Medical Standard Time – Was es bedeutet Medizinprodukte(software) in Verkehr zu bringen

MST013 – Regulatory: Prozesse IEC 62304

Philipp

Fabian

Rückblick

Prozess: Satz von in Wechselbeziehung oder Wechselwirkung stehenden Aktivitäten, der Eingaben in Ergebnisse umwandelt
Aktivität: Satz von einer oder mehreren aufeinander bezogenen oder sich gegenseitig beeinflussenden Aufgaben
Aufgabe: eine Teilarbeit, die erledigt werden muss

Prozesse der IEC 62304

Software Entwicklungsprozess
Software Wartungsprozess
Software Risikomangement Prozess
Software Problemlösungsprozess
Software Konfigurationsmanagement Prozess

Software Entwicklungsprozess – Planung

Erste Teilaktivität des Software Entwicklungsprozesses

Planung – Allgemein

Aktivität: Planung der Softwareentwicklung

Output: Software Entwicklungsplan

Rollen und Verantwortlichkeiten
Software Entwicklungsmodell
- Projektphasen
  - Outputs in den Phasen
  - Review-Kriterien der Outputs
Verweis auf weitere Prozesse der IEC 62304
Software Entwicklungsprozess im Projekt
- Allgemein
  - Tooling
    - Compiler, Interpreter, Entwicklungsumgebung, Versionskontrollsystem…
  - Coding Guidelines
Planung der Software Anforderungen
Planung der Software Architektur und des Detail Design
Planung der Implementierung
Planung der Software Unit Verifikation
Planung der Software Integration
Planung der Software System Verifikation
Planung des Software Release

Planung – Softwareanforderungen

Wo werden die Softwareanforderungen erfasst?
- Word, Excel, IBM Doors, Redmine, Polarion, OpenProject, CodeBeamer, HelixALM, JIRA, Greenlight guru GO, …
Evtl. Satzschablonen verwenden
- Use Cases oder “Requirement-Schablone” (shall, should, may)
Sicherstellen der Traceability
- von den Systemanforderungen zur Architektur und Verifikation
Festlegen des zu unterstützendes Betriebssystems
Festlegen der zu unterstützende Hardware
Sicherstellen der Verifizierbarkeit
Sicherstellen, dass die Softwareanforderungen widerspruchsfrei und vollständig sind
- Review und Freigabeprozess
Granularitär / Detailierungsgrad der Anforderungen festlegen
Wertebereiche, Datentypen und Reaktionen des Systems (auch bei Fehleingaben)
Schnittstellen zu anderen Systemen
- Reaktionszeiten
- Interoperabilität
- Datenvolumen und Last auf dem System

Planung – Architektur und Detailliertes Design

Wo wird die Software Architektur erfasst?
Definition Software-System, -Item und -Unit
Beschreiben was für Software Item und Units dokumentiert werden muss
- Static View
- Dynamic View
- Interfaces

Planung – Implementierung

Commit Workflows
Anwendung der Tools

Planung – Software Unit Verifikation

Planung der Verifikation der Schnittstellen von Software-Unit
- Statische Code-Analyse
- Code Reviews
- Dynamische Analyse
Beschreiben in welchem System die Software Units verifiziert wird
Akzeptanzkriterien festlegen (beim Verhalten der Schnittstellen)
Testabdeckung festlegen

Planung – Software Integration

Integration Strategy (Top-down, bottom-up, …)
Beschreiben in welchem System die Integration und Integrationstest durchgeführt wird
Festlegen was in den Testplan und -Bericht kommt
Akzeptanzkriterien festlegen
- Zuverlässigkeit und Robustheit
- Performance
- Kompatibilität und Wartbarkeit
Festlegen wie Anomalien in den Problemlösungs-Prozess einfließen

Planung – Software System Verifikation

Beschreiben in welchem System die Software System Verifikation durchgeführt wird
Sicherstellen, dass alle Software-Anforderungen verifiziert werden
Festlegen was in den Testplan und -Bericht kommt
Akzeptanzkriterien festlegen
Festlegen wie Anomalien in den Problemlösungs-Prozess einfließen

Planung – Software Release

Beschreiben in welchem System das Software Release durchgeführt wird
Festlegen wo die Software-Releases abgelegt werden
Festlegen wo offenen Anomalien und Bugs dokumentiert und bewertet werden
Schema der Software-Versionsnummern festlegen
Sicherstellen, dass alle zuvor genannten Aktivitäten durchgeführt wurden
- Mittels Checkliste durch die technische Dokumentation gehen und Review durchführen

Allgemeine Software Entwicklungsmodelle

Vorgehensmodelle

Es gibt keine Vorgabe in der Norm IEC 62304
Forderung: Betrachtung der Abhängigkeiten zwischen den Aktivitäten
- Erst die Anforderungen und die Software Archtektur abschließen, dann die Risikoanalyse abschließen.
Mehrere Vorgehensmodell sind denkbar.
Die IEC 62304 zählt u.a Wasserfallmodell, iterativ-inkrementell, evolutionär etc. auf.
Entwicklungsmodelle können textuell oder als Flowchart beschrieben werden.

Wasserfallmodell

Alle Entwicklungsschritte des Wasserfallmodells werden nacheinander durchgeführt.
Phasenbasiert, erst eine Phase abschließen, dann Beginn der nächsten Phase
Review der Ergebnisse zwischen den Phasen
Vorteile
- Einfach.
- Phasenabschlüsse geben Sicherheit über den Projektfortschritt.
- Klare Abschätzung von Kosten und Umfang bei stabilen Anforderungen.
Nachteile
- Fehler werden meistens erst spät entdeckt.
- Wiederholung von Phasen im Fehlerfall.
- Unflexibel gegenüber Änderungen im Projekt.

V-Modell

Weiterentwicklung des Wasserfallmodells
- Jetzt: Jede Phase hat eine gegenüberliegende Testphase
Vorteile
- Testaspekte können früher betrachtet werden.
- Fehler in der Spezifikation oder im Design können früher gefunden werden.
- Durch Berücksichtigung von Testaspekten ist die Dokumentation besser.
Nachteile
- Implementierungsfehler werden erst beim Testen entdeckt, meistens sehr spät.
- Auch hier: Im Fehlerfall müssen Phasen wiederholt werden, was sehr zeitaufwändig ist.

Iterativ-inkrementelle Modelle

Iterativ: Einzelne Phasen werden direkt durchlaufen
Inkrementell: Pro Durchlauf wird der Funktionsumfang erweitert
Fehler, die am Ende jedes Phasendurchlaufs entdeckt werden, werden im nächsten Durchlauf behoben.

Agiles Entwicklungsmodell

Die Basis agiler Softwareentwicklung ist das iterativ-inkrementelle Modell.
Ziel ist es, bürokratische Strukturen abzubauen und den Fokus auf die kundennahe Entwicklung zu richten.
Weitverbreitet ist dabei Scrum.
Mit der IEC 62304 ist dieses Modell zwar vereinbar, wird allerdings noch etwas zögerlich eingesetzt, da die Norm sehr V-Modell-artig aufgebaut ist. Viele schrecken vor der Kombination aus agiler Welt und V-Modell-Welt noch zurück.

Quellen

SW Entwicklungsplanung:

IEC 62304:2015

SW Entwicklungsmodelle:

https://de.wikipedia.org/wiki/Wasserfallmodell
https://de.wikipedia.org/wiki/V-Modell
https://de.wikipedia.org/wiki/Inkrementelles_Vorgehensmodell
https://de.wikipedia.org/wiki/Scrum
SW Entwicklung für Medizinprodukte – SW-Lebenszyklus-Prozesse; Prof. Dr. Michael Munz, HS Ulm

MST012 – Zwischenbericht und Update zur Apple Watch

Philipp

Fabian

Wie schon in der Episode 007 über die Apple Watch hat sich an der Zweckbestimmung hat sich kaum etwas geändert. Wir haben einen Ausschnitt der Gebrauchsanweisung aus der EKG-App.

Die EKG-App hat ein CE-Zeichen mit benannter Stelle. In diesem Fall ist das Kürzel der benannten Stelle 0123. Das ist das Kürzel des TÜV Süd. Damit ist klar, dass der TÜV Süd die technische Dokumentation begutachtet hat. Dadurch, dass die benannte Stelle mit genannt ist, ist die EKG-App mindestens ein Klasse IIa Medizinprodukt.

Der Europäische Repräsentant ist Apple Distribution International aus Irland.

MST011 – Regulatory: Einführung IEC 62304

Philipp

Fabian

Software Lebenszyklus für medizinischer Software

Historie: Wie kam es zu dieser Norm

Therac-25

Der Therac-25 war ein Gerät zur Strahlentherapie. Hier haben sehr viele Fehler zu einem katastrophalen Verhalten geführt. Dabei kam es zu mindestens sechs Vorkommnissen, bei denen Patienten eine massive Überdosis an Strahlung ausgesetzt waren. Die Strahlendosen waren hundertmal höher als normal. Dies führte zum nachweislichen Tod dreier Patienten und schweren Verletzungen bei anderen Patienten.

Patienten haben vor Schmerzen geschrien und rannten aus dem Behandlungsraum. Sie wurden durch die Strahlung förmlich verbrannt. Das Gefühl wurde als ein “intensiver Stromschlag” beschrieben.

Ergebnis einer Kommission die die Unfälle untersuchten:

Hauptgrund ist schlechtes Software-Design und Entwicklungspraktiken
Die Software wurde so entwickelt, dass es nicht möglich war sie zu testen

Es wurden sehr viele strukturelle Ursachen für das Fehlerverhalten gefunden:

Keine unabhängigen Code Reviews
Es wurde keine Risikobewertung durchgeführt
Fehlermeldungen wurden in der Gebrauchsanweisung nicht erklärt
Die Kombination aus Hardware und Software wurde nicht getestet
Es gab keine Hardwareverriegelungen
Das Zusammenspiel von Standartsoftware und zuvor entwickelter Software nicht bedacht
…

Anwendungsbereich

Die Norm fühlt sich für die folgenden Bereiche verantwortlich.

Das gilt für Software die Teil eines Medizinprodukte ist (embedded software) als auch für “Standalone-Software”. Also für Software, die für sich alleine ein Medizinprodukt ist.

Nicht im Anwendungsbereich

Es werden keine Anleitungen gegeben, sondern “nur” Anforderungen gestellt
Es wird kein Softwareentwicklungsmodell gefordert (V-Model, Scrum, …)
Es werden keine konkreten Dokumente gefordert
- jedoch Anforderungen an die Dokumentation formuliert
Keine Anforderungen an die Benutzerschnittstelle, nutzerorientierte Gestaltung oder Gebrauchstauglichkeit (Usability)
- IEC 62366

Wesentliche Forderungen

Die IEC 62304 schreibt fünf Prozesse vor, nach denen die Medizinprodukte-Hersteller Ihre Software (weiter)entwickeln sollen:

Software-Entwicklungsprozess
Software-Wartungsprozess
Software-Risikomanagementprozess
Software-Konfigurationsmanagementprozess
Problemlösungsprozess von Software

Die Anforderungen an den Softwareentwicklungsprozess werden am umfangreichsten beschrieben. Es wird kein konkretes Entwicklungsmodell gefordert. Die Norm formuliert jedoch Anforderungen an Aktivitäten und Aufgaben für die oben genannten Prozesse. Das betrifft die Dokumentation, die innerhalb dieser Prozesse zu erstellen ist. Die Norm fordert keine konkreten Dokumente, stellt jedoch Anforderungen an die Dokumentation.

Planung der Softwareentwicklung
Software Anforderungen
Software Architektur
Detailliertes Software Design
Verifizierung der Software-Einheiten
Software Integrationstests
Software Systemtest
Software Freigabe
Software Wartung
Software Risikomanagement
Software Konfigurationsmanagement
Software Problemlösung

Begriffe

Medizinprodukt
Medizinprodukte-Software
Software-System
Software-Komponente (Software-Item)
Software-Einheit (Software-Unit)

Software-Sicherheitsklassen

Die Idee hinter den Software-Sicherheitsklassen ist, den Fokus auf die Funktionen zu lenken, die für einen schweren Schaden verantwortlich sein kann.

Folgende Software-Sicherheitsklassen gibt es:

A: Keine Verletzung oder Schädigung der Gesundheit möglich
B: Keine schweren Verletzungen möglich
C: Tod oder schwere Verletzung möglich

IEC-62304-Sicherheitsklassen — Quelle: https://www.johner-institut.de/blog/iec-62304-medizinische-software/sicherheitsklassen-iec-62304/

Was bedeutet das für die Dokumentation

Dokumentation anhand der Software-Sicherheitsklasse

Quellen:

MST010 – Regulatory: Risikomanagement – Risikobeherrschung

Philipp

Fabian

Wiederholung: Gefährdung, Gefährdungssituation und Risiko

Siehe auch: Folge 005 über die Grundlagen des Risikomanagement vom August 2018.

Definitionen

Gefährdung: potentielle Schadensquelle

Bsp: Hängender Kronleuchter
Bsp: Endoskop zur Darmuntersuchung
Bsp: Heiße Herdplatte

Gefährdungssituation: Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind

Bsp: Man steht unter dem Kronleuchter
Bsp: Endoskop ist im Darm eingeführt
Bsp: Hand des Anwenders auf der heißen Herdplatte

Schaden: physische Verletzung oder Schädigung der menschlichen Gesundheit oder Schädigung von Gütern oder der Umwelt

Bsp: Schädelbasisbruch aufgrund des Sturzes des Kronleuchters
Bsp: Verletzung des Darms
Bsp: Verbrennungen

Risiko: Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrades dieses Schadens

Bsp: Wahrscheinlichkeitskombination aus Schadensauftreten und Schweregrad

Auftretenswahrscheinlichkeit(en) im Detail

Detaillierter Erklärung der zwei verschiedenen Wahrscheinlichkeiten:

Wahrscheinlichkeit, dass eine Gefährdungssituation eintritt (p1)
Wahrscheinlichkeit, dass eine Gefährdungssituation zu einem bestimmten Schaden führt (p2)

Zwischen diesen beiden Wahrscheinlichkeiten liegen verschiedene Ereignisse.

Beispielsweise bei einem Cerankochfeld: Es besteht die Gefährdung der heißen Herdplatte. Mit einer gewissen Wahrscheinlichkeit tritt die Gefährdungssituation ein, das der Anwender die heiße Herdplatte berührt (p1). Mit einer gewissen Wahrscheinlichkeit tritt der Schaden Verbrennungen zweiten Grades beim Anwender auf (p2). Aus der gleichen Gefährdungssituation tritt mit einer anderen Wahrscheinlichkeit der Schaden einer leichten Verbrennung beim Anwender auf (auch p2).

Beide Wahrscheinlichkeiten müssen miteinander verrechnet werden um zu einem Risiko zu gelangen. Erfahrungsgemäß lässt sich an dem kausalen Zusammenhang von p2 wenig verändern. Durch geeignete Maßnahmen lässt sich jedoch p1 verändern. Außerdem passen sich die Ereignisse in laufe der Zeit an. Gerad bei Neuentwicklungen müssen sich Annahmen als korrekt heraus stellen.

Risikominimierende Maßnahmen

Normativ soll ein Risiko nur durch drei Maßnahmen verringert werden. Die Reihenfolge ist, sowie möglich, einzuhalten:

Design (innere Sicherheit)
Schutzmaßnahme (äußere Sicherheit)
Information (hinweisende Sicherheit)

Bei einem Cerankochfeld kann beispielsweise die Gefährdungssituation identifiziert werden, dass ich ein Anwender auf die heiße Herdplatte fasst. Dadurch kann der Anwender mit einer gewissen Wahrscheinlichkeit an Verbrennungen erleiden.

Mögliche risikominimierende Maßnahmen:

Design: Das Cerankochfeld wird durch ein Induktionskochfeld ersetzt.
Schutzmaßnahme: Herdschutzgitter
Information: Warnhinweis in am Gerät und an der Gebrauchsanweisung anbringen

Nun zur Analyse der verschiedenen risikominimierenden Maßnahmen:

Im ersten Fall (Design Maßnahme) kann die Gefährdungssituation nicht mehr eintreten oder der Schaden wurde verringert
Im zweiten Fall kann die Gefährdungssituation noch auftreten, aber die Auftretenswahrscheinlichkeit wurde verringert.
Im dritten Fall wurde weder die Gefährdungssituation noch die Auftretenswahrscheinlichkeit verringert.

Neue Risiken durch risikominimierende Maßnahmen

Jedes Risiko muss nach risikominimierenden Maßnahmen neu bewertet werden. Das bedeutet:

Verifikation der Wirksamkeit der risikominimierende Maßnahe
Prüfen, ob die Gerährdungsstuation immer noch korrekt ist
Prüfen, ob die Auftretenswahrscheinlichkeit noch korrekt ist
Prüfen ob durch die risikominimierende Maßnahme neue Risiken entstanden sind

Wie sieht das im Risikomanagementgraph aus?

Was muss in den Risikomanagementbericht?

Nachweis, dass der Risikomanagement Plan eingehalten wurde
Nachweis, dass der Gesamtnutzen dem Risiko überwiegt
Verweis auf das Risk Assessment
Evtl. Verweis auf Residual Anomalies

Wann hört das Risikomanagement auf?

Ist wohl eher eine rethorische Frage, denn es hört nie wirklich auf!

Informationen aus dem Feld, von Kunden oder internen Audits ergänzen das Risikomanagement fortlaufend.

Dokumentation und Zusammenspiel mit anderen Normen

IEC 62304 verlangt (momentan) ein Risikomanagement nach ISO 14971.

Welche Dokumente sind zu erstellen?

Risikomanagementplan
Riskoanalyse
FMEA, FTA, …
Risikomanagementbericht

Risikomanagementakte muss nicht als physische Akte vorliegen.

Konformität wird durch Inspektion der Akte geprüft.

Gesamtübersicht

Gesamtübersicht inspiriert von Greenlight Guru (https://www.greenlight.guru):

Anmerkungen

Bestimmungsgemäße Gebrauch muss bekannt sein um den Umfang der Gefährdungsanalyse abschätzen zu können.

Die ISO 14971 schreibt kein Verfahren zur Gefährdungsanalyse vor.

Die ISO 14971 beschreibt kein Verfahren zur Nutzenabschätzung .

Kann durch klinische Bewertung/Studie erfolgen

Use Errors aus der Gebrauchstauglichkeit fließen mit in die Risikobewertung ein.

Der Risikograph ist für jedes Produkt individuell zu erstellen!

MST009 – Aktuelles: Implant Files

Philipp

Fabian

Was sind die Implant Files?

Wikipedia-Artikel zu den Implant Files: https://de.wikipedia.org/wiki/Implant_Files

Der Begriff Implant Files bezeichnet eine Ende November 2018 veröffentlichte Recherche, des Internationales Netzwerk investigativer Journalisten (ICIJ), welche weltweit Lücken in der Kontrolle von Implantaten aufdeckte.

Die Veröffentlichung erfolgte unter Zusammenarbeit von der ICIJ, BBC, WDR, NDR, Das Erste und Süddeutscher Zeitung.

Vorangegangen war eine zweijährige Recherche mit mehr als 250 Journalisten aus 36 Ländern.

Für Aufsehen sorgte die niederländische Journalistin Jet Schouten, die den ersten Schritt zur Zulassung eines Mandarinennetzes als Vaginalnetz bekommen hatte.

Problematik

Die Recherche zeigt auf, dass Medizinprodukte oftmals zu leicht zugelassen werden.

Normalerweise müssen neue Medizinprodukte eine klinische Studie durchlaufen, bevor sie zugelassen werden. Ist dies jedoch bereits mit einem ähnlichen Produkt geschehen, so gilt das Äquivalenzprinzip, und die Zulassung besteht für den Hersteller dann nur aus dem Erhalt eines CE-Zeichens, wobei der erste Schritt eine Begutachtung der technischen Dokumentation darstellt und der zweite Schritt eine Begutachtung der Fabrik des Herstellers.

Auch die Unabhängigkeit der Prüfstelle, in Deutschland z. B. die Dekra oder der TÜV, wird infrage gestellt, da der Hersteller sowohl Auftraggeber der Prüfung ist und diese ebenfalls bezahlt. Das Prüfunternehmen entscheide bei der Prüfung dann oft nur anhand der vom Hersteller bereit gestellten Unterlagen und nicht anhand des Produktes selbst.

Sollte das Produkt abgelehnt werden, so hat der Hersteller allerdings auch die Möglichkeit, das Produkt bei einem anderen von etwa 50 Prüfunternehmen prüfen zu lassen.

Außerdem wird kritisiert, dass Hersteller oft selbst Medizinprodukte zurückrufen müssen und dies nur selten behördlich angeordnet werde.

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ist für die Überwachung der Medizinprodukte zuständig. Es kann selbst allerdings nur Empfehlungen aussprechen und keine Verordnungen oder Verbote erlassen. Dies kann nur eine entsprechende Landesbehörde tun, die dies allerdings selten macht. Außerdem meldet ein Arzt, im Falle einer Vermutung eines Fehlers im Produkt, dies an den Hersteller. Dieser habe, einer Untersuchung des BfArM zufolge, nur in etwa der Hälfte der Fälle reagiert.

Kritisiert wird ferner, dass des keine deutschlandweite oder europaweite Datenbank über implantierte Medizinprodukte gibt, ein sogenanntes Implantatregister.

Weltweit gibt es nur in 20 % der Länder öffentliche Datenbanken mit Informationen über Sicherheitswarnungen und Rückrufe von Medizinprodukten.

Bleeding Edge

Zuvor gab es die Netflix Doku Bleeding Edge. Dort werden teilweise die gleichen Produkte behandelt.

International Medical Device Database

Interessanterweise fehlen zwei interessante Länder:

Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) in Deutschland fehlt
- https://www.bfarm.de/SiteGlobals/Forms/Suche/Filtersuche_Produktgruppe_Formular.html;jsessionid=F478F68F624F3D433800BE55F251781B.2_cid319
Zulassungs- und Aufsichtsbehörde für Arzneimittel in Großbritannien MHRA fehlt
- https://www.gov.uk/drug-device-alerts?alert_type[]=devices

Wie sieht die Realität aus?

Schwachstellen im System

Äquivalenzprinzip: Viele Produkte werden gar nicht erst klinisch getestet, weil bereits ähnliche Produkte auf dem Markt sind. Nur etwa 10 Prozent der Produkte in der höchsten Risikoklasse werden selbst systematisch am Patienten erprobt.
- Das Äquivalenzprinzip gibt es in Amerika. Dort können mit dem sogenannten 510(k) Verfahren “ähnliche” Produkte in Verkehr gebracht werden. Das Thema wurde in der Netflix Doku Bleeding Edge sehr anschaulich behandelt. In Europa gibt so so ein Verfahren nicht.
- Die Anforderungen an die Äquivalenz der Produkte bei der klinischen Bewertung wurden in der Vergangenheit oft großzügig ausgelegt.
Klinische Studien: Selbst wenn der Hersteller eine Studie durchführt: die Vorgaben dafür sind lax, ein Nutzen des Produkts für den Patienten muss nicht nachgewiesen werden.
- Mit der neuen EU Leitlinie MEDDEV 2.7/1 wurden diese Anforderungen erhöht. Die benannten Stellen fordern dies auch streng ein, so streng, dass der Sinn des Äquivalenzprinzips in Frage steht. Unnötige klinischen Prüfungen nicht nur den Herstellern, sondern auch den Patienten zu ersparen. Was bewiesen ist, muss nicht nochmals bewiesen werden.
- Für diese hochkritischen Produkte führt die MDR ein sogenanntes Scrutiny-Verfahren ein.
Benannte Stellen: Das Prüfunternehmen, das am Ende über die Zertifizierung entscheidet, prüft nicht unabhängig – denn es wird vom Hersteller beauftragt und bezahlt.
- Die Alternative zu den benannten Stellen ist eine staatliche Zulassungsstelle wie das Kraftfahrtbundesamt in Deutschland oder die FDA in den USA.
- Die FDA in Amerika prüft selbst auch keine Produkte. Das Totalversagen des Kraftfahrtbundesamts in der „Diesel-Affäre“ lässt auch meiner Sicht nicht den Schluss zu, dass staatliche Stellen besser geeignet seien.
Prüfung der benannten Stellen: Das Prüfunternehmen entscheidet nur anhand der eingereichten Unterlagen – das Produkt selbst wird nicht untersucht.
- Diese Aussage stimmt insbesondere bei Implantaten in dieser Allgemeingültigkeit nicht. Bei Hochrisikoprodukten ist genau die Prüfung der Produktauslegung explizit gefordert und wird auch durchgeführt. Das betrifft alle Produkte der Medizinprodukteklasse III.
Wechsel der benannten Stelle: Lehnt ein Prüfunternehmen ein Produkt ab, kann der Hersteller es einfach bei einem anderen versuchen.
- Grundsätzlich ist das erst mal korrekt.
- Die Anforderungen der neuen Medizinprodukteverordnung stellen sehr hohe Anforderungen an die benannten Stellen.
- Benannte Stellen mit zweifelhafter Kompetenz, Neutralität und Gesetzestreue wurden geschlossen.
- Hier müssen sich meiner Erachtens die benannten Stellen untereinander besser Vernetzen.
Medizinisches Fachwissen der benannten Stellen: Es arbeiten kaum Ärzte in den benannten Stellen die den Inhalt von medizinischen Studien beurteilen können.
- Das ist leider wahr. Die benannten Stellen haben diese Problem jedoch schon vor längerem erkannt und entsprechend reagiert.
- Die benannten Stellen haben ihr Personal deutlich mit Experten wie Ärzten aufgestockt und „prüfen“ daher intensiver und kompetenter.
Arzneimittel viel Stärker kontrolliert: Medikamente können nur auf den Markt gelangen, wenn umfangreiche Studien mit menschlichen Patienten ihre Wirksamkeit belegen. Silikonkissen oder andere risikoreiche Medizinprodukte können hingegen implantiert werden, ohne dass sie hinreichend getestet sind.
- Auch bei den Arzneimitteln gibt es schwarze Schafe
  - Unterdosierte Krebsmittel
  - gestohlene Krebsmittel aus Griechenland
  - Blutdrucksenker mit potenziell Krebserregenden Stoff verunreinigt
- Die strengen Kontrollen bei Arzneimittel können auch nicht vor böswilligen Handeln schützen. Kein System kann das. Egal ob von einen staatlichen Behörde oder von benannten Stellen.
Vorkommnisse: Hersteller reagieren nicht auf Probleme mit Ihren Produkten
- Es gibt mit Sicherheit Hersteller die Ihrer Pflicht nicht nachkommen
- Es ist auch korrekt, dass das BfArM hier wenig tun kann. Es hat den Eindruck das das BfArM seine Hauptaufgabe in der Veröffentlichung der Vorkommnisse der Hersteller sieht.
- Die Landesbehörden führen keine (wahrnehmbare) aktive Überwachung durch und reagieren selbst auf Anfragen zurückhaltend. Ein wirksames Überwachungssystem sieht anders aus.
Haftpflichtversicherung: Es heißt in der neuen Verordnung nur, dass die Hersteller freiwillig eine Versicherung abschließen oder Rücklagen bilden sollen, damit sie bei Schäden durch fehlerhafte Produkte haften können.
- Hersteller werden im Audit des Qualitätsmanagementsystems (meinst nach ISO 13485) dahingehend geprüft ob eine Haftpflichtversicherung besteht.
- Das führt zu eine Hauptabweichung die der Hersteller sehr schnell beheben muss
Eudamed Datenbank: Es ist nicht klar welche Informationen öffentlich sein werden. Außerdem scheint er Aufbau scheint aber in Verzug zu sein. Es ist spannend, ob am Ende Abstriche gemacht würden bei Aufbau, Zugang und der Art, wie Daten einpflegt werden. Wenn es nicht erreicht wird, bleibt es erst einmal beim alten, intransparenten System.
- Die Datenbank soll auch für die Öffentlichkeit (teilweise) einsehbar sein
- Es ist korrekt, dass noch nicht endgültig entschieden wurde welche Informationen öffentlich werden und welche nicht
- Dadurch wird es jedoch möglich Medizinprodukte sehr genau nachverfolgen zu können

Öffentlicher Pranger von Unternehmen und Personen

Die Professoren Max Aebi und Thomas Steffen:

Sie waren als Ärzte bei der klinischen Prüfung von Bandscheiben-Implantaten beteiligt waren die zu Problemen geführt haben. Es wird Ihnen Fehler bei der klinischen Prüfung vorgeworfen.

Medtronic

Dem Unternehmen werden Vertuschung vorgeworfen.

Bayer

https://projekte.sueddeutsche.de/implantfiles/politik/implant-files-die-probleme-mit-essure-e389369/?reduced=true

War das Unternehmen, das die Essure Verhütungsspirale in Verkehr gebracht hat.

Wir hoffen, dass dadurch die Menschen nicht verunsichert werden und Angst vor medizinischen Eingriffen bekommen.

Reaktionen

Reaktionen zu den Implant Files werden sehr aktuell auf der folgenden Seite gesammelt:

https://www.sueddeutsche.de/politik/implant-files-reaktionen-jens-spahn-gesundheitsminister-1.4225529

Teilweise Gegendarstellung des Bayrischen Rundfunks:

https://www.br.de/mediathek/podcast/der-funkstreifzug/neue-eu-verordnung-engpass-bei-herzschrittmachern-und-prothesen-droht/1289419

Schlussworte

Die Implant Files sind gut um auf Fehler im System hinzuweisen. Eine gewisses dramatisieren ist notwendig, um aufzurütteln. Wie die Recherche gezeigt hat gibt es durchaus Medizinprodukte bei denen Grund zur Sorge besteht. Es ist unbestritten, dass jeder unnötig geschädigte Patient einer zu viel ist.

Wir hoffen, dass dadurch die Menschen nicht verunsichert werden und Angst vor medizinischen Eingriffen bekommen.

Ich persönlich halte die Relativierung der deutschen Medizintechnikverbände (BVMed, Devicemed, …) nicht für zielführend. Die gesamte Branche muss sich intensiv mit den Vorwürfen und Forderungen auseinander setzten. Da täglich neue Berichte zu den Implant Files veröffentlicht werden, müssen hier sehr viele Diskussionen geführt werden. Zum Zeitpunkt der Aufnahme konnten vom Schweizer Medizintechnikverband hat noch keine Pressemitteilung zu den Implant Files gefunden werden.

Es ist schade, dass die Veröffentlichung mit dem Wechsel der neuen Medizinprodukteverordnung so korreliert. Dadurch sind viele Forderungen der Implant Files “leicht” umzusetzen, weil sie ja schon im neuen Gesetz stehen.

Die Implant Files sind für Hersteller, benannten Stellen und Behörden eine Chance zu zeigen welche Anstrengungen unternommen werden um sichere Medizinprodukte in Verkehr zu bringen. Unser Podcast ist hier ein kleiner Beitrag um für Aufklärung zu sorgen, Informationen zu liefern und Fragestellungen zu beantworten.

Quellen

Hauptseiten der Implant Files

Aufwand für Zulassungen:

https://www.emergobyul.com/resources/worldwide/global-regulatory-comparison-tool

Pressemeldungen und Reaktionen:

MST008 – Regulatory: Risikomanagement – Verfahren (PHA, FTA, FMEA, HAZOP)

Philipp

Fabian

Preliminary Hazard Analysis

(Vorläufige Gefährdungsanalyse):

Wird als High-Level-Analyse zu Beginn einer Entwicklungsphase durchgeführt
Meist während der Anforderungsanalyse und des Entwurfsprozesses
- Eine grobe Beschreibung des Systems muss vorhanden sein
Induktives Analyseverfahren (also vom Speziellen zum Allgemeinen)
Es sollen Gefährdungen, Gefährdungssituationen und Ereignisse identifiziert werden
Häufig wird von einer Aktivität oder einer Komponente ausgegangen und die sich daraus entstehenden Gefährdungen identifiziert
Die Art und Weise der Dokumentation (Tabelle, Skizze, …) ist nicht definiert
Manche Firmen erstellen eine grobe Klassifizierung in Schweregrade (Minor, Moderate, Major), wenn diesem Zeitpunkt eine Risikobewertungsmatrix vorliegt
Nicht formalisiert (Brainstorming, Erfahrungen, Expertenmeinung, …)
Es werden häufig Erfahrungen von Vorgängern oder ähnlichen Systemen verwendet

Da die vorläufige Gefährdungsanalyse typischerweise zu Beginn des Prozesses durchgeführt wird, bevor andere Analysetechniken durchgeführt wurden, hat diese Methode zwei wesentliche Einschränkungen:

Es sind zusätzliche Folgeanalysen erforderlich. Da die PHA früh in der Entwicklung durchgeführt wird liegen auch nur vorläufige Systembeschreibungen und Architekturen vor. Es sind in der Regel zusätzliche Analysen erforderlich, um die vom PHA-Team identifizierten Gefährdungen und Gefährdungssituationen besser zu verstehen und zu bewerten.
Die Qualität der Ergebnisse hängt stark vom Wissen des Teams ab. Zum Zeitpunkt einer PHA gibt es nur wenige oder gar keine ausgereiften Systemspezifikationen und wenig oder gar keine detaillierten Designinformationen. Daher stützt sich die Risikobewertung stark auf das Wissen der Spezialisten. Wenn diese Experten nicht an der Risikobewertung teilnehmen oder wenn es sich bei dem System um eine neue Technologie mit wenig oder gar keiner frühen Betriebsgeschichte handelt, werden die Ergebnisse der PHA die Unsicherheit des Teams in vielen Ihrer Bewertungen und Annahmen widerspiegeln.

Quellen:

ISO 14971, Anhang G2
IEC/ISO 31010

Fault Tree Analysis

(Fehlerbaumanalyse):

Top-Down-Verfahren
Zentrale Frage: “Welche Ursachen können zu einem bestimmter Schaden führen?”
- Was muss passieren? In welchem Zusammenhang?
Geht von einem Schaden zur möglichen Ursache
Es sollen Gefährdungen und Ereignisse identifiziert werden
Benötigt Wissen über die System-Architektur
Kombinationen von Ursachen bestimmen, die zu bestimmten unerwünschten Events führen
Es werden Ereignisse mittels boolescher Operatoren (und/oder) verknüpft
- Dadurch können Zusammenhänge bzw. Ereignisketten dargestellt werden
- Es kann an dem Punkt aufgehört werden, wenn das Element beherrscht werden kann
Üblicherweise als Baum dargestellt (wie schon aus dem Namen zu erahnen ist)
- Im regulieren Umfeld auch tabellarische Darstellung möglich
- Kann auch als mitgeltende Unterlage zur FMEA verwendet werden
Im Gegensatz zur FMEA (monokausal) zeigt die FTA, dass ein Schaden mehrere Ursachen haben kann. Oder wie verschiedene Ursachen zusammenspielen müssen um zu einem Schaden zu führen.
Pro Gefährdung einen Baum erstellen

Die FTA sucht zu gegebenen Wirkungen unbekannte Ursachen.

Quellen:

ISO 14971, Anhang G3
IEC 61025
https://en.wikipedia.org/wiki/Fault_tree_analysis
https://www.johner-institut.de/blog/iso-14971-risikomanagement/fault-tree-analysis-fta/

Failure Mode and Effect Analysis

(Fehlermöglichkeits- und Einflussanalyse):

Bottom-Up-Verfahren
Zentrale Frage: “Wie breiten sich Fehler aus und führen zu einem Schaden?”
Induktives Verfahren, beginnend mit einzelnen Komponenten mit der ersten Fehler-/Auslöserursache
Es sollen (unbekannte) Auswirkungen und Gefährdungen identifiziert werden, die von bekannten Ursachen verursacht werden
Benötigt Wissen über das Gesamtsystem/Architektur
- Es sollte von den untersten Komponenten in der (Software)Architektur ausgegangen werden
- Es können auch Fremdkomponenten betrachtet werden (SOUP, Betriebssystem, Laufzeitumgebung, …)
Auswirkungen untersuchen, die das Versagen einzelner Komponenten auf ein Gesamtsystem haben
Kann als ein mögliches Verfahren verwendet werden um die Software-Sicherheits-Klasse zu argumentieren
Üblicherweise als tabellarische Darstellung
Risikoprioritätsziffer (RPZ) sehr problematisch und für die Anwendung mit der ISO 14971 nicht empfohlen
- RPZ widerspricht der Norm. Anhang D nennt diesen Fall explizit (“Dies bedeutet nicht, dass die beiden Faktoren multipliziert werden, um zu einem Risikowert zu gelangen.”)
- Anstatt der RPZ mit der Risikobewertungsmatrix arbeiten

Beispiel einer FMEA Tabelle für ein Endoskop (Tabelle kann vertikal und horizontal verschoben werden):

Komponente / Funktion	(Erst)Fehler	Auswirkung auf das Subsystem	Auswirkung auf das Gesamtsystem	Möglicher Schaden	Erwartete Häufigkeit	Risiko
Bildrotation	Rechnet mit falschen Koordinaten	Liefert falschen Rotationswinkel	Gerät wird falsch positioniert	Schnittwunden	Schnittwunden	Akzeptabel (aus der Risikobewertungsmatrix)
Authentifizierung	Standardpasswörter während der Entwicklung nicht entfernt	Vertraulichkeit nicht gewährleistet	Vertraulichkeit nicht gewährleistet	innere Blutungen	Unwahrscheinlich	Nicht akzeptabel (aus der Risikobewertungsmatrix)
Authentifizierung	Fehler in der verwendeten Feldkomponente (oder falsch verwendet)	Verfügbarkeit nicht gewährleistet	Anwender kann Gerät nicht verwenden	Schmerzen	Selten	Nicht Akzeptabel (aus der Risikobewertungsmatrix)

Die FMEA sucht zu einer angenommenen Ursache unbekannte Wirkungen.

Quellen:

ISO 14971, Anhang G4
IEC 60812
https://www.johner-institut.de/blog/iso-14971-risikomanagement/fmea-bei-medizinprodukten/

Hazard and Operability

(Gefährdung und Beherrschbarkeit):

Ähnlich einer FMEA
Auf Deutsch: PAAG (Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen)
Ursprünglich für chemische industrielle Herstellungsverfahren
Feststellen von Abweichungen bei der normalen Anwendung
Es sollen Gefährdungen festgestellt werden
Die Anforderungen und die Systemarchitektur muss bekannt sein
Der Fokus liegt auf dem System und seinen Teilen
- Ist daher nicht geeignet zum Risiken durch mangelnde Gebrauchstauglichkeit zu identifizieren
Kann zur Identifizierung wesentlicher Leistungsmerkmale verwendet werden

Definition wesentliches Leistungsmerkmal:

Ein Leistungsmerkmal ist dann ein wesentliches Leistungsmerkmal, wenn es bei Fehlen oder Verschlechterung zu einem unvertretbaren Risiko führen kann. (nach IEC 60601-1)

Die Ereigniskette wird in beide Richtungen analysiert (Ursache und Folgen)

FMEA: Von der Ursache zu den Folgen (“bottom up”)
FTA: Von den Folgen zur Ursache (“top down”)

Damit ist die HAZOP ist kein alternatives, sondern ein zusätzliches Verfahren, was die vollständige Dokumentation des Systems voraussetzt.

Quellen:

ISO 14971, Anhang G6
IEC 61882
https://www.johner-institut.de/blog/iso-14971-risikomanagement/hazop-iec-61882/

Zusammenfassung dieser Episode

Es wurden nur Verfahren zur Risikoanalyse vorgestellt
- Gefährdungen identifizieren
- Gefährdungssituationen und vorhersehbaren Ereignisabläufe identifizieren
Das Risikomanagement umfasst jedoch noch viel mehr
- Risikomanagement Prozess
- Zweckbestimmung
- Risikobewertungsmatrix
- Risikobewertung
- Risikominimierung
- Bewertung der Akzeptanz der Gesamtrisiken
- Risikomanagementbericht
- Nachgelagerte Phase
- CAPAs, Interne Audits, Kundenfeedback, nicht konformes Material, …

MST007 – Aktuelles: Apple Watch

Philipp

Fabian

Grundlagen EKG

Elektrokardiogramme, häufig auch als EKG bezeichnet, zeichnen den zeitlichen und örtlichen Verlauf elektrischer Erregungsvorgänge am Herzmuskel auf
Jede Erregungsausbreitung über Fasern im Herzen stellt eine Quelle elektrischer Spannung dar
Das Herz ist somit eine Potentialquelle und das EKG zeigt quasi ein Bild der Potentialverschiebung oder Elektrizitätserzeugung, also die Erregungsvorgänge am Herzen
Bei einem klassischen Elektrokardiogramm liegt die Größe des Nutzsignals bei ca. einem Millivolt.
Unterschiede finden sich in der Abnahmetechnik und in räumlicher Hinsicht
Als bipolare Ableitung bezeichnet man Ableitungen zwischen zwei Punkten
Bei der so genannten unipolaren Ableitung ist eine differente Elektrode gegen eine Nullelektrode geschaltet
Als Standardableitungen werden bezeichnet: Die drei bipolaren Extremitätenableitungen (I, II, III) nach Einthoven, die auf diesen Ableitungen basierenden und von Goldberger konstruierten unipolaren Extremitätenableitungen (aVR, aVL, aVF), sowie die sechs unipolaren Brustwandableitungen (V1, V1, V3, V4, V5, V6) nach Wilson
Ein konventionelles 12-Kanal-EKG registriert parallel die Extremitätenableitungen nach Einthoven (3) und Goldberger (3), sowie die Brustwandableitung nach Wilson (6)

Der Artikel in der Wikipedia beschreibt das Thema EKG auch sehr gut. Dort werden auch die verschiedenen Abschnitte eines EKGs erklärt.

Quellen:

R. Kramme (Hrsg.), Medizintechnik, 4. Auflage, Springer-Verlag Berlin Heidelberg 2011
https://flexikon.doccheck.com/de/Elektrokardiogramm

Apple Watch und EKG

Die Apple Watch besitzt ein sog. 1-Kanal EKG. Generell gilt für 1-Kanal EKGs das Folgende:

ein 1-Kanal EKG ist eine unipolare Ableitung nach Wilson
es werden eine oder zwei Elektroden verwendet
es können nur Rythmusanalysen durchgeführt werden
1-Kanal EKGs können nicht zur kardiologischen Diagnose verwendet werden
Ischämien können überhaupt nicht erkannt werden und auch die Aussagekraft für Diagnose und Lokalisierung von Herzrhythmusstörungen ist sehr stark eingeschränkt
das 1-Kanal-EKG dient in erster Linie der Erkennung von Tachykardien und (häufiger) der von Bradykardien
es gibt 1-Kanal-EKGs für Hausärzte die auf die Brust des Patienten gelegt werden können
1-Kanal EKG Produkte: (Zufällig gefunden ohne Anspruch auf Vollständigkeit)
- HeartScan HCG-801: https://www.omron-healthcare.com/de/products/electrocardiograph
- ME 90: http://www.beurer-medical.de/medical/de/produkte/herzrhythmus/herzrhythmus.php
- Pulox PM10: https://www.pulox.de/Pulox-PM10-Mobiles-Einkanal-EKG-Geraet-Heim-EKG-Geraet

Aus dem 1-Kanal-EKG lassen sich aber nur folgende Diagnosen stellen:

Bradykardie (zu langsamer Herzrhythmus)
Tachykardie (zu schneller Herzrhythmus)
Asystolie (kein Rhythmus)
supraventrikuläre und ventrikuläre Extrasystolen (Herzschläge außerhalb des physiologischen Herzrythmus)
ektoper Rhythmus (eine Art von Herzrhythmusstörung)
Vorhof- und Kammerflattern oder -flimmern

Apple hatte Mitte 2016 in den USA ein Patent für eine EKG-Funktion in einem Wearable angemeldet:

http://www.patentlyapple.com/patently-apple/2016/08/apple-invents-a-new-health-wearable-device-that-measures-electrocardiographic-signals.html

Quelle: R. Kramme (Hrsg.), Medizintechnik, 4. Auflage, Springer-Verlag Berlin Heidelberg 2011

“Konkurrenzprodukte” unter anderem von:

1. Alivecor

Firma: https://www.alivecor.com/

Gebrauchsanweisung: https://www.alivecor.com/previous-labeling/kardia/08LB12.5.pdf

FDA: https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfpmn/pmn.cfm
In der Suche bei Applicant Name nach alivecor suchen: Hier sieht man, es wurde sieben mal eine 510(k), eine Art “Erlaubnis”, ausgestellt.

der Hersteller hat die Konformität in der EU erklärt (CE-Zeichen)
benannte Stelle war der TÜV Süd (0123) auf dem CE-Zeichen in der Gebrauchsanweisung

Zweckbestimmung:

Das Produkt Kardia Mobile ist für die Aufzeichnung, Speicherung und Übertragung eines Einkanaligen Elektrokardiogramm (EKG) Rhythmus bestimmt. Das Produkt Kardia Mobile zeigt auch EKG-Rhythmen an und erkennt das Vorhandensein von Vorhofflimmern und normalem Sinusrhythmus (wenn verschrieben oder unter ärztlicher Aufsicht verwendet). Das Produkt Kardia Mobile ist für den Gebrauch durch medizinisches Fachpersonal, Patienten mit bekannten oder vermuteten Herzerkrankungen und gesundheitsbewusste Personen bestimmt. Das Produkt ist nicht für den pädiatrischen Einsatz vorgesehen und wurde auch nicht dementsprechend getestet.

2. Personal MedSystems GmbH

Firma: https://www.cardiosecur.com/de/produkt/wie-es-funktioniert/

Gebrauchsanweisung: https://www.cardiosecur.com/de/meta-navigation/footer/hilfe/download-center/

der Hersteller hat die Konformität in der EU erklärt (CE-Zeichen)
benannte Stelle war der TÜV Süd (0123) auf dem CE-Zeichen in der IFU

Zweckbestimmung

CardioSecur dient dazu, Ruhe-Elektrokardiogramme (-EKGs) von Erwachsenen aufzuzeichnen, auszuwerten und zu speichern. CardioSecur ist ein medizinisches, elektrisches System, welches aus einem EKG-Kabel und einer App für das Smartphone besteht. Mit 4 Elektroden kann CardioSecur ein vollwertiges 15-Kanal-EKG aufzeichnen, auswerten und speichern. Anhand des Vergleiches eines Kontroll-EKGs mit einem Referenz-EKG erkennt CardioSecur mögliche Rhythmus- und Durchblutungsstörungen des Herzens. CardioSecur dient der Selbstüberwachung der Herzaktivität.

Die Aufzeichnung des Referenz-EKGs muss zu einem beschwerdefreien Zeitpunkt erfolgen und wird in der CardioSecur App gespeichert. Die Aufzeichnung kann sowohl unter ärztlicher Kontrolle als auch durch den Anwender selbst erfolgen. Ein Kontroll-EKG sollte sofort bei Beschwerden oder aber unabhängig von Beschwerden in regelmäßigen Abständen (z. B. täglich) erfolgen.

Der Anwender benötigt für die Verwendung von CardioSecur keine medizinischen Vorkenntnisse und muss nicht gesondert geschult sein. CardioSecur wird für Personen mit einer bekannten oder vermuteten Herzerkrankung und für Personen mit Risikofaktoren für eine Herzerkrankung (z. B. Bluthochdruck, Diabetes mellitus oder erhöhtes Cholesterin) empfohlen. CardioSecur kann sowohl von Patienten als auch von Vorsorgenden verwendet werden. […]

Was ist an der Apple Watch ein Medizinprodukt?

Kurze Wiederholung der Definition Medizinprodukt

Sehr starkt vereinfacht zusammengefasst: Medizinprodukte sind Produkte, die vom Hersteller dazu bestimmt sind

Krankheiten und Verletzungen von Patienten zu diagnostizieren, zu überwachen und zu therapieren oder
physiologische Vorgänge zu untersuchen oder
den anatomischen Aufbau von Menschen zu verändern oder
der Empfängnisregelung zu dienen.

Sobald ein Produkt einer dieser Definitionen genügt, ist es ein Medizinprodukt, das den regulatorischen Anforderungen genügen muss. Das bedeutet, dass der Hersteller (mit seiner Zweckbestimmung) entscheidet, ob es sich bei dem Produkt um ein Medizinprodukt handelt.

Wie ist das jetzt mit der “Zulassung” in Amerika von der FDA?

Die FDA hat für zwei Apps auf der Uhr eine “Clearance” (Freigabe) erteilt. Das ist nicht das gleiche wie ein “Approval” (Zulassung”). Approvals gibt es von der FDA nur für Klasse III Produkte (z.B.: Implantierbare Herzschrittmacher).

Das aufwändigste Verfahren ist die FDA-Zulassung, die nur für Produkte der Klasse III erfolgt, oder für Technologien, die ein höheres Risiko, aber auch einen höheren Nutzen haben könnten. https://www.fda.gov/medicaldevices/productsandmedicalprocedures/deviceapprovalsandclearances/default.htm

Apple hat eine “de novo”-Klassifizierung für die beiden Apps erhalten. Das bedeutet,

die Apps liegen risikobedingt noch in der Klasse II
die Apps haben nicht so viele Tests durchlaufen hat wie ein “zugelassenes” Gerät
die Apps sind anders als alles andere auf dem Markt (de novo Charakter)

Interessante Infos, bevor wir in die FDA Unterlagen schauen

Die ehemalige FDA Beamtin Donna-Bea Tillman hat die Einreichung bei der FDA für Apple durchgeführt. Da hat Apple eine exzellente Wahl getroffen.

DeNovo Datenbank: https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfPMN/denovo.cfm

bei Requester Name nach Apple suchen

EKG App

FDA Dokumente zur de novo Klassifizierung: https://www.accessdata.fda.gov/cdrh_docs/pdf18/DEN180044.pdf

Device Class: 2
Product Code: QDA

Zweckbestimmung aus der DeNovo Klassifizierung

Die EKG-App ist eine reine mobile medizinische Softwareanwendung, die für die Verwendung mit der Apple Watch bestimmt ist, um ein Einkanal-EKG zu erstellen, aufzuzeichnen, zu speichern, zu übertragen und anzuzeigen, ähnlich dem eines 1-Kanal EKGs. Die EKG-App bestimmt das Vorhandensein von Vorhofflimmern (AFib) oder Sinusrhythmus auf einer klassifizierbaren Wellenform. Die EKG-App wird nicht für Benutzer mit anderen bekannten Arrhythmien empfohlen.

Die EKG-App ist für den rezeptfreien Einsatz (OTC) vorgesehen. Die von der EKG-App angezeigten EKG-Daten sind nur zur Information bestimmt. Der Benutzer ist nicht dazu bestimmt, ohne Rücksprache mit einem qualifizierten medizinischen Fachpersonal klinische Maßnahmen auf der Grundlage der Geräteausgabe zu interpretieren oder zu ergreifen. Die EKG-Wellenform soll die Rhythmusklassifizierung ergänzen, um AFib vom normalen Sinusrhythmus zu unterscheiden, und nicht dazu bestimmt, traditionelle Diagnose- oder Behandlungsmethoden zu ersetzen. Die EKG-App ist nicht für Personen unter 22 Jahren bestimmt.

Die FDA identifiziert diesen generischen Gerätetyp als elektrokardiographische Software für den rezeptfreien Gebrauch. Eine elektrokardiographische Gerätesoftware für den rezeptfreien Gebrauch erzeugt, analysiert und zeigt elektrokardiographische Daten an und kann Informationen zur Identifizierung von Herzrhythmusstörungen liefern. Dieses Gerät ist nicht dazu bestimmt, eine Diagnose zu stellen.

Irregular Rhythm Notification Feature

FDA Dokumente zur de novo Klassifizierung: https://www.accessdata.fda.gov/cdrh_docs/pdf18/DEN180042.pdf

Device Class: 2
Product Code: QDB

Zweckbestimmung aus der DeNovo Klassifizierung

Das Irregular Rhythm Notification Feature ist eine reine mobile medizinische Softwareanwendung, die für die Verwendung mit der Apple Watch bestimmt ist. Die Funktion analysiert Pulsfrequenzdaten, um Abschnitte unregelmäßiger Herzrhythmen zu identifizieren, die auf Vorhofflimmern (AFib) hinweisen und informiert den Anwender. Die Funktion ist für den rezeptfreien Einsatz (OTC) vorgesehen. Es ist nicht vorgesehen, über jeden Abschnitt eines unregelmäßigen Rhythmus, der auf AFib hindeutet, zu informieren, und das Fehlen einer Benachrichtigung soll nicht darauf hindeuten, dass kein Erkrankungsverlauf vorliegt; vielmehr soll das Merkmal opportunistisch eine Benachrichtigung über eine mögliche AFib hervorrufen, wenn ausreichende Daten für die Analyse verfügbar sind. Diese Daten werden nur erfasst, wenn sich der Benutzer noch im Ruhezustand befindet. Zusammen mit den Risikofaktoren des Benutzers kann die Funktion genutzt werden, um die Entscheidung für das AFib-Screening zu ergänzen. Das Merkmal ist nicht als Ersatz für herkömmliche Diagnose- oder Behandlungsmethoden gedacht.

Die Funktion wurde nicht getestet und ist nicht für die Verwendung bei Personen unter 22 Jahren vorgesehen. Es ist auch nicht für die Verwendung bei Personen bestimmt, bei denen zuvor AFib diagnostiziert wurde.

Die FDA identifiziert diesen generischen Gerätetyp als photoplethysmographische Analysesoftware für den stationären Einsatz. Eine Photoplethysmographie-Analyse-Softwarevorrichtung für den rezeptfreien Gebrauch analysiert Photoplethysmographie-Daten und liefert Informationen zur Identifizierung unregelmäßiger Herzrhythmen. Dieses Gerät ist nicht dazu bestimmt, eine Diagnose zu stellen.

Wie sieht es in Europa (und damit auch Deutschland) aus?

In Europa und damit auch in Deutschland sind die beiden Apps nicht verfügbar, da Apple keine Konformität nach EU-Recht erklärt hat.

In Europa erklären die Hersteller die Konformität selbst. Eine benannte Stelle ist meist in das Konformitätsbewertungsverfahren eingebunden.

Es wird sich vermutlich um ein aktives Medizinprodukt handeln.

Regel 10 MDD
Regel 9, 10, 11 MDR

Auszug Regel 10 MDD:

Alle aktiven diagnostischen Produkte gehören zur Klasse IIa,

wenn sie dazu bestimmt sind, eine direkte Diagnose oder Kontrolle von vitalen Körperfunktionen zu ermöglichen, es sei denn, sie sind speziell für die Kontrolle von vitalen physiologischen Parametern bestimmt und die Art der Änderung dieser Parameter könnte zu einer unmittelbaren Gefahr für den Patienten führen, z.B. Änderung der Herzfunktion, der Atmung oder der Aktivität des zentralen Nervensystems, oder wenn sie für die Diagnose in klinischen Situationen, in denen der Patient in unmittelbarer Gefahr schwebt, bestimmt sind; in diesen Fällen werden sie der Klasse IIb zugeordnet

Siehe Episoden MST-002 (Rechtliche Grundlagen MDR) und MST-003 (Anwendung rechtlicher Grundlagen)

MST006 – Regulatory: Risikomanagement – Risikobewertungsmatrix

Philipp

Fabian

Risikobewertungsmatrix

Wiederholung – Definitionen:

Schaden: Physische Verletzung oder Schädigung der Gesundheit von Menschen oder Schädigung von Gütern oder der Umwelt
Schweregrad: Maß der möglichen Folgen einer GEFÄHRDUNG
Risiko: Kombination der Wahrscheinlichkeit des Auftretens eines SCHADENS und des SCHWEREGRADES dieses SCHADENS

Grundlagen:

Risikobewertungsmatrix dient dem Überblick
Risikobewertungsmatrix nicht gesetzlich vorgeschrieben
Risikobewertungsmatrix spezifisch für jedes Produkt
Die Achse sind in der Regel logarithmisch (großer Bereich)

: Risikograph – stilisiert

1. Wahrscheinlichkeiten festlegen

Einheit: 1/Anzahl Anwendungen

Entwicklerseite betrachten:
- Wahrscheinlichkeit, dass eine Gefährdungssituation eintritt

Beispieldaten:

Das Unternehmen hat in Europa ca. 25% Marktanteil
Das Produkt wird ausschließlich in der inneren Medizin von Krankenhäusern verwendet
Das Produkt hat eine Lebensdauer von 10 Jahren
Das Produkt wird in 50% aller inneren Behandlungen verwendet
Das Produkt wird im Durchschnitt 10 mal pro Behandlung angewendet
Das Produkt soll in Europa verkauft werden
In Europa gibt es ca. 5.000 Krankenhäuser
Im Durchschnitt hat eine innere Station ca. 25 Betten
Die Bettenbelegungsrate liegt im Durchschnitt bei 75%
Es finden am Tag im Durchschnitt 0,25 Behandlungen pro Patient (=belegtes Bett) statt
Es werden im Durchschnitt an 340 Tagen im Jahr Behandlungen durchgeführt

Das bedeutet:

25 Betten * 0,75 Bettenbelegungsrate * 0,25 Behandlungen => 4,6875 Behandlungen pro Tag pro Patient
4,6875 Behandlungen pro Tag pro Patient * 5.000 Krankenhäuser => 23.437,5 Behandlungen pro Tag in Europa
23.437,5 Behandlungen pro Tag in Europa * 0,5 Behandlungen mit dem Produkt * 10 Anwendungen pro Behandlung mit dem Produkt * 0,25 Marktanteil => 29.296,875 geplante Behandlungen mit dem Produkt pro Tag
29.296,875 geplante Behandlungen mit dem Produkt pro Tag * 340 Behandlungen pro Jahr * 10 Jahre Lebensdauer => 99.609.375 Anwendungen pro Gerät über die gesamte Lebensdauer
ca. 1.000.000.000 (eine Milliarde) Anwendungen pro Gerät über die gesamte Lebensdauer
1/1.000.000.000 => 10^-9

Wahrscheinlichkeitsklasse	Beschreibung / Definition	Häufigkeit
Häufig	Fehler nahezu sicher. Tritt bei jeder Anwendung auf.	p > 10^-1
Wahrscheinlich	Fehler wahrscheinlich. Tritt bei einzelnen Anwendungen auf, wenn das Produkt in seinem vorgesehenen Umfeld angewendet wird.	10^-3 < p ≤ 10^-1
Gelegentlich	Gelegentliche Fehler sind wahrscheinlich. Tritt bei wenigen Anwendungen auf, wenn das Produkt in seinem vorgesehenen Umfeld angewendet wird.	10^-5 < p ≤ 10^-3
Selten	Fehler ist nicht auszuschließen. Ein oder mehrere Vorfälle pro Produktlebenszyklus möglich.	10^-7 < p ≤ 10^-5
Unwahrscheinlich	Verkettung ungünstiger Umstände. Fehler konnte noch nicht beobachtet werden.	10^-9 < p ≤ 10^-7
Unvorstellbar	Kein Fehler in dem Produktlebenszyklus. Nur mit absichtlichem Missbrauch möglich.	p ≤ 10^-9

2. Schweregrade festlegen

Grundsätzlich:

dem Produkt angemessen und realistisch bleiben
- Ein OP Mikroskop führt in der Regel nicht zum Tod eines Patienten
- Bei einem Defibrillator sieht das schon anders aus

Patienten- und Anwenderseite betrachten:

Anwendungspezialisten (Anwender, Ärzte, …) mit einbeziehen
Durchschnitt bilden und nicht den Worst-Case annehmen

Gedankenmodell:

Größten und kleinsten Schaden festlegen
Anzahl Kategorien festlegen
Merkmale der Kategorie identifizieren
Eindeutige (binäre) Kriterien wählen

Schweregradsklasse	Beschreibung / Definition	Beispiele
gering	Führt zu reversiblen Schädigungen, die keiner ärztlichen Intervention bedürfen	Irritationen, Schürfwunden, Verbrennungen Grad I
ernst	Führt zu reversiblen Schädigungen, die ambulanter Abklärung bedürfen	Hämatome, Frakturen, Verbrennungen Grad II
kritisch	Führt zu irreversiblen Schädigungen oder lebensbedrohlichen Schädigungen	Neurologische Ausfälle, Organverletzungen, Innere Blutungen, Verbrennungen Grad III
katastrophal	Führt zum Tod eines oder mehreren Patienten	Tod

: Risikograph – Schweregrad – binäre Kriterien

3. Die “fertige” Risikobewertungsmatrix

Risikobewertungsmatrix drückt die Risikopolitik der Herstellers aus
Immer mit der Frage im Hinterkopf: Überwiegt der Nutzen dem Schaden?
Die Risikoanalyse soll das zu Erwartende darstellen, nicht den Worst-Case
Die Risikoakzeptanzschwelle muss erkennbar sein
- Anhand dieser Grenze wird häufig bewertet wie die Politik ist
- Es gibt “akzeptierte” Risiken, die in der Produktlebensdauer des Produktes zum Tode führen
- z.B. Es gibt zwei Risiken die mindestens ein mal pro Lebensdauer zum Tod führen

Vorgriff auf die nächste Sendung:

Beim erreichen “akzeptablen” Bereiches darf nicht aufgehört werden
Bis zum Stand der Technik weiter mindern

Quellen:

MST005 – Regulatory: Einführung Risikomanagement

Philipp

Fabian

Aufbau ISO 14971

Medizinprodukte – Anwendung des Risikomanagements auf Medizinprodukte

: ISO 14971

Wesentliche Forderungen der ISO 14971

Risikomanagement-Prozess
Verantwortung der Leitung
Qualifikation des Personals
Risikomanagementplan
Risikomanagementakte

: Inhalt einer Risikomanagementakte

Gefährdung, Gefährdungssituation, Schaden, Risiko

Gefährdung: potentielle Schadensquelle
Bsp: Hängender Kronleuchter
Bsp: Endoskop zur Darmuntersuchung

Gefährdungssituation: Umstände, unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind
Bsp: Man steht unter dem Kronleuchter
Bsp: Endoskop ist im Darm eingeführt

Schaden: physische Verletzung oder Schädigung der menschlichen Gesundheit oder Schädigung von Gütern oder der Umwelt
Bsp: Schädelbasisbruch aufgrund des Sturzes des Kronleuchters
Bsp: Verletzung des Darms

Risiko: Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und des Schweregrades dieses Schadens
Bsp: Wahrscheinlichkeitskombination aus Schadensauftreten und Schweregrad

Quellen

ISO 14971
Anhang E der ISO 14971

MST004 – Regulatory: Qualitätsmanagementsystem (QMS)

Philipp

Fabian

Historie:

1994: In der Medizintechnik wird das Qualitätsmanagement mit der ISO 9001 normativ eingeführt.
Etwa zur gleichen Zeit wurde von der FDA erstmals ein regulierter, eigenständiger Bereich etabliert. Durch diesen wurde beispielsweise die „Quality System Regulation“ herausgegeben, in welcher zum ersten Mal die Anforderungen an ein System zum Qualitätsmanagement für medizinische Produkte festgeschrieben wurden.
Unter Rekurs auf diese Entwicklung sahen sich auch die Europäer dazu genötigt, eine eigenständige Qualitätsmanagement-Norm für medizinische Produkte zu erarbeiten.
2003: Erste eigenständige Qualitätsmanagement-Norm für Medizinprodukte in Europa tritt in Kraft.
Schließlich wurde eine zur Harmonisierung vorgesehene Übergangszeit von drei Jahren festgelegt.
Seit deren Ende im Jahr 2006 blieb zumindest der normative Teil dieser zweiten Ausgabe bis zum Jahr 2015 unverändert.
2014: Fertigstellung der Erstfassung nach der Überarbeitung, 2015: Freigabe der neuen Fassung ISO 9001: 2015.

Quelle: https://www.devicemed.de/qualitaetsmanagement-in-der-medizintechnik-definitionen-ziele-und-tools-a-710821/

QMS in der Medizintechnik

Nachweis der Qualität eines medizinischen Produktes wird von immer mehr Kunden erwartet.
So empfinden es viele Kunden nicht mehr als ausreichend, wenn eine reine Qualitätskontrolle zum Beispiel im Rahmen einer Endkontrolle durch den Hersteller durchgeführt wird.
Die Aufgabe des Qualitätsmanagementsystems (QMS) ist es, die Qualitätsanforderungen über den gesamten Produktionszyklus hinweg zu überwachen – beginnend bei der Materialzulieferung bis zur Produktauslieferung.
Durch das QMS werden auf der einen Seite die Qualitätsziele definiert und auf der anderen Seite festgelegt, mithilfe welcher Maßnahme die jeweiligen Qualitätsziele erreicht werden sollen.
Der Beschluss des QMS erfolgt von der Leitung eines Unternehmens und die Umsetzung von den jeweiligen Fachabteilungen.
Laut der DIN EN ISO 9001: 2008 kommt dem Qualitätsmanagementsystem die Aufgabe zu, Leitung und Lenkung einer Organisation in Bezug auf die Qualität zu gewährleisten.
Anders formuliert: Durch ein Qualitätsmanagementsystem ist es möglich, Prozesse so zu konzipieren, dass das Medizinprodukt den Kundenanforderungen in Bezug auf die Qualität entspricht. Zudem kann sichergestellt werden, dass auch es auch den rechtlichen Anforderungen genügt.
Diese lassen sich folgendermaßen zusammenfassen:
Das Medizinprodukt sollte von seiner Qualität so beschaffen sein, dass es seine Zweckbestimmung möglichst fehlerfrei erfüllt.
Das Medizinprodukt sollte eine Qualität aufweisen, die sicherstellt, dass die sich beim Gebrauch des Medizinprodukts ergebenden Risiken sowohl für den Menschen als auch für die Umwelt vertretbar sind.
Dabei bezieht sich das Qualitätsmanagement in der Medizintechnik vorrangig auf produkt- und kundebezogene Prozesse im Unternehmen. Bei diesen handelt es sich unter anderem um Beschaffung, Entwicklung, Produktion, Vertrieb, Marketing, Auslieferung, Installation bzw. Montage, Instandhaltung sowie den Kundendienst.

Quelle: https://www.devicemed.de/qualitaetsmanagement-in-der-medizintechnik-definitionen-ziele-und-tools-a-710821/

Ziele des QMS

Ein Qualitätsmanagementsystem kann sich auf zahlreiche Leistungen und Produkte beziehen.
Aufgrund der Tatsache, dass Medizinprodukte am Menschen eingesetzt werden, müssen sie hohe Erwartungen in Bezug auf die Zuverlässigkeit und Sicherheit erfüllen.
Aufgrund von Verordnungen und Gesetzen wird durch den Gesetzgeber für einen hohen Schutz für Patienten, Anwender sowie Dritte gesorgt.
Deshalb muss ein Medizinprodukt alle beschriebenen Leistungen ordnungsgemäß und zuverlässig erfüllen. Nur dann genügt das Medizinprodukt den hohen Sicherheitskriterien und kann den Gesundheitsschutz sicherstellen.
Medizinprodukt-Hersteller müssen alle Gefahrenpotenziale mithilfe des aktuellen Stands der Technik soweit reduzieren wie möglich.
Zur Sicherung der Qualität im Rahmen der Produkthaftung ist aus diesem Grund ein Qualitätsmanagementsystem unverzichtbar.
Die Implementierung eines Qualitätsmanagementsystems ist für Unternehmen mit enormen finanziellen und zeitlichen Ressourcen verbunden, allerdings ergeben sich auf lange Sicht Einsparungen. Denn durch die Einführung eines Qualitätsmanagementsystems können Entwicklungszeiten verkürzt, Prozesse optimiert und Fehler vermieden werden.

Quelle: https://www.devicemed.de/qualitaetsmanagement-in-der-medizintechnik-definitionen-ziele-und-tools-a-710821/

Rechtliche Grundlagen

Aufgrund der oben erörterten Umstände schreibt die noch bis zum Ende der Übergangsfrist für die neue MDR anwendbare Richtlinie 93/42/EWG für Medizinprodukte (MDD), die spezifischen Risikoklassen zugehören, ein Qualitätsmanagementsystem vor.
Dieses ist dann bei der Entwicklung über die Herstellung bis hin zum Inverkehrbringen des jeweiligen medizinischen Produktes anzuwenden.
Im Rahmen der Richtlinie wird in der Medizintechnik diesbezüglich zwischen drei Kategorien von Systemen zum Qualitätsmanagement differenziert:
1. Vollständiges System zum Qualitätsmanagement: In dieser Kategorie wird das Qualitätssicherungssystem sowohl für die Auslegung als auch die Fertigung sowie die Endkontrolle des jeweiligen Medizinproduktes eingesetzt.
2. Qualitätssicherung der Produktion: Das System zum Qualitätsmanagement dient zur Qualitätssicherung und ist einerseits für die Herstellung und andererseits für die Qualitätsprüfung bzw. Endkontrolle der jeweiligen medizinischen Produkte vorgesehen.
3. Qualitätssicherung des (Medizin-)Produkts: Das System zum Qualitätsmanagement ist für die Endkontrolle sowie die Prüfung des jeweiligen Medizinprodukts vorgeschrieben.

Hinzu kommt, dass in Abhängigkeit des vorgesehenen Konformitätsbewertungsverfahrens oder der Risikoklasse eine Zertifizierung des Qualitätsmanagementsystems in der Medizintechnik zwingend notwendig sein kann.
Je nachdem, in welchen Ländern ein Medizinprodukt vermarktet werden soll, muss der Hersteller das Qualitätsmanagementsystem so konzipieren, dass neben den rechtlichen Anforderungen der EU auch diejenigen der entsprechend anvisierten Länder berücksichtigt.
Dies ist zum Beispiel dann der Fall, wenn der Hersteller für das Medizinprodukt eine Zulassung der FDA anstrebt.
Sowohl für den US-amerikanischen als auch für den europäischen Markt gelten dabei Richtlinien, die der Qualitätssicherung nach GMP (Good Manufacturing Practice), das heißt der guten Herstellungspraxis, entsprechen. Hinzu kommt, dass sich Hersteller medizinischer Produkte über die Qualitätsmanagementsysteme seiner Zulieferer informieren müssen. Denn auch für zugekaufte Produktkomponenten gilt es in der Medizintechnik, Qualitätsnachweise zu erbringen.
Im Allgemeinen liegt dem Zertifizierungsprozess eine Qualifizierung bzw. Validierung zugrunde. Diese wird unter Rekurs auf das Lebenszyklusmodell in die folgenden Phasen unterteilt:
1. Designqualifizierung (DQ, Design Qualification)
2. Installationsqualifizierung (IQ, Installation Qualification)
3. Funktionsqualifizierung (OQ, Operational Qualification)
4. Leistungsqualifizierung (PQ, Performance Qualification)

Unterstützung diesbezüglich bietet beispielsweise der Gemeinsame Bundesausschuss G-BA, welcher die Ergebnisse der Qualitätssicherung nach § 137 SGB V vom durchführenden Institut veröffentlichen lässt.

Quelle: https://www.devicemed.de/qualitaetsmanagement-in-der-medizintechnik-definitionen-ziele-und-tools-a-710821/

Zertifizierung eines Qualitätsmanagement-Systems – Wie erhalte ich das QMS Zertifikat?

Um ein Qualitätsmanagementsystem zertifizieren zu lassen, muss ein Antrag auf eine Qualitätsmanagement-Zertifizierung bei einer Benannten Stelle gestellt werden. Im Anschluss wird ein zweistufiges Auditverfahren durchgeführt, das heißt ein Auditor überprüft, ob die Vorgaben vom Unternehmen eingehalten werden.
Darüber hinaus wird auch das Qualitätsmanagement der technischen Dokumentation des Medizinprodukts überprüft.
Hersteller von medizinischen Produkten können diese einerseits nach der DIN EN ISO 9001 und andererseits nach der DIN EN ISO 13485 zertifizieren lassen.
Um die Qualität in der Medizintechnik sicherzustellen ist für Medizinprodukte die DIN EN ISO 13485 „Medizinprodukte-Qualitätsmanagementsysteme – Anforderungen für regulatorische Zwecke“ in der Regel die bedeutsamere Option.
In dieser Norm werden die Anforderungen an das Qualitätsmanagementsystem des Herstellers der Medizinprodukte sowie die damit einhergehenden Dienstleistungen definiert.
Durch Anwendung der Norm soll sichergestellt werden, dass Herstellung und Verpackung von medizinischen Produkten und die aus ihrem Gebrauch entstehenden Risiken sowohl für den Menschen als auch die Umwelt einen vertretbaren Rahmen nicht überschreiten.
Aus diesem Grund können Medizinproduktehersteller, welche ein Qualitätsmanagementsystem entsprechend der DIN EN ISO 13485 nachweisen, zugleich belegen, dass ihr medizinisches Produkt den grundlegenden Anforderungen in Bezug auf die Qualitätssicherung bzw. die Qualität genügt. Auch die Qualitätssicherung der Messtechnik, Qualitätssicherung der Werkzeuge und Qualitätssicherung der Fertigung fallen ebenso unter diese Kategorie, wie die Qualitätssicherung im Wareneingang (Wareneingangskontrolle) und die Qualitätssicherung im Warenausgang.

Quelle: https://www.devicemed.de/qualitaetsmanagement-in-der-medizintechnik-definitionen-ziele-und-tools-a-710821/

Aufbau der ISO 13485

Abschnitt 4 (Einleitung)

Effektives Qualitätsmanagementsystem (QMS)

Definiert Prozesse, aus denen sich das QMS zusammensetzt und zeigt, wie sie mit einem risikobasierten Ansatz verbunden und gesteuert werden.
Qualitätsmanagementhandbuch
Medical Device File für jedes Medizinprodukt
Dokumente und Aufzeichnungen müssen entsprechend einem dokumentierten Prozess gesteuert werden

Abschnitt 5 (Verantwortung der Leitung)

Verpflichtung des Top-Managements für den Aufbau und die Aufrechterhaltung eines effektiven Qualitätsmanagementsystems

Qualitätspolitik: Festlegung von Qualitätszielen für die gesamte Organisation
Festlegung von Verantwortlichkeiten und Zuständigkeiten für den effektiven Betrieb der Organisation in Übereinstimmung mit dem Qualitätsmanagementsystem
Managementbeauftragte, die die Effektivität durch Management Reviews belegen

Abschnitt 6 (Management von Ressourcen)

Arbeitsumgebung und Personal

Die Leute müssen sich auskennen (Schulung, Weiterbildung, Qualifikation)
Arbeitsumgebung
- Gesundheit
- Sauberkeit
- Kontamination (wenn Zutreffend)

Abschnitt 7 (Produktrealisierung)

Betrifft quasi den gesamten Betrieb

Planung der für die Produktrealisierung notwendigen Prozesse
Qualitätsziele = Anforderungen an die Produktrealisierung definieren
Vorkehrungen für die Kommunikation mit Kunden und Aufsichtsbehörden für Medizinprodukte treffen
Organisation von Design- und Entwicklungsprozessen
Designverifizierung und -validierung
Designtransfer (in die Fertigung)
Verfahren zur Steuerung des Einkaufs von Produkten und Dienstleistungen
Auswahl der Lieferanten und Überwachung ihrer Leistung
- Produktkäufe planen und überprüfen, ob die gekauften Produkte den Spezifikationen entsprechen.
- Kontrolle und Überprüfung der gekauften Produkte
Planung, Überwachung und Steuerung der Service- und Produktionsbereitstellung
- Kontaminationskontrolle (falls zutreffend)
- Installations- und Verifikationsanforderungen
- Serviceverfahren und Referenzmaterialien
- Validierung von Produktionsprozessen, bei denen eine Inspektion nicht möglich ist.
- Produktidentifikation und Rückverfolgbarkeit

Abschnitt 8 (Messung, Analyse und Verbesserung)

Planen, wie die Organisation Prozesse überwachen, messen und analysieren wird, um die Konformität und Effektivität von Produkten und QMS sicherzustellen

Verfahren zur Einholung und Überwachung von Kundenfeedback
Verfahren zur Untersuchung von Beanstandungen
Verfahren zur Überprüfung von Risiken
Verfahren zur Meldung an Regulierungsbehörden
Planen und durchführen interner Audits, um festzustellen, ob das QMS konform ist und die Prozesse die geplanten Ergebnisse erreichen
Überwachung und Messung der Produkte während des Herstellungsprozesses, um nicht konforme Produkte zu identifizieren
- geeignete Maßnahmen ergreifen, um nicht konforme Produkte zu isolieren
- unbeabsichtigte Lieferung oder Verwendung von nicht konformen Produkten verhindern
Daten über das QMS der Organisation auswerten
- Bewertung der Eignung und Wirksamkeit des QMS
- Verbesserungen durchführen, wo erforderlich/identifiziert
- gegebenenfalls Korrektur- und Vorbeugemaßnahmen ergreifen

: ISO 13485_2016_EN

: QMS

Qualitätsmanagementshandbuch

Das QM-Handbuch stellt in der Dokumentenpyramide des QM-Systems das oberste Dokument dar. Es dient als Startpunkt um einen schnellen Überblick über das QM-System zu bekommen.

Was ist ein QM-Handbuch?

Zentraler Startpunkt zum QM-System
Qualitätspolitik des Unternehmens erklären
Übersicht über den Aufbau des QM-Systems
- Zusammenspiel der Prozesse

Was steht in einem QM-Handbuch?

Philosophie und Ziele
- Visionen und Strategien, die die Firma ausmachen
- Kein allgemeines gerede
Qualitätspolitik
- Ausgehend von der Philosophie und den Zielen eine Politik beschreiben. Beispielsweise:
- Eine große Anzahl günstiger Produkte an möglichst viele Menschen verkaufen?
- Patientensicherheit ist immer an erster Stelle
- Gebrauchstauglichkeit ist immer an erster Stelle
Qualitätsziele
- Ausgehend von der Qualitätspolitik können Qualitätsziele abgeleitet werden.
- Jedes Qualitätsziel sollte eine Metrik beinhalten.
- Ziele sollten SMART formuliert sein. Wobei die Zeitliche Terminierung im QM-Zielen nicht immer sinnvoll ist…
Produkte sollen mindestens 10% günstiger sein, als die von der Konkurrenz
Bei Umfragen unserer Produkte soll die Bedienung um mindestens 20% einfacher sein, als die der Konkurrenz
Wir wollen einem weltweiten Marktanteil von mindestens 65% im Bereich der professionellen Dialysemaschinen
Die Produkten sollen so sicher sein, dass 10% weniger Mitteilungen an die BfarM gemeldet werden müssen als bei Konkurenzprodukten
1. Organigramm
2. Struktur des QM-Systems
  - “Dokumentenpyramide”
3. Rollenbeschreibungen (für’s QM-System relevant)
  - z.B. Importeuer, Hersteller, …
4. Prozesse
  - Übersicht und Zusammenhänge
  - Kernprozesse

Qualitätsmanagement funktioniert top-down. Also von der Führungsebene nach unten!

Wenn das QM-Handbuch nicht gelesen wird, kann das Rückschlüsse auf die Führungsebene zulassen…

Quelle: https://www.johner-institut.de/blog/qualitaetsmanagement-iso-13485/

Umgang mit Dokumenten und Aufzeichnungen

Für viele Auditoren (besonders die FDA) gilt: Was nicht dokumentiert ist, das existiert nicht.

Die ISO 13485:2016 unterscheidet zwischen Dokumenten und Aufzeichnung. Die ISO 9001:2015 unterscheidet nicht mehr zwischen Dokumenten und Aufzeichnung.

Dokumente

Dokumente haben einen Vorgabecharakter. Sie beinhalten meist Beschreibungen für etwas (Prozess, Produkt, …) oder enthalten Forderungen (Tätigkeit, Produkt, …). Ein Dokument ist veränderbar. Das bedeutet, es können verschiedene Versionsstände eines Dokumentes existieren. Die Dokumente wachsen quasi mit den Unternehmen mit.

Beispiele:

Qualitätsmanagementhandbuch
Verfahrensanweisungen
Projektpläne, Entwicklungspläne
Anforderungsokumente eines Produktes
Architekturdokumente eines Produktes
…

Anforderungen an Dokumente

Vor Veröffentlichung/Herausgabe/Verteilung bewerten und genehmigen
Bewerten und wenn nötig erneut aktualisieren und erneut genehmigen
Sicherstellen, dass Änderungen erkennbar sind
Sicherstellen, dass stets die aktuelle Version verfügbar ist
Lesbarkeit sicherstellen
Sicherstellen, dass externe Dokumente identifiziert und gelenkt werden
Sicherstellen, dass ein Verlust verhindert wird
Sicherstellen, dass veraltete Dokumente nicht mehr verwendet werden

Aufzeichnungen:

Aufzeichnungen haben einen Nachweischarakter. Sie dienen als Nachweis für etwas (erreichte Ergebnisse, Erfüllung von Anforderungen, Wirksamkeit eines Prozesses). Eine Aufzeichnung ist nach der Erstellung nicht veränderbar ist. Sie zeichnen quasi einen bestimmten Zustand zu einem festen Zeitpunkt auf. Da Aufzeichnungen nicht veränderbar sind, gibt es auch keine Versionsstände.

Beispiele:

(Prüf)Protokolle
(Audit)Prüfberichte
Managementbewertungen
…

Anforderungen an Aufzeichnungen

Dokumentation von Lagerung und Schutz
- Hierzu muss im ein Verfahren im QMS hinterlegt sein
Lesbarkeit und Auffindbarkeit sicherstellen
Aufzeichnungen müssen mindestens über die Lebensdauer des Medizinproduktes aufbewahrt werden
Jedoch mindestens zwei Jahre
Anwendbare regulatorische Anforderungen müssen erfüllt werden (z.B. gesetzliche Anforderungen an die Aufbewahrung)

Was dann doch häufig schief geht

Die Mitarbeiter wissen nicht wie sie auf das QM-System zugreifen können
Veraltete Dokumente befinden sich in Umlauf
Die Dokumente der technischen Dokumentation eines Produktes wurden nicht aktualisiert
Die Chronologie der Dokumentenfreigabe macht keinen Sinn
- z.B. Testergebnisse (Aufzeichnung) wurden vor den Anforderungsdokumenten freigegeben
Der stand eines Dokumentes ist nicht ersichtlich (Entwurf, Freigegeben, Zurückgezogen)
Schulungsnachweise für geänderte Dokumente sind nicht nachweisbar

Mögliche technische Umsetzungen

Je nach Unternehmen werden Dokumente und Aufzeichnungen

Mit Wiki-Systemen (mediawiki, confluence, …)
Mit Office-Programmen (Dateisystem, Sharepoint, Versionsverwaltung, …)
Mit speziellen Tools (Polarion, IBM Doors, CodeBeamer, ocranos, ttc integrity, Aligned Elements, greenlight guru GO and GROW, …)

(Wichtige) Zu dokumentierende Verfahren

Liste der zu dokumentierenden Verfahren:

Lenkung von Dokumenten
Lenkung von Aufzeichnungen
Managementbewertung
Fähigkeiten, Bewusstsein und Schulungen
Arbeitsumgebung
Risikomanagement
Design und Entwicklung
Einkauf und Beschaffung
Sauberkeit
Installation, Service und Instandhaltung
Validierung von Computer-Software
Sterilisierung (wenn Anwendbar)
Produktidentifikation (UDI, kommt mit der MDR)
Rückverfolgbarkeit
Produkterhaltung
Lenkung von Überwachungs- und Messmitteln
Rückmeldungen
Lenkung von Entwicklungsänderungen
Kundenrückmeldungen
Interne Audits
Überwachung und Messung von Prozessen und Produkten
Umgang mit nichtkonformen Produkten
Datenanalyse
Korrektur- und Vorbeugemaßnahmen (CAPA)

Die Liste erhebt nicht den Anspruch auf Vollständigkeit, sondern dient dazu den Umfang zu zeigen was ein ISO 13485 zertifiziertes Unternehmen alles dokumentieren muss.

Ständige Verbesserung / Korrektur- und Vorbeugemaßnahmen / CAPA

CAPA: Corrective and Preventive Actions

Der Hersteller muss jederzeit konforme Produkte im Markt haben.
Die Sicherheit für Patienten, Anwender und Dritte ist das höchste Ziel.
Deshalb muss eine Marktbeobachtung durchgeführt werden (post market surveillance)
Im Falle eines Fehlers/Abweichung muss zum einen der Fehler selbst, als auch das Wiederauftreten des Fehlers behoben/vermieden werden
Dann gibt es eine Ursachenanalyse (root cause analysis), die ausreichend tief zu hinterfragen ist, wie es dazu kam.
Bsp: Fahrrad hat nen Platten –> Tägliches Flicken –> Ursache: Nägel im Hof
Danach kommt die Korrekturmaßnahme (Corrective Action):
Das Ziel der Korrekturmaßnahme besteht also darin, nicht nur Fehler, sondern die Ursachen von bereits aufgetretenen Fehlern zu erkennen und zu beseitigen und sicherzustellen, dass solche Fehler nicht nochmal auftreten.
Bsp: Nägel im Hof zusammenkehren
Dann folgt die Vorbeugemaßnahme (Preventive Action):
Die Vorbeugemaßnahmen sollen künftige Fehler vermeiden, die noch nicht aufgetreten sind.
Bsp: Regelmäßige Kehrordnung im Hof einführen

Typische CAPAs sind:

Rückrufe
Major findings bei externen Audits
kritische Abweichungen bei internen Audits
Umstände, welche die Konformität des Produktes beeinflussen etc.

: CAPA

weitere Quelle: