Die FMEA, die Failure Mode and Effect Analysis (auf Deutsch „Fehlermöglichkeits- und -einflussanalyse“) ist ein Verfahren, um zu bekannten Ursachen unbekannte Auswirkungen zu untersuchen.
Bei Medizinprodukten nutzt man die FMEA beispielsweise bei der Risikoanalyse, um die Folgen einer fehlerhaften Komponente zu analysieren, insbesondere die sich daraus ergebende Gefährdungen.
1. Wie Sie die FMEA nutzen sollten
a) Bei der Entwicklung
Nutzen Sie die FMEA, um bisher unbekannte Gefährdungen zu identifizieren, die sich aus hypothetischen Fehlern ergeben:
- Beginnen Sie bei dieser Analyse mit den Inputs und den Komponenten des Produkts.
- Notieren Sie mögliche Fehlerzustände bei diesen Inputs und Komponenten.
- Finden Sie heraus, welche Auswirkungen (z.B. Produktfehlverhalten bzw. Gefährdungen) diese Fehlerzustände haben können.
Man bezeichnet die FMEA wegen des Wegs von der Ursache zur Wirkung als ein Bottom-Up-Verfahren.
b) Beim Austausch oder bei Änderungen von Komponenten
Als Medizinproduktehersteller sollten Sie die FMEA immer als bevorzugtes Verfahren zur Risikoanalyse (präziser: Gefährdungsanalyse) anwenden, um die Auswirkungen zu analysieren, die der Austausch oder die Änderung einer Komponente nach sich ziehen kann.
Die FMEA sollten Sie auch dann nutzen, wenn Sie die Release Notes und Bug-Reports Ihrer SOUPs lesen und mögliche Folgen dieser Fehler bewerten müssen. Das verlangt übrigens die IEC 62304.
Es ist möglich, die FMEA auch auf einzelne Komponenten anzuwenden, die aus Subkomponenten bestehen.
Komponenten-FMEA ist keine Risikoanalyse!
Allerdings dient diese Form der FMEA nicht der Risiko- bzw. Gefährdungsanalyse, weil die „Komponenten-FMEA“ nicht Gefährdungen als Auswirkungen diskutiert, sondern das Fehlverhalten der Komponente an deren „Außenkante“. Dieses Fehlverhalten kann wie beim Medizinprodukt selbst durch einen Fehler innerhalb der Komponente oder einen fehlerhaften Input an dieser Komponente verursacht sein.
In anderen Worten: Die Komponenten-FMEA ist keine Risikoanalyse, weil sie nicht Folgen im Sinne von Gefährdungen bzw. Schäden untersucht, sondern im Sinne von einer fehlerhaften Komponente. Sie kann also nur die äußeren Fehlverhalten und deren Wahrscheinlichkeiten analysieren.
c) Bei der Produktion
Das gleiche gilt für die FMEA bei der Produktion: Auch diese ist kein Risikoanalyseverfahren, weil sie ebenfalls keine Schäden bzw. Wahrscheinlichkeiten als Folge von Produktionsfehlern untersucht, sondern Fehler im produzierten Produkt bzw. in einer Komponente des Produkts (als Folge eines Produktionsfehlers).
Bei der Prozess- bzw. Produktions-FMEA untersucht der Hersteller Prozess- bzw. Produktionsschritt für Prozess- bzw. Produktionsschritt. Für jeden dieser Schritte werden die Auswirkungen möglicher Fehler analysiert. Mögliche „nach außen sichtbare“ Fehler sind:
- Falsche physikalische, chemische oder biologische Beschaffenheit der Komponente
- Komponente gibt in nicht spezifizierter Weise Informationen bzw. Daten weiter (zu wenig, zu viel, zu früh, zu spät, falsche Reihenfolge usw.)
- Komponente gibt in nicht spezifizierter Weise Energien oder Materialien ab (zu wenig, zu viel, zu früh, zu spät, falscher Ort usw.)
Die Kenntnis, mit welcher Wahrscheinlichkeit zu welchen Fehlern im Produkt eine fehlerhafte Produktion führt, hilft im Rahmen der Entwicklungs-FMEA, die Wahrscheinlichkeiten des Fehlers in einer Komponente genauer abzuschätzen.
2. Tipps zur Anwendung der FMEA
a) Wesentliche Voraussetzung erfüllen: Eine dokumentierte System- bzw. Software-Architektur
Die FMEA setzt also im Gegensatz zur PHA eine Systemarchitektur bzw. Softwarearchitektur voraus. Erst wenn Sie diese Architekturen dokumentiert haben, kennen Sie die einzelnen Komponenten. Nur mit einer Architektur können Sie nachvollziehen, wie sich ein Fehler in einer dieser Komponenten auf das Gesamtsystem (Medizinprodukt) auswirkt.
Die Architekturen sollten aber nicht nur erkennen lassen, mit welchen anderen Komponenten eine Komponente interagiert, sondern auch wie. Um eine FMEA anwenden zu können, müssen Sie also wissen, welche
- Daten/Informationen,
- Materialien oder Stoffe bzw.
- Energien
eine Komponente zur nächsten weitergeben kann. Bei „Datenschnittstellen“ sollten Sie diese Information der Komponentenspezifikation entnehmen können.
b) Ergebnisse tabellarisch dokumentieren
Medizinproduktehersteller dokumentieren die Risiken meist tabellarisch und nennen diese Tabelle nicht ganz zutreffend die „FMEA-Tabelle“. Dieser Begriff ist irreführend, weil die Tabelle geeignet ist, die Ergebnisse aller Risikoanalyseverfahren (z.B. auch die der Fault-Tree-Analysis, FTA) zu dokumentieren. Regelmäßig hat diese Tabelle folgende Spalten:
- ID
- Komponente/Input
- Fehler in Komponente/Input
- Innere Ursachenkette
- Äußeres Fehlverhalten
- Gefährdung
- Wahrscheinlichkeit des Schadens
- Schweregrad des Schadens
- Risiko vor Maßnahmen
- usw.
Ebenfalls in dieser Tabelle dokumentieren Hersteller üblicherweise auch die Maßnahmen zur Risikobeherrschung.
c) FMEA mit HAZOP kombinieren
Um mögliche Fehlverhalten von Inputs oder Komponenten systematisch zu identifizieren, lässt sich die FMEA mit der HAZOP-Analyse kombinieren. Dieses Verfahren beschreibt die IEC 61882. Es arbeitet u.a. mit Leitfragen wie „zu früh?“ „falsche Reihenfolge?“ „zu schnell?“ usw.
3. Vor- und Nachteile der FMEA
a) Vorteile
Die FMEA hat den Vorteil, ein sehr systematisches Verfahren zu sein. Man kann bei gegebener System- bzw. Software-Architektur jede Komponente untersuchen und so „abhaken“.
Dieses Verfahren ist einfach zu verstehen und entspricht der Denkweise vieler Entwickler, die mit „ihrer“ Komponente beginnen können.
b) Nachteile
Die FMEA ist ungeeignet, um logische Verknüpfungen viele Fehler zu untersuchen und zu beschreiben. Dazu eignet sich die Fault-Tree-Analysis (FTA).
Auf Basis einer FMEA lässt sich auch nicht beurteilen, wie granular Komponenten analysiert werden müssen. Viele Medizinproduktehersteller ersticken in „Risikotabellen“ mit hunderten und tausenden von Zeilen.
Weil Entwickler diese Methode gut anwenden können, überträgt man ihnen oft die vollständige Risikoanalyse. Dafür sind aber Entwickler – in ihrer Rolle als Entwickler – weder qualifiziert noch geeignet.
Viele Hersteller wenden die FMEA unter Verwendung der Risikoprioritätszahl RPZ an. Diese Definition des Begriffs Risiko stimmt nicht mit der der ISO 14971 überein. Lesen Sie hier mehr über dieses Problem.
Hallo Herr Prof. Johner,
ich darf Sie auf den fast neuen Band FMEA des VDA aufmerksam machen.
https://webshop.vda.de/QMC/de/aiag-vda-fmea-handbuch
Dieser wurde gründlich überarbeitet und hat nun nicht mehr die RPZ, sondern die Aufgabenpriorität (AP).
Diese ist unterteilt in hoch, mittel und niedrig. Die AP ergibt sich immer noch aus B(edeutung) * A(uftreten) * E(ntdeckung). Wobei jetzt die Bedeutung wesentlich stärker gewichtet ist.
Mit vielen Grüßen
Oliver Graus
Einmal mehr, herzlichen Dank Herr Graus!
Ich werde demnächst den Beitrag überarbeiten. Danke für den Hinweis!
Beste Grüße, Christian Johner
lieber Herr Johner,
bei der Überarbeitung bitte noch den Druckfehlerteufel im Titel verbessern „Defin*in*ition“.
kann passieren, es hat keinen Einfluss auf den immer wieder ausgezeichneten Inhalt.
Herzliche Grüsse
Peter Pianegonda
Sie haben ja so Recht, Herr Pianegonda!
Vielen Dank für Ihren Hinweis, denn ich sofort umgesetzt habe. Damit ist das „inini“ beseitigt. 🙂
Nochmals vielen Dank!
Herzliche Grüße, Christian Johner