ISO 14971 definiert die Begriffe Gefährdung und Gefährdungssituation. Dennoch fällt es Medizingeräteherstellern oft schwer, den beiden Begriffen Fakten zuzuordnen. Dieser Artikel bietet Hilfestellung.
1. Definition von Gefahr und gefährlicher Situation
ISO 14971 liefert die Definitionen der Begriffe:
Mögliche Schadensquelle
Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefahren ausgesetzt sind
Die Norm nennt Beispiele für Gefahren (siehe Abb. 1):
- Chemische Materialien
- Elektrische Energie
- Mechanische Energie
- Elektromagnetische Strahlung
- Wärmeenergie
- Biologische Materialien
- Gefahren durch (falsche) Informationen wie Handbücher oder Werbung
Das Beispiel „Informationen“ führt oft zu Verwirrung, da falsche Informationen oder eine falsche Darstellung an sich niemandem direkten Schaden zufügen können. Vielmehr sind (falsche) Informationen oder Werbung Elemente einer Ursachenkette, die letztlich zu einer Gefährdung führen kann.
Daher verwenden viele Unternehmen restriktive Definitionen des Risikobegriffs:
Letztes Element einer Ursachenkette vor der gefährlichen Situation
Auch eine zweite Definition hat sich bewährt:
Äußeres Verhalten oder Fehlfunktion eines Medizinprodukts, das (mit) ursächlich für einen Schaden ist
Die beiden alternativen Definitionen stimmen mit der Definition von „Gefahr“ in ISO 14971 überein.
2. Typische Fehler im Umgang mit dem Begriff „Gefährdung“
Fehler 1: Falsche Verwendung des Begriffs
Überprüfen Sie Ihr Wissen: Welche der folgenden Einträge in einer Risikomanagementdatei entsprechen tatsächlich der Gefährdungsdefinition und welche nicht?
- Software-Fehler
- Nichtbeachtung der Gebrauchsanweisung
- Möglichkeit der Verbrennung
- Schlauch geplatzt
- Endkontrolle in der Produktion falsch durchgeführt
- Fehler bei der Validierung von Prozessen
- Allergieauslösende Materialien
- Cyberangriff
- Verzögerte Behandlung
Die Lösung finden Sie am Ende des Artikels.
Scrollen Sie nicht gleich nach unten, sondern schreiben Sie zunächst Ihre Gedanken auf. Dadurch wird der Erkenntnisgewinn maximiert.
Fehler 2: Inkonsistente Verwendung des Begriffs
Ein Patient wird geschädigt, weil eine Standalone-Software aufgrund eines Softwarefehlers die falschen Medikamente anzeigt. Was ist die Gefahr? Der Softwarefehler, die falsche Anzeige oder das falsche Medikament?
Alle drei Elemente der Ursachenkette entsprechen der Definition der ISO 14971, nämlich „potenzielle Schadensquelle“.
Da Unternehmen keine Festlegungen treffen, kommt es regelmäßig zu eskalierenden Diskussionen. Um dies zu vermeiden, helfen die oben genannten alternativen Definitionen.
Wird die Gefährdung als letztes Element einer Ursachenkette vor der Gefährdungssituation definiert, dann ist die Reihenfolge:
Element der Ursachenkette | Konzept/Begriff |
Software-Fehler | Auslösende Ursache |
Falsche Medikamentenanzeige | Element der Ursachenkette |
Falsche Medikamente | Gefahr |
Einnahme der falschen Medikamente | Gefährliche Situation |
Allergischer Schock | Schaden |
Wird hingegen das äußere (Fehl-)Verhalten des Produkts als Gefahr definiert, ist die Reihenfolge:
Element der Ursachenkette | Konzept/Begriff |
Software-Fehler | Auslösende Ursache |
Falsche Medikamentenanzeige | Gefahr |
Falsche Medikamente | Element der Ursachenkette |
Einnahme der falschen Medikamente | Gefährliche Situation |
Allergischer Schock | Schaden |
Im zweiten Fall (Tabelle 2) lässt sich erkennen, dass die Gefahrensituation nicht mehr genau der Definition entspricht, da der Patient nicht direkt der Gefahr ausgesetzt ist (hier die Falschmeldung).
Die Prozesse in den Tabellen 1 und 2 unterscheiden sich nur für den Fall von „(Falsch-)Informationen“, nicht für Gefährdungen durch Stoffe oder Energie. Fehlerhafte Materialien (z. B. giftiges Material) oder Energie (Gehäuse unter Spannung) stellen sowohl eine äußere Fehlfunktion als auch das letzte Glied in der Ursachenkette vor der gefährlichen Situation dar.
Es ist hilfreich, wenn sich die Hersteller auf eine Spezifikation einigen.
Fehler 3: Inkonsistenter Detaillierungsgrad
Insbesondere wenn mehrere Personen unkoordiniert an der Risikoanalyse arbeiten, entstehen regelmäßig Risikomanagementdateien, in denen die Risiken in uneinheitlicher Granularität formuliert sind.
Für das identische Risiko finden sich in der Risikomanagementdatei folgende Einträge:
- Mangelnde Biokompatibilität
- Giftige Materialien
- Neurotoxische Substanzen
- Botulinumtoxin
Die Einträge sind hier aufsteigend von allgemein/unspezifisch bis granular/spezifisch sortiert.
Eine zu granulare Aufteilung der Gefahren ist in der Regel nicht sinnvoll, es sei denn, die Gefahren führen zu unterschiedlichen Schäden oder erfordern unterschiedliche Maßnahmen.
Oftmals führen verschiedene Ursachen zu einer Gefährdung. Hersteller sollten die Ursachenketten insbesondere berücksichtigen, wenn:
- sie können durch geeignete Maßnahmen die Ursachenkette unterbrechen, bevor die Gefahr eintritt,
- Verschiedene Ursachen beeinflussen die Wahrscheinlichkeit bzw. den Schweregrad der aus den Gefahren resultierenden Schäden.
Fehler 4: Unvollständige Gefahren
Besonders gravierend ist es, wenn Hersteller Bedrohungen übersehen. Dies sind beispielsweise Gefahren, die entstehen durch:
- die Nichterreichung des beabsichtigten Zwecks, z. B. die verzögerte oder falsche Anzeige von Laborwerten auf einem IVD oder die unzureichende Entfernung dialysepflichtiger Stoffe aus dem Blut auf einem Dialysegerät,
- mangelnde Benutzerfreundlichkeit,
- unbekannte und unkontrollierte Transport- und Lagerbedingungen,
- unkoordinierte Änderungen am Design oder der Produktion des Produkts (auch durch Lieferanten),
- die bestimmungsgemäße Verwendung des Produkts (z. B. Reinigung und Wartung) und
- vorhersehbarer Missbrauch, wie z. B. Nutzung durch ungeschulte Benutzer oder Nutzung über die angegebene Lebensdauer hinaus.
3. Fazit
So einfach und kurz die Definition des Begriffs „Gefahr“ auch ist (oder zumindest zu sein scheint), so häufig machen Hersteller bei der Verwendung des Begriffs Fehler. Eine falsche oder inkonsistente Verwendung führt zu falschen und inkonsistenten Risikomanagementdateien, was zu regulatorischen Problemen und unsicheren Produkten führt.
Daher sollten Hersteller konsequent in die Schulung der im Risikomanagement Beteiligten investieren. Genau das fordern ISO 13485 und ISO 14971.
Softwaresysteme wie die des Johner-Instituts helfen, Inkonsistenzen zu vermeiden.
Geschichte ändern
- 15.09.2024: Artikel komplett überarbeitet
- 28.09.2018: Erste Version des Artikels veröffentlicht
Lösungshinweise
Gefahr? | Kommentar |
Software-Fehler | Eine Gefahr im Sinne der ISO 14971. Hinweise zu Kap. 2 Achten Sie auf „typische Fehler“. |
Nichtbeachtung der Gebrauchsanweisung | Eine Gefahr im Sinne der ISO 14971. Hinweise zu Kap. 2 Achten Sie auf „typische Fehler“. |
Möglichkeit der Verbrennung | Eine Verbrennung ist ein Schaden, die Möglichkeit drückt eine Wahrscheinlichkeit aus. Es ist keine Bedrohung. |
Schlauch geplatzt | Ein (potenziell) platzender Schlauch stellt eine Gefahr dar. |
Endkontrolle in der Produktion falsch durchgeführt | Eine fehlerhafte Endkontrolle kann zu Schäden führen. Allerdings handelt es sich wohl eher um eine risikominimierende Maßnahme, die die eigentliche Gefahr vermeiden soll, z. B. durch ein nicht spezifikationsgerecht hergestelltes Produkt. |
Fehler bei der Validierung von Prozessen | Das Versäumnis, Prozesse zu validieren, kann letztlich zu Schäden führen. Allerdings handelt es sich eher um die Überprüfung einer risikominimierenden Maßnahme, z. B. einer Sterilisation. |
Allergieauslösende Materialien | Eine Gefahr im Sinne der ISO 14971 |
Cyberangriff | Eine Gefahr im Sinne der ISO 14971. Hinweise zum Kapitel. 2 Achten Sie auf „typische Fehler“. |
Verzögerte Behandlung | Eine Gefahr im Sinne der ISO 14971. Hinweise zu Kap. 2 Achten Sie auf „typische Fehler“. |