ISO 14971 definiert die Begriffe Gefährdung und Gefährdungssituation. Dennoch fällt es Medizingeräteherstellern oft schwer, den beiden Begriffen Fakten zuzuordnen. Dieser Artikel bietet Hilfestellung.

1. Definition von Gefahr und gefährlicher Situation

ISO 14971 liefert die Definitionen der Begriffe:

Mögliche Schadensquelle

Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefahren ausgesetzt sind

Die Norm nennt Beispiele für Gefahren (siehe Abb. 1):

  • Chemische Materialien
  • Elektrische Energie
  • Mechanische Energie
  • Elektromagnetische Strahlung
  • Wärmeenergie
  • Biologische Materialien
  • Gefahren durch (falsche) Informationen wie Handbücher oder Werbung
Abb. 1: Beispiele für Gefahren nach ISO 14971

Das Beispiel „Informationen“ führt oft zu Verwirrung, da falsche Informationen oder eine falsche Darstellung an sich niemandem direkten Schaden zufügen können. Vielmehr sind (falsche) Informationen oder Werbung Elemente einer Ursachenkette, die letztlich zu einer Gefährdung führen kann.

Daher verwenden viele Unternehmen restriktive Definitionen des Risikobegriffs:

Letztes Element einer Ursachenkette vor der gefährlichen Situation

Auch eine zweite Definition hat sich bewährt:

Äußeres Verhalten oder Fehlfunktion eines Medizinprodukts, das (mit) ursächlich für einen Schaden ist

Die beiden alternativen Definitionen stimmen mit der Definition von „Gefahr“ in ISO 14971 überein.

2. Typische Fehler im Umgang mit dem Begriff „Gefährdung“

Fehler 1: Falsche Verwendung des Begriffs

Überprüfen Sie Ihr Wissen: Welche der folgenden Einträge in einer Risikomanagementdatei entsprechen tatsächlich der Gefährdungsdefinition und welche nicht?

  • Software-Fehler
  • Nichtbeachtung der Gebrauchsanweisung
  • Möglichkeit der Verbrennung
  • Schlauch geplatzt
  • Endkontrolle in der Produktion falsch durchgeführt
  • Fehler bei der Validierung von Prozessen
  • Allergieauslösende Materialien
  • Cyberangriff
  • Verzögerte Behandlung

Die Lösung finden Sie am Ende des Artikels.

Scrollen Sie nicht gleich nach unten, sondern schreiben Sie zunächst Ihre Gedanken auf. Dadurch wird der Erkenntnisgewinn maximiert.

Fehler 2: Inkonsistente Verwendung des Begriffs

Ein Patient wird geschädigt, weil eine Standalone-Software aufgrund eines Softwarefehlers die falschen Medikamente anzeigt. Was ist die Gefahr? Der Softwarefehler, die falsche Anzeige oder das falsche Medikament?

Alle drei Elemente der Ursachenkette entsprechen der Definition der ISO 14971, nämlich „potenzielle Schadensquelle“.

Da Unternehmen keine Festlegungen treffen, kommt es regelmäßig zu eskalierenden Diskussionen. Um dies zu vermeiden, helfen die oben genannten alternativen Definitionen.

Wird die Gefährdung als letztes Element einer Ursachenkette vor der Gefährdungssituation definiert, dann ist die Reihenfolge:

Element der Ursachenkette Konzept/Begriff
Software-Fehler Auslösende Ursache
Falsche Medikamentenanzeige Element der Ursachenkette
Falsche Medikamente Gefahr
Einnahme der falschen Medikamente Gefährliche Situation
Allergischer Schock Schaden
Tabelle 1: Ablauf und Begriffszuordnung bei der ersten alternativen Definition des Begriffs Gefahr
Je nach Definition besteht hier die Gefahr in der falschen Medikation.
Abb. 2: Die Definition legt fest, welche Elemente innerhalb einer Ursachenkette als Gefährdung gelten. Hier ist es das falsche Medikament.

Wird hingegen das äußere (Fehl-)Verhalten des Produkts als Gefahr definiert, ist die Reihenfolge:

Element der Ursachenkette Konzept/Begriff
Software-Fehler Auslösende Ursache
Falsche Medikamentenanzeige Gefahr
Falsche Medikamente Element der Ursachenkette
Einnahme der falschen Medikamente Gefährliche Situation
Allergischer Schock Schaden
Tabelle 2: Ereignisabfolge und zugehörige Begriffe bei der zweiten alternativen Definition des Begriffs Gefährdung

Im zweiten Fall (Tabelle 2) lässt sich erkennen, dass die Gefahrensituation nicht mehr genau der Definition entspricht, da der Patient nicht direkt der Gefahr ausgesetzt ist (hier die Falschmeldung).

Die Prozesse in den Tabellen 1 und 2 unterscheiden sich nur für den Fall von „(Falsch-)Informationen“, nicht für Gefährdungen durch Stoffe oder Energie. Fehlerhafte Materialien (z. B. giftiges Material) oder Energie (Gehäuse unter Spannung) stellen sowohl eine äußere Fehlfunktion als auch das letzte Glied in der Ursachenkette vor der gefährlichen Situation dar.

Es ist hilfreich, wenn sich die Hersteller auf eine Spezifikation einigen.

Fehler 3: Inkonsistenter Detaillierungsgrad

Insbesondere wenn mehrere Personen unkoordiniert an der Risikoanalyse arbeiten, entstehen regelmäßig Risikomanagementdateien, in denen die Risiken in uneinheitlicher Granularität formuliert sind.

Für das identische Risiko finden sich in der Risikomanagementdatei folgende Einträge:

  • Mangelnde Biokompatibilität
  • Giftige Materialien
  • Neurotoxische Substanzen
  • Botulinumtoxin

Die Einträge sind hier aufsteigend von allgemein/unspezifisch bis granular/spezifisch sortiert.

Eine zu granulare Aufteilung der Gefahren ist in der Regel nicht sinnvoll, es sei denn, die Gefahren führen zu unterschiedlichen Schäden oder erfordern unterschiedliche Maßnahmen.

Oftmals führen verschiedene Ursachen zu einer Gefährdung. Hersteller sollten die Ursachenketten insbesondere berücksichtigen, wenn:

  • sie können durch geeignete Maßnahmen die Ursachenkette unterbrechen, bevor die Gefahr eintritt,
  • Verschiedene Ursachen beeinflussen die Wahrscheinlichkeit bzw. den Schweregrad der aus den Gefahren resultierenden Schäden.

Fehler 4: Unvollständige Gefahren

Besonders gravierend ist es, wenn Hersteller Bedrohungen übersehen. Dies sind beispielsweise Gefahren, die entstehen durch:

  • die Nichterreichung des beabsichtigten Zwecks, z. B. die verzögerte oder falsche Anzeige von Laborwerten auf einem IVD oder die unzureichende Entfernung dialysepflichtiger Stoffe aus dem Blut auf einem Dialysegerät,
  • mangelnde Benutzerfreundlichkeit,
  • unbekannte und unkontrollierte Transport- und Lagerbedingungen,
  • unkoordinierte Änderungen am Design oder der Produktion des Produkts (auch durch Lieferanten),
  • die bestimmungsgemäße Verwendung des Produkts (z. B. Reinigung und Wartung) und
  • vorhersehbarer Missbrauch, wie z. B. Nutzung durch ungeschulte Benutzer oder Nutzung über die angegebene Lebensdauer hinaus.

Erstellen Sie eine ISO 14971-konforme Risikomanagementdatei – schnell und revisionssicher

Der Audit Guarantor hilft Ihnen mit Videoschulungen dabei, die Definitionen in Ihrer Risikomanagementakte korrekt zu nutzen, Bedrohungen mithilfe von Verfahren wie PHA, FMEA und FTA systematisch zu analysieren und zu identifizieren, geeignete Maßnahmen auszuwählen, umzusetzen und zu validieren sowie eine ISO 14971 zu erstellen -konforme Risikomanagementdatei erstellen – und so im Audit erfolgreich sein.

3. Fazit

So einfach und kurz die Definition des Begriffs „Gefahr“ auch ist (oder zumindest zu sein scheint), so häufig machen Hersteller bei der Verwendung des Begriffs Fehler. Eine falsche oder inkonsistente Verwendung führt zu falschen und inkonsistenten Risikomanagementdateien, was zu regulatorischen Problemen und unsicheren Produkten führt.

Daher sollten Hersteller konsequent in die Schulung der im Risikomanagement Beteiligten investieren. Genau das fordern ISO 13485 und ISO 14971.

Softwaresysteme wie die des Johner-Instituts helfen, Inkonsistenzen zu vermeiden.


Geschichte ändern

  • 15.09.2024: Artikel komplett überarbeitet
  • 28.09.2018: Erste Version des Artikels veröffentlicht

Lösungshinweise

Gefahr? Kommentar
Software-Fehler Eine Gefahr im Sinne der ISO 14971. Hinweise zu Kap. 2 Achten Sie auf „typische Fehler“.
Nichtbeachtung der Gebrauchsanweisung Eine Gefahr im Sinne der ISO 14971. Hinweise zu Kap. 2 Achten Sie auf „typische Fehler“.
Möglichkeit der Verbrennung Eine Verbrennung ist ein Schaden, die Möglichkeit drückt eine Wahrscheinlichkeit aus. Es ist keine Bedrohung.
Schlauch geplatzt Ein (potenziell) platzender Schlauch stellt eine Gefahr dar.
Endkontrolle in der Produktion falsch durchgeführt Eine fehlerhafte Endkontrolle kann zu Schäden führen. Allerdings handelt es sich wohl eher um eine risikominimierende Maßnahme, die die eigentliche Gefahr vermeiden soll, z. B. durch ein nicht spezifikationsgerecht hergestelltes Produkt.
Fehler bei der Validierung von Prozessen Das Versäumnis, Prozesse zu validieren, kann letztlich zu Schäden führen. Allerdings handelt es sich eher um die Überprüfung einer risikominimierenden Maßnahme, z. B. einer Sterilisation.
Allergieauslösende Materialien Eine Gefahr im Sinne der ISO 14971
Cyberangriff Eine Gefahr im Sinne der ISO 14971. Hinweise zum Kapitel. 2 Achten Sie auf „typische Fehler“.
Verzögerte Behandlung Eine Gefahr im Sinne der ISO 14971. Hinweise zu Kap. 2 Achten Sie auf „typische Fehler“.
Tabelle 3: Lösungshinweise



Lifestyle