- Zielgruppe
- QM-Beauftragte, Regulatory Affairs, Risikobeauftragte — Medizintechnik, Maschinenbau, Automotive
- Normgrundlage
- ISO 14971:2019 §4–§8.2 · ISO 9001 §6.1 · Praxis-Skalenvorschlag für QMS
- Lesezeit
- ca. 10 Minuten
P=3, S=4.
Score: 12 — nicht akzeptabel.
Maßnahme gewählt. Restrisiko: 4.
Eine Risikomatrix ist schnell gezeichnet — aber ohne definierte Skala, belegte P-Werte und vollständig durchgerechnete Vor/Nach-Gegenüberstellung hält sie keinem ISO-14971-Audit stand. Diese Seite zeigt den vollständigen Aufbau: Skalenvorschlag, Akzeptanzklassen und ein Beispiel das den ganzen Weg von der rohen Gefährdung bis zum akzeptierten Restrisiko durchrechnet.
P×S — zwei Werte, eine Entscheidung
Eine Risikomatrix visualisiert, wie groß ein Risiko ist — auf zwei Achsen: Eintrittswahrscheinlichkeit (P) und Schadenschwere (S). Der P×S-Score ordnet jede Gefährdung in eine Akzeptanzklasse ein: akzeptabel, ALARP (Maßnahme prüfen) oder nicht akzeptabel (Maßnahme zwingend). Das Ziel ist nicht die Visualisierung selbst — sondern die nachvollziehbare, belegte Entscheidung, was mit welchem Risiko zu tun ist.
| Werkzeug | Funktion | ISO-14971-Verankerung |
|---|---|---|
| Risikomatrix | P×S-Bewertungssystem mit Akzeptanzklassen | §6.4 Risikoabschätzung · §7 Risikobewertung |
| Risikoregister | Strukturierte Liste aller Gefährdungen mit Status und Nachweisen | §5 Gefährdungsidentifikation · §8 Maßnahmen |
| FMEA | Fehlermodusanalyse mit B×A×E-Bewertung (AP-Zahl nach AIAG-VDA) | Für ISO 14971 ergänzend nutzbar · Pflicht nach IATF 16949 |
Wichtig für den Audit-Kontext: ISO 14971 schreibt keine Risikomatrix als Pflichtdokument vor. Was die Norm vorschreibt, ist das Ergebnis: quantifizierte P×S-Werte, eine Evidenzbasis für den P-Wert, definierte Akzeptanzkriterien und eine Bewertungsentscheidung je Gefährdung. Die Matrix ist das gängige Werkzeug dafür — aber sie ist nur so stark wie die Daten, die dahinterstehen.
ISO 14971 schreibt keine bestimmte Skala vor. Die folgende 5×5-Skala ist in der Medizintechnik weit verbreitet und für die meisten Produktklassen gut geeignet. Wichtig: Skala und Akzeptanzkriterien müssen vor der ersten Risikobewertung im Risikomanagement-Plan (§4) dokumentiert sein. Eine nachträgliche Skaländerung gilt als Plan-Revision.
| P \\ S | S1 | S2 | S3 | S4 | S5 |
|---|---|---|---|---|---|
| P1 | 1 | 2 | 3 | 4 | 5 |
| P2 | 2 | 4 | 6 | 8 | 10 |
| P3 | 3 | 6 | 9 | 12 | 15 |
| P4 | 4 | 8 | 12 | 16 | 20 |
| P5 | 5 | 10 | 15 | 20 | 25 |
Akzeptanzgrenzen müssen im Risikomanagement-Plan (ISO 14971 §4) dokumentiert sein. Skala ist ein Vorschlag — Anpassung an Produktklasse und Patientenpopulation erforderlich.
Das folgende Beispiel rechnet drei Gefährdungen eines Einweg-Insulinpens vollständig durch — von der Roheinstufung (vor Maßnahmen) bis zum Restrisiko (nach Maßnahmen). Alle Werte basieren auf der 5×5-Skala aus dem vorherigen Abschnitt. Akzeptanzgrenzen: Score ≤ 4 akzeptabel · Score 5–9 ALARP · Score ≥ 10 nicht akzeptabel.
| ID | Gefährdung / Szenario | Schaden | Vor Maßnahmen | Maßnahme (ISO §8) | Nach Maßnahmen | |||
|---|---|---|---|---|---|---|---|---|
| P | S | Score | P | Score | ||||
| R-01 | Dosierungsfehler durch Mechanikversagen Rückholfeder des Dosierkolbens ermüdet → Insulinabgabe 25–30 % unter Soll-Dosis | Schwere Hyperglykämie, mögliches Koma | P3 | S4 | 12 | Einweg-Mechanismus (inhärente Sicherheit §8a) + 100 %-Hubprüfung ab Werk §8a Inhärente Sicherheit | P1 | 4 |
| R-02 | Nadelstich durch unbeabsichtigtes Kappenablösen Nadelschutzkappe rastet unzureichend → Ablösen beim Transport, Stich bei unbewusstem Griffkontakt | Stichverletzung mit Kontaminationsrisiko | P4 | S2 | 8 | Verstärkter Doppelrast-Mechanismus + Mindest-Rastkraft-Test nach EN ISO 11608-1 §8b Schutzmaßnahme | P2 | 4 |
| R-03 | Mikrobielle Kontamination der Insulinkartusche Undichte Gummistopfen-Verbindung → Keimeintrag bei Lagerung | Lokale Injektionsinfektion, Behandlungsbedarf | P2 | S3 | 6 | Partikeltest + hermetische Versiegelungsprüfung im Reinraumfertigungsprozess (§8b) §8b Schutzmaßnahme | P1 | 3 |
Hinweis: Evidenzbasis nicht vergessen
In der vollständigen Risikoakte kommt zu jedem P-Wert eine Evidenzspalte: Welche Datengrundlage begründet die Eintrittswahrscheinlichkeit? In diesem Beispiel wäre das für R-01 etwa: "Felddaten Kartuschen-Federmechanik, 3 Jahre, n=450.000 Einheiten, 0 Ereignisse dieser Art" — und für P3 (nach Verkürzung der Nutzungszeit durch Einweg-Design): "Designvalidierung Hubprüfung, 100 % Prüfquote ab Werk."
Drei Gefährdungen, drei Ausgangslagen — ein Ergebnis
Das Beispiel zeigt drei verschiedene Ausgangslagen: R-01 mit Score 12 ist eindeutig nicht akzeptabel — Maßnahmen sind zwingend, nicht optional. R-02 (Score 8) und R-03 (Score 6) liegen in der ALARP-Region: Hier muss bewertet und dokumentiert werden, ob weitere Risikominderung vernünftigerweise möglich ist. Nach Maßnahmen liegen alle drei Gefährdungen bei Score 4 oder darunter — im akzeptablen Bereich.
Entscheidend für den Audit: Nicht die grünen Zellen in der Nachspalte zählen — sondern die Begründung, warum die gewählten Maßnahmen den P-Wert auf diesen Stand senken. Die Maßnahmen-Wirksamkeit muss separat nachgewiesen sein, bevor das Restrisiko als belegt gilt.
Gefährdung durch Konstruktion eliminieren oder reduzieren — bevor Schutzmaßnahmen erwogen werden. Im Beispiel R-01: Einweg-Mechanismus verhindert Federermüdung konstruktiv.
Wenn Designmaßnahmen nicht ausreichen oder nicht anwendbar: Schutz durch technische Mittel. Im Beispiel R-02: verstärkter Rast-Mechanismus als Produktmaßnahme. Im Beispiel R-03: Prozessmaßnahme im Fertigungsprozess.
Gebrauchsanweisung, Kennzeichnung, Warnhinweise — erst wenn Maßnahmen der Stufen 1 und 2 nicht ausreichen. Hinweise allein als einzige Maßnahme für hohe Risiken werden von Auditoren nicht akzeptiert.
§8.2 Gesamtrestrisiko — nicht vergessen
Alle drei Gefährdungen im Beispiel haben nach Maßnahmen Score ≤ 4 — aber das bedeutet noch nicht, dass das Risikomanagement abgeschlossen ist. ISO 14971 §8.2 verlangt zusätzlich eine explizite Beurteilung des kumulativen Gesamtrestrisikos: Überwiegt der vorgesehene medizinische Nutzen die Summe aller verbleibenden Restrisiken? Diese Frage muss als eigenständiger Schritt dokumentiert sein — nicht implizit durch grüne Zeilen beantwortet.
Die Risikomatrix ist kein eigenes Kapitel in ISO 14971 — sie ist das Ergebnis von vier zusammenhängenden Normabschnitten, die zusammen den vollständigen Risikobewertungsprozess bilden. Wer die Matrix baut ohne diese Paragrafenstruktur zu verstehen, baut auf dem falschen Fundament.
Scope, Verantwortlichkeiten, Akzeptanzkriterien — hier wird die Skala verbindlich festgelegt. Ohne Plan ist die Matrix eine Schätzung ohne Grundlage.
Systematische Identifikation von Gefährdungen und Gefährdungssequenzen. Die Matrix-Zeilen beginnen hier — nicht mit dem P-Wert, sondern mit der vollständig beschriebenen Gefährdungssituation.
P×S-Bewertung mit Evidenzbasis für den P-Wert. Hier liegt die häufigste Audit-Lücke: P-Wert eingetragen, aber keine Quellenangabe, warum P=2 und nicht P=3.
Vergleich des P×S-Wertes mit den Akzeptanzkriterien aus dem Plan. Entscheidung: akzeptabel, ALARP oder Maßnahmen zwingend. Die Entscheidung muss dokumentiert und begründet sein.
Maßnahmen nach Hierarchie, Neubewertung des Restrisikos je Gefährdung, explizite Beurteilung des kumulativen Gesamtrestrisikos. Ohne §8.2-Schritt ist der Prozess aus Normperspektive nicht abgeschlossen.
P×S ohne Evidenzbasis — häufigster Einzelbefund
Ein P-Wert von P2 ohne Quellenangabe ist für den Auditor wertlos. ISO 14971 §6.4 verlangt, dass die Eintrittswahrscheinlichkeit auf Basis nachvollziehbarer Informationen geschätzt wird: Literaturdaten, Felddaten ähnlicher Produkte, klinische Erkenntnisse oder Produktionstests. Eine leere Evidenz-Spalte neben einer gefüllten P-Zahl ist kein Schätzproblem — es ist ein Dokumentationsproblem, das systematisch als Finding gewertet wird.
Keine definierten Akzeptanzgrenzen im Risikomanagement-Plan
Die Risikomatrix zeigt Ampelfarben — aber wo genau liegt die Grenze zwischen ALARP und nicht akzeptabel? Wenn die Akzeptanzkriterien nicht explizit im Risikomanagement-Plan (§4) dokumentiert sind, fehlt die Grundlage für jede Bewertungsentscheidung in der gesamten Risikoakte. Auditoren fragen: "Welchem Dokument entnehmen Sie, dass ein Score von 9 akzeptiert und 10 abgelehnt wird?"
Gesamtrestrisiko §8.2 wird nie explizit bewertet
Die häufigste strukturelle Lücke: Alle Zeilen sind nach Maßnahmen grün — und die Risikoakte gilt als fertig. ISO 14971 §8.2 verlangt aber zusätzlich, dass das kumulative Gesamtrestrisiko beurteilt wird. Diese Beurteilung ist ein eigenständiger Prozessschritt mit eigenem Nachweis. In Benannte-Stelle-Audits ist das Fehlen dieser Beurteilung ein klassisches Finding, das Auditreife erheblich verzögert.
Maßnahmenhierarchie §8 nicht eingehalten
ISO 14971 §8 legt eine verbindliche Rangfolge fest: Inhärente Sicherheit durch Design kommt vor Schutzmaßnahmen — und Schutzmaßnahmen kommen vor Sicherheitshinweisen in der Gebrauchsanweisung. Wenn für ein Risiko direkt ein Sicherheitshinweis eingetragen wird ohne zu begründen, warum Designmaßnahmen nicht anwendbar waren, ist die Hierarchie nicht eingehalten. Auditoren erwarten eine dokumentierte Begründung für übersprungene Hierarchiestufen.
In der Praxis sieht Risikobewertungsdokumentation häufig so aus: Excel-Tabelle mit P×S-Werten, Evidenz-Spalte leer, Gesamtrestrisiko nie explizit bewertet, Maßnahmen in einer separaten Liste ohne Verbindung zur Risikozeile. Vor dem Audit heißt das: Stunden Aufwand, um Nachweise manuell zusammenzustellen, die eigentlich von Anfang an verknüpft sein sollten.
QIMS bildet den vollständigen ISO-14971-Risikomanagement-Prozess strukturiert ab — entwickelt nach den Anforderungen der Norm. Gefährdungserfassung mit P×S-Bewertung, Evidenzfeldern und Maßnahmentracking in einem System. Vor dem Audit ist die Vollständigkeit auf einen Blick prüfbar.
P×S-Bewertung mit Evidenzfelder je Gefährdung. P-Wert und Quellenangabe in einem Schritt — kein nachträgliches Nachpflegen.
Maßnahmen direkt mit der Gefährdung verknüpft. Restrisiko-Neubewertung nach Maßnahme als eigenständiger Schritt — Wirksamkeit dokumentiert.
Risikoakte vollständig abrufbar. Evidenz, Maßnahmen, Restrisiko, Gesamtrestrisiko-Beurteilung — alles an einer Stelle nachweisbar.
Risikobewertung die Audits überstehen
In einer 30-Minuten-Demo zeigen wir, wie QIMS Gefährdungen, P×S-Bewertung, Evidenzfelder und Maßnahmen in einem Prozess verbindet — und wie eine vollständige Risikoakte vor einem Audit in Minuten, nicht in Stunden zusammengestellt ist.
Was ist der Unterschied zwischen einer Risikomatrix und einem Risikoregister?
Die Risikomatrix ist das Bewertungswerkzeug: eine zweidimensionale Darstellung von Eintrittswahrscheinlichkeit (P) und Schadenschwere (S), die Risiken in Akzeptanzklassen einteilt. Das Risikoregister ist die strukturierte Liste aller identifizierten Risiken mit Status, Maßnahmen und Nachweisen — es nutzt die Matrix als Bewertungssystem. ISO 14971 schreibt kein Format vor, verlangt aber funktional beides: die Bewertungslogik (Matrix) und die vollständige Dokumentation je Gefährdung (Risikoregister). In der Praxis ist die Risikomatrix oft eine Visualisierung innerhalb des Risikoregisters.
Schreibt ISO 14971 eine bestimmte P×S-Skala vor?
Nein — ISO 14971:2019 schreibt keine spezifische Skala vor. Die Norm fordert, dass die Skala im Risikomanagement-Plan (§4) dokumentiert ist, die Schweregrade in §C.3 beschrieben werden und die Akzeptanzkriterien den Skalen-Stufen zugeordnet sind. Verbreitet sind 5×5-Skalen (P1–P5, S1–S5), 3×3-Skalen für einfachere Produkte und 6×5-Skalen für höhere Granularität. Entscheidend: Die Skala muss zum Produkt und zur Patientenpopulation passen — und konsistent durch die gesamte Risikoakte genutzt werden.
Was ist die ALARP-Region in der Risikomatrix?
ALARP steht für "As Low As Reasonably Practicable" — so niedrig wie vernünftigerweise erreichbar. Risiken in der ALARP-Region (typischerweise mittlere P×S-Scores) sind nicht per se inakzeptabel, aber der Hersteller muss prüfen und dokumentieren, ob Maßnahmen zur weiteren Risikominderung durchführbar sind. Wenn keine verhältnismäßige Maßnahme möglich ist, bleibt das Risiko im ALARP-Bereich — aber diese Entscheidung muss begründet sein. Auditor-Falle: ALARP ohne Begründung einfach als "akzeptiert" zu dokumentieren ist ein häufiger Finding.
Kann ich für Automotive (PFMEA) und Medtech (ISO 14971) dieselbe Risikomatrix nutzen?
Strukturell ähnlich, aber konzeptionell getrennt: ISO 14971 bewertet Schaden für Patienten und Anwender in einer P×S-Matrix mit explizitem Akzeptanzbereich. PFMEA nach AIAG-VDA 2019 verwendet eine dreidimensionale Bewertung (Bedeutung B, Auftreten A, Entdeckung E) und leitet daraus die AP-Zahl (Action Priority) ab — nicht einen P×S-Score. Für Unternehmen die beide Normen abdecken müssen, sind getrennte Bewertungslogiken in getrennten Dokumenten der sicherere Weg, auch wenn das Grundprinzip ähnlich ist.
Was gehört ins Gesamtrestrisiko nach ISO 14971 §8.2?
Nachdem alle Einzelrisiken nach Maßnahmen in der akzeptablen Region liegen, muss die Summe aller Restrisiken — das Gesamtrestrisiko — explizit beurteilt werden. ISO 14971 §8.2 verlangt, dass der kumulierte Nutzen-Risiko-Vergleich dokumentiert wird: Überwiegt der vorgesehene medizinische Nutzen das Gesamtrestrisiko? Diese Beurteilung muss als eigenständiger Schritt in der Risikomanagementakte dokumentiert sein — nicht implizit durch einzelne grüne Zeilen in der Matrix.
Risikomanagement im QMS — der vollständige Leitfaden: ISO 14971, ISO 9001 §6.1 und IATF 16949 im Überblick →
ISO 14971 · §4–§10 · Audit-FallenISO 14971:2019 Normstruktur: §4–§10 erklärt, Schnittstellen zu ISO 13485 und vier häufige Audit-Fallen →
Risikoregister · Pflichtfelder · ISO 14971Risikoregister-Vorlage nach ISO 14971: 12 Pflichtfelder, Evidenz-Anforderungen und warum leere Spalten als Finding zählen →
Risikomanagement · CAPA · ProzessübergangRisikomanagement und CAPA: Wann wird aus einer Risikobewertung eine CAPA — und wie dokumentiert man den Übergang? →
Skala definiert.
Evidenz belegt.
Restrisiko bewertet.
§8.2 dokumentiert.
Risikomatrix in Excel, Evidenzspalte leer, Gesamtrestrisiko nie explizit beurteilt — das ist die Ausgangslage vor dem nächsten Audit. QIMS bildet den vollständigen Bewertungsprozess strukturiert ab: Gefährdung, P×S, Evidenz, Maßnahme, Restrisiko — alles verknüpft, alles nachweisbar.
30 Minuten. Kein Pitch. Kein Vertriebsdruck danach.