Dieser vierte Artikel unserer Serie zum Risikomanagement für Medizinprodukte wendet sich einem praktischen Aspekt zu: der Identifikation der Risiken. Zu den meisten Geräten fallen uns sicher schnell offensichtliche Risiken ein, manchmal vielleicht auch nicht. Aber wie stellen wir sicher, dass wir möglichst keine nennenswerten Risiken vergessen haben und trotzdem nicht zu kleinteilig werden? Soviel vorab: da bleibt Spielraum.
Risikoidentifikation ist ein mehrstufiger Prozess, basierend auf Hilfestellungen, die uns normativ an die Hand gegeben sind. Zum Teil sind das lange Listen, die dadurch Freude machen, dass meist nur ein kleiner Teil daraus zutrifft.
Einstieg und Abgrenzung
Wir folgen grundsätzlich dem Prozess, wie er in DIN EN ISO 14971:2022-02 beschrieben ist. Dieser Blogbeitrag umfasst die Kette bis zur Ermittlung eines Schadens, aber noch ohne Berücksichtigung der Eintrittswahrscheinlichkeiten und Schadensschwere. Das wird Gegenstand eines zukünftigen Beitrags zur Risikobewertung sein.
Blicken wir zuerst auf die Begriffe, wie im Standard definiert:
- Schaden: Verletzung oder Schädigung der Gesundheit von Menschen oder Schädigung von Gütern oder der Umwelt
- Gefährdung: potentielle Schadensquelle
- Gefährdungssituation: Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind
Folglich geht es darum, Schadensquellen über mögliche Ereignisabfolgen mit möglichen Gefährdungssituationen und folgend Schäden in Verbindung zu bringen.
Risikoidentifikation nach DIN EN ISO 14971
Der erste Schritt zur Risikoidentifikation ist also die Ermittlung der Gefährdungen (Schadensquellen). Doch woher kommen diese, wie können wir sie sinnvoll ermitteln? Die Norm bietet eine Auswahl an Gefährdungen an (dazu später mehr), aber welche davon treffen zu? Hier unterstützt eine systematische Betrachtung des Produkts aus verschiedenen Blickwinkeln.
Gefährdung
Für die Ermittlung oder Zuordnung von Gefährdungen gibt es verschiedene Herangehensweisen. Die ISO 14971 (Tabelle C.1) folgt dem Ansatz, von einer (vereinfacht gesagt) physikalischen Größe auszugehen und dann Umstände zu identifizieren, durch welche sie ihre Wirkung hin zu einem Schaden entfalten können. Diese physikalisch basierte Risikoanalyse ist für Entwickler meist leichter handhabbar als andere Ansätze. Daraus generierte Maßnahmen, die über die physikalischen Größen wirken, sind meist leichter beherrschbar und einfacher nachweisbar als anwenderbezogene Maßnahmen.
Man sollte bei der Zuordnung aber konsequent bleiben: Wenn die Isolation eines Kabels durch fortgesetzte Vibration an einer scharfen Kante beschädigt wird und folgend Anwender oder Patient einen Stromschlag erfahren, dann ist die Gefahr nicht Vibration oder Scherkräfte, sondern die Netzspannung, denn das ist die potenzielle Schadensquelle (siehe Definitionen).
Anhand der Funktionalität eines Medizinproduktes lässt sich eine Vorauswahl möglicher Gefahren ableiten.
Klinische Funktionen, Wesentliche Leistungsmerkmale, sicherheitsrelevante Charakteristika
Um zu einem Überblick über die Gefährdungssituationen zu kommen, ist es sinnvoll, sich Funktionen und Charakteristika des Medizinprodukts anzusehen. Sie befinden sich meist im mittleren Bereich der Ereignisketten: weder sind sie die Ursache oder Gefährdung, noch die eigentliche Gefährdungssituation. Aber sie geben uns starke Hinweise:
- Wo wir nach Gefährdungen zu suchen haben. Dabei helfen folgende Leitfragen:
- Was könnte zu dem Funktionsausfall führen?
- Welche physikalische Größe kann dabei gefährlich wirken?
- Was für Gefährdungssituationen lauern? Das kann man gut unterstützen durch:
- Bewertung der Produktlebensphasen (z. B. bei Bau, Versand, Betrieb, Service, Entsorgung)
- schrittweises Durchgehen des beabsichtigten Gebrauchs (z. B. Gerätevorbereitung, Einsatz am Patienten, Abrüsten, Entsorgung von Verbrauchsmaterial)
- Sichtweisen beteiligter Personen (z. B. Anwender, Patient, Servicetechniker)
Als erstes ist es sinnvoll, für die Identifikation von Ereignisabfolgen von den klinischen Funktionen eines Medizinproduktes auszugehen. Ausnahmsweise gibt es zu „klinische Funktion“ keine echte Definition in den Normen. Rein praktisch ist die Frage zu stellen und zu beantworten: Welche Funktionen des Medizinproduktes sind erforderlich, um die (medizinische) Zweckbestimmung zu erfüllen?
So ist ein bei längerer Nicht-Benutzung automatisch gedimmtes Display vielleicht nicht erforderlich – sehr wohl aber, dass es auf Anforderung alle relevanten Werte gut lesbar anzeigt, also die Dimmung aufgehoben wird.
Der Teil der klinischen Funktionen, dessen Verlust oder Verschlechterung zu einem unvertretbaren Risiko führen, wird damit zum „wesentlichen Leistungsmerkmal“, dem im späteren Prozess der Risikomitigation besonderes Augenmerk zu widmen ist.
Damit kommen wir zur zweiten Quelle zu betrachtender Funktionen, die uns durch die explizite Benennung als wesentliches Leistungsmerkmal in Partikularstandards benannt sind. Sie sind in den Standards der Reihen IEC 60601-2-xy bzw. IEC/ISO 80601-2-xy jeweils im Kapitel 201.4.3 zu finden bzw. wird dort auf die entsprechenden Kapitel hingewiesen.
Als drittes finden sich ebenfalls in den anwendbaren Normen häufig explizite Hinweise auf Themen, die im Risikomanagement bewertet werden sollen. Fast jedes Mal, wenn dort das Risikomanagement angesprochen wird, bietet der Kontext mehr oder weniger konkret Anlass, Risiken für das eigene Produkt zu identifizieren.
Die vierte Quelle für Ereignisabfolgen ist die Analyse der vernünftigerweise vorhersehbaren Fehlanwendungen. Sie betrachtet umfassender den gesamten Anwendungsprozess des Medizinproduktes und die dabei aus typisch menschlichen Verhalten ableitbaren Fehlanwendungen. Für eine erste Risikoanalyse genügt meist ein bewusstes Durchspielen des Produkt-Lebenszyklus. Im späteren Verlauf sollte die Analyse dann ergänzt werden um die Ergebnisse des Gebrauchstauglichkeitsprozesses in Bezug auf Use Errors und Use Difficulties.
Zu guter Letzt bietet die ISO/TR 24971 im Annex A.2 eine Liste von Fragen an, die uns helfen das Medizinprodukt und seine sicherheitsrelevanten Charakteristika zu analysieren. Sie sind in weiten Teilen ergänzend zu den rein klinischen Funktionen und helfen, ein sinnvoll umfassendes Bild der Risiken zu gewinnen. Am besten bearbeitet sich die Liste tabellarisch, ergänzt mindestens um eine Kommentar- bzw. Erläuterungsspalte.
Ereignisabfolge und Gefährdungssituation
Nachdem nun mögliche Fehlfunktionen ermittelt sind, können sie über Ereignisabfolgen mit Gefährdungen und Gefährdungssituationen in Verbindung gebracht werden. Wir konstruieren also Kausalketten von Ereignissen, die von einer Gefahr als Wirkgröße zu Gefährdungssituationen führen.
Hierbei kann es vorkommen, dass für bestimmte Funktionsstörungen/Ereignisabfolgen keine Gefährdungssituation ermittelt werden kann. Man sollte das trotzdem explizit dokumentieren, damit ein Nachweis vorhanden ist, dass dieser Fall betrachtet wurde.
Die Ereignisabfolgen schreibt man am besten listenartig und nummeriert, so dass die Aufeinanderfolge gut erkennbar ist. Später zu definierende Risikokontrollmaßnahmen lassen sich so auch einzelnen Schritten der Ereignisabfolge zuordnen.
Als Anhaltspunkt kann dienen: wenn in einer Ereignisabfolge erst eine Voraussetzung erfüllt sein muss, damit die Gefährdung wirken kann, ist oft diese Voraussetzung als erster Schritt der Ereignisabfolge anzusprechen. Um auf das vorherige Beispiel zurückzukommen: Das Legen von Kabeln über eine scharfe Kante ist eine solche Voraussetzung und sollte daher in der Ereignisfolge ganz vorne stehen. Darauf folgen die Vibrationen, die dann zu der Gefährdungssituation freiliegender spannungsführender Leiter führen.
Die Ereignisfolgen sollten so formuliert sein, dass
- die Umstände, die zur Gefährdungssituation führen, deutlich werden und
- Wahrscheinlichkeiten für das Eintreten der Gefährdungssituation abgeleitet werden können.
Mithin sind konkrete Formulierung und nachvollziehbar kleine Einzelschritte sinnvoll.
Die Gefährdungssituationen können als letzter (separat benannter) Schritt der Ereignisfolge betrachtet werden, bevor es tatsächlich zum Schaden kommt. Empfehlenswert ist:
- Gefährdungssituationen so spezifisch formulieren, dass der Übergang zu einem konkreten Schaden (Harm) logisch ist. Dies auch vor dem Hintergrund, dass die Eintrittswahrscheinlichkeiten dann besser definiert werden können.
- Zu versuchen, mit möglichst wenig Gefährdungssituationen auszukommen ist zwar nachvollziehbar, aber nicht vorteilhaft.
- Von Verwendung eher generischer Bezeichnungen von Gefährdungssituationen (z.B. „Feuer“) wird abgeraten. Es ist besser zu spezifizieren, was genau gemeint ist: z.B. Abbrand eines Bauteils ohne weitere Auswirkungen, Gerät brennt und entzündet Gegenstände in der Umgebung, …)
Es können durchaus verschiedene Ereignisfolgen zu derselben Gefährdungssituation führen, genauso wie aus einer Ereignisfolge mehrere Gefährdungssituationen entstehen können. Häufiger tritt das aber zwischen Gefährdungssituationen und Schäden auf.
Als gedankliche Hilfe für die Abgrenzung von Gefährdungssituation und Schaden nutzen wir gern den Übergang vom technischen zum medizinischen Bereich. Zumindest bei Basisrisiken kann man sagen, dass die Ereignisabfolgen bis zur Gefährdungssituation sich vorwiegend in einem technischen Bereich abspielen, d. h. das Versagen von Bauteilen oder Funktionen führt dazu, dass eine Person (Patient, Anwender) der Gefahr (z. B. Netzspannung) ausgesetzt sein kann. Der Schaden ist dann medizinischer Natur (Herzversagen, Schmerzen, ..).
Vorteil dieser Betrachtungsweise ist, dass bis zur Gefährdungssituation gut in den Entwicklerteams gearbeitet werden kann und nur für den letzten Schritt Medizinier hinzugezogen werden müssen.
In Abwandlung gilt das z.B. für Umweltrisiken.
Einschränkungen dieser Methode gibt es bei mittelbaren Risiken, z.B. bei diagnostischen Systemen. Hier muss man sich im Vorfeld genau überlegen, ob man den falschen Messwert oder die darauf beruhende unzutreffende Entscheidung des Arztes als Gefährdungssituation ansehen will.
Schaden
Schäden sollten so formuliert werden, dass sie zu den Schadenklassen zugeordnet werden können (s. früherer Blogbeitrag „Risikomanagement für Medizinprodukte nach ISO 14971:2019 – Risikoakzeptanzkriterien“). So ist einem Schaden „Schnittverletzung“ nur schwer eine Schadenklasse zuzuordnen. Eine Unterteilung z. B. in „Oberflächlicher Schnitt“, „tiefer Schnitt bis in den Muskel“, „Schnitt mit Verlust eines Fingers“ ist wesentlich aussagekräftiger. Solche differenzierten Schadensbilder machen darüber hinaus auch die Kausalketten verständlicher und die spätere Bewertung von Eintretenswahrscheinlichkeiten einfacher.
- Formuliere jeden Schaden präzise und differenziert! Ein oberflächlicher Schnitt am Finger und ein tiefer Schnitt am inneren Oberschenkel treten unterschiedlich häufig auf und stellen verschieden schwere Schäden dar!
- Eine Gefährdungssituation kann zu mehreren Schäden führen: alle wesentlichen Schäden separat mit aufnehmen.
- Achte darauf, wirklich den Schaden zu benennen! Der Stromschlag ist die Gefährdungssituation, der Schaden ist die oberflächliche Verbrennung, der Herzstillstand oder das Kribbeln.
Beispiele
Beispiel Nr. | Gefährdung | Ereignisabfolge | Gefährdungssituation | Schaden |
1 | Hochspannung | 1. Kabel verläuft über scharfe Kante 2. Kabelisolation wird durch Vibration aufgescheuert 3. Netzspannung liegt am Gehäuse 4. Anwender fasst Gehäuse an | Anwender erfährt Stromschlag mit Netzspannung | Verbrennungen 2. Grades an den Stromeintritts- und -austrittsstellen |
kurzzeitiger schmerzhafter Muskelspasmus | ||||
Herzkammerflimmern | ||||
2 | Vibration | 1. Ausgleichsgewicht auf rotierendem Bauteil lockert sich 2. Gerät vibriert | Krafteinwirkung auf Hand des Patienten | Stauchung am Handgelenk |
3 | Vibration | 1. Fahrzeug fährt Pflasterstraße 2. Vibrationen übertragen sich auf die Gerätegriffe | Krafteinwirkung auf Hand des Patienten | Stauchung am Handgelenk |
4 | Vibration | 1. intensiver mechanischer Pulsbetrieb 2. Übertragung als Vibration auf die Griffe | Krafteinwirkung auf Hand des Patienten | Stauchung am Handgelenk |
5 | Bakterien | 1. Bakterien haften am Schlauch an 2. Anwender berührt Schlauch mit der Hand 3. Anwender führt Hand zum Mund | Anwender kommt mit Bakterien oral in Kontakt | schwere Magenerkrankung |
Entzündung der Mundschleimhaut |
Und nun?
Dieser Artikel hat grundsätzliche Vorgehensweisen zur Identifizierung von Risiken bei Medizinprodukten behandelt. Abhängig von der Entwicklungsphase, dem Fortschritt bei der Produktentwicklung, der betrachteten Ebene der Systemarchitektur und dem thematischen Fokus kommen weitere Methoden zum Einsatz. Diese vereinfachen die Identifizierung von Risiken und helfen, diese wichtige Aktivität im Risikomanagement vollständig zu bearbeiten. All dies werden wir im nächsten Blogbeitrag zum Risikomanagement betrachten.
Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.
