HAZOP – Risikoanalyse konform IEC 61882

Dienstag 4. Juli 2017

Die HAZOP (Hazard and Operability) ist ein Gefährdungsanalyseverfahren, das die ISO 14971 neben der FMEA, FTA und PHA empfiehlt. Das deutsche Akronym für HAZOP (Hazard and Operability) lautet PAAG. Das steht für Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen.

Die Norm IEC 61882 beschreibt dieses Verfahren.

Lernen Sie in diesem Artikel die HAZOP kennen. Erfahren Sie, wann Sie die HAZOP einsetzen sollten, um Risiken durch Ihre Medizinprodukte schnell und zuverlässig zu identifizieren und zu beherrschen.

HAZOP im Überblick

a) Ziel des Verfahrens: Systematische Gefährdungsanalyse

Das Ziel der HAZOP besteht darin, systematisch Gefährdungen zu identifizieren. Dabei geht es v.a. um Gefährdungen, die durch Systeme und Teile von Systemen verursacht werden, die nicht wie erwartet bzw. spezifiziert „funktionieren“. Den Begriff „Operability“ (der sich in HAZOP verbirgt) würde man in diesem Kontext als Funktionsfähigkeit übersetzen.

b) Gegenstand des Verfahrens: Analyse von Systemen und Teilen

Beispiele für Systeme sind:

  • Produkte z.B. Medizinprodukte
  • Systeme aus Produkten z.B. vernetzte Medizinprodukte oder Medizinprodukte und Zubehör
  • Softwareanwendungen
  • Prozesse z.B. zur Produktion, Sterilisation, Inbetriebnahme, Wartung
  • Anlagen z.B. in der chemischen Industrie (hier hat die HAZOP ihren Urprung)

Entsprechend sind Teile dieser Systeme beispielsweise:

c) Prinzip der HAZOP im Überblick

Das Verfahren basiert auf fünf wesentlichen Überlegungen:

  1. Was sind die Parameter / Eigenschaften, die ein System oder ein Teil eines Systems gewährleisten muss? Beispielsweise muss ein Defibrillator als ein Parameter eine spezifizierte Energiemenge liefern.
  2. In welcher Art und Weise können die Parameter / Eigenschaften vom Soll-Wert abweichen. Dazu benutzt man Leitworte wie „zu früh“, „zu viel“, „teilweise“ usw. Eine Übersicht über diese Leitworte finden Sie weiter unten.
  3. Welche Abweichungen kann es geben? Dazu kombiniert man die Parameter und Leitworte (Abweichung = Leitwort + Parameter). In unserem Beispiel besteht beim Defibrillator eine mögliche Abweichung darin, dass die Energiemenge (Parameter) zu früh (Leitwort) abgegeben wird.
  4. Was sind die Ursachen und Folgen dieser Abweichung?
  5. Durch welche Maßnahmen lassen sich die Risiken beherrschen?

HAZOP als Verfahren (gemäß IEC 61882)

a) Die IEC 61882 im Überblick

Die IEC 61882 normiert die HAZOP. Sie beschreibt

  • die Prinzipien,
  • den Anwendungsbereich und die Beschränkungen,
  • die vier Schritte einschließlich der Dokumentation und
  • dass man die HAZOP-Untersuchungen selbst wieder auditieren kann.

Im Anhang stellt die IEC 61882 ein Beispiel vor.

Mindmap, die eine Übersicht über die Kapitel der IEC 61882 gibt.

Abb. 1: IEC 61882 (Kapitelübersicht) (zum Vergrößern bitte klicken)

b) Die vier Schritte gemäß IEC 61882

Die Norm unterteilt das Verfahren in die Schritte (Teilaufgaben), die man aus dem Aufgabenmodell nach Dzida kennt:

  • Planung (hier „Festlegungen“ genannt)
  • Vorbereitung
  • Durchführung (hier „Untersuchung“ genannt“)
  • Ergebnisbewertung und Ergebnisweitergabe (hier „Dokumentation und Folgeaktivitäten“ genannt)
Die vier Schritte der HAZOP (Hazard Operationability)

Abb. 2: Die vier Schritte bei einer HAZOP gemäß IEC 61882 (zum Vergrößern klicken)

  1. Schritt: Festlegungen
    Im ersten Schritt legt der Projektmanager das zu untersuchende System und das Ziel der Analyse fest. Er stellt auch sein Team zusammen. Typische Rollen in diesem Team sind

    • der Leiter der HAZOP-Untersuchung (am System unbeteiligter Experte),
    • der „Aufzeichner“ (der die Dokumentation erstellt),
    • der Systemexperte (z.B. Systemarchitekt),
    • Anwender des Systems sowie
    • bei Bedarf weitere Spezialisten.
  2. Schritt: Vorbereitung
    Während der Vorbereitungsphase trägt der Untersuchungsleiter Informationen zusammen (z.B. über das System) und bereitet diese ggf. weiter auf z.B. in Form von Zeichnungen oder Ablaufdiagrammen. Er organisiert das/die Treffen (Termine, Teilnehmer, Räume, Hilfsmittel) und ergänzt die Liste an Leitworten (s.u.).
  3. Schritt: Untersuchung
    Bei der Untersuchung geht das Team wie folgt vor:

    1. Begrüßung, Ziele und System vorstellen
    2. System in seine Teile zerlegen
    3. Für jedes Teil dessen „Zweckbestimmung“ identifizieren
    4. Dafür alle notwendigen „Elemente“ (Charakteristiken wie Materialien, Parameter) bestimmen
    5. Für jedes dieser Elemente jedes der Leitworte nutzen und prüfen, ob eine Abweichung möglich ist und zu einer Gefährdung beitragen könnte.
    6. Ergebnisse dokumentieren (s.u.), Empfehlungen für risikominimierende Maßnahmen aussprechen und Folgeaktivitäten festlegen (z.B. um offen gebliebene Punkte zu klären.
  4. Folgeaktivitäten ergreifen

c) Die Leitworte („Guide Words“)

Das zentrale Element der HAZOP sind die Leitworte. Die IEC 61882 normiert diese Liste. Die Leitworte sollen genutzt werden, um Abweichungen systematisch zu erkennen. Dazu soll jeder Parameter mit jedem Leitwort kombiniert werden. Am obigen Beispiel des Defibrillators mit dem Parameter „abgegebene Energie“ wären mögliche Abweichungen

  • Nein: Keine Energie abgegeben
  • Mehr: Zu viel Energie
  • Weniger: Zu wenig Energie abgegeben
  • Sowohl als auch: Energie wird abgegeben, aber sonstiges Verhalten tritt auf z.B. Defibrillator wird heiß oder Energie wird auch an Anwender abgegeben
  • usw.

Hier eine Übersicht über die Leitworte nach IEC 61882:

Leitwort (deutsch) Guide word (English) Erklärung
Nein, nicht No Abweichung vom Soll-Verhalten
Mehr More Quantitativer Zuwachs, zu viel
Weniger Less Quantitative Abnahme, zu wenig
Sowohl als auch As well as Zusätzliche Ereignisse zum Soll-Verhalten
Teilweise Part of Soll-Verhalten nur unvollständig erreicht
Umkehrung Reverse Gegenteil des Soll-Verhaltens
Anders als Other than Etwas anderes als das Soll-Verhalten
Früher / später Earlier / later Soll-Verhalten zu einem früheren / späteren Zeitpunkt
Zuvor / danach Before / after Soll-Verhalten in anderer Reihenfolge
Schneller / langsamer Faster / slower Nicht erwartete Änderung der Ablauf- bzw. Ausführungsgeschwindigkeit

d) Dokumentation

Vergleichbar zu anderen Verfahren lassen sich auch die Ergebnisse der HAZOP tabellarisch dokumentieren:

System, Sub-System Teile Parameter, Variable Leitwort Mögliche Ursachen Mögliche Folgen Mögliche Maßnahmen (ggf. mit Nachverfolgung)

Die wesentlichen Erkenntnisse sollten dann in die „Risikotabelle“ übernommen werden.

Besondere Aspekte

a) HAZOP bei Software

Die HAZOP empfiehlt sich auch, um Gefährdungen durch fehlerhafte Software systematisch zu analysieren.

Begriff aus HAZOP Beispiel bei Software
System
  • Software-Programm
  • Medical App
  • Vernetzte Software-Anwendungen
  • Client-Server-Anwendung
Teil
  • Software-Komponente (inkl. SOUP)
  • Verarbeitungsschritt
  • Layer (bei Schichtenarchitekturen)
  • Hardware, Netzwerk
  • Zustandsautomat
Element / Charakteristik
  • Daten
  • Kardinalität von Entity-Beziehungen
  • Anzeige
  • Berechnung
  • Speicherung
  • Zustand

In Audits erleben wir häufig Auditoren, die erwarten, dass die Hersteller die Folgen untersucht haben, wenn Daten zu früh, zu spät, verfälscht, in falsche Reihenfolge oder vom falschen Sender oder zum falschen Empfänger geleitet werden. Diese Überlegungen sind zwar wertvoll, zielen aber häufig vornehmlich auf die technische Datenübertragung. In der Praxis finden sich die Probleme jedoch auf den höheren Interoperabilitätsebenen.

b) Abgrenzung zu anderen Verfahren

Die FMEA sucht zu einer angenommenen Ursache unbekannte Wirkungen („bottom-up“). Umgekehrt sucht die FTA zu gegebenen Wirkungen unbekannte Ursachen („top-down“).

Hingegen analysiert man mit der HAZOP die Ereigniskette in beide Richtungen (Ursache und Folgen). Die HAZOP ist kein alternatives, sondern ein zusätzliches Verfahren.

c) Einbindung in den Entwicklungsprozess

Da die HAZOP das System und seine Teile kennen muss, empfiehlt sich das Verfahren nach der Spezifikation der Systemanforderung bzw. ab der Systemarchitektur. Dabei ist die HAZOP keinesfalls auf die Entwicklung beschränkt. Vielmehr sollte sie auch in Produktion sowie weiteren kritischen Prozessen angewendet werden.

Möchte man das Verfahren bereits beim Erstellen der „System Requirements Specification“ anwenden, sollte man das Produkt / System als Blackbox und die externen Schnittstellen als dessen Teile betrachten.

d) HAZOP und IEC 60601-1

Die IEC 60601-1 fordert, die wesentlichen Leistungsmerkmale zu identifizieren. Diese beschreiben das, was die IEC 61882 den „Design Intent“ nennt. Damit bietet sich die HAZOP an, um wesentliche Leistungsmerkmale sowohl zu identifizieren, als auch um zu untersuchen, in welcher Weise diese nicht erfüllt sein können.

Fazit

Die HAZOP ist ein systematisches Verfahren, das aber wie alle Verfahren zur Gefährdungsanalyse nicht nachweisen kann, dass alle Gefährdungen betrachtet wurden.

Es ist einerseits einfach zu verstehen, setzt andererseits aber einen erfahrenen Untersuchungsleiter und eine korrekte und vollständige Dokumentation des Systems, seiner Teile und Schnittstellen voraus. Falls Teile nicht erkannt oder beschrieben sind, findet man die entsprechenden Gefährdungen nicht.

Die HAZOP stellt ein multidisziplinäres Team in den Mittelpunkt der Untersuchung. Das sichert einen guten Informationsfluss und verschiedene Betrachtungswinkel. Weil der Fokus sehr auf das System und seine Teile gerichtet ist, eignet es sich nicht, um Risiken durch mangelnde Gebrauchstauglichkeit zu identifizieren. Bei stand-alone Software sind das die häufigsten.


Kategorien: Risikomanagement & ISO 14971
Tags:

Kommentar schreiben