Haben Sie für ihr Medizinprodukt die funktionale Sicherheit bedacht? Und falls nein, haben Sie einen Überblick darüber, was die funktionale Sicherheit überhaupt ist? Falls nicht möchte ich Ihnen in diesem Artikel einen Einstieg in das Thema geben. Denn die funktionale Sicherheit ist längst nicht mehr nur im Automotive-Umfeld ein Muss, sondern zieht nach und nach auch in der Medizintechnik ein.
Was bedeutet überhaupt funktionale Sicherheit?
Der Begriff „Sicherheit“ ist in der ISO 14971 definiert als die Freiheit von unvertretbaren Risiken. Die funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion des sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt. Nicht zur funktionalen Sicherheit gehören z. B. die elektrische Sicherheit, der Brandschutz oder der Strahlenschutz.
Wann brauchen wir funktionale Sicherheit und welche Normen gelten?
Die funktionale Sicherheit sollte Anwendung finden, wenn das System ohne Berücksichtigung der Risikokontrollmaßnahmen, unvertretbare Risiken bezogen auf die Funktion hat. Das gilt somit, wenn der Tod oder schwere Verletzungen für den Patienten durch das Medizinprodukt verursacht werden können. Die Betrachtung sollte dabei unabhängig von der Wahrscheinlichkeit stattfinden, sondern sich nur auf die Schwere des Schadens beziehen. Die Normen, die bei der funktionalen Sicherheit Anwendung finden sind:
Norm | Titel |
---|---|
IEC 61508 | Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/ programmierbar elektronischer Systeme |
IEC 60601-1 | Medical electrical equipment – General requirements for basic safety and essential performance |
IEC 62304 | Medizingeräte-Software – Software-Lebenszyklus-Prozesse |
Die Philosophie dahinter
Es kann jederzeit und an jeder Stelle im Medizinprodukt ein erster Fehler auftreten. Der erste Fehler darf zu keinem unvertretbarem Risiko führen. Sofern der erste Fehler erkannt wird und dem Bediener ersichtlich wird, müssen weitere Fehler nicht betrachtet werden, da davon ausgegangen wird, dass das Produkt nicht weiter genutzt wird. Dies sollte auch so in der Gebrauchsanweisung festgehalten werden!
Wenn der erste Fehler nicht erkannt werden kann, dann muss man davon ausgehen, dass nach einer weiteren Zeit, ein zweiter Fehler auftritt. In diesem Fall darf auch die Kombination von erstem und zweitem Fehler nicht zu einem unvertretbaren Risiko führen. Die Betrachtung weiterer Fehler wird üblicherweise im Rahmen der funktionalen Sicherheit nicht durchgeführt.
Definition der Begrifflichkeiten
Abkürzung | Englisch | Deutsch |
---|---|---|
MFOT | Multi-fault Occurrence Time | Zeit für das Auftreten mehrerer Fehler |
FTT | Fault Tolerance Time | Fehlertoleranzzeit |
MTTF | Mean Time To Failure | Mittlere Zeit bis zum Ausfall |
MTBF | Mean Time Between Failure | Mittlere Zeit zwischen Ausfällen |
MFOT gibt die Zeit an, in der zwei unabhängige Fehler vernachlässigt werden können. Sie sollten für ihr Produkt diese Zeit festlegen. Bei Infusionspumpen ist diese Zeit in der entsprechenden Produktnorm definiert. Üblicherweise kann für die MFOT die Zeit für eine Behandlung angenommen werden, sofern diese nicht zu lange ist (z. B. länger als ein Tag). Das bedeutet, dass ein Selbsttest bei Gerätestart, der einen eventuellen ersten Fehler erkennt, nicht während der Behandlung wiederholt werden muss, sofern die Zeit der Behandlung kurz genug ist.
Die FTT beschreibt die Zeit, in der ein Fehler vorliegt, bevor er zur Gefährdung wird. Diese Zeit ist oftmals relativ kurz. An dieser Zeit müssen Sie sich bei der Auslegung der Schutzmaßnahmen orientieren. Denn die Schutzmaßnahmen sollten schneller greifen als die FTT, damit der Schutz rechtzeitig wirksam wird.
Die MTTF gibt die durchschnittliche Zeit an, bis der erste Fehler auftritt. Die MTBF gibt die durchschnittliche Zeit zwischen zwei Fehlern an. Diese Zeiten sind im Vergleich zur MFOT deutlich größer (Faktor >>100).
|
|
Dipl.-Ing. Goran Madzar, Gesellschafter, Senior Systems Engineer E-Mail: madzar@medtech-ingenieur.de Tel.: +49 9131 691 240 |
|
Benötigen Sie Unterstützung bei der Entwicklung Ihres Medizingeräts? Wir helfen gerne! Die MEDtech Ingenieur GmbH bietet Hardware-Entwicklung, Software-Entwicklung, Systems Engineering, Mechanik-Entwicklung und Beratung aus einer Hand. Nehmen Sie Kontakt mit uns auf. |
Auslegung von Selbsttests
Ein Selbsttest kann dabei helfen einen ersten Fehler zu erkennen und dem Benutzer sichtbar zu machen. Dann sind weitere Fehlerbetrachtungen nicht mehr notwendig. Um einen wirksamen Selbsttest zu haben, muss der Selbsttest in zeitlichen Abständen durchgeführt werden, die kleiner sind als die MFOT.
Architekturen in der funktionalen Sicherheit
Im nachfolgenden werden ein paar vereinfachte Architekturen gezeigt, um die Aspekte der funktionalen Sicherheit herauszuarbeiten.
1) System ohne funktionale Sicherheit
Das erste Diagramm zeigt ein Steuerungssystem, das einen Aktuator ansteuert und einen Sensor ausliest. Darüber ist eine Regelung möglich. Es gibt keine Schutzmaßnahmen und ein erster Fehler in der Steuerung führt direkt zum Patientenschaden. Das ist aus Sicht der funktionalen Sicherheit nicht vertretbar.
2) System mit Schutzsystem
Das zweite Diagramm verfügt nur über ein Schutzsystem, wie z. B. einen externen Watchdog oder aber einen weiteren Controller, der eine Abschaltung durchführen kann. Das Schutzsystem muss innerhalb der FTT greifen. Die Funktion des Schutzsystems muss regelmäßig innerhalb der MFOT überprüft werden, um sicherzustellen, dass die Schutzmaßnahme wirksam ist.
Eine leichte Abwandlung ist in der nachfolgenden Abbildung zu sehen. Hierbei ist das Schutzsystem Teil der Steuerung. Das ist nicht ganz einfach, denn es ist auf die Diversität zwischen Steuerung und Schutzsystem zu achten.
3) unabhängiges Schutzsystem
Bei dieser Architektur trifft das Schutzsystem die Entscheidung unabhängig von der Steuerung. Der Sensor wird dabei sowohl von der Steuerung als auch vom Schutzsystem ausgelesen.
Bei Verwendung eines zweiten Sensors für das Schutzsystem wäre eine diversitäre Auslegung möglich. Zu beachten wäre dann aber eine technologische und organisatorische Trennung der Steuerung und des Schutzsystems.
4) Automatische Abschaltungen
An dieser Stelle können wir uns z. B. eine automatische Abschaltung bei Überschreitung einer Temperatur vorstellen. Sobald die Temperatur über 41 °C ansteigt, schaltet die automatische Abschaltung ab. Die Abschaltung muss regelmäßig innerhalb der MFOT überprüft werden und innerhalb der FTT im Fehlerfall abschalten.
Setzt man zwei automatische Abschaltungen hintereinander, so ist eine regelmäßige Überprüfung der Abschaltung nicht erforderlich. Diese Lösung bietet sich an, wenn ein Selbsttest nicht ohne weiteres machbar ist.
Um ein System sicher auszulegen, ist einiges an Gedanken notwendig. Wichtig dabei ist, dass diese Gedanken rechtzeitig in die Architektur einfließen, damit die Sicherheit des Systems gewährleistet werden kann. Bei den Überlegungen sollten unbedingt Common-Mode Fehler mitbetrachtet werden, wenn z. B. sowohl die Steuerung als auch der Schutzmechanismus auf dem gleichen Mikrocontroller-Typ oder dem gleichen Betriebssystem läuft. Hier spielen auch die zufälligen und systematischen Fehler mit rein. Falls Sie Fragen zu diesem Thema haben, dann sprechen Sie mich gerne an. Gemeinsam bekommen wir Ihr System sicher.
Viele Grüße
Goran Madzar