Die ISO 14971 definiert die Begriffe Gefährdung und Gefährdungssituation. Trotzdem fällt es Medizinprodukte-Herstellern oft schwer, den beiden Begriffen Sachverhalte zuzuordnen. Dieser Artikel gibt Hilfestellung.
1. Definition von Gefährdung und Gefährdungssituation
Die ISO 14971 liefert die Begriffsdefinitionen:
Potenzielle Schadensquelle
Umstände unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind
Die Norm nennt Beispiele für Gefährdungen (s. Abb. 1):
- Chemische Materialien
- Elektrische Energie
- Mechanische Energie
- Elektromagnetische Strahlung
- Thermische Energie
- Biologische Materialien
- Gefährdungen durch (falsche) Informationen wie Handbücher oder Anzeigen
Das Beispiel „Informationen“ führt häufig zur Verwirrung, denn durch eine falsche Information oder falsche Anzeige an sich kann niemand direkt zu Schaden kommen. Vielmehr sind (falsche) Informationen oder Anzeigen Elemente einer Ursachenkette, die letztlich zu einer Gefährdung führen kann.
Daher nutzen viele Unternehmen einschränkende Definitionen des Begriffs Gefährdung:
Letztes Element einer Ursachenkette vor der Gefährdungssituation
Bewährt hat sich auch eine zweite Definition:
Äußeres Verhalten oder Fehlverhalten eines Medizinprodukts, das (mit)ursächlich für einen Schaden ist
Die beiden alternative Definitionen stehen in Übereinstimmung mit der Definition des Begriffs „Gefährdung“ durch die ISO 14971.
Christian Rosenzweig und Christian Johner geben in dieser Podcast-Episode Tipps für den präzisen Umgang mit Begriffen wie Gefährdung, Gefährdungssituation und Schaden. Das hilft dabei, ohne unnötige Diskussionen und schneller präzise und normkonforme Risikomanagementakten zu erstellen.
Diese und weitere Podcast-Episoden finden Sie auch hier.
2. Typische Fehler beim Umgang mit dem Begriff „Gefährdung“
Fehler 1: Falsche Verwendung des Begriffs
Prüfen Sie Ihr Wissen: Welche der folgenden Eintragungen in einer Risikomanagementakte entsprechen tatsächlich der Definition Gefährdung und welche nicht?
- Software-Bug
- Nichtbeachten der Gebrauchsanweisung
- Möglichkeit einer Verbrennung
- Geplatzter Schlauch
- Fehlerhaft durchgeführte Endprüfung in der Produktion
- Unterlassene Prozessvalidierung
- Allergieauslösende Materialien
- Cyber-Angriff
- Verzögerte Behandlung
Am Ende des Artikels findet sich die Auflösung.
Scrollen Sie nicht gleich nach unten, sondern notieren Sie zuerst Ihre Gedanken. Das maximiert den Erkenntnisgewinn.
Fehler 2: Inkonsistente Verwendung des Begriffs
Ein Patient kommt zu Schaden, weil eine Standalone-Software aufgrund eines Software-Bugs ein falsches Medikament anzeigt. Was ist die Gefährdung? Der Software-Bug, die falsche Anzeige oder das falsche Medikament?
Alle drei Elemente der Ursachenkette entsprechen der Definition der ISO 14971, nämlich „potenzielle Schadensquelle“.
Weil Unternehmen keine Festlegungen treffen, gibt es regelmäßig ausufernde Diskussionen. Um diese zu vermeiden, helfen die o. g. alternativen Definitionen.
Wenn die Gefährdung als das letzte Element einer Ursachenkette vor der Gefährdungssituation definiert ist, dann ist die Abfolge:
| Element der Ursachenkette | Konzept / Begriff |
| Software-Bug | Auslösende Ursache |
| Falsche Anzeige des Medikaments | Element der Ursachenkette |
| Falsches Medikament | Gefährdung |
| Einnahme eines falschen Medikaments | Gefährdungssituation |
| Allergischer Schock | Schaden |
Wenn hingegen das äußere (Fehl-)Verhalten des Produkts als Gefährdung definiert wird, ist die Abfolge:
| Element der Ursachenkette | Konzept / Begriff |
| Software-Bug | Auslösende Ursache |
| Falsche Anzeige des Medikaments | Gefährdung |
| Falsches Medikament | Element der Ursachenkette |
| Einnahme eines falschen Medikaments | Gefährdungssituation |
| Allergischer Schock | Schaden |
Im zweiten Fall (Tabelle 2) erkennt man, dass die Gefährdungssituation nicht mehr streng der Definition entspricht, weil der Patient der Gefährdung (hier der falschen Anzeige) gar nicht direkt ausgesetzt ist.
Die Abläufe in den Tabellen 1 und 2 unterscheiden sich nur für den Fall „(falsche) Information“, nicht bei Gefährdungen durch Materialien oder Energien. Denn fehlerhafte Materialien (z. B. toxisches Material) oder Energien (unter Spannung stehendes Gehäuse) stellen sowohl ein äußeres Fehlverhalten dar als auch das letzte Element der Ursachenkette vor der Gefährdungssituation.
Hilfreich ist, wenn sich die Hersteller auf eine Festlegung einigen.
Fehler 3: Inkonsistenter Detailgrad
Insbesondere wenn mehrere Personen unabgestimmt an der Gefährdungsanalyse arbeiten, entstehen regelmäßig Risikomanagementakten, bei denen die Gefährdungen inkonsistent granular formuliert werden.
Für die identische Gefährdung finden sich in der Risikomanagementakte folgende Einträge:
- Mangelnde Biokompatibilität
- Toxische Materialien
- Neurotoxische Substanzen
- Botulinumtoxin
Die Einträge sind hier aufsteigend von allgemein/unspezifisch nach granular/spezifisch sortiert.
Eine zu granulare Aufteilung von Gefährdungen ist meist nicht sinnvoll, es sei denn, die Gefährdungen führen zu unterschiedlichen Schäden oder bedürfen unterschiedlicher Maßnahmen.
Oft führen verschiedene Ursachen zu einer Gefährdung. Die Ursachenketten sollten die Hersteller besonders dann betrachten, wenn
- sie die Ursachenketten durch geeignete Maßnahmen vor der Gefährdung unterbrechen können,
- verschiedene Ursachen die Wahrscheinlichkeiten oder Schweregrade der Schäden beeinflussen, welche aus den Gefährdungen resultieren.
Fehler 4: Unvollständige Gefährdungen
Besonders schwerwiegend ist es, wenn Hersteller Gefährdungen übersehen. Das sind beispielsweise Gefährdungen, die sich ergeben aus
- dem Nichterreichen der Zweckbestimmung, z. B. dem verzögerten oder falschen Anzeigen von Laborwerten bei einem IVD oder dem unzureichenden Entfernen dialysepflichtiger Substanzen aus dem Blut bei einer Dialysemaschine,
- mangelnder Gebrauchstauglichkeit,
- unbekannten und unkontrollierten Transport- und Lagerbedingungen,
- unabgestimmten Änderungen am Design oder der Produktion des Produkts (auch bei Lieferanten),
- der Verwendung des Produkts gemäß dem sonstigen bestimmungsgemäßen Gebrauch (wie Reinigung und Instandhaltung) sowie
- dem vorhersehbaren Missbrauch wie der Anwendung durch nicht geschulte Nutzer oder der Anwendung über die spezifizierte Lebensdauer hinaus.
Erstellen Sie eine ISO 14971-konforme Risikomanagementakte – schnell und auditsicher
Der Auditgarant hilft Ihnen mit Videotrainings, die Definitionen in Ihrer Risikomanagementakte korrekt zu verwenden, Gefährdungen mit Verfahren wie der PHA, FMEA und FTA systematisch zu analysieren und zu identifizieren, geeignete Maßnahmen zu wählen, umzusetzen und zu validieren und eine ISO 14971-konforme Risikomanagementakte zu erstellen – und damit im Audit erfolgreich zu sein.
3. Fazit
So einfach und kurz die Definition des Begriffs „Gefährdung“ ist (oder zumindest erscheint), so häufig gibt es Fehler, die den Herstellern beim Verwenden des Begriffs unterlaufen. Eine falsche oder inkonsistente Verwendung führt zu falschen und inkonsistenten Risikomanagementakten und damit zu regulatorischen Problemen und unsicheren Produkten.
Daher sollten Hersteller konsequent in die Weiterbildung der Personen investieren, die am Risikomanagement beteiligt sind. Genau das fordern auch die ISO 13485 und ISO 14971.
Software-Systeme wie die des Johner Instituts helfen dabei, Inkonsistenzen zu vermeiden.
Änderungshistorie
- 2024-09-15: Artikel komplett überarbeitet
- 2018-09-28: Erste Version des Artikels veröffentlicht
Lösungshinweise
| Gefährdung? | Kommentar |
| Software-Bug | Eine Gefährdung im Sinne der ISO 14971. Hinweise zu Kap. 2 „Typische Fehler“ beachten |
| Nichtbeachten der Gebrauchsanweisung | Eine Gefährdung im Sinne der ISO 14971. Hinweise zu Kap. 2 „Typische Fehler“ beachten |
| Möglichkeit einer Verbrennung | Eine Verbrennung ist ein Schaden, die Möglichkeit drückt eine Wahrscheinlichkeit aus. Es handelt sich nicht um eine Gefährdung. |
| Geplatzter Schlauch | Ein (potenziell) platzender Schlauch ist eine Gefährdung. |
| Fehlerhaft durchgeführte Endprüfung in der Produktion | Eine fehlerhafte Endprüfung kann zu einem Schaden beitragen. Sie ist aber wahrscheinlich eher eine risikominimierende Maßnahme, mit der die eigentliche Gefährdung vermieden werden soll, z. B. ein nicht spezifikationsgemäß gefertigtes Produkt. |
| Unterlassene Prozessvalidierung | Auch eine unterlassene Prozessvalidierung kann letztlich zu einem Schaden beitragen. Sie ist aber eher als Überprüfung einer risikominimierenden Maßnahme, z. B. der Sterilisierung, zu betrachten. |
| Allergieauslösende Materialien | Eine Gefährdung im Sinne der ISO 14971 |
| Cyber-Angriff | Eine Gefährdung im Sinne der ISO 14971. Hinweise zu Kap. 2 „Typische Fehler“ beachten |
| Verzögerte Behandlung | Eine Gefährdung im Sinne der ISO 14971. Hinweise zu Kap. 2 „Typische Fehler“ beachten |
Hallo Christian
Eventl sollte folgender Textteil geringfügig richtig gestellt werden…
Textabschnitt: Typische Fehler beim Umgang mit dem Begriff „Gefährdung“
Die Eingangsfrage lautet:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung, fragt mich ein Beratungskunde. Die fehlerhafte Software oder die falsche Anzeige?
…
Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das fehlerhaft (dosierte Medikament).
Aus meiner Sicht sollte entweder die Frage oder die Antwort in diesem Beispiel angepasst werden.
Eingangsfrage:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsche Dosis eines Medikamentes anzeigt.
…
Oder:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsches Medikament anzeigt.
…
Die Antwort dann entsprechend…
– falsche dosiertes Medikament oder
– falsches Medikament
Liebe Grüsse,
Bruno
Danke, lieber Bruno! Das bist Du noch auf einen uralten Beitrag gestoßen, der dringend der Aktualisierung bedarf. Ich habe das weitgehend schon getan, mache mich aber nochmals ans Werk. Danke!
Liebe Grüße, Christian
Sehr geehrter Herr Johner,
ich stimme Ihrer Feststellung zu, dass die Definition der „Gefährdung“ wirklich sehr schwer ist. Aus diesem Grund würde ich in Ihrem Beispiel die Gefährdung wahrscheinlich auch woanders sehen:
Das Beispiel lautet:
„Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?“
Ihre Antwort dafür lautet:
„Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.“
Ich denke, es können hier zwei Szenarien für die Bewertung unterschieden werden:
– Wenn man die Risikobetrachtung „nur“ für die Software vornimmt, dann wäre meine Analyse: Die Gefährdung liegt in der Funktion „Anzeigen eines Medikaments“. Denn sowohl „fehlerhafte Software“ sowie „falsche Anzeige“ sind ja bereits real gewordene Gefährdungssituationen. Das entspricht am meisten einem Besipiel für mechanische Gefährdung durch Lagern schwerer Güter in größeren Höhen, bei dem das Risiko „Person wird durch herabfallende Güter verletzt“ sich vermeiden ließe, indem direkt an der Gefährdung angegriffen wird und die Güter auf dem Boden gelagert werden. In Ihrem Beispiel ließe sich das Risiko vermeiden, indem direkt an der Gefährdung angegriffen wird und kein Medikament angezeigt wird, sondern z.B. „nur“ ein Diagnosehinweis oder ein Messwert. (Das ist ein gutes Beispiel der zunehmenden Verantwortungsübernahme durch eine Software, derer sich jeder Software-Entwickler bewusst sein sollte: Anzeigen eines nackten Messwerts (geringste Verantwortung) -> Anzeigen eines Analyseergebnis -> Anzeige einer Diagnose -> Anzeige einer Medikamentierung -> Start einer Behandlung, z.B. Infusion (höchste Verantwortung))
– Erweitert man die Betrachtung auf den ganzen Prozess bis zum Schaden des Patienten kann man die Gefährdung natürlich in der Verwendung eines Medikaments sehen (auch hier ist das falsche Medikament bereits wieder der Beginn einer realgewordenen Gefährdungssituationskette), man kann aber auch als Gefährdung die Verwendung einer Software für die Definition eines Medikaments sehen.
Für mich eine wichtige Frage in dieser Diskussion ist allerdings, in wieweit eine scharfe, genaue Definition zur der Qualität einer Risikoanalyse beiträgt. Sicherlich kann es die Übersichtlichkeit steigern, aber wichtiger scheint mir die Identifizierung von Gefährdungssituationen und den damit verbundenen Risiken (Schaden x Auftretenswahrscheinlichkeit) und daraus resultierend geeignete Gegenmaßnahmen, gleichgültig, ob sie an der Gefährdung oder der Gefährdungssituation angreifen.
Mit Grüßen
Ulrich Günther
Sehr geehrter Herr Günther,
danke für die wichtige Nachfrage!
Wir haben diese Diskussion, da die Norm uns von Seiten der Definition etwas alleine lässt. Die Definition erlaubt sowohl das Medikament als auch die falsche Anzeige als Gefährdung zuzulassen.
D.h. man benötigt eigene Definitionen, die die obige Definition präzisieren, um zu konsistenten Akten zu gelangen. Beispiele für diese Ergänzungen sind:
Die genaue Festlegung ist deshalb wichtig, weil sonst inkonsistente Daten in der Akte landen, was wiederum zu unvollständigen weil unsystematischen Analysen führen kann.
Konnte ich Ihre Frage beantworten? Falls nicht, dann haken Sie einfach nach.
Beste Grüße, Christian Johner
Stellt der unberechtige Abfluss von Patientendaten auch eine Gefährung dar? Ständig rutschen in unsere Analyse Datenschutzthemen (DSGVO, Mandantenfähigkeit) rein, wo ich immer argumentiere, dass von denen keine unmittelbare Gefahren auf Patienten ausgeht. Meiner Meinung sollten nur Gefahren betrachtet werden, die zu einem Vorkommnis führen könnten. Sehen Sie das genauso?
Wie weit muss ich mit der Ursachenkette gehen? Man könnte ja argumentieren, dass die Patientendaten einer prominenten Person durch einen Softwarefehler abgeflossen sind und in einer Zeitung veröffentlicht wurden. Nun ist diese prominente Person depressiv geworden und hat einen Selbsttötungsversuch unternommen.
Sehr geehrter Herr Misselwitz,
die Frage, ob der Abfluss von Patientendaten eine Gefährdung darstellt, hängt davon ab, wie weit sie die Definition des Begriffs Schaden auslegen.
Die ISO 14971 subsumiert unter dem Schaden nicht nur physische Verletzungen oder Beeinträchtigungen der Gesundheit, sondern auch die Beeinträchtigungen von Gütern oder der Umwelt. Wenn man Geld zu den Gütern zählt, dann müsste man Ihre Frage bejahen.
Ich würde Ihnen aber empfehlen, die körperlichen Schäden und die finanziellen Schäden getrennt zu bewerten und zu betrachten. Sonst kommen Sie beim Thema Risikoakzeptanz in die unschöne Situation, beide Schäden miteinander aufwiegen zu müssen.
Bei der Analyse von Ereignisketten soweit zu gehen, wie Sie es darstellen, halte ich für etwas zu weit hergeholt. Sie landen dann bei sehr kleinen Wahrscheinlichkeiten. Wenn Sie die alle berücksichtigen wollten, würde sich Ihre Risikoanalyse so aufblähen, bis sie kaum noch überblickbar wäre.
Dass Sie aber die rechtlichen Folgen einer Datenschutzverletzung analysieren müssen, steht außer Frage.
Viele Grüße, Christian Johner
Sehr geehrter Herr Prof. Johner,
ich finde die Diskussion rund um die Definition von Gefährdung sehr spannend und möchte mit dem folgenden Beispiel dazu – hoffentlich nicht zur Verwirrung- beitragen:
Das Medizinprodukt „X“ wir vom Anwender falsch bedient. Die falsche Bedienung führt zu einer zu niedrigeren Zugabe des Arzneimittels Y.
Gefährdungssituation: Ein Patient wird behandelt und (durch die Fehlbedienung) bekommt er eine zu niedrige Dosis des Arzneimittels Y.
Gefährdung: „biochemische Gefährdung“ (zu niedrige Dosis eines Arzneimittels).
Die Gefährdung ist nicht der Anwendungsfehler. Der Anwendungsfehler ist ein Element der Ursachenkette.
Sehen Sie das auch so?
Danke und beste Grüße
Alberto Di Benedetto
Sehr geehrter Herr Di Benedetto,
das ist ein sehr schönes Beispiel, und ich stimme Ihnen völlig zu.
Die sehr breite Definition von Gefährdung hätte zwar erlaubt, den Anwenderfehler auch als solche zu bezeichnen, aber im Artikel ging es mir genau darum, das einzuschränken, um ein handhabbares Konzept zu haben. Sie haben das perfekt aufgegriffen.
Beste Grüße, Christian Johner
Sehr geehrter Herr Prof. Johner,
vielen Dank für Ihre Rückmeldung.
Bezüglich meines Beispiels könnte man vielleicht als Gefährdung „Fehlende Therapie“ angeben. Unter „Fehlende Therapie“ sind alle Gefährdungen zu verstehen, die mit einer nicht erfolgten Therapie zusammenhängen (z.B. unerwünschte biochemische Prozesse im Körper des Patienten). Es ist eine Art Sammelbegriff für alle chemischen und biologischen Vorgängen im Körper des Patienten, die anders als gewünscht stattfinden (das hängt natürlich vom spezifischen Fall ab).
Warum diese Präzisierung? Wenn beispielsweise eine zu hohe Dosis eines Arzneimittels aufgrund eines Anwenderfehlers verabreicht wird, ist die „chemische Gefährdung“ auf das Arzneimittel zurückzuführen. Wird hingegen das Arzneimittel nicht verabreicht, ist die chemische Gefährdung nicht auf das Arzneimittel zurückzuführen sondern auf das Fehlen des Arzneimittels, das heißt auf das Nichtzustandekommen der Therapie. Daher wäre vielleicht beim zweiten Nachdenken eine „fehlende Therapie“ – oder in gewissen Fällen eine verspätete bzw. eine nicht vollständige Therapie – als Gefährdung zu betrachten.
Herzlichen Dank und beste Grüße,
Alberto Di Benedetto
Es tut mir wirklich leid, aber mir hilft dieser Beitrag nicht weiter.
Der Software-Bug ist unter 2 bei Fehler 2. eine Schadensquelle = Gefährdung und direkt dann bei beiden Beispielen nur auslösende Ursache, was offenbar keiner der beiden alternativen Gefährdungsdefinitionen entspricht.
Bei 3. zur Lösung gehört der Software-Bug dann wieder zu Gefährdung.
Für mich so nicht nachvollziehbar. Vor allem weil im späteren Verlauf der zwei Beispiele dann doch nochmal andere Dinge als Gefährdungen benannt werden.
Desweiteren würde mich brennend interessieren, was aus den zwei fehlenden „risikomindernden Maßnahmen“ fehlende Endprüfung und fehlende Prozessvalidierung wirklich resultiert
Man kann diese als risikomindernde Maßnahmen einstufen, aber dann aber bitte um welche Gefahr/Gefährdungssituation abzuwenden?
Andererseits sind beide mindestens Ursache für eine neue Gefahr, wenn ich sie nicht durchführe. Nämlich z.B. fehlerhaften Produkt kommt in den Markt.
Lieber Herr Handt,
ich versuche zunächst, Ihren Kommentar zu verstehen. Sehen Sie es mir nach, wenn ich Ihre Ausführungen nicht voll und ganz richtig interpretiere.
Der „Softwarebug“ ist in Tabelle 1 und Tabelle 2 jeweils als „Auslösende Ursache“ beschrieben. Sie erkennen an der Ablaufsequenz der Ereignisse, dass dies in diesen Beispielen so Sinn ergibt. In der Lösung am Ende des Artikels werden hingegen beide Interpretationen aufgezeigt:
– die Interpretation gemäß ISO 14971 als Gefährdung, weil Gefährdung als „potenzielle Schadensquelle“ definiert ist und der Softwarebug in seiner folgenden Kausalkette den Schaden bedingt
– die Interpretation als „auslösende Ursache“, wie es in Tabelle 1 und 2 beschrieben ist
Ihr zweites Anliegen: was resultiert aus fehlenden Maßnahmen für ein neues Risiko.
Dazu drei Anmerkungen
a) Üblicherweise würde man nicht automatisch für jede Maßnahme deren unzureichende Umsetzung als neues Risiko aufschreiben. Dafür erbringen Sie ja den Wirksamkeitsnachweis bei der Überprüfung der Maßnahme
b) Maßnahmen, die sich auf organisatorische Aktivitäten im QM-System beziehen, stellen Sie üblicherweise in der Produktrisikoanalyse auch nicht in Frage. Das QM-System hat seine eigenen sichernden Maßnahmen (z.B. Freigaben, Überwachung durch redundante Mechanismen, interne Audits)
c) Wenn Sie tatsächlich das Fehlen der Endprüfung oder Prozessvalidierung als neues Risiko der entsprechend vorher definierten Maßnahmen betrachten möchten, dann fallen Sie wieder auf das Risiko zurück, das Sie zuvor betrachtet hatten. Dann könnten Sie also auch gleich sagen: „Endprüfung und Prozessvalidierung“ sind dort als Maßnahme fraglich wirksam, das Restrisiko wird demnach nur graduell oder gar nicht in seiner Wahrscheinlichkeit abgesenkt. Und dann müssen Sie entsprechend weitere Maßnahmen definieren, um das ursprüngliche Risiko zu senken.
Herzliche Grüße
Christian Rosenzweig
Danke für Ihre Antwort und entschuldigen Sie, dass ich mich unklar ausgedrückt habe.
Der Artikel soll über die Definition „Gefährdung“ aufklären bzw. diesen Begriff besser vermitteln.
In Tab. 1 und 2. sowie Abb. 2 ist der SW-Bug als Ursache angegeben. Beide Beispiele gehen nicht darauf ein, dass der SW-Bug eine Gefährdung sein könnte.
Unter 3. Fazit wird der SW-Bug als Gefährdung nach ISO 14971 bezeichnet bzw. auch Bezug auf Kap 2 genommen. Also zwei gleichzeitig geltende Definitionsmöglichkeiten.
Nun ist es also abhängig davon, wie man die Definition anwendet (nutze ich ISO14971 oder die selbst entwickelte Definition). Genau das was unter Fehler 2 „inkonsistene Begriffe“ vermieden werden soll.
Im Artikel wird also für den SW-Bug zwischen Ursache und Gefährdung gesprungen und das macht es für das Verständnis aus meiner Sicht eher schwerer als leichter.
Zu den risikomindernden Maßnahmen: nach ISO14971 7.5 muss man die Maßnahmen dahin beleuchten, ob neue Gefährdungen entstanden sind.
Das bedeutet aus meiner Sicht auch, dass man durch unwirksame Maßnahmen auch neue Gefährdungen geschaffen haben könnte, die nicht zwangsläufig der Ausgangsgefährdung entsprechen müssen.
Lieber Herr Rosenzweig,
im Zuge der Überarbeitung des Artikels ist die Abbildung 1 leider hängen geblieben. Diese existiert aus guten Gründen in der aktuellen Edition der ISO 14971 nicht mehr. Das Thema „Gefährdungen durch Informationen“ ist dort nämlich nicht mehr vorhanden – genau aus dem Grund, dass es sich nicht um gute Beispiele handelt. Damit erübrigt sich auch der Hinweis unter der Tabelle, zumindest in dieser Form.
Vielleicht lässt sich das noch anpassen. Ansonsten beschreibt der Artikel genau den richtigen Ansatz, um mit diesen Begriffen umzugehen.
Viele Grüße
Torsten Kneuss
Ganz herzlichen Dank, Herr Kneuss! Sie haben natürlich völlig recht. Ich werde diesen redaktionellen Fehler gleich korrigieren. Was würden wir nur ohne unsere aufmerksamen Leser, wie Sie, tun!?
Die Tabelle mit der 2. Definition enthält zweimal „Gefährdungssituation“ und gar keine „Gefährdung“. Ich denke, die erste „Gefährdung“ muss ersetzt werden.
Ich bin übrigens ein großer Freund der zweiten Definition, denn wir betrachten in der Risikoanalyse ja ein bestimmtes System und wollen wissen, welche Gefährdungen von diesem Ausgehen. Deshalb ist es für mich schlüssig, in einer Ursachenkette die Gefährdung an der Systemgrenze festzumachen. Das heißt, ich würde immer den System-Output als Gefährdung begreifen. Im o.g. Beispiel halte ich es für schlüssiger zu sagen: „vom Produkt geht eine Gefährdung durch falsche Anzeigen aus“ als zu sagen „vom Produkt geht die Gefahr eines anaphylaktischen Schocks“ aus.
Lieber Herr Müller, vielen Dank für Ihren wertvollen Beitrag!
Meinen ersten Absatz muss ich zurücknehmen. Entweder wurde das eben korrigiert oder es war eine Fehlanzeige in meinem Browser.
Sehr geehrter Herr Rosenzweig, sehr geehrter Herr Prof. Johner,
vielen Dank für den tiefgründigen Artikel, der viele Aspekte der Problematik beleuchtet.
Es fehlt aber meines Erachtens noch eine wesentliche Sache.
Bei dem Thema Gefährdungen sind alle sofort immer darauf fixiert, dass eine Gefährdung durch eine Fehlfunktion des Produktes entsteht – geplatzter Schlauch, Software-Bug, fehlerhafte Anzeige, etc.
Dabei wird ein eigentlich viel elementareres Problem häufig übersehen, nämlich das die Gefährdung durch eine unzureichende Performance des Produktes entsteht, bzw. darin besteht.
Also dadurch, dass das Produkt – auch bei Abwesenheit aller Fehler – schlicht nicht das tut und leistet, was von ihm erwartet wird, oder erwartet werden müsste.
Ursache ist eine unzulängliche Auslegung des Produktes für den Einsatz im konkreten Anwendungsfall.
In der Medizintechnik wird das durch die wesentlichen Leistungsmerkmale („essential performance“) charakterisiert, in der Automobilwelt heißt das Safety of the Intended Functionality (SIF) – siehe z. B. ISO 21448 Road vehicles – Safety of the intended functionality.
Ich manchen Normen z. B. der Reihe IEC 60601 sind für bestimmte Arten von aktiven Medizingeräten diese wesentlichen Leistungsmerkmale vorgegeben oder zumindest vorgeschlagen, sonst ist der Hersteller gefordert, diese wesentlichen Leistungsmerkmale festzulegen, unter Berücksichtigung der Zweckbestimmung im Sinne der MDR oder IVDR.
– Das Röntgengerät hat nicht die Bildqualität, welches es für eine konkrete medizinische Fragestellung haben müsste.
– Die Dosierpumpe hat nicht die Dosiergenauigkeit, welche sie für die Verabreichung eines bestimmten Medikamentes haben müsste.
– Der Verband hat nicht die heilungsfördernden Eigenschaften, welche er haben müsste.
– Das Nahtmaterial hat nicht die Festigkeit, welches es für eine konkrete Wundversorgung haben müsste.
– Usw.
Freundliche Grüße
Thomas Hagen
Projekt- und Fachberatung zur System- und Softwareentwicklung
Lieber Herr Hagen, vielen Dank für Ihre wichtigen und richtigen Hinweise! Das wird in der Tat häufig durch die Hersteller vergessen. Die ISO 14971 scheint hier auch den Fokus eher auf die „Safety“ zu legen und die „Performance“ etwas in den Hintergrund treten zu lassen.
Ich hatte den Gesichtspunkt der Leistung des Produktes unter „Fehler 4“, gleich dem ersten Aufzählungspunkt berücksichtigt. Dort geht es eben um Gefährdungen aus dem Nicht-Erreichen des medizinischen Zwecks des Produktes. Danke, das Sie das nochmals betonen!
Herzliche Grüße
Christian Rosenzweig