Schlagwort: Risikoanalyse | z.B. Beispiel für Projekte & Software

Unter einer Risikoanalyse versteht man das Suchen von Gefährdungen und der Abschätzung der Wahrscheinlichkeiten und Schweregrade resultierender Schäden.

Inhaltsübersicht
Risikoanalyse bei Software »
Risikoanalyse: Typische Fehler »
Notwendige Qualifikation »
Eine Gefährdung, mehrere Risiken? »

Typisches Vorgehen bei der Risikoanalyse

Das Ziel der Risikoanalyse besteht darin, Risiken zu identifizieren. Üblicherweise gehen Medizinproduktehersteller bei der Risikoanalyse wie folgt vor:

Gefährdungen suchen. Dazu wenden Sie meist folgende Verfahren zur Gefährdungsanalyse an:
1. PHA (Preliminary Hazard Analysis)
2. FMEA (Failure Mode and Effect Analysis)
3. FTA (Fault Tree Analysis)
4. HAZOP (Hazard Operability)
Wahrscheinlichkeiten und Schweregrade resultierender Schäden (und damit die Risiken) abschätzen.
Über die Vertretbarkeit dieser Risiken entscheiden (siehe Risikoakzeptanz)

Besonderheiten der Risikoanalyse bei Software

Unsere Tipps zur Risikoanalyse bei Software sind so umfangreich geworden, dass wir sie in einen eigenen Artikel ausgelagert haben. Lesen Sie diesen hier.

Typische Fehler bei der Risikoanalyse bei Medizinprodukten

Die folgenden Fehler bei der Risikoanalyse führen im Audit oder der Einreichung der technischen Dokumentation immer wieder zu Problemen:

Die Risiken, die aus technischen Problemen wie Softwarefehlern rühren, sind völlig überbewertet. Probleme durch mangelnde Gebrauchstauglichkeit sind unzureichend analysiert. Die Ursachenkette von der „Gerätekante“ bis zum Schaden ist nicht genau genug bekannt.
Das liegt darin, dass nicht alle notwendigen Rollen vertreten sind: Um Risiken systematisch zu erfassen, bedarf es eines Teams aus Ärzten, Entwicklern, Experten für Risikoanalyseverfahren und Kennern des klinischen Kontext, beispielsweise Pflegekräfte (siehe unten).
Die Wahrscheinlichkeiten, mit denen diese Probleme wirklich zu einem Schaden führen, sind in Unkenntnis des klinischen Kontexts entweder falsch oder völlig willkürlich gewählt.
Ursachen und Gefährdungen sind verwechselt. So werden Softwarefehler oder der Ausfall eines Hardware-Bauteils als Gefährdung bezeichnet.
Als einziges Gefährdungsanalyseverfahren wird – wenn überhaupt – die FMEA angewendet. Meist nennt sich die Risikoanalyse nur FMEA.

Eine Gefährdung, mehrere Risiken?

Die Norm ISO 14971 zum Risikomanagement definiert ein Risiko als eine Kombination aus Wahrscheinlichkeit und Schweregrad eines Schadens. Ein Schaden ist in unserem Kontext eine physische Verletzung eines Patienten. Üblicherweise beschreiben Unternehmen in einer Risikobewertungsmatrix, welche Risiken sie akzeptieren und welche nicht.

Kann es sein, dass eine Gefährdung zu mehreren Risiken führt? Falls ja, wie wären diese zu dokumentieren?

Beispiel

Beispielsweise kann ein Patient zu Schaden kommen, weil das KIS einen Laborwert fälschlicherweise als negativ statt als positiv gespeichert hat (ist schon öfters vorgekommen) und in Folge dessen ein falsches Medikament verabreicht wird. Als Folge kann ein Patient zu Tode kommen oder „nur“ unter Übelkeit leiden.

Abhängig von Ihrer Definition der Schadensklassen könnte der erste Schaden (Tod) als katastrophal, der zweite (Übelkeit) als geringfügig definiert werden. Welchen Schaden trägt man nun ein?

Die Antwort lautet: beide. Sie hätten also zwei Einträge in der Risikomatrix, einen katastrophalen Schaden (typischerweise mit einer geringeren Wahrscheinlichkeit) und einen geringfügigen Schaden (typischerweise mit einer höheren Wahrscheinlichkeit).

Risikoanalyse: Die richtige Ausbildung/Qualifikation

Die ISO 14971 verlangt, dass das für das Risikomanagement verantwortliche Personal über die notwendigen Qualifikationen verfügt.

Nur welche sind das? Die IEC 80002 gibt uns dazu ein paar Hinweise:

Zuerst sollte man etwas vom Risikomanagement selbst verstehen. Dazu zählen die Verfahren zur Risikoanalyse und die Fähigkeit, die Dokumente für eine Risikomanagementakte zu erstellen.
Software Ingenieure und Mitarbeiter des Test-Teams sollten involviert sein.
Der Risikomanager sollte selbst etwas von Software verstehen.
Es müssen Domänenexperten eingebunden werden, die beispielsweise abschätzen können, wie das Produkt tatsächlich genutzt/missbraucht wird. Hier sehe ich Vertreter des medizinischen Personals als notwendig.
Weiter sollte jemand dabei sein, der die direkten und indirekten klinischen Folgen einer Gefährdungssituation abschätzen kann. Meines Erachtens sollte das ein Arzt sein.
Man sollte nicht – wie das häufig zu beobachten ist – für die Wartung (nur) die unerfahrenen Entwickler einsetzen. Denen sind häufig die möglichen Folgen einer Änderung für die Software selbst, v.a. aber für einen Patienten nicht bewusst.
Weiter schlagen die Autoren der IEC 80002 Experten für die Software-Entwicklung, SOUPs, Werkzeuge usw. vor.

Ich kann diesen Einschätzungen nur zustimmen. Ich möchte aber einen Schritt weiter gehen: Das Risikomanagement gehört NICHT in die Hand der Entwicklungsabteilung. Der Risikomanager muss eine unabhängig Person sein, die die Verfahren beherrscht und Ärzte, Anwender und die Entwickler beim Erstellen der Risikomanagementakte „orchestriert“

Der Auditgarant zeigt Ihnen Schritt für Schritt, wie Sie eine Software-Dokumentation erstellen

Mit dem Auditgarant können Sie die geforderten Kompetenzen und auf Wunsch auch ein Zertifikat erwerben.

Videotrainings ansehen

Risikomanagement & ISO 14971

Donnerstag, 25. Februar 2021 | Prof. Dr. Christian Johner

Software-Risikomanagement für medizinische Software

Unter Software-Risikomanagement verstehen Hersteller von Medizinprodukten entweder das Risikomanagement, das sie für die Standalone-Software betreiben müssen, oder den Teil des Risikomanagements, den eine embedded Software nach sich zieht.

Regelmäßig werden Hersteller den regulatorischen Anforderungen an das Software-Risikomanagement nicht gerecht. Dieser Beitrag gibt Tipps für ein schlankes Software-Risikomanagement, mit dem Sie unnötige Aufwände vermeiden und Konformität erreichen können.

Inhaltsübersicht
Anforderungen »
Besonderheiten »
Tipps »

Beitrag lesen

Risikomanagement & ISO 14971

Mittwoch, 24. Februar 2021 | Christian Rosenzweig

Dritte Ausgabe der ISO 14971 – Was sich ändert

Die dritte Ausgabe der ISO 14971 steht seit Dezember 2019 bereit.

Die neue Version der ISO 14971 wurde als ISO 14971:2019 publiziert. Sie ist eine evolutionäre Weiterentwicklung der ISO 14971:2007 und bricht nicht mit den bisherigen Konzepten.

Inhaltsübersicht
1. ISO 14971, dritte Ausgabe »
2. Änderungen im Überblick »
3. Rechtliche Verbindlichkeit »
4. Fazit »

Hersteller sollten sich mit den neuen und geänderten Anforderungen dieser Norm vertraut machen. Noch im Dezember 2019 hat die FDA die 3. Ausgabe Norm der ISO 14971 anerkannt. Mehr zu den Übergangsfristen weiter unten.

Beitrag lesen

Software & IEC 62304

Donnerstag, 4. Februar 2021 | Christian Rosenzweig

CVSS Common Vulnerability Scoring System

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen.

Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich überwachen, um Risiken für Ihre Produkte einschätzen und beherrschen zu können. Das hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.

Beitrag lesen

Risikomanagement & ISO 14971

Dienstag, 10. November 2020 | Mario Klessascheck

Safety Assurance Cases: Leidvolle Diskussionen mit Auditoren abkürzen

Sind Sie die Diskussionen mit Ihrer Benannten Stellen leid, ob Ihre Produkte ausreichend sicher sind? Dann wenden Sie Safety Assurance Cases an. Mit diesem Top-Down-Ansatz führen Sie leicht und elegant den nachvollziehbaren Beweis.

Mit einem Ansatz konform dem AAMI TIR 38, der ISO/IEC 15026 oder den Vorgaben der FDA haben Sie die Argumente auf ihrer Seite. Ihre Benannte Stelle wird nicht nur von der Konformität Ihrer Produkte überzeugt, sondern auch von Ihrer Professionalität angetan sein. Die Zulassung wird damit fast zur Formsache.

Beitrag lesen

Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Dienstag, 3. November 2020 | Prof. Dr. Christian Johner

Autonome Systeme: 4 Vorteile für Medizinproduktehersteller

Zunehmend finden autonome Systeme auch in der Medizin Verwendung. Zu diesen autonomen Systemen zählen einzelne Medizinprodukte wie OP-Roboter. Aber auch Kombinationen einzelner (Medizin-)Produkte bilden autonome Systeme.

Vielen Medizinprodukteherstellern und Krankenhäusern ist nicht klar,

welche Chancen ihnen diese autonomen Systeme bieten,
welche regulatorischen Anforderungen sie dabei beachten müssen,
welche Risiken sie beherrschen müssen, die bei vielen anderen Produkten nicht relevant sind.

Beitrag lesen

Risikomanagement & ISO 14971

Donnerstag, 22. Oktober 2020 | Christian Rosenzweig

FMEA: Definition und Bedeutung am Beispiel von Medizinprodukten

Die FMEA, die Failure Mode and Effect Analysis (auf Deutsch „Fehlermöglichkeits- und -einflussanalyse“) ist ein Verfahren, um zu bekannten Ursachen unbekannte Auswirkungen zu untersuchen.

Bei Medizinprodukten nutzt man die FMEA beispielsweise bei der Risikoanalyse, um die Folgen einer fehlerhaften Komponente zu analysieren, insbesondere die sich daraus ergebende Gefährdungen.

Beitrag lesen

Risikomanagement & ISO 14971

Mittwoch, 10. Juni 2020 | Christian Rosenzweig

Fehlerwahrscheinlichkeit bei Software

Die Fehlerwahrscheinlichkeit bei Software lässt sich schwer abschätzen. So schwer, dass die „alte“ DIN EN IEC 62304:2006 schrieb: „Es gibt jedoch keine Übereinstimmung, wie die Wahrscheinlichkeit des Auftretens von Software-Ausfällen unter Verwendung von traditionellen statistischen Methoden bestimmt werden kann.“

Die Norm schlussfolgerte, dass „die Wahrscheinlichkeit einer solchen Fehlfunktion als 100 Prozent angenommen werden muss“. Die hochproblematische Forderung ist in der „neuen“ IEC 62304:2015 gestrichen.

Dieser Artikel verrät Ihnen, wie Sie die Fehlerwahrscheinlichkeit bei Software realistisch abschätzen können und wann Sie das müssen.

Inhaltsübersicht
1. Problem mit IEC 62304 »
2. Definitionen »
3. Fehlerwahrscheinlichkeit schätzen »
4. Zielwerte bestimmen »
5. Zielwerte erreichen »
6. Argumentationshilfe »
7. Fazit »

Beitrag lesen

Regulatory Affairs

Dienstag, 10. März 2020 | Prof. Dr. Christian Johner

Machine Learning bei Banken: 5 Learnings

Seit vielen Jahren nutzen Banken das Machine Learning. Von diesen Erfahrungen können andere Branchen profitieren: die Medizinproduktehersteller, aber auch prüfende Organisationen wie Behörden und Benannte Stellen.

Aus den Parallelen beider Branchen lassen sich fünf Best Practices sowie Empfehlungen ableiten und damit Kosten und unnötiger Ärger mit Prüfern vermeiden.

Inhaltsübersicht
1. Gemeinsamkeiten »
2. Wo die Banken uns voraus sind »
3. Fünf Learnings »
4. Fazit »

Ein Beitrag von Prof. Dr. Christian Johner mit einem Video mit Dr. Daniel Lohner

Beitrag lesen

Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Dienstag, 3. März 2020 | Hendrik Rudolf

ISO 17664 – Aufbereitung von Medizinprodukten

Die DIN EN ISO 17664:2018 trägt den Titel „Aufbereitung von Produkten für die Gesundheitsfürsorge – Vom Medizinprodukt-Hersteller bereitzustellende Informationen für die Aufbereitung von Medizinprodukten“.

Allerdings geht es nicht nur um die „bereitzustellenden Informationen“. Vielmehr betrifft die Norm auch die Tätigkeiten und Prozesse im Kontext der Aufbereitung.

Was die MDR im Gegensatz zur MDD fordert, was jeder Hersteller über die Aufbereitung von Produkten wissen sollte und wann die ISO 17664 nicht anwendbar ist, verrät dieser Artikel.

Inhaltsübersicht
1. Einführung »
2. Regulatorische Anforderungen »
3. Die Norm ISO 17664 »
4. Acht Praxistipps »
5. Unterstützung bei der Umsetzung »
6. Fazit, Zusammenfassung »

Beitrag lesen

Risikomanagement & ISO 14971

Donnerstag, 5. September 2019 | Mario Klessascheck

HAZOP – Risikoanalyse konform IEC 61882

Die HAZOP (Hazard and Operability) ist ein Gefährdungsanalyseverfahren, das die ISO 14971 neben der FMEA, FTA und PHA empfiehlt.

Das deutsche Akronym für HAZOP (Hazard and Operability) lautet PAAG. Das steht für Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen.

Die Norm IEC 61882 beschreibt dieses Verfahren.

Inhaltsübersicht
HAZOP im Überblick »
Vorgehen nach IEC 61882 »
HAZOP bei Software »
Fazit »

Lernen Sie in diesem Artikel die HAZOP kennen. Erfahren Sie, wann Sie die HAZOP einsetzen sollten, um Risiken durch Ihre Medizinprodukte schnell und zuverlässig zu identifizieren und zu beherrschen.

Beitrag lesen

INSTITUTS-JOURNAL

Ständig ändern sich Gesetze für Hersteller von Medizinprodukten.
Wir halten Sie 1x pro Woche kompakt auf dem Laufenden, damit Sie nichts verpassen.

1x wöchentlich
Kompakte Übersicht
Fachinformationen von Prof. Dr. Johner

KOSTENLOS ABONNIEREN

STARTER-KIT

Ein rascher Überblick über Normen und Gesetze. Mindmaps u.a. zu

MDR & IVDR
ISO 13485:2016
IEC 62304 …

KOSTENLOSER DOWNLOAD

MICRO-CONSULTING

Haben Sie eine Frage? Wir antworten schnell, unbürokratisch und kostenlos!

Kostenlose Antworten z.B. zur:

Klassifizierung
Zulassung
Zertifizierung...

KOSTENLOSE BERATUNG

SOFTWARE ANFORDERUNGEN

Finden Sie Fehler in Ihren Software-Anforderungen, bevor es Ihr Auditor tut!

KOSTENLOSE CHECKLSITE

AUDITGARANT

300+ Trainingsvideos helfen Ihnen, schnell und einfach Zulassungsunterlagen und ein schlankes QM-System zu erstellen.

E-Learning
Templates

GRATIS VIDEOS

UNSERE BÜCHER

DIE Fachbücher für Medizinprodukte-Hersteller. Kompaktes Expertenwissen.

Bücher zu:

Regularien
Software-Audits
Usability

BÜCHER ANSEHEN

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird verwendet, um YouTube-Inhalte zu entsperren.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate

Schlagwort: Risikoanalyse | z.B. Beispiel für Projekte & Software

Typisches Vorgehen bei der Risikoanalyse

Besonderheiten der Risikoanalyse bei Software

Typische Fehler bei der Risikoanalyse bei Medizinprodukten

Eine Gefährdung, mehrere Risiken?

Beispiel

Risikoanalyse: Die richtige Ausbildung/Qualifikation

Starter-Kit

Institutsjournal

Risikomanagement & ISO 14971

Software-Risikomanagement für medizinische Software

Risikomanagement & ISO 14971

Dritte Ausgabe der ISO 14971 – Was sich ändert

Software & IEC 62304

CVSS Common Vulnerability Scoring System

Risikomanagement & ISO 14971

Safety Assurance Cases: Leidvolle Diskussionen mit Auditoren abkürzen

Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Autonome Systeme: 4 Vorteile für Medizinproduktehersteller

Risikomanagement & ISO 14971

FMEA: Definition und Bedeutung am Beispiel von Medizinprodukten

Risikomanagement & ISO 14971

Fehlerwahrscheinlichkeit bei Software

Regulatory Affairs

Machine Learning bei Banken: 5 Learnings

Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

ISO 17664 – Aufbereitung von Medizinprodukten

Risikomanagement & ISO 14971

HAZOP – Risikoanalyse konform IEC 61882

INSTITUTS-JOURNAL

STARTER-KIT

MICRO-CONSULTING

SOFTWARE ANFORDERUNGEN

AUDITGARANT

UNSERE BÜCHER