Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicher stellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sind und im Vergleich zum Nutzen akzeptabel sind.

1. Risikomanagement-Prozess konform ISO 14971

Dieser Prozess soll u.a. folgende Schritte umfassen:

  1. Risikoakzeptanzkriterien festlegen. Dies geschieht oft in Form einer Risikoakzeptanzmatrix.
  2. Risikoanalyse Teil 1: Gefährdungen durch das Medizinprodukt identifizieren aus der Zweckbestimmung ableiten z.B. mit Hilfe der PHA, FMEA und FTA. (Hier mehr zum Unterschied von Gefährdungen und Gefährdungssituationen.)
  3. Risikoanalyse Teil 2: Wahrscheinlichkeiten, Schwergrade und damit Risiken abschätzen. Über die Vertretbarkeit dieser Risiken entscheiden
  4. Maßnahmen zur Risikominimierung festlegen und umsetzen, falls die Risiken nicht vertretbar sind
  5. Neue Risiken durch diese Maßnahmen analysieren
  6. Über die Vertretbarkeit der Risiken (erneut) entscheiden
  7. Einen Risikomanagementbericht erstellen
  8. Das Produkt im Rahmen der nachgelagerten Phase beobachten, kontinuierlich Risiken analysieren und über Risikoakzeptanz neu entschieden

ISO 14971: Der Risikomanagement-Prozess

Weitere Informationen zu …

Der Auditgarant zeigt Ihnen in über 15 Videotrainings Schritt für Schritt, wie Sie eine Risikoakzeptanzmatrix systematisch herleiten, Risiken analysieren und geeignete Maßnahmen ableiten und all dies ISO-14971-konform dokumentieren.

2. Die harmonisierte Norm ISO 14971

Die Forderung nach Risikomanagement ist die zentralste der „grundlegenden Anforderungen“ der Medizinprodukterichtlinie und damit des Medizinproduktegesetzes. Wenn Medizinproduktehersteller einen ISO 14971-konformen Risikomangementprozess befolgen, wird man vermuten, dass sie diese gesetzliche Anforderung erfüllen.

Achtung!

Beachten Sie, dass die 14971 noch nicht als harmonisierte Norm für die Medizinprodukteverordnung (MDR) 2017/745 geführt wird. Mehr zu dem Thema harmonisierte Normen unter der Medizinprodukteverordnung (MDR) finden Sie in dem entsprechenden Fachartikel „Harmonisierte Normen: Beweisführung für Medizinproduktehersteller“.

a) Die Norm zur Anwendung des Risikomanagements bei Medizinprodukten

Die Norm ISO EN DIN ISO 14971 fordert, dass

  • bei Medizinprodukten die Risikopolitik zu formulieren ist,
  • eine Gefährdungsanalyse bzw. Risikoanalyse durchzuführen ist (hier können Verfahren zu Risikoanalyse angewendet werden wie die FMEA, FTA und PHA)
  • die Risiken gemäß der Risikopolitik zu bewerten sind
  • die Risiken so weit wie möglich zu minimieren sind
  • und die Wirksamkeit der risikominimierenden Maßnahmen zu prüfen ist.

Die ISO 14971 wird als harmonisierte Norm auch von den nationalen Normengremium als DIN 14971 oder OE 14971 (Österreich) publiziert.

b) Änderungen der Norm durch die ISO 14971:2012

Sie finden hier Informationen zu den Änderungen durch die ISO 14971:2012 (Anhang ZA).

c) Über die Präfixe bei der Norm

Was „DIN“, „SN“, „OE“, „ISO“ bei Normen aussagen

Manche sprechen von der DIN 14971, manche von der EN ISO 14971, manche von der ISO 14971, andere nutzen Kombinationen der Präfixe wie DIN EN ISO 14971. Was ist richtig?

DIN EN ISO 14971: Die Herkunft der Präfixe

ISO 14971 und Harmonisierung internationaler Normen

Oft werden Normen wie die „14971“ in einem internationalen Normengremium erarbeitet und in diesem Fall als ISO 14971 veröffentlicht.

Die Harmonisierung ist ein formaler Akt der Europäischen Kommission, der besagt, dass eine Norm geeignet ist, nachzuweisen, dass jemand die gesetzlichen Anforderungen (z.B. einer Richtlinie) erfüllt. Die Kommission kann sowohl Mandate an die Normungsorganisationen geben, harmonisierte Normen zu erstellen, als auch bereits existierende Normen harmonisieren.

Sie finden hier die Liste der harmonisierten Normen.

Die Harmonisierung hat nichts mit der Nummerierung zu tun. Beispielsweise ist die DIN EN 14971 nicht die Norm zum Risikomanagement bei Medizinprodukten sondern eine zu  „Textilien – Maschenwaren – Bestimmung der Maschenzahl je Längeneinheit und Flächeneinheit“.

Internationalisierung harmonisierter Normen

Es gibt aber auch den Weg, dass harmonisierte EN-Normen zur ISO werden. Dabei werden aber oft die Nummern geändert, weil die ISO andere Nummernkreise für Themen bereithält oder die Nummern bereits reserviert oder vergeben hat. Beispiele sind die Normen DIN EN 12442-x, die zur DIN EN ISO 22442-x geworden sind.

Nationale Normen und DIN EN ISO 14971

Über die nationalen Vorworte wie der DIN EN ISO 14971  geben die Normungsorganisationen Hinweise zum Verständnis und Verweise auf nationale Literatur, die auf europäischer und internationaler Ebene keine Gültigkeit oder Bedeutung haben. Siehe hierzu das Vorwort der DIN EN 80001-1. Achtung: Sie heißt nicht DIN EN IEC, obschon sie den gleichen Inhalt hat wie die IEC/ISO.

Man will vermeiden, dass sich die nationalen Normen unterscheiden, also die DIN EN ISO 14971, von der SN EN ISO  14971 (für die Schweiz) und der OE EN ISO 14971 (für Österreich). Das wäre fatal, denn dann wäre der Gedanke der europäischen Richtlinien wie der Medizinprodukterichtlinie nicht mehr erfüllt, dass alle Medizinprodukte in Europa die gleichen Anforderungen erfüllen müssen. Daher prüft man bei den relevanten Normen, dass deren Inhalte gleich sind.

Deharmonisierung von Normen

Die Kommission kann auch Normen de-harmonisieren. So geschehen unlängst bei der EN 980. Dieses Schicksal hätte übrigens auch der 14971 gedroht, wenn nicht die Anhänge Z dazu gekommen wären. Gerade diese sind es, die nun die EN von der ISO-Version unterscheiden, mit gravierenden Auswirkungen.

Auswahl der richtigen Normen

Wenn Sie unsicher sind, welche Normen Sie nutzen sollen, dann hilft Ihnen folgender Tipp:

  1. Wollen Sie international zulassen? Dann schauen Sie nach ISO oder IEC Normen. Haben Sie welche gefunden, dann prüfen Sie, ob sie national abweichen und ggf. einen besonderen Status besitzen, wie z.B. die „recognized“ Standards bei der FDA.
  2. Sie müssen „nur“ in Europa „zulassen“? Dann schauen Sie zuerst auf der Seite der Kommission nach harmonisierten Normen. Dort würden Sie die EN ISO 14971 finden. Danach können Sie gerne national nach einer Übersetzung suchen und würden die DIN EN ISO 14971 finden. Oder die SN EN ISO 14971. Oder die OE EN ISO 14971. Oder…

3. Typische Probleme beim Risikomanagement

Für Firmen die erstmalig Medizinprodukte entwickeln, stellt das Risikomanagement meist die größte Herausforderung dar. Die Anwendung des Risikomanagementprozesses auf Medizinprodukte bedarf nicht nur Kompetenzen bei der Anwendungen der Verfahren zur Risikoanalyse, sondern auch Kenntnisse des Kontexts, in dem die Medizinprodukte eingesetzt werden, und der gesetzlichen Anforderungen insbesondere der grundlegenden Anforderungen der Medizinprodukte-Richtlinie.

Viele Hersteller betreiben ein unzureichendes Risikomanagement. Die Fehler liegen oft

  1. bereits in der Verwendung von Begrifflichkeiten (so wird Software als Risiko bezeichnet),
  2. in einer unzureichenden weil regelmäßig zu technisch fokussierten Risikoanalyse,
  3. in einer fehlenden Begründung der Wahrscheinlichkeiten und Schweregraden von Schäden,
  4. der nicht dokumentierten Verifizierung der Implementierung und(!) Wirksamkeit der risikominimierenden Maßnahmen,
  5. in einer willkürlich erscheinenden Festlegung akzeptabler und nicht akzeptabler Risiken,
  6. im fehlenden Zusammenspiel mit der klinischen Bewertung
  7. und in einem nicht konsequenten Risikomanagement in der nachgelagerten Phase.

Da die korrekte Anwendung der ISO 14971 die Voraussetzung für andere Normen wie die IEC 62304, IEC 62366 und IEC 60601-1 darstellt, kommt der ISO 14971 und damit der Risikomanagementakte eine überragende Bedeutung zu. Das Johner Institut unterstützt Hersteller aktiver Medizinprodukte dabei, in wenigen Tagen eine Risikomanagementakte zu erstellen, die sicher durchs Audit und die Zulassung kommt.

Video-Risikomanagementakte-technische-Dokumentation

4. Risikomanagement durch Entwicklungsdienstleister

Fast alle größeren Medizinproduktehersteller setzen bei der Entwicklung auf externe Dienstleister und wollen dabei auch das Risikomanagement durch Entwicklungsdienstleister erbracht haben. Doch geht das überhaupt? Ist das erlaubt?

Manchmal möchten die Hersteller nur eine Komponente, manchmal um das komplette Produkt wie im Fall von OEM-Herstellern durch Entwicklungsdienstleister entwickeln lassen. Dazu sollen diese auch die zugehörige Dokumentation erstellen einschließlich Risikomanagementakte (konform ISO 14971). Doch das klappt nicht immer.

a) Tätigkeiten im Risikomanagement

Zu einer Risikomanagementakte zählen folgende Elemente:

  1. Festlegung der Risikoakzeptanz (in Form der Risikoakzeptanzmatrix)
  2. Risikoanalyse
  3. Festlegung und Umsetzung von Maßnahmen
  4. Verifizierung und Validierung der Maßnahmen
  5. Zusammenfassende Bewertung

Welche dieser Elemente kann beispielsweise ein Komponentenhersteller beisteuern? Ist ein Risikomanagement durch Entwicklungsdienstleister möglich?

b) Was Entwicklungsdienstleister NICHT leisten können

Mit hoher Wahrscheinlichkeit wird ihm das bei allen genannten Punkten nur teilweise gelingen. Aus folgenden Gründen:

  • ad 1.: Ein Komponentenhersteller kennt (in seiner Funktion als Komponentenhersteller) den quantifizierten(!) Nutzen des Gesamtprodukts nicht. Damit kann er auch keine Risikoakzeptanzkriterien festlegen.
  • ad 2.: Der Komponentenhersteller kennt nicht das gesamte Produkt, und auch OEM-Hersteller kennen oft den Kontext nicht genau, in dem es eingesetzt wird. Damit können Wahrscheinlichkeiten von Schäden nicht abgeschätzt werden, was eine vollständige Risikoanalyse unmöglich macht.
  • ad 3.: Viele Maßnahmen insbesondere im Bereich der Gebrauchstauglichkeit liegen außerhalb der Expertise vieler Entwicklungsdienstleister.
  • ad 4.: Da die Komponentenhersteller (und viele OEM-Hersteller) keinen Zugang zu wirklich repräsentativen Nutzern und wirklich repräsentativen Nutzungsumgebungen haben, fällt auch die Usability-Validierung flach.
  • ad 5.: Weil so viele Elemente fehlen, wird eine zusammenfassende Bewertung ebenfalls unmöglich.

Das komplette Risikomanagement durch Entwicklungsdienstleister erbringen zu lassen, ist also meist weder möglich, noch erlaubt. Die Verantwortung dafür bleibt beim Hersteller.

c) Wo Risikomanagement durch Entwicklungsdienstleister möglich ist

Wenn Sie Ihren externen Dienstleister also in die Erstellung der ISO 14971-konformen Risikomanagementakte einbeziehen wollen, dann wie folgt:

Verlangen Sie von ihm, dass er

  1. analysiert, was passiert, wenn seine Komponente falsche Inputs (direkt oder von anderen Komponenten erhält),
  2. wie sich seine Komponente (oder im Fall eines OEM-Herstellers das ganze Medizinprodukt) an den äußeren Schnittstellen falsch verhalten kann,
  3. und mit welchen Wahrscheinlichkeiten dies geschieht, und
  4. dies mit Hilfe einer FMEA dokumentiert.

Risikomanagement durch Entwicklungsdienstleister

Die Ursachenkette von den Schnittstellen bis zum Schaden beschreiben Sie als Inverkehrbringer des Medizinprodukts. Ebenso verbleibt es in Ihrer Hand alle anderen Elemente der Risikomanagementakte zu erstellen.


HAZOP - Leitworte

HAZOP – Risikoanalyse konform IEC 61882

Die HAZOP (Hazard and Operability) ist ein Gefährdungsanalyseverfahren, das die ISO 14971 neben der FMEA, FTA und PHA empfiehlt. Das deutsche Akronym für HAZOP (Hazard and Operability) lautet PAAG. Das steht für Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen. Die Norm IEC 61882 beschreibt dieses Verfahren.  Inhaltsübersicht HAZOP im Überblick » Vorgehen nach IEC…

Weiterlesen

Cybersecurity in Medical Devices: Die Guidance-Dokumente der FDA

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu drei Guidance-Dokumente veröffentlich, die sich an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.  Inhaltsübersicht Pre-Market Guidance 2014 » Pre-Market Guidance 2018 » Post-Market Guidance » Aktuelles » Das FDA-Guidance-Dokument Cybersecurity in Medical Devices wendet sich an alle Medizinproduktehersteller, deren…

Weiterlesen

Risikomanagement im Krankenhaus und bei anderen Betreibern

Das Risikomanagement im Krankenhaus ist ein vielschichtiges Thema, da verschiedene Stakeholder verschiedene Interessen verfolgen. Das medizinische Personal versucht Risiken für Patienten zu minimieren, die beispielsweise durch falsches ärztliches Handeln entsteht. Die Geschäftsführung ist daran interessiert, gesetzliche und versicherungsrechtliche Risiken zu beherrschen und gleichzeitig den ökonomischen Erfolg zu sichern. Die IT und Medizintechnik fokussieren auf Risiken, die…

Weiterlesen

Medical Cloud: Cloud Computing im Gesundheitswesen

Medizinproduktehersteller nutzen zunehmend Cloud-Dienste, die wir in diesem Artikel als Medical Cloud bezeichnen. Erfahren Sie, welche Möglichkeiten Hersteller haben, um Medical Clouds zu nutzen und dennoch die regulatorischen Anforderungen z.B. an den Datenschutz zu erfüllen.  Inhaltsübersicht Einsatzmöglichkeiten » Regulatorische Anforderungen » Besondere Herausforderungen »

Weiterlesen

AAMI TIR 57: IT-Sicherheit und Risikomanagement

Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI. Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.  Inhaltsübersicht Zusammenfassung » Verbindlichkeit der TIR 57 » Zusammenspiel mit ISO 14971 » Fazit »

Weiterlesen
Entscheidungsdiagramm: Vorhersagbarer Missbrauch versus anormaler Gebrauch

Vorhersehbarer Missbrauch

Die Begriffe ‚vernünftigerweise vorhersehbarer Missbrauch‘ (‚reasonable foreseeable misuse‘), ‚anormaler Gebrauch‘ (‚abnormal use‘), ‚korrekter Gebrauch‘ (‚correct use‘) und ‚bestimmungsgemäßer Gebrauch‘ (’normal use‘) stammen aus den Normen ISO 14971 und IEC 62366-1. Leider erscheinen die Definitionen nicht gut aufeinander abgestimmt zu sein. Allerdings sind sie substantiell für das Verständnis, wie die Normen, in denen diese Begriffe erwähnt werden,…

Weiterlesen