Funktionale Sicherheit für Medizinprodukte

Goran Madzar

11/10/2019

Haben Sie für ihr Medizinprodukt die funktionale Sicherheit bedacht? Und falls nein, haben Sie einen Überblick darüber, was die funktionale Sicherheit überhaupt ist? Falls nicht möchte ich Ihnen in diesem Artikel einen Einstieg in das Thema geben. Denn die funktionale Sicherheit ist längst nicht mehr nur im Automotive-Umfeld ein Muss, sondern zieht nach und nach auch in der Medizintechnik ein.

Was bedeutet überhaupt funktionale Sicherheit?

Der Begriff „Sicherheit“ ist in der ISO 14971 definiert als die Freiheit von unvertretbaren Risiken. Die funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion des sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt. Nicht zur funktionalen Sicherheit gehören z. B. die elektrische Sicherheit, der Brandschutz oder der Strahlenschutz.

Wann brauchen wir funktionale Sicherheit und welche Normen gelten?

Die funktionale Sicherheit sollte Anwendung finden, wenn das System ohne Berücksichtigung der Risikokontrollmaßnahmen, unvertretbare Risiken bezogen auf die Funktion hat. Das gilt somit, wenn der Tod oder schwere Verletzungen für den Patienten durch das Medizinprodukt verursacht werden können. Die Betrachtung sollte dabei unabhängig von der Wahrscheinlichkeit stattfinden, sondern sich nur auf die Schwere des Schadens beziehen. Die Normen, die bei der funktionalen Sicherheit Anwendung finden sind:

Norm Titel
IEC 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/ programmierbar elektronischer Systeme
IEC 60601-1 Medical electrical equipment – General requirements for basic safety and essential performance
IEC 62304 Medizingeräte-Software – Software-Lebenszyklus-Prozesse

Die Philosophie dahinter

Es kann jederzeit und an jeder Stelle im Medizinprodukt ein erster Fehler auftreten. Der erste Fehler darf zu keinem unvertretbarem Risiko führen. Sofern der erste Fehler erkannt wird und dem Bediener ersichtlich wird, müssen weitere Fehler nicht betrachtet werden, da davon ausgegangen wird, dass das Produkt nicht weiter genutzt wird. Dies sollte auch so in der Gebrauchsanweisung festgehalten werden!

Wenn der erste Fehler nicht erkannt werden kann, dann muss man davon ausgehen, dass nach einer weiteren Zeit, ein zweiter Fehler auftritt. In diesem Fall darf auch die Kombination von erstem und zweitem Fehler nicht zu einem unvertretbaren Risiko führen. Die Betrachtung weiterer Fehler wird üblicherweise im Rahmen der funktionalen Sicherheit nicht durchgeführt.

Definition der Begrifflichkeiten

Abkürzung Englisch Deutsch
MFOT Multi-fault Occurrence Time Zeit für das Auftreten mehrerer Fehler
FTT Fault Tolerance Time Fehlertoleranzzeit
MTTF Mean Time To Failure Mittlere Zeit bis zum Ausfall
MTBF Mean Time Between Failure Mittlere Zeit zwischen Ausfällen

MFOT gibt die Zeit an, in der zwei unabhängige Fehler vernachlässigt werden können. Sie sollten für ihr Produkt diese Zeit festlegen. Bei Infusionspumpen ist diese Zeit in der entsprechenden Produktnorm definiert. Üblicherweise kann für die MFOT die Zeit für eine Behandlung angenommen werden, sofern diese nicht zu lange ist (z. B. länger als ein Tag). Das bedeutet, dass ein Selbsttest bei Gerätestart, der einen eventuellen ersten Fehler erkennt, nicht während der Behandlung wiederholt werden muss, sofern die Zeit der Behandlung kurz genug ist.

Die FTT beschreibt die Zeit, in der ein Fehler vorliegt, bevor er zur Gefährdung wird. Diese Zeit ist oftmals relativ kurz. An dieser Zeit müssen Sie sich bei der Auslegung der Schutzmaßnahmen orientieren. Denn die Schutzmaßnahmen sollten schneller greifen als die FTT, damit der Schutz rechtzeitig wirksam wird.

Die MTTF gibt die durchschnittliche Zeit an, bis der erste Fehler auftritt. Die MTBF gibt die durchschnittliche Zeit zwischen zwei Fehlern an. Diese Zeiten sind im Vergleich zur MFOT deutlich größer (Faktor >>100).

Ihr Ansprechpartner:

Dipl.-Ing. Goran Madzar, Gesellschafter, Senior Systems Engineer 
E-Mail: madzar@medtech-ingenieur.de
Tel.:  +49 9131 691 240
 

Benötigen Sie Unterstützung bei der Entwicklung Ihres Medizingeräts? Wir helfen gerne! Die MEDtech Ingenieur GmbH bietet Hardware-Entwicklung, Software-Entwicklung, Systems Engineering, Mechanik-Entwicklung und Beratung aus einer Hand. Nehmen Sie Kontakt mit uns auf.

Kontakt aufnehmen

Auslegung von Selbsttests

Ein Selbsttest kann dabei helfen einen ersten Fehler zu erkennen und dem Benutzer sichtbar zu machen. Dann sind weitere Fehlerbetrachtungen nicht mehr notwendig. Um einen wirksamen Selbsttest zu haben, muss der Selbsttest in zeitlichen Abständen durchgeführt werden, die kleiner sind als die MFOT.

Architekturen in der funktionalen Sicherheit

Im nachfolgenden werden ein paar vereinfachte Architekturen gezeigt, um die Aspekte der funktionalen Sicherheit herauszuarbeiten.

1) System ohne funktionale Sicherheit

Das erste Diagramm zeigt ein Steuerungssystem, das einen Aktuator ansteuert und einen Sensor ausliest. Darüber ist eine Regelung möglich. Es gibt keine Schutzmaßnahmen und ein erster Fehler in der Steuerung führt direkt zum Patientenschaden. Das ist aus Sicht der funktionalen Sicherheit nicht vertretbar.

2) System mit Schutzsystem

Das zweite Diagramm verfügt nur über ein Schutzsystem, wie z. B. einen externen Watchdog oder aber einen weiteren Controller, der eine Abschaltung durchführen kann. Das Schutzsystem muss innerhalb der FTT greifen. Die Funktion des Schutzsystems muss regelmäßig innerhalb der MFOT überprüft werden, um sicherzustellen, dass die Schutzmaßnahme wirksam ist.

Eine leichte Abwandlung ist  in der nachfolgenden Abbildung zu  sehen.  Hierbei ist  das Schutzsystem Teil der Steuerung.  Das ist nicht ganz einfach, denn es ist auf die Diversität zwischen Steuerung und  Schutzsystem zu achten.

3) unabhängiges Schutzsystem

Bei dieser Architektur trifft das Schutzsystem die Entscheidung unabhängig von der Steuerung. Der Sensor wird dabei sowohl von der Steuerung als auch vom Schutzsystem ausgelesen.

Bei Verwendung eines zweiten Sensors für das Schutzsystem wäre eine diversitäre Auslegung möglich. Zu beachten wäre dann aber eine technologische und organisatorische Trennung der Steuerung und des Schutzsystems.

4) Automatische Abschaltungen

An dieser Stelle können wir uns z. B. eine automatische Abschaltung bei Überschreitung einer Temperatur vorstellen. Sobald die Temperatur über 41 °C ansteigt, schaltet die automatische Abschaltung ab. Die Abschaltung muss regelmäßig innerhalb der MFOT überprüft werden und innerhalb der FTT im Fehlerfall abschalten.

Setzt man zwei automatische Abschaltungen hintereinander, so ist eine regelmäßige Überprüfung der Abschaltung nicht erforderlich. Diese Lösung bietet sich an, wenn ein Selbsttest nicht ohne weiteres machbar ist.

Um ein System sicher auszulegen, ist einiges an Gedanken notwendig. Wichtig dabei ist, dass diese Gedanken rechtzeitig in die Architektur einfließen, damit die Sicherheit des Systems gewährleistet werden kann. Bei den Überlegungen sollten unbedingt Common-Mode Fehler mitbetrachtet werden, wenn z. B. sowohl die Steuerung als auch der Schutzmechanismus auf dem gleichen Mikrocontroller-Typ oder dem gleichen Betriebssystem läuft. Hier spielen auch die zufälligen und systematischen Fehler mit rein. Falls Sie Fragen zu diesem Thema haben, dann sprechen Sie mich gerne an. Gemeinsam bekommen wir Ihr System sicher.

Viele Grüße

Goran Madzar


Geschrieben von Goran Madzar

MEDtech Ingenieur aus Leidenschaft! Mein Team und ich helfen Medizintechnik-Herstellern mit Engineering-Dienstleistungen dabei, Produkte zu entwickeln und in Verkehr zu bringen! Sprechen sie mich gerne an, ob bei LinkedIn oder per Mail. Ich freue mich Sie kennenzulernen.


Weitere Beiträge

  • 05/12/2024
  • Allgemein, Systems Engineering, Unternehmen, Veranstaltungen

In einer sich ständig wandelnden Geschäftswelt ist Kreativität ein entscheidender Faktor für den Erfolg. Unternehmen, die innovative Lösungen entwickeln und sich kontinuierlich an neue Herausforderungen anpassen können, haben einen ...

Weiterlesen
  • 09/07/2024
  • Allgemein, Elektrostimulation, Systems Engineering, Unternehmen, Veranstaltungen

Liebe Ingenieurinnen und Ingenieure, technisch Interessierte und Familienangehörige, am 13. Juli 2024 findet der Familientag „Faszination Technik“ in Nürnberg statt! Das Event wird veranstaltet vom VDI-Bezirksverein Bayern Nordost e.V. und der Technischen Hochschule Nürnberg. ...

Weiterlesen
  • 22/04/2024
  • Allgemein, Software, Systems Engineering

Im vorangegangenen Blog-Post (Architektur in Feierlaune) habe ich eine SW-Architektur beschrieben, die hilft, die Kommunikation zwischen Komponenten zu vereinfachen. Einen Punkt habe ich in dem Zusammenhang allerdings noch nicht ...

Weiterlesen
Cookie-Übersicht

Die Internetseiten der MEDtech Ingenieur GmbH verwenden Cookies. Cookies sind Textdateien, welche über einen Internetbrowser auf einem Computersystem abgelegt und gespeichert werden.

Zahlreiche Internetseiten und Server verwenden Cookies. Viele Cookies enthalten eine sogenannte Cookie-ID. Eine Cookie-ID ist eine eindeutige Kennung des Cookies. Sie besteht aus einer Zeichenfolge, durch welche Internetseiten und Server dem konkreten Internetbrowser zugeordnet werden können, in dem das Cookie gespeichert wurde. Dies ermöglicht es den besuchten Internetseiten und Servern, den individuellen Browser der betroffenen Person von anderen Internetbrowsern, die andere Cookies enthalten, zu unterscheiden. Ein bestimmter Internetbrowser kann über die eindeutige Cookie-ID wiedererkannt und identifiziert werden.

Durch den Einsatz von Cookies kann die MEDtech Ingenieur GmbH den Nutzern dieser Internetseite nutzerfreundlichere Services bereitstellen, die ohne die Cookie-Setzung nicht möglich wären.

Mittels eines Cookies können die Informationen und Angebote auf unserer Internetseite im Sinne des Benutzers optimiert werden. Cookies ermöglichen uns, wie bereits erwähnt, die Benutzer unserer Internetseite wiederzuerkennen. Zweck dieser Wiedererkennung ist es, den Nutzern die Verwendung unserer Internetseite zu erleichtern. Der Benutzer einer Internetseite, die Cookies verwendet, muss beispielsweise nicht bei jedem Besuch der Internetseite erneut seine Zugangsdaten eingeben, weil dies von der Internetseite und dem auf dem Computersystem des Benutzers abgelegten Cookie übernommen wird.

Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Ferner können bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden. Dies ist in allen gängigen Internetbrowsern möglich. Deaktiviert die betroffene Person die Setzung von Cookies in dem genutzten Internetbrowser, sind unter Umständen nicht alle Funktionen unserer Internetseite vollumfänglich nutzbar.

Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.

Unbedingt notwendige Cookies

Dieses Cookie wird benötigt, um Ihre Cookie-Einstellungen zu merken und weitere Hauptfunktionen zur Verfügung zu stellen

Um Ihnen eine Auskunft über Ihre gespeicherten personenbezogenen Daten hier (https://medtech-ingenieur.de/gespeicherte-daten-2/) geben zu können, benötigen wir einen Cookie, um Sie bei der Datenabfrage identifizieren zu können. Dieser Cookie muss aus Sicherheitsgründen deshalb aktiviert sein. Ein weiterer Cookie wird gesetzt, um diesen Banner nicht erneut anzeigen zu müssen.

Cookie-Name Beschreibung
PHPSESSID Name: PHP session
Anbieter:
Eigentümer der Webseite (MEDtech Ingenieur)
Zweck:
Wir benötigt, um Sie bei der Anfrage von personenbezogenen Daten identifizieren zu können. Das Cookie wird nur gesetzt, wenn Sie eine Anfrage hier (https://medtech-ingenieur.de/gespeicherte-daten-2/) stellen.
Laufzeit: Sitzungsende
Kategorie: Unbedingt notwendige Cookies
moove_gdpr_popup Name: Cookie-Box Einstellungen
Anbieter:
Eigentümer der Webseite (MEDtech Ingenieur)
Zweck:
Wird benötigt, um Ihre Cookie-Einstellungen zu speichern, um den Cookie-Banner nicht erneut anzeigen zu müssen.
Laufzeit: 1 Jahr
Kategorie: Unbedingt notwendige Cookies
comment_author_9c90e388e3e1be4a6c594fa6ac8a3eec
comment_author_email_9c90e388e3e1be4a6c594fa6ac8a3eec
comment_author_url_9c90e388e3e1be4a6c594fa6ac8a3eec
Name: Kommentar Einstellungen
Anbieter:
Eigentümer der Webseite (MEDtech Ingenieur)
Zweck:
Cookie wird angelegt, wenn Sie ein Kommentar auf MEDtech Ingenieur veröffentlichen wollen, um Sie als Autor identifizieren und den aktuellen Status Ihres Kommentars anzeigen zu können. Das Cookie enthält den angegebenen Namen. Das Cookie wird erst gesetzt, wenn Sie der Speicherung Ihrer personenbezogenen Daten zustimmen.
Laufzeit: 1 Jahr
Kategorie: Unbedingt notwendige Cookies
rmp-rate Name: RMP Rate
Anbieter: Eigentümer der Webseite (MEDtech Ingenieur)
Zweck: Cookie wird angelegt, wenn Sie eine Bewertung eines Blogbeitrags mithilfe des Sternebewertungssystems abgeben. Ihnen wird eine anonymisierte ID zugewiesen, um zu erkennen, ob Sie einen Artikel bereits bewertet haben oder nicht. Das Cookie wird nur verwendet, um zu verhindern, dass mehrfache Bewertung abgegeben werden und erst gesetzt, wenn Sie auf einen Stern klicken.
Laufzeit: 1 Jahr
Kategorie: Unbedingt notwendige Cookies
medtech-download-page Name: Download Page
Anbieter: Eigentümer der Webseite (MEDtech Ingenieur)
Zweck: Cookie wird angelegt, wenn Sie den Landing-Page Prozess erfolgreich durchlaufen haben. Dies geschieht nur, wenn Sie einen Content-Download von unserer Website anstreben.
Laufzeit: 1/2 Jahr
Kategorie: Unbedingt notwendige Cookies