Sicherer Zustand

Mittwoch 23. Januar 2019

Ein sicherer Zustand wird von der IEC 60601-1 als eine mögliche Maßnahme gefordert. Was ein sicherer Zustand ist, definiert die Norm allerdings nicht. Was ist also ein sicherer Zustand?

Antworten auf diese Frage und Tipps, wie Sie einen sicheren Zustand Ihres Medizinprodukts erreichen, finden Sie in diesem Artikel.

1. Regulatorische Anforderungen

a) EU-Richtlinien und EU-Verordnungen

Hersteller müssen die Risiken für Patienten, Anwender und Dritte beherrschen und minimieren, die Medizinprodukte verursachen können. Dies ist eine der zentralen grundlegenden Sicherheits- und Leistungsanforderungen der MDR. Den Begriff des „sicheren Zustands“ kennen weder diese EU-Verordnung noch die EU-Richtlinien wie die MDD.

b) IEC 60601-1

Der Begriff sicherer Zustand stammt aus der IEC 60601-1, die ihn zwar verwendet, aber nicht definiert. Die Norm fordert, dass die Hersteller die Basissicherheit und die wesentlichen Leistungsmerkmale ihrer Medizingeräte aufrecht erhalten und nachweisen.

Gelingt es nicht, die Basissicherheit bzw. die wesentlichen Leistungsmerkmale aufrechtzuerhalten, kann eine risikominimierende Maßnahme darin bestehen, in solch einem Fehlerfall das Medizinprodukt in einen sicheren Zustand übergehen zu lassen.

2. Sicherer Zustand: Eine Definition

Eine Definition des Begriffs könnte somit wie folgt lauten:

Definition: Sicherer Zustand (eines Medizinprodukts)
„Zustand, den das Medizinprodukt nach Willen dessen Herstellers im Fehlerfall annehmen soll, der die Risiken für Patienten, Anwender und Dritte trotz dieses Fehlerfalls minimiert.“
Quelle: Johner Institut

Im Fehlerfall versuchen Hersteller das Medizinprodukt aus einem tendenziell undefinierten Zustand mit hohen Risiken in einen sicheren Zustand mit niedrigeren Risiken zu überführen.

Sicherer Zustand - Produkte sollen im Fehlerfall in einen sicheren Zustand mit niedrigeren Risiken überführt werden
Abb. 1: Im Fehlerfall soll das Produkt von einem undefinierten Zustand mit hohen Risiken in einen definierten Zustand mit niedrigeren Risiken überführt werden: Den sicheren Zustand.

Der Begriff „sicherer Zustand“ wird im Englischen oft als „Fail Safe“ übersetzt. Das bedeutet aber nicht, dass das Produkt ausfallsicher ist. Es bedeutet nur, dass die Risiken bei einem Fehler beherrscht werden. Beispiele für solche Fehler bzw. Auslöser solcher Fehler sind:

  • Ausfall eines Bauteils oder einer Komponente z.B. durch Verschleiß oder fehlerhaftes Design
  • Nutzungsfehler (Use Error)
  • Höhere Gewalt (Feuer, Wasser, Erdbeben)
  • Externe Störungen (Stromausfall, elektromagnetische Strahlung, Feuchtigkeit, Hitze)

3. Sicherer Zustand: Beispiele

Was ein sicherer Zustand ist, hängt sehr vom Medizingerät ab. Bei einem Diagnosegerät besteht der sichere Zustand meist darin, dass es keine weiteren Diagnosen vornimmt oder/und die Ergebnisse als ungültig markiert.

Hinweis

Beachten Sie, dass Invitro Diagnostikgeräte (IVD), eine Ausprägung von Diagnosegeräte, nicht unter den Anwendungsbereich der IEC 60601-1 fallen. Daher ist der Begriff sicherer Zustand bei dieser Geräteklasse unüblich.

Bei einem Röntgengerät z.B. einem C-Bogen wird in den meisten Fällen das Ausschalten zu einem sicheren Zustand führen. Allerdings stellt ein Röntgengerät, das während einer Herzkathederuntersuchung automatisch ausgeschaltet wird, auch ein nenneswertes Risiko dar.

Das gleiche gilt für Infusionspumpen, bei denen die Hersteller das Stoppen als sicheren Zustand festlegen, beispielsweise wenn verschiedene Luftsensoren zu unterschiedlichen Ergebnissen gelangen. Auch hier abgeschaltet werden. Ist das aber wirklich sicher? Denken Sie an eine Infusionspumpe, die einem Schwerstverletzten herzunterstützende Medikamente applizieren soll.

Vorsicht!

Beachten Sie, dass der sichere Zustand oft nicht sicher ist, sondern eher als „sicherster Zustand“ verstanden werden muss, d.h. als Zustand mit dem geringsten Risiko.

Es ist auch möglich, dass ein Medizinprodukt mehrere sichere Zustände hat. Beispielsweise könnte bei einem Herzschrittmacher ein sicherer Zustand im Abschalten des Geräts, ein zweiter sicherer Zustand in einer Stimulation mit einer festen Frequenz bestehen. Mehrere Faktoren können in so eine Entscheidung einfließen:

  • Art des Fehlers
  • Technische Möglichkeiten
  • Zustand des Produkts, in dem der Fehler auftritt (z.B. Behandlungsmodus)
  • Medizinischer Kontext (z.B. Zustand des Patienten)

Fazit: Die Definition eines sicheren Zustands ist nicht immer trivial und besteht aus mehr als dem „einfachen“ Abschalten des Systems. Genauso wie der sichere Zustand bei Flugzeugen nicht das Abschalten der Triebwerke bedeuten sollte – zumindest nicht solange diese in der Luft sind.

4. Sicheren Zustand erreichen

Hersteller, die für ihre Medizinprodukte einen sicheren Zustand erreichen möchten, sollten folgende Überlegungen durchführen.

  1. Risiken identifizieren
    Zuerst müssen die Hersteller die Risiken analysieren. Dazu zählt auch, die wesentlichen Leistungsmerkmale zu identifizieren.
  2. Ursachen analysieren
    Dann sollten sie untersuchen, wie es zu diesen Risiken kommen kann. Hier bietet sich z.B. eine FTA oder eine FMEA an.
  3. Über Maßnahmen zur Risikobeherrschung entscheiden
    Dass ein System im Fehlerfall einen sicheren Zustand annimmt (Fail Safe), ist nur eine von mehreren Handlungsoptionen. Die Aufrechterhaltung des Systems im Fehlerfall (Fail Operational) stellt oft die bessere Alternative dar.
  4. Fehlerzustand erkennen
    Damit das Medizinprodukt in einen sicheren Zustand gebracht werden kann, muss es zuerst erkennen, dass ein Fehlerfall vorliegt. Kommen beispielsweise zwei Sensoren bei einer Infusionspumpe zu widersprüchlichen Ergebnissen, bedarf es einer Überwachungseinheit, die dies erkennt.
  5. Sicheren Zustand festlegen
    Entscheidet sich der Hersteller für „Fail Safe“, muss er den oder die sichere Zustände definieren.
  6. Risikominimierende Maßnahmen implementieren
    Anschließend muss er das System so entwerfen, dass es diesen Zustand bzw. diese Zustände auch einnimmt. Dies geschieht im Rahmen der Systemarchitektur.
  7. Wirksamkeit der Maßnahmen testen Der Abschluss der Entwicklung besteht darin, zu verifizieren, dass das System den sicheren Zustand tatsächlich annimmt. Bei diesen Tests müssen die Fehlerzustände provoziert bzw. simuliert werden.

Hersteller nutzen beispielsweise einkanalige Sicherheitsarchitekturen, bei denen die Funktionsweise der Aktoren, Sensoren und Verarbeitungseinheiten regelmäßig geprüft wird, um die Risiken zu minimieren. Oder sie setzen auf zweikanalige Architekturen, bei denen sich die beiden Kanäle gegenseitig überwachen und dann auf den jeweils anderen Kanal umschalten. Das Umschalten auf den anderen Kanal entspricht dann dem sicheren Zustand.

War dieser Artikel hilfreich? Bitte bewerten Sie:
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne

Kategorien: Software & IEC 62304
Tags: ,

2 Kommentare über “Sicherer Zustand”

  1. Alaaddin Icöz schrieb:

    Stichwort: Risikomanagement bzw. Ausfallkonzept

    Wie oft können derartige Ausfälle auftreten? Wie kann man Ausfälle kompensieren? Etwa organisatorisch oder durch Vorhaltung von Backup-Systemen. Können ggf. Restrisiken als vertretbar angesehen werden?
    Ich halte es sehr wichtig, dass derartige Szenarien einmal jährlich geübt werden. D. h. Stromausfall, Systemausfälle etc.
    mfg
    Icözh

  2. Christian Johner schrieb:

    Sehr geehrter Herr Icöz,

    danke für Ihre spannende Frage. Sie hat offensichtlich den Hintergrund einer standalone Software? Mit etwas mehr Hintergrundwissen kann ich etwas präziser antworten. Wie Sie richtig sagen gibt es u.a. technische und organisatorische Maßnahmen. Wie sehr die das Risiko verringern, lässt sich nur im Einzelfall beantworten. Daten finden sich u.a. in der FDA MAUDE Datenbank.

    Viele Grüße
    Christian Johner

Kommentar schreiben