Medizinprodukte müssen die gesetzlichen Anforderungen an die funktionale Sicherheit, auch Funktionssicherheit und „functional safety“ genannt, erfüllen.
Leider verwenden und definieren die relevanten Normen und Gesetze für Medizinprodukte den Begriff „funktionale Sicherheit“ nicht. Dieser Artikel verschafft Klarheit.
1. Funktionale Sicherheit: Der Hintergrund
a) Wer muss sich damit beschäftigen?
Die folgenden Rollen müssen die Konzepte der funktionalen Sicherheit verstehen:
- Personen bei Medizinprodukteherstellern, die verantwortlich sind für
- die Entwicklung medizinisch-elektrischer Geräte (ME-Geräte), z. B. für die Systemarchitektur, das Risikomanagement oder die Prüfung der funktionalen und physikalischen Sicherheit der ME-Geräte,
- Regulatory Affairs.
- Mitarbeitende bei Benannten Stellen und Prüflaboren, die zuständig sind für
- das Review von technischen Dokumentationen,
- die Prüfung der funktionalen und physikalischen Sicherheit der ME-Geräte.
b) Um was geht es?
Medizinprodukte dürfen Patienten nicht gefährden. Beispiele:
- Die Pumpe einer Herzlungen-Maschine darf nicht ausfallen.
- Eine Infusionspumpe darf keine Luft in die Vene von Patienten pumpen.
- Ein Brutkasten darf einen Säugling nicht verbrennen.
- Ein Defibrillator darf bei Patienten mit normalem Herzschlag nicht auslösen.
Die funktionale Sicherheit hat zum Ziel, derartige Risiken durch ein „Funktionsversagen“ zu vermeiden.
2. Das Konzept der funktionalen Sicherheit
a) Definition der IEC 61508
Die für Medizinprodukte einschlägigen Normen und Gesetze definieren den Begriff „funktionale Sicherheit“ (engl. „functional safety“) nicht. Definitionen finden sich jedoch an anderer Stelle.
Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem, die von der korrekten Funktion des E/E/PE-sicherheitsbezogenen Systems, sicherheitsbezogenen Systemen anderer Technologie und externer Einrichtungen zur Risikominimierung abhängt.
IEC 61508, Teil 4, Kapitel 3.1.9
Die Norm verwendet dabei folgende Abkürzungen:
- EUC: EUC-Einrichtung [engl. „euqipment under control“] (hier das Medizinprodukt)
- E/E/PE: Elektrische/elektronische/programmierbare Elektronik (hier die Sicherheitsfunktion)
Medizinprodukte zählen nicht zum Anwendungsbereich der IEC 61508. Dennoch sind ihre Konzepte und Vorgaben auf für Medizinproduktehersteller hilfreich.
Gemäß der Definition der IEC 61508 ist die funktionale Sicherheit „nur“ ein Konzept von elektrischen, elektronischen bzw. programmierbaren Produkten, in unserem Fall ME-Geräten.
Sie können hier die Normen der Familie IEC 61508 günstig kaufen.
Die funktionale Sicherheit bezieht sich bei dieser Definition nur auf die Freiheit von unvertretbaren Risiken bei den folgenden Problemen:
Risiken mit Bezug zur funktionalen Sicherheit | Beispiele |
Risiken durch Fehler oder Ausfälle innerhalb des Steuerungssystems des Medizinprodukts | Die Software für die Motorsteuerung der Herz-Lungen-Maschine enthält einen Programmierfehler. Die Bedieneinheit des Defibrillators fällt aus. |
Die korrekte Funktion anderer sicherheitsbezogener Funktionen (nicht die klinischen Funktionen) zur Risikominimierung sind nicht gegeben. | Der Detektor einer Infusionspumpe erkennt eine Luftblase nicht. Die Luftzufuhr des CPU-Lüfters der Beatmungsmaschine ist durch einen OP-Kittel blockiert. Der Sensor für die Temperaturüberwachung des Brutkastens ist defekt. |
Die korrekte Funktion einer externen Einrichtung ist nicht gegeben. | Die notwendige Kühlung des umgebenden Raums ist ausgefallen. Die externe Stromversorgung ist ausgefallen. |
Diese Umstände und Ereignisse sind auch bei Medizinprodukten gültig. Denn die Forderung nach funktionaler Sicherheit bzw. Funktionssicherheit findet sich v. a. in der Norm für medizinisch-elektrische Geräte IEC 60601-1 im Abschnitt 4.3 zu den wesentlichen Leistungsmerkmalen und im Abschnitt 4.7 für die Erstfehlersicherheit.
c) Abgrenzung
Die funktionale Sicherheit bezieht sich nicht auf die Freiheit von den folgenden Risiken:
Risiken ohne Bezug zur funktionalen Sicherheit | Beispiele |
Risiken durch mangelnde Basissicherheit (im Erstfehlerfall s. u.) | Es liegt eine Spannung am Gehäuse des ME-Geräts an, weil eine Isolation gebrochen ist. Mechanische Spannung im Gehäuses wegen zu hoher Innentemperatur |
Risiken, die weder vom elektrischen, elektronischen oder programmierbaren Teil des Medizinprodukts verursacht werden noch von diesen beherrscht werden sollen | Das Produkt hat wegen eines Produktionsfehlers scharfe Kanten. Eine Halterung bricht und das Gerät fällt dem Anwender auf die Füße. Die Lackierung des Geräts enthält krebserregende Substanzen. Das Produkt ist nicht steril. |
d) Fazit
Die funktionale Sicherheit bezieht sich auf diejenigen Funktionen des Produkts,
- die einen Einfluss auf die klinische Leistung haben,
- die vorübergehende Betriebszustände erkennen sollen, die kein Fehler des Geräts sind (Bsp.: Abknicken eines Infusionsschlauchs, Stromausfall) und
- Sicherheitsfunktionen, die eine Gefährdungssituation vermeiden sollen (Bsp.: Überschreiten eines Grenzwerts).
3. Funktionale Sicherheit: Regulatorische Anforderungen
a) Anforderungen der MDR
Die MDR verwendet den Begriff der funktionalen Sicherheit nicht. Sie stellt dennoch direkt oder indirekt Anforderungen daran:
Die Produkte erzielen die von ihrem Hersteller vorgesehene Leistung und werden so ausgelegt und hergestellt, dass sie sich unter normalen Verwendungsbedingungen für ihre Zweckbestimmung eignen.
Sie sind sicher und wirksam und gefährden weder den klinischen Zustand und die Sicherheit der Patienten noch die Sicherheit und die Gesundheit der Anwender oder gegebenenfalls Dritter
MDR Anhang I
Die MDR fordert auch die Wiederholbarkeit, Zuverlässigkeit und Leistung (MDR Anhang I, Kapitel 17.1) sowie die Sicherheit der Produkte auch bei Erstauftreten eines Defekts (Kapitel 17.1, 18.1).
b) Anforderungen der IEC 60601-1
Erstfehlersicherheit
Die IEC 60601-1 fordert die Erstfehlersicherheit der Medizinprodukte. Sie definiert diese wie folgt:
Merkmal eines ME-GERÄTS oder von Teilen des ME-GERÄTS, wodurch es während der ZU ERWARTENDEN BETRIEBS-LEBENSDAUER beim ERSTEN FEHLER frei von unvertretbaren RISIKEN bleibt
DIN EN 60601-1:2022-11 3.117
Auch den Begriff des „ersten Fehlers“ definiert die Norm:
Zustand eines ME-GERÄTS, bei dem eine einzelne Maßnahme zur Verminderung eines RISIKOS defekt ist oder wenn eine einzelne, anormale Bedingung vorliegt
DIN EN 60601-1:2022-11 3.116
Der Begriff „erster Fehler“ bezieht sich somit auf die Teile des Geräts, in denen Schutzmaßnahmen implementiert werden. Beispiele für solche ersten Fehler sind:
- Kurzschluss einer Isolation
- Unterbruch eines Schutzleiters
- Ausfall eines Sensors zur Temperaturüberwachung oder Luftblasendetektion
Gewährleistung der wesentlichen Leistungsmerkmale
Zudem verlangt die IEC 60601-1, dass die Hersteller die wesentlichen Leistungsmerkmale ihrer Produkte bestimmen und gewährleisten. Auch die IOS 14971 enthält diese Anforderung (5.3. Characteristics related to safety).
Die IEC 60601-1 definiert auch diesen Begriff:
Leistungsmerkmal einer klinischen Funktion, die sich nicht auf die BASISSICHERHEIT bezieht, bei dem der Verlust oder die Verschlechterung über die vom HERSTELLER spezifizierten Grenzen hinaus zu einem unvertretbaren RISIKO führt
DIN EN 60601-1:2022-11 3.27
Die wesentlichen Leistungsmerkmale wären beispielsweise nicht gegeben, wenn
- die Blutpumpe der Herz-Lungen-Maschine nicht mit der vorgegebenen Flussrate pumpt,
- der Defibrillator eine zu hohe oder zu niedrige Energie beim Schock abgibt,
- der Linearbeschleuniger im falschen Winkel bestrahlt.
Im November 2021 hat die IEC das Interpretation Sheet ISH1 zur IEC 60601-1 veröffentlicht, das die Anforderungen der Norm an die Erstfehlersicherheit bezogen auf die wesentlichen Leistungsmerkmale zusammenfasst.
Das Dokument ist eine Hilfestellung; es liefert aber keine Anleitung, wie sichere Geräte gebaut werden, was auch nicht der Anspruch war. Eine Arbeitsgruppe der IEC arbeitet derzeit an einem Technischen Report, der 2024 erscheinen und eine Hilfestellung geben soll. Das Johner Institut ist an der Entwicklung aktiv beteiligt.
4. IEC 61508
a) Allgemeines
Die wichtigste Fachgrundnorm für funktionale Sicherheit ist die Normenreihe IEC 61508. Sie dient als Anleitung für Autoren, die sektorspezifische Normen schreiben. Sie kann daher nicht als Nachweis der grundlegenden Sicherheits- und Leistungsanforderungen verwendet werden.
Die IEC 61508 beschreibt einen generischen Ansatz für alle Aktivitäten des Sicherheitslebenszyklus für Systeme, die aus elektrischen und/oder elektronischen und/oder programmierbaren elektronischen Elementen bestehen, die zur Ausführung von Sicherheitsfunktionen verwendet werden. Die Norm nennt allgemeingültig (Entwurfs-)Prinzipien für die Vermeidung und Beherrschung von zufälligen und systematischen Fehlern. Sie
- bietet Methoden für die Spezifikation von Sicherheitsanforderungen,
- stellt Anforderungen an die Vermeidung und Beherrschung von systematischen Fehlern und
- beschreibt Ansätze für die Beherrschung zufälliger Hardwarefehler.
Dieser einheitliche Ansatz soll helfen, Sicherheitskonzepte für alle sicherheitsrelevanten Systeme auf elektrischer Basis zu entwickeln.
b) Anwendbarkeit für Medizinprodukte
Auch wenn Medizinprodukte nicht zum Anwendungsbereich der IEC 61508 zählen, so lassen sich deren Prinzipien und Ansätze dennoch auf Medizinprodukte übertragen. Die Prinzipien stehen auch in keinem Widerspruch zur IEC 60601-1 oder anderen relevanten Normen wie der IEC 61010-1. Vielmehr ergänzt die IEC 61508 diese Normen perfekt. Sie stand auch Pate für die Norm IEC 62304.
Physikalische Gefährdungen sind im Wesentlichen vollständig durch die Normen IEC 60601-1 oder IEC 61010-1 abgedeckt. Die beiden Normen nennen aber nur Vorgaben für passive Schutzmaßnahmen wie Isolationen oder Belastungsfaktoren für Materialien. Wenn eine physikalische Gefährdung hingegen durch eine aktive Schutzmaßnahme (E/E/EP) beherrscht werden soll, z. B. durch eine Temperaturüberwachung oder einen Kontaktmonitor, dann können die Prinzipien der IEC 61508 für die Auslegung solcher Sicherheitsfunktionen angewendet werden.
Das Johner Institut nutzt diese Prinzipien, wenn es Hersteller beim Erstellen von Sicherheitskonzepten für Medizinprodukte unterstützt.
5. Funktionale Sicherheit: Lösungsansätze
Die funktionale Sicherheit erreichen die Hersteller durch einen geeigneten Entwurf (Design, Architektur) des Systems. Dazu sollten sie die
- Annahmen treffen,
- Entwurfsprinzipien berücksichtigen und
- mehrkanalige Architekturen erwägen,
wie es im Folgenden genauer beschrieben wird.
a) Annahmen treffen
Hersteller sollten beim Erstellen von Systemarchitekturen und Sicherheitskonzepte die folgenden Annahmen treffen:
- Hardwarefehler sind zufällige Fehler und können zu jeder Zeit auftreten.
- Softwarefehler sind systematische Fehler und sind nur durch den Entwurfsprozess beherrschbar.
- Die Wahrscheinlichkeit des gleichzeitigen Ausfalls zweier oder mehrerer Systeme ist sehr viel geringer als jene für das Ausfallen das Einzelsystem.
- Erkennbare Fehler sind sichere Fehler, wenn das System außer Betrieb genommen werden kann.
- Wenn ein erster Fehler unentdeckt bleibt, muss nach einer Zeit ein weiterer gleichzeitiger Fehler angenommen werden.
- Fehler, die zu weiteren Fehlern führen, werden als ein einziger Fehler betrachtet.
- Systeme ohne Schutzmaßnahmen müssen eigensicher sein.
- Die Kombination von gleichzeitigen unabhängigen Fehlern darf nicht zu einer Gefährdungssituation führen.
- Der gleichzeitige Ausfall mehrerer Funktionsgruppen infolge einer gemeinsamen Ausfallursache darf nicht zu einer Gefährdungssituation führen.
- Fehler, die wahrscheinlich sind, deren Wahrscheinlichkeit nicht abschätzbar sind oder die nicht zu entdecken sind, müssen als Normalzustand betrachtet werden.
b) Entwurfsprinzipien berücksichtigen
Daraus leiten sich Systemanforderungen ab, zum Beispiel:
Das System muss …
- … fehlertolerant sein und beispielsweise Fehler, die durch den Ausfall einzelner Bauteile auftreten, erkennen und beherrschen, oder das Risiko muss vertretbar bleiben.
- … systematische Fehler (z. B. Softwarefehler) erkennen und beherrschen, z. B. durch:
- Verwendung betriebsbewährter Architekturen
- Verifikation der Sicherheitsfunktionen durch Tests und Simulation
- Definieren eines Safety-Lifecycle-Prozesses
- Gestaltung des Entwurfsprozesses mit Checklisten und Arbeitsanweisungen
- das Festlegen geeigneter Teststrategien.
- … Fehler innerhalb der Mehrfachfehler-Eintrittszeit erkennen und beherrschen. Das heißt: Wenn ein Fehler unerkannt bleibt, muss mit einem weiteren Fehler gerechnet werden. Die Zeit dazwischen ist die MFEZ. Daher muss der Fehler einer Schutzmaßnahme erkannt werden, bevor das Steuerungssystem selbst oder eine zweite Schutzmaßnahme versagt.
- … Verantwortlichkeiten aufteilen, z. B. auf Schutzsystem und Steuerungssystem.
- … unempfindlich gegen Fehler mit gemeinsamer Ausfallursache sein (z. B. wenn jemand Wasser über das Gerät gießt, was das Steuerungs- und Schutzsystem gleichermaßen beeinträchtigt).
Bei der Spezifikation der Sicherheitsziele sollten die Hersteller auch die Handlungszeit beachten, die ein Nutzer braucht, um einen Patientenschaden zu vermeiden.
c) Mehrkanalige Architekturen erwägen
Allgemeines
Mehrkanalige Architekturen bilden eine Möglichkeit, um Risiken durch den Ausfall und durch Fehlfunktionen von Bauteilen und Komponenten zu erkennen und zu minimieren.
Dabei überwachen Komponenten der einen Kette die Komponenten der anderen Kette (z. B. deren Sensoren und Aktoren) und reagieren bei deren Ausfall oder Fehlfunktion. Möglichkeiten zur Reaktion sind:
- Die Informationsverarbeitung wird von der einen auf die andere Kette umgeschaltet.
- Es wird der Sensor oder Aktor der anderen Kette verwendet.
- Bei mehreren Sensoren findet eine Mehrheitsentscheidung statt.
- Das Gerät wird in einen sicheren Zustand versetzt.
- Ein Alarm wird ausgelöst.
Zweikanalige Architekturen
Zweikanalige Architekturen zeichnen sich durch redundante Komponenten in der Kette aus Sensor, Logik und Aktor aus.
Homogene und diversitäre Architekturen
Bei mehrkanaligen Architekturen unterscheidet man homogene und diversitäre Architekturen. In einer homogenen Architektur sind die beiden Kanäle homogen, d. h. sie bestehen aus gleichen Komponenten. Mit homogenen Architekturen lassen sich insbesondere zufällige (statistische) Fehler wie der Ausfall von Bauteilen aufgrund Alterung beherrschen.
Bei systematischen Fehlern, beispielsweise bei Konstruktionsfehlern oder Software-Bugs, bedarf es diversitärer Architekturen, weil man sonst den Fehler in beide Kanäle dupliziert hätte. Die Diversität kann sich insbesondere bei programmierbaren Systemen (die Software enthalten) beziehen auf:
- Hardware: Prozessor, Speicher
- Werkzeuge: Compiler, Programmiersprache
- Wiederverwendete Software (SOUP): Bibliotheken, Betriebssystem
- Organisation: Getrennte Entwicklungsteams
Es ist ein Irrtum zu glauben, dass zwei- oder mehrkanalige Architekturen zwangsläufig besser als einkanalige Architekturen sind. Zweikanaligkeit kann ein System sogar unsicher machen. Je mehr Komponenten in einem System verbaut sind, desto höher ist die Wahrscheinlichkeit, dass eine ausfällt.
Was passiert, wenn nun zwei korrespondierende Komponenten widersprüchliche Signale senden? Wenn z. B. ein Sensor behauptet, im Schlauch einer Infusionspumpe sei Luft, und der andere behauptet das Gegenteil? Wer hat recht?
Wenn das Ergebnis dazu führt, dass das Gerät häufiger abschaltet, kann dies das Risiko für Patienten erhöhen. Hersteller müssen in diesen Fällen die Verfügbarkeit und die Sicherheit abwägen.
d) Einkanalige Architektur mit Überwachung
Eine meist einfachere Möglichkeit ist eine einkanalige Architektur, die durch eine Testfunktion oder einen Watchdog überwacht wird. Die Testfunktion kann auch durch einen Benutzer übernommen werden, der dann korrekt handelt.
Unterstützung
Die Expertinnen und Experten des Johner Institut helfen Medizinprodukteherstellern und deren Dienstleistern,
- Architektur- und Sicherheitskonzepte zu erstellen,
- diese auf Wirksamkeit und Gesetzeskonformität zu prüfen (z. B. durch Architektur-Reviews),
- Testplänen zum Nachweis der Sicherheit zu erstellen und zu prüfen,
- eine reibungslose Prüfung in Testhäusern zu gewährleisten und
- mit maßgeschneiderten Seminaren, E-Learning-Einheiten oder Einzel-Coachings die Kompetenz aller Beteiligten zu erhöhen.
Melden Sie sich gleich, z. B. hier über unsere Webseite. So können wir sicherstellen, dass Sie mit sicheren und leistungsfähigen Produkten schnell und ohne unnötige Kosten durch die Zulassung kommen und im Markt erfolgreich sein werden.
6. Fazit und Zusammenfassung
Die funktionale Sicherheit ist die Freiheit von unvertretbaren Risiken, die als Folgen einer Fehlfunktion des Produkts resultieren würden. Bei Medizinprodukten spricht man von der funktionalen Sicherheit fast nur im Kontext von medizinisch-elektrischen Geräten sowie bei IVD-Geräten.
Die funktionale Sicherheit erreichen die Hersteller beim Systementwurf der Produkte (z. B. durch mehrkanalige Architekturen). Dabei müssen technische Experten und Risikomanager Hand in Hand arbeiten.
Es ist meist sehr kostspielig, oft sogar unmöglich, Fehler zu beseitigen, die während der Entwurfsphase unterlaufen. Solche Fehler bedrohen die Konformität der Produkte und die Sicherheit der Patienten.
Daher benötigen die Hersteller die entsprechende Zeit und die erforderlichen Kompetenzen, um funktional sichere Produkte zu entwickeln.
Gibt es einen Zusammenhang zwischen Essential Performance und FuSi?
Liebe Frau Zucker,
Vielen Dank für Ihre spannende Frage. Es gibt einen Zusammenhang. Für ME-Geräte muss sichergestellt sein, dass die Grenzwerte der Leistungsmerkmale zwischen voller Funktion und vollständigem Verlust im NORMALZUSTAND und beim ERSTEN FEHLER eingehalten werden. In der Regel wird die korrekte Funktion der Wesentlichen Leistungsmerkmale mit Schutzfunktionen überwacht. Diese Kontroll- oder Schutzfunktionen lassen sich nach den Entwurfsprinzipien der FuSi gestalten.
Liebe Grüsse, Mario Klessascheck
4. a. 8: „Die Kombination von gleichzeitigen unabhängigen Fehlern darf nicht zu einer Gefährdungssituation führen.“
Doch, das kann passieren. Das würde im Extremfall ja bedeuten, dass im Gerät alle Bauelemente gleichzeitig ausfallen dürfen, ohne den Patienen zu gefährden. Beispiele wären der Ausfall einer Basisisolation und gleichzeitiger Unterbrechung des Schutzleiters oder der Ausfall einer doppelten (2MOPP) Isolation. Die Wahrscheinlichkeit für zwei gleichzeitige un(!)abhängige Fehler ist ja sehr viel kleiner als die Wahrscheinlichkeit für den ersten Fehler und wird von der Norm als akzeptabel gering betrachtet.
Lieber Herr Fritsch,
Vielen Dank für das schöne Beispiel, dass Sie nennen. Da die beiden Technologien unabhängig sind, wird ein gleichzeitiger Ausfall nicht angenommen. Natürlich muss der Ausfall einer der beiden Schutzmaßnahmen erkannt werden, da man sonst annehmen muss, dass die andere Schutzmaßnahme auch ausfällt, was dann im Übrigen als Normalzustand zu betrachten wäre.
Die Norm sagt im Abschnitt 5.1.: „Die Kombination von gleichzeitigen unabhängigen Fehlern, die zu einer GEFÄHRDUNGSSITUATION führen könnten, muss in der RISIKOMANAGEMENT-AKTE dokumentiert werden (siehe auch 4.7).“
Liebe Grüsse, Mario Klessascheck
Lieber Herr Klessascheck,
vielen Dank für diesen sehr interessanten Artikel!
Ich möchte eine Anmerkung hinzufügen: Wie Sie oben bereits im Prinzip erwähnen, wird der Ausdruck „funktionale Sicherheit“ in Medizinprodukt-relevanten Regularien und Normen nicht verwendet. Die IEC 61508-1 sagt sogar ganz spezifisch
„1.2 In particular, this standard
…
n) does not apply for medical equipment in compliance with the IEC 60601 series.“
Wenn Sie für Medizinprodukte nach der IEC-60601-Serie und anderen relevanten Normen vorgehen und ein geeignetes Risikomanagementverfahren anwenden, sollten alle Anforderungen an die funktionale Sicherheit automatisch abgedeckt sein. Daher scheint mir das Pochen bestimmter benannter Stellen auf das Stichwort „funktionale Sicherheit“ und das Erstellen neuer, zusätzlicher Dokumente zu dem Thema eher ein neues Geschäftsmodell als eine Notwendigkeit zu sein, um ein sicheres Medizinprodukt zu entwickeln.
Ich bin gespannt auf Ihr Feedback dazu.
Mit besten Grüßen
Stefan Schmidt
Lieber Herr Schmidt,
Vielen Dank, dass Sie das auch so sehen und bestätigen. Ich bin völlig bei Ihnen. Aus diesem Grund schreibe ich gerade mit einem der Autoren der IEC 61508 einen Leitfaden, der Herstellern von Medizinprodukten helfen soll, sichere Architekturen zu entwickeln und zu prüfen. In diesem Bereich hat die IEC 60601-1 in der Tat eine Lücke. Sie beschreibt sehr gut, wie Basissicherheit erreicht wird, aber hat sonst keine verifizierbaren Konzepte bei anderen Aspekten, wie zum Beispiel den wesentlichen Leistungsmerkmalen.
Nochmals vielen Dank für Ihren sehr wertvollen Kommentar.
Liebe Grüsse, Mario Klessascheck