OEM-Praxiswissen
Rechtliche und normative Vorgaben
Der TÜV Süd erläutert die technischen sowie regulatorischen Anforderungen für medizinische Geräte und Systeme. Worauf dabei zu achten ist.
Die Patientensicherheit hängt unmittelbar von der klinischen Funktion eines medizinischen Gerätes beziehungsweise Systems ab. Aus diesem Grund werden bei der Sicherheitsbewertung auch potenzielle Gefahren betrachtet, die während der Nutzung auftreten können. Die »Funktionale Sicherheit« – auch bekannt unter dem Begriff der Erstfehlersicherheit der wesentlichen Leistungsmerkmale – ist ein zusätzlicher Schritt, der sich auf die Zuverlässigkeit der korrekten und sicheren Funktion konzentriert. Sie garantiert die Funktion auch im Fehlerfall oder sorgt dafür, dass das System in einen sicheren Zustand wechselt. Die funktionale Sicherheit ist deshalb für Hersteller, Importeure und Händler von Medizinprodukten von entscheidender Bedeutung, weil sie die Sicherheit von Anwendern und Patienten auch im Fehlerfall gewährleistet.
Im Fokus der normativen und rechtlichen Vorgaben steht insbesondere das Prinzip der Erstfehlersicherheit. Das heißt, ein einzelner (zeitlich) erster Fehler darf weder die Anwender und Patienten gefährden noch das Risiko auf ein unvertretbares Niveau erhöhen. Bei einem Fehler in der Dosierungsregulierung einer Infusionspumpe darf beispielsweise keine Überdosis oder Unterdosis verabreicht werden. Solche Erstfehler können grundsätzlich unvorhersehbar überall und jederzeit auftreten – im gesamten Steuerstromkreis, in dessen Bauteilen und Komponenten sowie in der Software. Um das Risiko für die Gesundheit der Anwender und Patienten zu minimieren, werden sowohl von rechtlicher als auch von normativer Seite hohe Anforderungen an die Leistungsmerkmale und die Sicherheit von Medizinprodukten gestellt.
Rechtliche Vorgaben und Standards einhalten
In der Europäischen Union definiert die Medizinprodukteverordnung (EU) 2017/745 (auch: MDR) die Voraussetzungen, um Medizinprodukte innerhalb der EU zu vertreiben. Hinsichtlich der funktionalen Sicherheit fordert sie, »[für] den Fall des Erstauftretens eines Defekts […] geeignete Vorkehrungen zu treffen, um sich daraus ergebende Risiken oder Leistungsbeeinträchtigungen auszuschließen oder sie so weit wie möglich zu verringern« (Anhang I, 17.1). Das bedeutet, dass die Maßnahmen der funktionalen Sicherheit bei einem Erstfehler das Risiko entweder vollständig beherrschen oder zumindest die Eintrittswahrscheinlichkeit auf ein akzeptables Maß senken müssen. Um dies zu gewährleisten, sollten Hersteller und Entwickler die gängigen Normen und Standards berücksichtigen.
Als einer der grundsätzlichen Standards definiert die DIN EN 60601 (»Medizinische elektrische Geräte«) insbesondere in Teil 1 die allgemeinen Anforderungen an die Sicherheit und die wesentlichen Leistungsmerkmale. Dazu gehört auch die Forderung, medizinische elektrische Geräte und Systeme so zu entwerfen, dass sie erstfehlersicher sind oder das verbleibende Risiko akzeptabel im Sinne des Risikomanagements ist. Wesentliche Leistungsmerkmale müssen dabei gewährleistet bleiben. In der Norm fehlen jedoch explizite Vorgaben und Erläuterungen, wie die Erstfehlersicherheit technisch umgesetzt und geprüft werden kann. Der Standard verweist hier lediglich auf das Risikomanagement. Zudem ist der Umgang mit Fehlern im Schutzsystem, die nicht direkt zu einem ersten Fehler führen – sogenannten »schlafenden Fehlern« – nicht ausreichend definiert. Ein schlafender Fehler führt zu einem Versagen des Schutzsystems, wenn der erste Fehler eintritt.
Die International Electrotechnical Commission (IEC) hat dies erkannt und im März 2021 eine Interpretationshilfe veröffentlicht (IEC 60601-1/AMD1/ISH1:2021). Sie zeigt, wie das Konzept der Erstfehlersicherheit auf die wesentlichen Leistungsmerkmale und die klinische Funktion angewandt wird. Darüber hinaus sind Vorgaben für die Dokumentation (Abschnitte bb 1 bis bb 6) und dessen Prüfung enthalten. Doch die Frage, wie die Erstfehlersicherheit erreicht und geprüft wird, beantwortet auch sie nicht.
Fehler erkennen, Risiken beherrschen
Ein sicheres Medizinprodukt wird nur mit einem umfassenden Risikomanagement erreicht. Dabei müssen Hersteller die konstruktions- und funktionsbedingten Risiken identifizieren und ihnen geeignete Kontrollmechanismen oder Gegenmaßnahmen gegenüberstellen. Orientierung bietet hier die ISO 14971 – »Anwendung des Risikomanagements auf Medizinprodukte«. Das Risikomanagement muss den gesamten Produktlebenszyklus abdecken und die in jeder Phase gewonnenen Informationen einbeziehen – auch nach dem Inverkehrbringen (Post-Marketing Surveillance). Dadurch werden auch sehr seltene Fehlfunktionen und Altersausfälle gegen Ende des Lebenszyklus erfasst und beherrscht.
Geeignete Diagnosemaßnahmen können Erstfehler rechtzeitig erkennen und eine gezielte Reaktion einleiten, bevor nach Ablauf der Mehrfachfehler-Eintrittszeit (MFEZ) mit einem zweiten Fehler gerechnet werden muss. Beispielsweise können in geeigneten Systemarchitekturen sogenannte »Watchdogs« Mikrocontroller überwachen und das Medizinprodukt im Fehlerfall in einen sicheren Zustand überführen. Ein Erstfehler kann jedoch auch eine Schutzeinrichtungen treffen. Deshalb sollten die (»schlafenden«) Fehler ohne direkte Schadensfolge ebenfalls in der Risikoanalyse betrachtet werden. In Verbindung mit einem zweiten Fehler könnten sie sonst zu einem nicht vertretbaren Risiko führen.
Systematische Fehler können nicht vollständig ausgeschlossen werden, jedoch sind ihre Eintrittswahrscheinlichkeit und die Auswirkungen zu minimieren. Integrierte Kontroll- und Überwachungsfunktionen, wie beispielsweise Plausibilitätsprüfungen, erhöhen die Robustheit. Grundsätzlich gilt: je komplexer das Produkt, desto höher das Risikopotenzial durch systematische Fehler. Daher müssen auch alle verwendeten Entwicklungstools – zum Beispiel Software-Frameworks – sowie die Hardware und das Fertigungsverfahren qualifiziert werden. Redundante (gegebenenfalls diversitäre) Strukturen, wie beispielsweise eine zweite Abschalteinrichtung im Stromkreis und Master-Checker-Architekturen, helfen, zufällige Fehler wirksam zu beherrschen.
Fazit
Die anwendbaren Standards und regulatorischen Bestimmungen fordern bereits die Erstfehlersicherheit der klinischen Funktion – jedoch ohne die technischen Details zu definieren. Daher behandeln viele Prüfungen nach DIN EN 60601-1 die Aspekte der funktionalen Sicherheit nicht in der nötigen Tiefe. Eine unabhängige Bewertung der Dokumentation sowie des Sicherheitskonzepts (ISA) verringert das
Risiko für die Gesundheit von Patienten und Anwendern. Das sichert den nachhaltigen, wirtschaftlichen Erfolg des Medizinprodukts.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Interview Schukat: Ultrakondensatoren
»Besser frühzeitig mit Kondensatoren eindecken«
Displays / HMIs
5 Produktneuheiten für die Medizintechnik
