Unter einer Risikoanalyse versteht man das Suchen von Gefährdungen und die Abschätzung der Wahrscheinlichkeiten sowie Schweregrade resultierender Schäden.
Wenn von Risikoanalyse gesprochen wird, ist oft ist eine Gefährdungsanalyse gemeint.
Um die Risiken zu identifizieren, müssen Hersteller die folgenden Voraussetzungen erfüllen:
Die Übersichtsseite zum Risikomanagement und zur ISO 14971 verschafft einen Überblick über alle Aktivitäten im Risikomanagementprozess sowie die gesetzlichen Anforderungen daran. Für Krankenhäuser ist auch die ISO 80001-1 relevant.
Das Ziel der Risikoanalyse ist es, Risiken zu identifizieren.
Der erste Schritt besteht darin, basierend auf der Zweckbestimmung, den sicherheitsrelevanten Merkmalen des Produkts sowie ggf. dessen Designs die Gefährdungen zu suchen.
Dazu empfehlen sich die Verfahren zur Gefährdungsanalyse:
Risiken sind Kombinationen aus der Wahrscheinlichkeit des Auftretens und des Schweregrads von Schäden. Daher müssen beide in diesem Schritt abgeschätzt werden.
Anhand der Risikoakzeptanz entscheiden die Hersteller über die Vertretbarkeit der Einzelrisiken, später über die Vertretbarkeit aller (Rest-)Risiken.
Streng genommen zählt dieser Schritt nicht mehr zu Risikoanalyse.
Unsere Tipps zur Risikoanalyse bei Software sind so umfangreich geworden, dass wir ihnen einen eigenen Artikel gewidmet haben.
Eine Gefährdung kann zu mehreren Risiken führen, wie das folgende Beispiel zeigt.
Wenn ein Krankenhaus-Informationssystem einen Laborwert fälschlicherweise als negativ statt als positiv gespeichert hat und die Ärztin deshalb ein falsches Medikament verabreicht, kann ein Patient zu Schaden kommen. Der Patient kann zu Tode kommen oder „nur“ unter Übelkeit leiden.
Abhängig von Ihrer Definition der Schadensklassen könnte der erste Schaden (Tod) als katastrophal, der zweite (Übelkeit) als geringfügig definiert werden. Beide Schäden haben jedoch eine unterschiedliche Wahrscheinlichkeit.
Die ISO 14971 verlangt, dass das für das Risikomanagement verantwortliche Personal über die notwendigen Qualifikationen verfügt.
Nachdem die Risiken identifiziert und bewertet worden sind, müssen sie minimiert werden. Lesen Sie hierzu diesen Artikel.
Die Prozess-FMEA (pFMEA) ist eine Methode zur systematischen Analyse von Risiken, die sich durch Fehler in Prozessen wie der Produktion und Reinigung von Produkten ergeben. Gesetze wie die MDR und Normen wie die ISO 13485 verpflichten die Hersteller von Medizinprodukten dazu, solche Prozessrisiken zu identifizieren und zu beherrschen.
DetailsDie FMEA, die Failure Mode and Effect Analysis (auf Deutsch: Fehlermöglichkeits- und -einflussanalyse), ist ein Verfahren, um zu bekannten Ursachen unbekannte Auswirkungen zu untersuchen. Bei Medizinprodukten nutzt man die FMEA beispielsweise bei der Risikoanalyse, um die Folgen einer fehlerhaften Komponente zu analysieren, insbesondere die sich daraus ergebenden Gefährdungen.
DetailsMedizinprodukte- und IVD-Hersteller müssen die Konzepte „anormaler Gebrauch“, „vorhersehbarer Missbrauch“, „Fehler beim bestimmungsgemäßen Gebrauch“ und „Fehlanwendung“ unterscheiden. Das ist die Voraussetzung, um die Anforderungen der ISO 14971 und IEC 62366 zu verstehen und zu erfüllen. Selbst die Maßnahmen, die Hersteller ergreifen müssen, hängen von der Art des Gebrauchs ab.
DetailsDie FDA hat die Bedeutung der Interoperabilität von Medizinprodukten früh erkannt und 2017 das Guidance Dokument ‚Interoperable Medical Devices‘ veröffentlicht. Die US-Behörde möchte damit der Tatsache Rechnung tragen, dass die Interoperabilität von Medizinprodukten einerseits wichtig für die Gesundheitsversorgung ist. Andererseits führen Probleme mit mangelnder Interoperabilität zu Risiken. Dieser Beitrag verschafft Ihnen einen schnellen Überblick über…
DetailsDie ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern dabei helfen, ein effektives und effizientes Risikomanagement aufzubauen. Diese Norm wendet sich an alle Organisationen, hat also keinen „Domänenfokus“. Daher stehen beispielsweise Medizinprodukte- und IVD-Hersteller vor der Frage, ob ihnen domänenspezifische Normen nicht nützlicher sind. Dieser Artikel verschafft eine Übersicht…
Details
Medizinproduktehersteller müssen die Schweregrade möglicher Schäden bestimmen, um die Risiken durch ihre Produkte bewerten zu können. Was sich einfach anhört, ist in der Praxis sehr herausfordernd. Dieser Artikel gibt Hilfestellung, um die Schweregrade dieser Schäden ISO 14971-konform zu bestimmen und zu dokumentieren.
Details
Die ISO 14971 definiert die Begriffe Gefährdung und Gefährdungssituation. Trotzdem fällt es Medizinprodukte-Herstellern oft schwer, den beiden Begriffen Sachverhalte zuzuordnen. Dieser Artikel gibt Hilfestellung.
Das Risikomanagement an Dienstleister auslagern. Wäre das nicht praktisch? Aber darf man das? Und wie sinnvoll ist das überhaupt? Umgekehrt: Was sollten Sie als Dienstleister sich keinesfalls aufbürden lassen? Dieser Artikel gibt die Antworten. Er enthält einen Vorschlag, wie Hersteller und Dienstleister ihre Tätigkeiten aufteilen können, und gibt beiden praktische Tipps.
DetailsDie IEC 80001-1 trägt den langen Titel „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten – Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten“. Was die Norm verlangt und weshalb sich auch die Hersteller damit beschäftigten sollen, verrät dieser Artikel.
DetailsViele Medizinproduktehersteller erstellen eine „Software-FMEA„. Doch es gibt kein einheitliches Verständnis dessen, was eine Software-FMEA ist. Dieser Beitrag verschafft Klarheit und gibt Tipps, um die häufigsten Fehler zu vermeiden.
Details