Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicher stellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sind und im Vergleich zum Nutzen akzeptabel sind.

1. Risikomanagement-Prozess konform ISO 14971

Dieser Prozess soll u.a. folgende Schritte umfassen:

  1. Risikoakzeptanzkriterien festlegen. Dies geschieht oft in Form einer Risikoakzeptanzmatrix.
  2. Risikoanalyse Teil 1: Gefährdungen durch das Medizinprodukt identifizieren aus der Zweckbestimmung ableiten z.B. mit Hilfe der PHA, FMEA und FTA. (Hier mehr zum Unterschied von Gefährdungen und Gefährdungssituationen.)
  3. Risikoanalyse Teil 2: Wahrscheinlichkeiten, Schwergrade und damit Risiken abschätzen. Über die Vertretbarkeit dieser Risiken entscheiden
  4. Maßnahmen zur Risikominimierung festlegen und umsetzen, falls die Risiken nicht vertretbar sind
  5. Neue Risiken durch diese Maßnahmen analysieren
  6. Über die Vertretbarkeit der Risiken (erneut) entscheiden
  7. Einen Risikomanagementbericht erstellen
  8. Das Produkt im Rahmen der nachgelagerten Phase beobachten, kontinuierlich Risiken analysieren und über Risikoakzeptanz neu entschieden

ISO 14971: Der Risikomanagement-Prozess

Weitere Informationen zu …

Der Auditgarant zeigt Ihnen in über 15 Videotrainings Schritt für Schritt, wie Sie eine Risikoakzeptanzmatrix systematisch herleiten, Risiken analysieren und geeignete Maßnahmen ableiten und all dies ISO-14971-konform dokumentieren.

2. Die harmonisierte Norm ISO 14971

Die Forderung nach Risikomanagement ist die zentralste der „grundlegenden Anforderungen“ der Medizinprodukterichtlinie und damit des Medizinproduktegesetzes. Wenn Medizinproduktehersteller einen ISO 14971-konformen Risikomangementprozess befolgen, wird man vermuten, dass sie diese gesetzliche Anforderung erfüllen.

Achtung!

Beachten Sie, dass die 14971 noch nicht als harmonisierte Norm für die Medizinprodukteverordnung (MDR) 2017/745 geführt wird. Mehr zu dem Thema harmonisierte Normen unter der Medizinprodukteverordnung (MDR) finden Sie in dem entsprechenden Fachartikel „Harmonisierte Normen: Beweisführung für Medizinproduktehersteller“.

a) Die Norm zur Anwendung des Risikomanagements bei Medizinprodukten

Die Norm ISO EN DIN ISO 14971 fordert, dass

  • bei Medizinprodukten die Risikopolitik zu formulieren ist,
  • eine Gefährdungsanalyse bzw. Risikoanalyse durchzuführen ist (hier können Verfahren zu Risikoanalyse angewendet werden wie die FMEA, FTA und PHA)
  • die Risiken gemäß der Risikopolitik zu bewerten sind
  • die Risiken so weit wie möglich zu minimieren sind
  • und die Wirksamkeit der risikominimierenden Maßnahmen zu prüfen ist.

Die ISO 14971 wird als harmonisierte Norm auch von den nationalen Normengremium als DIN 14971 oder OE 14971 (Österreich) publiziert.

b) Änderungen der Norm durch die ISO 14971:2012

Sie finden hier Informationen zu den Änderungen durch die ISO 14971:2012 (Anhang ZA).

c) Über die Präfixe bei der Norm

Was „DIN“, „SN“, „OE“, „ISO“ bei Normen aussagen

Manche sprechen von der DIN 14971, manche von der EN ISO 14971, manche von der ISO 14971, andere nutzen Kombinationen der Präfixe wie DIN EN ISO 14971. Was ist richtig?

DIN EN ISO 14971: Die Herkunft der Präfixe

ISO 14971 und Harmonisierung internationaler Normen

Oft werden Normen wie die „14971“ in einem internationalen Normengremium erarbeitet und in diesem Fall als ISO 14971 veröffentlicht.

Die Harmonisierung ist ein formaler Akt der Europäischen Kommission, der besagt, dass eine Norm geeignet ist, nachzuweisen, dass jemand die gesetzlichen Anforderungen (z.B. einer Richtlinie) erfüllt. Die Kommission kann sowohl Mandate an die Normungsorganisationen geben, harmonisierte Normen zu erstellen, als auch bereits existierende Normen harmonisieren.

Sie finden hier die Liste der harmonisierten Normen.

Die Harmonisierung hat nichts mit der Nummerierung zu tun. Beispielsweise ist die DIN EN 14971 nicht die Norm zum Risikomanagement bei Medizinprodukten sondern eine zu  „Textilien – Maschenwaren – Bestimmung der Maschenzahl je Längeneinheit und Flächeneinheit“.

Internationalisierung harmonisierter Normen

Es gibt aber auch den Weg, dass harmonisierte EN-Normen zur ISO werden. Dabei werden aber oft die Nummern geändert, weil die ISO andere Nummernkreise für Themen bereithält oder die Nummern bereits reserviert oder vergeben hat. Beispiele sind die Normen DIN EN 12442-x, die zur DIN EN ISO 22442-x geworden sind.

Nationale Normen und DIN EN ISO 14971

Über die nationalen Vorworte wie der DIN EN ISO 14971  geben die Normungsorganisationen Hinweise zum Verständnis und Verweise auf nationale Literatur, die auf europäischer und internationaler Ebene keine Gültigkeit oder Bedeutung haben. Siehe hierzu das Vorwort der DIN EN 80001-1. Achtung: Sie heißt nicht DIN EN IEC, obschon sie den gleichen Inhalt hat wie die IEC/ISO.

Man will vermeiden, dass sich die nationalen Normen unterscheiden, also die DIN EN ISO 14971, von der SN EN ISO  14971 (für die Schweiz) und der OE EN ISO 14971 (für Österreich). Das wäre fatal, denn dann wäre der Gedanke der europäischen Richtlinien wie der Medizinprodukterichtlinie nicht mehr erfüllt, dass alle Medizinprodukte in Europa die gleichen Anforderungen erfüllen müssen. Daher prüft man bei den relevanten Normen, dass deren Inhalte gleich sind.

Deharmonisierung von Normen

Die Kommission kann auch Normen de-harmonisieren. So geschehen unlängst bei der EN 980. Dieses Schicksal hätte übrigens auch der 14971 gedroht, wenn nicht die Anhänge Z dazu gekommen wären. Gerade diese sind es, die nun die EN von der ISO-Version unterscheiden, mit gravierenden Auswirkungen.

Auswahl der richtigen Normen

Wenn Sie unsicher sind, welche Normen Sie nutzen sollen, dann hilft Ihnen folgender Tipp:

  1. Wollen Sie international zulassen? Dann schauen Sie nach ISO oder IEC Normen. Haben Sie welche gefunden, dann prüfen Sie, ob sie national abweichen und ggf. einen besonderen Status besitzen, wie z.B. die „recognized“ Standards bei der FDA.
  2. Sie müssen „nur“ in Europa „zulassen“? Dann schauen Sie zuerst auf der Seite der Kommission nach harmonisierten Normen. Dort würden Sie die EN ISO 14971 finden. Danach können Sie gerne national nach einer Übersetzung suchen und würden die DIN EN ISO 14971 finden. Oder die SN EN ISO 14971. Oder die OE EN ISO 14971. Oder…

3. Typische Probleme beim Risikomanagement

Für Firmen die erstmalig Medizinprodukte entwickeln, stellt das Risikomanagement meist die größte Herausforderung dar. Die Anwendung des Risikomanagementprozesses auf Medizinprodukte bedarf nicht nur Kompetenzen bei der Anwendungen der Verfahren zur Risikoanalyse, sondern auch Kenntnisse des Kontexts, in dem die Medizinprodukte eingesetzt werden, und der gesetzlichen Anforderungen insbesondere der grundlegenden Anforderungen der Medizinprodukte-Richtlinie.

Viele Hersteller betreiben ein unzureichendes Risikomanagement. Die Fehler liegen oft

  1. bereits in der Verwendung von Begrifflichkeiten (so wird Software als Risiko bezeichnet),
  2. in einer unzureichenden weil regelmäßig zu technisch fokussierten Risikoanalyse,
  3. in einer fehlenden Begründung der Wahrscheinlichkeiten und Schweregraden von Schäden,
  4. der nicht dokumentierten Verifizierung der Implementierung und(!) Wirksamkeit der risikominimierenden Maßnahmen,
  5. in einer willkürlich erscheinenden Festlegung akzeptabler und nicht akzeptabler Risiken,
  6. im fehlenden Zusammenspiel mit der klinischen Bewertung
  7. und in einem nicht konsequenten Risikomanagement in der nachgelagerten Phase.

Da die korrekte Anwendung der ISO 14971 die Voraussetzung für andere Normen wie die IEC 62304, IEC 62366 und IEC 60601-1 darstellt, kommt der ISO 14971 und damit der Risikomanagementakte eine überragende Bedeutung zu. Das Johner Institut unterstützt Hersteller aktiver Medizinprodukte dabei, in wenigen Tagen eine Risikomanagementakte zu erstellen, die sicher durchs Audit und die Zulassung kommt.

Video-Risikomanagementakte-technische-Dokumentation

4. Risikomanagement durch Entwicklungsdienstleister

Fast alle größeren Medizinproduktehersteller setzen bei der Entwicklung auf externe Dienstleister und wollen dabei auch das Risikomanagement durch Entwicklungsdienstleister erbracht haben. Doch geht das überhaupt? Ist das erlaubt?

Manchmal möchten die Hersteller nur eine Komponente, manchmal um das komplette Produkt wie im Fall von OEM-Herstellern durch Entwicklungsdienstleister entwickeln lassen. Dazu sollen diese auch die zugehörige Dokumentation erstellen einschließlich Risikomanagementakte (konform ISO 14971). Doch das klappt nicht immer.

a) Tätigkeiten im Risikomanagement

Zu einer Risikomanagementakte zählen folgende Elemente:

  1. Festlegung der Risikoakzeptanz (in Form der Risikoakzeptanzmatrix)
  2. Risikoanalyse
  3. Festlegung und Umsetzung von Maßnahmen
  4. Verifizierung und Validierung der Maßnahmen
  5. Zusammenfassende Bewertung

Welche dieser Elemente kann beispielsweise ein Komponentenhersteller beisteuern? Ist ein Risikomanagement durch Entwicklungsdienstleister möglich?

b) Was Entwicklungsdienstleister NICHT leisten können

Mit hoher Wahrscheinlichkeit wird ihm das bei allen genannten Punkten nur teilweise gelingen. Aus folgenden Gründen:

  • ad 1.: Ein Komponentenhersteller kennt (in seiner Funktion als Komponentenhersteller) den quantifizierten(!) Nutzen des Gesamtprodukts nicht. Damit kann er auch keine Risikoakzeptanzkriterien festlegen.
  • ad 2.: Der Komponentenhersteller kennt nicht das gesamte Produkt, und auch OEM-Hersteller kennen oft den Kontext nicht genau, in dem es eingesetzt wird. Damit können Wahrscheinlichkeiten von Schäden nicht abgeschätzt werden, was eine vollständige Risikoanalyse unmöglich macht.
  • ad 3.: Viele Maßnahmen insbesondere im Bereich der Gebrauchstauglichkeit liegen außerhalb der Expertise vieler Entwicklungsdienstleister.
  • ad 4.: Da die Komponentenhersteller (und viele OEM-Hersteller) keinen Zugang zu wirklich repräsentativen Nutzern und wirklich repräsentativen Nutzungsumgebungen haben, fällt auch die Usability-Validierung flach.
  • ad 5.: Weil so viele Elemente fehlen, wird eine zusammenfassende Bewertung ebenfalls unmöglich.

Das komplette Risikomanagement durch Entwicklungsdienstleister erbringen zu lassen, ist also meist weder möglich, noch erlaubt. Die Verantwortung dafür bleibt beim Hersteller.

c) Wo Risikomanagement durch Entwicklungsdienstleister möglich ist

Wenn Sie Ihren externen Dienstleister also in die Erstellung der ISO 14971-konformen Risikomanagementakte einbeziehen wollen, dann wie folgt:

Verlangen Sie von ihm, dass er

  1. analysiert, was passiert, wenn seine Komponente falsche Inputs (direkt oder von anderen Komponenten erhält),
  2. wie sich seine Komponente (oder im Fall eines OEM-Herstellers das ganze Medizinprodukt) an den äußeren Schnittstellen falsch verhalten kann,
  3. und mit welchen Wahrscheinlichkeiten dies geschieht, und
  4. dies mit Hilfe einer FMEA dokumentiert.

Risikomanagement durch Entwicklungsdienstleister

Die Ursachenkette von den Schnittstellen bis zum Schaden beschreiben Sie als Inverkehrbringer des Medizinprodukts. Ebenso verbleibt es in Ihrer Hand alle anderen Elemente der Risikomanagementakte zu erstellen.


Risikomanagement und Risikoanalyse bei Software

Die Risikoanalyse bei Software unterscheidet sich: Software selbst kann keine Schäden verursachen. Dies geschieht immer via Hardware oder Menschen. Doch das heißt nicht, dass es keiner Risikoanalyse bei Software bedarf. Im Gegenteil!  Inhaltsübersicht Besonderheiten der Risikoanalyse bei Software » Die richtige Granularität » Risikoanalyse bei Software-Änderungen »

Weiterlesen

Risikoakzeptanz: Wie viele Tote sind okay?

Mit der Festlegung von Risikoakzeptanz-Kriterien tun sich die meisten Medizinprodukte-Hersteller schwer. Viele weigern sich sogar, die Anzahl der Toten zu bestimmen, die sie akzeptieren.  Inhaltsübersicht Regulatorische Anforderungen » Risikoakzeptanz: Anzahl der Toten? » Risikoakzeptanz: Typ von Toten? » Doch die Weigerung, sich diese Gedanken zu machen und mit quantiativen Werten zu arbeiten, hilft niemandem. Den Patienten…

Weiterlesen

Software-Wartung: Wie Sie typische Fallen im Audit vermeiden

Unter Software-Wartung versteht man die Phase, in der die Software weiterentwickelt wird, z.B. mit dem Ziel Fehler zu beheben, neue Funktionalitäten zu implementieren oder die Software an eine geänderte Laufzeitumgebung anzupassen. Themenüberblick Regulatorische Anforderungen » Software-Wartung Praxistipps » Prozesse gesetzeskonform gestalten » 79% aller Bugs werden laut FDA während der Software-Wartung eingeführt. Entsprechend adressieren einige Regularien dieses Thema. Update: Ergänzung zur Software-Wartung…

Weiterlesen

IT-Netzwerke: Besonderheiten bei Krankenhäusern

IT-Netzwerke in Krankenhäusern unterscheiden sich — auch wenn die verwendeten Produkte und Technologien die gleichen sind — von IT-Netzwerken in anderen Branchen: Risiken: Von den IT-Netzwerken im Krankenhaus hängen regelmäßig Menschenleben ab. Regularien: Entsprechend verlangen Gesetze und Normen wie die IEC 80001 ein professionelles Risikomanagement speziell für über IT-Netzwerke verbundene Medizinprodukte. Budgets: Im Gesundheitswesen wird weniger Geld für die…

Weiterlesen

Wahrscheinlichkeit bei Software: IEC 62304 verwirrt

Der Satz in der IEC 62304, der wahrscheinlich zu den meisten Diskussionen führt, ist der zur Wahrscheinlichkeit bei Software: „Wenn die GEFÄHRDUNG davon herrühren könnte, dass das SOFTWARE-SYSTEM sich nicht entsprechend seiner Spezifikation verhält, muss die Wahrscheinlichkeit einer solchen Fehlfunktion als 100 Prozent angenommen werden.“ Solange die zweite Ausgabe der IEC 62304 diese missverständlich Aussage nicht…

Weiterlesen

Ursachenkette ~ Schadens gemäß ISO 14971

Die ISO 14971 definiert Schäden als „Verletzung oder Schädigung der Gesundheit von Menschen oder Schädigung von Gütern oder der Umwelt“. Die Schäden gemäß ISO 14971 sind üblicherweise Beeinträchtigungen der Körperstruktur (z.B. Schnitt) oder Körperfunktion (z.B. Bewegungsfähigkeit, Sehfähigkeit, Fähigkeit, Blut zu reinigen). Wir müssen die Schäden kennen, die durch unsere Medizinprodukte entstehen können, um die Risiken…

Weiterlesen

ISO 14971:2012 Annex ZA: Die alte Norm zum Risikomanagement

ISO 14971:2012 (Anhang ZA): Die wichtigsten Änderungen der Norm Quasi über Nacht, nämlich vom 31.08.2012 zum 01.09.2012 wurde die ISO 14971:2012 ohne Übergangsfrist als harmonisierte Norm für das Risikomanagement für Medizinprodukte veröffentlicht. Dieser Artikel stellt Ihnen diese Änderungen vor. Eine der wesentlichen Neuerungen der Norm ISO 14971 im Jahr 2012 (ISO 14971:2012) besteht in der Anforderung,…

Weiterlesen