Sicherheit statt Risiko

Transkript

1 Sicherheit statt Risiko Risikomanagement Praxis-Leitfaden: ISO konforme Erstellung von Risikomanagement-Akten

2 Inhaltsverzeichnis Inhaltsverzeichnis INHALTSVERZEICHNIS 6 ABBILDUNGSVERZEICHNIS 11 NUTZUNGSHINWEIS 14 SICHERHEIT STATT RISIKO - RISIKOWAHRNEHMUNG 16 Die Begriffe der ISO/IEC Guide 51 bilden die Grundlage für Risikomanagement 22 EINFÜHRUNG IN DAS RISIKOMANAGEMENT 24 RISIKOMANAGEMENT GESETZLICHE VERPFLICHTUNG ZUM VORTEIL DES UNTERNEHMENS NUTZEN 29 Was ist Risikomanagement? 29 Risikomanagement in der Medizinprodukt-Industrie 29 Risikomanagement als Management-Instrument 30 Fazit 31 EINLEITUNG ZUR NORM DIN EN ISO ANWENDUNGSBEREICH DER DIN EN ISO ABLAUF DES RISIKOMANAGEMENT-PROZESSES 37 ALLGEMEINE ANFORDERUNGEN AN DAS RISIKOMANAGEMENT 39 Firmenspezifische Definitionen 42 Projektdefinition im Risikomanagementplan 45 Funktionsanalyse mit Hilfe der Grey Box 64 VERFAHREN DER RISIKOANALYSE 72 SCHRITT 1 73 SCHRITT 2 77 Risikomanagement nach DIN EN ISO

3 Inhaltsverzeichnis Ursachen für Gefährdungen 78 Patientenbezogene Gefährdungen 79 Gefährdung des Anwenders 80 SCHRITT 3 96 SCHRITT SCHRITTE SCHRITT SCHRITT SCHRITT NACHWEISE, DOKUMENTE UND AUFZEICHNUNGEN, DIE FÜR DIE RISIKOMANAGEMENT-AKTE GEFORDERT SIND 132 Erfahrungen mit vorgelegten Risikoanalysen 134 WARUM RISIKOMANAGEMENT ZEIT UND GELD SPART 135 BIOLOGISCHE BEURTEILUNG VON MEDIZINPRODUKTEN 141 Zytotoxizitätsprüfungen 141 Blutverträglichkeitsprüfungen 142 Gentoxizität 143 Allergiepotential in Latexprodukten 144 Irritations- und Sensibilisierungstests 144 Prüfung auf lokale Effekte nach Implantationen 144 Weitere Testsysteme 145 RISIKOBEWERTUNG VON MEDIZINPRODUKTEN CATGUT, TSE 146 ANHANG DER RICHTLINIE 2003/32/EG: VERWENDUNG VON GEWEBE TIERISCHEN URSPRUNGS IN MEDIZINPRODUKTEN 149 RISIKOANALYSE UND RISIKOMANAGEMENT 149 Risikomanagement nach DIN EN ISO

4 Inhaltsverzeichnis Begründung der Verwendung von tierischen Geweben oder Folgeerzeugnissen 149 Bewertungsverfahren 149 Prüfung der Bewertung 153 BEWERTUNG VON MEDIZINPRODUKTEN DER KLASSE III DURCH BENANNTE STELLEN _ 154 ANFORDERUNGEN AN DIE HYGIENE BEI DER AUFBEREITUNG VON MEDIZINPRODUKTEN 155 Grundsätzliches 156 Verantwortung 158 Voraussetzungen für die Aufbereitung 159 Validierung der Aufbereitungsverfahren 166 Sicherung der Qualität der zur Anwendung kommenden Aufbereitungsprozesse 167 Durchführung der Aufbereitung 168 Aufbereitung nicht angewendeter Medizinprodukte 168 Aufbereitung angewendeter Medizinprodukte 169 Transport und Lagerung 179 Fazit 179 Normen 179 RISIKOMANAGEMENT IN DER STRUKTURIERTEN ENTWICKLUNG 182 Warum strukturierte Entwicklung? 182 Was verbirgt sich hinter dem Begriff "strukturierte Entwicklung"? 182 Welche Rolle spielt nun das Risikomanagement? 184 Welchen Nutzen bietet das Risikomanagement in der strukturierten Entwicklung? 187 RISIKOMANAGEMENT ÜBER PRODUKTEIGENSCHAFTEN HINAUS ERKENNEN UND EINBEZIEHEN DES RISIKOFAKTORS MENSCH 189 RISIKOMANGEMENT INTEGRATION DES FAKTORS MENSCH 195 Einführung 195 Grundlagen 195 Risikomanagement 197 Faktor "Mensch" 197 Produkt-Anwender-Schnittstelle 199 Dokumentation zur Produktanwendung 202 Risikomanagement nach DIN EN ISO

5 Inhaltsverzeichnis RISIKOMANAGEMENT IN DER SOFTWARE-VALIDIERUNG 204 Risikomanagement für Software 204 Das Wasserfall-Modell 205 Das Prototypen-Modell 206 Das Spiralmodell 206 Evolutions-Modell 207 Software-Validierung 211 Risikomanagement in der Software-Validierung spart Zeit und Geld 213 AUDITIERUNG VON SOFTWARE PRÜFUNGEN ALS WERKZEUGE ZUR QUALITÄTSSICHERUNG 215 Einleitung 215 Entwicklungs-Lebenszyklus-Modell 216 Prüfen als integraler Bestandteil der Softwareentwicklung 223 Reviews als Integraler Bestandteil der Entwicklung 224 Review-Techniken: Inspektion 225 Zeitpunkte für Reviews 226 Verifizierung und Validierung 227 Resümee 229 RISIKOMANAGEMENT BEI SOFTWAREENTWICKLUNG UND EINFÜHRUNG230 Qualitätssicherung 231 Risikoerkennung 232 Risikoanalyse 232 Risikoverminderung 233 Testkonzept 233 Überwachung der Risiken während der Testdurchführung 233 Konfigurationsmanagement 234 RECHTSPRECHUNG - PRODUKTHAFTUNG UND EIGENVERANTWORTUNG 237 DIE PRODUKTHAFTUNG DES HERSTELLERS 237 THERAPEUTISCHE LETZTVERANTWORTUNG DES ANWENDERS BEI DER PRODUKTAUSWAHL 239 DER SICHERE WEG UNTER EINBINDUNG DER INDUSTRIE 240 INHALTSVERZEICHNIS ANHÄNGE 241 Risikomanagement nach DIN EN ISO

6 Sicherheit statt Risiko Bild 03: Dominotheorie des Unfalls (Quelle: N. Leitgeb, Sicherheit in der Medizintechnik) Die diesbezügliche Verantwortung kann auch nicht zur Gänze delegiert werden. Das führt zur letzten der sicherheitstechnischen Erkenntnisse: Risikoerkennung setzt Wissen voraus! Dies gilt nicht nur für die Anwendung, sondern in besonderem Maß auch für die Herstellung eines Gerätes. Die Erfahrung zeigt, dass häufig noch immer auch bei einer Geräteentwicklung ausschließlich die Funktion im Vordergrund steht. Auf die Berücksichtigung sicherheitstechnischer Anforderungen wird oft spät oder gar nicht geachtet. Bild 04: Kosten der Mängelbehebung (Quelle: N. Leitgeb, Sicherheit in der Medizintechnik) Risikomanagement nach DIN EN ISO

7 Allgemeine Anforderungen An Hand der Zweckbestimmung und des Einsatzes des Produktes wird nun im Team diskutiert und festgelegt, welche Achsenabschnitte der Risikograph aufweisen soll, wie sie bezeichnet werden, nach welchen Kriterien zugeordnet wird (mit Beispielen) und damit welche Bewertungen für Auftretenswahrscheinlichkeit und Schadensausmaß im vorliegenden Projekt weitgehend akzeptabel (grün), welche nicht akzeptabel (rot) sind und welche dazwischen liegen (gelb = ALARP = As Low As Reasonable Practicable). Die Definition des Risikographen ist für den gesamten Risikomanagement-Prozess konsequent einzuhalten. Vorüberlegungen zur Skalierung des Risikographen: Was ist das größte denkbare Schadensausmaß? Welches minimale Schadensausmaß ist relevant? Wie viele Kategorien sind sinnvoller weise erforderlich? Nach welchen Merkmalen unterscheiden sich die Kategorien? Schadensausmaß festlegen, wie z.b.: Unwesentlich: Geringe oder keine Möglichkeit zur Schädigung Geringfügig: Möglichkeit einer leichten Schädigung (reversibel) Kritisch: Nicht vollständig kompensierbare oder schwere Schädigung (irreversibel) Katastrophal: Todesfall 1; mehrere Verletzungen Für welche Lebensdauer ist das Medizinprodukt konzipiert? Wie häufig wird eine Funktion am Patienten pro Tag angewandt? Wie viele Patienten werden (pro Tag) behandelt? Wie viele Kategorien sind sinnvoller weise zu unterscheiden? Wahrscheinlichkeit festlegen, wie z.b.: Häufig: Ein oder mehrmals pro Behandlung Wahrscheinlich: Kann im bestimmungsgemäßen Gebrauch vorkommen Gelegentlich: Tritt in unregelmäßigen Abständen mehrfach (pro Monat) auf Entfernt vorstellbar: Ein bis mehrmals pro Lebensdauer des Medizinproduktes Unwahrscheinlich: Nicht während Lebensdauer des Medizinproduktes Unvorstellbar: Nur durch höhere Gewalt denkbar Risikomanagement nach DIN EN ISO

8 Allgemeine Anforderungen Bild 20: Definition des Risikographen I (Quelle: Bayoonet AG, Darmstadt) Risikomanagement nach DIN EN ISO

9 Allgemeine Anforderungen 1. Abstraktion der Aufgabenstellung und Herausbilden von Gesamtfunktionen Ziel der ersten Stufe ist die Visualisierung der Gesamtfunktionen in einer "Black Box" mit Eingangs-, Ausgangs- und Störgrößen sowie einer Abgrenzung des Produktes zu seiner Umgebung. Bild 27: Black-Box Dabei sollten einige formale Regeln beachtet werden: Allgemeine Ausdrucksweise verwenden (keine Lösungen vorwegnehmen) Sinnvolle Darstellung wählen (nicht zu viele Funktionen auf einmal darstellen) Verben verwenden (zur Beschreibung der Funktionen) 2. Gliedern der Grobstruktur Unterteilung der Gesamtfunktion aus der "Black Box" in Teilfunktionen abnehmender Komplexität. Dabei sollen die entstehenden Teilfunktionen an Übersichtlichkeit gewinnen. Bild 28: Grey-Box (Funktionsbeziehungen) Risikomanagement nach DIN EN ISO

10 Schritt 2 Schritt 2 Feststellung bekannter oder vorhersehbarer GEFÄHRDUNGEN (Schritt 2) Der HERSTELLER muss eine Liste der bekannten und vorhersehbaren GEFÄHRDUNGEN erarbeiten, die mit dem MEDIZINPRODUKT sowohl im Normalzustand als auch unter Fehlerbedingungen in Verbindung stehen. Früher bereits erkannte GEFÄHRDUNGEN müssen gekennzeichnet sein. Diese Liste muss in der RISIKOMANAGEMENT-AKTE aufbewahrt werden. Vorhersehbare Folgen von Ereignissen, die zu einer GEFÄHRDENDEN SITUATION führen können, müssen berücksichtigt und aufgezeichnet werden. ANMERKUNG 1: Als Gedächtnisstütze können die in Anhang D und für IN-VITRO-DIAGNOSTIKA in Anhang B.2 aufgeführten Beispiele möglicher GEFÄHRDUNGEN dienen. ANMERKUNG 2: Zur Feststellung nicht bereits vorher bekannter GEFÄHRDUNGEN können systematische Verfahren, die die spezifische Situation behandeln, angewandt werden (siehe Anhang F). Die Einhaltung der Anforderungen wird durch Besichtigen der RISIKOMANAGEMENT-AKTE überprüft. Aus der Funktionsanalyse mit Hilfe der Grey Box oder anderen Vorüberlegungen können nun alle Funktionen des Produktes entnommen und gesammelt werden. Bild 36: Verzahnung der Funktionsstruktur mit der Risikoanalyse Risikomanagement nach DIN EN ISO

11 Schritt 2 Von jeder dieser Funktion können eine oder mehrere mögliche Gefährdungen ausgehen, die alle im Team identifiziert und dokumentiert werden müssen. Diese Gefährdungen können nun wiederum eine oder mehrere mögliche Ursachen aufweisen, für die das gleiche Vorgehen gilt. Ursachen für Gefährdungen Die Anwendung von medizinischen elektrischen Geräten kann aus verschiedenen Gründen Gefährdungen hervorrufen. Zu diesen Gründen gehören: a) Ausfall eines Gerätes beim Erbringen seiner vorgesehenen Funktion, (z. B. Beatmungsgerät beatmet den Patienten nicht, Apnoemonitor gibt keinen Alarm). b) Fehlfunktion, (z. B. übermäßige Abgabe von Arzneimitteln durch eine Infusionspumpe, zu hohe Temperatur in einem Säuglingsinkubator, ungenaue Messung eines physiologischen Parameters). c) Energien, die im Normalzustand abgegeben werden, z. B.: Ableitstrom oder funktioneller Strom, der von einem Defibrillator oder von einem Hochfrequenz-Chirurgiegerät über nicht vorgesehene Stromwege zum Patienten oder Anwender fließt; Bestrahlung eines nicht dafür vorgesehenen Körperteiles des Patienten oder des Anwenders; Exposition des Patienten oder des Anwenders mit Ultraschallenergie oder Teilchenstrahlung; übermäßiges Erwärmen oder Abkühlen des Patienten. d) Gerätefehler, z. B.: Brand, elektrischer Schlag, Explosion, herausgeschleuderte Teile; übermäßige ionisierende oder nicht ionisierende Strahlung infolge einer Fehlfunktion des Gerätes, Leckstrahlung oder Überdosis; übermäßige Temperaturen an berührbaren Oberflächen, die zu Verbrennungen führen. e) Brände oder Explosionen infolge der Entzündung brennbarer Stoffe in der Nähe des medizinischen a) elektrischen Gerätes. f) Mechanisches Ausfallen im Normalzustand und bei Gerätefehlern. g) Fehlerhafte Installation von medizinischen elektrischen Geräten, z. B.: unzureichende Erdung eines medizinischen elektrischen Gerätes der Schutzklasse I; gefährliche Oberflächen, Ecken oder Kanten; mechanische Instabilität. h) Falsche Auswahl von medizinischen elektrischen Geräten, (z. B. die Anwendung von medizinischen elektrischen Geräten mit Anwendungsteilen des Typs BF oder B intrakardial. i) Falsche Anwendung von medizinischen elektrischen Geräten, (z. B. falsche Energieeinstellung bei der Verwendung eines internen Defibrillators). Risikomanagement nach DIN EN ISO

12 Klinische Bewertung Risikoanalyse und Klinische Bewertung Grundsätzlich muss in der Produktauslegungs-/Entwicklungsphase eines Medizinproduktes der Nachweis erbracht werden, dass bei normalen Einsatzbedingungen die in Anhang I Abschnitte 1 und 3 der Richtlinie 93/42/EWG genannten merkmal- und leistungsrelevanten Anforderungen von dem Produkt erfüllt werden. Hierzu hat der Hersteller klinische Daten gemäß Anhang X der Richtlinie 93/42/EWG zusammenzustellen und im Rahmen der Konformitätsbewertung zu bewerten. Abhängig von der Produktklasse und dem vom Hersteller gewählten Konformitätsbewertungsverfahren wird auch eine Prüfung der klinischen Daten durch die Benannte Stelle notwendig. Die Erfüllung der angegebenen Leistungen ist nach Richtlinie 93/42/EWG eine Voraussetzung für die Einstufung eines Erzeugnisses als Medizinprodukt. Bestehen bei einem Produkt Zweifel an der Erfüllung der merkmal- und leistungsrelevanten Anforderungen für die angegebene Zweckbestimmungen, kann es erforderlich werden, dass die Benannte Stelle im Rahmen der Vertragsprüfung (Auftragserteilung) eine erste Prüfung der klinischen Daten unabhängig von dem vom Hersteller ausgewählten Konformitätsbewertungsverfahren vornimmt. Die Prüfung der klinischen Daten im Rahmen der Vertragsprüfung wird auf dieselbe Art und Weise durchgeführt, die auch bei der Prüfung im Rahmen eines Konformitätsbewertungsverfahrens angewandt wird; dies gilt insbesondere für: die Seriosität der Zweckbestimmung und Indikationen, die Qualität der klinischen Daten und deren wissenschaftliche Aussagekraft. Bleibt am Ende der Vertragsprüfung strittig/unklar, ob es sich bei dem Erzeugnis um ein Medizinprodukt handelt, so hat die Benannte Stelle nach 13 (2) Medizinproduktegesetz die Angelegenheit der zuständige Behörde zur Entscheidung vorzulegen. Die Entscheidung der zuständigen Behörde ist für die Benannte Stelle verbindlich. Ergebnisse der Prüfung von klinischen Daten, die im Rahmen der Vertragsprüfung gewonnen wurden, können und sollen im anschließenden Konformitätsbewertungsverfahren verwendet werden. Es können zwei Stufen der Bewertung von klinischen Daten vorgenommen werden: eine Bewertung auf Vollständigkeit, Plausibilität und Seriosität eine komplette fachliche Bewertung Risikomanagement nach DIN EN ISO

13 Strukturierte Entwicklung Bild 61: Risikomanagement in der Entwicklung Nach der Norm DIN EN ISO besteht der Risikomanagement-Prozess aus den folgenden vier Schritten: 1. Analyse, Bild 62: V-Modell (Analyse) Risikomanagement nach DIN EN ISO

14 Software-Validierung Das Risikomanagement ist der Schlüssel zur Steuerung des Aufwandes und zum sinnvollen Einsatz der immer knappen Ressourcen. In jeder Lebenszyklusphase werden vorhersehbare Risiken identifiziert und bewertet. In dieser Bewertung finden wir gleichzeitig Hinweise, auf welche Punkte besondere Aufmerksamkeit zu lenken sein wird, und welche nicht so wesentlich für die sichere Funktion des Systems sind. Die fortlaufend zu ergänzenden und zu verfeinernden Ergebnisse des Risikomanagements geben also in jeder Phase der Entwicklung an, wo die knappen Ressourcen besonders sinnvoll eingesetzt werden sollten. Gleichzeitig finden wir in den Ergebnissen des Risikomanagements, die besonders sorgfältig zu dokumentieren sind, die Legitimation, den Aufwand an anderen Stellen bewusst zu begrenzen. Dies trägt erheblich zur termin- und budgetgerechten Entwicklung des Systems bei. Software-Validierung Die Software-Validierung ist, wie wir aus den vorhergehenden Ausführungen bereits wissen, kein singuläres Ereignis, sondern ein über den gesamten Lebenszyklus verteilter Prozess mit vielen Schritten, die alle zu planen, durchzuführen und zu dokumentieren sind. Das Risikomanagement spielt eine entscheidende Rolle dabei, weil es uns hilft, Aktivitäten gewichtet und zielgerichtet auszuführen. Die Software-Validierung ist ein wichtiges Werkzeug, um die Produkt-Qualität nachzuweisen. Sie erhöht die Brauchbarkeit und die Zuverlässigkeit des Produktes. Sie verringert Fehler-Raten, Rückrufe und Korrekturmaßnahmen. Sie verringert die langfristigen Kosten (cost of ownership). Sie verringert die Zeit bis zur Marktreife des Produktes und die Entwicklungskosten. Formale Design-Reviews sind ein wichtiges Werkzeug der Validierung. Mindestens ein formaler Design-Review wird in den Quality-System-Regulation gefordert; aber es wird wärmstens empfohlen, dies mehrfach durchzuführen, z.b. am Ende jeder Lebenszyklusphase. Dabei sollten die folgenden Fragen beantwortet werden: Sind angemessene Aufgaben der Validierung und die erwarteten Ergebnisse für jede Aktivität dieser Lebenszyklusphase formuliert? Entsprechen die Aufgaben der Validierung und die erwarteten Ergebnisse jeder Aktivität dieser Lebenszyklusphase den Anforderungen anderer Aktivitäten im Hinblick auf Korrektheit, Vollständigkeit, Verträglichkeit und Genauigkeit? Erfüllen die Aufgaben der Validierung und die erwarteten Ergebnisse jeder Aktivität dieser Lebenszyklusphase die Normen, Praktiken und Gepflogenheiten dieser Aktivität? Risikomanagement nach DIN EN ISO

15 Auditierung von Software Bild 77: Pflichtenheft Auf dieser Grundlage kommt dem Pflichtenheft innerhalb des gesamten Entwicklungsprozesses große Bedeutung zu: es ist das zentrale Dokument der Entwicklung. Einerseits ist es Ausgangspunkt der Entwicklung; andererseits ist es während des gesamten Prozesses aktuelle Arbeitsunterlage. Deshalb muß jede im Laufe der Entwicklung vorgenommene Änderung der Aufgabenstellung im Pflichtenheft festgehalten und allen Beteiligten zugänglich gemacht werden. Risikomanagement nach DIN EN ISO

16 Dipl.-Ing. René Betz Diplom-Ingenieur für Biomedizinische Technik (FH) Medizinprodukte werden im oder am Menschen - in den meisten Fällen erkrankte Personen - angewendet oder betrieben. Bei diesen Produkten ist ein besonders hohes Schutzniveau unbedingt erforderlich. Zielsetzung der EG-Richtlinie über Medizinprodukte 93/42/EWG ist deshalb der hochgradige Schutz der Gesundheit und des Lebens von Menschen. Mögliche Risiken müssen, verglichen mit der nützlichen Wirkung, so weit wie möglich minimiert werden. Aus den in der Richtlinie definierten Grundlegenden Anforderungen ergibt sich für jeden Hersteller in Europa die Verpflichtung für Medizinprodukte Risikoanalysen nach der internationalen Norm DIN EN ISO durchzuführen und Maßnahmen zur Risikobeherrschung umzusetzen. Der Prozess bestehend aus Risikoanalyse und Risikobeherrschung wird als Risikomanagement bezeichnet. Dieser Praxis-Leitfaden gibt allen, die sich mit Risikomanagement nach der internationalen Norm DIN EN ISO beschäftigen, eine Unterstützung, ihren eigenen Weg der risikomanagementbasierten Medizinproduktentwicklung zu finden, zu gestalten und erfolgreich zu gehen zur Verbesserung von Produkt- und Prozessqualität im Unternehmen sowie zur Einsparung von Entwicklungskosten. Institute for Certification and Testing Wittichstraße 2 D Darmstadt / Germany Tel.: +49 (0) Fax: +49 (0) info@eurocat.de Internet: