Risikoanalyse | z.B. Beispiel für Projekte & Software

Unter einer Risikoanalyse versteht man das Suchen von Gefährdungen und der Abschätzung der Wahrscheinlichkeiten und Schweregrade resultierender Schäden.

Typisches Vorgehen bei der Risikoanalyse

Das Ziel der Risikoanalyse besteht darin, Risiken zu identifizieren. Üblicherweise gehen Medizinproduktehersteller bei der Risikoanalyse wie folgt vor:

  1. Gefährdungen suchen. Dazu wenden Sie meist folgende Verfahren zur Gefährdungsanalyse an:
    1. PHA (Preliminary Hazard Analysis)
    2. FMEA (Failure Mode and Effect Analysis)
    3. FTA (Fault Tree Analysis)
    4. HAZOP (Hazard Operability)
  2. Wahrscheinlichkeiten und Schweregrade resultierender Schäden (und damit die Risiken) abschätzen.
  3. Über die Vertretbarkeit dieser Risiken entscheiden (siehe Risikoakzeptanz)

Risikoanalyse

Besonderheiten der Risikoanalyse bei Software

Unsere Tipps zur Risikoanalyse bei Software sind so umfangreich geworden, dass wir sie in einen eigenen Artikel ausgelagert haben. Lesen Sie diesen hier.

Typische Fehler bei der Risikoanalyse bei Medizinprodukten

Die folgenden Fehler bei der Risikoanalyse führen im Audit oder der Einreichung der technischen Dokumentation immer wieder zu Problemen:

  • Die Risiken, die aus technischen Problemen wie Softwarefehlern rühren, sind völlig überbewertet. Probleme durch mangelnde Gebrauchstauglichkeit sind unzureichend analysiert. Die Ursachenkette von der „Gerätekante“ bis zum Schaden ist nicht genau genug bekannt.
  • Das liegt darin, dass nicht alle notwendigen Rollen vertreten sind: Um Risiken systematisch zu erfassen, bedarf es eines Teams aus Ärzten, Entwicklern, Experten für Risikoanalyseverfahren und Kennern des klinischen Kontext, beispielsweise Pflegekräfte (siehe unten).
  • Die Wahrscheinlichkeiten, mit denen diese Probleme wirklich zu einem Schaden führen, sind in Unkenntnis des klinischen Kontexts entweder falsch oder völlig willkürlich gewählt.
  • Ursachen und Gefährdungen sind verwechselt. So werden Softwarefehler oder der Ausfall eines Hardware-Bauteils als Gefährdung bezeichnet.
  • Als einziges Gefährdungsanalyseverfahren wird – wenn überhaupt – die FMEA angewendet. Meist nennt sich die Risikoanalyse nur FMEA.

Eine Gefährdung, mehrere Risiken?

Die Norm ISO 14971 zum Risikomanagement  definiert ein Risiko als eine Kombination aus Wahrscheinlichkeit und Schweregrad eines Schadens. Ein Schaden ist in unserem Kontext eine physische Verletzung eines Patienten. Üblicherweise beschreiben Unternehmen in einer Risikobewertungsmatrix, welche Risiken sie akzeptieren und welche nicht.

Kann es sein, dass eine Gefährdung zu mehreren Risiken führt? Falls ja, wie wären diese zu dokumentieren?

Beispiel

Beispielsweise kann ein Patient zu Schaden kommen, weil das KIS einen Laborwert fälschlicherweise als negativ statt als positiv gespeichert hat (ist schon öfters vorgekommen) und in Folge dessen ein falsches Medikament verabreicht wird. Als Folge kann ein Patient zu Tode kommen oder „nur“ unter Übelkeit leiden.

Abhängig von Ihrer Definition der Schadensklassen könnte der erste Schaden (Tod) als katastrophal, der zweite (Übelkeit) als geringfügig definiert werden. Welchen Schaden trägt man nun ein?

Die Antwort lautet: beide. Sie hätten also zwei Einträge in der Risikomatrix, einen katastrophalen Schaden (typischerweise mit einer geringeren Wahrscheinlichkeit) und einen geringfügigen Schaden (typischerweise mit einer höheren Wahrscheinlichkeit).

Risikoanalyse: Die richtige Ausbildung/Qualifikation

Die ISO 14971 verlangt, dass das für das Risikomanagement verantwortliche Personal über die notwendigen Qualifikationen verfügt.

Nur welche sind das? Die IEC 80002 gibt uns dazu ein paar Hinweise:

  • Zuerst sollte man etwas vom Risikomanagement selbst verstehen. Dazu zählen die Verfahren zur Risikoanalyse und die Fähigkeit, die Dokumente für eine Risikomanagementakte zu erstellen.
  • Software Ingenieure und Mitarbeiter des Test-Teams sollten involviert sein.
  • Der Risikomanager sollte selbst etwas von Software verstehen.
  • Es müssen Domänenexperten eingebunden werden, die beispielsweise abschätzen können, wie das Produkt tatsächlich genutzt/missbraucht wird. Hier sehe ich Vertreter des medizinischen Personals als notwendig.
  • Weiter sollte jemand dabei sein, der die direkten und indirekten klinischen Folgen einer Gefährdungssituation abschätzen kann. Meines Erachtens sollte das ein Arzt sein.
  • Man sollte nicht – wie das häufig zu beobachten ist – für die Wartung (nur) die unerfahrenen Entwickler einsetzen. Denen sind häufig die möglichen Folgen einer Änderung für die Software selbst, v.a. aber für einen Patienten nicht bewusst.
  • Weiter schlagen die Autoren der IEC 80002 Experten für die Software-Entwicklung, SOUPs, Werkzeuge usw. vor.

Ich kann diesen Einschätzungen nur zustimmen. Ich möchte aber einen Schritt weiter gehen: Das Risikomanagement gehört NICHT in die Hand der Entwicklungsabteilung. Der Risikomanager muss eine unabhängig Person sein, die die Verfahren beherrscht und Ärzte, Anwender und die Entwickler beim Erstellen der Risikomanagementakte „orchestriert“

Der Auditgarant zeigt Ihnen Schritt für Schritt, wie Sie eine Software-Dokumentation erstellen
Mit dem Auditgarant können Sie die geforderten Kompetenzen und auf Wunsch auch ein Zertifikat erwerben.

Dienstag 24. Oktober 2017 von Prof. Dr. Christian Johner

Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI.

Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.

AAMI TIR 57: IT-Sicherheit und Risikomanagement | Beitrag lesen »


Dienstag 10. Oktober 2017 von Prof. Dr. Christian Johner

Die Begriffe ‚vernünftigerweise vorhersehbarer Missbrauch‘ (‚reasonable foreseeable misuse‘), ‚anormaler Gebrauch‘ (‚abnormal use‘), ‚korrekter Gebrauch‘ (‚correct use‘) und ‚bestimmungsgemäßer Gebrauch‘ (’normal use‘) stammen aus den Normen ISO 14971 und IEC 62366-1. Leider erscheinen die Definitionen nicht gut aufeinander abgestimmt zu sein. Allerdings sind sie substantiell für das Verständnis, wie die Normen, in denen diese Begriffe erwähnt werden, anzuwenden sind.

Synonym zum Begriff ‚vorhersehbarer Missbrauch‘ nutzen manche die Begriffe ‚vorhersagbarer Missbrauch‘ und ‚vorhersehbarer Fehlgebrauch‘.

Dieser Artikel soll Klarheit verschaffen und beschreiben, wann Sie welche Norm anwenden müssen.

Vorhersehbarer Missbrauch, anormaler Gebrauch | Beitrag lesen »


Dienstag 26. September 2017 von Prof. Dr. Christian Johner

Die FDA hat das Guidance Dokument ‚Interoperable Medical Devices‘ am 6. September 2017 veröffentlicht.

Die US-Behörde möchte damit der Tatsache Rechnung tragen, dass einerseits die Interoperabilität von Medizinprodukten immer wichtiger für die Gesundheitsversorgung wird. Andererseits führen Probleme mit mangelnder Interoperabilität immer häufiger zu Risiken.

Dieser Beitrag verschafft Ihnen einen schnellen Überblick über die Anforderungen der FDA an ‚Interoperable Medical Devices‘ und gibt Tipps wie Sie diese erfüllen können.

FDA Guidance ‚Interoperable Medical Devices‘ | Beitrag lesen »


Dienstag 4. Juli 2017 von Prof. Dr. Christian Johner

Die HAZOP (Hazard and Operability) ist ein Gefährdungsanalyseverfahren, das die ISO 14971 neben der FMEA, FTA und PHA empfiehlt. Das deutsche Akronym für HAZOP (Hazard and Operability) lautet PAAG. Das steht für Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen.

Die Norm IEC 61882 beschreibt dieses Verfahren.

Lernen Sie in diesem Artikel die HAZOP kennen. Erfahren Sie, wann Sie die HAZOP einsetzen sollten, um Risiken durch Ihre Medizinprodukte schnell und zuverlässig zu identifizieren und zu beherrschen.

HAZOP – Risikoanalyse konform IEC 61882 | Beitrag lesen »


Dienstag 4. April 2017 von Prof. Dr. Christian Johner

Der AAMI TIR 36 ist ein Best Pratice Guide, der den Titel “Validation of software for regulated processes“ trägt.

Die AAMI möchte mit diesem „Technical Information Report“ Medizinprodukteherstellern Hilfestellung dabei geben, computerisierte Systeme zu validieren.

Dieser Artikel fasst Ihnen das 111-seitige Dokument zusammen und stellt Ihnen das zentrale Prozessdiagramm als Download zur Verfügung.
AAMI TIR 36: Validierung von Prozesssoftware | Beitrag lesen »


Dienstag 21. Februar 2017 von Prof. Dr. Christian Johner

Nach dem Artikel zum Design Input geht es in diesem Beitrag um den Design Output, einen Begriff, den Sie wahrscheinlich am ehesten aus dem FDA Umfeld kennen.

Design Output: Was ist das und was muss er enthalten? | Beitrag lesen »


Montag 20. Februar 2017 von Prof. Dr. Christian Johner

Unter „Design Input“ versteht man die Entwicklungsvorgaben, an die nicht nur die FDA konkrete Forderungen stellt.

Dieser Artikel beschreibt, welche Inhalte Ihr Design Input enthalten sollte. Sie erfahren, wie das Risikomanagement mit dem Design Input zusammenspielt.

Design Input: Was Sie nicht vergessen sollten | Beitrag lesen »


Dienstag 11. Oktober 2016 von Prof. Dr. Christian Johner

Ob in einer Software ein – möglicherweise gefährlicher – Fehler schlummert, läß sich schwer abschätzen. So schwer, dass die „alte“ DIN EN IEC 62304:2006 schrieb: „Es gibt jedoch keine Übereinstimmung, wie die Wahrscheinlichkeit des Auftretens von Software-Ausfällen unter Verwendung von traditionellen statistischen Methoden bestimmt werden kann.“

Die Norm schlussfolgerte, dass „die Wahrscheinlichkeit einer solchen Fehlfunktion als 100 Prozent angenommen werden muss“. Die hochproblematische Forderung ist in der „neuen“ IEC 62304:2015 gestrichen.

Dieser Artikel verrät Ihnen, wie Sie die Fehlerwahrscheinlichkeit bei Software realistischer abschätzen können und wann Sie das müssen.

Fehlerwahrscheinlichkeit bei Software | Beitrag lesen »


Dienstag 20. September 2016 von Prof. Dr. Christian Johner

Anormaler Gebrauch: Eine von vielen möglichen Fehlhandlungen

Irrtum, Benutzungsfehler, anormaler Gebrauch, Aufmerksamkeitsfehler, vernünftigerweise vorhersehbarer Erinnerungsfehler, vorhersehbarer Missbrauch. Die Liste möglicher (Fehl-) Handlungen ist lang, die die Normen betrachtet haben möchten.

Doch Vorsicht: Die Normen zur Gebrauchstauglichkeit (IEC 62366:2007 und IEC 62366-1:2015) und die Norm zum Risikomanagement (ISO 14971) verwenden unterschiedliche Begriffe.

Dieser Artikel bringt Licht ins Dunkel.

Anormaler Gebrauch – unterschiedliche Begriffswelten in den Normen | Beitrag lesen »


Freitag 29. April 2016 von Prof. Dr. Christian Johner

Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern Handlungsleitung für ein effektives und effizientes Risikomanagement geben – unabhängig von der Domäne einer Organisation.

Dieser Artikel möchte Ihnen als Medizinprodukte-Hersteller eine Übersicht über die ISO 31000 verschaffen, damit Sie schnell entscheiden können, ob Sie deren Prinzipien und Richtlinien in Ihrem Unternehmen anwenden wollen.

ISO 31000: Risikomanagement richtig gemacht | Beitrag lesen »

Seite 1