Die HAZOP (Hazard and Operability) ist ein Gefährdungsanalyseverfahren, das die ISO 14971 neben der FMEA, FTA und PHA empfiehlt.
Das deutsche Akronym für HAZOP (Hazard and Operability) lautet PAAG. Das steht für Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen.
Die Norm IEC 61882 beschreibt dieses Verfahren.
| Inhaltsübersicht |
|---|
| HAZOP im Überblick » |
| Vorgehen nach IEC 61882 » |
| HAZOP bei Software » |
| Fazit » |
Lernen Sie in diesem Artikel die HAZOP kennen. Erfahren Sie, wann Sie die HAZOP einsetzen sollten, um Risiken durch Ihre Medizinprodukte schnell und zuverlässig zu identifizieren und zu beherrschen.
HAZOP-Analyse im Überblick
a) Ziel des Verfahrens: Systematische Gefährdungsanalyse
Das Ziel der HAZOP besteht darin, systematisch Gefährdungen zu identifizieren. Dabei geht es v.a. um Gefährdungen, die durch Systeme und Teile von Systemen verursacht werden, die nicht wie erwartet bzw. spezifiziert „funktionieren“. Den Begriff „Operability“ (der sich in HAZOP verbirgt) würde man in diesem Kontext als Funktionsfähigkeit übersetzen.
b) Gegenstand des Verfahrens: Analyse von Systemen und Teilen
Beispiele für Systeme sind:
- Produkte z.B. Medizinprodukte
- Systeme aus Produkten z.B. vernetzte Medizinprodukte oder Medizinprodukte und Zubehör
- Softwareanwendungen
- Prozesse z.B. zur Produktion, Sterilisation, Inbetriebnahme, Wartung
- Anlagen z.B. in der chemischen Industrie (hier hat die HAZOP ihren Urprung)
Entsprechend sind Teile dieser Systeme beispielsweise:
- Komponenten z.B. PESS, Software-Komponenten
- Prozess- und Verfahrensschritte
- Anlagenteile
c) Prinzip der HAZOP im Überblick
Das Verfahren basiert auf fünf wesentlichen Überlegungen:
- Was sind die Parameter / Eigenschaften, die ein System oder ein Teil eines Systems gewährleisten muss? Beispielsweise muss ein Defibrillator als ein Parameter eine spezifizierte Energiemenge liefern.
- In welcher Art und Weise können die Parameter / Eigenschaften vom Soll-Wert abweichen. Dazu benutzt man Leitworte wie „zu früh“, „zu viel“, „teilweise“ usw. Eine Übersicht über diese Leitworte finden Sie weiter unten.
- Welche Abweichungen kann es geben? Dazu kombiniert man die Parameter und Leitworte (Abweichung = Leitwort + Parameter). In unserem Beispiel besteht beim Defibrillator eine mögliche Abweichung darin, dass die Energiemenge (Parameter) zu früh (Leitwort) abgegeben wird.
- Was sind die Ursachen und Folgen dieser Abweichung?
- Durch welche Maßnahmen lassen sich die Risiken beherrschen?
HAZOP-Analyse als Verfahren (gemäß IEC 61882)
a) Die IEC 61882 im Überblick
Die IEC 61882 normiert die HAZOP. Sie beschreibt
- die Prinzipien,
- den Anwendungsbereich und die Beschränkungen,
- die vier Schritte einschließlich der Dokumentation und
- dass man die HAZOP-Untersuchungen selbst wieder auditieren kann.
Im Anhang stellt die IEC 61882 ein Beispiel vor.
b) Die vier Schritte gemäß IEC 61882
Die Norm unterteilt das Verfahren in die Schritte (Teilaufgaben), die man aus dem Aufgabenmodell nach Dzida kennt:
- Planung (hier „Festlegungen“ genannt)
- Vorbereitung
- Durchführung (hier „Untersuchung“ genannt“)
- Ergebnisbewertung und Ergebnisweitergabe (hier „Dokumentation und Folgeaktivitäten“ genannt)
- Schritt: Festlegungen
Im ersten Schritt legt der Projektmanager das zu untersuchende System und das Ziel der Analyse fest. Er stellt auch sein Team zusammen. Typische Rollen in diesem Team sind- der Leiter der HAZOP-Untersuchung (am System unbeteiligter Experte),
- der „Aufzeichner“ (der die Dokumentation erstellt),
- der Systemexperte (z.B. Systemarchitekt),
- Anwender des Systems sowie
- bei Bedarf weitere Spezialisten.
- Schritt: Vorbereitung
Während der Vorbereitungsphase trägt der Untersuchungsleiter Informationen zusammen (z.B. über das System) und bereitet diese ggf. weiter auf z.B. in Form von Zeichnungen oder Ablaufdiagrammen. Er organisiert das/die Treffen (Termine, Teilnehmer, Räume, Hilfsmittel) und ergänzt die Liste an Leitworten (s.u.). - Schritt: Untersuchung
Bei der Untersuchung geht das Team wie folgt vor:- Begrüßung, Ziele und System vorstellen
- System in seine Teile zerlegen
- Für jedes Teil dessen „Zweckbestimmung“ identifizieren
- Dafür alle notwendigen „Elemente“ (Charakteristiken wie Materialien, Parameter) bestimmen
- Für jedes dieser Elemente jedes der Leitworte nutzen und prüfen, ob eine Abweichung möglich ist und zu einer Gefährdung beitragen könnte.
- Ergebnisse dokumentieren (s.u.), Empfehlungen für risikominimierende Maßnahmen aussprechen und Folgeaktivitäten festlegen (z.B. um offen gebliebene Punkte zu klären.
- Folgeaktivitäten ergreifen
c) Die Leitworte („Guide Words“)
Das zentrale Element der HAZOP sind die Leitworte. Die IEC 61882 normiert diese Liste. Die Leitworte sollen genutzt werden, um Abweichungen systematisch zu erkennen. Dazu soll jeder Parameter mit jedem Leitwort kombiniert werden. Am obigen Beispiel des Defibrillators mit dem Parameter „abgegebene Energie“ wären mögliche Abweichungen
- Nein: Keine Energie abgegeben
- Mehr: Zu viel Energie
- Weniger: Zu wenig Energie abgegeben
- Sowohl als auch: Energie wird abgegeben, aber sonstiges Verhalten tritt auf z.B. Defibrillator wird heiß oder Energie wird auch an Anwender abgegeben
- usw.
Hier eine Übersicht über die Leitworte nach IEC 61882:
| Leitwort (deutsch) | Guide word (English) | Erklärung |
|---|---|---|
| Nein, nicht | No | Abweichung vom Soll-Verhalten |
| Mehr | More | Quantitativer Zuwachs, zu viel |
| Weniger | Less | Quantitative Abnahme, zu wenig |
| Sowohl als auch | As well as | Zusätzliche Ereignisse zum Soll-Verhalten |
| Teilweise | Part of | Soll-Verhalten nur unvollständig erreicht |
| Umkehrung | Reverse | Gegenteil des Soll-Verhaltens |
| Anders als | Other than | Etwas anderes als das Soll-Verhalten |
| Früher / später | Earlier / later | Soll-Verhalten zu einem früheren / späteren Zeitpunkt |
| Zuvor / danach | Before / after | Soll-Verhalten in anderer Reihenfolge |
| Schneller / langsamer | Faster / slower | Nicht erwartete Änderung der Ablauf- bzw. Ausführungsgeschwindigkeit |
d) Dokumentation
Vergleichbar zu anderen Verfahren lassen sich auch die Ergebnisse der HAZOP tabellarisch dokumentieren:
| System, Sub-System | Teile | Parameter, Variable | Leitwort | Mögliche Ursachen | Mögliche Folgen | Mögliche Maßnahmen (ggf. mit Nachverfolgung) |
Die wesentlichen Erkenntnisse sollten dann in die „Risikotabelle“ übernommen werden.
Besondere Aspekte
a) HAZOP-Analyse bei Software
Die HAZOP empfiehlt sich auch, um Gefährdungen durch fehlerhafte Software systematisch zu analysieren.
| Begriff aus HAZOP | Beispiel bei Software |
|---|---|
| System |
|
| Teil |
|
| Element / Charakteristik |
|
In Audits erleben wir häufig Auditoren, die erwarten, dass die Hersteller die Folgen untersucht haben, wenn Daten zu früh, zu spät, verfälscht, in falsche Reihenfolge oder vom falschen Sender oder zum falschen Empfänger geleitet werden. Diese Überlegungen sind zwar wertvoll, zielen aber häufig vornehmlich auf die technische Datenübertragung. In der Praxis finden sich die Probleme jedoch auf den höheren Interoperabilitätsebenen.
b) Abgrenzung zu anderen Verfahren
Die FMEA sucht zu einer angenommenen Ursache unbekannte Wirkungen („bottom-up“). Umgekehrt sucht die FTA zu gegebenen Wirkungen unbekannte Ursachen („top-down“).
Hingegen analysiert man mit der HAZOP die Ereigniskette in beide Richtungen (Ursache und Folgen). Die HAZOP ist kein alternatives, sondern ein zusätzliches Verfahren.
c) Einbindung in den Entwicklungsprozess
Da die HAZOP das System und seine Teile kennen muss, empfiehlt sich das Verfahren nach der Spezifikation der Systemanforderung bzw. ab der Systemarchitektur. Dabei ist die HAZOP keinesfalls auf die Entwicklung beschränkt. Vielmehr sollte sie auch in Produktion sowie weiteren kritischen Prozessen angewendet werden.
Möchte man das Verfahren bereits beim Erstellen der „System Requirements Specification“ anwenden, sollte man das Produkt / System als Blackbox und die externen Schnittstellen als dessen Teile betrachten.
d) HAZOP und IEC 60601-1
Die IEC 60601-1 fordert, die wesentlichen Leistungsmerkmale zu identifizieren. Diese beschreiben das, was die IEC 61882 den „Design Intent“ nennt. Damit bietet sich die HAZOP an, um wesentliche Leistungsmerkmale sowohl zu identifizieren, als auch um zu untersuchen, in welcher Weise diese nicht erfüllt sein können.
Fazit
Die HAZOP ist ein systematisches Verfahren, das aber wie alle Verfahren zur Gefährdungsanalyse nicht nachweisen kann, dass alle Gefährdungen betrachtet wurden.
Es ist einerseits einfach zu verstehen, setzt andererseits aber einen erfahrenen Untersuchungsleiter und eine korrekte und vollständige Dokumentation des Systems, seiner Teile und Schnittstellen voraus. Falls Teile nicht erkannt oder beschrieben sind, findet man die entsprechenden Gefährdungen nicht.
Die HAZOP stellt ein multidisziplinäres Team in den Mittelpunkt der Untersuchung. Das sichert einen guten Informationsfluss und verschiedene Betrachtungswinkel. Weil der Fokus sehr auf das System und seine Teile gerichtet ist, eignet es sich nicht, um Risiken durch mangelnde Gebrauchstauglichkeit zu identifizieren. Bei stand-alone Software sind das die häufigsten.
Frage:
ich würde gerne HAZOP für Risikoanalysen an Talsperren (Staumauern) anwenden, d.h. als „brainstorming technique“ oder als qualitative Abschätzung eines Risikos, das die Sicherheit einer bestehenden Talsperre bei extremen Belastungen beeinträchtigen könnte – eignet sich HAZOP dazu; gibt’s dafür Beispiele?
Sehr geehrter Herr Dr. Kreuzer,
Sie können die HAZUP in jeder Domäne anwenden. Allerdings würde man Tätigkeiten, Ereignisse und andere Ursachen dieser Analyse unterziehen und nicht die Talsperre insgesamt. Sie könnten beispielsweise analysieren, wenn jemand bei einer Wartungsarbeit etwas zu früh, zu spät, in einer falschen Reihenfolge usw. durchführt.
Ich bin aber kein Talsperrenspezialist. Wir kennen uns mit Medizinprodukten aus.
Viele Grüße, Christian Johner