Funktionale Sicherheit für Medizinprodukte

Haben Sie für ihr Medizinprodukt die funktionale Sicherheit bedacht? Und falls nein, haben Sie einen Überblick darüber, was die funktionale Sicherheit überhaupt ist? Falls nicht möchte ich Ihnen in diesem Artikel einen Einstieg in das Thema geben. Denn die funktionale Sicherheit ist längst nicht mehr nur im Automotive-Umfeld ein Muss, sondern zieht nach und nach auch in der Medizintechnik ein.

Was bedeutet überhaupt funktionale Sicherheit?

Der Begriff “Sicherheit” ist in der ISO 14971 definiert als die Freiheit von unvertretbaren Risiken. Die funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion des sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt. Nicht zur funktionalen Sicherheit gehören z. B. die elektrische Sicherheit, der Brandschutz oder der Strahlenschutz.

Wann brauchen wir funktionale Sicherheit und welche Normen gelten?

Die funktionale Sicherheit sollte Anwendung finden, wenn das System ohne Berücksichtigung der Risikokontrollmaßnahmen, unvertretbare Risiken bezogen auf die Funktion hat. Das gilt somit, wenn der Tod oder schwere Verletzungen für den Patienten durch das Medizinprodukt verursacht werden können. Die Betrachtung sollte dabei unabhängig von der Wahrscheinlichkeit stattfinden, sondern sich nur auf die Schwere des Schadens beziehen. Die Normen, die bei der funktionalen Sicherheit Anwendung finden sind:

Norm Titel
IEC 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/ programmierbar elektronischer Systeme
IEC 60601-1 Medical electrical equipment – General requirements for basic safety and essential performance
IEC 62304 Medizingeräte-Software – Software-Lebenszyklus-Prozesse

Die Philosophie dahinter

Es kann jederzeit und an jeder Stelle im Medizinprodukt ein erster Fehler auftreten. Der erste Fehler darf zu keinem unvertretbarem Risiko führen. Sofern der erste Fehler erkannt wird und dem Bediener ersichtlich wird, müssen weitere Fehler nicht betrachtet werden, da davon ausgegangen wird, dass das Produkt nicht weiter genutzt wird. Dies sollte auch so in der Gebrauchsanweisung festgehalten werden!

Wenn der erste Fehler nicht erkannt werden kann, dann muss man davon ausgehen, dass nach einer weiteren Zeit, ein zweiter Fehler auftritt. In diesem Fall darf auch die Kombination von erstem und zweitem Fehler nicht zu einem unvertretbaren Risiko führen. Die Betrachtung weiterer Fehler wird üblicherweise im Rahmen der funktionalen Sicherheit nicht durchgeführt.

Definition der Begrifflichkeiten

Abkürzung Englisch Deutsch
MFOT Multi-fault Occurrence Time Zeit für das Auftreten mehrerer Fehler
FTT Fault Tolerance Time Fehlertoleranzzeit
MTTF Mean Time To Failure Mittlere Zeit bis zum Ausfall
MTBF Mean Time Between Failure Mittlere Zeit zwischen Ausfällen

MFOT gibt die Zeit an, in der zwei unabhängige Fehler vernachlässigt werden können. Sie sollten für ihr Produkt diese Zeit festlegen. Bei Infusionspumpen ist diese Zeit in der entsprechenden Produktnorm definiert. Üblicherweise kann für die MFOT die Zeit für eine Behandlung angenommen werden, sofern diese nicht zu lange ist (z. B. länger als ein Tag). Das bedeutet, dass ein Selbsttest bei Gerätestart, der einen eventuellen ersten Fehler erkennt, nicht während der Behandlung wiederholt werden muss, sofern die Zeit der Behandlung kurz genug ist.

Die FTT beschreibt die Zeit, in der ein Fehler vorliegt, bevor er zur Gefährdung wird. Diese Zeit ist oftmals relativ kurz. An dieser Zeit müssen Sie sich bei der Auslegung der Schutzmaßnahmen orientieren. Denn die Schutzmaßnahmen sollten schneller greifen als die FTT, damit der Schutz rechtzeitig wirksam wird.

Die MTTF gibt die durchschnittliche Zeit an, bis der erste Fehler auftritt. Die MTBF gibt die durchschnittliche Zeit zwischen zwei Fehlern an. Diese Zeiten sind im Vergleich zur MFOT deutlich größer (Faktor >>100).

Ihr Ansprechpartner:

Dipl.-Ing. Goran Madzar, Gesellschafter, Senior Systems Engineer 
E-Mail: madzar@medtech-ingenieur.de
Tel.:  +49 9131 691 240
 

Benötigen Sie Unterstützung bei der Entwicklung Ihres Medizingeräts? Wir helfen gerne! Die MEDtech Ingenieur GmbH bietet Hardware-Entwicklung, Software-Entwicklung, Systems Engineering und Beratung aus einer Hand. Nehmen Sie Kontakt auf.

Kontakt aufnehmen

Auslegung von Selbsttests

Ein Selbsttest kann dabei helfen einen ersten Fehler zu erkennen und dem Benutzer sichtbar zu machen. Dann sind weitere Fehlerbetrachtungen nicht mehr notwendig. Um einen wirksamen Selbsttest zu haben, muss der Selbsttest in zeitlichen Abständen durchgeführt werden, die kleiner sind als die MFOT.

Architekturen in der funktionalen Sicherheit

Im nachfolgenden werden ein paar vereinfachte Architekturen gezeigt, um die Aspekte der funktionalen Sicherheit herauszuarbeiten.

1) System ohne funktionale Sicherheit

Das erste Diagramm zeigt ein Steuerungssystem, das einen Aktuator ansteuert und einen Sensor ausliest. Darüber ist eine Regelung möglich. Es gibt keine Schutzmaßnahmen und ein erster Fehler in der Steuerung führt direkt zum Patientenschaden. Das ist aus Sicht der funktionalen Sicherheit nicht vertretbar.

2) System mit Schutzsystem

Das zweite Diagramm verfügt nur über ein Schutzsystem, wie z. B. einen externen Watchdog oder aber einen weiteren Controller, der eine Abschaltung durchführen kann. Das Schutzsystem muss innerhalb der FTT greifen. Die Funktion des Schutzsystems muss regelmäßig innerhalb der MFOT überprüft werden, um sicherzustellen, dass die Schutzmaßnahme wirksam ist.

Eine leichte Abwandlung ist  in der nachfolgenden Abbildung zu  sehen.  Hierbei ist  das Schutzsystem Teil der Steuerung.  Das ist nicht ganz einfach, denn es ist auf die Diversität zwischen Steuerung und  Schutzsystem zu achten.

3) unabhängiges Schutzsystem

Bei dieser Architektur trifft das Schutzsystem die Entscheidung unabhängig von der Steuerung. Der Sensor wird dabei sowohl von der Steuerung als auch vom Schutzsystem ausgelesen.

Bei Verwendung eines zweiten Sensors für das Schutzsystem wäre eine diversitäre Auslegung möglich. Zu beachten wäre dann aber eine technologische und organisatorische Trennung der Steuerung und des Schutzsystems.

4) Automatische Abschaltungen

An dieser Stelle können wir uns z. B. eine automatische Abschaltung bei Überschreitung einer Temperatur vorstellen. Sobald die Temperatur über 41 °C ansteigt, schaltet die automatische Abschaltung ab. Die Abschaltung muss regelmäßig innerhalb der MFOT überprüft werden und innerhalb der FTT im Fehlerfall abschalten.

Setzt man zwei automatische Abschaltungen hintereinander, so ist eine regelmäßige Überprüfung der Abschaltung nicht erforderlich. Diese Lösung bietet sich an, wenn ein Selbsttest nicht ohne weiteres machbar ist.

Um ein System sicher auszulegen, ist einiges an Gedanken notwendig. Wichtig dabei ist, dass diese Gedanken rechtzeitig in die Architektur einfließen, damit die Sicherheit des Systems gewährleistet werden kann. Bei den Überlegungen sollten unbedingt Common-Mode Fehler mitbetrachtet werden, wenn z. B. sowohl die Steuerung als auch der Schutzmechanismus auf dem gleichen Mikrocontroller-Typ oder dem gleichen Betriebssystem läuft. Hier spielen auch die zufälligen und systematischen Fehler mit rein. Falls Sie Fragen zu diesem Thema haben, dann sprechen Sie mich gerne an. Gemeinsam bekommen wir Ihr System sicher.

Viele Grüße

Goran Madzar

Auch interessant:

Systemarchitekten – warum wir sie brauchen und was sie können sollten?

Immer mehr Unternehmen in der Medizintechnik erkennen den Wert von Systemarchitekten. Und dieser Trend wird sich in Zukunft noch weiter verstärken. Ich…

Goran Madzar

Seit Mai 2007 bin ich zusammen mit meinem Kollegen Martin Bosch selbständig. Unser Standort ist im Innovations- und Gründerzentrum in Erlangen. Hier entwickeln wir für Kunden in der Medizintechnik mit unseren Mitarbeitern Lösungen für die Produkte von Morgen.

Getagged mit: , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.