Risikominimierung und Risikobeherrschung ~ Maßnahmen & Tests

Risikominimierung

Bei Medizinprodukten muss der Nutzen die Risiken überwiegen, d.h. die Risiken müssen beherrscht sein.

Reihenfolge der Maßnahmen bei der Risikominimierung

Stellt ein Hersteller bei der Risikoanalyse inakzeptable Risiken fest, so muss er diese minimieren. Die Medizinprodukterichtlinie verlangt, dass Hersteller dabei in der folgenden Reihenfolge vorgehen:

  1. Inhärente Sicherheit: Medizinprodukt inhärent sicher gestalten
  2. Schutzmaßnahmen: Falls das nicht möglich ist, risikominimierende Maßnahmen ergreifen
  3. Hinweise: Falls das nicht möglich oder ausreichend ist, über verbliebene Risiken informieren

Risikobeherrschung, Risikominimierung

Entwicklungsphasen, in denen sich Risiken minimieren lassen

Risiken lassen sich auf allen Ebenen der Produktentwicklung minimieren:

Risikominimierung durch Testen?

Weshalb Tests keine Risiken minimieren

Im Rahmen eines Reviews einer Risikomanagementakte stoße ich auf die berühmte Matrix, in der die Risiken analysiert und die Maßnahmen zu deren Beherrschung zugeordnet sind.

Was meinen Sie, was ist die am häufigsten genannte Maßnahme? Sie werden die Antwort bereits vermuten: Testen. Testen als Maßnahme zum Reduzieren von Risiken. Geht das?

Dazu müssen wir zuerst einen Blick in die Definition des Begriffs Risiko werfen: Ein Risiko ist laut ISO 14971 definiert als Kombination der Wahrscheinlichkeit des Auftretens eines SCHADENS und des SCHWEREGRADES dieses SCHADENS.

Ändert Testen nun etwas an der Wahrscheinlichkeit oder am Schweregrad? Nein! Da man am Produkt durch das Testen nichts ändert, ändert man weder Wahrscheinlichkeit noch Schweregrad von Schäden, die aus einem fehlerhaften Produkt rühren würde. Testen reduziert also das Risiko nicht!

Weshalb Tests dennoch im Risikomanagement wichtig sind

1. Niedrigere Wahrscheinlichkeiten rechtfertigen

Ohne Testen können wir keine präzise Aussage über die Wahrscheinlichkeit treffen, auf einen Fehler (eine Fehlerwirkung) zu stoßen bzw. einen Bug (Fehlerzustand) im System zu haben. Wenn wir hingegen testen, werden wir wahrscheinlich eine Fehlerwirkung beobachten. Damit wissen wir, dass es Fehlerzustände gibt, die Wahrscheinlichkeit ist also für diesen Testfall sogar 1. Wenn wir anschließend den Fehler beheben (debuggen), wissen wir, dass die Wahrscheinlichkeit danach geringer ist.

Umso intensiver (vollständiger, besser) man testet ohne auf einen Fehler zu stoßen, je niedriger ist folglich die Wahrscheinlichkeit noch weitere Fehlerzustände (bugs) im System zu haben, die zu bis dahin noch unbekannten Fehlerwirkungen führen können. Das Testen reduziert also nicht die Wahrscheinlichkeit, es erhöht lediglich die Genauigkeit der Vorhersage, Fehler im System zu haben. Aber durch jedes Debugging verringert man die Wahrscheinlichkeit.

Risikominimierung durch Software-Testing?

In anderen Worten: Das einzige, was das Testen rechtfertigt, ist eine Annahme über eine Wahrscheinlichkeit. Testen ist keine der oben Maßnahme zur Risikominierung im Sinne MDD (Inhärente Sicherheit, Schutzmaßnahme, Hinweise).

Hat man umfangreich getestet (wobei der Grad dieses Umfangs über Code Coverage zu quantifizieren wäre), kann man argumentieren, dass die Wahrscheinlichkeit für diesen Fehler entsprechend gering ist. Die Wahrscheinlichkeit war aber bereits vor dem Testen so gering, man hatte nur keine Berechtigung, dies anzunehmen. Vielleicht führen diese geringen Wahrscheinlichkeiten sogar dazu, dass Sie akzeptable Risiken haben, die gar keiner Maßnahmen bedürfen. :-)

2. Testen zum Verifizieren der Software und der risikominimierenden Maßnahmen

Dass beispielsweise eine IEC 62304 die Verifizierung der Software z.B. im Rahmen von Integrations- und Systemtests verlangt, ist bekannt. Auch die ISO 14971 fordert, dass die Hersteller verifizieren, dass die risikominimierenden Maßnahmen zum einen implementiert und zum anderen wirksam sind!

3. Risikobasiertes Testen

Mit Tests können wir die Wahrscheinlichkeiten von Fehlern und damit von Risiken präziser abschätzen. Mit dem Ansatz der FDA eines risikobasierten Testens können Sie den Testaufwand an die Risiken adaptieren:

Dort „wo es riskant ist“, benötigen wir ein genaueres Wissen über die Fehlerwahrscheinlichkeit. Dieses erreichen wir durch intensivere Tests und diese werden Fehlerzustände offenbaren, deren Ursache wir beseitigen können. Dies wiederum führt zu besserer Software.

Risikominimierung an der Benutzerschnittstelle

Die Medizinprodukterichtlinie verlangt von Ihnen, dass Sie Risiken soweit wie möglich minimieren und dabei in der folgenden Reihenfolge vorgehen:

  1. Inhärente Sicherheit anstreben
  2. Schutzmaßnahmen implementieren
  3. Auf Risiken hinweisen

Doch wie setzt man diese Maßnahmen im Usability Engineering nach IEC 62366 um?

Als Beispiel sei eine Benutzerschnittstelle genannt, über die Nutzer fehlerhafte Daten eingeben können, was im weiteren Verlauf zu einem Risiko für Patienten führt.

  1. Eine inhärent sichere Maßnahme bestünde darin, dass das System diese Eingaben überhaupt nicht gestattet.
  2. Eine Schutzmaßnahme bestünde darin, dass der Nutzer einen Hinweis auf diesen „out-of-range“ Wert angezeigt bekommt, den er explizit bestätigen muss.
  3. Der Hinweis würde sich darauf beschränken, dass während oder nach der Eingabe angezeigt wird, dass der Wert „out-of-range“ sei. Der Hinweis müsste aber nicht quittiert werden.

Dieses Beispiel finde ich interessant, weil die Schutzmaßnahme (2.) und der Hinweis (3.) doch sehr ähnlich sind.

Risiken durch risikomininierende Maßnahmen

Bei unseren Diskussionen über die Konzepte des Risikomanagements hat mich mein Medsoto-Partner Sven Wittorf auf ein tragisches Beispiel für eine Maßnahme zur Risikobeherrschung aufmerksam gemacht, die selbst neue Risiken induzierte.

Im Rahmen der Risikoanalyse des Airbus fiel auf, dass eine Gefährdung entsteht, wenn man die Schubumkehr in der Luft versehentlich betätigt. Als Maßnahme zur Risikokontrolle wählte man daher einen Mechanismus, der die Schubumkehr nur dann erlaubt, wenn das Flugzeug nicht mehr in der Luft ist, was man am Drehen der Räder zu erkennen glaubte. Dummerweise führte eine überflutete Landebahn in Warschau dazu, dass das Flugzeug zwar aufsetzte, die Räder aber aufgrund des Aquaplanings nicht gleich zu drehen begannen. Das Flugzeug ließ sich nicht mehr bremsen und schoss über die Landebahn hinaus. Mit tödlichen Folgen.

Heute wertet man nicht mehr die Drehung der Räder, sondern das Gewicht auf dem Fahrwerk aus, um festzustellen, ob das Flugzeug bereits am Boden ist.

In vielen Risikoanalysen, die ich zu sehen bekomme, macht man sich ähnlich wenige Gedanken über Risiken, die durch Risikokontrollmaßnahmen eingeführt werden. Und selbst die ursprünglich identifizierten Risiken sind selten vollständig und korrekt bewertet.

Weil das Risikomanagement der Dreh- und Angelpunkt fast aller gesetzlicher und normativer Anforderungen ist und im Audit immer und immer wieder zu Problemen führt, haben wir ihm im Rahmen des CPMS-Zertifizierungsseminars einen großen Block gewidmet und eine Übung integriert, in der man ganz praktisch lernt, wie es richtig geht.


Dienstag 24. Oktober 2017 von Prof. Dr. Christian Johner

Der TIR 57 ist ein „Technical Information Report“ der amerikanischen AAMI.

Er möchte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement zu erfüllen.

Den ganzen Beitrag lesen »


Montag 25. April 2016 von Prof. Dr. Christian Johner

Die ISO 14971 fordert in Kapitel 8 einen Risikomanagementbericht. Welchen Inhalt dieser Bericht enthalten sollte und wie Sie Fehler beim Formulieren des Risikomanagementberichts vermeiden können, zeigt Ihnen dieser Artikel.

Den ganzen Beitrag lesen »


Montag 14. Dezember 2015 von Prof. Dr. Christian Johner

Ein Restrisiko ist laut ISO 14971 das „Risiko, das nach Durchführung von Maßnahmen zur Risikobeherrschung verbleibt.“ Doch welche Restrisiken sind akzeptabel? Damit tun sich viele Medizinproduktehersteller schwer.

Lesen Sie hier, wie Sie zu belastbaren Akzeptanzkriterien für das Restrisiko kommen. Diese Zahlen können Ihnen nützlich sein.
Den ganzen Beitrag lesen »