Obwohl die ISO 14971 die Begriffe Gefährdung und Gefährdungssituation definiert, fällt es Medizinprodukte-Herstellern oft schwer, Sachverhalte den beiden Begriffen zuzuordnen. Dieser Artikel gibt Hilfestellung.
Inhaltsübersicht
Definition der Begriffe »
Beispiele für Gefährdungen »
Typische Fehler »

Definition von Gefährdung und Gefährdungssituation

Die ISO 14971 definiert:

  • Gefährdung: Potenzielle Schadensquelle
  • Gefährdungssituation: Umstände unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind

Beispiele für Gefährdungen

Gefährdungen sind definitionsgemäß potentielle Schadensquellen. Man kann der Norm uneingeschränkt zustimmen, dass Viren, ionisierende Strahlung und sich bewegende Teile potentielle Schadensquellen sind. Aber eine Bedienungsanleitung? Eine unzureichende Spezifikation der Zweckbestimmung?

Das können Gründe sein, Glieder einer Ursachenkette, an deren Ende eine Gefährdung, dann eine Gefährdungssituation und dann ein Schaden steht.

Die ISO 14971, konkret die Tabelle E.1, nennt tw. eigentümliche Beispiele für Gefährdungen.

Die ISO 14971 nennt als Beispiele für Gefährdungen:

  • Chemische Gefährdungen
  • Elektrische Energie
  • Mechanische Energie
  • Elektromagnetische Strahlung
  • Thermische Gefährdung
  • Biologische Gefährdungen
  • Gefährdungen durch (falsche) Informationen wie Handbücher oder Anzeigen.

Das letzte Beispiel führt häufig zur Verwirrung, denn durch eine falsche Information oder falsche Anzeige ist noch nie jemand — direkt — zu Schaden gekommen. Vielmehr war die Information oder Anzeige ein Element eine Ursachenkette, die letztlich zu einer Gefährdung führt.

Daher empfehlen wir folgende Ergänzung der Definition von Gefährdung:

Die Gefährdung ist das letzte Element einer Ursachenkette vor der Gefährdungssituation.

Typische Fehler beim Umgang mit dem Begriff „Gefährdung“

Einführendes Beispiel

Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?

Das ist eine sehr gute Frage! Hier scheiden sich manchmal die Geister, weil eine präzise Definition fehlt. Die ISO 14971 spricht nur davon, dass eine Gefährdung eine potenzielle Schadensquelle sei. Damit macht sie aber nicht klar, welches Element einer Ursachenkette gemeint ist.

Daher kann man die Sache mit einer weiteren Definition klarstellen: Die Gefährdung ist das letzte Element einer Ursachenkette vor der Gefährdungssituation.

Damit sieht die Abfolge wie folgt aus:

  • Auslösende Ursache: Software-Fehler
  • Element der folgenden Ursachenkette: Falsche Anzeige eines Medikaments
  • Gefährdung: Das Medikament (also eine chemische Gefährdung)
  • Gefährdungssituation: Der Mensch, der diesem falschen Medikament ausgesetzt ist, z.B. bei der Einnahme
  • Schaden: allergischer Schock

Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.

Nun gibt es Firmen, denen solche Konzepte zu „hoch“ sind und daher als Gefährdung immer das nach außen sichtbare Fehlverhalten des Geräts wählen. Das wäre in diesem Fall die falsche Anzeige. Bei physikalischen Größen wie Strom, Temperatur, scharfen Kanten stimmt das mit der oben genannten ergänzten Definition überein. Bei Informationen in der Regel aber nicht.

Auch die Festlegung, dass die Gefährdung dem äußeren Fehlverhalten entspricht ist eine nützlich. Wichtig ist, dass die Hersteller sich auf eine Festlegung einigen.

Begriffsverwirrungen

Ein Blick in die Risikomanagementakte vieler Medizintechnikhersteller offenbart, dass bereits die Grundlagen des Risikomanagements nicht ganz verstanden sind: In den Tabellen, welche die Risiken, deren Ursachen und Gegenmaßnahme miteinander verknüpfen, werden Ursachen mit Gefährdungen, Gefährdungen mit Gefährdungssituationen und Risiken mit Schäden verwechselt. Entsprechend unstrukturiert sehen die Akten aus, entsprechend chaotisch sind Gegenmaßnahmen mit Risiken verknüpft. Ein Einfallstor für Auditoren.

Für Hersteller ist die Erkenntnis oft überraschend, dass nicht mehr ihr Produkt die Gefährdung darstellen muss, insbesondere bei Benutzungsschnittstellen, die nicht gebrauchstauglich sind oder sogar falsche Daten anzeigen.

Innere und äußere Ursachenkette

In der klassischen Medizintechnik stellt nämlich immer die Außenkante des Medizinprodukts die Gefährdung dar:

  • Das heiße Gehäuse (thermische Gefährdung)
  • Das unter Spannung stehende Gehäuse (Gefährdung durch elektrische Energie)
  • Die scharfe Kante (mechanische Gefährdung)

Nun kann es passieren, dass eine falsche Anzeige z.B. einer Medikamentendosis bei einem klinischen Informationssystem zu der Einnahme eines falschen Medikaments führt. D.h. nicht das Informationssystem stellt die Gefährdung dar, sonder das falsche Medikament (chemische Gefährdung). Dennoch muss der Hersteller diese Gefährdungen im Rahmen der Risikoanalyse analysieren und bewerten.

Weitere Erläuterungen

Der Auditgarant hilft Ihnen mit über einem Dutzend Videotrainings Schritt für Schritt

  • die Definitionen in Ihrer Risikomanagementakte korrekt zu verwenden,
  • Gefährdungen mit Verfahren wie der PHA, FMEA und FTA systematisch zu analysieren und identifizieren,
  • geeignete Maßnahmen zu wählen, umzusetzen und zu validieren und
  • eine ISO 14971 konforme Risikomanagementakte zu erstellen und damit im Audit erfolgreich zu sein.

Videotrainings im Auditgarant ansehen

Beispiele für Gefährdungen durch Medizinprodukte

Kennen Sie die Veröffentlichung „TOP 10 HEALTH TECHNOLOGY HAZARDS FOR 2018“?

Gefährdungen durch Medizinprodukte

Fast jede zweite Gefährdung hat mehr oder weniger direkt mit Software zu tun.

  1. Alarm hazards
  2. Medication administration errors using infusion pumps
  3. Unnecessary exposures and radiation burns from diagnostic radiology procedures
  4. Patient/data mismatches in EHRs and other health IT systems
  5. Interoperability failures with medical devices and health IT systems
  6. Air embolism hazards
  7. Inattention to the needs of pediatric patients when using “adult” technologies
  8. Inadequate reprocessing of endoscopic devices and surgical instruments
  9. Caregiver distractions from smartphones and other mobile devices
  10. Surgical fires

Werden wir diesen Gefährdungen wirklich gerecht? Der Blick in manche Risikomanagementakte lässt mich zweifeln.

 

PS: Als Leser des ganzen Beitrags wissen Sie aber, dass obige Liste Gefährdungen und Ursachen für Gefährdungen vermischt…

Wie hilfreich war dieser Beitrag?

Bitte bewerten Sie:

Durchschnittliche Bewertung 0 / 5. Anzahl Bewertungen: 0

Geben Sie die erste Bewertung!

Ähnliche Beiträge

Risikomanagement & ISO 14971

Mittwoch, 9. September 2020

Die nachgelagerte Phase: Nicht nur relevant für die ISO 14971
Regulatory Affairs

Montag, 20. Juli 2020

Post-Market Surveillance und Überwachung der Produkte im Markt
Risikomanagement & ISO 14971

Mittwoch, 10. Juni 2020

Fehlerwahrscheinlichkeit bei Software

Kategorien: Risikomanagement & ISO 14971

4 Kommentare

  1. Bruno Gretler | Sonntag, 23. September 2018 um 17:23 Uhr - Antworten

    Hallo Christian
    Eventl sollte folgender Textteil geringfügig richtig gestellt werden…

    Textabschnitt: Typische Fehler beim Umgang mit dem Begriff „Gefährdung“

    Die Eingangsfrage lautet:
    Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung, fragt mich ein Beratungskunde. Die fehlerhafte Software oder die falsche Anzeige?

    Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das fehlerhaft (dosierte Medikament).

    Aus meiner Sicht sollte entweder die Frage oder die Antwort in diesem Beispiel angepasst werden.

    Eingangsfrage:
    Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsche Dosis eines Medikamentes anzeigt.

    Oder:
    Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsches Medikament anzeigt.

    Die Antwort dann entsprechend…
    – falsche dosiertes Medikament oder
    – falsches Medikament

    Liebe Grüsse,
    Bruno

    • Prof. Dr. Christian Johner | Sonntag, 23. September 2018 um 17:40 Uhr - Antworten

      Danke, lieber Bruno! Das bist Du noch auf einen uralten Beitrag gestoßen, der dringend der Aktualisierung bedarf. Ich habe das weitgehend schon getan, mache mich aber nochmals ans Werk. Danke!
      Liebe Grüße, Christian

  2. Ulrich Günther | Mittwoch, 9. September 2020 um 10:14 Uhr - Antworten

    Sehr geehrter Herr Johner,

    ich stimme Ihrer Feststellung zu, dass die Definition der „Gefährdung“ wirklich sehr schwer ist. Aus diesem Grund würde ich in Ihrem Beispiel die Gefährdung wahrscheinlich auch woanders sehen:

    Das Beispiel lautet:
    „Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?“

    Ihre Antwort dafür lautet:
    „Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.“

    Ich denke, es können hier zwei Szenarien für die Bewertung unterschieden werden:

    – Wenn man die Risikobetrachtung „nur“ für die Software vornimmt, dann wäre meine Analyse: Die Gefährdung liegt in der Funktion „Anzeigen eines Medikaments“. Denn sowohl „fehlerhafte Software“ sowie „falsche Anzeige“ sind ja bereits real gewordene Gefährdungssituationen. Das entspricht am meisten einem Besipiel für mechanische Gefährdung durch Lagern schwerer Güter in größeren Höhen, bei dem das Risiko „Person wird durch herabfallende Güter verletzt“ sich vermeiden ließe, indem direkt an der Gefährdung angegriffen wird und die Güter auf dem Boden gelagert werden. In Ihrem Beispiel ließe sich das Risiko vermeiden, indem direkt an der Gefährdung angegriffen wird und kein Medikament angezeigt wird, sondern z.B. „nur“ ein Diagnosehinweis oder ein Messwert. (Das ist ein gutes Beispiel der zunehmenden Verantwortungsübernahme durch eine Software, derer sich jeder Software-Entwickler bewusst sein sollte: Anzeigen eines nackten Messwerts (geringste Verantwortung) -> Anzeigen eines Analyseergebnis -> Anzeige einer Diagnose -> Anzeige einer Medikamentierung -> Start einer Behandlung, z.B. Infusion (höchste Verantwortung))

    – Erweitert man die Betrachtung auf den ganzen Prozess bis zum Schaden des Patienten kann man die Gefährdung natürlich in der Verwendung eines Medikaments sehen (auch hier ist das falsche Medikament bereits wieder der Beginn einer realgewordenen Gefährdungssituationskette), man kann aber auch als Gefährdung die Verwendung einer Software für die Definition eines Medikaments sehen.

    Für mich eine wichtige Frage in dieser Diskussion ist allerdings, in wieweit eine scharfe, genaue Definition zur der Qualität einer Risikoanalyse beiträgt. Sicherlich kann es die Übersichtlichkeit steigern, aber wichtiger scheint mir die Identifizierung von Gefährdungssituationen und den damit verbundenen Risiken (Schaden x Auftretenswahrscheinlichkeit) und daraus resultierend geeignete Gegenmaßnahmen, gleichgültig, ob sie an der Gefährdung oder der Gefährdungssituation angreifen.

    Mit Grüßen

    Ulrich Günther

    • Prof. Dr. Christian Johner | Mittwoch, 9. September 2020 um 14:51 Uhr - Antworten

      Sehr geehrter Herr Günther,

      danke für die wichtige Nachfrage!

      Wir haben diese Diskussion, da die Norm uns von Seiten der Definition etwas alleine lässt. Die Definition erlaubt sowohl das Medikament als auch die falsche Anzeige als Gefährdung zuzulassen.

      D.h. man benötigt eigene Definitionen, die die obige Definition präzisieren, um zu konsistenten Akten zu gelangen. Beispiele für diese Ergänzungen sind:

      1. Gefährdung := letztes Element der Ursachenkette vor der Gefährdungssituation. Dann ist das Medikament die Gefährdung.
      2. Gefährdung := äußeres Fehlverhalten des Produkts. Dann ist die falsche Anzeige die Gefährdung.

      Die genaue Festlegung ist deshalb wichtig, weil sonst inkonsistente Daten in der Akte landen, was wiederum zu unvollständigen weil unsystematischen Analysen führen kann.

      Konnte ich Ihre Frage beantworten? Falls nicht, dann haken Sie einfach nach.

      Beste Grüße, Christian Johner

Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.