Funktionale Sicherheit
Doppelt und dreifach sicher
Funktionale Sicherheit hat zum Ziel, medizinische Geräte so auszulegen, dass jeder anzunehmende technische Defekt im Vorfeld erkannt wird. Das ist ein hehres Ziel. Um ihm nahe zu kommen, gibt es keine Kochrezepte«. Die genaue Vorgehensweise muss individuell zugeschnitten sein.
Medizinische Geräte dürfen weder für den Patienten noch für den Bediener in irgendeiner Weise eine Gefahr oder ein Risiko darstellen.
Um dies zu gewährleisten, gibt es beispielsweise die Normenreihen IEC 60601,?DIN VDE 0801 oder IEC 61508, außerdem marktspezifische Vorschriften wie die recht harten Anforderungen, welche die US-amerikanische Gesundheitsbehörde FDA stellt.
Einen Überblick über die wichtigsten Regularien gibt der Kasten "Normenkontrolle" des Artikels "Entwurf gegen Erstfehler".
Hardware und Software
Es ist heute vergleichsweise einfach, ein hardwareseitig sicheres System zu konstruieren. "Keep it simple" lautet das Motto der Wahl - je weniger fehleranfällige Komponenten verwendet werden, um so geringer ist die Ausfallwahrscheinlichkeit. Verwende zuverlässige, etablierte Bauelemente, halte Dich von komplexen, schwierig zu bestückenden Bauteilen beziehungsweise zu fertigenden Leiterplatten fern und beachte die Regeln der Elektrotechnik strikt - auf diese Weise lassen sich viele Fehler bereits im Vorfeld vermeiden. Die üblichen Prüf- und Testverfahren reduzieren weitere Fehlerquellen.
Auf der Seite der Software ist die Situation komplexer. Zwar ist der Grundsatz der Einfachheit auch hier sinnvoll, doch erlaubt die Umsetzung dieses Grundsatzes weder die häufig hohe Funktionsdichte noch der Wunsch nach modernen Bedienoberflächen in allen Fällen. Hier stehen verschiedene Ansätze zur Verfügung, um Sicherheit und Komfort zu kombinieren. Dazu zählen etwa Hypervisoren und partitionierte Middleware.
Ein interessantes Verfahren, um potentielle Hardwarefehler per Software zu erkennen, beschreibt der Artikel "Software sichert Hardware". Das ist besonders wichtig, wenn bei der Systementwicklung COTS-Bauteile Verwendung finden, was nicht nur aus Kostengründen meist sinnvoll ist.
Fehler und Klassen
Im Rahmen der Gefahren- und Risikoanalyse findet auf der Seite der funktionalen Sicherheit eine Risikoklassifizierung statt. Diese bildet den Ausgangspunkt für die Systementwicklung und liefert Anforderungen für den gesamten Lebenszyklus. Da es kein risikoloses System gibt, wird ein akzeptables Risiko, ein Grenzrisiko festgelegt.
Entsprechend werden auch potentielle Fehler klassifiziert - nicht alle Probleme sind vermeidbar, aber zumindest solche, die aktiv Gefahr für Leib und Leben bedeuten, müssen so weitgehend wie möglich ausgeschlossen werden. Wie sich diese Art der Einordnung umsetzen lässt, beschreibt der Beitrag "Entwurf gegen Erstfehler".
Die Frage, wieviele voneinander unabhängige Fehler innerhalb der typischen Lebensspanne eines Systems auftreten dürfen, ist leider nicht in den Normenwerken fesgelegt, doch halten sich die meisten Hersteller und Kontrollinstitutionen an die Obergrenze von zwei. Weniger ist nicht realistisch, mehr wäre verantwortungslos.
Lesen Sie mehr zum Thema
