.59 7.3.3.
La conformité est vérifiée par inspection de la documentation de conception de la
batterie ou par la réalisation des essais donnés dans la CEI 60086-4.
OK
15.4.3.5 Protection contre les surintensités Une SOURCE ÉLECTRIQUE INTERNE d'un APPAREIL EM doit être munie d'un La conception se fait suivant les recommandations de la norme IEC60601-1 Inspection et essais IEC60601-1 NON
et les surtensions dispositif aux caractéristiques ASSIGNÉES appropriées pour assurer la protection
contre l'incendie dû à des courants excessifs, si la section et la disposition du
câblage interne ou les caractéristiques nominales des composants peuvent donner
lieu à un incendie en cas de court-circuit. Les dispositifs de protection doivent
VII.60 posséder une capacité de coupure appropriée pour couper le courant de défaut 3 3 18 2 3 22
maximal (y compris courant de court-circuit) qui peut s'écouler. La justification de
l'omission des FUSIBLES ou des DISJONCTEURS doit être incluse dans le DOSSIER
DE GESTION DES RISQUES.
OK
15.4.5 Commandes de présélection Lorsque cela est applicable, le FABRICANT doit traiter dans le cadre du La présélection dans site d'examen se fait pour sur un écran non ambigu. Dossier d'ingénieurie d'aptitude NON
PROCESSUS de GESTION DES RISQUES les RISQUES associés aux commandes de à l'utilisation
VII.61
présélection.
3 3 18 2 3 22 Manuel opérateur
OK
15.4.7.3 Pénétration des liquides a) Les pédales de commande des APPAREILS EM doivent être protégées au moins Pas de liquide utilisé dans l'environnement de la table en conditions normales Manuel utilisateur NON
selon le degré IPX1 conformément à la CEI 60529. d'utilisation
La conformité est vérifiée par les essais de la CEI 60529.
b) Dans les APPAREILS EM, les ENVELOPPES des pédales de commande qui Pas d'utilisation de pédale de commande
contiennent des circuits électriques doivent présenter un degré de protection
classé au moins IPX6 selon la CEI 60529 si elles sont destinées à une UTILISATION
NORMALE dans des zones où la présence de liquides est probable (comme les
VII.62
salles des urgences et les salles d'opération). La probabilité d'un tel cas doit être
3 3 18 2 3 22
estimée en tant que partie du PROCESSUS de GESTION DES RISQUES.
La conformité est déterminée par inspection des DOCUMENTS
D'ACCOMPAGNEMENT, de la documentation de conception, du DOSSIER DE
GESTION DES RISQUES et en réalisant les essais appropriés de la CEI 60529.
OK
17 CEM Au cours du PROCESSUS de GESTION DES RISQUES, le FABRICANT doit traiter les Ajout d'avertissement dans le manuel utilisateur (et le manuel d'installation) sur les Inspection et essais IEC60601-1- NON
RISQUES associés: risques de la mise en place d'un système à priori "polluant" en terme de CEM aux 2
– aux phénomènes électromagnétiques qui existent aux emplacements où les alentours de l'appareil durant son utilisation.
APPAREILS ou les SYSTÈMES EM sont destinés à être utilisés comme indiqué dans
17. Compatibilité
les DOCUMENTS D'ACCOMPAGNEMENT; et Conception de l'appareil pour apporter des solutions de faible perturbations
Electromagnétique des appareils VII.63
– à l'introduction par les APPAREILS ou SYSTÈMES EM de phénomènes
2 2 26 électromagnétique et de forte immunité face aux perturbations voisines
1 2 28
et des systèmes EM
électromagnétiques dans l'environnement de nature à dégrader les performances
des autres dispositifs, appareils et systèmes électriques. Utilisation de plan de masse, de cartes multicouches, de câbles blindés, de règles
CEM pour le routage des cartes, d'une bonne liaison à la masse des composants
pour assurer une équipotentialité adéquate OK
IEC/EN 60601-1-3
6.4.3 Indication des PARAMETRES DE Des informations appropriées doivent être disponibles pour l’OPERATEUR avant, L'opérateur est averti des paramètres de tirs à la formation et dans le manuel Manuel utilisateur NON
CHARGE et des MODES DE pendant et après l'APPLICATION D'UNE CHARGE sur un TUBE RADIOGENE, utilisateur
FONCTIONNEMENT concernant les PARAMETRES DE CHARGE ou les MODES DE FONCTIONNEMENT, Les doses de rayonnement sont indiquées dans le logiciel et dans le manuel
de manière à permettre à l’OPERATEUR de: utilisateur
– déterminer et présélectionner les conditions optimales d’IRRADIATION;
– d’obtenir ensuite les données nécessaires à l’estimation de la dose de
RAYONNEMENT reçue par le PATIENT.
L’exactitude des PARAMETRES DE CHARGE exigés pour l'UTILISATION PREVUE
VII.64 3 3 18 2 3 22
doit être déterminée dans le DOSSIER DE GESTION DES RISQUES ou par
application d'une norme particulière.
Les documents d'accompagnement doivent indiquer l'exactitude des PARAMETRES
DE CHARGE. La conformité est vérifiée par l'examen du DOSSIER DE GESTION
DES RISQUES, des DOCUMENTS D'ACCOMPAGNEMENT et par les essais de
fonctionnement appropriés.
OK
6.5 SYSTEME DE COMMANDE Il convient que les APPAREILS A RAYONNEMENT X soient fournis avec un Chaque type d'examen possède ses constantes de tirs non modifiables par Manuel utilisateur NON
AUTOMATIQUE SYSTEME DE COMMANDE AUTOMATIQUE. Si, dans le cadre de l'UTILISATION l'utilisateur.
PREVUE, l’OPERATEUR n’est pas capable de régler les PARAMETRES DE CHARGE Par contre, 3 modes de tirs sont proposés pour adapter la mesure en fonction de la
pour s’adapter aux caractéristiques du PATIENT (par exemple épaisseur), un morphologie du patient
SYSTEME DE COMMANDE AUTOMATIQUE doit être fourni.
NOTE L’ajout d’une option de mode manuel n’est pas contradictoire avec ces
exigences et s’avère souvent utile.
La constance des COMMANDES D’EXPOSITION AUTOMATIQUE exigées pour
VII.65 l'UTILISATION PREVUE doit être déterminée dans le DOSSIER DE GESTION DES 3 3 18 2 3 22
RISQUES ou par application d'une norme particulière.
Les DOCUMENTS D'ACCOMPAGNEMENT doivent indiquer l'exactitude des
SYSTEMES DE COMMANDE AUTOMATIQUE.
La conformité est vérifiée par l'examen du DOSSIER DE GESTION DES RISQUES et
par les essais de fonctionnement appropriés.
OK
6.7.2 Performance du système Comme toutes les applications ou tâches dans l'imagerie médicale à rayonnement L'utilisation prévue est décrite dans le manuel utilisateur Manuel utilisateur NON
X n’exigent pas le même niveau de performance et de dose de RAYONNEMENT,
l’UTILISATION PREVUE de l’APPAREIL doit être spécifiée et décrite dans les
DOCUMENTS D’ACCOMPAGNEMENT.
VII.66
Pour l’UTILISATION PREVUE, des mesures normalisées décrivant les performances
2 2 26 1 2 28
d'imagerie doivent être définies et spécifiées.
OK
6.7.3 Valeur nominale du foyer Les valeurs nominales du foyer des TUBES RADIOGENES des APPAREILS doivent Le foyer est décrit sur la plaque signalétique du tube Idt Etiquetage NON
être indiquées conformément à la CEI 60336:1993 ou à ses versions plus récentes, La plaque est ajoutée à coté de la plaque signalétique de l'appareil
VII.67 et doivent être compatible avec chaque application dans le cadre de l'utilisation 2 2 26 1 2 28
prévue.
OK
6.7.4 Détecteur de rayonnement ou Si un DETECTEUR DE RAYONNEMENT ou un RECEPTEUR D’IMAGE NA Pas de diagnostic par analyse de l'image: NA: Performance d'imagerie non NA NON
récepteur d'image radiologique RADIOLOGIQUE est intégré dans l’APPAREIL A RAYONNEMENT X, sa contribution recherchée
à la mesure normalisée des performances d’imagerie doit être spécifiée. Il
convient que cette contribution assure l’utilisation efficace du RAYONNEMENT. En
VII.68 l’absence de RECEPTEUR D’IMAGE RADIOLOGIQUE intégré au système, des
exemples de types ou de performance de RECEPTEUR D’IMAGE RADIOLOGIQUE
doivent être décrits dans les DOCUMENTS D'ACCOMPAGNEMENT.
OK
7.2 Forme d’onde de la HAUTE La distribution des HAUTES TENSIONS RADIOGENES pendant l'APPLICATION Les performances du détecteur sont présentées dans la partie technique du manuel Manuel utilisateur NON
TENSION RADIOGENE D'UNE CHARGE ne doit pas produire une augmentation excessive de utilisateur
RAYONNEMENT de faible énergie dans le FAISCEAU DE RAYONNEMENT X. Ceci
s’applique en particulier:
– à la phase montante de la HAUTE TENSION RADIOGENE;
– à la phase descendante de la HAUTE TENSION RADIOGENE;
VII.69 – à la forme et à l’amplitude de L’ONDULATION DE LA HAUTE TENSION 2 2 26 1 2 28
RADIOGENE.
La FORME D’ONDE DE LA HAUTE TENSION RADIOGENE, qui conjointement avec
la FILTRATION TOTALE dans l’APPAREIL A RAYONNEMENT X donne lieu à une
dose de RAYONNEMENT acceptable pour l’UTILISATION PREVUE, doit être
déterminée dans le DOSSIER DE GESTION DES RISQUES ou par application d'une
OK
8.1 Généralités Les APPAREILS A RAYONNEMENT X doivent être conçus pour limiter le CHAMP DE Un collimateur en plomb structure le faisceau de rayonnement Manuel technique NON
RAYONNEMENT qui ne contribue pas à la formation de l’image. Un shutter est présent pour faire obstacle totalement au rayonnements lorsqu'ils
La mise en oeuvre doit être prise en compte dans le DOSSIER DE GESTION DES sont pas nécessaires à l'examen
RISQUES ou en utilisant des normes particulières.
NOTE Cet article a été réduit par rapport à la première édition de la présente
VII.70
norme collatérale car la majeure partie de son contenu a été considérée comme
2 2 26 1 2 28
spécifique à la RADIOGRAPHIE de projection et à la RADIOSCOPIE.
OK
8.5.3 Correspondance entre CHAMP DE Des moyens doivent être fournis pour ajuster le CHAMP DE RAYONNEMENT X de Flux de correspondant pas à la surface réceptrice Vérification, ajustement et réglage du champs des X selon critères français APAVE CQI Vierge.xls NON
RAYONNEMENT X et SURFACE manière à ce que sa position et sa taille correspondent à la SURFACE RECEPTRICE lors des installation Maintenance Preventive Salle
RECEPTRICE DE L’IMAGE DE L’IMAGE EFFICACE dans les limites d’une exactitude acceptable conforme aux Radiologique.xls
EFFICACE normes particulières ou au DOSSIER DE GESTION
DES RISQUES. NOTE Si un DISPOSITIF DE LIMITATION DE FAISCEAU secondaire
est utilisé entre le PATIENT et le RECEPTEUR D’IMAGE
VII.71
RADIOLOGIQUE, cette exigence s’applique au CHAMP DE RAYONNEMENT X défini
2 2 26 1 2 28
par le DISPOSITIF DE LIMITATION DE FAISCEAU primaire et pour la SURFACE
RECEPTRICE DE L'IMAGE EFFICACE comme défini par le DISPOSITIF DE
LIMITATION DE FAISCEAU secondaire.
OK
9.1 Distance foyer peau En UTILISATION NORMALE, les DISTANCES FOYER-PEAU doivent être La source à rayons X est totalement alignée au détecteur Manuel utilisateur NON
suffisamment importantes Pas de surface inutilement irradié car le scan consiste à faire un balayage en X et
pour maintenir la dose de RAYONNEMENT sur le PATIENT au niveau le plus faible en Y
qui peut être
atteint de manière raisonnable.
VII.72 2 2 26 1 2 28
L'implémentation d'une DISTANCE FOYER-PEAU minimale doit être prise en
compte dans le
DOSSIER DE GESTION DES RISQUES ou par l'utilisation des normes particulières.
OK
10.1 ATTENUATION du FAISCEAU DE Les APPAREILS A RAYONNEMENT X doivent être conçus de manière à ce que Le faisceau est d'abord atténué par le panneau avant d'arriver au patient. Le signal Inspection et essais IEC60601-1 NON
RAYONNEMENT X entre le l’ATTENUATION du FAISCEAU DE RAYONNEMENT X par le matériau interposé attenué par le patient vers le détecteur n'est pas perturbé.
PATIENT et le RECEPTEUR entre le PATIENT et RECEPTEUR D’IMAGE RADIOLOGIQUE soit maintenu au L'atténuation du panneau a peu d'influence sur la mesure
D'IMAGE RADIOLOGIQUE niveau le plus faible qui peut être obtenu raisonnablement, de
manière à éviter des doses PATIENT inutilement élevées et des doses touchant
l’OPERATEUR par l’intermédiaire de RAYONNEMENTS PARASITES. Les valeurs
VII.73
d’EQUIVALENT D’ATTENUATION et de CONDITIONS DE RAYONNEMENT pour les 2 2 26 1 2 28
essais exigés dans le cadre de l'UTILISATION PREVUE doivent être déterminées
dans le DOSSIER DE GESTION DES RISQUES ou par application d'une norme
particulière
OK
12.1 Protection contre le rayonnement Les APPAREILS A RAYONNEMENT X doivent incorporer des mesures appropriées La source est plombée Inspection et essais IEC60601-1 NON
de fuite pour protéger le PATIENT, l’OPERATEUR et le personnel contre les
RAYONNEMENTS DE FUITE. La dose de RAYONNEMENT acceptable dans le cadre
de l'UTILISATION PREVUE et résultant du RAYONNEMENT DE FUITE doit être
déterminée dans le DOSSIER DE GESTION DES RISQUES ou par application d'une
norme particulière:
– pour le PATIENT, par rapport à la dose de RAYONNEMENT résultant de
l’examen;
VII.74 – pour d’autres personnes, par rapport à la dose résultant du RAYONNEMENT X 3 3 18 2 3 22
diffusé hors du PATIENT.
En UTILISATION NORMALE, le RAYONNEMENT DE FUITE ne doit pas contribuer
de manière significative à la dose de RAYONNEMENT reçue par:
– les OPERATEURS;
– d’autres personnes présentes dans la salle d’examen pendant l’APPLICATION
D'UNE CHARGE (par exemple des parents tenant un enfant, d’autres PATIENTS ou
le personnel);
– des parties du PATIENT autres que celles qui sont soumises à l’examen par OK
12.2 Montage des ENSEMBLES Il ne doit pas être nécessaire de tenir à la main les ENSEMBLES RADIOGENES A Le capteur est fixé dans le bras et ne peut en aucun cas être tenu à la main Manuel utilisateur NON
RADIOGENES A RAYONNEMENT X RAYONNEMENT X et les RECEPTEURS D'IMAGE RADIOLOGIQUE pendant
et DISPOSITIONS DE FORMATION l’APPLICATION D'UNE CHARGE en UTILISATION NORMALE.
VII.75
Les exceptions doivent être justifiées dans le DOSSIER DE GESTION DES RISQUES
3 3 18 2 3 22
DE L’IMAGE PAR RAYONNEMENT
ou par application d'une norme particulière.
OK
13.2 Commande de l’APPAREIL A L’APPAREIL A RAYONNEMENT X spécifié exclusivement pour des examens qui Mauvaise communication entre patient et opérateur L'opérateur peut commandé l'appareil à partir du poste de commande situé dans Manuel utilisateur NON
RAYONNEMENT X à partir d’une n’exigent pas la présence de l’OPERATEUR ou de l’équipe médicale à proximité du une zone classée public (<1,5µSv/h), donc pas de risque pour l'opérateur
ZONE PROTEGEE PATIENT en UTILISATION NORMALE doit être muni de moyens permettant la mise
en oeuvre des fonctions de commande suivantes à partir d’une ZONE PROTEGEE
après installation:
– choix et commande des MODES DE FONCTIONNEMENT;
– choix des PARAMETRES DE CHARGE;
– manoeuvre de la COMMANDE d’IRRADIATION;
– autres commandes nécessaires pour l’OPERATEUR pendant ’APPLICATION DE
VII.76 LA CHARGE. 3 3 18 2 3 22
Les instructions correspondantes doivent être données dans les DOCUMENTS
D’ACCOMPAGNEMENT.
Les DOCUMENTS D’ACCOMPAGNEMENT doivent inclure une mention attirant
l’attention de l’UTILISATEUR sur la nécessité de fournir des moyens de
communication audio et vidéo entre l’OPERATEUR et le PATIENT.
Les exceptions au présent paragraphe 13.2 de la présente norme doivent être
justifiées dans le DOSSIER DE GESTION DES RISQUES ou par application d'une
norme particulière. Dans ces cas, le paragraphe 13.3 s'applique.
OUI
13.3 Protection par la distance Pour les APPAREILS A RAYONNEMENT X spécifiés exclusivement pour des La partie 13.2 s'applique NON
examens qui n’exigent pas que l’OPERATEUR, l’équipe médicale ou d’autres
personnes soient près du PATIENT en UTILISATION NORMALE, et si le paragraphe
13.2 ne s'applique pas, la protection contre les RAYONNEMENTS PARASITES doit
être obtenue en permettant à l’OPERATEUR de commander
l’IRRADIATION à une distance suffisante.
Pour l'utilisation normale, la distance requise et la dose de RAYONNEMENT
résultant du RAYONNEMENT PARASITE doivent être déterminées dans le DOSSIER
VII.77 DE GESTION DES RISQUES ou par application d'une norme particulière. 3 3 18 2 3 22
Lorsque la protection est assurée par la distance, des informations doivent être
données dans les DOCUMENTS D’ACCOMPAGNEMENT concernant l’impact de la
distance sur la dose de RAYONNEMENT. Des mentions doivent être incluses dans
les DOCUMENTS D’ACCOMPAGNEMENT
pour informer l’ORGANISME RESPONSABLE et l’OPERATEUR du besoin possible de
DISPOSITIFS DE PROTECTION et de VETEMENTS DE PROTECTION selon ce qui
est approprié à la charge de travail concernée. OK
ANNEXE VIII: Compléments à l'analyse des risques
N° COMPLEMENTS DE SPECIFICATION:
Performances essentielles: Positionner le couple source/détecteur sur un site ciblé du patient
Faire des tirs de rayons x nécessaires à la mesure de la densité osseuse du site ciblé et à la mesure
de la composition corporelle du patient avec les déplacements du couple source/détecteur nécessaire
VIII.1
Conditions d'utilisation: Température de fonctionnement 15° – 28°C - Nécessité d'une stabilité de la température de salle en
fonctionnement: variations max de 5° sur
l'année. Hygrométrie de fonctionnement 30 - 75
% Pression 700 - 1060 hPa
Température de stockage 0 –
40°C Hygrométrie de stockage 10
- 80 % Bruit 60 dB
Tensions d'alimentation: 220-240 Vac à 50/60 Hz et 100-110Vac à 50/60 Hz (phase/neutre +
terre) (selon mesures de Michel du 28/07/2015)
* stand-by: 35-40 dBA
* source allumée: 41-43 dBA
* déplacement petit axe: 43 dBA
* déplacement grand axe: 58-63 dBA (ex: retour à l'origine)
* examen standard (contrôle qualité): 45 dBA
VIII.2 * examen corps entier: 46-50 dBA
VIII.3 Durée de vie prévue 10 ans
Parties en contact: Matelas patient
VIII.4 Capots
VIII.5 Classification IP IPX0
Conditions d'essais Conditions d'essais les plus défavorables:
VIII.6 Tirs à puissance maximale du tube RX

E - R211 - Risk-Analysis OST5100-7000 Validé

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

E - R211 - Risk-Analysis OST5100-7000 Validé

Transféré par

Droits d'auteur :

Formats disponibles

E_R211

Applicable le 06/02/2012 version 04

DOSSIER ANALYSE DE RISQUE

Catégorie de dispositif : OSTEODENSITOMETRE

Code GMDN 37661

Position/Position Nom/Name Compétences/Competence

Annexe II Analyse de risque Système

Annexe III Analyse de risque Electrique

Annexe IV Analyse de risque Mecanique

Annexe V Analyse de risque Firmware

Annexe VI Analyse de risque Logiciel

Annexe VII Analyse de risque IEC60601-1

Annexe VIII Compléments à l'analyse de risque

E_R211_Risk-Analysis OST5100-7000 V1.3.xls

Ouverture de l'analyse de risque

Ajout de contrôle du risque de laser trop puissant (>1mw) 1.2 29/09/2014

Grille de cotation et d'acceptabilité des risques

Negligible Minor G1 A Inconvenience or temporary and environment

Gravité du Cotation du risque Qualification du risque

E_R211_Risk-Analysis OST5100-7000 V1.3.xls

Risque Résiduel Mesure d'information à l'utilisateur

Ch. ENVIRONMENTAL STATEMENT

Couverture du manuel utilisateur

Analyse des profils utilisateurs et des fonctions de service Manuel utilisateur

Idt calibration utilisée en usine

II.73 perte d'intégrité électrique / mécanique Ch. 6. Maintenance Manuel utilisateur

Programmation, Tests et validation de la carte d'acquisition en IdT 015-10

IV.1 Pincement du doigt, du poignée Ch. 1.4. Warning Manuel utilisateur

IV.5 Désalignement de la source et du détecteur Ch. 15. Troubleshooting Manuel utilisateur

Faisceau du laser dans les yeux

Utiliser des données de référence erronées amenant à un mauvais

VI.39 Problème de mauvaise calibration Ch. 15. Troubleshooting Manuel utilisateur

Transmission des données mal faite ou impossible via un réseau (DICOM

Mauvais résultats sur le rapport d'impression et donc mauvais diagnostic

E_R211_Risk-Analysis OST5100-7000 V1.3.xls

Reprhentant Burenu mécaniqu e

O.Gallo Représentllln Burenu informatiqu e 06/07/:!017

M.Sifíre Directeur production 06/01/2017

Evaluation des retours d'informatlon en phase de post_production

Est<e qu11 y a des phénamenes dangereux non reconnus auparavant No

E_R2ll _Ri1k·Analy&i1 OSTSl00-7000 V en cour1 4sur 4

QUESTION REPONSE/Answer DOCUMENT DE REFERENCE

Description du produit Ostéodensitomètre à balayage par faisceau de la région d'intérêt Spécification_produit

Divers composants électroniques

Capots en plastique => En contact avec le patient

Accessoires en tissu (coussins de positionement) => En contact avec le patient

Accessoires en simili-cuir (Tissu simili-cuir sans PVC)

I.9) Le DM est-il prévu pour modifier l'environnement du patient Non

I.11) Le DM effectue-t-il une interprétation Non

I.15) Le DM influe-t-il sur l'environnement ? Non

I.23) Le dispositif médical est-il destiné à être non réutilisable Non

I.29) Le DM a-t-il une interface de contrôle ? Oui

E_R211_Risk-Analysis OST5100-7000 V1.3.xls AI /1 sur 1

Evaluation du Risque Evaluation des risques résiduels

Phénomènes dangereux relatifs à Formation des utilisateurs

II.11 1.10 - pression (rupture d'un récipient) Sans Objet NON

II.12 1.11 - pression acoustique Sans Objet NON

II.47 5.2-3 c) instructions de

II.48 5.2-4 d) spécification inadéquate du

II.49 5.3 - utilisation par du personnel non

II.52 5.6 - mise en garde inadéquate sur les Sans Objet

II.54 5.8 - incompatibilité avec les Sans Objet

II.55 5.9 - bords tranchants ou pointes Sans Objet