Funktionale Sicherheit
Entwurf gegen Erstfehler
Geräte dürfen weder für den Patienten noch für den Bediener in irgendeiner Weise eine Gefahr oder ein Risiko darstellen. Damit dies gewährleistet ist, gibt es allerlei Normen, welche die Entwicklung und Anwendung unterstützen sollen. Fehlerbeherrschung ist eine Frage der richtigen Vorgehensweise.
Elektrik und Elektronik in der Medizintechnik haben steigende Bedeutung für Diagnose, Behandlung und Pflege aufgrund der veränderten Alterspyramide (längere Lebenserwartung), der gestiegenen Akzeptanz des Geräteeinsatzes und der gesellschaftlichen Veränderungen (geringere Bedeutung körperlicher Arbeit). Mit der Elektronik ist zugleich der Anteil der Software in der Medizintechnik rasant angestiegen.
Beispiele aus dem medizinischen Alltag sind die Biosignalerfassung, die bildgebende Diagnostik (MRT, CT), die unterstützende Chirurgie, mechatronische Prothesen, Implantate (etwa Herzschrittmacher) sowie unterstützende Systeme (beispielsweise für die Dialyse).Qualität und Sicherheit sind zwei wesentliche Aspekte in der Medizintechnik, deren Anforderungen mit einer Vielzahl von Gesetzen und Normen geregelt sind. Eine Liste der relevanten Vorschriften nennt der Kasten "Normenkontrolle".
| Normenkontrolle |
|---|
Qualität und Sicherheit sind zwei wesentliche Aspekte in der Medizintechnik, deren Anforderungen in einer Vielzahl von Gesetzen und Normen geregelt sind. Im Folgenden ist ein kurzer Überblick über wichtige Gesetze und Normen zusammengetragen. Die EU-Richtlinie 93/42/EWG regelt die Sicherheit von Medizinprodukten im europäischen Raum (zuletzt geändert 2007) und fand in Deutschland die nationale Umsetzung im Medizinproduktegesetz. DIN EN 61508 ist die Grundnorm zur funktionalen Sicherheit von EEPE-Systemen (elektrische, elektronische und programmierbare elektronische Systeme) und als generische Norm anerkannt. Eine beträchtliche Anzahl sektorspezifischer Normen sind von ihr abgeleitet, z. B. die ISO 26262 für den Automobilbereich oder die IEC 61511 für die Prozessindustrie. Es sei darauf hingewiesen, dass die DIN EN 60601 nicht direkt davon abgeleitet ist. DIN EN 60601-1 ist die Grundnorm für die Sicherheit von ME-Geräten, die im Kontakt zum Patienten und dem Versorgungsnetz stehen. Sie liefert die Basis für Ergänzungsnormen und spezifische Produktnormen. DIN EN 60601-1-4 legt als Ergänzungsnorm die Anforderungen für den Designprozess von Programmierbaren Elektrischen Medizinischen Systemen (PEMS) fest. ISO 14971 stellt die Anforderungen für das Risikomanagement von Medizinprodukten dar. ISO 13485 regelt das Qualitätsmanagement für Medizintechnik und basiert auf der ISO 9001. IEC 62304 beschreibt die Anforderungen an die Software für Medizinprodukte über den gesamten Lebenszyklus. |
Klassifizierte Risiken
Um funktionale Sicherheit zu erreichen, wird im Rahmen der Gefahren und Risikoanalyse eine Risikoklassifizierung vorgenommen. Diese bildet den Ausgangspunkt für die Systementwicklung und liefert Anforderungen für den gesamten Lebenszyklus. Da es kein risikoloses System gibt, wird ein akzeptables Risiko, ein Grenzrisiko festgelegt (Bild 1).
Zur Beurteilung von Gefährdungen lassen sich zwei Arten von Fehlern unterscheiden. Zufallsfehler können nicht verhindert werden und treten während des gesamten Lebenszyklus auf. Gehäuft muss mit Hardwarefehlern am Anfang und am Ende der Lebenszeit gerechnet werden (Badewannenkurve). Grund dafür sind Frühausfälle, bedingt durch Fertigungsfehler, und sogenannte Altersausfälle gegen Ende des Lebenszyklus. Geeignete Architekturmaßnahmen können eine Gefährdung durch solche Fehler verhindern. Diagnosemaßnahmen im System sorgen dafür, dass ein Erstfehler rechtzeitig aufgedeckt wird, bevor mit einem zweiten Fehler gerechnet werden muss. Je nach Schwere des Fehlers wird eine gezielte sicherheitsgerichtete Reaktion eingeleitet. Systematische Fehler können nicht vollständig ausgeschlossen werden, es muss jedoch alles unternommen werden, diese zu vermeiden. Die zahlreichen Rückrufe in der Automobilindustrie zeigen, wie anfällig komplexe Systeme für systematische Fehler sind.
In der Entwicklung und Fertigung werden proaktive Prozesse angewendet, um die Wahrscheinlichkeit von systematischen Fehlern auf ein Minimum zu begrenzen. Kontroll- und Überwachungsfunktionen (Plausibilitätskontrollen) sind in der Software eines Systems integriert, um die Auswirkungen von systematischen Fehlern abzufangen (Robustheitserhöhung). Weiterhin sind alle Entwicklungs- und Fertigungstools zu qualifizieren, um hierdurch entstehende Fehler zu vermeiden. Komplexe Produkte haben ein erhöhtes Risikopotenzial durch systematische Fehler, weshalb hier besondere Anstrengungen zur Vermeidung nötig sind.
Als Erstfehler bezeichnet man den Fehler, der in einem System zeitlich zuerst auftritt. Der Begriff "Erstfehlersicherheit" bedeutet, der Erstfehler darf keine Gefährdung verursachen.
Unter Zweitfehler versteht man einen Fehler, der unabhängig von einem zuvor aufgetretenen Fehler auftritt. Ist der Erstfehler nicht erkennbar, muss nach Ablauf der sogenannten Mehrfachfehler-Eintrittszeit (MFEZ), die das Auftreten eines zweiten unabhängigen Fehlers wahrscheinlich werden lässt, mit einem Zweitfehler gerechnet werden. Drei und mehr unabhängige Fehler werden bei Medizingeräten innerhalb von deren typischer Lebensdauer normalerweise nicht angenommen.
Systemarchitektur zur Fehlerbeherrschung
Für die Architekturspezifikation von PEMS (Programmierbare Elektrische Medizinische Systeme) werden häufig die folgenden Designprinzipien gefordert:
- Bauelemente mit Merkmalen hoher Zuverlässigkeit verwenden
- Ausfallsichere Funktionen je Zuverlässigkeitsanforderung entwickeln
- Redundanz und Diversität als Architekturmaßnahme nutzen
- Komplexe Funktionalität aufteilen
- Defensives Design, z. B. Begrenzung möglicherweise gefährdender Effekte
Zur Beherrschung von Zufallsausfällen sind grundsätzlich folgende Architekturen sinnvoll:
- Ausschluss von Ausfällen (Inherent Fail Safety) z. B. Isolation zwischen Stromkreisen, zwangsgeführte Relais, etc.
- Schnelle Reaktion auf Fehlerwirkungen (Reactive Fail Safety) z. B. Überwachung für Spannungsversorgung oder Oszillatoren.
- Redundante Strukturen (Composite Fail Safety) z. B. homogene oder diversitäre Redundanz, Master-Checker-Architektur.
Bei einer Master-Checker-Architektur, sie wird in Medizingeräten häufig angewendet, obliegt dem Control-System (C) die Steuerung, während das Protect-System (P) Überwachungsfunktionen wahrnimmt. Das Konzept des Control- und Protect-Systems (CP-System) ist in Bild 2 dargestellt.
Zur Aufdeckung von Fehlerwirkungen, die Sensoren oder Aktuatoren oder deren Rechneranbindungen betreffen, kommen exemplarisch folgende Maßnahmen infrage:
- Loopback-Prinzip
- Signal-/Daten-Plausibilisierung
- Redundanzen und Mehrheitsentscheidungen
Analysemethoden
Zur vorbeugenden Fehlervermeidung lassen sich verschiedene Verfahren zur Fehlerprävention und Fehlerdetektion je nach Wirksamkeit für die vorliegende Komplexität des Systems anwenden. In Bild 3 zeigt ein Flussdiagramm den Analyseablauf zur Untersuchung der Fehlerauswirkung in einem CP-System. Neben gängigen Methoden wie der Fehlerbaumanalyse (FTA) oder dem Markov-Modell findet die Fehlermöglichkeits- und Einflussanalyse (FMEA) Verwendung.
Im linken Pfad (Bild 3) wird ein erster Fehler im Control-System C angenommen, dessen Fehlfunktion durch das Protect-System P aufgedeckt wird (Diagnostic Coverage 100 % gefordert), wodurch das Gerät im weiteren Verlauf aus der Nutzung genommen wird und ungefährlich ist.
Der nebenliegende Pfad "Erster Fehler in P" zeigt, dass selbst dann, wenn ein zweiter Fehler in P eintritt, noch keine Gefahr von dem Gerät ausgeht. Der nach rechts ausgegliederte Pfad macht deutlich, dass im Verlauf der Mehrfachfehler-Eintrittszeit (MFEZ) ein zweiter Fehler im Control-System nicht eintreten darf, dieser würde zur Gefährdung führen.
Fehlerdiagnose und Reaktion
Im PEMS sind Diagnosemaßnahmen erforderlich, um die erforderliche Aufdeckung (Diagnostic Coverage) zu gewährleisten. Für jeden Fall der Fehleraufdeckung werden Maßnahmen definiert, die dafür sorgen, dass keine Gefährdung durch das Gerät entsteht (z. B. Einnehmen des "Sicheren Zustands"). Folgende Diagnosestrategien können der Fehlererkennung dienen:
Beim Einschalten eines Geräts werden der Power-on-Selftest (Proof Test, Test auf Unversehrtheit des Programmspeicherinhalts) sowie der Built-in-Selftest (BIST, Logik-Test der CPU, des RAM, etc.) abgearbeitet. An periodischen Tests gibt es den Online-Test zur Erkennung latenter Fehler neben der periodischen Ausführung in Zeitscheiben. In Intervallen getestet wird innerhalb der Fehlertoleranzzeit (FTZ), wenn ein gefährlicher Erstfehler im Control-System C erkannt werden muss sowie innerhalb der Mehrfachfehler-Eintrittszeit (MFEZ), um einen "schlafenden Fehler" im Protect-System P aufzudecken. Erkennt die Diagnose einen Fehler, sollte eine Reaktion folgen: z. B. Warnmeldung, Sicherheitsabschaltung (Degradation auf "Sicheren Zustand") oder Umschalten auf redundante Systeme.
Beispiel: Dialyse-Überwachung
Die Fehlerstrategie für ein CP-System wird im Folgenden für die Teilfunktion zur Überwachung des Blutkreislaufs bei einem Dialysegerät angewendet. Das Dialysegerät muss die Anforderungen an die Erstfehlersicherheit erfüllen.
Die Dialyse ist eine Nierenersatztherapie, bei der mit einem externen Dialysator toxische Stoffe wie Harnstoff, Kreatinin oder Phosphat und überflüssiges Wasser aus dem Blut abgeschieden werden. Das am häufigsten angewandte Prinzip beruht auf einer halbdurchlässigen Membran. Diese Membran kann von Molekülen einer bestimmten Größe nicht durchdrungen werden. Bei der am häufigsten eingesetzten Hämodialyse diffundieren die toxischen Stoffe aufgrund eines Konzentrationsunterschiedes aus dem Blut in das Dialysat. Zum Patientenschutz überwacht das Dialysegerät unter anderem folgende Parameter:
- Arterieller Bluteingangsdruck
- Venöser Blutrückgabedruck
- Lufteinschlüsse (Luftdetektor)
Überschreitet ein Parameter den vorgegebenen Wertebereich, erfolgt die Alarmierung des Personals und bei Bedarf eine Sicherheitsabschaltung des Dialysegerätes. Das Blockschaltbild einer Teilfunktion zur Überwachung des Blutkreislaufs bei einem Dialysegerät ist in Bild 4 dargestellt.Im Design werden die sicherheitsrelevanten Architekturmaßnahmen zur Fehlervermeidung und -entdeckung für das CP-System definiert. Der nächste Schritt besteht darin, mittels der Fehlermöglichkeits- und Einflussanalyse (FMEA) die Wirksamkeit der Maßnahmen anhand der Fehlerannahmen in dem induktiven Untersuchungsverfahren zu analysieren. Das Verfahren liefert eine Risikoprioritätszahl, mit der Grenzüberschreitungen gegenüber gesetzten Limits erkennbar werden. Es muss dann mit weitergehenden Maßnahmen zur Fehlervermeidung oder -Entdeckung nachgesteuert werden, um das akzeptierte Restrisiko zu unterschreiten.
Eine Schwäche der FMEA-Methode ist, dass nur Erstfehler dargestellt werden. Deshalb wird zusätzlich zur FMEA die Fehlerstrategie gemäß Bild 5 für das CP-System angewendet. Mit den Erkenntnissen daraus wird die FMEA aktualisiert und neu bewertet. Für das Beispiel wird als Erstfehler im Control-System (C) ein Ausfall der Pumpenansteuerung angenommen (Bild 5, Pfad links). Diesen Ausfall erkennt die Plausibilitätskontrolle des Durchflusssensors P2 im Protect-System (P). Das Gerät schaltet sich ab und sendet einen Alarm. Es entsteht keine Gefährdung des Patienten.
Als Erstfehler im Protect-System (Bild 5, Pfad Mitte) wird ein Ausfall des Durchflusssensors P1 angenommen. Da die Pumpenansteuerung funktioniert, führt dies zu keiner Gefährdung. Tritt nach der Mehrfachfehler-Eintrittszeit (MFEZ) ein zweiter Fehler im Protect-System auf, resultiert daraus noch immer keine Gefährdung des Patienten. Ereignet sich allerdings der zweite Fehler im Control-System, z. B. der Ausfall der Pumpenansteuerung, ist eine Gefährdung gegeben (Pfad rechts).
Mehr Fehlerabdeckung
Diese Analyse zeigt: Für die angenommene Fehlerfolge ist eine Erstfehlersicherheit gegeben, jedoch führt ein Zweitfehler im Control-System (z. B. Totalausfall des Protect-Systems) zu nicht akzeptierbaren Risiken. Verbesserungen über Architekturmaßnahmen sind erforderlich, da mit der FMEA-Methode zu erkennen ist, dass keine Diagnostic Coverage von 100 % erreicht wird.
Hierzu wird das vom Arbeitskreis EGAS veröffentlichte Drei-Ebenen-Konzept aus dem Automobilbereich übertragen (Bild 6). Bei diesem Modell ist die redundante Rechnerarchitektur in drei Ebenen eingeteilt.
Die erste Ebene (Ebene 1) umfasst einen normalen Funktionsumfang (Funktionsebene). Sie entspricht dem Control-System (C) des vorgestellten Grundkonzepts des PEMS. Ebene 2 (Funktionsüberwachungsebene) überwacht die korrekte Funktionsausführung der Ebene 1. Sie kann auf derselben Hardware abgebildet werden und löst bei Auffälligkeiten in der Ebene 1 eine Sicherheitsaktion aus. Ebene 3 (Rechner-Überwachungsebene) wird Hardware-unabhängig realisiert, entspricht etwa dem Protect-System (CP) des vorgestellten Grundkonzepts des PEMS und überprüft mit einem Frage-Antwort-Verfahren, ob die Funktionen auf den Ebenen 1 und 2 ordnungsgemäß ablaufen. Um die erforderliche Diagnostic Coverage von 100 % durch Ebene 3 zu erreichen, wird das Drei-Ebenen-Konzept im vorliegenden Architekturentwurf in der Ebene 3 gegenüber dem automobilen Modell erweitert. Die Erweiterung besteht darin, dass Ebene 3 (unabhängiger Protect-Prozessor) die Steuerbedingungen für den Blutkreislauf überwacht. Hierzu erhält der Protect-Prozessor die Information über den momentanen Betriebszustand aus der Ebene 1 via Kommunikationsschnittstelle und überwacht mit dem Durchflusssensor P2 den korrekten Druckverlauf. Mit dieser Architektur würde ein zweiter Fehler im Control-System durch die dritte Ebene entdeckt werden, während die korrekte Verarbeitung in den Ebenen 1 und 2 durch die Ebene 3 und die korrekte Funktion der Ebene 3 in der Kommunikation mit den Ebenen 1 und 2 überwacht werden.
Über die Autoren:
Gerhard Hofmann promovierte an der Fakultät für Elektrotechnik der Westböhmischen Universität Pilsen auf dem Gebiet der Simulation und der Funktionalen Sicherheit und Prof. Georg Scharfenberg Fakultät Elektro- und Informationstechnik an der OTH Regensburg.
Lesen Sie mehr zum Thema
