Risikobewertungsmatrix – Risikoakzeptanz – Risikopolitik

Jedes Produkt ist mit Risiken versehen. Hersteller müssen festlegen, welche Risiken sie als akzeptabel erachten und welche als inakzeptabel. Dies drücken sie üblicherweise in Form einer Risikoakzeptanzmatrix (auch Risikobewertungsmatrix genannt) aus. In diesem Beitrag lesen Sie mehr über

Weiterführende Informationen

Scrollen Sie weiter nach unten, um weitere Fachartikel zum Thema Risikoakzeptanz und Risikopolitik zu lesen.

Hinweis: Dieser Beitrag wendet sich an Medizinproduktehersteller. Viele Konzepte sind aber auf andere Branchen übertragbar.

Regulatorische Anforderungen an die Risikobewertungsmatrix

Zuerst muss festgestellt, dass es keine regulatorische Anforderung an die Medizinprodukte-Hersteller gibt, weder in Europa noch in den USA, eine Risikobewertungsmatrix zu erstellen. Allerdings hat sich die Risikobewertungsmatrix als Werkzeug etabliert, die Risikopolitik auszudrücken.

Forderungen der Medizinprodukterichtlinie MDD (93/42/EWG)

Die MDD verlangt, dass HerstellerRisiken durch Medizinprodukte nur dann als akzeptabel festlegen dürfen, wenn der Nutzen durch das Produkt die Risiken bzw. Schäden überwiegt. Den Nutzen bestimmt man durch eine Vergleich mit einem alternativen Vorgehen z.B. dem Nichtanwenden des Produkts, dem Verwenden eine Konkurrenzprodukts oder eine alternativen Verfahrens.

ISO 14971 und Risikobewertungsmatrix

Auch die ISO 14971 fordert keine Risikobewertungsmatrix, auch wenn sie in älteren Ausgaben im informativen Anhang eine abbildete. In diesen älteren Ausgaben unterschied die EN ISO 14971 akzeptable Risiken, nicht akzeptable Risiken und Risiken im Bereich ALARP(„as low as reasonable practical“).  Seit der 2012-er Ausgabe der EN ISO 14971 gibt es keine pauschal akzeptablen Risiken mehr. Die Unterteilung in akzeptable, nicht akzeptable und ALARP-Risiken  ist somit obsolet. Vielmehr müssen Risiken „as low as reasonable possible“ sein.

Risikoakzeptanzmatrix, Risikobewertungsmatrix

Abb. 1: Die Risikoakzeptanzmatrix mit zwei Akzeptanzbereichen

Lesen Sie mehr über diese Änderungen in dem Beitrag zur ISO 14971:2012 und dem Anhängen ZA.

Schwierigkeiten und typische Fehler beim Erstellen der Risikoakzeptanzmatrix

Bereits beim ersten Schritt im Risikomanagement, nämlich die Festlegung der Risikopolitik (in der Risikobewertungsmatrix ausgedrückt als Abgrenzung zwischen roten und gelben Bereichen), unterlaufen Medizinprodukteherstellern zahlreiche Fehler, die alle weiteren Aktivitäten ad absurdum führen.

1. Fehler: Risikobewertungsmatrix im QM-Handbuch

Die Risiko-Nutzen-Abwägung und damit Risikobewertungsmatrix müssen produktspezifisch sein. Daher ergibt es in der Regel keinen Sinn, die Risikobewertungsmatrix im QM-Handbuch oder in einer „SOP Risikomanagement“ festzulegen.

2. Fehler: Risikoakzeptanz ist nicht quantitativ hergeleitet

Viele Hersteller legen die Risikopolitik eher aus dem Bauch fest. Ein typisches Indiz davor liegt vor, wenn sie die Akzeptanzkriterien anhand einer Risikoprioritätszahl festlegen. Das ergibt aber meistens keinen Sinn, weil

  1. die Zahl, welche rote und gelbe Bereiche trennt, nicht systematisch und quantitativ hergeleitet werden kann und
  2. die Trennung von roten und gelben Bereichen in der Risikobewertungsmatrix für jeden Schweregrad diskutiert werden müsste. Es gilt für jede Schweregrad-Klasse den Nutzen und die Risiken getrennt abzuschätzen.

Eine Risikoprioritätszahl, die drei Parameter einfließen lässt (z.B. Schweregrad von Schäden, Wahrscheinlichkeit von Fehlern, Entdeckungswahrscheinlichkeit) ist sogar wider die Definition.

3. Fehler: Die Risikopolitik bzw. Risikobewertungsmatrix werden nicht aktualisiert

Beispiel 1: Medizinprodukt basiert auf sich ständig ändernden Literaturdaten

Einer meiner Kunden entwickelt eine stand-alone Software, die basierend auf genetischen Daten der Patienten und aus Literaturdaten konkrete Behandlungsempfehlungen ableitet. Dabei bin ich auf ein seltenes Phänomen gestoßen:

Die Risikoakzeptanzmatrix muss wie bei allen Herstellern im Sinne der ISO 14971 anhand quantitativer Kriterien akzeptable und nicht-akzeptable Risiken definieren. Die Akzeptanz hängt davon ab, ob das Verfahren und das Produkt besser oder schlechter als die Alternativen sind. Im konkreten Fall wäre das die Behandlung in Unkenntnis der Literaturlage, die in der vorhandenen Menge nur eine Software verarbeiten kann.

ISO14971-Risikoakzeptanzmatrix

Abb. 2: Die Risikoakzeptanzkriterien müssen den Stand der Technik reflektieren und sind keinesfalls konstant.

Da sich aber die Literaturlage ständig ändert – im konkreten Fall verbessert – stehen den behandelnden Ärzten immer bessere Daten für die Behandlungsentscheidung zur Verfügung. D.h. die Software muss sich mit einer immer besser werdenden Alternative messen. Hält Sie damit nicht Schritt, wären Risiken durch diese Software immer weniger akzeptabel.

Beispiel 2: CT-Scanner

Der Nutzen von CT-Geräten ist ebenfalls kein absoluter. Vielmehr orientiert er sich an den Alternativen. In dem Maß, in dem beispielsweise Kernspingeräte, die keine schädliche Strahlendosis aufweisen, immer besser in der Lage sind, der Diagnose von Körperstrukturen zu dienen, die bisher die Domäne der CTs waren wie knöcherne Strukturen, nimmt der relative Nutzen ab.

Aber auch die Bewertung der Risiken ändert sich über die Zeit. Eine Veröffentlichung der Stanford University hat beispielsweise zu Tage gefördert, dass die DNA-Schäden durch CTs größer als befürchtet sind.

In anderen Worten: Eine ISO 14971 konforme Risikoakzeptanzmatrix dieses Herstellers muss sehr dynamisch sein und sich ohne kontinuierliches Verbessern des Produkts von rechts oben rot einfärben. Die Herausforderung für uns im Risikomanagement besteht darin, diese Verbesserung zu quantifizieren.

4. Fehler: Risikoakzeptanzmatrix mit „grünen“ Bereichen

Mit zwei Bereichen

Manche Hersteller haben die Risikoakzeptanzmatrizen nicht auf die Anforderungen der EN ISO 14971:2012 angepasst. Diese erlaubt keine per se akzeptablen („grünen“) Bereiche. Wie oben ausgeführt, müssen alle Risiken so weit wie möglich minimiert werden. Ob man eine Risikoakzeptanzmatrix (bzw. Risikobewertungsmatrix) in rote und gelbe Bereiche wie in Abb. 1 oder in rote und grüne Bereiche wie in Abb. 2 unterteilt, ist aber eher eine theoretische Fragestellung. Grün kann auch Bereiche kennzeichnen, in denen Risiken akzeptiert werden, wenn sie maximal reduziert wurden.

Mit drei Bereichen

Möchten Hersteller die Akzeptanzmatrizen nicht ändern, haben Sie die Möglichkeit die Definition der Bereiche anzupassen:

  • Rot: Risiken werden keinesfalls gestattet
  • Gelb: Risiken werden generell nicht gestattet, es ist aber möglich, sie durch eine Nutzen-Risiko-Argumentation gemäß Kapitel 6.5 doch zu akzeptieren
  • Grün: Die Risiken sind dann akzeptabel, wenn keine weiteren Möglichkeit zu deren Reduzierung bestehen.

Ob sich Firmen mit einem Beharren auf einer Matrix wie in Abb. 3 (s.u.) gezeigt und damit auf einem  „gelben“ Bereich einen Gefallen tut, lässt sich diskutieren.

Fazit: Hersteller dürfen weiter mit „drei Farben“ arbeiten. Bereiche mit generell akzeptablen Risiken (grün) und „As Low as Reasonable Practicle“Risiken dürfen diese aber nicht definieren (nur „As Low as Reasonable Possible).

In jedem Fall sind 3 Farben immer ein Warnsignal an den Auditor genau zu prüfen, ob der Hersteller die Regeln der ISO 14971:2012 und der MDD wirklich verstanden und umgesetzt hat.

Videotrainings zum Risikomanagement

Der Auditgarant zeigt Schritt für Schritt, wie man eine Risikoakzeptanzmatrix erstellt:

  1. Schweregradachse definieren, Kriterien für Schweregradachsen festlegen
  2. Wahrscheinlichkeitsachse und Wahrscheinlichkeitsklassen definieren
  3. Risikopolitik formulieren und Akzeptanzkriterien quantitativ herleiten

Videotrainings im Auditgarant ansehen

Tipps zum Erstellen der Risikobewertungsmatrix

Schweregradachse

In der Theorie ist es einfach, eine Risikobewertungsmatrix zu bestimmen. Zwei Achsen, je eine für die Schweregrad und die Wahrscheinlichkeit von Schäden, für jede dieser Achsen ein paar Kategorien einzeichnen und dann den rechten oberen Bereich als inakzeptable Risiken und den links unten als akzeptable definieren. Fertig ist der Lack!

Abb. 3: Solch eine Risikoakzeptanzmatrix kann Skepsis Ihrer Auditoren hervorrufen. Die Definitionen müssen wie oben beschrieben angepasst sein.

Leider ist das in der Praxis nicht ganz so einfach. Bereits bei der Definition der Schweregradachse gibt es einige Fallen zu beachten. Zum Beispiel genügt es nicht, ein paar Bezeichnungen wie unwesentlich, leicht, schwer, kritisch und katastrophal an die Kategorien zu schreiben. Sie benötigen klare Klassifizierungsregeln, beispielsweise

  • Tod (ja oder nein)
  • Lebenskritischer Schaden (ja oder nein)
  • Ärztliche Intervention notwendig (ja oder nein)
  • Reversibler Schaden (ja oder nein)

Doch selbst damit gibt es noch offene Fragen: Was ist denn schlimmer, ein lebensbedrohlicher nicht reversibler Schaden oder ein nicht lebensbedrohlicher nicht reversibler? Ein verlorener Daumen oder ein dauerhaft behindertes Bein? Pest oder Cholera?

Einmal mehr wird klar: Die Definition dieser ethischen Grundsätze ist keine Aufgabe der Entwicklung, sondern eine des Managements. Genau das fordert auch die ISO 14971.

Wahrscheinlichkeitsachse

Lange konnte ich es nicht erklären: Wenn ich die Risikobewertungsmatrix erstelle, ergeben sich für die Wahrscheinlichkeitsachse fast immer fünf bis sechs Kategorien, die jeweils zwei Größenordnungen umfassen.  Beispielsweise komme ich auf folgende Definitionen:

Begriff Beschreibung Häufigkeit (pro Behandlung)
Häufig Ein- oder mehrmals pro Behandlung x > 1
Wahrscheinlich Kann bei bestimmungsgemäßem Gebrauch vorkommen 10-2 < x < 1
Gelegentlich Tritt in unregelmäßigen Abständen mehrfach pro Monat/Jahr auf 10-4 < x < 10-2
Entfernt vorstellbar Ein bis mehrmals pro Lebensdauer des Medizinprodukts 10-6 < x < 10-4
Unwahrscheinlich Nicht während Lebensdauer des Medizinprodukts 10-8 < x < 10-6
Unvorstellbar Nur durch höhere Gewalt erzielbar x <10-8

Meine Vermutung, weshalb es sich um zwei Größenordnungen (also einen Faktor 100) handelt, war die folgende: Es ist oft notwendig acht und mehr Größenordnungen abzudecken. Und bei fünf bis sechs Kategorien kommt man dann auf diesen Faktor 100.

Doch seit dem Workshop zum Thema Risikomanagement auf der MedConf kenne ich von einem Teilnehmer (stammt von einer benannten Stelle) noch eine zweite, fast einfachere Begründung: der Faktor 100 gibt die Genauigkeit an, mit der wir schätzen können. Der Teilnehmer machte das am Beispiel einer Festplatte klar: Wenn man eine Gruppe von Personen fragt, wie lange es im Mittel dauert, bis eine Festplatte defekt ist, so schwanken die Schätzungen zwischen 2 Jahren und 10 Jahren. Aber jedem ist klar, dass dieser Mittelwert größer als ein Monat und kleiner als 10 Jahre ist. Und zwischen diesen beiden Werten liegt etwa der Faktor 100.

Klassifizierung der Achsen der Risikobewertungsmatrix

Diese Ausführungen eignen sich nur für die Mitglieder meiner engeren Selbsthilfegruppe „Risikomanagement“.

Dass ich zurzeit viele Risikomanagementakten zum Prüfen bekomme, habe ich geschrieben. Einer meiner ersten Blicke gilt oft der Risikoakzeptanzmatrix. So schaue ich z.B. wie breit die Kategorien für Schweregrade und Wahrscheinlichkeiten definiert sind, beispielsweise welche Wahrscheinlichkeiten diskutiert werden.

Die Schweregrad- und Wahrscheinlichkeitsachse einer Risikoakzeptanzmatrix müssen

Abb. 4: Die Schweregrad- und Wahrscheinlichkeitsachse einer Risikoakzeptanzmatrix müssen „breit“ genug sein

Wenn ich feststelle, dass eine Wahrscheinlichkeitsklasse eine Größenordnung oder gar weniger umfasst, ahne ich bereits, dass der Hersteller nicht den kompletten relevanten Wahrscheinlichkeitsbereich diskutiert. Lassen Sie mich das an einem Extrembeispiel erläutern:

  • Häufig: p > 10E-3
  • Gelegentlich: 10E-4 < p ≤ 10E-3
  • Selten: 10E-5 < p ≤ 10E-4
  • Unvorstellbar: p ≤ 10E-5

Zuerst rechne ich aus, wie viele Anwendungsfälle es gibt. Angenommen das sind 10E8. Dann weiß ich, dass der angeblich unvorstellbare Fall 1000 mal oder seltener auftritt. D.h. der Hersteller ist überhaupt nicht in der Lage, zwischen Schäden z.B. mit Todesfolgen zu differenzieren, die statistisch 1000 mal, die einmal oder die 0,0001 mal auftreten. Das ist absurd. Auf der anderen Seite ist man in der Lage, zwischen Wahrscheinlichkeiten zu differenzieren, die 10E-4 und 10E-5 mal auftreten. So genau kann man aber meist gar nicht schätzen.

Grafisch ausgedrückt (siehe Abb.) könnte man sagen, dass sich diese Hersteller eine unnötige Differenzierungsfähigkeit bei mittleren Wahrscheinlichkeiten (analog Schweregrade) zu lasten der „Randbereiche“ erkaufen.

Etwas überspitzt formuliert lässt sich behaupten, dass solche Akten von einem gewissen Unverständnis des Risikomanagements zeugen. Lassen Sie mich wissen, wenn ich Ihnen mit Tipps oder mit einer Schnellprüfung Ihrer Risikoakzeptanzmatrix helfen kann. Nutzen Sie doch einfach das Kontaktformular, damit Sie zu einer ersten schnellen und für Sie kostenlosen Einschätzung kommen. Ich melde mich innerhalb 48h.


Dienstag 24. Oktober 2017 von Prof. Dr. Christian Johner

Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI.

Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.

AAMI TIR 57: IT-Sicherheit und Risikomanagement | Beitrag lesen »


Dienstag 18. Juli 2017 von Prof. Dr. Christian Johner

Der Begriff „kritische Bauteile“ wird häufig im Kontext der IEC 60601-1 verwendet.

Beispielsweise sei eine „Liste kritischer Bauteile“ zu erstellen. Auch wenn die Norm den Begriff „kritisches Bauteil“ weder verwendet noch definiert, gibt es Gründe, eine solche Liste an Bauteilen zu führen.

Ob eine Komponente kritisch ist, sollte nicht nur aus Sicht der IEC 60601-1, sondern auch aus dem Blickwinkel anderer Normen wie der ISO 9001:2015 und ISO 13485:2016 bewertet werden. Weshalb dies der Fall ist, lesen Sie in diesem Artikel.
Kritische Bauteile / Bauelemente / Komponenten | Beitrag lesen »


Montag 20. Februar 2017 von Prof. Dr. Christian Johner

Unter „Design Input“ versteht man die Entwicklungsvorgaben, an die nicht nur die FDA konkrete Forderungen stellt.

Dieser Artikel beschreibt, welche Inhalte Ihr Design Input enthalten sollte. Sie erfahren, wie das Risikomanagement mit dem Design Input zusammenspielt.

Design Input: Was Sie nicht vergessen sollten | Beitrag lesen »


Dienstag 11. Oktober 2016 von Prof. Dr. Christian Johner

Ob in einer Software ein – möglicherweise gefährlicher – Fehler schlummert, läß sich schwer abschätzen. So schwer, dass die „alte“ DIN EN IEC 62304:2006 schrieb: „Es gibt jedoch keine Übereinstimmung, wie die Wahrscheinlichkeit des Auftretens von Software-Ausfällen unter Verwendung von traditionellen statistischen Methoden bestimmt werden kann.“

Die Norm schlussfolgerte, dass „die Wahrscheinlichkeit einer solchen Fehlfunktion als 100 Prozent angenommen werden muss“. Die hochproblematische Forderung ist in der „neuen“ IEC 62304:2015 gestrichen.

Dieser Artikel verrät Ihnen, wie Sie die Fehlerwahrscheinlichkeit bei Software realistischer abschätzen können und wann Sie das müssen.

Fehlerwahrscheinlichkeit bei Software | Beitrag lesen »


Mittwoch 27. April 2016 von Prof. Dr. Christian Johner

Die ISO 24971 ist die Norm, die meine Auditoren-Kollegen oft zücken, wenn es mit Medizinprodukte-Hersteller Diskussionen über die Auslegung der ISO 14971 gibt.

Sie kennen die ISO 24971 nicht? Sie möchten diese Norm nicht kaufen? Kein Problem, ich habe diese Technical Report für Sie gelesen und zusammengefasst.
ISO 24971: Wie Sie die ISO 14971 anwenden sollten | Beitrag lesen »


Montag 25. April 2016 von Prof. Dr. Christian Johner

Die ISO 14971 fordert in Kapitel 8 einen Risikomanagementbericht. Welchen Inhalt dieser Bericht enthalten sollte und wie Sie Fehler beim Formulieren des Risikomanagementberichts vermeiden können, zeigt Ihnen dieser Artikel.

Risikomanagementbericht: Die 6 häufigsten Fehler | Beitrag lesen »


Montag 14. Dezember 2015 von Prof. Dr. Christian Johner

Ein Restrisiko ist laut ISO 14971 das „Risiko, das nach Durchführung von Maßnahmen zur Risikobeherrschung verbleibt.“ Doch welche Restrisiken sind akzeptabel? Damit tun sich viele Medizinproduktehersteller schwer.

Lesen Sie hier, wie Sie zu belastbaren Akzeptanzkriterien für das Restrisiko kommen. Diese Zahlen können Ihnen nützlich sein.
Restrisiko: Diese Zahlen sollten Sie kennen | Beitrag lesen »


Donnerstag 19. November 2015 von Prof. Dr. Christian Johner

Mit Schätzungen nach Kaplan-Meier können Sie beispielsweise die Überlebenswahrscheinlichkeit abschätzen, dass Ihre Patienten trotz oder wegen Ihres Medizinprodukts überleben. Während in der Pharma-Forschung diese Kaplan-Meier-Kurven Stand der Technik sind, werden sie von Medizinprodukteherstellern häufig ignoriert. Dabei gibt es viele Fälle, in denen Ihnen die Kaplan-Meier-Statistik regulatorisch relevante Informationen liefern könnte.

Kaplan-Meier Kurve im Risikomanagement | Beitrag lesen »


Dienstag 17. November 2015 von Prof. Dr. Christian Johner

Die WHO gibt die „International Classification of Functioning, Disability and Health“ (ICF) heraus, das DIMDI die deutsche Ausgabe, die „Internationale Klassifikation der Funktionsfähigkeit, Behinderung und Gesundheit“.

Diese Taxonomie ist nicht nur im Rahmen der Pflegedokumentation hilfreich, sondern für das Risikomanagement von Medizinprodukten. Gerade im Kontext der 2. Ausgabe der IEC 62304 kann die ICF ein wichtiges Instrument für Sie werden.

ICF: Wie Ihnen diese Klassifizierung im Risikomanagement nützt | Beitrag lesen »

Seite 1