Das Risikomanagement zählt zu den wichtigsten gesetzlichen Anforderungen, die Hersteller von Medizinprodukten erfüllen müssen.

Die ISO 14971 ist die Norm zur „Anwendung des Risikomanagements auf Medizinprodukte“. Sie beschreibt einen Risikomanagementprozess, der sicherstellen soll, dass die Risiken durch Medizinprodukte bekannt und beherrscht sowie im Vergleich zum Nutzen akzeptabel sind.

Abb. 1: Risikomanagementprozess nach ISO 14971 (zum Vergrößern klicken)Risikomanagement-Prozess nach ISO 14971

Inhalt

Sie finden auf dieser Seite Fachartikel …

  1. zu den Aktivitäten im Risikomanagementprozess, welche die ISO 14971 vorschreibt,
  2. zur Norm selbst,
  3. zum Zusammenspiel von Risikomanagement und der IT-Sicherheit,
  4. zur Anwendung der Norm in bestimmten Kontexten, z. B. bei Standalone-Software und
  5. dazu, wo Sie Unterstützung beim Risikomanagement bekommen.

1. Artikel zu Aktivitäten im Risikomanagementprozess

a) Risikomanagementplan

Der erste Schritt beim Risikomanagement für ein konkretes Produkt besteht darin, den Risikomanagementplan zu erstellen. Dieser legt fest,

  • welche Rollen bzw. Personen (mit welchen Kompetenzen)
  • welche Aktivitäten
  • mit welchen Methoden
  • zu welchem Zeitpunkt durchführen.

Diesen Risikomanagementplan muss die Verfahrensanweisung zum Risikomanagement einfordern

b) Gefährdungsanalyse

Hersteller müssen zuerst die Zweckbestimmung des Produkts festlegen.

Dann müssen sie im Rahmen einer Gefährdungsanalyse bzw. Risikoanalyse die Gefährdungen und Gefährdungssituationen identifizieren. Dazu gibt es mehrere Methoden:

Um Gefährdungen zu identifizieren, die von fehlerhaften Prozessen ausgehen, empfiehlt sich die Prozess-FMEA (pFMEA).

c) Risikobewertung

Im nächsten Schritt müssen die Hersteller die Risiken abschätzen. Dazu müssen sie bestimmen:

Viele Hersteller arbeiten mit einer Risikoprioritätszahl (RPZ). Dieses Konzept entspricht allerdings nicht der ISO 14971.

d) Risikoakzeptanz

Spätestens jetzt besteht die Aufgabe der Hersteller darin, ihre Kriterien für die Risikoakzeptanz zu bestimmen. Die Festlegung erfolgt meist in Form einer Risikoakzeptanzmatrix.

Dabei hilft auch der Benefit-Risk-Guidance der FDA.

Bei der Bewertung des Restrisikos sollten Sie diese Zahlen kennen. Auch die Kaplan-Meier-Kurve hilft im Risikomanagement.

e) Risikobeherrschung und Risikomanagementbericht

Gesetze wie die MDR und die IVDR verpflichten die Hersteller zur Risikominimierung bzw. Risikobeherrschung. D.h. sie müssen die Risiken so weit wie möglich und gemäß ihrer Akzeptanzkriterien reduzieren.

Sehr hilfreich bei Diskussionen mit Auditoren und Behörden sind der Artikel zu Informationen als Maßnahmen zur Risikominimierung sowie die Safety Assurance Cases, welche die FDA bei einigen Produkten sogar verlangt.

Die Ergebnisse aller bisherigen Aktivitäten müssen die Hersteller in einem Risikomanagementbericht dokumentieren. Bei dieser Bewertung sollten die Hersteller prüfen, dass sie die 7 häufigsten Fehler im Risikomanagement vermeiden.

All diese Aufzeichnungen und Dokumente bilden dann die Risikomanagementakte.

f) Nachgelagerte Phase

Damit endet das Risikomanagement nicht. Vielmehr folgt die Post-Market-Phase bzw. die nachgelagerte Phase, wie die ISO 14971 sie nennt. Ein Teil derer ist die Post-Market Surveillance und Überwachung der Produkte im Markt.

2. Fachartikel zur Norm

Die DIN EN ISO 14971 liegt in der Version 2022 vor. Die letzte wesentliche Änderung stammt aus dem Jahr 2019. Diese Änderungen wurden mit der dritten Ausgabe der ISO 14971 eingeführt. Damit wird die EN ISO 14971:2012 mit dem Annex ZA obsolet.

Im Beitrag zu den harmonisierten Normen erfahren Sie mehr zur Bedeutung der Präfixe wie DIN, EN und ISO.

Wie Hersteller die (neue Version) der Norm anwenden sollten, beschreibt der Beitrag zur ISO 24971.

Wichtig ist auch die Frage, ob die ISO 14971 überhaupt anwendbar ist. In diesem Kontext sind die Begriffe vorhersehbarer Missbrauch und anormaler Gebrauch wichtig.

In anderen Rechtsbereichen wird die ISO 31000 genutzt, die für die Medizinproduktehersteller zumindest als Anregung dienen kann.

3. Fachartikel zum Zusammenspiel von Risikomanagement und IT-Sicherheit

Bei Medizinprodukten, die Software enthalten oder Software sind, wirkt sich die IT-Sicherheit wesentlich auf die Risiken aus. Hilfreich sind hier folgende Publikationen:

4. Fachartikel zu bestimmten Kontexten

a) Fachartikel für Software-Hersteller

Für Medizinprodukte, die Software enthalten oder eine Standalone-Software sind, empfehlen sich diese Fachartikel:

b) Fachartikel für andere Organisationen

Das Risikomanagement bei Medizinprodukteherstellern unterscheidet sich in manchen Aspekten von dem Risikomanagement bei anderen Organisationen:

Das Johner Institut hilft

Nutzen Sie die Unterstützung des Johner Instituts:

  • Haben Sie noch Fragen zum Risikomanagement? Dann nutzen Sie das kostenfreie Micro-Consulting.
  • Im Seminar „Risikomanagement & ISO 14971“ lernen Sie die gesetzlichen Anforderungen an das Risikomanagement kennen und erfüllen.
  • Der Auditgarant zeigt Ihnen mit Videotrainings, wie Sie Schritt für Schritt eine schlanke und ISO 14971 konforme Risikomanagementakte erstellen. Zusätzlich nimmt Ihnen ein vollständiger Satz an Templates für eine Risikomanagementakte viel Arbeit ab.
  • Nutzen Sie auch die Unterstützung des Risikomanagement-Teams. Es hilft Ihnen, Ihre Akten zu schreiben, zu prüfen und auf Audits und Reviews vorzubereiten.

Melden Sie sich gleich, damit wir die nächsten Schritte besprechen können. So stellen Sie sicher, dass die „Zulassung“ sicher gelingt und Ihre Produkte schnell in den Markt kommen.


Fehlerwahrscheinlichkeit bei Software

Die Fehlerwahrscheinlichkeit bei Software lässt sich schwer abschätzen. So schwer, dass die „alte“ DIN EN IEC 62304:2006 schrieb: „Es gibt jedoch keine Übereinstimmung, wie die Wahrscheinlichkeit des Auftretens von Software-Ausfällen unter Verwendung von traditionellen statistischen Methoden bestimmt werden kann.“ Die Norm schlussfolgerte, dass „die Wahrscheinlichkeit einer solchen Fehlfunktion als 100 Prozent angenommen werden muss“. Die hochproblematische…

Weiterlesen
Risikomanagementbericht gemäß ISO14971 ist nicht die Risiko-Nutzenbewertung

Risikomanagementbericht: Es gibt Optionen

Gesetze und Normen verlangen von Organisationen, einen Risikomanagementbericht zu erstellen. Benannte Stellen und Behörden prüfen diese Berichte besonders intensiv, weil das Risikomanagement eine zentrale regulatorische Anforderung ist. Deshalb ist es (nicht nur) für Hersteller wichtig, dass sie präzise, vollständige und korrekte Risikomanagementberichte erstellen. Dafür gibt dieser Artikel Hilfestellung.

Weiterlesen

Post-Market Surveillance und Überwachung der Produkte im Markt

Unter Post-Market Surveillance (Überwachung nach der Inverkehrbringung) versteht man einen proaktiven und systematischen Prozess, um aus Informationen über Medizinprodukte, die bereits in Verkehr gebracht wurden, notwendige Korrektur- und Vorbeugemaßnahmen (CAPA, corrective and preventive action) abzuleiten. Wir haben für Sie eine Checkliste zur Post-Market-Surveillance erstellt. Mit dieser Checkliste können Sie herausfinden, ob Sie die regulatorischen Anforderungen…

Weiterlesen

Software-Risikomanagement für medizinische Software

Unter Software-Risikomanagement verstehen Hersteller von Medizinprodukten entweder das Risikomanagement, das sie für die Standalone-Software betreiben müssen, oder den Teil des Risikomanagements, den eine embedded Software nach sich zieht. Regelmäßig werden Hersteller den regulatorischen Anforderungen an das Software-Risikomanagement nicht gerecht. Dieser Beitrag gibt Tipps für ein schlankes Software-Risikomanagement, mit dem Sie unnötige Aufwände vermeiden und Konformität…

Weiterlesen

Risikoprioritätszahl (RPZ): Definition und Berechnung

Firmen, die beispielsweise einen Bezug zur Pharmaindustrie haben, verwenden die Risikoprioritätszahl (RPZ). Es gibt jedoch Branchen, in denen das Risiko nicht über eine RPZ bewertet werden darf. Beispielsweise in der Medizintechnik ist die Definition der Risikoprioritätszahl nicht konform mit der Definition des Begriffs Risiko gemäß der ISO 14971. Das kann im Audit und bei Produktzulassungen zu Beanstandungen führen.

Weiterlesen
HAZOP - Leitworte

HAZOP – Risikoanalyse konform IEC 61882

Die HAZOP (Hazard and Operability) ist ein Gefährdungsanalyseverfahren, das die ISO 14971 neben der FMEA, FTA und PHA empfiehlt. Das deutsche Akronym für HAZOP (Hazard and Operability) lautet PAAG. Das steht für Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen. Die Norm IEC 61882 beschreibt dieses Verfahren.  Inhaltsübersicht HAZOP im Überblick » Vorgehen nach IEC…

Weiterlesen