- Zielgruppe
- QM-Leiterin, Entwicklung, RA-Verantwortliche — Medizintechnik 10–200 MA
- Norm
- ISO 14971:2019 §4.4 · §6.4 · §8 · §10 · ISO 13485 §7.1 · MDR Anhang I
- Lesezeit
- ca. 12 Minuten
Risikoanalyse
abgeschlossen.
Design: noch
nicht ganz.
ISO 14971 beschreibt den Risikoprozess — ISO 13485 §7.1 schreibt vor, dass er in die Planung der Produktrealisierung integriert ist. In der Praxis laufen beide nebeneinander: Risikoakte abgeschlossen, Design läuft weiter. Gebrauchsanweisung geändert, Risikoanalyse nicht neu geöffnet. PMS-Bericht geschrieben, Risikodossier nicht aktualisiert. Vier Szenarien zeigen, wo genau diese Schnittstelle in der Medizintechnik bricht — und was der Auditor dann findet.
ISO 14971 beschreibt einen vollständigen Risikoprozess: Gefährdungsidentifikation, Risikoabschätzung, Risikobewertung, Maßnahmen, Restrisiko-Akzeptanz, Gesamtbeurteilung, Lebenszyklus-Pflege. ISO 13485 §7.1 beschreibt, wo dieser Prozess seinen Platz hat: in der Planung der Produktrealisierung — nicht daneben, nicht nachträglich, nicht als separates Dokument, das nach Designabschluss eingepflegt wird.
In der Praxis kleiner Medizintechnikunternehmen laufen beide Prozesse zeitlich und organisatorisch auseinander. Die Risikoanalyse wird früh im Projekt gestartet und mit dem Designfreeze formal abgeschlossen. Danach läuft die Entwicklung weiter: Gebrauchsanweisung wird überarbeitet, Komponenten werden getauscht, Indikationen werden angepasst. Und nach Markteinführung kommen PMS-Erkenntnisse, die das Risikobild verändern. Die Risikoakte: unverändert.
ISO 13485 §7.1 verlangt nicht nur, dass ein Risikomanagementprozess existiert — er verlangt, dass die Planungsergebnisse, einschließlich der Risikobewertung, überprüft und aktualisiert werden, wenn sich die Grundlagen ändern. Eine abgeschlossene Risikoakte ist kein Endpunkt. Sie ist ein Planungsergebnis, das mit dem Produkt lebt.
Vier Szenarien aus der deutschen Medizintechnik-Praxis zeigen, wo diese Schnittstelle konkret bricht — und warum der Befund erst im Audit oder nach Markteinführung sichtbar wird, wenn er schon schwerer zu beheben ist.
Risikoanalyse abgeschlossen. Gebrauchsanweisung: noch in Abstimmung. Bedienungsschritt nachträglich geändert. Risikoakte: unverändert.
Ein Hersteller von Infusionspumpensystemen führt die Gefährdungsanalyse nach ISO 14971 §4 parallel zur Designphase durch — Use-Error-Szenarien nach IEC 62366 eingeschlossen. Die Risikoanalyse wird abgeschlossen, die Akte freigegeben. Danach läuft die redaktionelle Finalisierung der Gebrauchsanweisung weiter: Ein Bedienungsschritt bei der Schlauchset-Installation wird sprachlich überarbeitet und die Reihenfolge zweier Teilschritte wird vertauscht. Technisch korrekt — aber nicht mehr intuitiv. Sechs Monate nach Markteinführung häufen sich Reklamationen: Pflegekräfte führen den Installationsschritt in falscher Reihenfolge aus; das Gerät quittiert das mit einem Air-in-line-Alarm ohne automatischen Stopp. Die Meldung geht als Anwenderfehler ein. Das Risiko, das dahintersteht — ein vorhersehbarer Use-Error durch nicht-intuitiven Installationsablauf —, fehlt in der Gefährdungsanalyse vollständig: Es wurde nach Risikoabschluss eingebaut. ISO 13485 §7.1 verlangt, dass die Planung der Produktrealisierung risikowirksame Designänderungen als Auslöser für eine Überarbeitung der Risikoplanung definiert. Wer Gebrauchsanweisung und Risikoanalyse zeitlich entkoppelt, verliert genau an dieser Schnittstelle den Nachweis, dass alle vorhersehbaren Fehlanwendungen tatsächlich bewertet wurden.
Risikomatrix liegt vor. Gefährdung: elektrischer Schlag, P1×S4 — unterhalb der Akzeptanzgrenze. Auditorfrage: Worauf basiert P1?
Ein Klasse-IIb-Gerät mit integrierter Hochspannungskomponente hat in der Risikomatrix für die Gefährdung "elektrischer Schlag durch Isolationsversagen" die Eintrittswahrscheinlichkeit P1 (unwahrscheinlich) eingetragen. Schwere S4 (Tod möglich). Ergebnis: akzeptabel, da unterhalb der Akzeptanzlinie. Der Auditor der Benannten Stelle fragt: Auf welcher Basis ist P1 gewählt? Liegen Feldversagensdaten vergleichbarer Komponenten vor? Welche Isolationsklasse nach IEC 61010 oder IEC 60601-1 wurde zugrunde gelegt, und welche Fehlerrate ist dieser Klasse in der einschlägigen Literatur oder internen Erprobung zugewiesen? Das Entwicklungsteam antwortet: Die P1-Einstufung war eine einvernehmliche Schätzung bei der FMEA-Session. ISO 14971 §6.4 ist eindeutig: Die Risikoabschätzung muss auf verfügbaren Informationen basieren — einschließlich Felddaten, wissenschaftlicher Literatur, klinischer Daten, Ergebnisnormen — und die gewählte Informationsbasis muss dokumentiert sein. Eine Matrixzelle mit einer Zahl ist keine Risikoabschätzung. Der Finding lautet: Die P×S-Bewertung ist nicht durch nachvollziehbare Evidenz gestützt — der akzeptable Befund ist damit nicht demonstrierbar. ISO 13485 §7.1 schreibt vor, dass die Qualitätsplanung Prüfaktivitäten einschließt, die die Anforderungen verifizieren. Wer P×S-Werte schätzt, ohne die Schätzbasis zu dokumentieren, hat diese Prüfaktivität strukturell leer gelassen.
PMS-Bericht dokumentiert Ausfallmuster bei bestimmten Patientenvarianten. Risikomanagementakte: zuletzt geändert beim CE-Marking. Querverweis: keiner.
Ein Klasse-IIa-Implantatprodukt durchläuft nach der Erstzulassung reguläre Post-Market-Surveillance. Der aktuelle PMCF-Bericht enthält zwei relevante Erkenntnisse: Eine erhöhte Revisionsrate bei Patienten mit einem Körpergewicht über 120 kg — außerhalb des in der Studie betrachteten Bereichs, aber innerhalb der Produktindikation. Und drei Reklamationen mit Hinweis auf mechanische Auffälligkeiten bei diesem Patientenkreis. Beide Erkenntnisse sind im PMS-Bericht dokumentiert und wurden von der QM-Leiterin unterschrieben. Die Risikomanagementakte: zuletzt überarbeitet am Tag der CE-Kennzeichnung, keine Verbindung zu den PMS-Berichten. ISO 14971 §10 verlangt den systematischen Rückfluss von Informationen aus dem klinischen Betrieb in die Risikoakte. ISO 13485 §7.1 verlangt, dass die Qualitätsplanung Kriterien für Überarbeitung, Verifizierung und Freigabe von Planungsergebnissen festlegt — und zwar über den gesamten Realisierungsprozess, der bei Medizinprodukten mit der Vermarktungsphase nicht endet. Wer PMS-Berichte schreibt, ohne die Risikomanagementakte auf Überarbeitungsbedarf zu prüfen, hat den normativen Kreislauf unterbrochen. Der Auditor bei der Überwachung stellt die Frage direkt: Welche PMS-Erkenntnisse der letzten 24 Monate haben eine Überarbeitung der Risikoakte ausgelöst — und wenn keine, warum nicht?
Alle Einzelrisiken grün. Gesamtrestrisiko: nie explizit bewertet. ISO 14971 §8: verlangt beides.
Ein kombiniertes diagnostisch-therapeutisches Gerät (Klasse IIb) hat eine vollständige Risikomatrix mit 38 bewerteten Gefährdungen. Jedes Einzelrisiko liegt nach den Maßnahmen unterhalb der Akzeptanzgrenze — die Matrix ist vollständig grün. Die Freigabe folgt. Im Audit fragt die Benannte Stelle: Wo ist die Gesamtbeurteilung des Restrisikos nach ISO 14971 §8? Das Entwicklungsteam zeigt auf die Matrix: "Alle Einträge sind akzeptiert." ISO 14971 §8.2 ist präzise: Neben der Einzelbewertung jedes Restrisikos verlangt die Norm eine explizite Gesamtbeurteilung — die Frage, ob das Gesamtrestrisiko aus dem Zusammenspiel aller verbleibenden Einzelrisiken noch akzeptabel ist. Das ist nicht automatisch der Fall, wenn alle Zeilen grün sind. Ein Patient, der gleichzeitig von zwei P2×S2-Gefährdungen betroffen sein kann — elektrischer und thermischer Art bei kombiniertem Einsatz —, trägt eine kumulative Schadenswahrscheinlichkeit, die separat zu bewerten ist. Diese Gesamtbewertung fehlt. Der Finding ist kein Excel-Formatfehler — er ist eine strukturelle Lücke im Verständnis von §8: Restrisiko-Akzeptanz ist keine zeilenweise Entscheidung, sondern eine dokumentierte Gesamtbewertung mit Bezug auf klinische Daten, Stand der Technik und Nutzen-Risiko-Abwägung nach MDR Anhang I §1.
Alle vier Szenarien zeigen dasselbe Grundproblem: Der Risikoprozess wurde korrekt gestartet — aber er wurde nicht als laufender Prozess verstanden, der mit Design, Gebrauchsanweisung und Post-Market-Daten gekoppelt ist. ISO 13485 §7.1 und ISO 14971 §4.4 verlangen diese Kopplung explizit. Ohne sie ist die Risikoakte ein Snapshot — kein lebendiger Teil der Produktrealisierung.
ISO 13485 §7.1 und ISO 14971 bilden ein Normpaar, das in der Praxis häufig getrennt betrachtet wird — obwohl beide dieselbe Schnittstelle regulieren: die Integration von Risikomanagement in den gesamten Designprozess, nicht nur in seine Anfangsphase.
Risikoplanung als integraler Bestandteil der Designplanung
ISO 13485 §7.1 verlangt, dass der Hersteller bei der Planung der Produktrealisierung Qualitätsziele, Prozesse, Verifikations- und Validierungsaktivitäten sowie Aufzeichnungen festlegt. Der Normtext schließt explizit Risikoaktivitäten ein: Die Risikomanagementplanung nach ISO 14971 §4.4 ist kein separater Prozess — sie ist ein Planungsergebnis, das aus §7.1 hervorgeht. Wenn das Design sich ändert, muss die Planung überprüft werden. Das gilt auch für die Risikobewertung.
Plan als Bindeglied zwischen Design und Risikobewertung
ISO 14971 §4.4 verlangt für jedes Produkt einen dokumentierten Risikomanagementplan, der den Geltungsbereich des Risikoprozesses, Verantwortlichkeiten, Akzeptanzkriterien und die Planung der Überprüfung von Risikomanagementaktivitäten über den Lebenszyklus definiert. Dieser Plan verbindet ISO 13485 §7.1 mit dem laufenden Risikoprozess: Er ist das Dokument, das sicherstellt, dass Designänderungen, IFU-Revisionen und PMS-Erkenntnisse als Auslöser für eine erneute Risikoprüfung erfasst werden.
P×S-Bewertung braucht eine dokumentierte Evidenzbasis
ISO 14971 §6.4 verlangt, dass die Risikoabschätzung — Eintrittswahrscheinlichkeit und Schwere — auf verfügbaren Informationen basiert: Felddaten, Literatur, klinische Evidenz, Ergebnisse ähnlicher Produkte, Prüfergebnisse nach einschlägigen Normen. Die Begründung der gewählten P-Stufe muss im Risikodossier nachvollziehbar sein. Ein P-Wert ohne dokumentierte Basis ist eine Schätzung — und keine Risikoabschätzung im Sinne von §6.4.
Restrisiko-Akzeptanz ist keine Zeilensumme
ISO 14971 §8.2 trennt zwei Prüfschritte: Erstens die Einzelbewertung jedes Restrisikos; zweitens die Gesamtbeurteilung aller verbleibenden Restrisiken in ihrer Gesamtwirkung auf die Patienten- und Anwendersicherheit. Wenn das Gesamtrestrisiko die definierten Akzeptanzkriterien nicht erfüllt, ist eine produktspezifische Nutzen-Risiko-Abwägung nach MDR Anhang I §1 erforderlich. Wer §8 als "alle Einträge grün" liest, hat die Gesamtbeurteilungspflicht nicht erfüllt.
ISO 13485 §7.1 in Verbindung mit ISO 14971 §4.4 verlangt vier strukturelle Fähigkeiten vom Risikoprozess — und alle vier müssen mit dem Designprozess verbunden sein, nicht neben ihm laufen. Wer einen dieser Verbindungspunkte offen lässt, schafft die Bedingung für einen Befund — spätestens beim zweiten Überwachungsaudit.
Gebrauchsanweisung und Risikoanalyse müssen strukturell verbunden sein: Wenn die IFU nach Abschluss der Risikoakte geändert wird, muss ein definierter Mechanismus prüfen, ob die Änderung neue Verwendungsszenarien oder Fehlanwendungsrisiken einführt — und ob die Gefährdungsanalyse aktualisiert werden muss. ISO 13485 §7.1 verlangt, dass Revisionen von Planungsergebnissen gesteuert werden. Eine IFU ist ein Planungsergebnis. Wer IFU-Revisionen und Risikoüberprüfung nicht strukturell koppelt, schafft die Bedingung für den Use-Error-Befund erst nach der Markteinführung.
Jede P-Einstufung und jede S-Einstufung braucht eine dokumentierte Evidenzbasis: Welche Datenquelle stützt die Einschätzung? Feldversagensdaten, Prüfergebnisse nach einschlägiger Sicherheitsnorm, veröffentlichte Literatur, interne FMEA-Protokolle — mindestens eines davon muss benennbar und im Dokument referenzierbar sein. Ein System, das P×S-Felder ohne Begründungsfeld zulässt, erzeugt strukturell unbegründete Abschätzungen. Beim Audit ist das kein Interpretationsstreit — es ist ein Finding.
ISO 14971 §10 und ISO 13485 §7.1 verlangen beide, dass PMS-Erkenntnisse — Reklamationen, PMCF-Daten, Felderfahrungen — systematisch bewertet werden: Hat diese Information Auswirkung auf die bestehende Risikobewertung? Dieses Bewertungsergebnis muss dokumentiert sein — auch wenn die Antwort "keine Auswirkung" ist. In Systemen, in denen PMS-Bericht und Risikomanagementakte getrennt gepflegt werden, fehlt dieser Bewertungsschritt strukturell. Der Kreislauf ist unterbrochen: PMS schreibt, Risiko weiß davon nichts.
ISO 14971 §8.2 verlangt nach Abschluss der Einzelbewertungen eine explizite Gesamtbeurteilung: Ist das kombinierte Restrisiko aller verbliebenen Gefährdungen noch akzeptabel? Dieser Schritt ist kein Automatismus der Risikomatrix — er muss als eigener Datensatz dokumentiert sein, mit Bezug auf Akzeptanzkriterien, klinische Evidenz und Nutzen-Risiko-Abwägung. Ein Risikomanagementmodul, das nach Abschluss der Einzelrisiken einen Gesamtbewertungsschritt erzwingt, macht diesen normativen Pflichtschritt sichtbar — und nicht zur Ermessensfrage am Ende der FMEA-Session.
In Excel-basierten Systemen fehlt diese Kopplung strukturell: IFU-Änderungen liegen in einem anderen Ordner als die Risikoakte, PMS-Berichte haben keinen definierten Rückkanal zur Risikobewertung, und die Gesamtrestrisiko-Beurteilung ist — wenn überhaupt vorhanden — ein Freitextabsatz am Ende der FMEA-Datei. Wer den Risikoprozess systemseitig mit den Designmeilensteinen und dem PMS-Zyklus verbindet, macht die normative Kopplung nicht zur Disziplinfrage, sondern zur Architektur.
ISO 13485 in der Praxis: alle Kapitel §4–§8 mit Anforderungen, Audit-Schwächen und §7.1-Designplanung →
QIMS Feature · Risikomanagement · P×S-MatrixP×S-Matrix, Gesamtrestrisiko-Bewertung und PMS-Rückfluss: wie QIMS die ISO-14971-Schnittstelle systemseitig abbildet →
Beanstandung · §8.2.1 · RisikoüberprüfungWann eine Beanstandung die Risikomanagementakte wieder öffnen muss — und was §8.2.1 dazu konkret verlangt →
Vigilanz · MDR Art. 87 · MeldepflichtMDR-Meldepflicht: Was ist ein meldepflichtiger Vorfall — und wann beginnt die Frist? →
Risiko
bewertet.
Design verknüpft.
Schnittstelle geschlossen.
In einer Demo zeigen wir, wie QIMS die ISO-14971-Schnittstelle zu Design und PMS systemseitig abbildet — P×S-Begründung als Pflichtfeld, IFU-Revisionen als Risikoauslöser, PMS-Erkenntnisse mit direktem Rückkanal zur Risikoakte, Gesamtrestrisiko als eigenständiger Bewertungsschritt.
Kein Pitch. Kein Abschlussgespräch nach dem Termin.