Unter einer Risikoanalyse versteht man das Suchen von Gefährdungen und die Abschätzung der Wahrscheinlichkeiten sowie Schweregrade resultierender Schäden.
Wenn von Risikoanalyse gesprochen wird, ist oft ist eine Gefährdungsanalyse gemeint.
Um die Risiken zu identifizieren, müssen Hersteller die folgenden Voraussetzungen erfüllen:
Die Übersichtsseite zum Risikomanagement und zur ISO 14971 verschafft einen Überblick über alle Aktivitäten im Risikomanagementprozess sowie die gesetzlichen Anforderungen daran. Für Krankenhäuser ist auch die ISO 80001-1 relevant.
Das Ziel der Risikoanalyse ist es, Risiken zu identifizieren.
Der erste Schritt besteht darin, basierend auf der Zweckbestimmung, den sicherheitsrelevanten Merkmalen des Produkts sowie ggf. dessen Designs die Gefährdungen zu suchen.
Dazu empfehlen sich die Verfahren zur Gefährdungsanalyse:
Risiken sind Kombinationen aus der Wahrscheinlichkeit des Auftretens und des Schweregrads von Schäden. Daher müssen beide in diesem Schritt abgeschätzt werden.
Anhand der Risikoakzeptanz entscheiden die Hersteller über die Vertretbarkeit der Einzelrisiken, später über die Vertretbarkeit aller (Rest-)Risiken.
Streng genommen zählt dieser Schritt nicht mehr zu Risikoanalyse.
Unsere Tipps zur Risikoanalyse bei Software sind so umfangreich geworden, dass wir ihnen einen eigenen Artikel gewidmet haben.
Eine Gefährdung kann zu mehreren Risiken führen, wie das folgende Beispiel zeigt.
Wenn ein Krankenhaus-Informationssystem einen Laborwert fälschlicherweise als negativ statt als positiv gespeichert hat und die Ärztin deshalb ein falsches Medikament verabreicht, kann ein Patient zu Schaden kommen. Der Patient kann zu Tode kommen oder „nur“ unter Übelkeit leiden.
Abhängig von Ihrer Definition der Schadensklassen könnte der erste Schaden (Tod) als katastrophal, der zweite (Übelkeit) als geringfügig definiert werden. Beide Schäden haben jedoch eine unterschiedliche Wahrscheinlichkeit.
Die ISO 14971 verlangt, dass das für das Risikomanagement verantwortliche Personal über die notwendigen Qualifikationen verfügt.
Nachdem die Risiken identifiziert und bewertet worden sind, müssen sie minimiert werden. Lesen Sie hierzu diesen Artikel.
Gesetze und Normen formulieren Anforderungen, wie Medizinproduktehersteller den Entwicklungsprozess festlegen und dokumentieren müssen. Diese Anforderungen prüfen Benannte Stellen bei Audits. Dieser Artikel zum Entwicklungsprozess gibt Ihnen Tipps zu dessen Gestaltung und zum Abgleich mit anderen Prozessen wie dem Risikomanagementprozess.
DetailsDieser Artikel nennt die sieben häufigsten Fehler beim Risikomanagement, auf welche das Johner Institut und seine Auditoren am häufigsten stoßen. Er gibt auch Tipp dazu, wie sich diese Fehler vermeiden lassen. Das Risikomanagement zählt zu den wichtigsten Anforderungen, die Medizinproduktehersteller erfüllen müssen. Deshalb ist es wichtig, dass sie Fehler beim Risikomanagement vermeiden.
DetailsMedizinprodukte müssen die gesetzlichen Anforderungen an die funktionale Sicherheit, auch Funktionssicherheit und „functional safety“ genannt, erfüllen. Leider verwenden und definieren die relevanten Normen und Gesetze für Medizinprodukte den Begriff „funktionale Sicherheit“ nicht. Dieser Artikel verschafft Klarheit.
Details
Die Fehlerwahrscheinlichkeit bei Software lässt sich schwer abschätzen. So schwer, dass die „alte“ DIN EN IEC 62304:2006 schrieb: „Es gibt jedoch keine Übereinstimmung, wie die Wahrscheinlichkeit des Auftretens von Software-Ausfällen unter Verwendung von traditionellen statistischen Methoden bestimmt werden kann.“ Die Norm schlussfolgerte, dass „die Wahrscheinlichkeit einer solchen Fehlfunktion als 100 Prozent angenommen werden muss“. Die hochproblematische…
DetailsDie EN ISO 17664-1:2021 trägt den Titel „Aufbereitung von Produkten für die Gesundheitsfürsorge – Vom Medizinprodukt-Hersteller bereitzustellende Informationen für die Aufbereitung von Medizinprodukten“.
Die dritte Ausgabe der ISO 14971 steht seit Dezember 2019 bereit. Die neue Version der ISO 14971 wurde als ISO 14971:2019 publiziert. Sie ist eine evolutionäre Weiterentwicklung der ISO 14971:2007 und bricht nicht mit den bisherigen Konzepten. Hersteller sollten sich mit den neuen und geänderten Anforderungen dieser Norm vertraut machen. Noch im Dezember…
DetailsUnter Software-Risikomanagement verstehen Hersteller von Medizinprodukten entweder das Risikomanagement, das sie für die Standalone-Software betreiben müssen, oder den Teil des Risikomanagements, den eine embedded Software nach sich zieht. Regelmäßig werden Hersteller den regulatorischen Anforderungen an das Software-Risikomanagement nicht gerecht. Dieser Beitrag gibt Tipps für ein schlankes Software-Risikomanagement, mit dem Sie unnötige Aufwände vermeiden und Konformität…
DetailsDas Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen. Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B.…
DetailsSind Sie die Diskussionen mit Ihrer Benannten Stellen leid, ob Ihre Produkte ausreichend sicher sind? Dann wenden Sie Safety Assurance Cases an. Mit diesem Top-Down-Ansatz führen Sie leicht und elegant den nachvollziehbaren Beweis. Mit einem Ansatz konform dem AAMI TIR 38, der ISO/IEC 15026 oder den Vorgaben der FDA haben Sie die Argumente auf ihrer…
DetailsZunehmend finden autonome Systeme auch in der Medizin Verwendung. Zu diesen autonomen Systemen zählen einzelne Medizinprodukte wie OP-Roboter. Aber auch Kombinationen einzelner (Medizin-)Produkte bilden autonome Systeme. Vielen Medizinprodukteherstellern und Krankenhäusern ist nicht klar,
Details