Risikoprioritätszahl RPZ: Definition und Berechnung

Freitag 26. Juni 2015

Firmen, beispielsweise solche, die einen Bezug zur Pharmaindustrie haben, verwenden die Risikoprioritätszahl RPZ.

Es gibt jedoch Branchen, in denen das Risiko nicht über eine RPZ bewertet werden darf. Beispielsweise in der Medizintechnik ist die Definition der Risikoprioritätszahl RPZ nicht konform mit der Definition des Begriffs Risiko gemäß der ISO 14971. Das kann im Audit und bei Produktzulassungen zu Beanstandungen führen.

1. Berechnung der Risikoprioritätszahl RPZ

Definition: Risikoprioritätszahl RPZ

„Die Risikoprioritätszahl berechnet sich als Produkt aus drei Größen

  1. Entdeckungswahrscheinlichkeit eines Fehlers,
  2. Wahrscheinlichkeit des Auftretens des Fehlers und
  3. Schweregrad des resultierenden Schadens.“
Quelle: Wikipedia zur FMEA
Risikoprioritätszahl RPZ Risiko

Abb. 1: Die Risikoprioritätszahl RPZ ist das Produkt aus drei Größen

Meist quantifizieren die Hersteller die drei Größen:

  1. Entdeckungswahrscheinlichkeit eines Fehlers: gering (10) bis hoch (1)
  2. Wahrscheinlichkeit des Auftretens des Fehlers: gering (1) bis hoch (10)
  3. Schweregrad des resultierenden Schadens: gering (1) bis hoch (10)

Damit kann die Risikoprioritätszahl RPZ Werte zwischen 1 und 1000 annehmen.

Beispiel

Ein Hersteller bestimmt die Wahrscheinlichkeit eines Fehlers als hoch (z.B. 9 von 10), die Entdeckungswahrscheinlichkeit als mittel (z.B. 5 von 10) und die Auswirkung des Fehlers als niedrig (z.B. 3 von 10). Dann berechnet sich die RPZ als 9 x 5 x 3 = 135.

In den Risikomanagementakten werden die Risiken häufig tabellarisch dargestellt:

Risiko-ID Fehler = Aus-lösende Ursache Mögliche Folge, Schaden Wahr-schein-lichkeit des Fehlers 1 – Ent-deckungs-wahr-scheinlich-keit Schwere-grade des Schadens Risiko-prioritäts-zahl RPZ Maß-nahmen
ID Text Text Zahl
(1-10)
Zahl
(1-10)
Zahl
(1-10)
Zahl
(1-1000)
Text
R001 9 5 3 135

2. Worauf Sie beim Verwenden der Risikoprioritätszahl RPZ achten sollten

a) Die Risikoprioritätszahl entspricht nicht der Definition der ISO 14971

Vergleichen wir die Risikoprioritätszahl mit der Definition des Begriffs Risiko gemäß ISO 14971.

Definition: Risiko

„Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrades dieses Schadens“

Quelle: ISO 14971:2012

Im Anhang schreibt die Norm sogar:

„Das Risiko ist in 2.16 als Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrades dieses Schadens definiert. Dies bedeutet nicht, dass die beiden Faktoren multipliziert werden [Fettung durch Redaktion], um zu einem Risikowert zu gelangen. Ein Weg zur Beschreibung des Risikos und zur Veranschaulichung der Bedeutung der Definition wäre ein zweidimensionales Risikodiagramm.“

Diese Definition kennt nur zwei Größen, daher lässt sich das Risiko in einer zweidimensionalen Darstellung – konkret in einer Matrix – darstellen. Doch wie will man eine RPZ visualisieren? In 3D?

Einige versuchen, die RPZ dadurch in die „2D-Welt“ zu retten, in dem sie behaupten, die Wahrscheinlichkeit des Schadens entspricht dem Produkt aus Auftretenswahrscheinlichkeit und (1 – Entdeckungswahrscheinlichkeit). Doch das stimmt nicht, denn bei einer Entdeckungswahrscheinlichkeit von 0 müsste sonst die Auftretenswahrscheinlichkeit des Fehlers im Sinne der RPZ mit der Wahrscheinlichkeit des Schadens übereinstimmen. Das ist zum Glück nicht der Fall, denn nicht jeder (unentdeckte) Fehler führt automatisch zu einem Schaden.

b) Die Risikoprioritätszahl RPZ kann zusätzlichen Aufwand verursachen

Selbst wenn das Johner Institut dafür plädiert, die Ursachenkette von der auslösenden Ursache bis zur „Gerätekante“ und von der „Gerätekante“ bis zum Schaden zu trennen und damit mit zwei Wahrscheinlichkeiten zu arbeiten, muss klar sein, dass für die Risikoprioritätszahl RPZ immer zwei Wahrscheinlichkeiten bestimmt werden müssen. Zudem müssen „echte Wahrscheinlichkeiten“ in normierte Wahrscheinlichkeiten (z.B. von 1-10) umgerechnet werden.

Die Hersteller stehen vor der Aufgabe, statt für zwei Dimensionen für drei Dimensionen die Klassifizierungskriterien festlegen zu müssen. Zudem müssen Sie das anstatt den üblichen 4 bis 5 Klassen nun für 10 Klassen machen.

D.h. die Herstellen müssen für insgesamt 100 Klassen die Klassifizierungsmerkmale definieren!

c) Illusion einer Genauigkeit

Meist tun sich die Hersteller bereits damit schwer, die Klassifizierungskriterien für eine Schweregrad-Achse mit 4 Kategorien festzulegen und die Risiken danach zu bewerten.

Bei 10-teiligen Skalen dürfte die Schätzgenauigkeit niedriger sein als die Kategorien dies vermuten lassen. Damit wird die Risikoprioritätszahl zu einer sehr groben Schätzgröße. Die 1000 möglichen Werte für die RPZ stellen eher eine „Genauigkeitsillusion“ dar.

d) Risiko-Nutzen-Verhältnis unklar

Was bedeutet jetzt eine Entdeckungswahrscheinlichkeit von 3 und Auftretenswahrscheinlichkeit von 7? Wie viele Schadensereignisse bedeutet das konkret? Das müssen Sie wissen, sonst können Sie den Nutzen und das Risiko durch Ihr Produkt nicht vergleichen.

Der Ansatz vieler Hersteller, den Wert 125 (5 x 5 x 5) als Grenzwert zwischen inakzeptablen und akzeptablen Risiken zu definieren, erscheint willkürlich. Dieser Grenzwert muss aus dem Nutzen abgeleitet werden.

Und genau das sollten Sie in der Risikoakzeptanzmatrix tun, auch um die Forderung der Medizinprodukterichtlinie und der ISO 14971 nach einer Risiko-Nutzen-Bewertung gerecht zu werden.

Vorsicht!

Definition Akzeptanz: Hersteller müssen die Akzeptanz von Risiken anhand des konkreten Nutzens nachweisen und dürfen dies nicht anhand eines willkürlichen Werts tun.

Falscher Skalentyp: Zudem ergibt die Multiplikation von Werten nur auf Vergleichsskalen einen Sinn. Werte einer Schweregradachse in einer Multiplikation zu verwenden, ist genauso unsinnig wie bei einer Schulnotenskala: Ein Schüler mit der Note 2 ist nicht doppelt so gut wie einer mit der Note 4. Ein Schaden der Kategorie 4 ist nicht doppelt so hoch wie einer der Kategorie 2.

Dieses Problems sind sich die meisten Hersteller, die mit einer RPZ arbeiten, nicht bewusst.

Weiterführende Informationen

Lesen Sie hier mehr zum Thema Herleiten von Risikoakzeptanzkriterien und Risikopolitik.

e) Irrtum, die Risikoprioritätszahl RPZ habe was mit der FMEA zu tun

Selbst Wikipedia führt einem beim Begriff RPZ bzw. Risikoprioritätszahl auf die Seite zur FMEA. Dabei haben Verfahren zur Gefährdungsanalyse (zu denen die FMEA zählt) erst einmal nichts mit der Definition des Risikos zu tun. (Lesen Sie hier mehr zur FMEA.)

3. Fazit: Vergessen Sie die Risikoprioritätszahl RPZ

Was bedeutet das für Sie?

  1. Wenn Sie in der Medizintechnik arbeiten, vergessen Sie die RPZ (zumindest in obiger Definition) und ersparen Sie sich unnötigen Ärger mit Audit. Nutzen Sie die Definition der ISO 14971.
  2. Nutzen Sie die RPZ im Rahmen von Design- und Prozess-FMEAs, nicht aber um Risiken für Patienten zu quantifizieren.
Prof. Dr. Christian Johner
Benötigen Sie Unterstützung dabei, die Risiken durch Ihre Medizinprodukte zu identifizieren und quantifizieren? Professor Johner und sein Team helfen gerne! Nehmen Sie Kontakt auf!
War dieser Artikel hilfreich? Bitte berwerten Sie:
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne

Autor des Beitrags " Risikoprioritätszahl RPZ: Definition und Berechnung

Johner Institut GmbH

Logo Johner Institut klein

Bewertung 0 von 5 bei 0 Bewertungen


Kategorien: Beliebteste Beiträge, Risikomanagement & ISO 14971

11 Kommentare über “Risikoprioritätszahl RPZ: Definition und Berechnung”

  1. Peter Knipp schrieb:

    Lieber Herr Johner,
    ich muss leider an drei Stellen einhaken. Es ist nicht nur als Beobachtung richtig, sondern auch folgerichtig, dass Unternehmen aus dem Pharmaumfeld mit diesem Ansatz kommen: Dort gibt es den GAMP-Guide, in dem dieses Vorgehen für zu validierende IT-Systeme beispielhaft vorgegeben ist. Dort hat es Charme und Berechtigung: Gerade bei IT-Systemen kann man durch proaktives Monitoring Gefährdungen entdecken (nicht Schäden, dann ist es zu spät) und reagieren, bevor es zum Schaden kommt.

    Der Ansatz ist bei Medizinprodukten nicht zu empfehlen, wenn man einmal auf den Ansatz der FDA schaut. Dort ist es egal, ob ein Fehler erkannt wird: wenn eine Gefährdung vorliegt, sprechen wir von einem Produkt, das (vermutlich) seine Spezifikation nicht einhält und zurückgerufen werden muss. Zitat eines FDA-Inspektors.

    In Ihrer Begründung gegen den Versuch zur 2D-Rettung scheint ein Fehler zu sein: Die Rechnung des Kunden „A x (1-E)“ ist richtig, weil laut Definition von Risiko die Auftretenswahrscheinlichkeit eines Schadens betrachtet wird, nicht aber die für einen Fehler (besser: Gefährdung).

    Ich stimme Ihnen in der Konsequenz zu, dass die Entdeckungswahrscheinlichkeit besser nicht mit berücksichtigt werden sollte: Viele Kunden machen sich nämlich nicht klar, wer da zu welchem Zeitpunkt was entdeckt. Wenn der Kunde (Patient/Arzt) einen Schaden oder einen Fehler/Gefährdung entdeckt, hat unser QM-System bereits versagt, denn wir haben ein fehlerhaftes Produkt ausgeliefert.

  2. Christian Johner schrieb:

    Danke für Ihren wertvollen Beitrag, Herr Knipp!
    Sie haben Recht, es ist die Wahrscheinlichkeit des Schadens, nicht des Fehlers (und auch nicht der Gefährdung), die in die Definition des Begriffs Risiko miteinfließt. Insofern bzw. darüber hinaus gibt es keine unterschiedlichen Sichtweisen, oder?
    Viele Grüße
    Christian Johner

  3. Rudi Dueck schrieb:

    Hallo Christian,

    darstellen könnte man das schon, nämlich in dem man verschieden große Bubbles verwendet (je nach Wahrscheinlichkeit), also quasi einer abgewandelten BCG-Matrix. Allerdings ist eine Aussage bzw. Ableitung von Ergebnissen/Entscheidungen trotzdem nicht gelöst, …vielleicht aber möglich!?

    siehe auch:
    http://de.wikipedia.org/w/index.php?title=Datei:BCG-Matrix2.svg&filetimestamp=20100204190318

    Viele Grüße

    Rudi Dück

  4. Peter Knipp schrieb:

    Hallo Herr Johner,
    richtig, unsere generelle Sichweise ist die gleiche, was mich freut. Für Medizinprodukte stelle ich in Schulungen die Möglichkeit der Aufnahme eines oder mehrerer Faktoren vor, weil es in der Wirklichkeit und in anderen Branchen so vorkommt und eine Berechtigung haben kann. Ich rate meinen Kunden aber explizit von der Verwendung der Entdeckung ab, weil meistens kein Nutzen davon zu erwarten ist, dafür aber – genau wie Sie sagen – ein großes Risiko im Audit.
    Es gibt Norm-Puristen (dazu gehören Sie nicht!), die glauben, dass die Entdeckungswahrscheinlichkeit nicht verwendet werden dürfe: Gegen diese wende ich mich, weil die Norm das nicht explizit verbietet. Sie nennt nur diese Möglichkeit nicht, so dass ich denkenden Entwicklern gerne einmal die Möglichkeit zeige und damit das Selbstbewusstsein stärke, dass sie die Risikoanalyse beherrschen und für sich nutzbar machen sollen.

    Insofern finde ich auch den Kommentar von Herrn Dueck schön: man soll ruhig einmal auf die Suche nach alternativen Darstellungen gehen, die Norm schreibt das ja nicht vor, sondern gibt nur Beispiele.

    Viele Grüße
    Peter Knipp

  5. Markus Kreuz schrieb:

    Hallo Herr Johner,

    prinzipiell bin ich auch der Überzeugung, dass die ursprünglich für die berechnung von Versicherungsprämien entwickelte FMEA Methode für GMP-Risikoanalysen nicht ideal ist.
    Für Versicherungen ist die Entdeckungswarscheinlichkeit natürlich wenig relevant, denn ein Schaden der nicht entdeckt wird, kann dort gleichgesetzt werden mit den Schäden, die nicht aufgetreten sind.
    Im GMP-Umfeld wäre es genau so, wenn man den Zeitraum der Entdeckung bis zum Patienten ausdehnen würde. (Wenn es beim Patient auch noch nicht auf fällt ist der Fehler wohl nicht relevant gewesen.)
    Tatsächlich ist im GMP-Umfeld jedoch die Warscheinlichkeit der Entdeckung (verbunden mit einer entsprechenden Maßnahme, z.B. Ausschleusen des fehlerhaften Objekts) vor der Freigabe beim Hersteller gemeint. Z.B. ein fehlender Beipackzettel in der Fertigpackung wird erkannt und die Packung aussortiert. Damit wird verhindert, dass der Fehler wirksam wird.
    Deshalb wird in der GMP-Welt diese Modifikation der FMEA nach ISO 14971 gerne angewand. Die Multiplikation der einzelnen Werte und die Festlegung einer Grenze für die RPZ ab welcher Maßnahmen erforderlich sind, geht auf F.Reg. Farmer (Farmerkurve) zurück.

    Es stellt sich die Frage, warum man Risiken gemäß der erweiterten FMEA in 3 Kategorieren jeweils in 10 Stufen beurteilen muss. (In der Regel sind das ohnehin Schätzungen und haben kaum Daten als Grundlage). Das tatsächliche Ziel der Risikoanalysen im GMP-Umfeld ist doch die Identifikation von Fehlermöglichkeiten und die Dokumentation der Entscheidung, ob dagegen Maßnahmen erforderlich sind.
    Meist wird dann auch noch beurteilt, ob die Maßnahmen ausreichend sind. – Das erfolgt dann durch eine Einstufung ohne Maßnahmen und mit Maßnahme.
    Für dieses Ziel reichen auch 2 Stufen je Kategorie (ja/nein oder high/low) wobei dann ohne Multiplikation für jede der 8 Kombinationen festgelegt werden kann, ob das Risiko akzeptabel ist.
    Alternativ kann auch direkt und ausschließlich dieses Ergebnis dokumentiert werden.
    (Beschreibung des Fehlers und der Wirkung mit der Einschätzung „akzeptabel/nicht akzeptabel“.)
    In diesem Fall ist es trotzdem sinnvoll die Maßnahme bei einer abschliesenden Beurteilung zu berücksichtigen, um zu dokumentieren, dass die Maßnahme für die Reduzierung des Risikos ausreichend ist.

    Mit freundlichen Grüßen

    Markus Kreuz

  6. Christian Johner schrieb:

    Danke für die wichtigen Gedanken! Danke auch für den Hinweis, auf die GMP-Welt, die sich von der Medizinprodukte-Welt nicht nur regulatorisch unterscheidet. Ihren Gedanken, dass es nicht immer 10 Stufen sein müssen teile ich. Meist sind wir gar nicht in der Lage, so genau zu schätzen.
    Besten Dank und viele Grüße, Christian Johner

  7. Uwe P. schrieb:

    Ich finde das Klasse! Da berechnet jemand auf Basis von (korrekten) statistischen Werten die Eintrittswahrscheinlichkeit eines Schadens, nehmen wir als Beispiel mal potentiell erhebliche Neben-, bzw. Schadwirkungen eines medizinischen Produkts (irgendeines – was halten Sie von einem neuen Typ von Röntgengerät?), die sich aber nur bei langfristiger oder häufiger Nutzung in ihrer Gesamtwirkung voll entfalten, die Bedeutung ist demensprechend hoch, aber die Entdeckenswahrscheinlichkeit wird schlicht ignoriert. Das zu erwartende Ergebnis ist offensichtlich: Auf lange Sicht erheblicher Schaden, denn ein ohne Berücksichtigung der Entdeckenswahrscheinlichkeit eventuell freigegebenes Produkt (hoffentlich nicht) wird erst vom Markt genommen werden, wenn nach langer Zeit viele Menschen betroffen sind. Das hat etwas von Vogel-Strauß-Taktik und ist schlicht verantwortungslos.
    Übrigens entstammt die Begrifflichkeit RPZ nicht Wikipedia, sondern der QS 9000. Anscheinend denkt man in der Industrie realistischer und vor allem verantwortlicher als in manchen Teilen des hiesigen medizinischen QMs. Übrigens, haben Sie keine Angst, das Erstellen von karthesischen Koordinatensystemen mit drei Achsen ist kein Problem. Schon gar nicht im Zeitalter der Computer, die stellen so etwas am Bildschirm problemlos dar!

  8. Tom schrieb:

    Zitat:“Meist quantifizieren die Hersteller die drei Größen:
    1.Entdeckungswahrscheinlichkeit eines Fehlers: gering (10) bis hoch (1)
    2.Wahrscheinlichkeit des Auftretens des Fehlers: gering (1) bis hoch (10)
    3.Schweregrad des resultierenden Schadens: gering (1) bis hoch (10)

    Damit kann die Risikoprioritätszahl RPZ werte zwischen 0 und 1000 annehmen“

    Anmerkung:
    Das ist mathematisch nicht ganz richtig. Unter Voraussetzung o.g. Wertebereichs kann die RPZ Werte zwischen 1 und 1000 annehmen.

  9. Prof. Dr. Christian Johner schrieb:

    Sehr geehrter Herr,

    Sie haben Recht! Die untere Grenze ist 1, nicht 0. Den Fehler habe ich gerne sofort behoben.

    Danke für Ihren Hinweis!!

    Viele Grüße, Christian Johner

  10. Akif Ayaz schrieb:

    Hallo Hr. Prof. Dr. Christian Johner,

    ich arbeite in der Projektierung eines Maschinenbauunternehmens.

    Ich habe bereits mit der FMEA in meinem „Ex-Unternehmen“ gearbeitet und dies hat sich in der Praxis bewährt.

    Gerne würde ich dieses Tool bei uns in der Abteilung vorstellen und bei Erfolg ihre Dienste in Anspruch nehmen. Die Berechnung des Schadens in Euro (kann mich leider nicht mehr zurück erinnern).

    Können Sie mir folgende Frage vorab beantworten:

    Beispiel – Berechnung eines Risikofaktors in Geld (€):
    100.000 € Schaden = Bedeutung des Fehlers (hoch) 0,8 * Wahrscheinlichkeit des Auftretens (mittel) 0,5 * Chance die Ursache des Fehlers zu entdecken (gering) 0,2 = 8.000,- € Risikofaktor.

    Ich bedanke mich im vorab für jedes Kommentar!

    Ich habe die Ausführung eines wichtigen Punktes vergessen, was auch oben thematisiert wurde.

  11. Prof. Dr. Christian Johner schrieb:

    Danke für Ihr Schreiben! Ich konnte keine Frage entdecken. Daher kommentiere ich einfach. Normalerweise berechnet die FMEA eine RPZ. Liegt die unter 125, sagt man das Risiko sei akzeptabel. In Ihrem Fall ist dieses 8 x 5 x 2 = 80. Das liegt unter dem Grenzwert.

    Ihre Berechnung macht auch Sinn. Sie berechnen den wahrscheinlichkeitsgewicheten Geldschaden (8000 EUR).

Kommentar schreiben