Schlagwort: Risikomanagement

MST010 – Regulatory: Risikomanagement – Risikobeherrschung

avatar Philipp Spenden per Paypal Icon Amazon Wunschliste Icon Spenden per Liberapay Icon
avatar Fabian

Wiederholung: Gefährdung, Gefährdungssituation und Risiko

Siehe auch: Folge 005 über die Grundlagen des Risikomanagement vom August 2018.

Definitionen

Gefährdung: potentielle Schadensquelle

  • Bsp: Hängender Kronleuchter
  • Bsp: Endoskop zur Darmuntersuchung
  • Bsp: Heiße Herdplatte

Gefährdungssituation: Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind

  • Bsp: Man steht unter dem Kronleuchter
  • Bsp: Endoskop ist im Darm eingeführt
  • Bsp: Hand des Anwenders auf der heißen Herdplatte

Schaden: physische Verletzung oder Schädigung der menschlichen Gesundheit oder Schädigung von Gütern oder der Umwelt

  • Bsp: Schädelbasisbruch aufgrund des Sturzes des Kronleuchters
  • Bsp: Verletzung des Darms
  • Bsp: Verbrennungen

Risiko: Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrades dieses Schadens

Bsp: Wahrscheinlichkeitskombination aus Schadensauftreten und Schweregrad

Auftretenswahrscheinlichkeit(en) im Detail

Detaillierter Erklärung der zwei verschiedenen Wahrscheinlichkeiten:

  • Wahrscheinlichkeit, dass eine Gefährdungssituation eintritt (p1)
  • Wahrscheinlichkeit, dass eine Gefährdungssituation zu einem bestimmten Schaden führt (p2)

Zwischen diesen beiden Wahrscheinlichkeiten liegen verschiedene Ereignisse.

Beispielsweise bei einem Cerankochfeld: Es besteht die Gefährdung der heißen Herdplatte. Mit einer gewissen Wahrscheinlichkeit tritt die Gefährdungssituation ein, das der Anwender die heiße Herdplatte berührt (p1). Mit einer gewissen Wahrscheinlichkeit tritt der Schaden Verbrennungen zweiten Grades beim Anwender auf (p2). Aus der gleichen Gefährdungssituation tritt mit einer anderen Wahrscheinlichkeit der Schaden einer leichten Verbrennung beim Anwender auf (auch p2).

Beide Wahrscheinlichkeiten müssen miteinander verrechnet werden um zu einem Risiko zu gelangen. Erfahrungsgemäß lässt sich an dem kausalen Zusammenhang von p2 wenig verändern. Durch geeignete Maßnahmen lässt sich jedoch p1 verändern. Außerdem passen sich die Ereignisse in laufe der Zeit an. Gerad bei Neuentwicklungen müssen sich Annahmen als korrekt heraus stellen.

Wahrscheinlichkeiten p1 und p2
Wahrscheinlichkeiten p1 und p2

Risikominimierende Maßnahmen

Normativ soll ein Risiko nur durch drei Maßnahmen verringert werden. Die Reihenfolge ist, sowie möglich, einzuhalten:

  • Design (innere Sicherheit)
  • Schutzmaßnahme (äußere Sicherheit)
  • Information (hinweisende Sicherheit)

Bei einem Cerankochfeld kann beispielsweise die Gefährdungssituation identifiziert werden, dass ich ein Anwender auf die heiße Herdplatte fasst. Dadurch kann der Anwender mit einer gewissen Wahrscheinlichkeit an Verbrennungen erleiden.

Mögliche risikominimierende Maßnahmen:

  1. Design: Das Cerankochfeld wird durch ein Induktionskochfeld ersetzt.
  2. Schutzmaßnahme: Herdschutzgitter
  3. Information: Warnhinweis in am Gerät und an der Gebrauchsanweisung anbringen

Nun zur Analyse der verschiedenen risikominimierenden Maßnahmen:

  • Im ersten Fall (Design Maßnahme) kann die Gefährdungssituation nicht mehr eintreten oder der Schaden wurde verringert
  • Im zweiten Fall kann die Gefährdungssituation noch auftreten, aber die Auftretenswahrscheinlichkeit wurde verringert.
  • Im dritten Fall wurde weder die Gefährdungssituation noch die Auftretenswahrscheinlichkeit verringert.

Neue Risiken durch risikominimierende Maßnahmen

Jedes Risiko muss nach risikominimierenden Maßnahmen neu bewertet werden. Das bedeutet:

  • Verifikation der Wirksamkeit der risikominimierende Maßnahe
  • Prüfen, ob die Gerährdungsstuation immer noch korrekt ist
  • Prüfen, ob die Auftretenswahrscheinlichkeit noch korrekt ist
  • Prüfen ob durch die risikominimierende Maßnahme neue Risiken entstanden sind

Wie sieht das im Risikomanagementgraph aus?

Risikograph
Risikograph

Was muss in den Risikomanagementbericht?

  • Nachweis, dass der Risikomanagement Plan eingehalten wurde
  • Nachweis, dass der Gesamtnutzen dem Risiko überwiegt
  • Verweis auf das Risk Assessment
  • Evtl. Verweis auf Residual Anomalies

Wann hört das Risikomanagement auf?

Ist wohl eher eine rethorische Frage, denn es hört nie wirklich auf!

Informationen aus dem Feld, von Kunden oder internen Audits ergänzen das Risikomanagement fortlaufend.

Dokumentation und Zusammenspiel mit anderen Normen

IEC 62304 verlangt (momentan) ein Risikomanagement nach ISO 14971.

Welche Dokumente sind zu erstellen?

  • Risikomanagementplan
  • Riskoanalyse
  • FMEA, FTA, …
  • Risikomanagementbericht

Risikomanagementakte muss nicht als physische Akte vorliegen.

Konformität wird durch Inspektion der Akte geprüft.

Gesamtübersicht

Risikomanagement-Übersicht
Risikomanagement-Übersicht

Gesamtübersicht inspiriert von Greenlight Guru (https://www.greenlight.guru):

Anmerkungen

Bestimmungsgemäße Gebrauch muss bekannt sein um den Umfang der Gefährdungsanalyse abschätzen zu können.

Die ISO 14971 schreibt kein Verfahren zur Gefährdungsanalyse vor.

Die ISO 14971 beschreibt kein Verfahren zur Nutzenabschätzung .

  • Kann durch klinische Bewertung/Studie erfolgen

Use Errors aus der Gebrauchstauglichkeit fließen mit in die Risikobewertung ein.

Der Risikograph ist für jedes Produkt individuell zu erstellen!

MST008 – Regulatory: Risikomanagement – Verfahren (PHA, FTA, FMEA, HAZOP)

avatar Philipp Spenden per Paypal Icon Amazon Wunschliste Icon Spenden per Liberapay Icon
avatar Fabian

Preliminary Hazard Analysis

(Vorläufige Gefährdungsanalyse):

  • Wird als High-Level-Analyse zu Beginn einer Entwicklungsphase durchgeführt
  • Meist während der Anforderungsanalyse und des Entwurfsprozesses
    • Eine grobe Beschreibung des Systems muss vorhanden sein
  • Induktives Analyseverfahren (also vom Speziellen zum Allgemeinen)
  • Es sollen Gefährdungen, Gefährdungssituationen und Ereignisse identifiziert werden
  • Häufig wird von einer Aktivität oder einer Komponente ausgegangen und die sich daraus entstehenden Gefährdungen identifiziert
  • Die Art und Weise der Dokumentation (Tabelle, Skizze, …) ist nicht definiert
  • Manche Firmen erstellen eine grobe Klassifizierung in Schweregrade (Minor, Moderate, Major), wenn diesem Zeitpunkt eine Risikobewertungsmatrix vorliegt
  • Nicht formalisiert (Brainstorming, Erfahrungen, Expertenmeinung, …)
  • Es werden häufig Erfahrungen von Vorgängern oder ähnlichen Systemen verwendet

Da die vorläufige Gefährdungsanalyse typischerweise zu Beginn des Prozesses durchgeführt wird, bevor andere Analysetechniken durchgeführt wurden, hat diese Methode zwei wesentliche Einschränkungen:

  1. Es sind zusätzliche Folgeanalysen erforderlich. Da die PHA früh in der Entwicklung durchgeführt wird liegen auch nur vorläufige Systembeschreibungen und Architekturen vor. Es sind in der Regel zusätzliche Analysen erforderlich, um die vom PHA-Team identifizierten Gefährdungen und Gefährdungssituationen besser zu verstehen und zu bewerten.
  2. Die Qualität der Ergebnisse hängt stark vom Wissen des Teams ab. Zum Zeitpunkt einer PHA gibt es nur wenige oder gar keine ausgereiften Systemspezifikationen und wenig oder gar keine detaillierten Designinformationen. Daher stützt sich die Risikobewertung stark auf das Wissen der Spezialisten. Wenn diese Experten nicht an der Risikobewertung teilnehmen oder wenn es sich bei dem System um eine neue Technologie mit wenig oder gar keiner frühen Betriebsgeschichte handelt, werden die Ergebnisse der PHA die Unsicherheit des Teams in vielen Ihrer Bewertungen und Annahmen widerspiegeln.

Quellen:

  • ISO 14971, Anhang G2
  • IEC/ISO 31010

Fault Tree Analysis

(Fehlerbaumanalyse):

  • Top-Down-Verfahren
  • Zentrale Frage: “Welche Ursachen können zu einem bestimmter Schaden führen?”
    • Was muss passieren? In welchem Zusammenhang?
  • Geht von einem Schaden zur möglichen Ursache
  • Es sollen Gefährdungen und Ereignisse identifiziert werden
  • Benötigt Wissen über die System-Architektur
  • Kombinationen von Ursachen bestimmen, die zu bestimmten unerwünschten Events führen
  • Es werden Ereignisse mittels boolescher Operatoren (und/oder) verknüpft
    • Dadurch können Zusammenhänge bzw. Ereignisketten dargestellt werden
    • Es kann an dem Punkt aufgehört werden, wenn das Element beherrscht werden kann
  • Üblicherweise als Baum dargestellt (wie schon aus dem Namen zu erahnen ist)
    • Im regulieren Umfeld auch tabellarische Darstellung möglich
    • Kann auch als mitgeltende Unterlage zur FMEA verwendet werden
  • Im Gegensatz zur FMEA (monokausal) zeigt die FTA, dass ein Schaden mehrere Ursachen haben kann. Oder wie verschiedene Ursachen zusammenspielen müssen um zu einem Schaden zu führen.
  • Pro Gefährdung einen Baum erstellen

Die FTA sucht zu gegebenen Wirkungen unbekannte Ursachen.

Quellen:

Failure Mode and Effect Analysis

(Fehlermöglichkeits- und Einflussanalyse):

  • Bottom-Up-Verfahren
  • Zentrale Frage: “Wie breiten sich Fehler aus und führen zu einem Schaden?”
  • Induktives Verfahren, beginnend mit einzelnen Komponenten mit der ersten Fehler-/Auslöserursache
  • Es sollen (unbekannte) Auswirkungen und Gefährdungen identifiziert werden, die von bekannten Ursachen verursacht werden
  • Benötigt Wissen über das Gesamtsystem/Architektur
    • Es sollte von den untersten Komponenten in der (Software)Architektur ausgegangen werden
    • Es können auch Fremdkomponenten betrachtet werden (SOUP, Betriebssystem, Laufzeitumgebung, …)
  • Auswirkungen untersuchen, die das Versagen einzelner Komponenten auf ein Gesamtsystem haben
  • Kann als ein mögliches Verfahren verwendet werden um die Software-Sicherheits-Klasse zu argumentieren
  • Üblicherweise als tabellarische Darstellung
  • Risikoprioritätsziffer (RPZ) sehr problematisch und für die Anwendung mit der ISO 14971 nicht empfohlen
    • RPZ widerspricht der Norm. Anhang D nennt diesen Fall explizit (“Dies bedeutet nicht, dass die beiden Faktoren multipliziert werden, um zu einem Risikowert zu gelangen.”)
    • Anstatt der RPZ mit der Risikobewertungsmatrix arbeiten

Beispiel einer FMEA Tabelle für ein Endoskop (Tabelle kann vertikal und horizontal verschoben werden):

Komponente / Funktion(Erst)FehlerAuswirkung auf das Subsystem Auswirkung auf das Gesamtsystem Möglicher Schaden Erwartete Häufigkeit Risiko
BildrotationRechnet mit falschen Koordinaten Liefert falschen Rotationswinkel Gerät wird falsch positioniert SchnittwundenSchnittwundenAkzeptabel (aus der Risikobewertungsmatrix)
AuthentifizierungStandardpasswörter während der Entwicklung nicht entfernt Vertraulichkeit nicht gewährleistet Vertraulichkeit nicht gewährleistet innere Blutungen UnwahrscheinlichNicht akzeptabel (aus der Risikobewertungsmatrix)
AuthentifizierungFehler in der verwendeten Feldkomponente (oder falsch verwendet) Verfügbarkeit nicht gewährleistet Anwender kann Gerät nicht verwenden SchmerzenSeltenNicht Akzeptabel (aus der Risikobewertungsmatrix)

Die FMEA sucht zu einer angenommenen Ursache unbekannte Wirkungen.

Quellen:

Hazard and Operability

(Gefährdung und Beherrschbarkeit):

  • Ähnlich einer FMEA
  • Auf Deutsch: PAAG (Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen)
  • Ursprünglich für chemische industrielle Herstellungsverfahren
  • Feststellen von Abweichungen bei der normalen Anwendung
  • Es sollen Gefährdungen festgestellt werden
  • Die Anforderungen und die Systemarchitektur muss bekannt sein
  • Der Fokus liegt auf dem System und seinen Teilen
    • Ist daher nicht geeignet zum Risiken durch mangelnde Gebrauchstauglichkeit zu identifizieren
  • Kann zur Identifizierung wesentlicher Leistungsmerkmale verwendet werden

Definition wesentliches Leistungsmerkmal:

  • Ein Leistungsmerkmal ist dann ein wesentliches Leistungsmerkmal, wenn es bei Fehlen oder Verschlechterung zu einem unvertretbaren Risiko führen kann. (nach IEC 60601-1)

Die Ereigniskette wird in beide Richtungen analysiert (Ursache und Folgen)

  • FMEA: Von der Ursache zu den Folgen (“bottom up”)
  • FTA: Von den Folgen zur Ursache (“top down”)

Damit ist die HAZOP ist kein alternatives, sondern ein zusätzliches Verfahren, was die vollständige Dokumentation des Systems voraussetzt.

Quellen:

Zusammenfassung dieser Episode

  • Es wurden nur Verfahren zur Risikoanalyse vorgestellt
    • Gefährdungen identifizieren
    • Gefährdungssituationen und vorhersehbaren Ereignisabläufe identifizieren
  • Das Risikomanagement umfasst jedoch noch viel mehr
    • Risikomanagement Prozess
    • Zweckbestimmung
    • Risikobewertungsmatrix
    • Risikobewertung
    • Risikominimierung
    • Bewertung der Akzeptanz der Gesamtrisiken
    • Risikomanagementbericht
    • Nachgelagerte Phase
    • CAPAs, Interne Audits, Kundenfeedback, nicht konformes Material, …

 

MST006 – Regulatory: Risikomanagement – Risikobewertungsmatrix

avatar Philipp Spenden per Paypal Icon Amazon Wunschliste Icon Spenden per Liberapay Icon
avatar Fabian

Risikobewertungsmatrix

Wiederholung – Definitionen:

  • Schaden: Physische Verletzung oder Schädigung der Gesundheit von Menschen oder Schädigung von Gütern oder der Umwelt
  • Schweregrad: Maß der möglichen Folgen einer GEFÄHRDUNG
  • Risiko: Kombination der Wahrscheinlichkeit des Auftretens eines SCHADENS und des SCHWEREGRADES dieses SCHADENS

Grundlagen:

  • Risikobewertungsmatrix dient dem Überblick
  • Risikobewertungsmatrix nicht gesetzlich vorgeschrieben
  • Risikobewertungsmatrix spezifisch für jedes Produkt
  • Die Achse sind in der Regel logarithmisch (großer Bereich)

1. Wahrscheinlichkeiten festlegen
  • Einheit: 1/Anzahl Anwendungen
  • Entwicklerseite betrachten:
    • Wahrscheinlichkeit, dass eine Gefährdungssituation eintritt

Beispieldaten:

  • Das Unternehmen hat in Europa ca. 25% Marktanteil
  • Das Produkt wird ausschließlich in der inneren Medizin von Krankenhäusern verwendet
  • Das Produkt hat eine Lebensdauer von 10 Jahren
  • Das Produkt wird in 50% aller inneren Behandlungen verwendet
  • Das Produkt wird im Durchschnitt 10 mal pro Behandlung angewendet
  • Das Produkt soll in Europa verkauft werden
  • In Europa gibt es ca. 5.000 Krankenhäuser
  • Im Durchschnitt hat eine innere Station ca. 25 Betten
  • Die Bettenbelegungsrate liegt im Durchschnitt bei 75%
  • Es finden am Tag im Durchschnitt 0,25 Behandlungen pro Patient (=belegtes Bett) statt
  • Es werden im Durchschnitt an 340 Tagen im Jahr Behandlungen durchgeführt

Das bedeutet:

  • 25 Betten * 0,75 Bettenbelegungsrate * 0,25 Behandlungen => 4,6875 Behandlungen pro Tag pro Patient
  • 4,6875 Behandlungen pro Tag pro Patient * 5.000 Krankenhäuser => 23.437,5 Behandlungen pro Tag in Europa
  • 23.437,5 Behandlungen pro Tag in Europa * 0,5 Behandlungen mit dem Produkt * 10 Anwendungen pro Behandlung mit dem Produkt * 0,25 Marktanteil => 29.296,875 geplante Behandlungen mit dem Produkt pro Tag
  • 29.296,875 geplante Behandlungen mit dem Produkt pro Tag * 340 Behandlungen pro Jahr * 10 Jahre Lebensdauer => 99.609.375 Anwendungen pro Gerät über die gesamte Lebensdauer
  • ca. 1.000.000.000 (eine Milliarde) Anwendungen pro Gerät über die gesamte Lebensdauer
  • 1/1.000.000.000 => 10^-9

WahrscheinlichkeitsklasseBeschreibung / DefinitionHäufigkeit
HäufigFehler nahezu sicher. Tritt bei jeder Anwendung auf.p > 10-1
WahrscheinlichFehler wahrscheinlich. Tritt bei einzelnen Anwendungen auf, wenn das Produkt in seinem vorgesehenen Umfeld angewendet wird.10-3 < p ≤ 10-1
GelegentlichGelegentliche Fehler sind wahrscheinlich. Tritt bei wenigen Anwendungen auf, wenn das Produkt in seinem vorgesehenen Umfeld angewendet wird.10-5 < p ≤ 10-3
SeltenFehler ist nicht auszuschließen. Ein oder mehrere Vorfälle pro Produktlebenszyklus möglich.10-7 < p ≤ 10-5
UnwahrscheinlichVerkettung ungünstiger Umstände. Fehler konnte noch nicht beobachtet werden.10-9 < p ≤ 10-7
UnvorstellbarKein Fehler in dem Produktlebenszyklus. Nur mit absichtlichem Missbrauch möglich.p ≤ 10-9

 2. Schweregrade festlegen

Grundsätzlich:

  • dem Produkt angemessen und realistisch bleiben
    • Ein OP Mikroskop führt in der Regel nicht zum Tod eines Patienten
    • Bei einem Defibrillator sieht das schon anders aus

Patienten- und Anwenderseite betrachten:

  • Anwendungspezialisten (Anwender, Ärzte, …) mit einbeziehen
  • Durchschnitt bilden und nicht den Worst-Case annehmen

Gedankenmodell:

  • Größten und kleinsten Schaden festlegen
  • Anzahl Kategorien festlegen
  • Merkmale der Kategorie identifizieren
  • Eindeutige (binäre) Kriterien wählen

SchweregradsklasseBeschreibung / DefinitionBeispiele
geringFührt zu reversiblen Schädigungen, die keiner ärztlichen Intervention bedürfenIrritationen, Schürfwunden, Verbrennungen Grad I
ernstFührt zu reversiblen Schädigungen, die ambulanter Abklärung bedürfenHämatome, Frakturen, Verbrennungen Grad II
kritischFührt zu irreversiblen Schädigungen oder lebensbedrohlichen SchädigungenNeurologische Ausfälle, Organverletzungen, Innere Blutungen, Verbrennungen Grad III
katastrophalFührt zum Tod eines oder mehreren PatientenTod

3. Die “fertige” Risikobewertungsmatrix
  • Risikobewertungsmatrix drückt die Risikopolitik der Herstellers aus
  • Immer mit der Frage im Hinterkopf: Überwiegt der Nutzen dem Schaden?
  • Die Risikoanalyse soll das zu Erwartende darstellen, nicht den Worst-Case
  • Die Risikoakzeptanzschwelle muss erkennbar sein
    • Anhand dieser Grenze wird häufig bewertet wie die Politik ist
    • Es gibt “akzeptierte” Risiken, die in der Produktlebensdauer des Produktes zum Tode führen
    • z.B. Es gibt zwei Risiken die mindestens ein mal pro Lebensdauer zum Tod führen

Vorgriff auf die nächste Sendung:

  • Beim erreichen “akzeptablen” Bereiches darf nicht aufgehört werden
  • Bis zum Stand der Technik weiter mindern

Quellen:

MST005 – Regulatory: Einführung Risikomanagement

avatar Philipp Spenden per Paypal Icon Amazon Wunschliste Icon Spenden per Liberapay Icon
avatar Fabian

Aufbau ISO 14971

Medizinprodukte – Anwendung des Risikomanagements auf Medizinprodukte

Wesentliche Forderungen der ISO 14971

  • Risikomanagement-Prozess
  • Verantwortung der Leitung
  • Qualifikation des Personals
  • Risikomanagementplan
  • Risikomanagementakte

Gefährdung, Gefährdungssituation, Schaden, Risiko

  • Gefährdung: potentielle Schadensquelle
    Bsp: Hängender Kronleuchter
    Bsp: Endoskop zur Darmuntersuchung
  • Gefährdungssituation: Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind
    Bsp: Man steht unter dem Kronleuchter
    Bsp: Endoskop ist im Darm eingeführt
  • Schaden: physische Verletzung oder Schädigung der menschlichen Gesundheit oder Schädigung von Gütern oder der Umwelt
    Bsp: Schädelbasisbruch aufgrund des Sturzes des Kronleuchters
    Bsp: Verletzung des Darms
  • Risiko: Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrades dieses Schadens
    Bsp: Wahrscheinlichkeitskombination aus Schadensauftreten und Schweregrad

Quellen

  • ISO 14971
  • Anhang E der ISO 14971