Seite 1 von 27 Patientenüberwachung: Teil 2 Verteilte Alarmsysteme und Risikomanagement Zukünftiger Technical Report 80001-2-5 Ein Expertenbeitrag von Armin Gärtner Aktualisierung am 30.09.2012 auf Grund der Annahme des Entwurfes TR 80001-2-X Guidance on distributed alarm systems als TR 80001-2-5 zur abschließenden Bearbeitung Teil 1 beschäftigt sich mit den normativen Anforderungen an Alarmsysteme (Quelle 1). Der vorliegende Teil 2 definiert im Folgenden die Aufgaben und die Verantwortung des Betreibers beim Einsatz von verteilten Alarmsystemen und beschreibt die Anforderungen an das Risikomanagement als ein wesentliches Element der Sorgfaltspflicht des Betreibers, Gefahren und Gefährdungen für Patienten zu minimieren respektive zu vermeiden. Dabei wird der vorliegende Entwurf eines Technical Report zur Alarmierung mit der nun seit Mitte September 2012 feststehenden Nummerierung TR 80001-2-5 berücksichtigt, der nach abschließender Bearbeitung durch die Normengremien vrsl. Anfang 2013 erscheinen soll. Anonymisierte Beispiele aus der Sachverständigentätigkeit des Autors zeigen, dass Betreiber den formalrechtlichen und sicherheitstechnischen Anforderungen an den Betrieb von verteilten Alarmsystemen bezüglich Installation, Dokumentation und Risikomanagement nach DIN EN 80001-1 und/oder DIN EN ISO 14971 sehr viel mehr Aufmerksamkeit und damit Ressourcen als bisher zur Verfügung stellen müssen als dies bisher erfolgt ist. Dies gilt insbesondere für Alarmsysteme, die die IT-Infrastruktur eines Krankenhauses nutzen. Der zukünftige TR 80001-2-5 wird dafür Betreibern und auch Herstellern eine Hilfestellung geben.
Seite 2 von 27 1. Verteilte Alarmsysteme und verteilte technische Betreuung Verteilte Alarmsysteme stellen heute komplexe, zusammengesetzte Systeme aus unterschiedlichen Produkten unter Nutzung der IT-Infrastruktur eines Betreibers dar. Tabelle 1 beinhaltet die zu einem System kombinierbaren Produkte: Hardware Medizinprodukt z. B. ein Nichtmedizinprodukt z. B. (Gerätetechnik) Überwachungsmonitor Rufanlage Software Medizinprodukt = Nichtmedizinprodukt Protokoll eigenständige Software ESPA-X IT-Infrastruktur Mobile Kommunikationsgeräte IT-Netzwerk mit Komponenten wie Switches, Routern, Servern z. B. DECT-Telefone, Kabelgestützt (RJ45 Cat 7) Smartphones u. a. Funkinfrastruktur (WLAN u. a.) Tabelle 1: Komponenten für (verteilte) Alarmsysteme Diese Kombinierbarkeit von unterschiedlichen Komponenten (Medizinprodukt, Nichtmedizinprodukt; Software, Infrastruktur) zeigt zugleich aber auch die momentane Problematik des Betriebs von verteilten Alarmsystemen im Krankenhausalltag. Die aufgeführten Produkte werden normalerweise von unterschiedlichen Organisationsstrukturen (Einkauf, Medizintechnik, Betriebstechnik, IT) beschafft, installiert und betreut, z. T. unter Einbindung externer Dienstleister. Diese Aufteilung der Prozesse auf verschiedene Abteilungen im Krankenhaus bedingt, dass häufig nicht klar definiert wird, welche der technischen Abteilungen des Betreibers für ein verteiltes, zusammengesetztes Alarmsystem zuständig ist.
Seite 3 von 27 Bild 1: Beispielhafte verteilte Aufgaben und Zuständigkeit der Installation und Überwachung eines verteilten Alarmsystems Bild 1 zeigt diese Problematik am Bespiel eines verteilten Alarmsystems, das aus mehreren Komponenten zusammengesetzt ist. Dies bedeutet, dass es häufig weder eine (vollständige) Dokumentation über die Konzeptionierung/Planung sowie Installation noch eine Überwachung der gesamtheitlichen Funktionsfähigkeit und der Instandhaltung für verteilte, vor allem vom Betreiber zusammengesetzte Alarmsysteme gibt. Komponente Patienten-Überwachungsmonitor WLAN Netzwerk-Server mit Alarmierungssoftware Telefonanlage mit DECT-Telefonen Zuständigkeit Medizintechnik IT IT Betriebstechnik Tabelle 1: Komponenten eines beispielhaften verteilten Alarmsystems Beispielhafte und häufig anzutreffende, verteilte Zuständigkeit Bild 2: Abteilungsbezogene Aufgaben technischer Abteilungen im Krankenhausbereich
Seite 4 von 27 Das Bild 2 zeigt diese grundsätzliche Problematik der aufgaben- und zuständigkeitsbezogenen Abteilungsstruktur der technischen Abteilungen/Dezernate in vielen Krankenhäusern. Nur selten findet man derzeit eine klar definierte, festgelegte und gesamtheitliche Zuständigkeit und Aufgabe der Überwachung und Monitoring eines solchen verteilten Alarmsystems durch eine der technischen Abteilungen im Sinne des Event- und Ereignismanagements nach DIN EN 80001-1. Kapitel 4.6 der Norm beschreibt in Abschnitt 4.6.1 Anforderungen an die Überwachung medizinischer IT-Netzwerke und in Abschnitt 4.6.2 Anforderungen an das Ereignismanagement. Beide Abschnitte können herangezogen werden, um die permanente Beobachtung und Überwachung verteilter Alarmsysteme durch eine technische Abteilung des Betreibers festzulegen und somit im Sinne der Sorgfaltspflicht zu regeln. Es muss also eine technische Abteilung des Betreibers einen Alarm bei der Unterbrechung der Signalübertragung erhalten und unverzüglich Maßnahmen zur Behebung einleiten bzw. den Anwender über die Unterbrechung informieren. Die Zuständigkeit endet daher häufig an Übergabepunkten wie den Steckdosen der Spannungsversorgung, der Netzwerkdosen und der Gasversorgungsanschlüssen. Mit klaren Worten, es werden heute häufig verteilte Alarmsysteme in Krankenhäusern eingesetzt, für die es keine oder nur eine rudimentäre technische Dokumentation, (noch) kein Risikomanagement und keine klar definierte Überwachung und Kontrolle der Funktionsfähigkeit gibt. Diese Situation wurde durch bisher fehlende, eindeutig formulierte Regularien bzw. technische Anforderungen nicht erleichtert. Primär stellt die Medizinprodukte- Betreiberverordnung (abstrakt formulierte) Anforderungen an die Patientenüberwachung mit verteilten, zusammengesetzten Alarmsystemen. (siehe Teil 1) Aus dieser vielfach unklaren Situation resultieren letztendlich Gefährdungen, Gefährdungssituationen und somit Risiken für Patienten bei der Überwachung. Dies bedeutet, dass eine Unterbrechung der in Bild 1 gezeigten Alarm-Übertragungskette zu einem ernsthaften Schaden für einen Patienten (z. B. Tod) führen kann, wenn diese Signalübertragungskette nicht überwacht wird und Unterbrechungen nicht rechtzeitig festgestellt werden. Risikomanagement Es werden daher nachfolgend in Hinblick auf das Risikomanagement nach DIN EN 80001-1 die verwendeten Begriffe aus der Risikomanagementnorm DIN EN ISO 14971 am Beispiel der Bilder 3 und 4 erläutert. Begriff Definition der DIN EN ISO 14971 Gefährdung Potenzielle Schadensquelle
Seite 5 von 27 Gefährdungssituation Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind Schaden Physische Verletzung oder Schädigung der menschlichen Gesundheit oder Schädigung von Gütern oder der Umwelt: Tod des Patienten durch zu spätes Auffinden und Behandlung nach Eintreten einer Asystolie Risiko Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schwergrades dieses Schadens Tabelle 2: Begriffe der DIN EN ISO 14971 Das nachfolgende Bild 3 erläutert die Begriffe Gefährdung und Gefährdungssituation an einem Beispiel chemischer Gefährdung in Form eines Medikamentes. Bild 3: Beispiel für (chemische) Gefährdung und Gefährdungssituation eines Patienten (mit freundlicher Genehmigung Prof. Johner, Konstanz, Quelle 2) DIN EN ISO 14971 beschreibt in Tabelle EE.3 Beispiele des Zusammenhangs zwischen Gefährdungen, vorhersehbaren Abfolgen von Ereignissen, Gefährdungssituationen und dem möglicherweise auftretenden Schaden. So stellt z. B. elektrische Energie in Form der Leitungsspannung eine Gefährdung dar. Werden Anschlüsse eines EKG-Kabels unbeabsichtigt in eine Steckdose der Spannungsversorgung gesteckt, dann besteht die Gefährdungssituation dadurch, dass die Leitungsspannung auf den Elektroden anliegt, die auf der Brust eines
Seite 6 von 27 Patienten angebracht sind. Der Schaden kann sich in ernsthaften Verbrennungen, Herzflimmern und Tod äußern. Gefährdungssituation treten also durch mechanische, elektrische, biologische und chemische Größen auf. Bild 3 zeigt dies beispielhaft an einem Software-Fehler, der dazu führt, dass ein falsches Medikament verschrieben wird. Die Software selbst stellt keine Gefährdung dar. Sie entsteht dadurch, dass die Software falsche Daten anzeigt, auf Grund derer ein Arzt ein falsches Medikament verschreibt. Die Gefährdungssituation entsteht dann, wenn ein Patient ein falsches Medikament einnimmt und dadurch einen Schaden in Form eines allergischen Schocks erleidet. Die Übertragung der Definitionen Gefährdung und Gefährdungssituation auf ein verteiltes Alarmsystem ist nicht so einfach, weil die Norm 14971 keine informationstechnische Gefährdung kennt. Bild 4: Beispiel für Gefährdung und Gefährdungssituation eines verteilten Informationssystems (nach Prof. Johner, Konstanz) Die Definition von Gefährdung und Gefährdungssituation bei verteilten Alarmsystemen muss daher immer mit den Anwendern geführt werden. Bild 4 zeigt beispielhaft die mögliche Definition von Gefährdung und Gefährdungssituation am Beispiel eines verteilten Alarmsystems. 1 1 Ich danke Herrn Prof. Johner für die ausführliche Diskussion zur Definition von Gefährdungssituationen verteilter Alarmsysteme.
Seite 7 von 27 Der zukünftige Technical Report 80001-2-5 Guidance on distributed alarm systems ist somit Ausdruck der Bemühungen der Normengremien, dem Betreiber für die Überwachung seiner Patienten ein Regelwerk zu geben, um Gefährdungen und Gefährdungssituationen für Patienten beim Einsatz verteilter Alarmsysteme möglichst zu vermeiden. 2. Anforderungen an Betreiber hinsichtlich Patientenüberwachung/Alarmierung Der Betreiber (Krankenhaus) muss ein verteiltes Alarmsystem, das Vitalparameter eines Patienten überwacht und bei bedrohlichen Änderungen alarmiert, nach den Bestimmungen des Medizinproduktegesetzes (MPG) und der MPBetreibV installieren, einweisen, anwenden und in Stand halten (lassen). Die MPBetreibV verlangt nach 5 eine Einweisung speziell für die in Anhang I der Verordnung genannten Medizinprodukte; dennoch ergibt sich aus dem Kontext der Verordnung, insbesondere aus den 2 Abs. 1 und 2, dass ein Überwachungsgerät und eine Überwachungsanlage einzuweisen sind, da die richtige Bedienung, der Umgang und die Kenntnis der Alarmübertragung bei verteilten Alarmsystemen durch den Anwender existentielle Bedeutung für den Patienten haben können, der z. B. eine Asystolie (Herzstillstand) hat. Sowohl das MPG als auch die MPBetreibV sind ansonsten allgemein gehalten und enthalten keine konkreten Angaben zum Thema Alarmierung, zur Verwendung von WLAN als Infrastruktur o. a. 2.1 Regulatorische Anforderungen des MPG Die regulatorischen Anforderungen an den Betreiber von verteilten Alarmsystemen umfassen folgende Aspekte: Einsatz im Rahmen der Zweckbestimmung Ergänzungen und Kombinationen im Rahmen der Zweckbestimmung Änderung der Zweckbestimmung oder Modifikation bzw. Änderungen durch den Betreiber als Eigenherstellung nach 12 MPG Erstellung eines Systems durch den Betreiber als Eigenherstellung Technische Dokumentation eines verteilten Alarmsystems und Risikomanagement. Wenn der Betreiber ein Überwachungsgerät außerhalb der vom Hersteller festgelegten Zweckbestimmung betreibt und/oder ändert, so erstellt er ein Medizinprodukt bzw. ein Medizinproduktesystem in Eigenherstellung nach 12 MPG. Dies bedeutet, dass er eine komplette Dokumentation mit Konformitätsbewertungsverfahren erstellen muss, wie es auch ein Industrie- Hersteller für ein Medizinprodukt tun muss.
Seite 8 von 27 2.2 Medizinprodukte-Betreiberverordnung (MPBetreibV) Die MPBetreibV definiert für Anwender und Instandhalter eindeutige Vorgaben für die Funktionsprüfung eines Überwachungsgerätes bzw. einer Überwachungsanlage mit Alarmfunktion sowie für die Kombination mit anderen Geräten (Medizinprodukten und Nichtmedizinprodukten): Einsatz im Rahmen der Zweckbestimmung Installation, Anwendung, Instandhaltung Kombination mit anderen Medizinprodukten und anderen Gegenständen im Rahmen der Zweckbestimmung Funktionsprüfung vor Anwendung U. a. Für verteilte Alarmsysteme gelten die Anforderungen der MPBetreibV, speziell die nachfolgend genannten Paragrafen: 2 Abs. 1MPbetreibV fordert, dass Medizinprodukte nur ihrer Zweckbestimmung entsprechend und nach den Vorschriften dieser Verordnung, den allgemein anerkannten Regeln der Technik sowie den Arbeitsschutz- und Unfallverhütungsvorschriften errichtet, betrieben, angewendet und in Stand gehalten werden dürfen. 2 Abs. 3 MPBetreibV fordert, dass die Anbindung von Medizinprodukten an weitere Medizinprodukte und sonstige Gegenstände nur erfolgen darf, wenn dies im Rahmen der Zweckbestimmung erfolgt und die Kombination für Patient, Anwender und Dritte sicher ist. Um diese Anforderungen der Betreiberverordnung bei der Kombinationen von Geräten z. B. gemäß der Tabelle 1 zu erfüllen und nachzuweisen, muss der Betreiber ein Risikomanagement durchführen. Die Durchführung und Dokumentation eines solchen Risikomanagements entspricht also der geforderten Sorgfaltspflicht des Betreibers beim Einsatz verteilter Alarmsysteme. Hinweis: Bisher gab es keine Regel der Technik, die konkrete Anforderungen an die Sicherheit verteilter Alarmsysteme definierte. Mit Erscheinen des Technical Report IEC 80001-2-5 vrsl. Anfang 2013 liegen erstmalig solche konkreten Anforderungen vor, die ein Betreiber als Stand der Technik erfüllen sollte. Es ist davon auszugehen, dass der TR auf Grund der konkreten Anforderungen sehr bald als Regel der Technik für verteilte Alarmsysteme anerkannt wird, indem er beispielsweise als Grundlage für die juristische Bewertung der Ursachen von Schadensfällen u. a. verwendet wird. Risikomanagement nach DIN EN ISO 14971
Seite 9 von 27 Die DIN EN ISO Norm 14971 wird mittlerweile als allgemeines Verfahrenstool auch für Betreiber angesehen, mit dessen Hilfe Gefährdungen, Gefährdungssituationen und Risiken erkannt werden können. Die Norm dient somit als prophylaktisches Werkzeug, um zu ermitteln, welche Gefährdungen/Risiken für Patienten bei einem verteilten Alarmsystem bestehen können und wie diese möglichst zu reduzieren und zu beherrschen sind. Aus diesem Grunde referenziert die DIN EN 80001-1 auch auf die Norm 14971. Bild 5: Einbindung aller Berufsgruppen in ein Risikomanagement Der Betreiber eines verteilten Alarmsystems ist gut beraten, ein solches Risikomanagement grundsätzlich unter Einbindung aller Berufsgruppen durchzuführen, die ein (verteiltes) Alarmsystem anwenden, überwachen und in Stand halten, da diese über unterschiedliche Ausbildungen, Erfahrungen und Sichtweisen verfügen: Anwender (Ärzte, Pflegepersonal) Medizintechnik, Betriebstechnik IT-Abteilung Sind alle Berufsgruppen in das Risikomanagement eingebunden und beteiligen sich daran, kann man davon ausgehen, dass weitgehend alle möglichen Ursachen und Gefährdungen sowie Gefährdungssituationen erkannt und berücksichtigt werden,
Seite 10 von 27 insbesondere dann, wenn ein solches Risikomanagement als regelmäßiger Prozess über den Lebenszyklus eines verteilten Alarmsystems betrieben wird. Dies bedeutet, dass sich alle Beteiligten in angemessenen, regelmäßigen Zeitabständen treffen und sich austauschen, welche Erfahrungen mit dem Alarmsystem vorliegen, ob neue, bisher nicht bekannte Gefährdungen und Gefährdungssituationen aufgetreten sind, die bei der ersten Risikoanalyse noch nicht bekannt oder erkennbar waren und die sich im Laufe des Lebenszyklus des Alarmsystems entwickeln oder herausstellen können. Der Begriff Risikomanagement bedeutet, dass das Management (oberste Leitung) eines Unternehmens wie einem Krankenhaus die Verantwortung trägt, einen solchen Prozess über den Lebenszyklus eines Alarmsystems zu betreiben und somit auch immer wieder regelmäßig durch die Beteiligten bzw. Anwender überprüfen zu lassen. Diese Aufgabe kann zukünftig der sogenannte Risikomanager für das Med. IT- Netzwerk gemäß der DIN EN 80001-1 übernehmen. 2.3 Gerätekombinationen (Abgrenzung Hersteller- Betreiberverantwortung) Der zukünftige TR 80001-2-5 über verteilte Alarmsystemen unterscheidet zwischen Informations- und (vertrauenswürdigen) Alarmsystemen. Nachfolgend werden daher beispielhafte, unterschiedliche Konstellationen bei der Erstellung von Informationsund Alarmsystemen vorgestellt und die formalrechtlichen Aspekte beschrieben, die der Betreiber einhalten muss. Anbindung Überwachungsmonitor (MP) an Rufanlage (Nicht-MP) als Informationssystem Die Herstellerverantwortung umfaßt den bettseitigen Monitor, der die Primärüberwachung gemäß der Zweckbestimmung übernimmt. Der Hersteller läßt zwar über einen Hilfsausgang die Weiterleitung eines alarmauslösenden Signals bestimmungsgemäß zu, das dann in der Verantwortung des Betreibers zu einem Informationssystem wie einer Rufanlage (RA) geführt werden kann. Die Zweckbestimmung des Herstellers des Überwachungsmonitors bindet die Betreiber daran, die Überwachung nur mit dem bettseitigen Monitor durchzuführen. Die Weiterleitung eines alarmauslösenden Signales darf nur zusätzlich erfolgen, im Sinne der Ergänzung und/oder Unterstützung. Diese Form der zusätzlichen Übertragung wird daher in Herstellerunterlagen bisher häufig als Sekundäralarm bezeichnet. Gemäß der sich momentan abzeichnenden neuen Terminologie im TR 80001-2-5 wird eine solche Weiterleitung nun als Informationssystem bezeichnet. In dem gezeigten Beispiel gemäß Bild 6 wird ein Medizinprodukt mit einem Nichtmedizinprodukt (Lichtrufanlage = RA) kombiniert, deren Anforderungen in der
Seite 11 von 27 VDE 0834 beschrieben sind und die in der Norm ausdrücklich als Nichtmedizinprodukt definiert wird. Bild 6: Informationssystem - Risikoanalyse nach 2 Abs. 3 MPBetreibV Kombiniert der Betreiber nun den Überwachungsmonitor mit einer Rufanlage im Rahmen der Zweckbestimmung des Medizinproduktes zu einem Informationssystem (bisher: Sekundärüberwachung), muss er gemäß 2 Abs. 3 der MPBetreibV eine Risikoanalyse erstellen und dokumentieren. Wichtig: Die Risikoanalyse für eine vorzuhaltende Dokumentation ist kein einmaliger Prozess sondern muss nach den beiden Normen DIN EN 80001-1 und DIN EN ISO 14971 über den gesamten Lebenszyklus des Systems geführt, bearbeitet und aktualisiert werden. Jede Änderung ist also zu dokumentieren, auf mögliche Risiken zu analysieren und in der Dokumentation fortzuschreiben. Informationssystem Risikoanalyse nach 2 Abs. 3 MPBetreibV Anbindung Überwachungsmonitor (MP) an Rufanlage (Nicht-MP) als Alarmsystem Die Anbindung von Überwachungs- und Therapiegeräten an Rufanlagen findet sich vielfach in Krankenhäusern. Auf Grund der kostenbedingten Arbeitsverdichtung (Reduzierung von Mitarbeitern aus Kostengründen) kann sich eine schleichende Änderung der Zweckbestimmung ergeben, durch die das vorher beschriebene
Seite 12 von 27 Informationssystem in ein (verteiltes) Alarmsystem übergeht, weil die Anwender einen optischen/akustischen Alarm von einem bettseitigen Überwachungsmonitor nicht mehr am Patientenbett kontrollieren können sondern sich auf die Anzeige eines Alarms durch die Rufanlage verlassen. Dies bedeutet, dass das Krankenhaus auf Grund der geänderten Nutzung bzw. Zweckbestimmung ein solches Informationssystem faktisch als Alarmsystem betreibt. Dies bedeutet, dass formalrechtlich eine Eigenherstellung nach 12 MPG vorliegt. Bild 7: Verteiltes Alarmsystem - Eigenherstellung Wenn der Betreiber nun das in Bild 7 gezeigte System ändert, indem er die eigentliche Überwachung und Alarmierung durch die Rufanlage betreibt, so ändert er die ursprüngliche, vom Hersteller festgelegte Zweckbestimmung und erstellt ein neues verteiltes Alarmsystem in Eigenverantwortung. Die Kombination aus Medizinprodukt und Nichtmedizinprodukt stellt ein Medizinproduktesystem in der Verantwortung des Betreibers dar. In den allermeisten Fällen liegt in den Krankenhäusern darüber keine Dokumentation der Eigenherstellung vor. Verteiltes Alarmsystem Eigenherstellung 12 MPG Anbindung Überwachungsmonitor (MP) an Rufanlage (MP) als Alarmsystem In vielen Krankenhäusern werden Rufanlagen faktisch als Alarmsystem genutzt und eingesetzt, um die Anwender auf einen kritischen Zustand eines Patienten (Vitalparameteralarm) hinzuweisen und zu sofortigem Handeln zu veranlassen.
Seite 13 von 27 Dadurch werden auch Rufanlagen und andere Informationssysteme faktisch zu Medizinprodukten, wenn sie gemäß MPG 2 Abs. 2 Anwendungsbereich des Gesetzes wie ein Medizinprodukt eingesetzt werden. Der Einsatz und die Zweckbestimmung von Rufanlagen haben sich in den Krankenhäusern während der letzten 20 Jahre deutlich geändert. Würden Rufanlagen als Medizinprodukt in Verkehr gebracht, könnte der Betreiber Medizinprodukt mit Medizinprodukt kombinieren, sodass er keine Eigenherstellung nach 12 MPG durchführt und dokumentieren muss. Anbindung Überwachungsmonitor über IT-Netzwerk Bei der Kombination von Medizinprodukten über das IT-Netzwerk des Krankenhauses als Infrastruktur für die Alarmübertragung greift das Risikomanagement nach DIN EN 80001-1. Verteiltes Alarmsystem MP + IT-Netzwerk Risikomanagement DIN EN 80001-1 2.4 Verteilte Alarmsysteme Anforderungen Der Normentwurf E DIN IEC 60601-2-49:2008 (Literaturangabe 4) fordert in Abschnitt 208.6.4.2.101, dass die Übermittlung von Alarmsignalen innerhalb eines verteilten Alarmsystems erstfehlersicher sein muss. Dies bedeutet, dass Ausfälle von Netzwerkverbindungen die vom Hersteller festgelegten Funktionen eines medizinischen elektrischen Gerätes (ME-Gerät) nicht stören dürfen und eine Unterbrechung in der Kommunikation von Alarmsignalen durch einen technischen Alarm angezeigt werden muss. Mit anderen Worten, ein Betreiber darf ein System zur Übertragung und Anzeige lebensbedrohlicher Alarme von Vitalparametern nur installieren und betreiben, wenn es überwachbar ist, ein Ausfall unverzüglich angezeigt wird und ein solcher Ausfall zu Reaktionen und Maßnahmen des Betreibers führt, die Überwachung und damit die Sicherheit des Patienten zu gewährleisten. Eine solche Maßnahme kann und muss z. B. den schnellstmöglichen Einsatz von weiteren Mitarbeitern vor Ort umfassen. In der Praxis werden vielfach durchaus verteilte Alarmsysteme eingesetzt, die nicht den Forderungen nach Erstfehlersicherheit entsprechen, nur eine unidirektionale Datenübertragung - wie in Bild 1 gezeigt - leisten und nicht permanent auf Funktionsfähigkeit überwacht werden.
Seite 14 von 27 Bild 8: Vertrauenswürdiges verteiltes Alarmsystem (mit freundlicher Genehmigung Dr. Neuder, VDE/DKE Frankfurt) Vertrauenswürdiges verteiltes Alarmsystem trustworthy distributed alarm system (TDAS) Diese Problematik will der Technical Report 80001-2-5 durch die Beschreibung der grundsätzlichen Anforderungen eines vertrauenswürdigen verteilten Alarmsystems lösen. Bild 8 zeigt beispielhaft ein solches System (siehe dazu auch Teil 1) 3. Probleme mit der Überwachung Alarmübertragung Das VDE-Positionspapier (Quelle 6) berichtet neben der Problematik der ständigen (akustischen) Alarmierung auf Intensivstationen gemäß den Daten des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) in den Jahren 2007 2009 auch von ausbleibenden Alarmierungen in alarmrelevanten Situationen. Die überwiegende Mehrzahl der gemeldeten Fälle war lt. dem Positionspapier auf Fehlbedienungen zurückzuführen. Ähnliche Beispiele zitiert das Papier auch aus der MAUDE-Datenbank der amerikanischen FDA (Food and Drug Administration), nach der insbesondere folgende, mögliche Ursachen für Fehlbedienung in Frage kommen können: Konfiguration des Alarmsystems durch den Anwender mit dem Ziel einer Reduktion der Fehl(-Alarmhäufigkeit)
Seite 15 von 27 Unklarheit über das Geräteverhalten bzw. unzureichendes Training der Anwender Unklarheit über Gerätekonfiguration bzw. keine systematische, der individuellen Abteilungssituation angepasste und dokumentierte Konfiguration der Alarmeinstellungen Die hohe Komplexität der Systeme Unterschiedliches Geräteverhalten selbst innerhalb der Produktlinie eines Herstellers. Es ist mittlerweile allgemein anerkannt, dass es durch eine hohe Anzahl von falschen bzw. fehlerhaften Alarmen zu einer Überforderung von Ärzten und Pflegepersonal kommt und dies nachvollziehbarerweise auch zu einer Desensibilisierung im Umgang mit Alarmsituation führt. 3.1 Anonymisierte Beispiele für Patientenschäden durch fehlerhafte Überwachung und/oder Alarmierung Nachfolgend werden einige wesentliche anonymisierte Fallbeispiele von Zwischenfällen und Patientenschäden (Tod) auf Grund organisatorischer und/oder technischer Mängel aus der Sachverständigentätigkeit des Autors vorgestellt: Fall 1 Ein Schrittmacherpatient wurde auf einer Intensivstation morgens tot aufgefunden. Bei der Analyse der Umstände stellte sich heraus, dass die Überwachungsanlage vom Anwender nicht daraufhin eingestellt bzw. konfiguriert war, einen Schrittmacherpatienten zu überwachen. Grundsätzlich muss bei einem Schrittmacherpatienten die Pacer-Erkennungsfunktion der Überwachungsanlage eingeschaltet werden, um die kurzen Spikes eines Schrittmachers vor dem QRS-Komplex im Elektrokardiogramm (EKG) zu erkennen. Ist dies nicht der Fall und sinkt die Eigenfrequenz des Patienten, kann die Überwachungselektronik beim Ausbleiben des QRS-Komplexes des Patienten durchaus die Schrittmacher-Spikes als QRS-Komplex erkennen und auswerten. In dem Fall war der Schrittmacher des Patienten auf eine Grundfrequenz von 60 Stimulationen pro Minute eingestellt für den Fall, dass der Eigenrhythmus des Patienten unter diesen Wert fallen würde. Als dies passierte und der Rhythmus des Patienten bradykard wurde, übernahm der Schrittmacher mit der eingestellten Frequenz seine bestimmungsgemäße Aufgabe, das Herz zu stimulieren.
Seite 16 von 27 Bild 9: Überwachung Schrittmacherpatient Im Fehlerlog der Überwachungsanlage war zu erkennen, dass der Patientenrhythmus aber weiter unter die eingestellte untere Überwachungsgrenze von 50 Schlägen pro Minute sank. Es kam zu keinem Grenzfrequenzalarm, da die Überwachungsanlage den Schrittmacherrhythmus wahrnahm und die Spikes als QRS-Komplexe auswertete. Da diese mit 60 Stimulationen pro Minute oberhalb der unteren Grenzfrequenz von 50/min blieben, löste die Überwachungselektronik bestimmungsgemäß keinen EKG- Alarm aus. Da in diesem Falle auch kein zweiter Überwachungsparameter wie die Pulsoximetrie aktiviert und über einen Fingerclipsensor gemäß Bild 7 beispielhaft appliziert war, wurde der Patient trotz Schrittmacheraktivität asystolisch und starb. Ursache: Fehlendes Wissen und fehlendes Training der Anwender im Umgang mit komplexer Überwachungstechnik bei Schrittmacherpatienten Fall 2: Bei einer 10 Jahre alten Überwachungsanlage einer Intensivstation wurde mit unbekanntem Datum die zentrale Überwachung am Schwesternarbeitsplatz für optische und akustische Alarmierung als verteiltes Alarmsystem gemäß Bild 10 abgebaut und durch den Anschluss sämtlicher bettseitiger Monitore an eine
Seite 17 von 27 Rufanlage auf dem Flur der Station ersetzt. Ebenfalls wurde der Alarmschreiber der Zentrale entfernt. Bild 10: Änderung des ursprünglichen verteilten Alarmsystems in Form einer Eigenherstellung 12 MPG Damit erstellte der Betreiber ein neues verteiltes Alarmsystem in Eigenherstellung, da er die Überwachungsanlage des Herstellers entgegen der ursprünglichen Zweckbestimmung und Konfiguration betrieb. Jeder bettseitige Monitor wurde über eine Relaisbox und Steckverbindung mit der Rufanlage auf dem Flur verbunden. Eine Dokumentation über diese Änderung und auch eine Einweisung in dieses geänderte Alarmsystem gemäß MPBetreibV lag nicht vor, auch existierte kein Anlagenbuch für die Rufanlage nach Kapitel 9 der VDE 0834. Alle Signale, die im Alarmkonfigurationssystem als existentiell eingetragen waren, wurden auf die Lichtrufanlage im Flur übertragen, die allerdings die übertragenen Signale nicht nach lebensbedrohlichen oder technischen Alarmen differenzieren konnte. Da durch die undifferenzierte Weiterleitung aller Signale eine Überflutung der Anwender durch optische und akustische Alarme der Rufanlage erfolgte, waren die von den bettseitigen Überwachungsmonitoren auf die Rufanlage zu übertragenden Signale/Alarme auf ein Minimum beschränkt, während alle sonstigen Alarme auf die bettseitige Anzeige/Akustik eingestellt wurden.
Seite 18 von 27 Bettseitige Alarme waren daher auf Grund der Größe der Intensivstation außerhalb eines Zimmers nicht mehr zu hören. Die Alarmkonfiguration bei den Überwachungsmonitoren war bei allen Geräten seit Monaten nicht mehr individuell an den jeweiligen Patienten angepasst worden. Auf Grund dieser Situation starb ein Patient, da das Unterschreiten des unteren Grenzwertes der EKG-Überwachung am Überwachungsmonitor nur im Zimmer optisch und akustisch alarmiert wurde. Erst der Asystolie-Zustand wurde gemäß der seit etlichen Monaten nicht mehr geänderten Alarmkonfiguration auf die Rufanlage übertragen. Durch Personalreduktion ergab sich die Situation, dass die Anwender zu spät auf diesen Alarm reagierten und der Patient tot im Bett vorgefunden wurde. Ursache: Die Überwachung von Patienten war durch diese wesentliche Änderung der Anlage massiv beeinträchtigt, da die Anwender von den undifferenzierten Alarmen einer Rufanlage völlig überfordert wurden. Durch Personalreduzierung waren die Mitarbeiter nicht mehr in jeder Situation in der Lage, sofort auf Alarme der Rufanlage zu reagieren, zumal sie diese auch noch in der Alarmkonfiguration der bettseitigen Geräte auf das absolute Minimum reduziert hatten. Es fehlten weiterhin jegliche technische Dokumentation (Gerätebuch) bzw. Einweisungsunterlagen der Anwender über ein regelmäßiges Training und Umgang mit der geänderten Anlage. Es lagen auch keine Dokumentation sowie kein Risikomanagement über die Änderung der Überwachungsanlage vor, wer wann und warum diese wesentlichen Änderungen vorgenommen hatte. Fall 3 Ein mobiler Patient sollte während seines Aufenthaltes mit WLAN-Telemetrie innerhalb einer Station überwacht werden und dabei auch verschiedene Leistungsstellen (Labor, EKG, Röntgen) im Krankenhaus aufsuchen. Für den Zeitraum der Untersuchungen wurde die WLAN-Überwachung dieses Patienten auf der Station an der Überwachungsanlage deaktiviert, da sie ansonsten beim Verlassen des Patienten aus dem Ausleuchtungsbereich der Station alarmiert hätte. Bei Schichtübergabe war der Patient noch nicht wieder zurück auf der Station; die notwendige Information an die nachfolgende Schicht bezüglich der Reaktivierung der WLAN-Überwachung erfolgte nicht, sodass der Patient nach Rückkehr nicht aktiv telemetrisch überwacht wurde. Der Patient erlitt einen Herzinfarkt und verstarb, da er nicht rechtzeitig gefunden und therapiert wurde. Ursache: Personalreduktion und daraus resultierende Überforderung der Mitarbeiter führte dazu, dass Aufgaben übersehen wurden, die sich nicht in der unmittelbaren Wahrnehmung der Mitarbeiter befanden. Fall 4
Seite 19 von 27 Ein Patient auf einer kardiologischen IMC-Station wurde über eine Überwachungsanlage (verteiltes Alarmsystem) mit Alarmübertragung auf DECT- Telefone der Mitarbeiter überwacht. Die Station befand sich in einem Altbau mit verwinkelter Gebäudesubstanz, sodass eine sorgfältige, aufwendige und somit kostenintensive Ausleuchtungsmessung hätte durchgeführt werden müssen, um alle Zimmer und auch alle sonstigen Bereiche der Station funktechnisch einwandfrei abdecken zu können. Aus Kostengründen wurden bei der Planung der WLAN-Installation nicht alle Zimmer und alle Bereiche der Station vollständig ausgemessen und mit WLAN-Access-Points ausgestattet. Die Anbindung der Überwachungsmonitore erfolgte über eine Schnittstelle der Überwachungsanlage an einen Kommunikationsserver, der über fünf Jahre ohne technische Betreuung und ohne Update der Software lief. Bestimmungsgemäß sollten die Anwender mittels DECT-Telefonen über Vitalparameteralarme der überwachten Patienten informiert werden, um dadurch Personalstellen zu reduzieren. Als die Anlage an die Mitarbeiter vor fünf Jahren übergeben wurde, war den Anwendern bekannt, dass nicht in allen Bereichen der Station eine Patientenüberwachung über das erstellte, verteilte Alarmsystem möglich war. Es gab Bereiche und auch Zimmer, in denen die DECT-Telefone der Anwender funktechnisch nicht erreicht wurden. Dieses Wissen geriet im Laufe der Jahre durch häufige Personalfluktuation und fehlende Schulung in Vergessenheit. Zugleich verließ sich die geänderte Stations- Besetzung aus Ärzten und Pflegepersonal auf die Anlage und Alarmübertragung. Erschwerend kam hinzu, dass in der Kommunikation bzw. Schnittstelle zwischen Überwachungsanlage und Kommunikationsserver zur Übertragung von Alarmen immer wieder Fehler auftraten, durch die nachweislich Alarme nicht auf die Telefone der Anwender übertragen wurden. Die Betreuung des beschriebenen verteilten Alarmsystems war auf drei technische Gewerke aufgeteilt (Medizintechnik, IT-Abteilung und Technische Abteilung), die untereinander nicht kommunizierten und sich nicht bezüglich der Betreuung dieser Anlage und ihrer Komponenten verständigten. So war z. B. der Medizintechnik auch nicht bekannt, in welchem Raum der Kommunikationsserver untergebracht war. Auf der Station starb ein Patient an einem Herzinfarkt trotz Alarmierung des bettseitigen Monitors, da der Alarm auf Grund der bekannten, aber nie behobenen technischen und organisatorischen Schnittstellenprobleme nicht übertragen wurde, weil in der Zeit des Vorkommnisses das anwesende Personal in einem Bereich tätig war, in dem keine Übertragung auf die DECT-Telefone der Mitarbeiter mangels Funkausleuchtung erfolgte. Ursache: Reduzierung des Budgets bei der Planung/Installation und Umsetzung der WLAN-Ausleuchtung der Station führten zu einer suboptimalen Ausleuchtung. Zugleich war die organisatorische Zuständigkeit und Überwachungsmöglichkeit für die Anlage durch die Geschäftsführung nicht
Seite 20 von 27 geregelt, sodass trotz vorhandener Fehler (nachweisliche Aussetzer bzw. Unterbrechungen) bei der Alarmübertragung keiner der drei technischen Bereiche tätig wurde, indem immer auf die Zuständigkeit und Verantwortung der anderen Abteilungen verwiesen wurde. Fall 5 In einer geburtshilflichen Klinik kam ein Kind mit einer cerebralen Schädigung auf die Welt. Die Eltern des Kindes klagten gegen das Krankenhaus, da nach Angaben der Vaters der bettseitige Cardiotokograf (CTG) alarmiert hatte, aber keine Hebamme bzw. kein Arzt rechtzeitig erschienen. Die CTG der Abteilung waren an einen Server angebunden, mit dem das sogenannte Partogramm (Geburtsbericht) aufgezeichnet wurde. Dieser Server leitete auch die Alarme der angeschlossenen CTG an die Zentrale im Aufenthaltsraum der Hebammen bzw. Ärzte weiter. Die Patientenschädigung entstand letztendlich durch mehrere unglückliche Umstände. Auf Grund von Urlaub und krankheitsbedingten Ausfall waren nur zwei gegenüber regulär fünf Hebammen bei mehreren Geburten anwesend, sodass die sonst übliche 1:1 Überwachung nicht stattfand. Die Mitarbeiter waren in das verteilte Alarmsystem nicht eingewiesen. Zum anderen wurde die Übertragung der Signale und Alarme von den CTG auf den zentralen Server durch einen neuen Mitarbeiter der IT unterbrochen, um den Server zu patchen. Dieser Mitarbeiter war über die kritische Funktion und Bedeutung des Servers nicht informiert. Da er diese kritische Anwendung nicht kannte, hatte er sich nicht mit den Anwendern (Ärzte, Hebammen) über die notwendige Unterbrechung abgestimmt bzw. die Anwender informiert. Auch in diesem Fall endete die Kommunikation zwischen Medizintechnik und IT an der Netzwerksteckdose.
Seite 21 von 27 Bild 11: Unterbrechung des verteilten Alarmsystems in der Geburtshilfe Ursache: Zu wenig Personal und fehlende Kenntnisse der Anwender bzw. fehlende Zusammenarbeit der technischen Abteilungen, insbesondere der IT und der Medizintechnik führten zu dem Patientenschaden. Weitere Fallbeispiele sollen nur stichpunktartig aufgeführt werden: Zu weit eingestellte Alarmgrenzen an Überwachungsgeräten Alarme werden an der Zentrale stumm geschaltet, wodurch sie nicht gehört/erkannt werden, obwohl der bettseitige Monitor alarmiert. Inhomogener Gerätepark (Monitoring uneinheitlich, Beatmungsgerätevielfalt, Vielfalt an Infusionsapparaten usw.) vereinzelt finden sich auch unterschiedliche Monitorsysteme auf einer Überwachungsstation (zwei oder mehr Hersteller, unterschiedliche Gerätetypen eines oder mehrerer Herstellers) U. a. Die vorgestellten Fallbeispiele zeigen, wie wichtig ein Risikomanagement des Betreibers ist, mögliche Gefährdungen eines verteilten Alarmsystems vor Planung und Installation zu betrachten und dabei im Rahmen des Betriebsorganisationsrechts eine eindeutige innerbetriebliche Verteilung der Aufgaben und Pflichten der
Seite 22 von 27 beteiligten Abteilungen vorzunehmen und auch zu überwachen. Weiterhin gehört dazu ein regelmäßiges Training der Anwender in der Funktionsprüfung und im Verständnis für die Besonderheiten eines verteilten Alarmsystems. 3. Beherrschung möglicher Risiken Das Medizinproduktegesetz als deutsche Umsetzung der europäischen Medizinprodukterichtlinien beinhaltet die Zielsetzung, den Verkehr und die Anwendung mit Medizinprodukten zu regeln und dadurch für die Sicherheit, Eignung und Leistung der Medizinprodukte sowie die Gesundheit und den erforderlichen Schutz der Patienten, Anwender und Dritter zu sorgen. Zur Umsetzung dieser Zielsetzung hat der deutsche Gesetzgeber mehrere Verordnungen auf Basis des MPG`s erlassen, darunter die Medizinprodukte-Betreiberverordnung, die das Inverkehrbringen, Installieren, Betreiben, Anwenden und Instandhalten von Medizinprodukten und Systemen definiert. Der Betreiber, der ein verteiltes Alarmsystem beschafft, installiert und/oder selber zusammensetzt, muss die gesetzlichen Anforderungen sowie die Medizinprodukte- Betreiberverordnung mit den darin geforderten anerkannten Regeln der Technik einhalten. Immer dann, wenn der Betreiber Alarmsignale eines Medizinproduktes weiterleiten will (Anbindung an Rufanlagen, Übertragung über IT-Netzwerke, Einsatz von Mobilgeräten u. a.), sollte er sich mit folgenden beispielhaften Fragestellungen auseinandersetzen, um daraus abzuleiten, welche technischen und organisatorischen Maßnahmen zu treffen sind und welche Dokumentation er über das zu installierende System zu erstellen hat (Ohne Anspruch auf Vollständigkeit). Was soll das alarmübertragende System leisten bzw. wozu wird es eingesetzt? Erstellen eines Anforderungsprofil mit allen Berufsgruppen Wie lautet die Zweckbestimmung des zu erstellenden alarmübertragenden Systems? Erfolgt die Anbindung eines Überwachungsgerätes als Medizinprodukt an ein alarmübertragendes und anzeigendes System im Rahmen der Zweckbestimmung des Herstellers des Überwachungsgerätes? Wie werden die Komponenten eines verteilten Alarmsystems zusammengesetzt (Schnittstellen, galvanische Trennung, Protokollwandler usw.)? Ist das zu beschaffende System erstfehlersicher in der Definition eines vertrauenswürdigenden Alarmsystems in der Definition eines vertrauenswürdigen Alarmierungssystems (TDAS) gemäß TR 80001-2-5 (TDAS)? Welche technische Abteilung/Bereich/Dezernat betreut das zu erstellende Alarmsystem technisch im Sinne der Verantwortlichkeit und des Monitoring der Funktion bzw. möglicher Ausfälle?
Seite 23 von 27 Wie ist sichergestellt, dass ein Ausfall bzw. eine Unterbrechung eines verteilten Alarmsystem überwacht und sofort festgestellt werden? Wer muss das durchführen und welche Reaktionen müssen dann erfolgen, um die Sicherheit der überwachten Patienten sicherzustellen und die Funktionsfähigkeit des verteilten Alarmsystems wieder herzustellen? Wie sind die Anwender eingebunden? Wie werden die Anwender über eine Unterbrechung bzw. die Wiederherstellung der Alarmübertragung informiert? Wie stellen die Anwender eine Unterbrechung der Alarmübertragung fest? Wie haben die Anwender dann zu reagieren? Was müssen sie tun und an wen (technische Abteilung?) können sie sich wenden? Gibt es eine Dienstanweisung über die Nutzung bzw. auch die Funktionsprüfung eines Alarmsystems vor Anwendung/Anschluss eines Patienten? Wer führt verantwortlich das Risikomanagement im Sinne der Projektleitung und führt/vervollständigt die Dokumentation? Welcher Mitarbeiter ist in der Lage, ein Risikomanagement mit Risikoanalyse nach DIN EN ISO 14971 durchzuführen? Usw. Ein Risikomanagement mit einer Risikoanalyse sollte gemäß Bild 12 eindeutige Begriffe wie Ursache, Gefährdung, Gefährdungssituation und möglichen Schaden verwenden. Dazu ist erforderlich, dass der Betreiber genau analysiert, ob er: eine Anbindung von Medizinprodukt an ein Nichtmedizinprodukt nach 2 Abs. 3 der MPBetreibV vornimmt, eine Eigenherstellung nach 12 MPG durchführt oder ein verteiltes Alarmsystem mit Integration in das IT-Netzwerk erstellt und ob dieses Alarmsystem den Anforderungen des zukünftigen TR 80001-2-5 entspricht.
Seite 24 von 27 Bild 12: Risikomanagement verteilter Informations- bzw. Alarmsysteme Es obliegt der Sorgfaltspflicht des Betreibers, dafür Sorge zu tragen, dass durch den Einsatz von komplexer Technik kein Patient zu Schaden kommt. Dies bedeutet, dass der Betreiber organisatorische, personelle und technische Maßnahmen treffen muss, damit die Anwender die Komplexität eines verteilten Alarmsystems kennen und beherrschen. Ein verteiltes Alarmsystem muss die Anwender entlasten bzw. unterstützen und nicht zusätzlich belasten. Die Tendenz, Alarmsysteme zu installieren und zu betreiben, um aus Kostengründen die Mitarbeiterzahl zu reduzieren, ist schlichtweg ungeeignet. Anwender geraten durch zwei Aspekte unter Arbeitsdruck: Zunehmende Betreuungsintensität intensiv- und überwachungspflichtiger Patienten auf Grund des Einsatzes von immer mehr Medizintechnik Personalreduktion durch Einsatz von komplexer Technologie. Alarmsysteme sollten eingesetzt werden, um den Workflow der Anwender zu unterstützen und nicht um Personal abzubauen. Ein solcher Prozess ist kontraproduktiv, weil er den Arbeitsdruck auf die verbleibenden Mitarbeiter noch mehr erhöht.
Seite 25 von 27 Ein Alarmsystem muss so konzipiert werden, dass es den Mitarbeitern sowohl Informationen über den Patientenstatus (ohne sofortiges persönliches Eingreifen) als auch lebensbedrohliche Alarme (mit sofortigem persönlichen Eingreifen) sicher übertragen und anzeigen kann. Der momentane Stand des TR 80001-2-5 definiert erstmalig konkrete Anforderungen an die Sicherheit von Alarmsystemen und kann daher zukünftig als Regel der Technik Maßstäbe für Betreiber setzen. Waren bisher die regulatorischen und technischen Anforderungen des MPG, der MPBetreibV und der Normen an Alarmierungssysteme sehr abstrakt formuliert, ergibt sich mit Erscheinen des TR ein praktischer Standard als Maßstab, eingesetzte verteilte Alarmsysteme zu überprüfen und auf den Stand der 80001-2-5 als vertrauenswürdiges, verteiltes Alarmsystem mit Erstfehlersicherheit zu bringen. Der zukünftige TR 80001-2-5 erspart dem Betreiber keinesfalls das Risikomanagement. Ein Risikomanagement sollte grundsätzlich vor der Planung/Beschaffung immer mit allen beteiligten Berufsgruppen durchgeführt werden, da nur der Blick aller Berufsgruppen (Ärzte, Pflege, Medizintechnik und IT) einen gesamtheitlichen Blick auf mögliche Gefährdungen eines verteilten Alarmsystems gibt. Anwender sehen andere Aspekte und Gefährdungen als technische Mitarbeiter eines Betreibers. Der Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten beinhaltet in der Einleitung A Problem und Ziel folgende Forderungen (Quelle 7): Auch die Komplexität der Medizin und die Vielfalt von Behandlungsmöglichkeiten verlangen nach einem gesetzlichen Rahmen, der Patientinnen und Patienten sowie Behandelnde auf Augenhöhe bringt. Risiko- und Fehlervermeidungssysteme können dazu beitragen, die Behandlungsabläufe in immer komplexer werdenden medizinischen Prozessen zum Schutz der Patientinnen und Patienten zu optimieren. Mit dieser vrsl. Formulierung werden Risikomanagementprozesse für komplexe, verteilte Alarmsysteme zukünftig quasi gesetzlich vorgeschrieben. Zugleich läßt sich die Forderung ableiten, dass für Alarmierung nur erstfehlersichere, vertrauenswürdige Systeme eingesetzt werden dürfen. Wichtig! Ein solches Risikomanagement darf nicht an fehlenden Ressourcen und Budgetmitteln scheitern. Es entsteht mittlerweile auch der Eindruck, dass technische Dokumentationen und Risikomanagement aus Renditedruck ignoriert und unterlassen werden. Dies gipfelt durchaus auch in singulären Aussagen wie Wo steht das? Müssen wir das machen?
Seite 26 von 27 Gibt es schon Gerichtsurteile, auf Grund deren wir verpflichtet sind, ein Risikomanagement durchzuführen? Schadensfälle regeln wir außergerichtlich mit den Angehörigen. U. a. Es ist davon auszugehen, dass Versicherungen und Gerichte in Schadensfällen den TR 80001-2-5 über vertrauenswürdige Alarmsysteme zur Beurteilung von Vorkommnissen und Patientenschäden und deren Ursachen heranziehen und sich somit dieser TR sehr schnell als anerkannte Regel der Technik etablieren wird. Hinweis: Die momentan in den Normengremien vorliegende Fassung wird noch abschließend bearbeitet und abgestimmt, sodass gegebenenfalls noch Änderungen der Begriffe erfolgen können. 4. Zusammenfassung Der Kostendruck im Krankenhausbereich und die technologische Entwicklung führen zunehmend dazu, dass Patienten in allen Bereichen durch Geräte mit Alarmübertragung über Rufanlagen bzw. IT-Netzwerke überwacht werden und zugleich der Anwender sich nicht mehr in unmittelbarer Nähe aufhält sondern andere Aufgaben z. T. auch weiter entfernt wahrnimmt. Das Aufkommen von Mobilgeräten wie Smartphones und Tablets unterstützt diese Entwicklung nicht nur sondern forciert sie sogar, weil damit ein Anwender an jedem Ort und zu jeder Zeit über den Zustand eines Patienten informiert und benachrichtigt werden kann. Im Rahmen der Patientensicherheit und der geforderten Sorgfaltspflicht sollte ein Betreiber für die Überwachung generell verteilte Alarmsysteme mit Erstfehlersicherheit und definierter technischer Überwachung beschaffen/installieren und über den Einsatz und den Lebenszyklus ein Risikomanagement betreiben. Mit diesen Voraussetzungen kann der Betreiber seine haftungsrechtlichen Erfordernisse auch in Hinblick auf das kommende Patientensicherheitsgesetz erfüllen. 9. Literatur und Quellenangaben 1. Gärtner, A.; http://www.e-healthcom.eu/fileadmin/user_upload/dateien/downloads/gaertner_normentechn._a nforderungen_an_patientenueberwachung_und_alarmierung_teil1.pdf, letzter Zugriff 20.08.2012 2. Johner-Blog: http://www.ehealthkarriere.de/category/allgemein, letzter Zugriff 29.09.2012 3. Medizinproduktebetreiberverordnung (MPBetreibV) 4. DIN EN ISO 14971:2009 Medizinprodukte Anwendung des Risikomanagements auf Medizinprodukte 5. E DIN IEC 60601-2-49; VDE 0750-2-49:2008-01:2008-01 Medizinische elektrische Geräte - Teil 2-49: Besondere Festlegungen für die Sicherheit
Seite 27 von 27 einschließlich der wesentlichen Leistungsmerkmalen von multifunktionalen Patientenüberwachungsgeräten (IEC 62D/626/CD:2007) 6. VDE-Positionspapier: Alarmgebung medizintechnischer Geräte, Erscheinungsdatum November 2010 7. http://www.bmg.bund.de/fileadmin/dateien/downloads/gesetze_und_verordnu ngen/laufende_verfahren/p/patientenrechte/120524_gesetzentwurf_br_pati entenrechtegesetz_zuleitungsexemplar_1707076.pdf, letzter Zugriff 27.05.2012 Aktualisierter Stand 30.09.09.2012 Anschrift des Verfassers: Armin Gärtner Ingenieurbüro für Medizintechnik Ö. b. u. v. Sachverständiger für Medizintechnik und Telemedizin Edith-Stein-Weg 8 40699 Erkrath Armin.gaertner@t-online.de