Kategorien: QM-Systeme & ISO 13485
Tags: ,

9 Kommentare

  1. Stefan Otmar Walter | Dienstag, 26. Februar 2019 um 14:51 Uhr - Antworten

    Sehr geehrter Herr Johner,

    vielen Dank für Ihren ausführlichen Artikel. Wir hatten bereits viele Aspekte eines risikobasierten Ansatzes für unsere ISO 13485:2016 Rezertifizierung umgesetzt und sind damit gut durch das Audit gekommen. Dadurch motiviert versuchen wir uns nun an einer MDSAP Zertifizierung. Dummerweise scheinen die Regularien für MDSAP und somit auch Auditoren, den den risikobasierten Ansatz komplett zu ignorieren. Siehe
    https://www.fda.gov/downloads/MedicalDevices/InternationalPrograms/MDSAPPilot/UCM390383.pdf, Chapter 6, Task 15, Seite 78.

    „If the selected process is software controlled or if software is used in production
    equipment or the quality management system, verify that the software is validated for its
    intended use. “
    und
    „Production process control software (and any other software used in the organization’s quality system) must be validated for its intended use according to an established protocol.“

    Hier fehlen leider risikobasierte Teile “ …. where the resulting output cannot be or is not verified by subsequent monitoring or measurement … “

    oder

    „The specific approach and activities associated with software validation and revalidation shall be proportionate to the risk associated with the use of the software, ….“

    „MDSAP“ scheint hier einen echten Rückschritt mit sich zu bringen, oder übersehe ich hier etwas ?

    MfG,
    Stefan Otmar Walter


    • Prof. Dr. Christian Johner | Dienstag, 26. Februar 2019 um 19:32 Uhr - Antworten

      Lieber Herr Walter,

      danke für Ihre wichtige Rückmeldung! Sie haben absolut Recht: der Begriff „risk based“ taucht in diesen Dokumenten nicht (überall) auf. Dennoch würde ich „proportionate to the risk“ darunter subsummieren. Da es keine spezifischen Anforderungen an den Umfang und die Intensität z.B bei der CSV gibt, bleibt Ihnen gar nichts anderes übrig, als solche Überlegungen anzustellen. Denn ein vollständiges Testen ist unmöglich.

      Da die FDA selbst immer vom risk-based approach spricht und da MDSAP dem auch nicht widerspricht, würde ich den Ansatz weiter verfolgen.

      Insofern würde ich hier keinen Rückschritt sehen wollen. MDSAP gibt sogar Freiheiten bei den Auditzeiten und -schwerpunkten, die letztlich auch risk-based genutzt werden sollten.

      Mit herzlichen Grüßen, Christian Johner


  2. QM Beratung | Montag, 18. März 2019 um 15:12 Uhr - Antworten

    Hallo.

    Herzlichen Dank für diesen ausführlichen Bericht. Aber wie steht es denn um imaginäre (also immaterielle) Schäden bei der Risikobewertung? Wenn ein Produkt (eine Dienstleistungen) nicht den gestellten Anforderungen entspricht, so kann dies ja gravierende Auswirkungen auf das Image eines Unternehmens haben. Dies wird nicht berücksichtigt, oder?


    • Prof. Dr. Christian Johner | Montag, 18. März 2019 um 21:05 Uhr - Antworten

      Sehr geehrter Herr Kropp,

      Sie können alle Schäden, die der Definition genügen, berücksichtigen. Reputationsschäden wirken sich letztlich auf die Ökonomie des Unternehmens aus. Die passen in die Definition.

      Ob man sich damit einen Gefallen macht, weiß ich nicht, denn dadurch muss man Geld und Körperschäden / Tod in eine Skala bringen. Das ist oft ein ethisches Dilemma.

      Viele Grüße, Christian Johner


  3. Julia | Freitag, 13. September 2019 um 08:51 Uhr - Antworten

    Hallo Herr Prof. Dr. Christian Johner,

    in der ISO 13485 heißt es, wie sie beschrieben haben für alle geeigneten Prozessen soll der risikobasierte Ansatz verwendet werden.

    Dazu haben Sie im Abschnitt:
    „2. Regulatorischer Rahmen für einen risikobasierten Ansatz a) ISO 13485:2016, Was die Norm fordert“
    eine Auflistung gemacht, welche Prozesse gemeint sind.

    Jedoch im Kapitel:
    „3. Den Risk Based Approach umsetzen b) Schritt 2: Maßnahmen festlegen“
    haben Sie auch einen zusätzliche Prozess „Dokumentenlenkung“ betrachtet.

    Meine Frage ist:
    Wie kann ein Unternehmen herausfinden, welches die geeigneten Prozesse für den risikobasierten Ansatz sind?

    Über eine Antwort würde ich mich sehr freuen.

    Liebe Grüße
    Julia


  4. Julia | Freitag, 13. September 2019 um 09:01 Uhr - Antworten

    Hallo Herr Prof. Dr. Christian Johner,

    zu meiner Frage möchte ich noch ergänzen:

    Welche Prozesse müssen laut ISO 13485 mindenstens eine Risikobetrachtung (Risikoanalyse- und bewertung) durchlaufen?
    Bzw. anhand von welchen Kriterien kann ein Unternehmen entscheiden, ob eine Risikobetrachtung, für einen Prozess relevant ist?
    Von allen Prozessen die ein Unternehmen hat, wie kann man herausbekommen, welche eine Risikobetrachtung benötigen?

    Liebe Grüße
    Julia


    • Prof. Dr. Christian Johner | Freitag, 13. September 2019 um 20:23 Uhr - Antworten

      Sehr geehrte Julia,

      danke für Ihre Fragen!

      Im Kapitel 2 geht es um „interne Prozesse“. Zu denen zählt auch die Dokumentenlenkung. Daher sehe ich keinen Widerspruch.

      Sie sollten alle(!) Prozesse daraufhin untersuchen, ob / welche Auswirkungen der Prozess insbesondere auf die Sicherheit und Leistungsfähigkeit von Produkten hat. Das Ergebnis dieser Risikoanalyse ist dann, wie streng die Prozess gelenkt werden müssen.

      Konnte ich die Frage beantworten? Falls nicht, dann haken Sie gerne nach.

      Viele Grüße, Christian Johner


  5. Julia | Montag, 4. November 2019 um 19:22 Uhr - Antworten

    Hallo Herr Prof. Dr. Christian Johner,

    vielen Dank für Ihre hilfreiche Antwort.

    Ich habe noch weitere Fragen, und zwar:

    1. Um herauszufinden, welche Auswirkung die Prozesse auf die Sicherheit und Leistungsfähigkeit von Produkten haben, muss dazu erstmal die „Zweckbestimmungen und die Merkmale, die mit der Sicherheit des MP/IVD zusammenhängen (wie in ISO 14971 H.2.3)“ aller Medizinprodukte, welche an dem Prozess beteiligt sind bestimmt werden?

    2. Bei der Identifizierung von Risiken/Gefährdungen (nach ISO 14971) innerhalb der QMS Prozesse, müssen dazu die Gefährdungen welche im Anhang E (Tabelle E.1) und zusätzlich für IVDs die im Anhang H (H.2.4.3) dargestellt sind, betrachtet werden? Oder muss man die Risiken in den Prozesse nur allgemein betrachten (z. B. Entwicklung –> fehlerhafte Produkte)

    3. Gibt es eine bestimmte Methode welche man für die Risikoidentifizierung aller QMS Prozesse verwenden kann? (z. B. die Prozess-FMEA?) oder Checklisten…

    3. Sie haben bei „c) Schritt 3: Festlegen von Risikoklassen“, die Schweregrade von Schäden dargestellt. Meine Frage ist, ob für die Risikobewertung bei den Prozessen nach 13485 auch noch die Wahrscheinlichkeit des Auftretens des Schadens betrachtet werden muss? Wenn ja, muss dazu die Wahrscheinlichkeit des Auftretens der Risikoursache betrachtet werden?

    Über eine Antwort freue ich mich sehr.

    Liebe Grüße,
    Julia


    • Prof. Dr. Christian Johner | Montag, 4. November 2019 um 19:47 Uhr - Antworten

      Sehr geehrte Julia,

      danke für Ihre weiteren Fragen.

      ad 1.) Um die Auswirkungen bewerten zu können, sollten Sie auch, aber nicht nur die Zweckbestimmung kennen. Sie müssen herausfinden, wie sich der Prozess auf das Produkt auswirkt und wie ein fehlerhaftes Produkt zu Schäden (inkl. Schweregrad und Wahrscheinlichkeit) führen kann. Ohne Kenntnis der Zweckbestimmung wird das nur schwer gelingen. Die genannten Anhänge sind nicht normativ.

      ad 2.) Die Risiken nach ISO 14971 müssen die „Safety-Risiken“ (also physische Schäden für Patienten, Anwender und Dritte) mit betrachten. Eine Beschränkung auf das Produkt wäre nicht ausreichend.

      ad 3.) Beide genannte Verfahren sind geeignet.

      ad 4.) Die Wahrscheinlichkeit ist ein essenzieller Teil jedes Risikos. Dabei geht es um die Wahrscheinlichkeit der Schäden, nicht die Wahrscheinlichkeit des Auftretens der Ursache. Natürlich beeinflusst die letztere die erstere.

      Viele Grüße, Christian Johner


Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.