An alle Hersteller in der Automobilindustrie

Lesezeit: 5 Minuten

Die Zeiten sind schwierig. Während ich diesen Beitrag zu schreiben beginne, zählt die Johns Hopkins University über eine halbe Million bestätigte Corona-Fälle. Wir alle überlegen krampfhaft, wie wir privat und beruflich helfen können. Manche von Ihnen sind zu dem Schluss gekommen, dass es möglich und sinnvoll ist, die Produktion auf das umzustellen, was gerade am meisten benötigt wird: Schutzkleidung und Beatmungsgeräte bzw. Bauteile für dieselben.

Jetzt ist die Medizintechnik ein stark regulierter Markt. Auch wenn die Zügel von der EU gerade etwas gelockert werden mögen, so sind doch ein paar grundlegende Voraussetzungen bei der Herstellung von Medizinprodukten zu erfüllen. Die Medizintechniker sprechen von den „Grundlegenden Sicherheits- und Leistungsanforderungen“. So heißt Anhang I der Medical Device Regulation (MDR), also der EU-Richtlinie 2017/745, die den Medizintechnikmarkt regelt.

Tech Talk Video:

ISO/SAE 21434 – was folgt aus der Cybersecurity-Norm für den Entwicklungsprozess von Automotive-Software?

Wir möchten vermitteln!

Wir begrüßen jede sinnvolle Initiative und möchten uns ebenfalls einbringen. Als Dienstleiter, der sowohl Kunden in der Medizintechnik als auch in der Automobilindustrie bedient, kennen wir beide Bereiche. Daher wissen wir auch, dass die gesetzlichen Anforderungen vom Grundprinzip zwar ähnlich sind, die Terminologie jedoch stark voneinander abweicht. Ein banales Beispiel ist das Kürzel „SOP“, um das sich in beiden Branchen alles zu drehen scheint. Nur, dass der Begriff unterschiedliche Bedeutungen hat:

Automotive: SOP = Start of Production
Medical: SOP = Standard Operating Procedure

Um die Zusammenarbeit zwischen Herstellern aus beiden Branchen zu vereinfachen, möchten wir in diesem Blog Gemeinsamkeiten und Unterschiede in der Vorgehensweise aufzeigen. Wir möchten die Forderungen und Begriffe aus ISO 26262 in die Sprache der Medizintechnik übersetzen. Vielleicht hilft dies bei der Argumentation, warum auf die Schnelle entwickelte Produkte dennoch im Kern die grundlegenden Sicherheits- und Leistungsanforderungen erfüllen. Deren Tenor ist denkbar einfach: “Ein Medizinprodukt muss sicher sein.” Es darf den Patienten nicht unnötig gefährden und schon gar nicht mehr schaden als helfen. Die Untersuchung mit einem Röntgengerät ist nicht unbedingt gesund. Der Schaden, der entsteht, wenn man sie nicht durchführt, ist jedoch in der Regel größer. Genau das muss der Hersteller des Gerätes nachweisen.

Kernbotschaft:
Rechnen Sie damit, dass Begriffe in den Branchen unterschiedlich verwendet werden.

Die Ansprechpartner

Jede Medizintechnikfirma hat einen Risikomanager. Außerdem muss der Hersteller einen Sicherheitsbeauftragten benennen. Diese „Responsible Person“ nach §15 der MDR steht für alle regulatorischen und sicherheitskritischen Fragen gerade.

In der Automobilindustrie sprechen wir von „Funktionaler Sicherheit“ und vom FuSi-Manager. Dieser deckt die Aufgaben des „Risk Managers“ und teilweise die Aufgaben der „Responsible Person“ ab. Der wesentliche Unterschied besteht vermutlich in der Marktüberwachung (Post Market Surveillance), für die es in der Medizintechnik weitreichende Anforderungen gibt. Da wir jedoch aktuell in der Krisensituation stecken und nach schnellen, temporären Lösungen suchen, steht dieser Teil vermutlich zurzeit nicht allzu sehr im Fokus.

Kernbotschaft:
Ihr Ansprechpartner für Fragen der funktionalen Sicherheit heißt anders, aber es gibt ihn.

Sicherheitsklassen

Eigentlich sollte man meinen, dass alle sicherheitskritischen Branchen mit Safety Assurance Levels (SIL) nach IEC 61508 arbeiten. Nicht so die Medizintechnik. Die Sicherheitsklassen nach MDR heißen „Klasse I, IIa, IIb und III“. Die Einstufung in Klassen folgt Regeln, die in der MDR festgelegt sind.

Leider ist ein direkter Vergleich mit den ASIL-Stufen nicht möglich. Klasse I entspricht QM, ist also harmlos. Sobald das Produkt jedoch etwas messen soll, steril sein muss oder wiederverwendet werden kann, wird es schon schwieriger. Dann befinden wir uns eher bei ASIL A. Produkte der Klasse IIb und III können potenziell tödlich sein oder schwerwiegende Schäden zufügen. Die genaue Einteilung hängt stark von der Verweildauer im Körper ab.

Beatmungsgeräte fallen in die Klasse IIb. Unter anderem schlägt Regel 11 zu.

MDR Anhang VII Regel 11
Alle aktiven Produkte, die dazu bestimmt sind, Arzneimittel, Körperflüssigkeiten oder andere Stoffe an den Körper abzugeben und/oder aus dem Körper zu entfernen, werden der Klasse IIa zugeordnet, es sei denn, diese Vorgehensweise stellt unter Berücksichtigung der Art der betreffenden Stoffe, des betreffenden Körperteils und der Art der Anwendung eine potenzielle Gefährdung dar; in diesem Fall werden sie der Klasse IIb zugeordnet.

„Aktives Produkt“ bedeutet, dass es sich um ein Produkt mit Stromversorgung handelt. Die potenzielle Gefährdung besteht in der Unterversorgung, dem Gas-Gemisch und dem Druck. Wir haben alle im Erste-Hilfe-Kurs gelernt, dass Babys anders beatmet werden müssen als Erwachsene. Der Teufel steckt da im Detail. Darüber hinaus gibt es Gefährdungen durch Stromschlag, scharfe Kanten, Infektion und sicherlich noch andere.

In der Automobilindustrie sind wir es gewohnt, jede Anforderung einem ASIL zuzuordnen. Dahinter steckt eine Risikoanalyse, welches Bauteil welche potenziell gefährdende Funktion übernimmt und welche Funktionalität des Bauteils besonders kritisch ist. Eine vergleichbare Vorgehensweise finden wir in der Medizintechnik. Eine gemäß ISO 26262 sauber durchgeführte Risikoanalyse ist im Prinzip ein guter Ausgangspunkt. Dennoch gibt es ein paar Besonderheiten zu beachten.

Kernbotschaft:
Die ASIL lassen sich nicht eins-zu-eins übertragen, aber die Grundidee ist ähnlich.

Unterschiedliche Kategorien in der Risikoanalyse

Nach ISO 26262 bewerten wir Risiken nach Schweregrad, Auftrittswahrscheinlichkeit und Kontrollierbarkeit. Teil 3 der Norm gibt die Kriterien vor, aus denen sich schlüssig die jeweiligen ASIL berechnen lassen.

Nicht so in der Medizintechnik. Hier sprechen wir von Schweregrad und Wahrscheinlichkeit. Manchmal wird die Wahrscheinlichkeit noch unterteilt in Auftritts- und Entdeckungswahrscheinlichkeit. Für die Bewertung benötigen wir medizinisches Fachpersonal. Nur Mediziner können bewerten, welche Schäden durch was verursacht werden und damit den Schweregrad festlegen. Nur die Anwender haben eine realistische Vorstellung von der Entdeckungswahrscheinlichkeit. Das ist anders als beim Auto, mit dem wir alle unsere eigenen Erfahrungen haben.

Eine weitere Schwierigkeit ergibt sich daraus, dass in der Medizintechnik die Kategorien nicht vorgegeben sind. Jede Firma muss ihre eigene Risikopolitik festlegen. Diese ist abhängig vom Produkt. Die Risikokategorien für ein Fieberthermometer sind völlig anders als die für einen Computertomographen. Allerdings geht es vor allem darum, dass sich der Hersteller Gedanken darüber macht, was für ihn akzeptabel ist und was nicht. Wenn man sich die Tabelle mit der ASIL-Festlegung in ISO 26262 anschaut, dann geht das durchaus in die gleiche Richtung. Wenn der Hersteller eine Interpretation dafür liefert, was „medium probability“ oder „simply controllable“ für das konkrete Produkt bedeutet und sich klar dazu äußert, ab welchem ASIL ein Risiko nicht mehr akzeptabel ist, wäre dem Grundgedanken Rechnung getragen. Aber Vorsicht: Diese Aussage spiegelt meine persönliche Einschätzung wider. Eine Auditorin (m/w/d) kann das anders sehen.

Kernbotschaft:
Die Risikoanalyse folgt der gleichen Methode, aber mit anderen Bewertungskategorien. Hersteller müssen Interpretationshilfen für die Bewertungskategorien liefern und festlegen, wo die Grenze zwischen akzeptabel und nicht akzeptabel liegt.

Abschließende Risiko-/Nutzen-Bewertung

Wie eingangs erwähnt, gibt es in der Medizintechnik eine abschließende Risiko-/Nutzen-Bewertung. Wurde alles getan, um unnötig Risiken für Patienten, Anwender und Dritte zu vermeiden? Überwiegt der medizinische Nutzen das Restrisiko auf Grund des Produktes? Hier wird es in Zeiten von Corona makaber. Was passiert denn, wenn wir nicht ausreichend Beatmungsgeräte haben? Dann müssen wir davon ausgehen, dass Menschen sterben, die ansonsten hätten gerettet werden können. Der medizinische Nutzen ist als sehr hoch. Trotzdem wollen wir nicht, dass jemandem die Lunge platzt, weil der Blasebalg auf Grund eines Fehlers zu viel Druck aufbaut. Doch wo genau ziehen wir die Grenze zwischen schnell handeln und gründlich arbeiten? Hier besteht meines Erachtens noch viel Klärungsbedarf.

Kernbotschaft:
Werfen Sie nicht alle Prozesse über den Haufen. Legen Sie auch jetzt die notwendige Sorgfalt an den Tag, wenn es darum geht, kritische Komponenten zu bauen.

Bleiben Sie gesund!

webinarreihe automotive software beitragsbild

Kostenloses Fachwissen tanken mit den Aufzeichnungen unserer Automotive Software Webinare

Expertinnen und Experten von sepp.med geben Einblicke in die unterschiedlichen Bereiche der Softwareentwicklung rund ums Automobil. In den Webinaren geht es zum Beispiel um:

Bessere Prozesse mit Automotive SPICE (A SPICE)
UNECE Regulations for Automotive Cybersecurity

Webinar-Aufzeichnungen ansehen

Bleiben Sie auf dem Laufenden – mit dem monatlichen sepp.med Newsletter:

sepp.med Newsletter abonnieren

	Agile Softwareentwicklung nach Scrum
	Agile Softwarefabrik nach Scrum
	Agiler Test für die Softwareentwicklung nach Scrum
	Medizinische Softwareentwicklung

	Agile Softwareentwicklung rund um MindSphere
	Moderne App-Entwicklung
	Modernes Systems Engineering
	Web Application Development und Platform Development

	Anforderungsanalyse und Anforderungsmanagement
	Continuous Integration / Continuous Deployment
	Künstliche Intelligenz und selbstlernende Algorithmen
	Projektmanagement
	Software-Design
	System Integration und Systemarchitektur

	Beratung
	Robustness, Safety & Security in der agilen Softwareentwicklung
	Software-Konzept und ‑Strategie
	Technologieberatung